【IT168 资讯】机器学习将使你的组织面临的安全威胁变得有意义，并帮助你的员工专注于更有价值的战略性任务。

　　在最简单的层面上，机器学习被定义为“在没有明确编程的情况下学习计算机的能力”。在大数据集中使用数学技术、机器学习算法本质上构建了行为模型，并使用这些模型作为基于新输入数据进行未来预测的基础。 比如，Netflix会根据你以前的观看历史记录为你推荐新的电视连续剧。

　　那么，信息安全中的机器学习应用程序是什么呢?

　　原则上，机器学习可以帮助企业更好地分析威胁，并对攻击和安全事件作出反应。它还可以帮助自动执行以前由技术含量不足的安全团队执行的比较琐碎的任务自动化。

　　近些年，机器学习在安全领域呈现一个快速增长的趋势。 ABI 研究公司的分析师估计，到2021年，网络安全领域的机器学习将使大数据、人工智能(AI)和分析的支出增加到960亿美元，而世界上一些技术巨头已经在采取措施争取更好地保护自己的客户。

　　目前，Google正在使用机器学习来分析针对运行在Android上的移动终端的威胁，并能从受感染的手机中识别和清除恶意软件，而云基础架构巨头亚马逊已经获得了初创的收获。

　　同时，企业安全厂商一直在努力将机器学习融入到新、旧产品中，主要是为了改进恶意软件检测。 “大多数主要的安全公司已经从几年前用于检测恶意软件的纯粹的系统转移到一个机器学习系统，该系统试图解释行为和事件，并从各种来源获知什么是安全什么是不安全的，J. Gold Associates总裁兼首席分析师Jack Gold表示，“这仍然是一个新生领域，但显然是未来的发展方向，人工智能和机器学习将大大改变安全性。”

　　虽然这种转变不会一蹴而就，机器学习已经在某些领域出现了。德国电信创新实验室(以及以色列本 - 古里安大学网络安全研究中心)的首席技术官Dudu Mimran表示，“我相信我们会看到越来越多的用例，在防范服务中断，归因和用户行为修改方面。”

　　以下是为大家分享的关于安全的机器学习的非常好的用例。

　　1.使用机器学习来检测恶意活动并阻止攻击

　　机器学习算法将帮助企业更快地检测恶意活动，并在它开始之前阻止攻击。英国新兴公司Darktrace的技术总监 Palmer表示，Darktrace最近帮助北美的一家赌场，用算法检测到数据泄露的问题。该公司还声称在去年夏天的Wannacry勒索软件危机期间也阻止了类似的攻击。

　　他认为，“我们的算法在一个NHS机构的网络中在几秒钟内发现了这个攻击，并且这个威胁也得到了缓解，而不会对该组织造成任何损害。”这个勒索软件感染了150个国家的20多万受害者。“事实上，我们的客户都没有受到WannaCry攻击，包括那些没有补救的攻击。”

　　2.使用机器学习分析移动终端

　　机器学习已经在移动设备上成为主流，但到目前为止，这些活动大部分都是为了推动Google 、苹果Siri和亚马逊的Alexa等基于语音的改进体验。然而，还有一个安全的应用程序，如上所述，Google正在使用机器学习来分析针对移动终端的威胁，而企业正在看到一个机会来保护越来越多的自己的移动设备。

　　10月份，MobileIron和Zimperium宣布合作，帮助企业采用机器学习的移动反恶意软件解决方案。 MobileIron表示，将把Zimperium基于机器学习的威胁检测与MobileIron的安全与合规性引擎整合在一起，并出售联合解决方案，解决诸如检测设备、网络和应用程序威胁等挑战，并立即采取行动来保护公司数据。

　　其他厂商也在加强他们的移动解决方案。随着Zimperium、LookOut、Skycure(已被赛门铁克收购)和Wandera被认为是移动威胁检测和防御市场的领导者。每个人都使用自己的机器学习算法来检测潜在的威胁。例如，Wandera最近公开发布了其威胁检测引擎MI：RIAM，据称该公司发现了400多种针对企业移动机群的重新包装的SLocker勒索软件。

　　3.使用机器学习来增强人的分析能力

　　安全机器学习的核心是人们相信它可以帮助人类分析师完成各个方面的工作，包括检测恶意攻击、分析网络、端点保护和漏洞评估。例如，麻省理工学院的计算机科学和人工智能实验室(CSAIL)于2016年开发了一个称为AI2的系统，这是一个自适应机器学习安全平台，帮助分析师找到“干草堆里的针”。每天检查数以百万计的登录信息，系统能够过滤数据并将其传递给分析人员，从而将警报降低到每天大约100次。由CSAIL和初创公司PatternEx进行的实验显示表明，攻击检测率上升至85%，误报率降低了5倍。

　　4.使用机器学习来自动执行重复的安全任务

　　机器学习的真正好处是可以自动执行重复性任务，使员工能够专注于更重要的工作。帕尔默说，机器学习最终应该旨在“消除人类做重复的、低价值的决策活动的需求，比如分解威胁情报”。让机器处理重复的工作，以便人类可以腾出时间来处理战略问题，如改造Windows XP系统。”　　

　　5.使用机器学习来关闭零日漏洞

　　有些人认为，机器学习可以帮助消除零日漏洞，特别是零日威胁和其他针对大部分不安全的物联网设备的威胁。在这一领域已经有了积极的工作：据福布斯介绍，亚利桑那州立大学的一个团队使用机器学习来监控黑网上的流量，以识别与零日漏洞相关的数据。凭借这种洞察力，组织可能会潜在地关闭漏洞，并在发现数据泄露之前停止修补程序漏洞。

　　然而，机器学习并不是一蹴而就的，尤其是对于一个正在试验这些技术来验证概念的行业而言，这有许多陷阱。机器学习系统有时会报告误报(从无监督学习系统中算法推断基于数据的类别)，而一些分析人士已坦率地谈论机器学习如何在安全中代表“黑盒”解决方案。因此他们被迫把信任和责任放在供应商和机器的肩上。

　　毕竟，在一些安全解决方案可能根本不能进行机器学习的世界里，这种信任的想法并不理想。 Palmer说：“大多数被吹捧的机器学习发明并没有真正在客户环境中进行任何学习。相反，他们的模型是在供应商的云中接受了恶意软件样本的训练，并被下载到客户业务中。这在客户安全方面并不是特别的进步，从根本上来说，是落后的。