人工智能(AI)的話題已經(jīng)熱了數(shù)年，但最近，網(wǎng)絡(luò)安全行業(yè)關(guān)于AI的討論都集中在機(jī)器學(xué)習(xí)(ML)上——用算法梳理數(shù)據(jù)，從中學(xué)習(xí)，并基于分析結(jié)果指導(dǎo)動作的一種AI方法，比如自動阻止未知威脅什么的。

[[212392]]

回顧AI/ML歷史，你會很快發(fā)現(xiàn)，其背后的科學(xué)早在1950年代便開始發(fā)展了。1951年，阿蘭·圖靈的奠基性論文提出了一個簡單的問題：“機(jī)器能思考嗎?”但是，如果該方法論已經(jīng)出現(xiàn)了幾十年，很自然地，我們會想，為什么現(xiàn)在才開始應(yīng)用呢?

由于ML系統(tǒng)可在不受人監(jiān)管的情況下自行評估新數(shù)據(jù)及行為，每家公司都急于在多種應(yīng)用中采納該尖端方法。然而，機(jī)器學(xué)習(xí)的真正價值，是基于過往所學(xué)，而不僅僅是當(dāng)前納入并分析的內(nèi)容，來做出決策的能力。機(jī)器學(xué)習(xí)系統(tǒng)需要訓(xùn)練，而訓(xùn)練必須要有大量以往數(shù)據(jù)和情報。

為最大化安全工作中ML的有效性，在采納ML之前最好先了解清楚自己需要做什么。比如以下3個方面：

1. 收集高質(zhì)量的數(shù)據(jù)

訓(xùn)練機(jī)器學(xué)習(xí)系統(tǒng)的基礎(chǔ)，是手握大量高品質(zhì)數(shù)據(jù)。采納含有ML的產(chǎn)品時，你會想要強(qiáng)化之前所做的工作，比如特征碼收集和自動化惡意軟件分析，以便將之與機(jī)器學(xué)習(xí)能力相結(jié)合，對新型惡意內(nèi)容加以確定。除了壞數(shù)據(jù)，你還需要擁有大量良性數(shù)據(jù)，這樣就可以在訓(xùn)練機(jī)器學(xué)習(xí)算法時，讓它準(zhǔn)確區(qū)分危險和良性的東西。

2. 建立安全一致性

最終，你需確保ML算法能在多個層級上運(yùn)行，包括網(wǎng)絡(luò)流量、用戶行為和終端。舉個例子，如果目前你只觀察自己網(wǎng)絡(luò)流量中的異常行為，終端或用戶行為都沒有進(jìn)入你的安全工作視線，你就不可能準(zhǔn)確關(guān)聯(lián)并確定真正惡意的東西，做不出最明智的決策。

3. 向供應(yīng)商提出正確的問題

很多公司聲稱自己的解決方案中囊括了ML，但大多數(shù)時候，這項功能是被夸大了的。你詢問供應(yīng)商的問題，應(yīng)落腳在他們系統(tǒng)的準(zhǔn)確率、速度和效率上。分析的數(shù)據(jù)是從哪兒來的?收集頻率是多久一次?該解決方案做出決策引導(dǎo)動作的速度有多快?擬定并問出這么些全面深入的問題，可以讓你選出最適合自家公司需求的ML系統(tǒng)。

考慮機(jī)器學(xué)習(xí)價值的時候，最終目標(biāo)很簡單：用軟件來自動采取行動。這一領(lǐng)域的研究已延續(xù)了幾十年，業(yè)界已走到了可有效應(yīng)用的程度，我們防止成功攻擊的能力在ML的加持下已有所增強(qiáng)。

攻擊數(shù)量不斷增加，攻擊行動也正走向自動化，但公司企業(yè)的響應(yīng)工作，卻通常應(yīng)用的是無法擴(kuò)展的人工過程。在通往更少手動工作，盡可能自動化威脅防止過程的路上，機(jī)器學(xué)習(xí)無疑是網(wǎng)絡(luò)安全人士的得力助手。