機器學習可以幫助企業(yè)更好地了解自身面臨的安全威脅，幫助員工專注于更有價值的戰(zhàn)略任務。同時，它還可能是解決下一輪WannaCry風波的有力武器。

20世紀中期，Arthur Samuel在AI之后創(chuàng)造了“機器學習”這個短語，并將其定義為“在沒有被明確編程的情況下就能學習的能力。”跨大型數(shù)據(jù)集應用數(shù)學技術，機器學習算法可以構建行為模型，并基于新輸入的數(shù)據(jù)，使用這些模型作為對未來進行預測的基礎。視頻網(wǎng)站（如Netflix）可以根據(jù)您之前的歷史觀看記錄為您提供新劇集，自動駕駛汽車可以通過與行人近距離接觸的過程了解道路狀況，這些都是機器學習在生活中最普遍的例子。

那么，信息安全中的機器學習應用又是什么呢？

原則上來說，機器學習可以幫助企業(yè)組織更好地分析威脅，并響應攻擊和安全事件。它還可以幫助自動執(zhí)行一些更為瑣碎繁復的工作，這些工作或是任務量巨大或是此前由技術欠缺的安全團隊所執(zhí)行。

除此之外，機器學習在安全性方面的應用也正呈現(xiàn)快速增長的趨勢。ABI Research 的分析師估計，到2021年，機器學習在網(wǎng)絡安全方面的應用將推動大數(shù)據(jù)、人工智能（AI）及分析方面的支出增長到960億美元，與此同時，世界上一些科技巨頭也已經(jīng)紛紛采取措施以更好地保護自己的客戶。

例如，谷歌正在利用機器學習來分析在Android上運行的移動終端威脅，以及識別和移除受感染手機中的惡意軟件；而云基礎設施巨頭亞馬遜也已經(jīng)成功收購了初創(chuàng)公司 harvest．AI，并推出了Macie——一種使用機器學習來發(fā)現(xiàn)、排序和分類S3云存儲上數(shù)據(jù)的服務。

與此同時，企業(yè)安全供應商也一直致力于將機器學習集成到新舊產(chǎn)品線中，旨在進一步改進惡意軟檢測效率。J． Gold Associates總裁兼首席分析師Jack Gold表示：大多數(shù)主流安全公司已從幾年前用于檢測惡意軟件的純‘基于簽名’的系統(tǒng)，轉(zhuǎn)變?yōu)樵噲D解釋行為及事件，并從各種源中學習判斷什么是安全，什么不是的機器學習系統(tǒng)。它仍然是一個新興的領域，但它也顯然是未來的發(fā)展方向。AI和機器學習將極大地改變安全運作方式。

雖然這種轉(zhuǎn)變不會在朝夕之間發(fā)生，但機器學習已經(jīng)在某些領域出現(xiàn)。德國電信創(chuàng)新實驗室（以及以色列本古里安大學網(wǎng)絡安全研究中心）首席技術官Dudu Mimran表示：人工智能——作為一個更廣泛的定義，包括機器學習和深度學習——正處于驅(qū)動網(wǎng)絡防御的早期階段，但已經(jīng)在終端、網(wǎng)絡、欺詐或SIEM中起到了識別惡意活動模式的明顯作用。我相信未來我們會在防御服務中斷、歸因和用戶行為修改等方面看到越來越多的用例。

接下來，我們一起來了解一下機器學習在安全領域的最頂級用例：

1． 使用機器學習來檢測惡意活動并阻止攻擊

機器學習算法將幫助企業(yè)更快地檢測惡意活動，并在攻擊開始之前予以阻止。英國初創(chuàng)公司Darktrace就成功把握住了這種發(fā)展機遇，據(jù)悉，這家創(chuàng)立于2013年的公司已經(jīng)在其基于機器學習的企業(yè)免疫解決方案（Enterprise Immune Solution）方面取得了很大成就。

Darktrace公司技術總監(jiān)David Palmer介紹稱，Darktrace曾利用機器學習算法幫助北美一家賭場成功檢測到了數(shù)據(jù)泄露攻擊，該攻擊使用“聯(lián)網(wǎng)魚缸作為進入賭場網(wǎng)絡的切入點。”該公司還宣稱，在之前肆虐全球的WannaCry勒索軟件活動中，其算法也成功防止過一起類似的攻擊。

談及感染了150個國家20多萬受害者的WannaCry勒索軟件，Palmer表示：我們的算法在幾秒鐘內(nèi)，就成功地從一家國民醫(yī)療服務（NHS）機構的網(wǎng)絡中檢測出了攻擊，并在該攻擊尚未對該機構造成任何破壞前成功緩解了威脅。事實上，我們的客戶沒有任何一家受到了WannaCry攻擊的傷害，甚至包括那些沒打補丁的用戶。

2． 使用機器學習來分析移動終端

在移動設備上，機器學習已經(jīng)成為主流，但到目前為止，其大部分活動都是為了改善Google Now、蘋果的Siri和亞馬遜的Alexa等基于語音的體驗。不過，機器學習在安全方面確實有應用。如上所述，谷歌正在使用機器學習來分析針對移動終端的威脅，而企業(yè)則在防護自帶及自選移動設備上看到了更多機會。

2017年10月，MobileIron和Zimperium宣布合作，幫助企業(yè)采用集成了機器學習技術的移動反惡意軟件解決方案。MobileIron表示，它將把Zimperium基于機器學習的威脅檢測與MobileIron的安全和合規(guī)性引擎相集成，并作為組合解決方案出售，該解決方案將解決諸如檢測設備、網(wǎng)絡及應用程序威脅等方面的挑戰(zhàn)，并快速采取自動化措施來防護公司數(shù)據(jù)。

其他供應商也在尋求支持他們的移動解決方案。Zimperium、LookOut、Skycure（已被賽門鐵克收購）以及Wandera，一直被視為移動威脅檢測和防御市場中的領軍者。他們每家都使用自有的機器學習算法來檢測潛在威脅。例如，Wandera推出了其威脅檢測引擎 MI：RIAM，據(jù)稱檢測出了超過400種針對企業(yè)移動設備的SLocker勒索軟件變種。