今天，如果不大大依賴機器學(xué)習(xí)，部署強大的網(wǎng)絡(luò)安全解決方案是不可行的。同時，如果沒有對數(shù)據(jù)集進行徹底、豐富和全面的處理，就很難正確地使用機器學(xué)習(xí)。

MI可以被網(wǎng)絡(luò)安全系統(tǒng)用來識別模式并從中學(xué)習(xí)，以檢測和防止重復(fù)攻擊，并適應(yīng)不同的行為。它可以協(xié)助網(wǎng)絡(luò)安全團隊在預(yù)防危險和應(yīng)對現(xiàn)場攻擊方面更加積極主動。它可以幫助企業(yè)通過減少在平凡的任務(wù)中投入的時間，更有戰(zhàn)略性地使用他們的資產(chǎn)。

網(wǎng)絡(luò)安全中的機器學(xué)習(xí)

ML可用于網(wǎng)絡(luò)安全的不同領(lǐng)域，以改善安全程序，使安全分析師更簡單地迅速發(fā)現(xiàn)、優(yōu)先處理、應(yīng)對和補救新的威脅，以便更好地理解以前的網(wǎng)絡(luò)攻擊，并建立適當(dāng)?shù)姆烙胧?/p>

自動化任務(wù)

機器學(xué)習(xí)在網(wǎng)絡(luò)安全中的潛力，可以簡化重復(fù)性和耗時的過程，如分流情報、惡意軟件檢測、網(wǎng)絡(luò)日志分析和漏洞分析，這是一個重要的優(yōu)勢。通過在安全工作流程中加入機器學(xué)習(xí)，企業(yè)可以更快地完成活動，并以僅靠人工能力無法做到的速度響應(yīng)和補救風(fēng)險。通過自動化重復(fù)性操作，客戶可以簡單地擴大或縮小規(guī)模而不改變所需的人數(shù)，從而降低費用。

AutoML是一個術(shù)語，用于描述使用機器學(xué)習(xí)來實現(xiàn)活動自動化的過程。當(dāng)開發(fā)中的重復(fù)過程被自動化，以幫助分析師、數(shù)據(jù)科學(xué)家和開發(fā)人員提高生產(chǎn)力，這被稱為AutoML。

威脅檢測和分類

為了識別和應(yīng)對威脅，機器學(xué)習(xí)技術(shù)在應(yīng)用中被采用。這可以通過分析安全事件的大型數(shù)據(jù)集和尋找有害的行為模式來實現(xiàn)。當(dāng)可比較的事件被識別時，ML就會使用訓(xùn)練有素的ML模型自主地處理它們。

例如，利用妥協(xié)指標(biāo)，可以構(gòu)建一個數(shù)據(jù)庫，為機器學(xué)習(xí)模型提供信息(IOC)。這些可以幫助實時監(jiān)測、識別和應(yīng)對威脅。惡意軟件活動可以使用ML分類算法和IOC數(shù)據(jù)集進行分類。

Darktrace的一項研究，一個基于機器學(xué)習(xí)的企業(yè)免疫解決方案，聲稱在WannaCry勒索軟件爆發(fā)期間阻止了攻擊，就是這樣一個應(yīng)用的例子。

網(wǎng)絡(luò)釣魚

傳統(tǒng)的網(wǎng)絡(luò)釣魚檢測算法不夠快或不夠準(zhǔn)確，無法識別和區(qū)分無害和惡意 URL?；谧钚聶C器學(xué)習(xí)算法的預(yù)測性 URL 分類方法可以檢測表明欺詐電子郵件的趨勢。為了實現(xiàn)這一目標(biāo)，模型接受了電子郵件標(biāo)題、正文數(shù)據(jù)、標(biāo)點符號模式等特征的訓(xùn)練，以便對有害和良性的行為進行分類和區(qū)分。

WebShell

WebShell 是一個惡意軟件塊，它被放入網(wǎng)站并允許用戶更改服務(wù)器的 Web 根文件夾。因此，攻擊者可以訪問數(shù)據(jù)庫。結(jié)果，不良行為者能夠獲取個人詳細信息?？梢允褂脵C器學(xué)習(xí)來識別常規(guī)的購物車行為，并且可以對系統(tǒng)進行編程以區(qū)分正常行為和惡意行為。

用戶行為分析 (UBA) 是正常安全措施的補充層，可提供全面的可見性、檢測帳戶泄露以及緩解和檢測惡意或異常內(nèi)部行為，也是如此。用戶行為模式使用機器學(xué)習(xí)算法進行分類，以確定什么是自然行為并檢測異常活動。如果網(wǎng)絡(luò)上的設(shè)備執(zhí)行了一個意外的行動，如工人在深夜登錄、不可靠的遠程訪問或異常大量的下載，該行動和用戶將根據(jù)其行為、模式和時間被分配一個風(fēng)險等級。

網(wǎng)絡(luò)風(fēng)險計分

為網(wǎng)絡(luò)段分配風(fēng)險等級的定量方法有助于組織確定資源的優(yōu)先次序。ML可用于檢查先前的網(wǎng)絡(luò)攻擊數(shù)據(jù)集，并發(fā)現(xiàn)哪些網(wǎng)絡(luò)區(qū)域更經(jīng)常成為某些攻擊的目標(biāo)。對于一個特定的網(wǎng)絡(luò)區(qū)域，這個分數(shù)可以幫助評估攻擊的機會和影響。因此，組織不太可能成為未來攻擊的目標(biāo)。

在做公司剖析時，你必須確定哪些領(lǐng)域如果被破壞，會毀掉你的公司。它可能是CRM系統(tǒng)、會計軟件或銷售系統(tǒng)。這都是為了確定你的業(yè)務(wù)中哪些領(lǐng)域是最脆弱的。例如，如果人力資源部門遭受挫折，你的公司可能有一個低風(fēng)險評級。然而，如果你的石油交易系統(tǒng)出現(xiàn)故障，你的整個行業(yè)可能會隨之崩潰。每個企業(yè)都有自己的安全方法。而一旦你掌握了一個公司的錯綜復(fù)雜的情況，你就會知道應(yīng)該保護什么。如果發(fā)生了黑客攻擊，你就會知道該優(yōu)先處理什么。

人與人之間的互動

眾所周知，計算機在解決復(fù)雜問題和自動化人們可能完成的事情方面非常出色，而 PC 則擅長于此。盡管人工智能主要與計算機有關(guān)，但人們需要做出有根據(jù)的判斷并接受命令。因此，我們可以得出結(jié)論，人不能被機器取代。機器學(xué)習(xí)算法在解釋口語和識別人臉方面非常出色，但它們最終仍然需要人。

結(jié)論

機器學(xué)習(xí)是一項強大的技術(shù)。然而，它并不是靈丹妙藥。關(guān)鍵是要記住，雖然技術(shù)在不斷進步，人工智能和機器學(xué)習(xí)也在飛速發(fā)展，但技術(shù)的強大程度僅次于管理和使用它的分析人員的大腦。

惡意的人總是會改進他們的技能和技術(shù)，以識別和利用缺陷。為了能夠正確和快速地識別和應(yīng)對網(wǎng)絡(luò)威脅，將最好的技術(shù)和程序與行業(yè)專業(yè)知識相結(jié)合是至關(guān)重要的。