大多數(shù)商業(yè)人工智能的成功都與有監(jiān)督機(jī)器學(xué)習(xí)ML有關(guān)。例如智能家居助手對(duì)口語(yǔ)的理解，自動(dòng)駕駛汽車(chē)的物體識(shí)別，都利用了訓(xùn)練復(fù)雜的深度學(xué)習(xí)模型所需的大量標(biāo)記數(shù)據(jù)和計(jì)算。但在網(wǎng)絡(luò)安全領(lǐng)域，AI雖然可以用來(lái)提高安全運(yùn)營(yíng)團(tuán)隊(duì)的效率和規(guī)模，但前提是需要人的高度參與，否則它無(wú)法解決大部分的網(wǎng)絡(luò)安全問(wèn)題，至少在目前還是如此。

此外，企業(yè)環(huán)境中人類(lèi)行為產(chǎn)生的數(shù)字噪音，令系統(tǒng)中的異?，F(xiàn)象成為常見(jiàn)現(xiàn)象，無(wú)法判斷其是否代表攻擊行為。因此，基于人工智能的異常行為檢測(cè)，其效果并不理想。比如，一家日產(chǎn)10億數(shù)量級(jí)遙感數(shù)據(jù)的大型企業(yè)，使用機(jī)器學(xué)習(xí)來(lái)檢測(cè)威脅。即使其準(zhǔn)確率為99.9%，那也就意味著要在100萬(wàn)個(gè)誤報(bào)中找到真正的攻擊事件，要想克服這種檢測(cè)數(shù)據(jù)上的不均衡性，需要大量的專(zhuān)業(yè)知識(shí)和多管齊下的檢測(cè)策略。

但顯然如果沒(méi)有AI，事情只能變得更加糟糕。還是有一些方法來(lái)利用機(jī)器學(xué)習(xí)的力量來(lái)提高運(yùn)營(yíng)效率，以下是建議安全運(yùn)營(yíng)團(tuán)隊(duì)需要考慮的三項(xiàng)原則：

1. 人機(jī)合智

人工智能是對(duì)人類(lèi)智能的補(bǔ)充，而不是替代。在復(fù)雜系統(tǒng)的環(huán)境中，尤其是在與快速適應(yīng)的、智能化的對(duì)手對(duì)抗時(shí)，以主動(dòng)學(xué)習(xí)為核心的自動(dòng)化技術(shù)將帶來(lái)極高的價(jià)值。人類(lèi)的主要工作是經(jīng)常性的檢查機(jī)器學(xué)習(xí)系統(tǒng)，加入新的樣例，不斷的調(diào)整迭代。

2. 選擇合適的工具

沒(méi)必要成為AI專(zhuān)家，也能做出好的決策，但前提是確保選擇了正確的工具。

• 首先，了解異常行為和惡意行為之間的區(qū)別很重要，因?yàn)樗鼈兂３Ｊ莾苫厥拢罁?jù)的檢測(cè)技術(shù)也大不相同。前者很容易通過(guò)無(wú)監(jiān)督異常檢測(cè)發(fā)現(xiàn)，無(wú)需打標(biāo)簽的訓(xùn)練數(shù)據(jù)。但后者則需要監(jiān)督學(xué)習(xí)，通常需要許多歷史樣例。
• 其次，具有高信噪比的警報(bào)對(duì)于安全運(yùn)營(yíng)團(tuán)隊(duì)來(lái)說(shuō)至關(guān)重要，需要充分了解檢測(cè)結(jié)果可能帶來(lái)的影響，因?yàn)檫@些系統(tǒng)不會(huì)百分之百準(zhǔn)確。
• 最后，雖然幾乎各種機(jī)器學(xué)習(xí)技術(shù)都已在網(wǎng)絡(luò)安全領(lǐng)域得到使用，積累大量的威脅情報(bào)簽名仍然非常重要，因?yàn)橐坏┳采线@些簽名，幾乎可以確定攻擊，省去了大量的關(guān)聯(lián)分析工作。無(wú)論什么時(shí)候，簽名都是檢測(cè)已知威脅的關(guān)鍵基線(xiàn)。

3. 安全運(yùn)營(yíng)需要自動(dòng)化

非常諷刺的是，許多信任人工智能駕駛汽車(chē)的網(wǎng)絡(luò)安全專(zhuān)業(yè)人士，對(duì)人工智能在網(wǎng)絡(luò)安全對(duì)抗中的作用持懷疑態(tài)度。但是，在海量數(shù)據(jù)和告警需要處理的今天，自動(dòng)化操作是提高安全運(yùn)營(yíng)團(tuán)隊(duì)效率最有效的方法之一，基本上也是未來(lái)唯一的解決之道。

自動(dòng)化將創(chuàng)造性思維從耗時(shí)的操作任務(wù)中解放出來(lái)，尤其是在檢測(cè)高級(jí)威脅時(shí)非常有用，關(guān)聯(lián)分析、優(yōu)先級(jí)排序，自動(dòng)執(zhí)行低風(fēng)險(xiǎn)的控制措施（如隔離可疑文件或要求用戶(hù)重新驗(yàn)證），這些都可以顯著提高安全運(yùn)營(yíng)效率、降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。

綜上所述，人工智能或機(jī)器學(xué)習(xí)至少在可見(jiàn)的將來(lái)無(wú)法成為唯一的網(wǎng)絡(luò)安全策略。在數(shù)據(jù)的汪洋大海中尋找蛛絲馬跡時(shí)，將機(jī)器智能與安全專(zhuān)家的人類(lèi)智能相結(jié)合，是且僅是最為實(shí)際有效的技術(shù)手段。