利用机器学习推进网络安全
网络威胁正日渐变得新奇。机器学习的发展对网络安全专业人士来说将是一个不可估量的优势。
当企业和服务正在向网络空间扩张,而传统的网络安全技术却没有任何改进时,网络犯罪分子正在用人工智能对网络攻击进行革新。网络威胁日渐新奇,让资源不足的安全运营分析人员只能迎头赶上。根据IBM技术安全主管Sridhar Muppidi的说法,他暗指安全专业人员被太多的事情所淹没,数据太多,时间很少,技能太少。就好像网络安全专业人员在处理不断增长的网络威胁时,双手被绑在身后,而威胁却不断超越传统安全技术。
然而,机器学习可以从研究论文和新故事中产生的数百万数据中策划威胁情报。这可以帮助提供快速的洞察力,减少反应时间。在用正确的数据进行训练后--测试是否有偏见,并在应对新的网络威胁时保持强劲,通过机器学习的人工智能可以提供威胁检测的准确性,加速网络攻击调查,并自动缓解反应。基于行为生物统计学的机器学习将有助于评估特定用户在特定会话中的风险。
已经有几个例子表明,机器学习让网络安全分析师领先于网络威胁。举几个例子,一个很好的例子是2017年温布尔登网球赛,其中行为生物识别技术和其他安全技术使安全分析师能够快速有效地识别和解决隐藏在近2亿个事件中的真正威胁,这些事件是在比赛期间发生的。另一个成功案例是,Sogeti卢森堡公司使用 带有Watson的IBM QRadar Advisor,将威胁调查和根本原因确定的时间从三小时减少到三分钟。机器学习的发展对网络安全专业人士来说将是一个不可估量的优势。
机器学习对网络安全的优势
它与传统的 网络安全技术的整合将产生进步的方法和技术,将大大改善以下网络安全挑战的解决方案:
-
威胁猎取。如果用传统的安全技术手动进行威胁猎取,成本高且耗时长。他们使用签名或妥协的指标来识别威胁。事实证明,它们在猎取威胁方面是无效的,特别是那些以前没有遇到过的威胁,从而导致许多未被注意的网络攻击。传统的安全技术扩大了当前网络安全在预测威胁发生前的被动性,特别是考虑到网络攻击者使用不同的程序,如虚拟私人网络(VPN)、代理服务器、Tor浏览器等,以帮助他们匿名和不被察觉。然而,通过机器学习,可以创建模型,通过处理大量的终端数据来开发组织网络内的每个应用程序的配置文件--这将使网络安全变得主动。
-
鱼叉式网络钓鱼:鱼叉式网络钓鱼是一种有针对性的电子邮件钓鱼,它利用受害者的社会工程来创建挑衅性的电子邮件,使受害者采取在受害者的系统中安装恶意软件的行动,然后阻止对系统中一些文件的访问,或将其中的数据作为赎金的人质。机器学习可以被用于创建更好的垃圾邮件过滤器,从而更有效地识别和阻止不需要的电子邮件。同样,它也可以用来创建对模式识别敏感的人工智能聊天机器人,这可以用来拦截有针对性的网络钓鱼尝试和其他攻击的扩展。
-
传统的漏洞管理方法是等待攻击者利用网络系统的高风险漏洞,然后再进行反击。然而,像用户和实体行为分析(UEBA)这样的机器学习技术可以分析用户的账户、终端数据和服务器的基线行为,以识别可能预示潜在未知攻击的非典型行为。他们将帮助在正式报告和打补丁之前捞出漏洞,并提供洞察力,了解什么价值会提高安全基础设施的有效性。
-
监测数据中心在网络安全中是不可或缺的。事实上,安全运营专家已经得出结论,监测安全基础设施的备份、电源、冷却过滤器、内部温度、带宽使用等,将大大改善网络安全。谷歌报告说,2016年在其数据中心内实施机器学习技术后,该设施的冷却成本减少了40%,电力消耗减少了15%。
-
防火墙是保护网络免受攻击的最重要工具之一。经过改进后,它们可以阻止已知的恶意IP地址和网站。事实上,它们可以更有效地阻止恶意流量,同时允许合法流量通过。通过机器学习,大量的数据可以很容易地被实时分析,以寻找可能表明潜在安全漏洞的模式。
-
网络分段。网络分段已被推荐为减轻网络攻击的方法之一。实际上,机器学习可以帮助设计安全策略,使安全专家能够识别合法的网络和那些应该进一步检查恶意行为的网络。而且鉴于许多组织缺乏确切的命名惯例,机器学习将减少确定哪一组工作负载属于某个特定应用的时间。它将通过学习网络流量模式并推荐工作负载的功能分组和安全策略来提高网络安全。
-
入侵检测系统。入侵检测系统 (IDS)是防范网络攻击的关键;它们提醒安全专业人员注意网络中潜在的恶意活动,特别是在网络外煽动的活动。机器学习可以加强入侵检测系统,使其更有效地识别和应对网络中的恶意活动,同时消除传统入侵检测系统产生的假阳性,这些假阳性导致了不必要的警报和时间及资源的浪费。
从所有迹象来看,机器学习将给网络安全带来的优势怎么强调都不过分。它将消除网络安全专家因IT系统和基础设施之间的地理距离而需要克服的障碍,从而使跨区域的事件监测更加成功。此外,它将催生人工智能网络技术,这些技术能够通过消耗迄今为止产生的数十亿条数据,提高他们对网络安全威胁和风险的 "理解"。然后,他们将有效地策划风险分析,分析恶意文件和可疑IP地址的威胁之间的关系,从而减少安全分析师做出关键决策和补救威胁所需的时间。
