是時(shí)候利用無監(jiān)督學(xué)習(xí)來應(yīng)對網(wǎng)絡(luò)威脅了!
2016年,圖靈獎(jiǎng)得主Yann LeCun 表示,機(jī)器學(xué)習(xí)技術(shù)在未來的核心挑戰(zhàn)就是要實(shí)現(xiàn)從沒有標(biāo)簽、未經(jīng)人工處理的原始數(shù)據(jù)中學(xué)習(xí)知識,即無監(jiān)督學(xué)習(xí)(unsupervised learning)。他認(rèn)為,無監(jiān)督學(xué)習(xí)一定是人工智能發(fā)展的未來。
經(jīng)過多年發(fā)展,無監(jiān)督學(xué)習(xí)技術(shù)的實(shí)際應(yīng)用能力備受業(yè)界關(guān)注,目前已在自然語言處理、視覺圖像學(xué)習(xí)等領(lǐng)域獲得較大突破。而隨著新型網(wǎng)絡(luò)威脅、攻擊與日俱增,安全研究機(jī)構(gòu)也開始嘗試?yán)脽o監(jiān)督學(xué)習(xí)技術(shù)來應(yīng)對挑戰(zhàn),特別是層出不窮的未知威脅挑戰(zhàn)。
無監(jiān)督學(xué)習(xí)的價(jià)值
無監(jiān)督學(xué)習(xí)技術(shù)屬于機(jī)器學(xué)習(xí)的一種類型,但與傳統(tǒng)機(jī)器學(xué)習(xí)模式不同的是,無監(jiān)督學(xué)習(xí)幾乎不需要對算法模型進(jìn)行人工干預(yù)的“訓(xùn)練”。乍一看,這一方法可能不合常理,因?yàn)橥ǔF髽I(yè)的思維方式是:機(jī)器學(xué)習(xí)模型只有通過反復(fù)大量的訓(xùn)練才能夠?qū)崿F(xiàn)對潛在網(wǎng)絡(luò)攻擊的有效識別和發(fā)現(xiàn);但現(xiàn)實(shí)情況是:因?yàn)槠髽I(yè)安全團(tuán)隊(duì)在構(gòu)建機(jī)器學(xué)習(xí)模型時(shí)并不能將所有可能的攻擊方法都考慮全面,因此,通過傳統(tǒng)模式訓(xùn)練構(gòu)建的機(jī)器學(xué)習(xí)模型在應(yīng)對未知威脅時(shí)作用有限,難以真正體現(xiàn)出智能化的價(jià)值。
而無監(jiān)督機(jī)器學(xué)習(xí)并不直接應(yīng)用于基于規(guī)則設(shè)定的安全回歸模型,因?yàn)樗鼰o需知道輸出值可能是什么,因此不會像傳統(tǒng)機(jī)器學(xué)習(xí)模型那樣進(jìn)行訓(xùn)練。可以這樣理解:當(dāng)我們在學(xué)校參加考試時(shí),會有問題和標(biāo)準(zhǔn)答案;考試的成績?nèi)Q于實(shí)際回答與標(biāo)準(zhǔn)答案的接近程度。但如果沒有標(biāo)準(zhǔn)答案時(shí),我們該如何給被考核者打分呢?
無監(jiān)督學(xué)習(xí)方法正是通過聚類學(xué)習(xí)、特征映射、密度估計(jì)等評估流程和智能分析技術(shù),特別是一些在人工模式學(xué)習(xí)下可能忽略的評估方式,來對那些存在隱患的威脅行為進(jìn)行識別和分析,并提醒安全團(tuán)隊(duì)留意這些可能但還未被識別的網(wǎng)絡(luò)威脅,這個(gè)過程無需通過真實(shí)的攻防演練或虛擬的攻擊場景來實(shí)現(xiàn),可以最大程度地實(shí)現(xiàn)自動化,降低人為因素干擾。
企業(yè)安全人員每天面臨海量的報(bào)警信息,一些異常行為很難被發(fā)現(xiàn)或很容易被忽略,通過無監(jiān)督學(xué)習(xí)方法可以更合理地利用資源,提升效率。而且無監(jiān)督學(xué)習(xí)方法可以作為一種預(yù)防措施來避免網(wǎng)絡(luò)攻擊,能夠幫助安全團(tuán)隊(duì)更加主動地預(yù)防威脅、實(shí)時(shí)響應(yīng)。
無監(jiān)督學(xué)習(xí)的應(yīng)用實(shí)施
作為一種應(yīng)用并不廣泛和成熟的新興技術(shù),無監(jiān)督學(xué)習(xí)在企業(yè)實(shí)際網(wǎng)絡(luò)威脅檢測場景下的應(yīng)用時(shí),將會面臨很多的挑戰(zhàn)和困難。經(jīng)過研究機(jī)構(gòu)的嘗試和驗(yàn)證,以下幾個(gè)步驟被認(rèn)為可以幫助企業(yè)更好地實(shí)施無監(jiān)督機(jī)器學(xué)習(xí)模型:
1. 明確無監(jiān)督學(xué)習(xí)的應(yīng)用場景
并非所有的網(wǎng)絡(luò)安全工作流程都適合無監(jiān)督學(xué)習(xí)模型。比如,無監(jiān)督學(xué)習(xí)的機(jī)器學(xué)習(xí)模型在數(shù)據(jù)泄漏防護(hù)方面作用可能并不大,但在幫助安全人員發(fā)現(xiàn)未知網(wǎng)絡(luò)攻擊企圖的早期跡象時(shí)卻大有用處。企業(yè)應(yīng)仔細(xì)審查當(dāng)前的網(wǎng)絡(luò)安全策略和流程,確定可以在哪些環(huán)節(jié)使用和實(shí)施無監(jiān)督學(xué)習(xí)的模型,且不影響網(wǎng)絡(luò)安全團(tuán)隊(duì)的工作。
2. 為無監(jiān)督學(xué)習(xí)方法建立成功落地的基準(zhǔn)
在讓無監(jiān)督學(xué)習(xí)模型運(yùn)行起來之前,先要確定一些基準(zhǔn)。這將幫助企業(yè)和安全團(tuán)隊(duì)了解無監(jiān)督學(xué)習(xí)模型的功能和價(jià)值,從而清楚認(rèn)知無監(jiān)督機(jī)器學(xué)習(xí)模型是為了提升安全防護(hù)而不是給企業(yè)增添額外的工作。
此外,企業(yè)需要?jiǎng)?chuàng)建一套流程來核查無監(jiān)督模型,確保模型能夠正確對數(shù)據(jù)進(jìn)行分析,當(dāng)安全團(tuán)隊(duì)能夠準(zhǔn)確掌握無監(jiān)督學(xué)習(xí)方法實(shí)施后的成果與問題時(shí),就能夠根據(jù)需求對其進(jìn)行適當(dāng)調(diào)整。
3. 及時(shí)做好應(yīng)用效果監(jiān)控和報(bào)告
無監(jiān)督學(xué)習(xí)方法的機(jī)器模型經(jīng)過對網(wǎng)絡(luò)威脅和檢測網(wǎng)絡(luò)攻擊的訓(xùn)練后,對安全風(fēng)險(xiǎn)監(jiān)測報(bào)告的處理就是保證企業(yè)網(wǎng)絡(luò)安全的下一個(gè)關(guān)鍵步驟。
無監(jiān)督學(xué)習(xí)方法雖然對未知威脅風(fēng)險(xiǎn)監(jiān)測很有價(jià)值,但仍然難以避免數(shù)據(jù)錯(cuò)誤分析并誤報(bào)的可能。使用無監(jiān)督學(xué)習(xí)方法訓(xùn)練的人工智能模型,需要對海量未經(jīng)處理的原始數(shù)據(jù)進(jìn)行準(zhǔn)確分類和聚類處理,因此必須要建立一個(gè)檢測流程來糾正過程中可能發(fā)生的錯(cuò)誤。
當(dāng)人工智能模型將企業(yè)內(nèi)部的安全防護(hù)模塊妥善的串聯(lián)在一起之后,人工的監(jiān)控依舊不能松懈,因?yàn)橥ㄟ^人類的智慧對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行判斷把關(guān),依舊是網(wǎng)絡(luò)安全防護(hù)的最重要組成部分,這是人工智能無法替代的。
參考鏈接https://dzone.com/articles/using-unsupervised-learning-to-combat-cyber-threat
