網(wǎng)絡(luò)威脅的復(fù)雜性和數(shù)量都與時(shí)俱進(jìn)。然而,傳統(tǒng)的威脅檢測(cè)方法不足以確保提供保護(hù)。相應(yīng)地,機(jī)器學(xué)習(xí)已被證明在識(shí)別和抵御網(wǎng)絡(luò)攻擊方面非常有效。
機(jī)器學(xué)習(xí)的能力歸功于這三個(gè)因素:數(shù)據(jù)、算力和算法。由于性質(zhì)使然,網(wǎng)絡(luò)領(lǐng)域生成大量數(shù)據(jù)。
比如說,公司網(wǎng)絡(luò)可能每天在端點(diǎn)設(shè)備上看到數(shù)十億個(gè)IP數(shù)據(jù)包、數(shù)百萬個(gè)DNS查詢、解析的URL和執(zhí)行的文件,以及數(shù)億事件(進(jìn)程、連接和I/O)。提取、清理和處理這些數(shù)據(jù)需要龐大的算力,幸好可通過各種基于云的平臺(tái)輕松、靈活、低成本地獲得這種算力。同樣,可以使用功能越來越強(qiáng)大的開源機(jī)器學(xué)習(xí)網(wǎng)絡(luò)安全算法來抽取復(fù)雜的底層數(shù)學(xué),以便開發(fā)、調(diào)整和訓(xùn)練復(fù)雜模型。這些因素共同為網(wǎng)絡(luò)安全供應(yīng)商提供了過去無法想象的功能。
通常,網(wǎng)絡(luò)安全供應(yīng)商使用實(shí)時(shí)客戶數(shù)據(jù)、為吸引攻擊者而設(shè)計(jì)的“蜜罐”以及通過在網(wǎng)絡(luò)社區(qū)內(nèi)共享數(shù)據(jù)來訓(xùn)練機(jī)器學(xué)習(xí)模型。
這可以更全面地了解威脅狀況,比如創(chuàng)建模型特征,可能包括文件在整個(gè)客戶群中的新鮮度、流行度和使用頻率。供應(yīng)商還使用大量已知類型的惡意軟件和合法文件來訓(xùn)練其模型。訓(xùn)練包括確定文件是不是惡意文件,還常常嘗試對(duì)惡意軟件的類型進(jìn)行分類,這對(duì)于確定如何修復(fù)或刪除惡意軟件至關(guān)重要。
機(jī)器學(xué)習(xí)的應(yīng)用范圍很廣,包括反惡意軟件、僵尸程序檢測(cè)、反欺詐和隱私保護(hù)。令人關(guān)注的是,網(wǎng)絡(luò)安全界使用機(jī)器學(xué)習(xí)存在多個(gè)新興挑戰(zhàn),這使其成為大有潛力的領(lǐng)域。
對(duì)抗性AI和機(jī)器學(xué)習(xí)的角色
機(jī)器學(xué)習(xí)因可以訪問龐大數(shù)據(jù)集、快速降低大規(guī)模計(jì)算的成本以及強(qiáng)大算法的開源可用性而大眾化,已證明大大地推動(dòng)了網(wǎng)絡(luò)安全行業(yè),機(jī)器學(xué)習(xí)也成為了網(wǎng)絡(luò)對(duì)手新增的一個(gè)重要工具。
比如說,生成式對(duì)抗模型用來開發(fā)策略,以減小攻擊被網(wǎng)絡(luò)安全工具識(shí)別的風(fēng)險(xiǎn)?;跈C(jī)器學(xué)習(xí)的行為異常檢測(cè)系統(tǒng)可學(xué)習(xí)正常行為,以快速識(shí)別異常和可能惡意的活動(dòng),但是對(duì)手也在開發(fā)惡意軟件,這種惡意軟件可學(xué)習(xí)正常的用戶和系統(tǒng)行為以模仿正常行為,并盡量減小被檢測(cè)的風(fēng)險(xiǎn)。
機(jī)器學(xué)習(xí)網(wǎng)絡(luò)安全系統(tǒng)的有效性可能受到用于訓(xùn)練模型的數(shù)據(jù)的清潔度的嚴(yán)重影響。為此對(duì)手可能借助“毒害”攻擊,企圖注入壞的訓(xùn)練數(shù)據(jù)以影響模型錯(cuò)誤學(xué)習(xí)。這種攻擊呈現(xiàn)多種形式,從生成虛假流量模式到毒害商業(yè)或開源惡意軟件樣本數(shù)據(jù)集,不一而足。
對(duì)手已經(jīng)能夠利用旨在防止誤報(bào)的機(jī)器學(xué)習(xí)模型來避免被檢測(cè)。比如說,攻擊者明白通過將特定的模式嵌入到惡意軟件中,也可以誘騙流行的反惡意軟件產(chǎn)品將代碼列入白名單(將代碼標(biāo)記為合法),即便是惡意軟件。
使用機(jī)器學(xué)習(xí)建模人類交流模式以開發(fā)更逼真、更有效的網(wǎng)絡(luò)釣魚攻擊,這是另一個(gè)值得關(guān)注的對(duì)抗例子。自然語言處理和自然語言生成方面的最新技術(shù)(比如Open AI的GPT-3)意味著,很快極難區(qū)別真實(shí)通信與合成通信。
機(jī)器學(xué)習(xí)和深度強(qiáng)化學(xué)習(xí)
常規(guī)機(jī)器學(xué)習(xí)技術(shù)用于網(wǎng)絡(luò)安全已大獲成功,尤其是在檢測(cè)未知攻擊(又叫零日攻擊)方面。這些技術(shù)在靜態(tài)線性環(huán)境下表現(xiàn)出色。相反,如今復(fù)雜的攻擊場(chǎng)景是動(dòng)態(tài)的、多途徑、非線性的。僅依靠機(jī)器學(xué)習(xí)網(wǎng)絡(luò)安全系統(tǒng)來被動(dòng)地識(shí)別某個(gè)攻擊環(huán)節(jié)已遠(yuǎn)遠(yuǎn)不夠。
深度強(qiáng)化學(xué)習(xí)是機(jī)器學(xué)習(xí)領(lǐng)域最令人興奮的主題之一,因?yàn)樗Y(jié)合了深度學(xué)習(xí)技術(shù)(比如卷積神經(jīng)網(wǎng)絡(luò))和強(qiáng)化學(xué)習(xí)。這是DeepMind的AlphaZero取得突破背后的核心方法。將深度強(qiáng)化學(xué)習(xí)應(yīng)用于網(wǎng)絡(luò)安全是應(yīng)對(duì)復(fù)雜威脅的關(guān)鍵一步。
深度強(qiáng)化學(xué)習(xí)系統(tǒng)的學(xué)習(xí)有點(diǎn)像人類。它們探索其環(huán)境(在網(wǎng)絡(luò)安全領(lǐng)域指事件空間),根據(jù)它們采取的行動(dòng)獲得反饋和獎(jiǎng)勵(lì),從而不斷學(xué)習(xí)。事實(shí)證明,這種自主方法非常適合復(fù)雜的對(duì)抗場(chǎng)景,有出色的有效性、通用性和適應(yīng)性。
機(jī)器學(xué)習(xí)網(wǎng)絡(luò)安全和物聯(lián)網(wǎng)
每年數(shù)百億個(gè)新的聯(lián)網(wǎng)設(shè)備上線,未來會(huì)有更多。然而,許多這類物聯(lián)網(wǎng)設(shè)備的計(jì)算或存儲(chǔ)容量有限,無法運(yùn)行端點(diǎn)網(wǎng)絡(luò)安全軟件,基于專有固件而建。這些設(shè)備還往往“無外設(shè)”,用戶訪問或更新設(shè)備上運(yùn)行的軟件的能力有限。由于這些原因,物聯(lián)網(wǎng)設(shè)備顯然很容易遭到網(wǎng)絡(luò)攻擊。
解決該問題的合理方法是在網(wǎng)絡(luò)層面及/或在云端運(yùn)行物聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)。然而,傳統(tǒng)的基于特征的網(wǎng)絡(luò)安全技術(shù)并非旨在解決物聯(lián)網(wǎng)設(shè)備安全問題。此外,目前大多數(shù)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品只是重新包裝的IDS、URL聲譽(yù)或加固版DNS服務(wù)而已。不過,將機(jī)器學(xué)習(xí)應(yīng)用于該領(lǐng)域方面出現(xiàn)了前沿工作。已設(shè)計(jì)出了高級(jí)模型,只需檢查少量數(shù)據(jù)包就能識(shí)別被感染的設(shè)備,從而能夠主動(dòng)檢測(cè)和阻止威脅。
最重要的創(chuàng)新常常出現(xiàn)在周邊學(xué)科領(lǐng)域的交匯處。眼下在機(jī)器學(xué)習(xí)領(lǐng)域和網(wǎng)絡(luò)安全領(lǐng)域都是令人興奮的時(shí)期。我們看到機(jī)器學(xué)習(xí)的強(qiáng)大功能被用來推動(dòng)網(wǎng)絡(luò)領(lǐng)域的重要?jiǎng)?chuàng)新,這些創(chuàng)新最終將幫助我們所有人更安全。