撥開迷霧 将機器學習轉化為真正的安全收益

本文講的是 撥開迷霧 将機器學習轉化為真正的安全收益，機器學習已成為安全界最流行的新主題。似乎每家廠商都在采用這一能力，力求在競争激烈的市場上脫穎而出。這就造成了混亂，因為“機器學習”這個詞彙本身往往被誤解，而其使用的影響也是各有不同。

不僅每個人對“機器學習”的了解都不相同，不同廠商應用機器學習的方式也各種各樣。所有這一切，讓買家難以區分炒作和現實，難以弄清機器學習給他們帶來的實際價值。

為撥開機器學習迷霧，不妨從澄清它“不是”什麼開始。

機器學習不是一種防護形式

最大的誤解之一，就是機器學習是某種形式的安全新産品或新功能。事實上，機器學習并不切實提供防護，而是通過驅動更快、更準确、更廣泛、更深入的威脅資料分析，來指導防護操作。面對令人疲于應付的安全威脅資料巨浪，機器學習可以提供人類分析師無法達到的處理效率。

機器學習不是過時方法的權宜之計

大多數殺軟都用機器學習來分析檔案屬性，以确定檔案是否惡意。但這基本上就是殺軟這些年來一直在幹的事情——掃描新檔案屬性與已知惡意軟體屬性做對比來做判定。其中問題是：對靜态已知檔案熟悉的依賴，意味着沒有任何一點機器學習可以用來阻止未知或無檔案威脅。無檔案，就沒有東西可供掃描。

機器學習未必總能更聰明

與任何其他分析工具類似，基于機器學習的安全解決方案效果取決于可用的資料。但是，衆所周知的“垃圾進，垃圾出”。用于訓練的正确功能/屬性集，大量高品質常更新的資料，是有效防護的倚仗。機器學習模型還必須用及時、相關、高保真的資料經常重訓練。

雖然機器學習确實改善了端點安全，我們顯然還未達到最好效果。

為能有效阻止今天高度複雜的惡意軟體，比如無檔案攻擊、CPU級漏洞利用、基于腳本和宏的威脅，還有尚未到來的威脅，端點安全機器學習必須适應目前的環境。它必須能夠從衆多威脅參數和系統配置中，實時辨識軟體的好壞。

于是，要兌現炒作承諾，驅動真正革命性的端點安全新浪潮，機器學習需要做什麼呢？

必須分析檔案行為，而不僅僅是檔案屬性

将安全決策建立在檔案屬性上，隻在以下2種情況下有效：

有檔案可供分析

這些屬性事先已被識别并嵌入到了模型中

于是，當涉及到檢測并阻止新型未知變體、無檔案攻擊和腳本/宏攻擊時，這就留下了一大片空白。端點安全裡對機器學習更新更靈敏的使用，可分析實時行為——程式運作過程中的系統調用和程式指令，驅動這些解決方案在惡意行為剛開始時就識别并阻止之，提供更廣泛更可靠的防護。

必須受及時嚴格反複訓練過的模型的指導

大多數廠商每幾個月就更新一次模型，但鑒于目前新威脅湧現的快節奏，軟體更新的波動性，模型更新的速度顯然不夠快。真正靈敏的解決方案，利用機器學習以近實時（每24小時）的頻率更新其模型，提供能切實跟上當今威脅态勢的最準确及時的解決方案。

必須兼顧合法軟體

正如每天有數千新惡意軟體變體威脅端點，合法軟體也在不停更新和整合。基于檔案屬性的傳統安全解決方案，往往難以持續區分好應用和壞程式，無法分辨有益程序和惡意攻擊。這就造成了高誤報率，迫使使用者在等待模型更新的數月中維護白名單和黑名單。

反應靈敏的解決方案，則不僅僅基于目前惡意軟體資料，還根據已知良好軟體的最新資料，攝入并建立模型，解決這一問題。這麼做可以提供更具适應性的靈活模型，在大幅減少誤報和使用者麻煩的同時，確定更高的精準度和更廣覆寫面。

毫無疑問，機器學習已經，并将持續改變端點安全。但了解該技術實際運作原理及其局限性，是十分重要的。了解了這些東西，公司企業便可以通過詢問正确的問題，在快速進化愈趨複雜的威脅态勢下，獲得充分保護自身所需的準确、全面、前瞻性的安全覆寫。

原文釋出時間為：九月 1, 2017

本文作者：nana

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。