机器学习在信息安全领域的5个最佳应用实践

表面上机器学习被定义为“计算机能够在没有明确编程的情况下学习的能力”。本质上机器学习技术是在大数据集中基础上使用数学技术,通过算法构建行为模型,并将这些模型用作基于新输入数据对未来的基础预测。比如Netflix根据您以前的观看历史记录推荐新的电视连续剧,以及自行驾驶的汽车从与行人相近的路途中了解道路情况。

那么,信息安全中的机器学习应用程序是什么?

原则上,机器学习可以帮助企业更好地分析威胁并响应攻击和安全事件。它还可以帮助技能不足的安全团队自动执行更加琐碎的任务。

随后,安全机器学习是一个快速增长的趋势。ABI Research的分析师预计,到2021年,网络安全机器学习将推动大数据、人工智能(AI)和分析的支出达到960亿美元,而全球一些技术巨头已经使用机器学习技术争取更好地保护自己的客户。

Google正在使用机器学习来分析针对Android上运行的移动终端的威胁,并且从受感染的手机中识别和移除恶意软件。而云基础架构巨头亚马逊已经收购了初创收获harvest.AI,并推出了一项使用机器学习的发现服务Macie,分类存储在S3云存储服务上的数据。

同时,企业安全厂商一直在努力将机器学习融入到新旧产品中,以改进恶意软件检测。“大多数安全领域的主流公司已经从几年前纯粹的“基于签名”的恶意软件检测,转移到一个机器学习系统,该系统试图解释行为和事件,并从各种来源获知什么是安全和不安全,“J. Gold Associates的总裁兼首席分析师Jack Gold说。“这仍然是一个新生领域,但它显然是未来的走向。人工智能和机器学习将极大地改变安全性。“

虽然这种转变不会在一夜之间发生,但机器学习已经在某些领域出现了。“AI作为包括机器学习和深度学习在内的更广泛的定义,处于网络防御的早期阶段,目前最明确的应用是来识别恶意活动模式,无论是在终端、网络、欺诈还是在SIEM,” Dudu Mimran,德国电信创新实验室的首席技术官认为。“我相信我们会看到越来越多在防范服务中断,溯源和用户行为修改方面的应用。”

以下我们分别介绍安全机器学习的最佳用例。

1.使用机器学习来检测恶意活动并阻止攻击

机器学习将帮助企业更快地检测恶意活动并在开始之前阻止攻击。大卫帕尔默是英国新创公司Darktrace的技术总监,该公司自2013年成立以来,在其基于机器学习的企业免疫解决方案方面取得了很大的成功。

帕尔默表示,Darktrace最近帮助北美的一家赌场,利用机器学习技术检测到一个数据泄露攻击,该攻击使用了“水孔”作为攻击入口。该公司还声称在去年夏天的Wannacry勒索软件危机期间阻止了类似攻击。

“我们的算法在一个NHS代理网络中几秒钟内发现了这种攻击,并且使威胁得到缓解,而不会对该组织造成任何损害。”他说WannaCry勒索软件感染了150个国家的20多万名受害者。“事实上,我们的所有客户都没有受到WannaCry攻击的伤害,即使没有修补相关补丁。”

2.使用机器学习来分析移动终端

机器学习已经成为移动设备上的主流技术应用,但迄今为止,大部分活动都是为了推动Google Now、Apple Siri和亚马逊Alexa等改进的基于语音的体验。在安全领域的应用,如上面提到的Google正在使用机器学习来分析针对移动端点的威胁。

10月,MobileIron和Zimperium宣布合作,帮助企业采用基于机器学习的移动反恶意软件解决方案。MobileIron表示将整合Zimperium的基于机器学习的威胁检测与MobileIron的安全与合规性引擎,并销售组合解决方案,解决诸如检测设备、网络和应用威胁等挑战,并立即采取自动行动来保护公司数据。

其他厂商也在寻求支持他们的移动解决方案,Zimperium、LookOut、Skycure(已被赛门铁克收购)和Wandera被认为是移动威胁检测和防御市场的领导者。每个都使用自己的机器学习算法来检测潜在的威胁。例如,Wandera最近公开发布了它的威胁检测引擎MI:RIAM,据报道它检测到400多种针对企业移动车队的重新包装的SLocker勒索软件。

3.使用机器学习来增强人的分析能力

作为安全机器学习的核心,人们相信围绕威胁情报可以帮助人类分析师处理各方面的工作,包括检测恶意攻击、分析网络、端点保护和漏洞评估。

例如,麻省理工学院的计算机科学和人工智能实验室(CSAIL)于2016年开发了一个称为AI 2的系统,这是一个自适应机器学习安全平台,帮助分析师做到那些类似“大海捞针”的工作。每天检查数百万次登录,系统能够过滤数据并将其传递给人类分析师,从而将警报降低至每天大约100次。由CSAIL和初创公司PatternEx进行的实验表明,攻击检测率升至85%,误报率降低了5倍。

4.使用机器学习来自动执行重复的安全任务

机器学习的真正好处是它可以自动执行重复任务,使工作人员能够专注于更重要的工作。帕尔默说,机器学习最终应该旨在“消除人类做重复的,低价值的决策活动的需求,例如分发威胁情报。“让机器处理重复性工作和战术灭火,例如阻断勒索软件,这样人们就可以腾出时间来处理战略问题。”

博思艾伦汉密尔顿已经走上了这条路,据报道使用人工智能工具更有效地分配安全人力资源,分散威胁,以便工作人员可以专注于最关键的攻击。

5.使用机器学习来关闭零日漏洞

一些人认为,机器学习可以帮助弥补漏洞,特别是零日威胁和其他针对主要不安全物联网设备的威胁。在这方面已经有了积极的工作:根据福布斯的报道,亚利桑那州立大学的一个团队使用机器学习来监控暗网上的流量,以识别与零日攻击有关的数据。有了这种洞察力,组织可以潜在地关闭漏洞,并在补丁漏洞导致数据泄露之前停止。

文章来源:CSOonline

About the Author

发表评论