小说排行榜,古风

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

機(jī)器學(xué)習(xí)的能與不能

技術(shù)產(chǎn)業(yè)一直以來都有炒作問題，永遠(yuǎn)關(guān)注“下一個(gè)神器”，永遠(yuǎn)吵嚷喧囂著世界將會(huì)產(chǎn)生怎樣的天翻地覆。追逐熱點(diǎn)是廠商的天性，當(dāng)他們?cè)谧约赫J(rèn)為的成長市場(chǎng)上搶占地盤的時(shí)候，一個(gè)又一個(gè)?？诒徊粩嗫湎?。

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站制作、成都網(wǎng)站建設(shè)、恩施土家網(wǎng)絡(luò)推廣、微信小程序開發(fā)、恩施土家網(wǎng)絡(luò)營銷、恩施土家企業(yè)策劃、恩施土家品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供恩施土家建站搭建服務(wù)，24小時(shí)服務(wù)熱線：18982081108，官方網(wǎng)址：www.cdcxhl.com

2016新興技術(shù)成熟度曲線上，Gartner將機(jī)器學(xué)習(xí)放在了“期望膨脹期”頂峰位置。該曲線的下一個(gè)部分，通常來講，就是“幻想破滅期”了。期望到底能幻滅到何種程度，還有待觀察。

很容易看出機(jī)器學(xué)習(xí)在安全領(lǐng)域被過度炒作的原因。隨著攻擊者復(fù)雜性穩(wěn)步上升，隨著越來越多的高端技術(shù)被引入攻擊方法，召喚異?？焖俣辛Φ臋C(jī)器智能來查找并阻擋威脅，似乎是個(gè)絕頂美妙的主意。

但是，夸大安全技術(shù)的能力和有效性是十分危險(xiǎn)的。聽信不實(shí)宣傳的公司，有可能產(chǎn)生一種虛假的安全自信，反而淪為攻擊受害者。而且這種案例還會(huì)對(duì)安全業(yè)其他同行的信譽(yù)也添上污名。

炒作問題的根源，在于安全廠商運(yùn)作的方式。

為了擴(kuò)大市場(chǎng)份額，很多廠商都會(huì)什么好賣賣什么，產(chǎn)品有沒有用倒未必會(huì)在考慮之列，而且，誤導(dǎo)性的市場(chǎng)營銷還真不少見。他們的激情更多地放在了賺錢上，至于在攻擊性和防御性安全中間平衡的問題，需要考慮嗎?

另一個(gè)所有技術(shù)領(lǐng)域里都很常見的長期性問題，就是廠商可以利用其對(duì)解決方案的復(fù)雜性更為熟悉和專業(yè)這一優(yōu)勢(shì)。

極少有高管對(duì)機(jī)器學(xué)習(xí)操作原理有深入認(rèn)知，即便IT主管里面也沒幾個(gè)清楚的，但他們肯定都知道這個(gè)術(shù)語——這得感謝不停洗腦的各路媒體。再加上機(jī)器學(xué)習(xí)的復(fù)雜性，炒作起來就更容易把機(jī)器學(xué)習(xí)當(dāng)成治愈所有威脅的神奇萬靈丹了。

機(jī)器學(xué)習(xí)的優(yōu)勢(shì)與劣勢(shì)

炒作問題暫且不談，機(jī)器學(xué)習(xí)確實(shí)在安全方面起著重要的作用——只要能將它應(yīng)用在最適宜的問題上，且其短板能被補(bǔ)足。

機(jī)器學(xué)習(xí)是個(gè)很多元的學(xué)科，但基本上歸結(jié)于程序從數(shù)據(jù)中學(xué)習(xí)，最終做出預(yù)測(cè)或者發(fā)現(xiàn)信息——在沒有被明確的預(yù)設(shè)規(guī)則的情況下。

這一能力在安全上有多種可能性，但最受關(guān)注的兩大領(lǐng)域，就是反病毒和用戶及實(shí)體行為分析(UEBA)。

在反病毒軟件領(lǐng)域，相比傳統(tǒng)解決方案只靠病毒特征碼查殺，機(jī)器學(xué)習(xí)的惡意軟件發(fā)現(xiàn)方式與之大為不同。而UEBA尋求建立用戶和機(jī)器的正常行為基準(zhǔn)線，偏離該基線的異?；顒?dòng)即可能是惡意行為。

我們還可以期待機(jī)器學(xué)習(xí)大放異彩的一個(gè)領(lǐng)域，就是惡意軟件新變體的檢測(cè)，比如Andromeda系列惡意軟件。

只要機(jī)器學(xué)習(xí)模型經(jīng)由大量Andromeda家族惡意軟件樣例訓(xùn)練，便能精于發(fā)現(xiàn)新版本中一脈相承的特征。惡意軟件作者必須投入大量精力才能繞過該模式。

當(dāng)然，機(jī)器學(xué)習(xí)模型訓(xùn)練不是那么容易的事，但面對(duì)層出不窮的新變體，機(jī)器學(xué)習(xí)還是能比傳統(tǒng)特征碼方式提供更好的檢測(cè)。

相較之下，機(jī)器學(xué)習(xí)可能無法滿足人們預(yù)期的一個(gè)方面，在于對(duì)合法軟件惡意使用的檢測(cè)，比如SSH客戶端或端口掃描器的惡意使用。

因?yàn)椴皇鞘裁刺貏e的惡意軟件，而且是系統(tǒng)管理員的常用工具，這些軟件通常會(huì)被歸類為良性的。讓機(jī)器學(xué)習(xí)模型來判斷操作者行為背后的意圖是善是惡，明顯有點(diǎn)超出所能了。

針對(duì)性攻擊中所用的定制軟件也是個(gè)大問題。如果該惡意軟件是前所未見的全新款，必然就沒有什么代表性樣本供機(jī)器學(xué)習(xí)算法訓(xùn)練。作為未知軟件，相對(duì)預(yù)期模型，仍有可能被標(biāo)記為異常。

然而，現(xiàn)實(shí)世界中的很多合法軟件也往往是全新的。于是，讓解決方案一看到異常就阻止，必然會(huì)引發(fā)大混亂。另外，高級(jí)攻擊者會(huì)采用各種特殊方法來確保自己的惡意軟件被歸類成良性，就像他們繞過傳統(tǒng)反病毒軟件采用的病毒特征碼一樣。

對(duì)于UEBA方法，我們通常期望，隨著時(shí)間的推移，能對(duì)來自網(wǎng)絡(luò)和日志源的各類數(shù)據(jù)流建模，然后標(biāo)識(shí)出偏離正常值的指標(biāo)，揪出內(nèi)部偵察行為、橫向移動(dòng)或數(shù)據(jù)滲漏活動(dòng)。

一般不連接互聯(lián)網(wǎng)的數(shù)據(jù)庫服務(wù)器突然傳輸了500GB信息，就是高度異常的行為。類似的，管理服務(wù)賬戶從不常操作的主機(jī)登錄大量系統(tǒng)，也是被盜憑證用于橫向移動(dòng)的明顯標(biāo)志。

但是，也有其他相對(duì)復(fù)雜的情況。比如擊鍵記錄和特定用戶終端上的敏感文檔盜竊。這些行為都令人擔(dān)憂，但又可能涉及處于正常范圍內(nèi)的數(shù)據(jù)量。

惡意軟件在同一個(gè)子網(wǎng)里各工作站之間的橫向移動(dòng)也是個(gè)問題。但有可能因?yàn)榫W(wǎng)絡(luò)傳感器覆蓋沒有那么深入，日志源只從關(guān)鍵服務(wù)器而不是全體終端資產(chǎn)上收集，而導(dǎo)致此類行為不可見。

C2信道也可能利用非常常見且合法的服務(wù)，比如云即時(shí)消息服務(wù)。而且，用戶并非完全可預(yù)測(cè)的，很可能以之前沒用過的方式訪問系統(tǒng)或服務(wù)，而這些都是完全良性的。

這些案例充分標(biāo)識(shí)出了機(jī)器學(xué)習(xí)的三大盲點(diǎn)：

已有數(shù)據(jù)集中表現(xiàn)正常而無法檢測(cè)出的惡意行為;
往往表現(xiàn)異常而導(dǎo)致大量誤報(bào)的非惡意行為;
因?yàn)槿狈λ钄?shù)據(jù)而無法檢測(cè)出的惡意行為。

克服短板——人類干預(yù)

最重要的一課在于，企業(yè)網(wǎng)絡(luò)通常都是極不規(guī)則的環(huán)境——異常太多，以致誤報(bào)成常態(tài)，而真正的惡意行為卻能偽裝潛伏在看起來正常的行為中。

為克服該短板，機(jī)器學(xué)習(xí)需要結(jié)合人類的專業(yè)技能。技術(shù)高超訓(xùn)練精良的團(tuán)隊(duì)，可以恰當(dāng)?shù)亟庾x和調(diào)查機(jī)器學(xué)習(xí)的發(fā)現(xiàn)。多年的攻擊檢測(cè)與阻止經(jīng)驗(yàn)，意味著高級(jí)安全團(tuán)隊(duì)能夠識(shí)別更細(xì)微的惡意入侵跡象，不放任入侵行為混在正常行為里瞞天過海。

另外，必須認(rèn)識(shí)到，機(jī)器學(xué)習(xí)方法也僅僅是分析技術(shù)中的一種，也有自己的優(yōu)勢(shì)和弱點(diǎn)，而一個(gè)有效的攻擊檢測(cè)系統(tǒng)，需要多種不同技術(shù)相輔相成。

機(jī)器學(xué)習(xí)炒作尚需一定時(shí)間才能平息，公司企業(yè)必須警惕任何將機(jī)器學(xué)習(xí)產(chǎn)品當(dāng)做萬靈丹兜售的廠商。機(jī)器學(xué)習(xí)算法能提供強(qiáng)勁的分析速度和廣度，但僅能保證在特定場(chǎng)景中的安全，限制頗多。

但，只要應(yīng)用在正確的問題上，再結(jié)合足夠的人類經(jīng)驗(yàn)和其他分析方法，機(jī)器學(xué)習(xí)就是直面網(wǎng)絡(luò)攻擊威脅的強(qiáng)力工具。

【本文是專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

本文標(biāo)題：機(jī)器學(xué)習(xí)的能與不能
文章出自：http://m.fisionsoft.com.cn/article/copoodg.html

新聞中心

其他資訊