網路安全：人工智慧產生了什麼「化學反應」？ | AI控

人工智慧（AI）已經逐漸成了新時代熱詞，然而這個熱詞可能只是技術營銷的一粒仙塵、一個神奇的魔法棒。你只需在這裡灑一點！用魔法棒一指！突然！似乎所有問題都迎刃而解。

隨著越來越多的解決方案湧向網路安全市場，宣傳人工智慧的好處，通過大加宣傳來解讀它是很重要的。機器學習（ML）可以在某些領域提供變革性見解，但它存在局限性。如果你打算評估一種在網路安全中應用機器學習的解決方案，希望本文能夠為你的決策提供一些信息，或者至少給你提供一種學習框架。

你想要人工智慧還是機器學習？

答案是機器學習。

人工智慧暗含對科技的認知反思——這種能力基於對人工智慧的了解，並用於提升人工智慧。然而，我們還遠未達到這個目標。

機器學習是計算機科學的一個分支，有助於計算機基於輸入數據進行學習，並可決定在非明確編程的情況下如何運行。機器學習從業者將利用開發工具集處理任務。不同的演算法具有不同的用途，甚至技術與計算統計、數學優化和數據挖掘存在重疊。

通過數據學習可得到演算法，之後機器學習可使用該演算法

數據代表其行為樣本，模型代表數據中的現實系統行為，而機器學習演算法就是在構建模型。人們可以通過預先標記的示例數據對訓練進行監督，也可以不對其監督。無論如何選擇，數據都將代表現實世界。任何基於沒有代表性數據的演算法，都不能為人類提供有價值及通用性見解。

網路安全的關鍵在於攻擊的初始階段，如每次攻擊時，惡意軟體或魚叉式網路釣魚郵件都會有不同的變化，這使人們無法對其進行檢測和分類。

如果有好的訓練數據，先進的機器學習演算法就可以很好地訓練模型，之後通過新的、無標記數據篩選模型。然而問題是，人們很難預知新數據的分類有多準確。毫無疑問，每個演算法都可能會出錯。它可能會發出錯誤警報，或者發現不了惡意軟體等。

機器學習並不完美，且也可能遭到愚弄

總而言之，當數據發生很大變異無法用於訓練時，機器學習也就無用武之地了。例如，在反病毒中，由於存在多態性，同一個惡意軟體的每次攻擊看起來都不相同。這時，機器學習無法適應這種數據變異。此外，機器學習並不完美。根據所使用的技術和應用領域，它可能無法發現所有攻擊，並可能錯誤地對活動進行分類。

如今我們隨處可見用戶行為、App使用等

現代IT基礎設施越來越完善，也在用戶行為、App應用、網路流量、認證活動等方面提供了大量的日誌數據。像Splunk這樣的具備第一代日誌處理能力的工具，使IT專業人員能夠在大型索引數據存儲上進行類似於google一樣的查詢，這至少使當前任務可能達成。

今天，機器學習飛速發展，特別是自訓練機器學習演算法，為自動篩選大量數據並尋找異常的行為模式提供了一個強而有力的新機會。與其它數據集相比，這些異常的行為模式則被稱為是異常值。這些工具都是自訓練工具，幾乎不需要專家插手，適應性強。隨著整合更多的數據，這些工具可以進行再訓練，來涵蓋新的行為模式和研究發現。

目前的解決方案仍有一些缺點。於人類而言，由機器學習演算法發現的異常現象通常可能很難理解，這是因為這種異常現象可能是一組抽象、難以理解的數據點。此外，這樣的系統在梳理有許多重疊點的數據時效果較差。

機器學習正醞釀在攻擊發生時開啟防禦

許多「下一代」供應商聲稱，要惡意軟體執行之前，檢測出惡意軟體，通過圖靈的證明只是徒勞。當惡意軟體在某個端點執行時，很容易就能發現受攻擊App偏離正常行為。

但是，當惡意軟體執行時，協議取消：系統做出妥協，攻擊立即通過網路進行傳播，比如WannaCry。要避免這種災難性後果的唯一方法是，隔離惡意軟體，研究並映射其行為。機器學習結合隔離應用程序，從而防止惡意軟體執行的不利影響。隔離可以消除漏洞，確保不會造成數據泄露，惡意軟體也就無法橫向轉移到網路。

機器學習未來一片光明

隨著微軟在其基於虛擬化技術的安全特性設置中增加了隔離功能，我希望看到局部學習擴展到認證活動及用戶行為分析，並涵蓋一系列的攻擊向量。

機器學習如能恰當地使用，將為網路安全帶來激動人心的新機會。我們也將見證生產力和加強保護的新時代的到來，但我們必須避免相信營銷炒作。