今天,如果不大大依賴機(jī)器學(xué)習(xí),部署強(qiáng)大的網(wǎng)絡(luò)安全解決方案是不可行的。同時(shí),如果沒(méi)有對(duì)數(shù)據(jù)集進(jìn)行徹底、豐富和全面的處理,就很難正確地使用機(jī)器學(xué)習(xí)。
MI可以被網(wǎng)絡(luò)安全系統(tǒng)用來(lái)識(shí)別模式并從中學(xué)習(xí),以檢測(cè)和防止重復(fù)攻擊,并適應(yīng)不同的行為。它可以協(xié)助網(wǎng)絡(luò)安全團(tuán)隊(duì)在預(yù)防危險(xiǎn)和應(yīng)對(duì)現(xiàn)場(chǎng)攻擊方面更加積極主動(dòng)。它可以幫助企業(yè)通過(guò)減少在平凡的任務(wù)中投入的時(shí)間,更有戰(zhàn)略性地使用他們的資產(chǎn)。
網(wǎng)絡(luò)安全中的機(jī)器學(xué)習(xí)
ML可用于網(wǎng)絡(luò)安全的不同領(lǐng)域,以改善安全程序,使安全分析師更簡(jiǎn)單地迅速發(fā)現(xiàn)、優(yōu)先處理、應(yīng)對(duì)和補(bǔ)救新的威脅,以便更好地理解以前的網(wǎng)絡(luò)攻擊,并建立適當(dāng)?shù)姆烙胧?/p>
自動(dòng)化任務(wù)
機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全中的潛力,可以簡(jiǎn)化重復(fù)性和耗時(shí)的過(guò)程,如分流情報(bào)、惡意軟件檢測(cè)、網(wǎng)絡(luò)日志分析和漏洞分析,這是一個(gè)重要的優(yōu)勢(shì)。通過(guò)在安全工作流程中加入機(jī)器學(xué)習(xí),企業(yè)可以更快地完成活動(dòng),并以僅靠人工能力無(wú)法做到的速度響應(yīng)和補(bǔ)救風(fēng)險(xiǎn)。通過(guò)自動(dòng)化重復(fù)性操作,客戶可以簡(jiǎn)單地?cái)U(kuò)大或縮小規(guī)模而不改變所需的人數(shù),從而降低費(fèi)用。
AutoML是一個(gè)術(shù)語(yǔ),用于描述使用機(jī)器學(xué)習(xí)來(lái)實(shí)現(xiàn)活動(dòng)自動(dòng)化的過(guò)程。當(dāng)開發(fā)中的重復(fù)過(guò)程被自動(dòng)化,以幫助分析師、數(shù)據(jù)科學(xué)家和開發(fā)人員提高生產(chǎn)力,這被稱為AutoML。
威脅檢測(cè)和分類
為了識(shí)別和應(yīng)對(duì)威脅,機(jī)器學(xué)習(xí)技術(shù)在應(yīng)用中被采用。這可以通過(guò)分析安全事件的大型數(shù)據(jù)集和尋找有害的行為模式來(lái)實(shí)現(xiàn)。當(dāng)可比較的事件被識(shí)別時(shí),ML就會(huì)使用訓(xùn)練有素的ML模型自主地處理它們。
例如,利用妥協(xié)指標(biāo),可以構(gòu)建一個(gè)數(shù)據(jù)庫(kù),為機(jī)器學(xué)習(xí)模型提供信息(IOC)。這些可以幫助實(shí)時(shí)監(jiān)測(cè)、識(shí)別和應(yīng)對(duì)威脅。惡意軟件活動(dòng)可以使用ML分類算法和IOC數(shù)據(jù)集進(jìn)行分類。
Darktrace的一項(xiàng)研究,一個(gè)基于機(jī)器學(xué)習(xí)的企業(yè)免疫解決方案,聲稱在WannaCry勒索軟件爆發(fā)期間阻止了攻擊,就是這樣一個(gè)應(yīng)用的例子。
網(wǎng)絡(luò)釣魚
傳統(tǒng)的網(wǎng)絡(luò)釣魚檢測(cè)算法不夠快或不夠準(zhǔn)確,無(wú)法識(shí)別和區(qū)分無(wú)害和惡意URL?;谧钚聶C(jī)器學(xué)習(xí)算法的預(yù)測(cè)性URL分類方法可以檢測(cè)表明欺詐電子郵件的趨勢(shì)。為了實(shí)現(xiàn)這一目標(biāo),模型接受了電子郵件標(biāo)題、正文數(shù)據(jù)、標(biāo)點(diǎn)符號(hào)模式等特征的訓(xùn)練,以便對(duì)有害和良性的行為進(jìn)行分類和區(qū)分。
WebShell
WebShell是一個(gè)惡意軟件塊,它被放入網(wǎng)站并允許用戶更改服務(wù)器的Web根文件夾。因此,攻擊者可以訪問(wèn)數(shù)據(jù)庫(kù)。結(jié)果,不良行為者能夠獲取個(gè)人詳細(xì)信息??梢允褂脵C(jī)器學(xué)習(xí)來(lái)識(shí)別常規(guī)的購(gòu)物車行為,并且可以對(duì)系統(tǒng)進(jìn)行編程以區(qū)分正常行為和惡意行為。
用戶行為分析(UBA)是正常安全措施的補(bǔ)充層,可提供全面的可見性、檢測(cè)帳戶泄露以及緩解和檢測(cè)惡意或異常內(nèi)部行為,也是如此。用戶行為模式使用機(jī)器學(xué)習(xí)算法進(jìn)行分類,以確定什么是自然行為并檢測(cè)異常活動(dòng)。如果網(wǎng)絡(luò)上的設(shè)備執(zhí)行了一個(gè)意外的行動(dòng),如工人在深夜登錄、不可靠的遠(yuǎn)程訪問(wèn)或異常大量的下載,該行動(dòng)和用戶將根據(jù)其行為、模式和時(shí)間被分配一個(gè)風(fēng)險(xiǎn)等級(jí)。
網(wǎng)絡(luò)風(fēng)險(xiǎn)計(jì)分
為網(wǎng)絡(luò)段分配風(fēng)險(xiǎn)等級(jí)的定量方法有助于組織確定資源的優(yōu)先次序。ML可用于檢查先前的網(wǎng)絡(luò)攻擊數(shù)據(jù)集,并發(fā)現(xiàn)哪些網(wǎng)絡(luò)區(qū)域更經(jīng)常成為某些攻擊的目標(biāo)。對(duì)于一個(gè)特定的網(wǎng)絡(luò)區(qū)域,這個(gè)分?jǐn)?shù)可以幫助評(píng)估攻擊的機(jī)會(huì)和影響。因此,組織不太可能成為未來(lái)攻擊的目標(biāo)。
在做公司剖析時(shí),你必須確定哪些領(lǐng)域如果被破壞,會(huì)毀掉你的公司。它可能是CRM系統(tǒng)、會(huì)計(jì)軟件或銷售系統(tǒng)。這都是為了確定你的業(yè)務(wù)中哪些領(lǐng)域是最脆弱的。例如,如果人力資源部門遭受挫折,你的公司可能有一個(gè)低風(fēng)險(xiǎn)評(píng)級(jí)。然而,如果你的石油交易系統(tǒng)出現(xiàn)故障,你的整個(gè)行業(yè)可能會(huì)隨之崩潰。每個(gè)企業(yè)都有自己的安全方法。而一旦你掌握了一個(gè)公司的錯(cuò)綜復(fù)雜的情況,你就會(huì)知道應(yīng)該保護(hù)什么。如果發(fā)生了黑客攻擊,你就會(huì)知道該優(yōu)先處理什么。
人與人之間的互動(dòng)
眾所周知,計(jì)算機(jī)在解決復(fù)雜問(wèn)題和自動(dòng)化人們可能完成的事情方面非常出色,而PC則擅長(zhǎng)于此。盡管人工智能主要與計(jì)算機(jī)有關(guān),但人們需要做出有根據(jù)的判斷并接受命令。因此,我們可以得出結(jié)論,人不能被機(jī)器取代。機(jī)器學(xué)習(xí)算法在解釋口語(yǔ)和識(shí)別人臉?lè)矫娣浅3錾鼈冏罱K仍然需要人。
結(jié)論
機(jī)器學(xué)習(xí)是一項(xiàng)強(qiáng)大的技術(shù)。然而,它并不是靈丹妙藥。關(guān)鍵是要記住,雖然技術(shù)在不斷進(jìn)步,人工智能和機(jī)器學(xué)習(xí)也在飛速發(fā)展,但技術(shù)的強(qiáng)大程度僅次于管理和使用它的分析人員的大腦。
惡意的人總是會(huì)改進(jìn)他們的技能和技術(shù),以識(shí)別和利用缺陷。為了能夠正確和快速地識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)威脅,將最好的技術(shù)和程序與行業(yè)專業(yè)知識(shí)相結(jié)合是至關(guān)重要的。