网络安全专家不服了 我们在网络安全领域当然也应用了机器学习 但机器学习也可能被攻击者利用

前面提到， 柯洁九段将在5月23日迎战阿尔法狗 ，但现实是目前 人工智能AI的发展现状大多还在机器学习的阶段 ，那网络安全领域有这方面的实践了吗？当然有，

安全软件供应商Townsend Security创始人Patrick Townsend表示：

“目前我们正逐步建成可以对检测的海量非结构化数据和检测模式进行高效处理的系统，我预想下一代安全产品会是基于感知计算（cognitive computing）的。就拿IBM超级电脑Watson来说，它在人机对战练习赛中险胜战胜了美国智力竞赛节目《危险边缘》(Jeopardy)的两位冠军选手。

既然如此，它为什么不能解析全球发生的所有安全事件并让它们变得更有价值呢？我认为，将基于感知的计算技术运用于安全，我们仍处于初始时期。”

Invincea公司的Saxe表示：

“一些公司没有意识到基于深度学习新方法下的产品化算法浪潮已经到来，对此我并不惊讶。目前我们所用机器学习模型的训练才实现不久，而在十年前，你是无法有效完成这一切的。”

机器学习有利于提升恶意攻击的识别率

JurInnov信息系统安全主任Eric Vanderburg认为， BitDefender的反攻击技术已经应用了机器学习技术，并显著改善了漏洞及恶意软件的识别率

机器学习是一种科学, 它利用现有的数据来训练计算机如何识别相关数据。就像人类一样, 机器学习算法得到的训练越多, 它的任务就越有可能成功。我们有大量关于攻击的信息, 可以用来训练机器。毕竟, 每一天都有新的攻击, 每年都有成千上万的恶意软件样本收集。这些信息和历史信息可以被送入机器学习算法, 以更好地理解尚未发生的攻击。机器学习系统由算法组成, 它决定程序如何解释、理解和关联信息以做出决策。当新的数据被添加到机器学习系统时, 它可以产生测试结果, 然后对算法或做出的假设或预言进行改进。

高级持续性威胁（APT）对企业来说是个重大问题。 这些攻击是攻击者通过团队精心设计的，并且具有很强的针对性。 他们利用一些最新的技术，基于广泛的信息收集有关目标的来源，如社会媒体、暗网、公共信息源，对以前的黑客dump，以及社会工程等等。 一旦发生，系统可以在较长的一段时间进行暗中操作，给组织造成重大并损害客户服务，还有能力形成产业链。 应对这些威胁，需要智能解决方案。 例如，BitDefender的机器学习系统分析程序用来分析异常行为，从而可以识别潜在的恶意软件，并提醒管理员在哪些漏洞正在被攻击者利用。 这样企业可以主动的应对挑战。

机器学习系统需要很强大的能力，所以他们利用云的力量来处理大量的数据，以及分布在世界各地数以百万计的客户。 机器学习系统是由多个机器算法，每个进程的数据以不同的方式寻找攻击或异常行为模式学习。 以前曾经是科幻小说，而现在已经成为科学事实。

目前这样的系统及技术已经成熟，并不是未来的幻想。 BitDefender的反攻击技术在2016年已经确定100%的Adobe Flash漏洞，以及和99.99%的恶意软件。 微软在他们的 SmartScreen筛选器中使用了机器学习，而Google在主动性安全浏览中使用了机器学习技术。 在实际测试时，相比传统的安全系统，机器学习系统可以减少误报，这意味着我们能够挫败更多的攻击和减少虚假警报方面的时间消耗。

对于公司来说，这是个有效的途径来实施安全。 网络安全系统会变得更加有效，客户得以让他们的敏感数据远离窥探的眼睛，并维持关键系统可用，安全人员不会被许多假警报所干扰，进而专注自己的事情，保持公司的安全。

你的网络安全战略包括机器学习技术吗？

机器学习也可以被利用 这将是网络安全领域的又一个战场

在机器学习的发展趋势方面，绿盟科技CTO赵粮认为“ 机器学习不是万能的，但没有机器学习是万万不能的 ” 。机器学习（ML）在网络安全实践中应用在2016年获得了长足的进步。各种机器学习和人工智能算法和工具被引入安全产品和系统。但是，机器学习只是一个数学工具，攻守双方都可以使用。通过对抗性图像攻击可以欺骗机器学习模型，在下面的图像识别例子中，识别引擎给出了公共汽车车窗的误判。以此类推，如果攻击者面对机器学习的安全产品及系统，同样有可能利用这样的误判，发起致命的攻击。

机器学习作为一种数学工具，其输出的“智能”并不是真正的“智能”，而是由其设计和运作过程中所使用的攻防模型、机器学习算法以及训练样本所决定的“计算”。这样，如果攻击者通过某种手段可以获取这些信息，并进行针对性模仿、甚至“注入”，就可以达到“免杀”和“误导”的效果。

威胁方将会利用机器学习等先进技术来优化“攻击”，并不意味着机器学习之于网络安全没有用处，恰恰相反，不掌握机器学习技术的安全防御方将会处于类似冷兵器对热兵器的“劣势”局面。绿盟科技在2016年发布了基于机器学习引擎的新版WAF和NIPS，相对于研究员手工创建规则的检测防护方式，新引擎在检测准确度和性能方面都获得了大幅度的提升。

在机器学习时代 新一代企业安全运营平台 需要做好技术与观念的转变

对于在机器学习时代，绿盟科技的产品经理们认为，洞察网络系统中的各种用户和设备行为，寻找源自合法用户、合法供应链组件等的可能攻击和滥用，针对安全事件的溯源和追踪，对全局安全态势的感知和研判等等，需要大量的安全数据分析、可见性、威胁情报等能力的联合运用，都需要机器学习为代表的新一代计算工具的支撑。

技术方面的转变

• 传统的结构化数据库已经不能满足海量日志采集，存储，分析的需要，新的安全平台需要采用Hadoop、Spark、Hive、HDFS等技术架构以及插件化设计。平台需要具有很高的性能、可靠性、适应性，包括开放性、可伸缩性和可扩展性。
• 传统的关联分析基本都属于基于规则的关联分析，只能识别规则所能描述的已知的问题，无法识别未知的攻击，或者是尚未被描述成规则的攻击和行为。而规则的撰写又需要专业的安全领域知识，因此实用性受到极大制约。新的安全平台需要采用机器学习技术，对用户的行为特性进行自学习和轮廓画像，通过正常行为特性的持续学习和训练，将企业网络异常行为进行识别和告警。
• 安全平台通过跟绿盟情报中心进行联动，通过情报关联引擎自动收集情报和智能分析成果，对企业发布早期预警信息，评估企业内部可能受影响的设备或资产，避免核心业务系统遭受的攻击和预防潜在的安全隐患，提高安全管理的有效性。

运维观念的转变

• 新的安全运维人员或团队需要积极转变观念，从被动响应服务转变为主动运维服务，利用手中的工具，采用攻防的思想，要把企业安全看成“已被攻击”的状态，而不是“已安全”的状态，从攻击者的角度去进行防御，去检测攻击，并找到IOC/IOA，并且执行相应处置动作。

关于机器学习，绿盟科技还有两篇学习文章，供参加参考

看见到洞见之引子（一）机器学习算法

看见到洞见之引子（二）机器学习算法