即使是瑟曦.蘭尼斯特的陰謀詭計(jì)或者喬拉.莫爾蒙爵士父親般的保護(hù)（譯注：兩者都是HBO劇集《權(quán)力的游戲》中的人物）也無(wú)法阻止攻擊者攻破HBO的網(wǎng)絡(luò)并竊取了1.5TB的數(shù)據(jù)（包括未播出的《權(quán)力的游戲》劇集）。然而，機(jī)器學(xué)習(xí)可能已經(jīng)為HBO的虛擬要塞提供了更好的防護(hù)。

人工智能（AI）和機(jī)器學(xué)習(xí)（ML）是眾多辯論的主題，特別是在網(wǎng)絡(luò)安全社區(qū)內(nèi)更是如此。那么，機(jī)器學(xué)習(xí)會(huì)是下一個(gè)大的安全趨勢(shì)嗎？人工智能準(zhǔn)備好了接受機(jī)器學(xué)習(xí)推動(dòng)的攻擊嗎？總的來(lái)說(shuō)，人工智能是否做好了使用的準(zhǔn)備？無(wú)論你對(duì)于機(jī)器學(xué)習(xí)是否會(huì)成為網(wǎng)絡(luò)安全救世主的看法如何，有兩件事情卻是真實(shí)的：一是分析在安全領(lǐng)域占有一席之地，二是機(jī)器學(xué)習(xí)在一些具體的使用案例中代表了我們今天所能給出的最好答案。

盡管有報(bào)道稱黑客使用了"復(fù)雜老道"的入侵方法，但是很有可能的是黑客或黑客團(tuán)體聰明地使用了常見的攻擊方法攻入了這家銀幕巨頭的系統(tǒng)，并使用了 "little.finger66"（譯注："小指頭66"，"小指頭"是《權(quán)力的游戲》劇集人物培提爾.貝里席的綽號(hào)）這個(gè)綽號(hào)。

下面列舉了一些使用案例，它們代表了一些會(huì)影響每一家企業(yè)的常見安全威脅。不過(guò)，機(jī)器學(xué)習(xí)可能是也可能不是網(wǎng)絡(luò)安全的靈丹妙藥，但在下面這些情況中，它肯定會(huì)有所幫助。

使用案例1："叉魚"（防范網(wǎng)絡(luò)釣魚）

網(wǎng)絡(luò)釣魚是今天最常見的攻擊媒介，而且非常成功。這種攻擊利用了個(gè)人對(duì)通信工具的熟悉，如社交媒體和電子郵件，通過(guò)附件或鏈接向不知情的收件人發(fā)送惡意內(nèi)容。這種攻擊的有效性依賴于攻擊者誤導(dǎo)最終用戶點(diǎn)擊或下載惡意有效載荷并在之后繞過(guò)內(nèi)部控制的能力。目前其不斷增加的破壞性和勒索軟件有效載荷使得這種攻擊更加嚴(yán)重。

組織可以通過(guò)從電子郵件中捕獲元數(shù)據(jù)來(lái)檢測(cè)這些威脅，而且這種做法不會(huì)影響用戶的隱私。通過(guò)查看電子郵件標(biāo)題以及對(duì)郵件正文數(shù)據(jù)的二次抽樣，機(jī)器學(xué)習(xí)算法可以學(xué)習(xí)識(shí)別能夠暴露惡意發(fā)件人的電子郵件模式。通過(guò)提取和標(biāo)記這些微觀行為，我們可以訓(xùn)練我們的模型來(lái)檢測(cè)是否有人正在嘗試網(wǎng)絡(luò)釣魚。隨著時(shí)間的推移，機(jī)器學(xué)習(xí)工具可以根據(jù)發(fā)件人的可信賴性構(gòu)建曲線圖。

使用案例2：水坑式攻擊（Watering Holes）

類似于網(wǎng)絡(luò)釣魚攻擊，水坑式攻擊看起來(lái)似乎是合法的網(wǎng)站或網(wǎng)絡(luò)應(yīng)用程序。但是，這些網(wǎng)站或應(yīng)用程序雖然是真實(shí)的，可已經(jīng)被盜用了，或者根本就是假冒的網(wǎng)站或應(yīng)用程序，旨在引誘沒有疑慮的訪問(wèn)者輸入個(gè)人信息。這種攻擊也部分依賴于攻擊者誤導(dǎo)用戶以及有效攻擊服務(wù)的能力。

機(jī)器學(xué)習(xí)可以通過(guò)分析諸如路徑/目錄遍歷統(tǒng)計(jì)等數(shù)據(jù)來(lái)幫助機(jī)構(gòu)對(duì)網(wǎng)絡(luò)應(yīng)用程序服務(wù)進(jìn)行基準(zhǔn)測(cè)試。隨著時(shí)間推移不斷學(xué)習(xí)的算法可以識(shí)別出攻擊者或惡意網(wǎng)站和應(yīng)用程序的常見互動(dòng)。機(jī)器學(xué)習(xí)還可以監(jiān)控到罕見或不尋常的重新定向模式的行為，重新定向可能指向站點(diǎn)主機(jī)或者來(lái)自站點(diǎn)主機(jī)，還可以監(jiān)控引薦鏈接--所有這些都是典型的風(fēng)險(xiǎn)警示指標(biāo)。

使用案例3：內(nèi)網(wǎng)漫游（Lateral Movement）

這不是一種特定類型的攻擊，內(nèi)網(wǎng)漫游攻擊方法表示攻擊者在網(wǎng)絡(luò)中的移動(dòng)，這是他們?cè)诓檎衣┒床?yīng)用不同的技術(shù)來(lái)利用這些漏洞。內(nèi)網(wǎng)漫游特別能夠表明風(fēng)險(xiǎn)沿著殺傷鏈--攻擊者從偵察到數(shù)據(jù)提取的活動(dòng)--上升，特別是當(dāng)攻擊者從低級(jí)用戶的機(jī)器轉(zhuǎn)移到更重要的人員（可以訪問(wèn)有價(jià)值的數(shù)據(jù)）時(shí)。

網(wǎng)絡(luò)流量輸入記錄可以告訴您訪問(wèn)者與網(wǎng)站的互動(dòng)情況。機(jī)器學(xué)習(xí)了解數(shù)據(jù)的語(yǔ)境，可以動(dòng)態(tài)地提供正常通信數(shù)據(jù)的視圖。有了對(duì)典型通信流的更好理解，算法可以完成變化點(diǎn)檢測(cè)（也就是說(shuō)，當(dāng)給定通信模式的概率分布發(fā)生變化，并變得不太可能像是"正常"的通信活動(dòng)的時(shí)候，它能夠識(shí)別出來(lái)），以此監(jiān)測(cè)潛在的威脅。

使用案例4：隱蔽信道檢測(cè)（Covert Channel Detection）

使用隱蔽信道的攻擊者通過(guò)不用于通信的信道傳輸信息。使用隱蔽信道讓攻擊者保持對(duì)受到威脅的資產(chǎn)的控制，并使用可以隨時(shí)間執(zhí)行攻擊的戰(zhàn)術(shù)，而且不被發(fā)現(xiàn)。

使用隱蔽信道的攻擊通常取決于給定網(wǎng)絡(luò)上所有域的可見性。機(jī)器學(xué)習(xí)技術(shù)可以攝取并分析有關(guān)稀有領(lǐng)域的統(tǒng)計(jì)數(shù)據(jù)。有了這些信息，安全操作團(tuán)隊(duì)可以更輕松地讓云端攻擊者現(xiàn)形。沒有了對(duì)他們打算攻擊的網(wǎng)絡(luò)的整體了解，網(wǎng)絡(luò)犯罪分子更難以將其攻擊沿著殺傷鏈條向前推進(jìn)。

使用案例5：勒索軟件（Ransomware）

勒索軟件"名符其實(shí)"。這種惡意軟件擦除驅(qū)動(dòng)器并鎖定受感染的設(shè)備和計(jì)算機(jī)作為要挾，以換取用戶的加密密鑰。這種形式的網(wǎng)絡(luò)攻擊會(huì)鎖定信息，直到用戶放棄其密鑰，或者在某些情況下，如果不支付贖金，則威脅發(fā)布用戶的個(gè)人信息。

勒索軟件提出了一種具有挑戰(zhàn)性的使用案例，因?yàn)楣艚?jīng)常導(dǎo)致網(wǎng)絡(luò)活動(dòng)日志缺乏證據(jù)。機(jī)器學(xué)習(xí)技術(shù)可以幫助安全分析師跟蹤與勒索軟件相關(guān)的細(xì)小行為，例如與給定的整個(gè)文件系統(tǒng)交互的熵統(tǒng)計(jì)或過(guò)程。組織可以將機(jī)器學(xué)習(xí)算法集中在最初感染有效載荷上，試圖識(shí)別出這些證據(jù)碎片。

使用案例6：注入攻擊（Injection Attacks）

Open Web Application Security Project （開放網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目，OWASP）將注入攻擊列為網(wǎng)絡(luò)應(yīng)用程序頭號(hào)安全風(fēng)險(xiǎn)。（注：當(dāng)前版本的OWASP Top-10已被否決，該組織已重新開始安全專業(yè)人士的數(shù)據(jù)調(diào)用和調(diào)查）。注入攻擊讓攻擊者可以在程序中進(jìn)行惡意輸入。例如，攻擊者會(huì)將一行代碼輸入數(shù)據(jù)庫(kù)，當(dāng)訪問(wèn)數(shù)據(jù)庫(kù)時(shí)，就會(huì)修改或更改網(wǎng)站上的數(shù)據(jù)。

數(shù)據(jù)庫(kù)日志是可以幫助識(shí)別潛在攻擊的另一個(gè)信息來(lái)源。機(jī)構(gòu)可以使用機(jī)器學(xué)習(xí)算法來(lái)構(gòu)建數(shù)據(jù)庫(kù)用戶組的統(tǒng)計(jì)概況。隨著時(shí)間的推移，算法學(xué)習(xí)了解了這些組如何訪問(wèn)企業(yè)中的各個(gè)應(yīng)用程序，并學(xué)習(xí)發(fā)現(xiàn)這些訪問(wèn)模式中出現(xiàn)的異常。

使用案例7：偵查攻擊（Reconnaissance）

在發(fā)起攻擊之前，黑客會(huì)對(duì)目標(biāo)或目標(biāo)群體進(jìn)行廣泛的偵查。偵查包括探測(cè)網(wǎng)絡(luò)的漏洞。攻擊者將在網(wǎng)絡(luò)的周邊或局域網(wǎng)（LAN）內(nèi)進(jìn)行偵查。典型的偵查攻擊探測(cè)使用了簽名匹配技術(shù)，通過(guò)網(wǎng)絡(luò)活動(dòng)日志尋找可能代表惡意行為的重復(fù)模式。然而，基于簽名的檢測(cè)通常會(huì)產(chǎn)生一串嘈雜的假警報(bào)。

機(jī)器學(xué)習(xí)可以是網(wǎng)絡(luò)數(shù)據(jù)拓?fù)涞闹改厢?。?jīng)過(guò)訓(xùn)練的算法可以開發(fā)這種拓?fù)鋱D，以便識(shí)別新模式的傳播，這種做法比基于簽名的方法更快。使用機(jī)器學(xué)習(xí)也減少了誤報(bào)的數(shù)量，從而使安全分析人員能夠把時(shí)間花在處理真正重要的報(bào)警上。

使用案例8：網(wǎng)頁(yè)木馬（Webshell）

United States Computer Emergency Readiness Team（美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組，US-CERT）對(duì)網(wǎng)頁(yè)木馬（Webshell）的定義是"可以上傳到網(wǎng)絡(luò)服務(wù)器的腳本，以便遠(yuǎn)程管理機(jī)器"。通過(guò)遠(yuǎn)程管理，攻擊者可以啟動(dòng)數(shù)據(jù)庫(kù)數(shù)據(jù)轉(zhuǎn)存、文件傳輸和惡意軟件安裝等進(jìn)程。

網(wǎng)頁(yè)木馬（Webshell）攻擊者的目標(biāo)通常是后端的電子商務(wù)平臺(tái)，攻擊者通過(guò)這些平臺(tái)來(lái)瞄準(zhǔn)購(gòu)物者的個(gè)人信息。機(jī)器學(xué)習(xí)算法可以聚焦正常購(gòu)物車行為的統(tǒng)計(jì)，然后幫助識(shí)別出不應(yīng)該以這種頻率發(fā)生的異常值或行為。

使用案例9：憑證盜竊（Credential Theft）

一些高調(diào)的攻擊，包括對(duì)虛擬專用網(wǎng)（VPN）攻擊，都是憑據(jù)盜竊的結(jié)果。憑證盜竊通常使用諸如網(wǎng)絡(luò)釣魚或水坑式攻擊等手段來(lái)實(shí)現(xiàn)，攻擊者以此從受害者那里提取登錄憑證，以便訪問(wèn)組織維護(hù)的敏感信息。

互聯(lián)網(wǎng)用戶--消費(fèi)者--經(jīng)常留下登錄模式。網(wǎng)站和應(yīng)用程序可以跟蹤位置和登錄時(shí)間。機(jī)器學(xué)習(xí)技術(shù)可以跟蹤這些模式以及包含這些模式的數(shù)據(jù)，以了解什么樣的用戶行為是正常的，哪些行為則代表了可能有害的活動(dòng)。

使用案例10：遠(yuǎn)程利用攻擊（Remote Exploitation）

最后，許多攻擊模式會(huì)使用遠(yuǎn)程利用攻擊。這些攻擊通常會(huì)通過(guò)一系列針對(duì)目標(biāo)系統(tǒng)的惡意事件進(jìn)行操作，以識(shí)別漏洞，然后提供有效負(fù)載（如惡意代碼）來(lái)利用漏洞。一旦攻擊投放了有效載荷，它就會(huì)在系統(tǒng)內(nèi)執(zhí)行代碼。

機(jī)器學(xué)習(xí)可以分析系統(tǒng)行為并識(shí)別與典型網(wǎng)絡(luò)行為無(wú)關(guān)的順序行為實(shí)例。算法可以隨著時(shí)間的推移進(jìn)行學(xué)習(xí)，可以提醒安全分析師有關(guān)意在利用漏洞的有效載荷的傳輸情況。

這里的討論不是機(jī)器學(xué)習(xí)的終點(diǎn)，而應(yīng)該是它的起點(diǎn)

準(zhǔn)確的網(wǎng)絡(luò)安全分析系統(tǒng)必須成為現(xiàn)代安全運(yùn)營(yíng)中心的基石。但是，如果沒有數(shù)據(jù)樣本，則不可能開展準(zhǔn)確的分析。采用機(jī)器學(xué)習(xí)思維并使用機(jī)器學(xué)習(xí)技術(shù)的安全團(tuán)隊(duì)可以更快地解決上述各種類型的攻擊。機(jī)器學(xué)習(xí)或其他任何一種技術(shù)都永遠(yuǎn)不會(huì)是任何一個(gè)行業(yè)的終結(jié)和全部。它確實(shí)提供了一種替代的、開放源代碼的哲學(xué)思維，可被用于識(shí)別和處理網(wǎng)絡(luò)攻擊，這能夠改進(jìn)很多目前正在使用的方法。