人工智能(AI)的話題已經(jīng)熱了數(shù)年，但最近，網(wǎng)絡安全行業(yè)關于AI的討論都集中在機器學習(ML)上——用算法梳理數(shù)據(jù)，從中學習，并基于分析結果指導動作的一種AI方法，比如自動阻止未知威脅什么的。

回顧AI/ML歷史，你會很快發(fā)現(xiàn)，其背后的科學早在1950年代便開始發(fā)展了。1951年，阿蘭·圖靈的奠基性論文提出了一個簡單的問題：“機器能思考嗎？”但是，如果該方法論已經(jīng)出現(xiàn)了幾十年，很自然地，我們會想，為什么現(xiàn)在才開始應用呢？

由于ML系統(tǒng)可在不受人監(jiān)管的情況下自行評估新數(shù)據(jù)及行為，每家公司都急于在多種應用中采納該尖端方法。然而，機器學習的真正價值，是基于過往所學，而不僅僅是當前納入并分析的內容，來做出決策的能力。機器學習系統(tǒng)需要訓練，而訓練必須要有大量以往數(shù)據(jù)和情報。

為最大化安全工作中ML的有效性，在采納ML之前最好先了解清楚自己需要做什么。比如以下3個方面：

1. 收集高質量的數(shù)據(jù)

訓練機器學習系統(tǒng)的基礎，是手握大量高品質數(shù)據(jù)。采納含有ML的產(chǎn)品時，你會想要強化之前所做的工作，比如特征碼收集和自動化惡意軟件分析，以便將之與機器學習能力相結合，對新型惡意內容加以確定。除了壞數(shù)據(jù)，你還需要擁有大量良性數(shù)據(jù)，這樣就可以在訓練機器學習算法時，讓它準確區(qū)分危險和良性的東西。

2. 建立安全一致性

最終，你需確保ML算法能在多個層級上運行，包括網(wǎng)絡流量、用戶行為和終端。舉個例子，如果目前你只觀察自己網(wǎng)絡流量中的異常行為，終端或用戶行為都沒有進入你的安全工作視線，你就不可能準確關聯(lián)并確定真正惡意的東西，做不出最明智的決策。

3. 向供應商提出正確的問題

很多公司聲稱自己的解決方案中囊括了ML，但大多數(shù)時候，這項功能是被夸大了的。你詢問供應商的問題，應落腳在他們系統(tǒng)的準確率、速度和效率上。分析的數(shù)據(jù)是從哪兒來的？收集頻率是多久一次？該解決方案做出決策引導動作的速度有多快？擬定并問出這么些全面深入的問題，可以讓你選出最適合自家公司需求的ML系統(tǒng)。

考慮機器學習價值的時候，最終目標很簡單：用軟件來自動采取行動。這一領域的研究已延續(xù)了幾十年，業(yè)界已走到了可有效應用的程度，我們防止成功攻擊的能力在ML的加持下已有所增強。

攻擊數(shù)量不斷增加，攻擊行動也正走向自動化，但公司企業(yè)的響應工作，卻通常應用的是無法擴展的人工過程。在通往更少手動工作，盡可能自動化威脅防止過程的路上，機器學習無疑是網(wǎng)絡安全人士的得力助手。