當(dāng)前位置:主頁(yè) > 就業(yè)服務(wù) > 就業(yè)新聞 > 機(jī)器學(xué)習(xí):網(wǎng)絡(luò)攻防新利器 > 正文
機(jī)器學(xué)習(xí):網(wǎng)絡(luò)攻防新利器
2017-07-13作者:四川新華編輯來(lái)源:科學(xué)網(wǎng)點(diǎn)擊:次
亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長(zhǎng)童寧做《機(jī)器學(xué)習(xí)驅(qū)動(dòng)網(wǎng)絡(luò)安全發(fā)展》的分享

在人工智能時(shí)代,各行各業(yè)最怕聽到的是“取代”:人工智能被認(rèn)為將一步步取代法官、取代速記員,取代建筑工人和出租車司機(jī)……不過(guò),目前在許多行業(yè),人工智能仍然只能扮演配角,網(wǎng)絡(luò)安全就是其中之一。
“就安全領(lǐng)域來(lái)講,我們把人工智能當(dāng)成一種幫助安全專家更有效地工作的一個(gè)工具。在可見的未來(lái),還是需要領(lǐng)域?qū)<液途W(wǎng)絡(luò)安全專家來(lái)主導(dǎo)。”7月6日~7日,在成都召開的C3安全峰會(huì)上,亞信安全通用安全產(chǎn)品中心總經(jīng)理、亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長(zhǎng)童寧在接受《中國(guó)科學(xué)報(bào)》記者專訪時(shí)表示,機(jī)器學(xué)習(xí)的確提供了強(qiáng)有力的幫助,但在當(dāng)前網(wǎng)絡(luò)攻防態(tài)勢(shì)下,機(jī)器學(xué)習(xí)也難以“一肩挑”。
不過(guò),隨著對(duì)機(jī)器學(xué)習(xí)這件工具開發(fā)、利用得逐漸深入,網(wǎng)絡(luò)安全正在進(jìn)入網(wǎng)絡(luò)攻防的新階段。
充分條件和必要條件
機(jī)器學(xué)習(xí)技術(shù)應(yīng)用于網(wǎng)絡(luò)安全早已有之。童寧指出,早在1986年,美國(guó)斯坦福研究中心就提出用數(shù)據(jù)統(tǒng)計(jì)來(lái)檢測(cè)網(wǎng)絡(luò)非法入侵。“利用機(jī)器學(xué)習(xí)算法對(duì)垃圾郵件進(jìn)行分類,也已是20年前的事情。”
童寧介紹說(shuō),隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展,大量的設(shè)備產(chǎn)生了各式各樣的日志文件。特別是在2000年以后,在日志管理和分析方面,機(jī)器學(xué)習(xí)算法有了長(zhǎng)足的發(fā)展。比如IBM等大型互聯(lián)網(wǎng)企業(yè)就在這些方面使用了大量的機(jī)器學(xué)習(xí)算法,包括關(guān)聯(lián)分析等。
“2000年以來(lái),機(jī)器學(xué)習(xí)所帶來(lái)的變革——比如利用機(jī)器學(xué)習(xí)算法對(duì)用戶的異常行為進(jìn)行分析等開始普及起來(lái)。”童寧說(shuō)。
趨勢(shì)科技資深數(shù)據(jù)科學(xué)家張佳彥從技術(shù)發(fā)展和經(jīng)濟(jì)原因兩方面,向《中國(guó)科學(xué)報(bào)》記者展示了機(jī)器學(xué)習(xí)介入網(wǎng)絡(luò)安全的“充分條件”和“必要條件”。
“從2006年開始,網(wǎng)絡(luò)病毒開始急劇增加,直到2012年達(dá)到第一個(gè)高峰期。而2012年開始進(jìn)入第二個(gè)循環(huán),更多的新病毒大量出現(xiàn)。” 張佳彥援引一組數(shù)據(jù)提出:“以2007年的數(shù)字為例,每年有約600萬(wàn)個(gè)新病毒出現(xiàn),也就是每天出現(xiàn)1.6萬(wàn)個(gè)病毒。在這種情況下僅靠網(wǎng)絡(luò)安全專家分析和阻擋是不夠的,這就為機(jī)器學(xué)習(xí)的出現(xiàn)提供了充分條件。”
然而事實(shí)是,2006~2012年間,一些機(jī)器學(xué)習(xí)技術(shù)已經(jīng)被用來(lái)嘗試助陣網(wǎng)絡(luò)安防,但直到2013年機(jī)器學(xué)習(xí)技術(shù)才逐漸被安全專家所討論和強(qiáng)調(diào)。這背后的原因是什么?張佳彥認(rèn)為其中牽涉不只是技術(shù)問(wèn)題,還有經(jīng)濟(jì)原因。
原來(lái),2006~2012年這期間,病毒的制造者已經(jīng)從單一黑客演化到有組織的黑客犯罪系統(tǒng),目標(biāo)就是為了竊取受感染電腦的資訊進(jìn)行販賣。此時(shí)病毒的變種已經(jīng)非常繁多,網(wǎng)絡(luò)安全公司已開始使用機(jī)器學(xué)習(xí)對(duì)抗病毒。
然而,在這期間,用戶還不能接受機(jī)器學(xué)習(xí)的手段——這一階段的許多病毒都有潛伏期,由于沒(méi)有立即性危害,許多用戶雖已中毒但并不知情。而相比其他解決方案(如1:N病毒碼),誤判率更高的機(jī)器學(xué)習(xí)算法顯然給用戶帶來(lái)了困擾。
“這個(gè)時(shí)候即使已經(jīng)用了機(jī)器學(xué)習(xí)方案,但大家也不愿大張旗鼓地說(shuō)。” 張佳彥告訴記者。
“劇情”在2012年后出現(xiàn)急轉(zhuǎn)。到了勒索軟件為代表的“網(wǎng)絡(luò)威脅時(shí)代”,緊跟著此后不易追蹤的比特幣等的出現(xiàn),勒索病毒所造成的立即性損失(的重要性)已經(jīng)超過(guò)了機(jī)器誤判帶來(lái)的困擾,“這為機(jī)器學(xué)習(xí)參與網(wǎng)絡(luò)攻防提供了必要條件。” 張佳彥表示。
有監(jiān)督學(xué)習(xí)和無(wú)監(jiān)督學(xué)習(xí)
對(duì)于機(jī)器學(xué)習(xí)來(lái)講,最主要的兩個(gè)概念分別是“有監(jiān)督學(xué)習(xí)”和“無(wú)監(jiān)督學(xué)習(xí)”。百度安全首席架構(gòu)師武廣柱解釋說(shuō):“有監(jiān)督學(xué)習(xí)就是人們‘告訴’機(jī)器‘哪些數(shù)據(jù)是屬于哪一類的’,然后進(jìn)行數(shù)據(jù)訓(xùn)練;反之,無(wú)監(jiān)督學(xué)習(xí)就是不‘告訴’機(jī)器,直接由人們對(duì)最終輸出的結(jié)果進(jìn)行定義。”
“有監(jiān)督的學(xué)習(xí)一開始就有人為的因素在里面,如果訓(xùn)練結(jié)果不盡人意,工程師可以進(jìn)行算法調(diào)整,直至它的結(jié)果達(dá)到人們的要求以后,再投入生產(chǎn)使用。”童寧介紹說(shuō)。
一個(gè)有監(jiān)督學(xué)習(xí)常用的例子是,從房地產(chǎn)中介商處拿到一些房屋原始數(shù)據(jù):年代、面積、位置、成交價(jià)等,交給機(jī)器去“學(xué)習(xí)”。產(chǎn)生的模型就可以對(duì)后來(lái)的購(gòu)房者提供參考:比如輸入其預(yù)算多少錢,得出該客戶能夠在什么區(qū)位買到什么樣的房子。
童寧表示,有監(jiān)督學(xué)習(xí)的這種能力可以用于網(wǎng)絡(luò)攻防中對(duì)惡意程序、垃圾郵件的識(shí)別和對(duì)勒索病毒的防治,特別是在需要多維度識(shí)別的情況下,能夠大幅提高識(shí)別速度和效率。
無(wú)監(jiān)督學(xué)習(xí)所用的方法與有監(jiān)督學(xué)習(xí)有些不同。“機(jī)器直接根據(jù)數(shù)據(jù)自身的特征進(jìn)行自動(dòng)分類,但機(jī)器并不知曉所分類、聚合的特征是什么。人們?cè)傩袠?biāo)注具體屬性。”童寧說(shuō),無(wú)監(jiān)督學(xué)習(xí)“聚類”的優(yōu)勢(shì),可以輕易挑出“少數(shù)派”,幫人們監(jiān)控到一些人所不易察覺的異常行為。
“通過(guò)這有監(jiān)督和無(wú)監(jiān)督學(xué)習(xí)的兩個(gè)例子,可以發(fā)現(xiàn)機(jī)器學(xué)習(xí)關(guān)鍵是,首先必須要有持續(xù)性的、高質(zhì)量的數(shù)據(jù)。因?yàn)檎麄€(gè)的網(wǎng)絡(luò)環(huán)境一直在變,機(jī)器需要學(xué)習(xí)的內(nèi)容也要隨之而變。”童寧半開玩笑說(shuō),“機(jī)器跟我們?nèi)祟愐粯樱枰?lsquo;活到老,學(xué)到老’,從而保證它的學(xué)習(xí)能力。”
更重要的一點(diǎn)是,無(wú)論有監(jiān)督學(xué)習(xí)還是無(wú)監(jiān)督學(xué)習(xí),對(duì)特征的抽取和概括總結(jié),都是由網(wǎng)絡(luò)安全專家和領(lǐng)域?qū)<宜鶇^(qū)別出來(lái)的,因此,“必須要有解決問(wèn)題的領(lǐng)域?qū)<?rdquo;。
“我們的客戶常常問(wèn):是不是有數(shù)據(jù)專家、網(wǎng)絡(luò)安全專家就夠了?答案是否定的。必須要有領(lǐng)域內(nèi)的專家,否則抽取的特征很難去把握。”童寧指出,只有三種元素(持續(xù)高質(zhì)量的安全數(shù)據(jù)、領(lǐng)域?qū)<?網(wǎng)絡(luò)安全專家、機(jī)器學(xué)習(xí)數(shù)據(jù)專家)協(xié)作,機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全方面的應(yīng)用才能獲得更好的效果。
張佳彥也提出,在傳統(tǒng)機(jī)器學(xué)習(xí)所必不可缺的三大要素——數(shù)據(jù)、特征、算法之中,“最花時(shí)間的”就是網(wǎng)絡(luò)安全專家如何產(chǎn)生有效的特征:“這需要非常有經(jīng)驗(yàn)的專家,還要經(jīng)過(guò)反復(fù)不斷的測(cè)試,才能得到良好的結(jié)果。”
機(jī)器學(xué)習(xí)不是“萬(wàn)靈丹”
不過(guò),在張佳彥看來(lái),除了對(duì)安全專家的依賴,機(jī)器學(xué)習(xí)還存在一個(gè)軟肋:誤判率。
“對(duì)我來(lái)說(shuō)機(jī)器學(xué)習(xí)就像‘原子彈’,它的威力無(wú)窮,但如果用得不好會(huì)傷敵一千,自損八百。”張佳彥指出:“訓(xùn)練出來(lái)的模型某種程度上有不可避免的誤判率,所以我認(rèn)為機(jī)器學(xué)習(xí)的重點(diǎn),不僅在于可以把誤判率降低多少,更在于承認(rèn)它一定有誤判率的存在。”
他認(rèn)為,如何將誤判率對(duì)用戶造成的傷害和困擾降到最低,是當(dāng)前機(jī)器學(xué)習(xí)更重要的議題。
“機(jī)器學(xué)習(xí)在垃圾郵件分類、惡意程序查殺方面,已經(jīng)比較成熟了。有時(shí)分錯(cuò)一些郵件相對(duì)來(lái)講還可以接受,但一旦查殺錯(cuò)‘惡意程序’,后果就嚴(yán)重了。”童寧作為一線安全專家深知,機(jī)器學(xué)習(xí)即便再?gòu)?qiáng)大也不能對(duì)其押上所有賭注。
“我們強(qiáng)調(diào)機(jī)器學(xué)習(xí)技術(shù)也是強(qiáng)調(diào)它多維識(shí)別很強(qiáng),但我們并沒(méi)有放棄第一代的黑白名單、第二代的行為監(jiān)控等技術(shù),機(jī)器學(xué)習(xí)技術(shù)再?gòu)?qiáng)大也只是輔助工具,這些手段綜合起來(lái)利用效果才更好。”童寧告訴《中國(guó)科學(xué)報(bào)》記者,“網(wǎng)絡(luò)攻防是永恒的主題,我們唯一能做的就是拿出各種武器,跟黑客戰(zhàn)斗到底。”
四川新華電腦學(xué)院專業(yè)職業(yè)規(guī)劃師為你提供更多幫助【在線咨詢】