本文來自微信公眾號“安在”,作者/綿總。
當(dāng)下,機器學(xué)習(xí)(ML)幾乎是所有IT部門的常用術(shù)語。盡管ML經(jīng)常被用來解釋大數(shù)據(jù),以提高業(yè)務(wù)效率和流程,并輔助預(yù)測,但它在其他應(yīng)用中也被證明是無價的,其中包括網(wǎng)絡(luò)安全。
本文將分享ML在網(wǎng)絡(luò)安全中變得如此重要的原因,分享這一技術(shù)應(yīng)用的一些挑戰(zhàn),以及機器學(xué)習(xí)所帶來的未來。
01
為什么機器學(xué)習(xí)對網(wǎng)絡(luò)安全至關(guān)重要?
如今,許多組織擁有越來越多的物聯(lián)網(wǎng)(IoT)設(shè)備,這些設(shè)備并非全部都由IT所知或管理;在多云和混合云的環(huán)境下,組織的數(shù)據(jù)和應(yīng)用程序也都不是在本地運行的;遠程辦公廣泛接受,用戶所處環(huán)境不在是辦公室。這些網(wǎng)絡(luò)安全形勢使機器學(xué)習(xí)的作用變得重要。
此前,企業(yè)通常依賴基于簽名的惡意軟件檢測、網(wǎng)絡(luò)流量的靜態(tài)防火墻規(guī)則和訪問控制列表(ACL)來定義安全策略。在一個設(shè)備、環(huán)境越來越多的世界里,檢測潛在安全風(fēng)險的舊方法無法跟上當(dāng)前逐漸擴大的內(nèi)網(wǎng)規(guī)模、設(shè)備范圍和復(fù)雜性的步伐。
機器學(xué)習(xí)指的是以從大量數(shù)據(jù)中自動學(xué)習(xí)的訓(xùn)練模型,從學(xué)習(xí)中,系統(tǒng)可以識別趨勢、發(fā)現(xiàn)異常、提出建議并最終執(zhí)行操作。為了應(yīng)對組織面臨的所有新的安全挑戰(zhàn),需要利用機器學(xué)習(xí)來彌補人力的缺失。在面對日益增多的網(wǎng)絡(luò)安全挑戰(zhàn)時,機器學(xué)習(xí)可以做到包括擴大安全解決方案、檢測未知攻擊、檢測高級攻擊等等。特別是高級惡意軟件,這種攻擊可以通過改變形式的方式逃避檢測,使用傳統(tǒng)的、基于簽名的安全檢測手段在面對此類攻擊時會非常困難,而ML卻被證明是對抗它的最佳解決方案。
02
在網(wǎng)絡(luò)安全領(lǐng)域里,機器學(xué)習(xí)有何不同?
機器學(xué)習(xí)被廣泛理解并應(yīng)用于許多領(lǐng)域,其中最受歡迎的是用于識別的圖像處理和自然語言處理(NLP),以幫助識別人或文本的意思。
網(wǎng)絡(luò)安全在某些方面不同于機器學(xué)習(xí)在其他領(lǐng)域中的用例。在網(wǎng)絡(luò)安全中利用機器學(xué)習(xí)有其自身的挑戰(zhàn)和需求。解下來,本文將討論M應(yīng)用于網(wǎng)絡(luò)安全的三個獨特挑戰(zhàn),以及網(wǎng)絡(luò)安全中三個常見但更嚴(yán)峻的挑戰(zhàn)。
03
將ML應(yīng)用于網(wǎng)絡(luò)安全的三大挑戰(zhàn)
挑戰(zhàn)1:細粒度要求更高。例如,如果只是在做圖像處理,系統(tǒng)將狗誤認(rèn)為貓,這可能會很帶來一定影響,但不會造成嚴(yán)重的后果。然而,如果機器學(xué)習(xí)系統(tǒng)將欺詐數(shù)據(jù)包誤認(rèn)為是合法數(shù)據(jù)包,從而導(dǎo)致其對醫(yī)院及醫(yī)療設(shè)施展開攻擊,就可以會帶來嚴(yán)重的后果。
每天,組織都會有大量數(shù)據(jù)包通過防火墻。即使只有0.1%的數(shù)據(jù)被機器學(xué)習(xí)誤分類,也會對業(yè)務(wù)造成影響,實際上,機器學(xué)習(xí)的細粒度會導(dǎo)致大量正常流量被阻止,那么業(yè)務(wù)將受到嚴(yán)重影響。換句話說,在機器學(xué)習(xí)的早期,一些組織會擔(dān)心模型不會像人力那樣準(zhǔn)確。它需要時間,也需要大量的數(shù)據(jù)來訓(xùn)練機器學(xué)習(xí)模型,使其達到與真正熟練的人類所具有的相同的精度水平。然而,真正熟練的人類是當(dāng)今IT領(lǐng)域最稀缺的資源之一,而訓(xùn)練成熟的ML可以幫助組織有效地擴大網(wǎng)絡(luò)安全解決方案的規(guī)模。此外,ML還可以幫助組織檢測人類難以檢測的未知攻擊,因為ML可以建立基線行為并檢測任何偏離基線的異常。
挑戰(zhàn)2:獲取大量訓(xùn)練數(shù)據(jù),尤其是標(biāo)記數(shù)據(jù)。機器學(xué)習(xí)需要大量數(shù)據(jù)才能使模型和預(yù)測更加準(zhǔn)確。但是,獲取惡意軟件樣本比在圖像處理和NLP中獲取數(shù)據(jù)要困難得多。另外,因為許多安全風(fēng)險數(shù)據(jù)是敏感的,存在隱私問題的,所以機器學(xué)習(xí)很難獲得足夠多的數(shù)據(jù)樣本進行學(xué)習(xí)。
挑戰(zhàn)3:真值。與圖像不同,網(wǎng)絡(luò)安全的真值可能并不總是可用的或固定的、網(wǎng)絡(luò)安全形勢一直在變化,沒有一個惡意軟件數(shù)據(jù)庫可以聲稱覆蓋世界上所有的惡意軟件,而且隨時都會產(chǎn)生更多的惡意軟件。為了確保ML的準(zhǔn)確性,我們應(yīng)該比較的真值是什么?
04
ML在網(wǎng)絡(luò)安全領(lǐng)域所面臨的三大挑戰(zhàn)
在所有領(lǐng)域,ML都會面臨挑戰(zhàn),但在網(wǎng)絡(luò)安全方面,ML所面臨的挑戰(zhàn)更為嚴(yán)峻。
挑戰(zhàn)1:機器學(xué)習(xí)模型的可解釋性。全面了解機器學(xué)習(xí)的結(jié)果對組織采取適當(dāng)行動的能力至關(guān)重要。
挑戰(zhàn)2:人才稀缺。為了使ML在任何領(lǐng)域都有效,必須將領(lǐng)域知識與ML專業(yè)知識相結(jié)合。無論是ML還是安全,都缺乏人才,很難找到既懂ML又懂安全的專家。因此,ML數(shù)據(jù)科學(xué)家與安全研究人員之間的合作就顯得格外重要,即使他們不會說相同的語言,使用不同的方法,擁有不同的思維方式和方法。但對他們來說,學(xué)會彼此合作是非常重要的,因為這兩個小組之間的合作是將ML成功應(yīng)用于網(wǎng)絡(luò)安全的關(guān)鍵。
挑戰(zhàn)3:ML安全。由于網(wǎng)絡(luò)安全在每一項業(yè)務(wù)中都扮演著至關(guān)重要的角色,因此更重要的是確保在網(wǎng)絡(luò)安全中應(yīng)用的ML本身是安全的。學(xué)術(shù)界已經(jīng)在這方面進行了研究,也感謝那些為保護ML模型和數(shù)據(jù)的專家所做出的貢獻
機器學(xué)習(xí)的目標(biāo)是提高安全的效率和可擴展性,以幫助節(jié)省勞動力和防止未知攻擊。使用人工很難擴展到數(shù)十億臺設(shè)備,但機器學(xué)習(xí)卻可以很容易的做到這一點。這是組織在不斷升級的威脅環(huán)境中真正需要保護自己所具備的規(guī)模。ML對于檢測許多關(guān)鍵基礎(chǔ)設(shè)施中的未知攻擊也至關(guān)重要,因為關(guān)基涉及民生,涉及社會及政府的穩(wěn)定,不容有失。
05
機器學(xué)習(xí)如何實現(xiàn)網(wǎng)絡(luò)安全的未來
機器學(xué)習(xí)以多種不同方式支持現(xiàn)代網(wǎng)絡(luò)安全解決方案。就個人而言,每一項都是有價值的,它們共同改變了在動態(tài)威脅環(huán)境中保持強大安全態(tài)勢的游戲規(guī)則。
識別和分析:隨著新設(shè)備一直連接到企業(yè)網(wǎng)絡(luò),IT組織很難了解所有的設(shè)備。機器學(xué)習(xí)可用于識別和配置網(wǎng)絡(luò)上的設(shè)備,并確定給定設(shè)備的不同功能和行為。
自動異常檢測:機器學(xué)習(xí)可以快速識別已知的不良行為,在第一次分析設(shè)備并了解常規(guī)活動之后,機器學(xué)習(xí)就會知道什么是正常的,什么是不正常的。
0DAY檢測:在傳統(tǒng)安全系統(tǒng)中,必須至少發(fā)現(xiàn)一次不良行為,才能將其識別為不良行為。這就是傳統(tǒng)的、基于簽名的惡意軟件檢測方式。機器學(xué)習(xí)可以智能地識別未知形式的惡意軟件和攻擊,以幫助保護組織免受潛在的0DAY攻擊。
大規(guī)模洞察:由于數(shù)據(jù)和應(yīng)用程序分布在許多不同的位置,因此單憑人力是不可能識別大量的設(shè)備和數(shù)據(jù)。機器學(xué)習(xí)可以做人類做不到的事情,實現(xiàn)大規(guī)模洞察的自動化。
政策建議:建立安全政策的過程通常是一項非常人工的工作。通過了解設(shè)備和正常行為,機器學(xué)習(xí)可以幫助為安全設(shè)備(包括防火墻)提供策略建議。機器學(xué)習(xí)不必為不同的設(shè)備和網(wǎng)絡(luò)段手動制造不同的沖突訪問,而是可以自動化的提出具體的建議。
06
結(jié)語
隨著越來越多的設(shè)備的上線和威脅的產(chǎn)生,安全所需的人力資源極度匱乏,只有機器學(xué)習(xí)才能對復(fù)雜的情況和場景進行大規(guī)模分類,使組織能夠應(yīng)對當(dāng)前和未來幾年的網(wǎng)絡(luò)安全挑戰(zhàn)。