【51CTO.com快譯】近期，專家們分享了一些有關(guān)數(shù)據(jù)完整性、模式識別和計算能力的最佳實踐，來幫助企業(yè)充分利用基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全技術(shù)。

[[179950]]

一、輸入無用則輸出必?zé)o用

網(wǎng)絡(luò)安全初創(chuàng)企業(yè)Cylance的Matt Wolff說：在機(jī)器學(xué)習(xí)領(lǐng)域，有句老話叫做“無用的輸入導(dǎo)致無用的輸出”。對于機(jī)器學(xué)習(xí)所處的環(huán)境而言，那些無法產(chǎn)生足夠多的數(shù)據(jù)以供其深入了解所處網(wǎng)絡(luò)的各種狀態(tài)的地方，則并非是有效果之處。

Wolff說：“只要數(shù)據(jù)能被呈現(xiàn)而且有用，那么機(jī)器學(xué)習(xí)就能隨之變得有用。然而，如果數(shù)據(jù)本身并無任何信息含量，則機(jī)器學(xué)習(xí)也不會隨著進(jìn)行運(yùn)作。”

IDC安全策略部的研究副總裁Pete Lindstrom 說：“我看好機(jī)器學(xué)習(xí)的契機(jī)。但據(jù)我所知，當(dāng)前并無已查出的跡象證明，這種技術(shù)是肯定要比我們當(dāng)前所使用的其他用來檢測攻擊的技術(shù)更為優(yōu)越。”

輸入與輸出

Lindstrom說：組織最需要的可能就是使用機(jī)器學(xué)習(xí)來快速應(yīng)對攻擊。然而，卻有過多的各種類型的信息被饋入到了安全生態(tài)系統(tǒng)。例如：網(wǎng)絡(luò)包的活動信息、端點上的系統(tǒng)調(diào)用、以及網(wǎng)絡(luò)上元數(shù)據(jù)級別的用戶行為數(shù)據(jù)。因此，人們首先需要找出的是什么樣的信息正在被饋入到系統(tǒng)中。

他進(jìn)一步說：“你還必須理解的輸入和輸出，包括：被饋入系統(tǒng)的數(shù)據(jù)是什么性質(zhì)和類型的?它們使用什么樣的流程和技術(shù)來確定算法?以及它們可能會采取什么樣行動?”

“網(wǎng)絡(luò)安全分析師所面臨的挑戰(zhàn)是：由于這些技術(shù)的性質(zhì)是如此動態(tài)變化的，以至于完全不能夠想當(dāng)然的認(rèn)為，它們的輸出就和其它的輸出是如出一轍的。”Lindstrom解釋道：“你不應(yīng)指望未經(jīng)過自己認(rèn)真測試的解決方案去發(fā)揮功效。如果其目的是尋找網(wǎng)絡(luò)上的異?；顒拥脑?，那么唯一用來確定何為網(wǎng)絡(luò)異常的方法就是去讓其學(xué)習(xí)您自己的網(wǎng)絡(luò)，而不能將其放置到別人的網(wǎng)絡(luò)并應(yīng)用之。否則我們很可能將退回到那種基于簽名特征的防御模式了。”

遞增的復(fù)雜性

如果安全專業(yè)人員不夠小心，他們可以會因為對流程缺乏理解，而將日益遞增復(fù)雜性予以削減，而其輸出將會和我們?nèi)缃袼\(yùn)用的安全工具大為相同。Lindstrom客觀的補(bǔ)充道：“但話說也回來，這其實并不可怕，因為我們今天的解決方案已經(jīng)能阻斷很多攻擊了。”

二、機(jī)器學(xué)習(xí)不僅僅是發(fā)現(xiàn)模式

機(jī)器學(xué)習(xí)被普遍認(rèn)為是模式的識別，其重點是識別數(shù)據(jù)的模式和規(guī)律。Cylance公司的Matt Wolff說：“雖然有些算法并非簡單的模式匹配，但我是不會限制機(jī)器學(xué)習(xí)去尋找和發(fā)現(xiàn)模式的。”

作為組織的保衛(wèi)者，安全分析師們試圖在第一時間阻止事件的發(fā)生，或能極快的做出響應(yīng)。Wolff指出：但是只要有人工參與做決策，就需要花費(fèi)大量的時間去從事數(shù)據(jù)分析。然而，隨著機(jī)器學(xué)習(xí)方法的引入，只要數(shù)據(jù)一旦被產(chǎn)生，分析人員就能盡快的做出決策。

Wolff 也提到：因為沒有人工干預(yù)而全靠軟件控制，機(jī)器學(xué)習(xí)可以針對攻擊做出非?？焖俚姆磻?yīng)或?qū)崟r防御措施。數(shù)據(jù)一旦被生成，各種反應(yīng)措施就會瞬間發(fā)生。這一點很重要的，因為您本來可以通過人工智能的方式自動阻斷攻擊的破壞，但是如果你在行動上引入人工的決斷因素的話，那么在做出決斷的時候則可能已經(jīng)太遲了。數(shù)據(jù)可能會按照攻擊者的意圖泄露或被盜取。

機(jī)器學(xué)習(xí)潛在的洞察能力已經(jīng)達(dá)到了人類所無法企及的程度。一位專家級安全分析師在他或她的職業(yè)生涯中可能會審查100000個事件，并找出與事件相關(guān)的數(shù)據(jù)。而機(jī)器學(xué)習(xí)的算法則能很快發(fā)現(xiàn)成千上萬的事件。Wolff解釋說：所以，鑒于機(jī)器學(xué)習(xí)能迅速收集到過去發(fā)生的一切，而單獨一個分析師可能在其有生之年永遠(yuǎn)不會有足夠的時間達(dá)到一個機(jī)器學(xué)習(xí)模型所能獲取的數(shù)據(jù)級單位。

他補(bǔ)充說：“只要有足夠的數(shù)據(jù)支撐，機(jī)器學(xué)習(xí)可以快速獲得大量的經(jīng)驗。而且機(jī)器學(xué)習(xí)所尋找的信息可能是那些人類分析師所錯過了的。”

三、生成一個機(jī)器學(xué)習(xí)模型需要強(qiáng)大的計算能力

如果您在處理的事務(wù)涉及到大數(shù)據(jù)或相當(dāng)龐大的數(shù)據(jù)集，那么您要確保你有計算能力來進(jìn)行機(jī)器學(xué)習(xí)。因為它需要通過數(shù)據(jù)學(xué)習(xí)來訓(xùn)練出一種計算密集型的模型。Wolff說：“通常情況下，您是不能在您的筆記本電腦上這樣做的。多數(shù)情況下，您需要計算機(jī)的集群來進(jìn)行計算建模。”憑借云服務(wù)提供商提供的服務(wù)器集群，您可以自由的上下擴(kuò)容。另外，一些像微軟Azure的服務(wù)還能提供一個機(jī)器學(xué)習(xí)的庫以便公司進(jìn)行部署。

如果您想在自己的組織內(nèi)購買機(jī)器學(xué)習(xí)而且您有大量的數(shù)據(jù)的話，那么您很有可能會需要一個集群來運(yùn)行它們。至于是否需用單顆CPU或GPU的集群，則完全取決于您想做什么類型的建模。

舉例來說，Cylance公司就是通過有著強(qiáng)大計算處理能力的云計算平臺來對其技術(shù)進(jìn)行訓(xùn)練的。這些模型的優(yōu)點是：一旦您訓(xùn)練了它們，而它們也學(xué)習(xí)到了，那么它們就只需要占有較少的CPU，就能告知您要了解的事務(wù)了。Wolff說： Cylance在云端使用數(shù)百臺機(jī)器來訓(xùn)練其模型。一旦它們完成學(xué)習(xí)，您就可以將該技術(shù)置于普通筆記本電腦上，用常規(guī)CPU運(yùn)行了。

四、需指導(dǎo)還是無指導(dǎo)的學(xué)習(xí)?這取決于您

在機(jī)器學(xué)習(xí)領(lǐng)域有兩大陣營：那些堅持需要指導(dǎo)式學(xué)習(xí)的和那些推崇無需指導(dǎo)式學(xué)習(xí)的。專家建議您根據(jù)您的資源和環(huán)境去選擇一個最適合您組織的。

在指導(dǎo)學(xué)習(xí)的模式下,分析師可以幫助進(jìn)行系統(tǒng)的訓(xùn)練。而無指導(dǎo)學(xué)習(xí)則是自主的，它使用的一套算法并從其數(shù)據(jù)集中進(jìn)行自行學(xué)習(xí)。

“就像每一個免疫系統(tǒng)是不同的那樣，每一個網(wǎng)絡(luò)也是不一樣的。” 網(wǎng)絡(luò)安全初創(chuàng)公司Darktrace的網(wǎng)絡(luò)智能總監(jiān)Justin Fier如是說。Darktrace是運(yùn)用生物免疫系統(tǒng)原理來進(jìn)行自我學(xué)習(xí)的軟件開發(fā)商，它使用的就是無需指導(dǎo)式的機(jī)器學(xué)習(xí)。

Fier說：“任何擁有足夠多的資源和耐心的對手都能跨越您的系統(tǒng)邊境。我們所采取的方法就正如您自身的免疫系統(tǒng)那樣，產(chǎn)生自我意識。”。一旦它被部署到一個網(wǎng)絡(luò)中，公司的企業(yè)免疫系統(tǒng)會持續(xù)學(xué)習(xí)到什么是網(wǎng)絡(luò)的正常狀態(tài)。通過這種方式，分析師就能夠?qū)崿F(xiàn)以“大海撈針”的模式篩選出不屬于正常狀態(tài)的微小異常了。

“我們使用的是無需指導(dǎo)的方式，意味著我們并不人工幫助去訓(xùn)練設(shè)備。只要任由設(shè)備按照一般生命體的模式去學(xué)習(xí)到各種數(shù)據(jù)的不同特點，以便我們后期進(jìn)行攝取和建模，那么所有這些都可以在沒有任何人工訓(xùn)練的狀態(tài)下無指導(dǎo)的完成。”

“我不會去妄評哪個方法更好，”Fier解釋道。這完全歸結(jié)為資源。曾經(jīng)一次，F(xiàn)ier為一家舉辦體育賽事的公司部署Darktrace的proof-of-value技術(shù)產(chǎn)品。對方網(wǎng)絡(luò)管理員忙得都要抓狂了。他曾形容他鋪設(shè)的光纜都足夠往返月球五次了。因此，他根本沒有時間去做proof-of-value產(chǎn)品的評估。

Fier說：“我們幫助他將Darktrace工具植入網(wǎng)絡(luò)并將數(shù)據(jù)指向該設(shè)備，就這么簡單。我們并不需要花時間去建立配置文件或告訴工具做什么。它已經(jīng)內(nèi)置了可以從數(shù)據(jù)中進(jìn)行學(xué)習(xí)的能力。”

一種方法真的會比另一種好嗎?這取決于您想要部署的環(huán)境。他還說：“我寧可選用無需指導(dǎo)的方式，因為我不需要分配一個團(tuán)隊的人去進(jìn)行設(shè)置，并數(shù)據(jù)集訓(xùn)練該設(shè)備。”

五、機(jī)器學(xué)習(xí)可為防止惡意軟件提供預(yù)執(zhí)行能力

各家公司都采用多種技術(shù)來保護(hù)他們的IT基礎(chǔ)設(shè)施免受惡意軟件的攻擊。例如：傳統(tǒng)的基于特征碼的檢測方法、沙盒技術(shù)和現(xiàn)如今的機(jī)器學(xué)習(xí)。新型安全公司CrowdStrike的Sven Krasser 指出：他的公司和其他安全廠商就是通過機(jī)器學(xué)習(xí)所提供的預(yù)執(zhí)行技術(shù)來提供惡意軟件攻擊的防護(hù)的。

例如：CrowdStrike的工具可以確定惡意代碼的存在，而不依賴于簽名、檢測那些已知和未知或是零日攻擊的惡意軟件。運(yùn)用機(jī)器學(xué)習(xí)，您可以創(chuàng)建一個引擎或是算法，來理解什么是零日的或者惡意的攻擊。與使用簽名截然相反的是，機(jī)器學(xué)習(xí)允許分析師查看某一個事件的所有有關(guān)數(shù)據(jù)，并依據(jù)其檢測迅速的做出決定。Krasser如是說。

各個公司的另一個逐漸增長的擔(dān)憂是高級持續(xù)性威脅(APT)，即一個未經(jīng)授權(quán)的人獲得網(wǎng)絡(luò)訪問權(quán)限，并能保持長期不被發(fā)現(xiàn)的狀態(tài)。而其目的是為了竊取數(shù)據(jù)而不是對網(wǎng)絡(luò)或組織造成破害。

“在應(yīng)對各種APT時，您需要意識到的是您所對付的是人類。他們只需要登錄到公司網(wǎng)絡(luò)的一臺機(jī)器上，然后橫向移動至其他設(shè)備上。”Krasser說。“公司面對的這種風(fēng)險是一種持久性的威脅，所以光檢測該威脅本身是遠(yuǎn)遠(yuǎn)不夠的。”

公司必須不斷監(jiān)控這些類型的攻擊。盡管機(jī)器學(xué)習(xí)仍然是防御APT攻擊的一部分，而公司需要應(yīng)用一些高級別的機(jī)器學(xué)習(xí)的技術(shù)。例如：CrowdStrike公司就在端點系統(tǒng)上使用一個“攻擊指標(biāo)”的檢測方法，其重點是檢測攻擊者想要達(dá)到的目的，而不管惡意軟件是否在攻擊中被利用了。

舉個例子：攻擊者可能部署一個矛式釣魚的攻擊，來誘使受害者點擊一個可以感染機(jī)器的鏈接或是打開一個文檔。一旦得逞，攻擊者將默默的執(zhí)行另一個能夠藏在內(nèi)存中或磁盤上，而且在系統(tǒng)重新啟動后仍可保持有效的進(jìn)程。而下一步就是攻擊者用命令的形式讓該待命進(jìn)程主動去聯(lián)絡(luò)其受控制的站點。

攻擊指標(biāo)(IOAs)就能捕捉到這些步驟的執(zhí)行、對手的目的和其試圖獲取的結(jié)果。而它們并不專注于攻擊者實現(xiàn)其目標(biāo)所使用的特定工具。通過監(jiān)控這些方面的執(zhí)行情況，并通過一個有狀態(tài)的執(zhí)行檢查引擎去的收集其指標(biāo)和使用情況，分析人員就可以確定一個攻擊者是如何成功的獲得對網(wǎng)絡(luò)的訪問并推斷其意圖所在了。

Krasser說：“保護(hù)組織的IT基礎(chǔ)設(shè)施，需要比機(jī)器學(xué)習(xí)更為廣闊的宏觀方面的考量，這就是為什么企業(yè)需要混合的解決方案的原因。”

原文標(biāo)題：5 Things Security Pros Need To Know About Machine Learning，作者：Rutrell Yasin

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】