引入機器學習前需要先弄明白這三件事
人工智慧(AI)的話題已經熱了數年,但最近,網路安全行業關於AI的討論都集中在機器學習(ML)上——用演算法梳理數據,從中學習,並基於分析結果指導動作的一種AI方法,比如自動阻止未知威脅什麼的。
回顧AI/ML歷史,你會很快發現,其背後的科學早在1950年代便開始發展了。1951年,阿蘭·圖靈的奠基性論文提出了一個簡單的問題:「機器能思考嗎?」但是,如果該方法論已經出現了幾十年,很自然地,我們會想,為什麼現在才開始應用呢?
由於ML系統可在不受人監管的情況下自行評估新數據及行為,每家公司都急於在多種應用中採納該尖端方法。然而,機器學習的真正價值,是基於過往所學,而不僅僅是當前納入並分析的內容,來做出決策的能力。機器學習系統需要訓練,而訓練必須要有大量以往數據和情報。
為最大化安全工作中ML的有效性,在採納ML之前最好先了解清楚自己需要做什麼。比如以下3個方面:
1. 收集高質量的數據
訓練機器學習系統的基礎,是手握大量高品質數據。採納含有ML的產品時,你會想要強化之前所做的工作,比如特徵碼收集和自動化惡意軟體分析,以便將之與機器學習能力相結合,對新型惡意內容加以確定。除了壞數據,你還需要擁有大量良性數據,這樣就可以在訓練機器學習演算法時,讓它準確區分危險和良性的東西。
2. 建立安全一致性
最終,你需確保ML演算法能在多個層級上運行,包括網路流量、用戶行為和終端。舉個例子,如果目前你只觀察自己網路流量中的異常行為,終端或用戶行為都沒有進入你的安全工作視線,你就不可能準確關聯並確定真正惡意的東西,做不出最明智的決策。
3. 向供應商提出正確的問題
很多公司聲稱自己的解決方案中囊括了ML,但大多數時候,這項功能是被誇大了的。你詢問供應商的問題,應落腳在他們系統的準確率、速度和效率上。分析的數據是從哪兒來的?收集頻率是多久一次?該解決方案做出決策引導動作的速度有多快?擬定並問出這麼些全面深入的問題,可以讓你選出最適合自家公司需求的ML系統。
考慮機器學習價值的時候,最終目標很簡單:用軟體來自動採取行動。這一領域的研究已延續了幾十年,業界已走到了可有效應用的程度,我們防止成功攻擊的能力在ML的加持下已有所增強。
攻擊數量不斷增加,攻擊行動也正走向自動化,但公司企業的響應工作,卻通常應用的是無法擴展的人工過程。在通往更少手動工作,儘可能自動化威脅防止過程的路上,機器學習無疑是網路安全人士的得力助手。
推薦閱讀
《安全解決方案轉向機器學習》
推薦閱讀:
※實用密碼學工具——編碼與解碼
※組合利用Empire和Death Star:一鍵獲取域管理員許可權
※小白學習環境的構架基礎