3min. read

机器学习 (ML) 是当今几乎所有 IT 部门的常用术语。虽然机器学习经常被用来理解大数据(以改善业务绩效和流程并帮助做出预测),但它在其他应用中也被证明是无价的,包括网络安全。本文将介绍机器学习在网络安全中如此重要的原因,分享该技术的特定应用所面临的一些挑战,并描述机器学习实现的未来图景。

为什么机器学习对网络安全至关重要

对机器学习的需求与复杂性有关。如今,许多企业拥有越来越多的物联网 (IoT) 设备 ,这些设备并非全部由 IT 部门知晓或管理。并非所有数据和应用都在本地运行,因为混合和多云是新常态。用户不再主要在办公室办公,因为远程工作已被广泛接受。

不久前,企业通常依靠基于签名的恶意软件检测,网络流量的静态防火墙规则和访问控制列表 (ACL) 来定义安全策略。在一个设备和地点比以往任何时候都多的世界中,用老旧的方法检测潜在安全风险已经无法跟上规模、范围和复杂性。

机器学习专注于训练模型从大量数据中自动学习,然后通过学习,系统可以识别趋势、发现异常、提出建议并最终执行操作。为了解决企业面临的所有新的安全挑战,显然需要机器学习。只有机器学习才能解决网络安全中越来越多的挑战:扩展安全解决方案,检测未知攻击和检测高级攻击,包括多态恶意软件。高级恶意软件可以改变形式以规避检测,而使用传统的基于签名的方法很难检测到此类高级攻击。事实证明,机器学习是对抗它的最佳解决方案。

是什么让机器学习在网络安全中与众不同

机器学习在许多领域得到了良好理解和广泛部署。其中最受欢迎的是用于识别的图像处理和帮助理解人类或一段文本在说什么的自然语言处理 (NLP)。

网络安全在某些方面不同于机器学习的其他用例。在网络安全中利用机器学习 也有其自身的挑战和要求。我们将讨 论将机器学习应用于网络安全的三个独特挑战以及网络安全中三个常见但更严峻的挑战。

将机器学习应用于网络安全的三个独特挑战

挑战 1:更高的准确性要求。 例如,如果您只是在进行图像处理,而系统将狗误认为是猫,这可能很恼人,但不会严重到影响生死。如果机器学习系统将欺诈性数据包误认为是合法数据包,从而导致对医院及其设备的攻击,则错误分类的影响可能会很严重。

每天,企业都会看到大量数据包穿越防火墙。即使只有 0.1% 的数据被机器学习错误分类,我们也可能错误地阻止大量正常流量,从而严重影响业务。可以理解的是,在机器学习的早期,一些企业担心模型不会像人类安全研究人员那样准确。实际训练机器学习模型以达到与真正熟练的人相同的准确度水平需要时间,并且还需要大量数据。然而,人类无法扩展,并且是当今 IT 界中最稀缺的资源之一。我们依靠机器学习来有效地扩展网络安全解决方案。此外,机器学习可以帮助我们检测人类难以检测的未知攻击,因为机器学习可以建立基准行为并检测任何偏离它们的异常。

挑战 2:获得大量训练数据,尤其是标注数据。 机器学习需要大量数据才能使模型和预测更加准确。获取恶意软件样本比获取图像处理和 NLP 中的数据要困难得多。攻击数据不足,大量安全风险数据因隐私问题敏感且不可用。

挑战 3:真实情况。 与图像不同,网络安全中的真实情况可能并不总是可用或固定的。网络安全形势是动态的,并且一直在变化。没有任何一个恶意软件数据库可以声称涵盖了世界上所有的恶意软件,更何况随时都会产生更多的恶意软件。为了确定我们的准确性,我们应该比较的真实情况是什么?

网络安全中三个更为严峻的机器学习挑战

还有其他一些挑战对所有领域的机器学习来说都很常见,但对网络安全领域的机器学习来说更为严峻。

挑战 1:机器学习模型的可解释性。 全面了解机器学习结果对于我们采取适当行动至关重要。

挑战 2:人才稀缺。 我们必须将领域知识与机器学习专业知识相结合,使机器学习在任何领域都有效。无论是机器学习还是安全本身都缺乏人才;更难找到既了解机器学习又了解网络安全的专家。这就是我们发现确保机器学习数据科学家与安全研究人员合作至关重要的原因,哪怕他们的语言不通、方法不同、思维和态度各异。对他们来说,学会彼此合作非常重要。这两个团队之间的合作是将机器学习成功应用于网络安全的关键。

挑战 3:机器学习安全性。由于网络安全在每项业务中都发挥着关键作用,因此确保我们在网络安全中使用的机器学习本身是安全的更为关键。学术界已经在这方面进行了研究,我们很高兴能够为保护机器学习模型和数据安全的行业运动 做出贡献。Palo Alto Networks 正在推动创新,并尽一切努力确保我们的机器学习安全。

机器学习的目标是提高安全的效率和可扩展性,以帮助节省劳动力并防止未知攻击。使用人力很难扩展到数十亿台设备,但机器学习可以轻松做到这一点。这种规模正是企业在不断升级的威胁形势中保护自身所需要的。机器学习对于检测许多关键基础架构中的未知攻击也很重要。我们不能承受哪怕是一次攻击,这可能意味着生与死。

机器学习如何实现网络安全的未来

机器学习以多种不同方式支持现代网络安全解决方案。单独来看,每一种方式都是有价值的,而放到一起则足以颠 覆传统,在动态威胁环境中保持强大的安全态势。

识别和分析: 随着新设备一直不断连接到企业网络,IT 企业要了解它们并非易事。机器学习可用于识别和分析网络上的设备。这种分析可以确定给定设备的不同功能和行为。

自动检测异常: 使用机器学习来快速识别已知的不良行为是一个很好的安全用例。在首次分析设备并了解常规活动 之后,机器学习知道什么是正常的,什么是异常的。

零日检测: 对于传统的安全性,必须至少看到一次不良行为才能将其识别为不良行为。这就是传统的基于签名的恶 意软件检测的工作方式。机器学习可以智能地识别以前未知的恶意软件和攻击形式,以帮助保护企业免受潜在的零日攻击。

大规模分析: 由于数据和应用分布在许多不同的位置,识别大量设备的趋势已非人力可及。机器学习可以做人类做不到的事情,实现大规模分析的自动化。

策略建议: 构建安全策略的过程通常很依赖人工,并且不乏挑战。通过了解存在哪些设备以及什么是正常行为,机器学习可以帮助为安全设备(包括防火墙)提供策略建议。机器学习无需手动浏览针对不同设备和网络段的不同冲突访问控制列表,而是可以提出用自动化方法工作的具体建议。

随着每天都有更多的设备和威胁上线,以及人力安全资源稀缺,只有机器学习才能大规模分类复杂的情况和场景,以使企业能够应对现在和未来几年的网络安全挑战。