譯者 | 李睿

審校 | 孫淑娟

采用人工智能技術的無監(jiān)督學習方法可以檢測和對抗網(wǎng)絡威脅，本文介紹了利用無監(jiān)督學習對抗網(wǎng)絡威脅的常用方法。

如今的世界正在進入數(shù)字時代。隨著大規(guī)模數(shù)據(jù)泄露、對個人和財務數(shù)據(jù)以及人們可以利用的任何數(shù)字源的黑客攻擊，網(wǎng)絡威脅數(shù)量正在上升。為了對抗這些網(wǎng)絡攻擊，安全專家越來越多地利用人工智能技術，使用網(wǎng)絡安全工具箱中的各種工具，其中包括無監(jiān)督的學習方法。

網(wǎng)絡安全領域的機器學習仍處于起步階段，但自從2020年以來，有更多人工智能參與打擊網(wǎng)絡威脅的工作。

而了解機器學習如何用于網(wǎng)絡安全，認識網(wǎng)絡安全中對無監(jiān)督學習方法的需求，以及了解如何在打擊網(wǎng)絡攻擊中采用人工智能技術是未來幾年打擊網(wǎng)絡犯罪的關鍵。

1.機器學習在網(wǎng)絡安全中的應用

網(wǎng)絡犯罪的可怕之處在于，可能需要長達六個月的時間檢測到漏洞，而從發(fā)現(xiàn)漏洞到處理的時間平均需要大約50天。這在很大程度上取決于網(wǎng)絡攻擊的特性。

機器學習可以作為一種預防措施來避免網(wǎng)絡攻擊。例如，網(wǎng)絡安全系統(tǒng)可以使用機器學習來評估模式（甚至是實時的），從中學習以幫助防止重復攻擊并應對奇怪或不斷變化的行為。

此外，它可以幫助網(wǎng)絡安全團隊更主動地預防威脅和響應實時攻擊，而不是在發(fā)現(xiàn)漏洞后收拾殘局。

無監(jiān)督學習方法可以開始用于識別看似良性但超出規(guī)范的模式。在網(wǎng)絡安全人員每天執(zhí)行的常規(guī)任務中，這些不尋常的行為很容易被忽視。它可以減少花在人工任務上的時間，從而更有策略地保護他們的資源。

2.網(wǎng)絡安全中為什么需要無監(jiān)督的學習方法

在機器學習模型方面，可以通過多種方式訓練這些模型。例如模型有監(jiān)督學習和無監(jiān)督學習方法，本文將討論無監(jiān)督學習方法。

無監(jiān)督學習是一種機器學習技術，它完全實現(xiàn)了用戶不需要監(jiān)督模型這一功能。取而代之的是，無監(jiān)督模型自行發(fā)現(xiàn)以前未被發(fā)現(xiàn)的模式和信息。

簡而言之：機器學習的無監(jiān)督學習方法意味著人工智能模型幾乎沒有實際的“訓練”。

從表面上看，這似乎違反直覺。難道不想訓練其機器學習模型來識別、確認和報告潛在的網(wǎng)絡攻擊嗎？是的，但問題是網(wǎng)絡犯罪分子可以選擇多種方式攻擊企業(yè)和個人，而這些企業(yè)可能會無意中訓練機器學習忽略其他網(wǎng)絡威脅。

無監(jiān)督學習允許人工智能模型以人們可能忽略的方式得出結(jié)論。但是更重要的是，不必經(jīng)歷網(wǎng)絡攻擊或為其人工智能模型創(chuàng)建錯誤的場景來學習。這意味著無監(jiān)督學習方法可以預測和防范未來的威脅，而不會遭受類似的破壞或網(wǎng)絡攻擊。

無監(jiān)督學習涉及聚類、表征學習和密度估計過程。這使這些模型能夠識別和分組可能看起來不尋常、可疑或至少未被模型識別的活動，并提醒網(wǎng)絡安全團隊可能考慮的潛在網(wǎng)絡威脅。

傳統(tǒng)的網(wǎng)絡防御方法依賴于數(shù)據(jù)標簽來識別特定的危險，然后實施響應。不幸的是，這可能會導致網(wǎng)絡延遲，并可能會對企業(yè)及其數(shù)字資產(chǎn)造成危險。

3.如何實施無監(jiān)督學習方法來對抗網(wǎng)絡威脅

企業(yè)永遠不想過于依賴人工智能來滿足其網(wǎng)絡安全需求，但無監(jiān)督學習模型可以成為對抗這些網(wǎng)絡攻擊的資產(chǎn)。不過，其入門可能會讓人感到有些畏懼。

以下步驟可以幫助企業(yè)開始正確地訓練和實施其無監(jiān)督機器學習模型。

（1）確定可以實施人工智能的流程

并非網(wǎng)絡安全中的所有流程都適合機器學習模型。例如，經(jīng)過訓練以利用無監(jiān)督學習方法的機器學習模型在糾正數(shù)據(jù)泄露方面并不完全有幫助，但在幫助捕捉網(wǎng)絡攻擊企圖的早期跡象時非常有用。

仔細審查當前的網(wǎng)絡安全策略和流程，以確定在不影響網(wǎng)絡安全團隊工作的情況下，人工智能模型可以在何處得到良好的使用和實施。

（2）無監(jiān)督學習方法建立成功基準

在讓企業(yè)的人工智能模型自由運行之前，需要設置一些基準。這將幫助了解機器學習模型正在幫助而不是阻礙網(wǎng)絡安全工作。這也意味著需要創(chuàng)建一個流程來檢查人工智能模型，以確保它正確解釋數(shù)據(jù)。然后，當知道無監(jiān)督學習方法會取得什么樣的成功時，就能夠適當?shù)丶m正錯誤。

（3）監(jiān)控和報告

一旦企業(yè)的機器學習模型經(jīng)過訓練以應對網(wǎng)絡威脅和檢測網(wǎng)絡攻擊，監(jiān)控和報告將是其網(wǎng)絡安全工作成功的關鍵步驟。

無監(jiān)督學習方法可以強大而有效，但這些模型仍然可能錯誤地解釋數(shù)據(jù)。

眾所周知，使用無監(jiān)督學習方法訓練的人工智能模型可以對實際上沒有任何共同點的數(shù)據(jù)進行分類和聚類，因此必須有一個過程來糾正這些出現(xiàn)的解釋。

不過，在大多數(shù)情況下，密切關注這些機器學習模型至關重要，因為在人工智能模型將各個部分組合在一起之前，永遠不知道何時可以根據(jù)數(shù)據(jù)開始識別網(wǎng)絡威脅。而人類的直覺仍然是人工智能無法復制的網(wǎng)絡安全策略的重要組成部分。

網(wǎng)絡威脅數(shù)量如今正在上升，無監(jiān)督學習方法可以幫助企業(yè)為其網(wǎng)絡安全團隊創(chuàng)建機器學習模型，以對抗網(wǎng)絡攻擊。

原文鏈接：https://dzone.com/articles/using-unsupervised-learning-to-combat-cyber-threat