当 网 络 安 全 遇 见 机 器 学 习

  在我们看似平常的每一天,网络空间中都发生着无数的攻击与入侵,每天发生的病毒攻击以及新的数量也都极其之多。然而大多数时候,这些无处不在的威胁只有专业的团队、媒体才会知晓。面对这些看不见的硝烟,网络安全所面临的挑战仍旧显得十分巨大。

  技术的进步让我们对网络攻击和入侵的防御也在不断的演进,然而,类似Wannacry勒索病毒的爆发也让我们对安全提出了新的思考:我们究竟应该如何应对日益复杂多变的网络安全世界?

  近几年,机器学习以及人工智能技术逐渐被应用到网络安全中,这为网络安全的防御带来了新的思路。其实,利用机器学习和数据统计的方法在网络安全中早已有相关实践,他们最早被用于进行入侵检测及对垃圾邮件进行技术分类等。但在2000年以后,随着移动互联网发展,大量的设备产生各式各样的日志,在日志管理和分析上面,业界有了长足的发展。大量的机器学习的算法、关联分析等等应运而现。器学习进行并购分析,进行用户的异常行为分析开始变得普及,也为机器学习本身带来了变革。

  亚信安全产业技术研究院副院长童宁认为,机器学习分为有监督的学习和无监督学习模式。有监督的学习,实际上用人工将数据进行分类,然后将分好类别的数据进行训练,投入到学习算法,然后看训练的结果好不好。有监督的机器学习有人为的因素在里面。而无监督学习,则是直接把数据拿过来,把特征抽出来,直接进行分析。在算完之后能够将相似的东西聚在一起,然后通过人工的专家检查定性。

  因此,童宁认为,对于机器学习来说, 最关键的两个因素是:必须持续性的拥有高质量的数据,还要要有各个领域解决问题的专家,如在网络安全方面,要抽取哪些特征进行学习,这就是由网络安全专家所找出来的。

  黑白名单技术可以看做是有监督学习在网络安全当中一维特征的应用,后来,又发展到是用字符串进行匹配的二维特征。而如今,我们面对的很多技术是多维的,那么多维包括三维分析技术等一个致命的缺点就是开销太大、效率低下,从而不能达到客户的需求。

  童宁认为:有监督的机器学习在网络安全的应用中面临很大的挑战,第一个挑战,一是模型的新鲜度,威胁在天天变,而机器是不是天天学?否则,机器将无法识别出威胁。第二是精度的问题,包括正确率、也包括漏掉了多少。因此,将机器学期调整到一个很好的控制的环境是一个很大的挑战。“我们关于生死攸关的时候,灾害本身比病毒还要危害大。”童宁说道。

  无监督学习在网络安全中的应用又如何呢?童宁表示:无监督学习的大部分的数据来源是从客户软件里面而来,在学习的过程中间,机器必须适应客户网络的情况。如:这些流量里面,哪些是属于业务单位的?哪些是运维单位的?都可以通过一些方法发现。如特征的抽取,客户环境中的网络流量、业务流量、审计流量、算法的选择,关联分析算法、学习的地点客户网络,模型等等。

  而无监督学习同样面临很大的挑战。无监督的机器学习是在客户的环境里去学习,其有可能面临投毒攻击;其次,客户环境里学,一般需要学几个星期甚至几个月,对于厂商而言投入较高。此外,厂商本身无法运维,机器学习的模型本身更新也比较慢,需要有一些专业的人士参与进去。

  面对这样的挑战,童宁认为:这就像是对一个工具而言,工具的升级,是可以带来实实在在的东西。如今,亚信安全在机器学习方面已经有了很好的实践。包括在有监督学习方面对恶意程序及勒索病毒的防治、防治垃圾邮件。无监督学习应用在UBA用户行为分析、态势感知、以及反欺诈等。

  机器学习无疑为网络安全拓展的新的思路与途径,而正如前所述,机器学习对于网络安全而言就像是一个工具,工具会不断的发展升级,而如何去运用好一个工具,则是我们接下来应该继续探索的方向。

第 1 /  10 页
点击查看余下全文