【51CTO.com快譯】近期，專家們分享了一些有關數據完整性、模式識別和計算能力的最佳實踐，來幫助企業充分利用基于機器學習的網絡安全技術。

[[179950]]

一、輸入無用則輸出必無用

網絡安全初創企業Cylance的Matt Wolff說：在機器學習領域，有句老話叫做“無用的輸入導致無用的輸出”。對于機器學習所處的環境而言，那些無法產生足夠多的數據以供其深入了解所處網絡的各種狀態的地方，則并非是有效果之處。

Wolff說：“只要數據能被呈現而且有用，那么機器學習就能隨之變得有用。然而，如果數據本身并無任何信息含量，則機器學習也不會隨著進行運作。”

IDC安全策略部的研究副總裁Pete Lindstrom 說：“我看好機器學習的契機。但據我所知，當前并無已查出的跡象證明，這種技術是肯定要比我們當前所使用的其他用來檢測攻擊的技術更為優越。”

輸入與輸出

Lindstrom說：組織最需要的可能就是使用機器學習來快速應對攻擊。然而，卻有過多的各種類型的信息被饋入到了安全生態系統。例如：網絡包的活動信息、端點上的系統調用、以及網絡上元數據級別的用戶行為數據。因此，人們首先需要找出的是什么樣的信息正在被饋入到系統中。

他進一步說：“你還必須理解的輸入和輸出，包括：被饋入系統的數據是什么性質和類型的?它們使用什么樣的流程和技術來確定算法?以及它們可能會采取什么樣行動?”

“網絡安全分析師所面臨的挑戰是：由于這些技術的性質是如此動態變化的，以至于完全不能夠想當然的認為，它們的輸出就和其它的輸出是如出一轍的。”Lindstrom解釋道：“你不應指望未經過自己認真測試的解決方案去發揮功效。如果其目的是尋找網絡上的異常活動的話，那么唯一用來確定何為網絡異常的方法就是去讓其學習您自己的網絡，而不能將其放置到別人的網絡并應用之。否則我們很可能將退回到那種基于簽名特征的防御模式了。”

遞增的復雜性

如果安全專業人員不夠小心，他們可以會因為對流程缺乏理解，而將日益遞增復雜性予以削減，而其輸出將會和我們如今所運用的安全工具大為相同。Lindstrom客觀的補充道：“但話說也回來，這其實并不可怕，因為我們今天的解決方案已經能阻斷很多攻擊了。”

二、機器學習不僅僅是發現模式

機器學習被普遍認為是模式的識別，其重點是識別數據的模式和規律。Cylance公司的Matt Wolff說：“雖然有些算法并非簡單的模式匹配，但我是不會限制機器學習去尋找和發現模式的。”

作為組織的保衛者，安全分析師們試圖在第一時間阻止事件的發生，或能極快的做出響應。Wolff指出：但是只要有人工參與做決策，就需要花費大量的時間去從事數據分析。然而，隨著機器學習方法的引入，只要數據一旦被產生，分析人員就能盡快的做出決策。

Wolff 也提到：因為沒有人工干預而全靠軟件控制，機器學習可以針對攻擊做出非常快速的反應或實時防御措施。數據一旦被生成，各種反應措施就會瞬間發生。這一點很重要的，因為您本來可以通過人工智能的方式自動阻斷攻擊的破壞，但是如果你在行動上引入人工的決斷因素的話，那么在做出決斷的時候則可能已經太遲了。數據可能會按照攻擊者的意圖泄露或被盜取。

機器學習潛在的洞察能力已經達到了人類所無法企及的程度。一位專家級安全分析師在他或她的職業生涯中可能會審查100000個事件，并找出與事件相關的數據。而機器學習的算法則能很快發現成千上萬的事件。Wolff解釋說：所以，鑒于機器學習能迅速收集到過去發生的一切，而單獨一個分析師可能在其有生之年永遠不會有足夠的時間達到一個機器學習模型所能獲取的數據級單位。

他補充說：“只要有足夠的數據支撐，機器學習可以快速獲得大量的經驗。而且機器學習所尋找的信息可能是那些人類分析師所錯過了的。”

三、生成一個機器學習模型需要強大的計算能力

如果您在處理的事務涉及到大數據或相當龐大的數據集，那么您要確保你有計算能力來進行機器學習。因為它需要通過數據學習來訓練出一種計算密集型的模型。Wolff說：“通常情況下，您是不能在您的筆記本電腦上這樣做的。多數情況下，您需要計算機的集群來進行計算建模。”憑借云服務提供商提供的服務器集群，您可以自由的上下擴容。另外，一些像微軟Azure的服務還能提供一個機器學習的庫以便公司進行部署。

如果您想在自己的組織內購買機器學習而且您有大量的數據的話，那么您很有可能會需要一個集群來運行它們。至于是否需用單顆CPU或GPU的集群，則完全取決于您想做什么類型的建模。

舉例來說，Cylance公司就是通過有著強大計算處理能力的云計算平臺來對其技術進行訓練的。這些模型的優點是：一旦您訓練了它們，而它們也學習到了，那么它們就只需要占有較少的CPU，就能告知您要了解的事務了。Wolff說： Cylance在云端使用數百臺機器來訓練其模型。一旦它們完成學習，您就可以將該技術置于普通筆記本電腦上，用常規CPU運行了。

四、需指導還是無指導的學習?這取決于您

在機器學習領域有兩大陣營：那些堅持需要指導式學習的和那些推崇無需指導式學習的。專家建議您根據您的資源和環境去選擇一個最適合您組織的。

在指導學習的模式下,分析師可以幫助進行系統的訓練。而無指導學習則是自主的，它使用的一套算法并從其數據集中進行自行學習。

“就像每一個免疫系統是不同的那樣，每一個網絡也是不一樣的。” 網絡安全初創公司Darktrace的網絡智能總監Justin Fier如是說。Darktrace是運用生物免疫系統原理來進行自我學習的軟件開發商，它使用的就是無需指導式的機器學習。

Fier說：“任何擁有足夠多的資源和耐心的對手都能跨越您的系統邊境。我們所采取的方法就正如您自身的免疫系統那樣，產生自我意識。”。一旦它被部署到一個網絡中，公司的企業免疫系統會持續學習到什么是網絡的正常狀態。通過這種方式，分析師就能夠實現以“大海撈針”的模式篩選出不屬于正常狀態的微小異常了。

“我們使用的是無需指導的方式，意味著我們并不人工幫助去訓練設備。只要任由設備按照一般生命體的模式去學習到各種數據的不同特點，以便我們后期進行攝取和建模，那么所有這些都可以在沒有任何人工訓練的狀態下無指導的完成。”

“我不會去妄評哪個方法更好，”Fier解釋道。這完全歸結為資源。曾經一次，Fier為一家舉辦體育賽事的公司部署Darktrace的proof-of-value技術產品。對方網絡管理員忙得都要抓狂了。他曾形容他鋪設的光纜都足夠往返月球五次了。因此，他根本沒有時間去做proof-of-value產品的評估。

Fier說：“我們幫助他將Darktrace工具植入網絡并將數據指向該設備，就這么簡單。我們并不需要花時間去建立配置文件或告訴工具做什么。它已經內置了可以從數據中進行學習的能力。”

一種方法真的會比另一種好嗎?這取決于您想要部署的環境。他還說：“我寧可選用無需指導的方式，因為我不需要分配一個團隊的人去進行設置，并數據集訓練該設備。”

五、機器學習可為防止惡意軟件提供預執行能力

各家公司都采用多種技術來保護他們的IT基礎設施免受惡意軟件的攻擊。例如：傳統的基于特征碼的檢測方法、沙盒技術和現如今的機器學習。新型安全公司CrowdStrike的Sven Krasser 指出：他的公司和其他安全廠商就是通過機器學習所提供的預執行技術來提供惡意軟件攻擊的防護的。

例如：CrowdStrike的工具可以確定惡意代碼的存在，而不依賴于簽名、檢測那些已知和未知或是零日攻擊的惡意軟件。運用機器學習，您可以創建一個引擎或是算法，來理解什么是零日的或者惡意的攻擊。與使用簽名截然相反的是，機器學習允許分析師查看某一個事件的所有有關數據，并依據其檢測迅速的做出決定。Krasser如是說。

各個公司的另一個逐漸增長的擔憂是高級持續性威脅(APT)，即一個未經授權的人獲得網絡訪問權限，并能保持長期不被發現的狀態。而其目的是為了竊取數據而不是對網絡或組織造成破害。

“在應對各種APT時，您需要意識到的是您所對付的是人類。他們只需要登錄到公司網絡的一臺機器上，然后橫向移動至其他設備上。”Krasser說。“公司面對的這種風險是一種持久性的威脅，所以光檢測該威脅本身是遠遠不夠的。”

公司必須不斷監控這些類型的攻擊。盡管機器學習仍然是防御APT攻擊的一部分，而公司需要應用一些高級別的機器學習的技術。例如：CrowdStrike公司就在端點系統上使用一個“攻擊指標”的檢測方法，其重點是檢測攻擊者想要達到的目的，而不管惡意軟件是否在攻擊中被利用了。

舉個例子：攻擊者可能部署一個矛式釣魚的攻擊，來誘使受害者點擊一個可以感染機器的鏈接或是打開一個文檔。一旦得逞，攻擊者將默默的執行另一個能夠藏在內存中或磁盤上，而且在系統重新啟動后仍可保持有效的進程。而下一步就是攻擊者用命令的形式讓該待命進程主動去聯絡其受控制的站點。

攻擊指標(IOAs)就能捕捉到這些步驟的執行、對手的目的和其試圖獲取的結果。而它們并不專注于攻擊者實現其目標所使用的特定工具。通過監控這些方面的執行情況，并通過一個有狀態的執行檢查引擎去的收集其指標和使用情況，分析人員就可以確定一個攻擊者是如何成功的獲得對網絡的訪問并推斷其意圖所在了。

Krasser說：“保護組織的IT基礎設施，需要比機器學習更為廣闊的宏觀方面的考量，這就是為什么企業需要混合的解決方案的原因。”

原文標題：5 Things Security Pros Need To Know About Machine Learning，作者：Rutrell Yasin

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】