人工智能（AI）和機器學(xué)習(xí)（ML）是眾多辯論的主題，特別是在網(wǎng)絡(luò)安全社區(qū)內(nèi)更是如此。那么，機器學(xué)習(xí)會是下一個大的安全趨勢嗎？人工智能準(zhǔn)備好了接受機器學(xué)習(xí)推動的攻擊嗎？總的來說，人工智能是否做好了使用的準(zhǔn)備？無論你對于機器學(xué)習(xí)是否會成為網(wǎng)絡(luò)安全救世主的看法如何，有兩件事情卻是真實的：一是分析在安全領(lǐng)域占有一席之地，二是機器學(xué)習(xí)在一些具體的使用案例中代表了我們今天所能給出的最好答案。

　　盡管有報道稱黑客使用了”復(fù)雜老道”的入侵方法，但是很有可能的是黑客或黑客團體聰明地使用了常見的攻擊方法攻入了這家銀幕巨頭的系統(tǒng)，并使用了 “l(fā)ittle.finger66″（譯注：”小指頭66″，”小指頭”是《權(quán)力的游戲》劇集人物培提爾。貝里席的綽號）這個綽號。

　　下面列舉了一些使用案例，它們代表了一些會影響每一家企業(yè)的常見安全威脅。不過，機器學(xué)習(xí)可能是也可能不是網(wǎng)絡(luò)安全的靈丹妙藥，但在下面這些情況中，它肯定會有所幫助。

　　使用案例1：”叉魚”（防范網(wǎng)絡(luò)釣魚）

　　網(wǎng)絡(luò)釣魚是今天最常見的攻擊媒介，而且非常成功。這種攻擊利用了個人對通信工具的熟悉，如社交媒體和電子郵件，通過附件或鏈接向不知情的收件人發(fā)送惡意內(nèi)容。這種攻擊的有效性依賴于攻擊者誤導(dǎo)最終用戶點擊或下載惡意有效載荷并在之后繞過內(nèi)部控制的能力。目前其不斷增加的破壞性和勒索軟件有效載荷使得這種攻擊更加嚴(yán)重。

　　組織可以通過從電子郵件中捕獲元數(shù)據(jù)來檢測這些威脅，而且這種做法不會影響用戶的隱私。通過查看電子郵件標(biāo)題以及對郵件正文數(shù)據(jù)的二次抽樣，機器學(xué)習(xí)算法可以學(xué)習(xí)識別能夠暴露惡意發(fā)件人的電子郵件模式。通過提取和標(biāo)記這些微觀行為，我們可以訓(xùn)練我們的模型來檢測是否有人正在嘗試網(wǎng)絡(luò)釣魚。隨著時間的推移，機器學(xué)習(xí)工具可以根據(jù)發(fā)件人的可信賴性構(gòu)建曲線圖。

　　使用案例2：水坑式攻擊（Watering Holes）

　　類似于網(wǎng)絡(luò)釣魚攻擊，水坑式攻擊看起來似乎是合法的網(wǎng)站或網(wǎng)絡(luò)應(yīng)用程序。但是，這些網(wǎng)站或應(yīng)用程序雖然是真實的，可已經(jīng)被盜用了，或者根本就是假冒的網(wǎng)站或應(yīng)用程序，旨在引誘沒有疑慮的訪問者輸入個人信息。這種攻擊也部分依賴于攻擊者誤導(dǎo)用戶以及有效攻擊服務(wù)的能力。

　　機器學(xué)習(xí)可以通過分析諸如路徑/目錄遍歷統(tǒng)計等數(shù)據(jù)來幫助機構(gòu)對網(wǎng)絡(luò)應(yīng)用程序服務(wù)進行基準(zhǔn)測試。隨著時間推移不斷學(xué)習(xí)的算法可以識別出攻擊者或惡意網(wǎng)站和應(yīng)用程序的常見互動。機器學(xué)習(xí)還可以監(jiān)控到罕見或不尋常的重新定向模式的行為，重新定向可能指向站點主機或者來自站點主機，還可以監(jiān)控引薦鏈接–所有這些都是典型的風(fēng)險警示指標(biāo)。

　　使用案例3：內(nèi)網(wǎng)漫游（Lateral Movement）

　　這不是一種特定類型的攻擊，內(nèi)網(wǎng)漫游攻擊方法表示攻擊者在網(wǎng)絡(luò)中的移動，這是他們在查找漏洞并應(yīng)用不同的技術(shù)來利用這些漏洞。內(nèi)網(wǎng)漫游特別能夠表明風(fēng)險沿著殺傷鏈–攻擊者從偵察到數(shù)據(jù)提取的活動–上升，特別是當(dāng)攻擊者從低級用戶的機器轉(zhuǎn)移到更重要的人員（可以訪問有價值的數(shù)據(jù)）時。

　　網(wǎng)絡(luò)流量輸入記錄可以告訴您訪問者與網(wǎng)站的互動情況。機器學(xué)習(xí)了解數(shù)據(jù)的語境，可以動態(tài)地提供正常通信數(shù)據(jù)的視圖。有了對典型通信流的更好理解，算法可以完成變化點檢測（也就是說，當(dāng)給定通信模式的概率分布發(fā)生變化，并變得不太可能像是”正常”的通信活動的時候，它能夠識別出來），以此監(jiān)測潛在的威脅。

　　使用案例4：隱蔽信道檢測（Covert Channel Detection）

　　使用隱蔽信道的攻擊者通過不用于通信的信道傳輸信息。使用隱蔽信道讓攻擊者保持對受到威脅的資產(chǎn)的控制，并使用可以隨時間執(zhí)行攻擊的戰(zhàn)術(shù)，而且不被發(fā)現(xiàn)。

　　使用隱蔽信道的攻擊通常取決于給定網(wǎng)絡(luò)上所有域的可見性。機器學(xué)習(xí)技術(shù)可以攝取并分析有關(guān)稀有領(lǐng)域的統(tǒng)計數(shù)據(jù)。有了這些信息，安全操作團隊可以更輕松地讓云端攻擊者現(xiàn)形。沒有了對他們打算攻擊的網(wǎng)絡(luò)的整體了解，網(wǎng)絡(luò)犯罪分子更難以將其攻擊沿著殺傷鏈條向前推進。

　　使用案例5：勒索軟件（Ransomware）

　　勒索軟件”名符其實”。這種惡意軟件擦除驅(qū)動器并鎖定受感染的設(shè)備和計算機作為要挾，以換取用戶的加密密鑰。這種形式的網(wǎng)絡(luò)攻擊會鎖定信息，直到用戶放棄其密鑰，或者在某些情況下，如果不支付贖金，則威脅發(fā)布用戶的個人信息。

　　勒索軟件提出了一種具有挑戰(zhàn)性的使用案例，因為攻擊經(jīng)常導(dǎo)致網(wǎng)絡(luò)活動日志缺乏證據(jù)。機器學(xué)習(xí)技術(shù)可以幫助安全分析師跟蹤與勒索軟件相關(guān)的細(xì)小行為，例如與給定的整個文件系統(tǒng)交互的熵統(tǒng)計或過程。組織可以將機器學(xué)習(xí)算法集中在最初感染有效載荷上，試圖識別出這些證據(jù)碎片。

　　使用案例6：注入攻擊（Injection Attacks）

　　Open Web Application Security Project （開放網(wǎng)絡(luò)應(yīng)用程序安全項目，OWASP）將注入攻擊列為網(wǎng)絡(luò)應(yīng)用程序頭號安全風(fēng)險。（注：當(dāng)前版本的OWASP Top-10已被否決，該組織已重新開始安全專業(yè)人士的數(shù)據(jù)調(diào)用和調(diào)查）。注入攻擊讓攻擊者可以在程序中進行惡意輸入。例如，攻擊者會將一行代碼輸入數(shù)據(jù)庫，當(dāng)訪問數(shù)據(jù)庫時，就會修改或更改網(wǎng)站上的數(shù)據(jù)。

　　數(shù)據(jù)庫日志是可以幫助識別潛在攻擊的另一個信息來源。機構(gòu)可以使用機器學(xué)習(xí)算法來構(gòu)建數(shù)據(jù)庫用戶組的統(tǒng)計概況。隨著時間的推移，算法學(xué)習(xí)了解了這些組如何訪問企業(yè)中的各個應(yīng)用程序，并學(xué)習(xí)發(fā)現(xiàn)這些訪問模式中出現(xiàn)的異常。

　　使用案例7：偵查攻擊（Reconnaissance）

　　在發(fā)起攻擊之前，黑客會對目標(biāo)或目標(biāo)群體進行廣泛的偵查。偵查包括探測網(wǎng)絡(luò)的漏洞。攻擊者將在網(wǎng)絡(luò)的周邊或局域網(wǎng)（LAN）內(nèi)進行偵查。典型的偵查攻擊探測使用了簽名匹配技術(shù)，通過網(wǎng)絡(luò)活動日志尋找可能代表惡意行為的重復(fù)模式。然而，基于簽名的檢測通常會產(chǎn)生一串嘈雜的假警報。

　　機器學(xué)習(xí)可以是網(wǎng)絡(luò)數(shù)據(jù)拓?fù)涞闹改厢槨＝?jīng)過訓(xùn)練的算法可以開發(fā)這種拓?fù)鋱D，以便識別新模式的傳播，這種做法比基于簽名的方法更快。使用機器學(xué)習(xí)也減少了誤報的數(shù)量，從而使安全分析人員能夠把時間花在處理真正重要的報警上。

　　使用案例8：網(wǎng)頁木馬（Webshell）

　　United States Computer Emergency Readiness Team（美國計算機應(yīng)急準(zhǔn)備小組，US-CERT）對網(wǎng)頁木馬（Webshell）的定義是”可以上傳到網(wǎng)絡(luò)服務(wù)器的腳本，以便遠(yuǎn)程管理機器”。通過遠(yuǎn)程管理，攻擊者可以啟動數(shù)據(jù)庫數(shù)據(jù)轉(zhuǎn)存、文件傳輸和惡意軟件安裝等進程。

　　網(wǎng)頁木馬（Webshell）攻擊者的目標(biāo)通常是后端的電子商務(wù)平臺，攻擊者通過這些平臺來瞄準(zhǔn)購物者的個人信息。機器學(xué)習(xí)算法可以聚焦正常購物車行為的統(tǒng)計，然后幫助識別出不應(yīng)該以這種頻率發(fā)生的異常值或行為。

　　使用案例9：憑證盜竊（Credential Theft）

　　一些高調(diào)的攻擊，包括對虛擬專用網(wǎng)（VPN）攻擊，都是憑據(jù)盜竊的結(jié)果。憑證盜竊通常使用諸如網(wǎng)絡(luò)釣魚或水坑式攻擊等手段來實現(xiàn)，攻擊者以此從受害者那里提取登錄憑證，以便訪問組織維護的敏感信息。

　　互聯(lián)網(wǎng)用戶–消費者–經(jīng)常留下登錄模式。網(wǎng)站和應(yīng)用程序可以跟蹤位置和登錄時間。機器學(xué)習(xí)技術(shù)可以跟蹤這些模式以及包含這些模式的數(shù)據(jù)，以了解什么樣的用戶行為是正常的，哪些行為則代表了可能有害的活動。

　　使用案例10：遠(yuǎn)程利用攻擊（Remote Exploitation）

　　最后，許多攻擊模式會使用遠(yuǎn)程利用攻擊。這些攻擊通常會通過一系列針對目標(biāo)系統(tǒng)的惡意事件進行操作，以識別漏洞，然后提供有效負(fù)載（如惡意代碼）來利用漏洞。一旦攻擊投放了有效載荷，它就會在系統(tǒng)內(nèi)執(zhí)行代碼。

　　機器學(xué)習(xí)可以分析系統(tǒng)行為并識別與典型網(wǎng)絡(luò)行為無關(guān)的順序行為實例。算法可以隨著時間的推移進行學(xué)習(xí)，可以提醒安全分析師有關(guān)意在利用漏洞的有效載荷的傳輸情況。

　　這里的討論不是機器學(xué)習(xí)的終點，而應(yīng)該是它的起點

　　準(zhǔn)確的網(wǎng)絡(luò)安全分析系統(tǒng)必須成為現(xiàn)代安全運營中心的基石。但是，如果沒有數(shù)據(jù)樣本，則不可能開展準(zhǔn)確的分析。采用機器學(xué)習(xí)思維并使用機器學(xué)習(xí)技術(shù)的安全團隊可以更快地解決上述各種類型的攻擊。機器學(xué)習(xí)或其他任何一種技術(shù)都永遠(yuǎn)不會是任何一個行業(yè)的終結(jié)和全部。它確實提供了一種替代的、開放源代碼的哲學(xué)思維，可被用于識別和處理網(wǎng)絡(luò)攻擊，這能夠改進很多目前正在使用的方法。