信息化觀察網(wǎng)

本文來自數(shù)世咨詢，作者/recco。

大多數(shù)商業(yè)人工智能的成功都與有監(jiān)督機器學(xué)習(xí)ML有關(guān)。例如智能家居助手對口語的理解，自動駕駛汽車的物體識別，都利用了訓(xùn)練復(fù)雜的深度學(xué)習(xí)模型所需的大量標(biāo)記數(shù)據(jù)和計算。但在網(wǎng)絡(luò)安全領(lǐng)域，AI雖然可以用來提高安全運營團隊的效率和規(guī)模，但前提是需要人的高度參與，否則它無法解決大部分的網(wǎng)絡(luò)安全問題，至少在目前還是如此。

此外，企業(yè)環(huán)境中人類行為產(chǎn)生的數(shù)字噪音，令系統(tǒng)中的異?，F(xiàn)象成為常見現(xiàn)象，無法判斷其是否代表攻擊行為。因此，基于人工智能的異常行為檢測，其效果并不理想。比如，一家日產(chǎn)10億數(shù)量級遙感數(shù)據(jù)的大型企業(yè)，使用機器學(xué)習(xí)來檢測威脅。即使其準(zhǔn)確率為99.9%，那也就意味著要在100萬個誤報中找到真正的攻擊事件，要想克服這種檢測數(shù)據(jù)上的不均衡性，需要大量的專業(yè)知識和多管齊下的檢測策略。

但顯然如果沒有AI，事情只能變得更加糟糕。還是有一些方法來利用機器學(xué)習(xí)的力量來提高運營效率，以下是建議安全運營團隊需要考慮的三項原則：

1.人機合智

人工智能是對人類智能的補充，而不是替代。在復(fù)雜系統(tǒng)的環(huán)境中，尤其是在與快速適應(yīng)的、智能化的對手對抗時，以主動學(xué)習(xí)為核心的自動化技術(shù)將帶來極高的價值。人類的主要工作是經(jīng)常性的檢查機器學(xué)習(xí)系統(tǒng)，加入新的樣例，不斷的調(diào)整迭代。

2.選擇合適的工具

沒必要成為AI專家，也能做出好的決策，但前提是確保選擇了正確的工具。

首先，了解異常行為和惡意行為之間的區(qū)別很重要，因為它們常常是兩回事，依據(jù)的檢測技術(shù)也大不相同。前者很容易通過無監(jiān)督異常檢測發(fā)現(xiàn)，無需打標(biāo)簽的訓(xùn)練數(shù)據(jù)。但后者則需要監(jiān)督學(xué)習(xí)，通常需要許多歷史樣例。

其次，具有高信噪比的警報對于安全運營團隊來說至關(guān)重要，需要充分了解檢測結(jié)果可能帶來的影響，因為這些系統(tǒng)不會百分之百準(zhǔn)確。

最后，雖然幾乎各種機器學(xué)習(xí)技術(shù)都已在網(wǎng)絡(luò)安全領(lǐng)域得到使用，積累大量的威脅情報簽名仍然非常重要，因為一旦撞上這些簽名，幾乎可以確定攻擊，省去了大量的關(guān)聯(lián)分析工作。無論什么時候，簽名都是檢測已知威脅的關(guān)鍵基線。

3.安全運營需要自動化

非常諷刺的是，許多信任人工智能駕駛汽車的網(wǎng)絡(luò)安全專業(yè)人士，對人工智能在網(wǎng)絡(luò)安全對抗中的作用持懷疑態(tài)度。但是，在海量數(shù)據(jù)和告警需要處理的今天，自動化操作是提高安全運營團隊效率最有效的方法之一，基本上也是未來唯一的解決之道。

自動化將創(chuàng)造性思維從耗時的操作任務(wù)中解放出來，尤其是在檢測高級威脅時非常有用，關(guān)聯(lián)分析、優(yōu)先級排序，自動執(zhí)行低風(fēng)險的控制措施（如隔離可疑文件或要求用戶重新驗證），這些都可以顯著提高安全運營效率、降低網(wǎng)絡(luò)風(fēng)險。

綜上所述，人工智能或機器學(xué)習(xí)至少在可見的將來無法成為唯一的網(wǎng)絡(luò)安全策略。在數(shù)據(jù)的汪洋大海中尋找蛛絲馬跡時，將機器智能與安全專家的人類智能相結(jié)合，是且僅是最為實際有效的技術(shù)手段。