引入機器學習前需要先弄明白這三件事

人工智慧(AI)的話題已經熱了數年，但最近，網路安全行業關於AI的討論都集中在機器學習(ML)上——用演算法梳理數據，從中學習，並基於分析結果指導動作的一種AI方法，比如自動阻止未知威脅什麼的。

回顧AI/ML歷史，你會很快發現，其背後的科學早在1950年代便開始發展了。1951年，阿蘭·圖靈的奠基性論文提出了一個簡單的問題：「機器能思考嗎？」但是，如果該方法論已經出現了幾十年，很自然地，我們會想，為什麼現在才開始應用呢？

由於ML系統可在不受人監管的情況下自行評估新數據及行為，每家公司都急於在多種應用中採納該尖端方法。然而，機器學習的真正價值，是基於過往所學，而不僅僅是當前納入並分析的內容，來做出決策的能力。機器學習系統需要訓練，而訓練必須要有大量以往數據和情報。

為最大化安全工作中ML的有效性，在採納ML之前最好先了解清楚自己需要做什麼。比如以下3個方面：

1. 收集高質量的數據

訓練機器學習系統的基礎，是手握大量高品質數據。採納含有ML的產品時，你會想要強化之前所做的工作，比如特徵碼收集和自動化惡意軟體分析，以便將之與機器學習能力相結合，對新型惡意內容加以確定。除了壞數據，你還需要擁有大量良性數據，這樣就可以在訓練機器學習演算法時，讓它準確區分危險和良性的東西。

2. 建立安全一致性

最終，你需確保ML演算法能在多個層級上運行，包括網路流量、用戶行為和終端。舉個例子，如果目前你只觀察自己網路流量中的異常行為，終端或用戶行為都沒有進入你的安全工作視線，你就不可能準確關聯並確定真正惡意的東西，做不出最明智的決策。

3. 向供應商提出正確的問題

很多公司聲稱自己的解決方案中囊括了ML，但大多數時候，這項功能是被誇大了的。你詢問供應商的問題，應落腳在他們系統的準確率、速度和效率上。分析的數據是從哪兒來的？收集頻率是多久一次？該解決方案做出決策引導動作的速度有多快？擬定並問出這麼些全面深入的問題，可以讓你選出最適合自家公司需求的ML系統。

考慮機器學習價值的時候，最終目標很簡單：用軟體來自動採取行動。這一領域的研究已延續了幾十年，業界已走到了可有效應用的程度，我們防止成功攻擊的能力在ML的加持下已有所增強。

攻擊數量不斷增加，攻擊行動也正走向自動化，但公司企業的響應工作，卻通常應用的是無法擴展的人工過程。在通往更少手動工作，儘可能自動化威脅防止過程的路上，機器學習無疑是網路安全人士的得力助手。

推薦閱讀

《安全解決方案轉向機器學習》