人工智能（AI）和機器學習（ML）是眾多辯論的主題，特別是在網絡安全社區(qū)內更是如此。那么，機器學習會是下一個大的安全趨勢嗎？人工智能準備好了接受機器學習推動的攻擊嗎？總的來說，人工智能是否做好了使用的準備？無論你對于機器學習是否會成為網絡安全救世主的看法如何，有兩件事情卻是真實的：一是分析在安全領域占有一席之地，二是機器學習在一些具體的使用案例中代表了我們今天所能給出的最好答案。

　　盡管有報道稱黑客使用了”復雜老道”的入侵方法，但是很有可能的是黑客或黑客團體聰明地使用了常見的攻擊方法攻入了這家銀幕巨頭的系統(tǒng)，并使用了 “little.finger66″（譯注：”小指頭66″，”小指頭”是《權力的游戲》劇集人物培提爾。貝里席的綽號）這個綽號。

　　下面列舉了一些使用案例，它們代表了一些會影響每一家企業(yè)的常見安全威脅。不過，機器學習可能是也可能不是網絡安全的靈丹妙藥，但在下面這些情況中，它肯定會有所幫助。

　　使用案例1：”叉魚”（防范網絡釣魚）

　　網絡釣魚是今天最常見的攻擊媒介，而且非常成功。這種攻擊利用了個人對通信工具的熟悉，如社交媒體和電子郵件，通過附件或鏈接向不知情的收件人發(fā)送惡意內容。這種攻擊的有效性依賴于攻擊者誤導最終用戶點擊或下載惡意有效載荷并在之后繞過內部控制的能力。目前其不斷增加的破壞性和勒索軟件有效載荷使得這種攻擊更加嚴重。

　　組織可以通過從電子郵件中捕獲元數據來檢測這些威脅，而且這種做法不會影響用戶的隱私。通過查看電子郵件標題以及對郵件正文數據的二次抽樣，機器學習算法可以學習識別能夠暴露惡意發(fā)件人的電子郵件模式。通過提取和標記這些微觀行為，我們可以訓練我們的模型來檢測是否有人正在嘗試網絡釣魚。隨著時間的推移，機器學習工具可以根據發(fā)件人的可信賴性構建曲線圖。

　　使用案例2：水坑式攻擊（Watering Holes）

　　類似于網絡釣魚攻擊，水坑式攻擊看起來似乎是合法的網站或網絡應用程序。但是，這些網站或應用程序雖然是真實的，可已經被盜用了，或者根本就是假冒的網站或應用程序，旨在引誘沒有疑慮的訪問者輸入個人信息。這種攻擊也部分依賴于攻擊者誤導用戶以及有效攻擊服務的能力。

　　機器學習可以通過分析諸如路徑/目錄遍歷統(tǒng)計等數據來幫助機構對網絡應用程序服務進行基準測試。隨著時間推移不斷學習的算法可以識別出攻擊者或惡意網站和應用程序的常見互動。機器學習還可以監(jiān)控到罕見或不尋常的重新定向模式的行為，重新定向可能指向站點主機或者來自站點主機，還可以監(jiān)控引薦鏈接–所有這些都是典型的風險警示指標。

　　使用案例3：內網漫游（Lateral Movement）

　　這不是一種特定類型的攻擊，內網漫游攻擊方法表示攻擊者在網絡中的移動，這是他們在查找漏洞并應用不同的技術來利用這些漏洞。內網漫游特別能夠表明風險沿著殺傷鏈–攻擊者從偵察到數據提取的活動–上升，特別是當攻擊者從低級用戶的機器轉移到更重要的人員（可以訪問有價值的數據）時。

　　網絡流量輸入記錄可以告訴您訪問者與網站的互動情況。機器學習了解數據的語境，可以動態(tài)地提供正常通信數據的視圖。有了對典型通信流的更好理解，算法可以完成變化點檢測（也就是說，當給定通信模式的概率分布發(fā)生變化，并變得不太可能像是”正常”的通信活動的時候，它能夠識別出來），以此監(jiān)測潛在的威脅。

　　使用案例4：隱蔽信道檢測（Covert Channel DetecTIon）

　　使用隱蔽信道的攻擊者通過不用于通信的信道傳輸信息。使用隱蔽信道讓攻擊者保持對受到威脅的資產的控制，并使用可以隨時間執(zhí)行攻擊的戰(zhàn)術，而且不被發(fā)現。

　　使用隱蔽信道的攻擊通常取決于給定網絡上所有域的可見性。機器學習技術可以攝取并分析有關稀有領域的統(tǒng)計數據。有了這些信息，安全操作團隊可以更輕松地讓云端攻擊者現形。沒有了對他們打算攻擊的網絡的整體了解，網絡犯罪分子更難以將其攻擊沿著殺傷鏈條向前推進。

　　使用案例5：勒索軟件（Ransomware）

　　勒索軟件”名符其實”。這種惡意軟件擦除驅動器并鎖定受感染的設備和計算機作為要挾，以換取用戶的加密密鑰。這種形式的網絡攻擊會鎖定信息，直到用戶放棄其密鑰，或者在某些情況下，如果不支付贖金，則威脅發(fā)布用戶的個人信息。

　　勒索軟件提出了一種具有挑戰(zhàn)性的使用案例，因為攻擊經常導致網絡活動日志缺乏證據。機器學習技術可以幫助安全分析師跟蹤與勒索軟件相關的細小行為，例如與給定的整個文件系統(tǒng)交互的熵統(tǒng)計或過程。組織可以將機器學習算法集中在最初感染有效載荷上，試圖識別出這些證據碎片。

　　使用案例6：注入攻擊（InjecTIon Attacks）

　　Open Web ApplicaTIon Security Project （開放網絡應用程序安全項目，OWASP）將注入攻擊列為網絡應用程序頭號安全風險。（注：當前版本的OWASP Top-10已被否決，該組織已重新開始安全專業(yè)人士的數據調用和調查）。注入攻擊讓攻擊者可以在程序中進行惡意輸入。例如，攻擊者會將一行代碼輸入數據庫，當訪問數據庫時，就會修改或更改網站上的數據。

　　數據庫日志是可以幫助識別潛在攻擊的另一個信息來源。機構可以使用機器學習算法來構建數據庫用戶組的統(tǒng)計概況。隨著時間的推移，算法學習了解了這些組如何訪問企業(yè)中的各個應用程序，并學習發(fā)現這些訪問模式中出現的異常。

　　使用案例7：偵查攻擊（Reconnaissance）

　　在發(fā)起攻擊之前，黑客會對目標或目標群體進行廣泛的偵查。偵查包括探測網絡的漏洞。攻擊者將在網絡的周邊或局域網（LAN）內進行偵查。典型的偵查攻擊探測使用了簽名匹配技術，通過網絡活動日志尋找可能代表惡意行為的重復模式。然而，基于簽名的檢測通常會產生一串嘈雜的假警報。

　　機器學習可以是網絡數據拓撲的指南針。經過訓練的算法可以開發(fā)這種拓撲圖，以便識別新模式的傳播，這種做法比基于簽名的方法更快。使用機器學習也減少了誤報的數量，從而使安全分析人員能夠把時間花在處理真正重要的報警上。

　　使用案例8：網頁木馬（Webshell）

　　United States Computer Emergency Readiness Team（美國計算機應急準備小組，US-CERT）對網頁木馬（Webshell）的定義是”可以上傳到網絡服務器的腳本，以便遠程管理機器”。通過遠程管理，攻擊者可以啟動數據庫數據轉存、文件傳輸和惡意軟件安裝等進程。

　　網頁木馬（Webshell）攻擊者的目標通常是后端的電子商務平臺，攻擊者通過這些平臺來瞄準購物者的個人信息。機器學習算法可以聚焦正常購物車行為的統(tǒng)計，然后幫助識別出不應該以這種頻率發(fā)生的異常值或行為。

　　使用案例9：憑證盜竊（CredenTIal Theft）

　　一些高調的攻擊，包括對虛擬專用網（VPN）攻擊，都是憑據盜竊的結果。憑證盜竊通常使用諸如網絡釣魚或水坑式攻擊等手段來實現，攻擊者以此從受害者那里提取登錄憑證，以便訪問組織維護的敏感信息。

　　互聯網用戶–消費者–經常留下登錄模式。網站和應用程序可以跟蹤位置和登錄時間。機器學習技術可以跟蹤這些模式以及包含這些模式的數據，以了解什么樣的用戶行為是正常的，哪些行為則代表了可能有害的活動。

　　使用案例10：遠程利用攻擊（Remote Exploitation）

　　最后，許多攻擊模式會使用遠程利用攻擊。這些攻擊通常會通過一系列針對目標系統(tǒng)的惡意事件進行操作，以識別漏洞，然后提供有效負載（如惡意代碼）來利用漏洞。一旦攻擊投放了有效載荷，它就會在系統(tǒng)內執(zhí)行代碼。

　　機器學習可以分析系統(tǒng)行為并識別與典型網絡行為無關的順序行為實例。算法可以隨著時間的推移進行學習，可以提醒安全分析師有關意在利用漏洞的有效載荷的傳輸情況。

　　這里的討論不是機器學習的終點，而應該是它的起點

　　準確的網絡安全分析系統(tǒng)必須成為現代安全運營中心的基石。但是，如果沒有數據樣本，則不可能開展準確的分析。采用機器學習思維并使用機器學習技術的安全團隊可以更快地解決上述各種類型的攻擊。機器學習或其他任何一種技術都永遠不會是任何一個行業(yè)的終結和全部。它確實提供了一種替代的、開放源代碼的哲學思維，可被用于識別和處理網絡攻擊，這能夠改進很多目前正在使用的方法。