3． 使用機器學習來增強人類分析

作為機器學習在安全領域的核心應用，人們相信它可以幫助人類分析師處理安全方面的各項工作，包括檢測惡意攻擊、分析網(wǎng)絡、終端防護和漏洞評估。而它在威脅情報方面發(fā)揮的作用可以說才是最令人興奮的。

例如，2016年，麻省理工學院計算機科學和人工智能實驗室（CSAIL）開發(fā)出了一個名為“AI2”的系統(tǒng)，這是一個自適應機器學習安全平臺，能夠幫助分析師從海量數(shù)據(jù)中找出真正有用的東西。該系統(tǒng)每天審查數(shù)百萬登錄，過濾數(shù)據(jù)，并將濾出內(nèi)容轉送給人類分析師，從而將警報數(shù)量降低至每天100個左右。這項由CSAIL和初創(chuàng)公司PatternEx共同進行的實驗表明，攻擊檢測率被提升到了85％，而誤報率則降低了5倍之多。

4． 使用機器學習自動化重復性安全任務

機器學習的真正好處是它可以自動化重復性任務，使員工能夠專注在更重要的工作上。Palmer稱，機器學習最終應該旨在“消除重復性高且低價值的決策活動對人力的需求，就像分類威脅情報一樣”。讓機器處理重復性工作和阻止勒索軟件之類戰(zhàn)術性救火工作，這樣人類就可以騰出時間來處理戰(zhàn)略性問題——比如現(xiàn)代化Windows XP 系統(tǒng)等等。

Booz Allen Hamilton公司正在沿著這條路線發(fā)展。據(jù)報道，該公司使用人工智能工具更高效地分配人類安全資源，對威脅進行分類，以便員工可以專注于最關鍵的攻擊。

5． 使用機器學習來關閉零日漏洞

有些人認為機器學習可以幫助彌補漏洞，尤其是零日威脅和其他針對大部分不安全IoT設備的威脅。據(jù)《福布斯》報道稱，亞利桑那州立大學的一支團隊已經(jīng)通過機器學習技術來監(jiān)控暗網(wǎng)流量，以識別與零日漏洞利用相關的數(shù)據(jù)。有了這種洞察力，企業(yè)組織就有能力在漏洞造成數(shù)據(jù)泄露之前堵上漏洞并阻止補丁攻擊。

炒作和誤解叢生的領域

需要注意的是，機器學習并非靈丹妙藥，尤其是對于一個仍在對這些技術進行概念驗證實驗的行業(yè)而言。機器學習的發(fā)展必然是道阻且長的過程。機器學習系統(tǒng)有時會有誤報（無監(jiān)督學習系統(tǒng)的算法會基于數(shù)據(jù)推測類型），而一些分析師也坦率地承認，用在安全領域的機器學習可能是“黑匣子”解決方案，即CISO不能完全確定其內(nèi)部機制，因此，他們只能被迫地將自己的信任與責任置于供應商和機器的肩上。

畢竟，在一些安全解決方案甚至可能壓根兒沒用機器學習的世界中，這種盲目信任的想法并不可取。Palmer表示：大多數(shù)被吹捧的機器學習產(chǎn)品都不會在客戶環(huán)境中真正學習。相反地，它們只是在供應商自己的云上用惡意軟件樣本訓練出模型，再下載到客戶公司，就像病毒簽名似的。這對于客戶安全來說，并不是什么進步，基本上是在倒退。

此外，算法在投入實際使用前需要學習模型所需的訓練數(shù)據(jù)樣本，而這些樣本中存在的糟糕數(shù)據(jù)和實現(xiàn)可能會產(chǎn)出更糟糕的結果。機器學習的效果，取決于你輸入的信息。垃圾的輸入，必然導致垃圾的輸出。因此，如果你的機器學習算法設計不佳，結果也就不會非常理想。算法在實驗室訓練數(shù)據(jù)上有用是一回事，但最大的挑戰(zhàn)還在于讓機器學習網(wǎng)絡防御在現(xiàn)實復雜網(wǎng)絡中奏效。