人工智能在各個領域的應用都在逐漸成熟，從去年起人工智能、機器學習已經(jīng)被安全領域的廠商所接受。比如36氪在今年1月份報道美國創(chuàng)業(yè)公司 SentinelOne ，英國網(wǎng)絡安全公司Wandera，都將機器學習融入其產(chǎn)品中并在實際生產(chǎn)中得到應用，前者也獲得7000萬美金的C輪融資，后者也有超過2700萬美元的融資。不僅僅是創(chuàng)業(yè)公司活躍于此，微軟也以1億美元收購的以色列網(wǎng)絡安全公司Hexadite，而Hexadite最大的特點也在于將機器學習應用于安全領域。在中國，亞信安全也正在通過機器學習技術解決企業(yè)安全難題。

實際上，在安全領域沒有一招鮮吃遍天的事情，亞信安全通用安全產(chǎn)品中心總經(jīng)理、亞信網(wǎng)絡安全產(chǎn)業(yè)技術研究院副院長童寧認為，人工智能、機器學習毫無疑問在驅動網(wǎng)絡安全發(fā)展。”但亞信安全不會放棄基于特征碼比對的一代技術和基于行為分析的二代技術，它們的結合對于處置安全風險更為有效。

在機器學習領域，最主要的兩個概念就是有監(jiān)督學習和無監(jiān)督學習。

有監(jiān)督學習是指通過已有樣本來訓練，從而得到一個最優(yōu)模型，再利用這個模型將所有新的數(shù)據(jù)樣本映射為相應的輸出結果，對輸出結果進行簡單的判斷從而實現(xiàn)分類的目的。簡單來說，“有監(jiān)督學習就是人們‘告訴’機器‘哪些數(shù)據(jù)是屬于哪一類的’，然后通過數(shù)據(jù)進行訓練。

有監(jiān)督學習可以用于網(wǎng)絡攻防中對惡意程序、垃圾郵件的識別和對勒索病毒的防治，特別是在需要多維度識別的情況下，能夠大幅提高識別速度和效率。雖如此，但有監(jiān)督學習同樣面臨挑戰(zhàn)：一是模型的新鮮度，因為威脅進化非常迅速，所以要保證訓練數(shù)據(jù)的更新能力。二是分類識別的精度和誤判管理，主要包括兩個指標，正確率與召回率。

童寧認為，正確率和召回率是很多所謂的人工智能安全廠商不敢正面去談的話題，正確率指的是抓了多少是正確的，召回率指的是漏掉了多少沒有抓住。

如果假設總共有100個文件，其中有10個惡意文件。如果人工智能從中找到5個，并且全部正確，那么正確率是100%，召回率是50%。如果人工智能從中找到 20個，包含其中10個惡意文件，那么正確率是50%，召回率是100%。

童寧指出，也許有的廠商說我的AI安全正確率是100%，這話沒有錯，但確是片面的。亞信安全在實踐有監(jiān)督學習時，實際上一直在平衡正確率和召回率，總有一定的錯誤率，想要前后都做到100%目前是不可能的，現(xiàn)在做的是如何控制在可控的范圍內(nèi)。

而無監(jiān)督學習是從無標記的訓練數(shù)據(jù)中推斷結論；也就是說，無監(jiān)督學習就是不‘告訴’機器，直接由人對最終輸出的結果進行定義。”

童寧告訴36氪，無監(jiān)督學習通常用于反欺詐、異常發(fā)現(xiàn)、攻擊發(fā)現(xiàn)、行為分析（UBA）等。

與正確率和召回率一樣，無監(jiān)督學習也面臨著一些挑戰(zhàn)，例如如何讓用于建模學習的數(shù)據(jù)不受干擾避免投毒攻擊。在客戶環(huán)境中進行建模學習，一般要學習幾個星期甚至幾個月，廠商投入成本相對較高；客戶無能力持續(xù)繼續(xù)運維，模型更新緩慢。

與機器學習在其他領域的要求一樣，機器學習在安全領域的成功也要依賴于以下幾點，第一，持續(xù)的、高質(zhì)量的數(shù)據(jù)，保證機器的學習能力。第二，機器學習的專家，保持在建模、算法方面的持續(xù)優(yōu)化。

此外在安全領域內(nèi)，安全專家也扮演的重要的角色，他們來判斷機器要抽取哪些特征進行學習和對結果的把控。那么亞信安全的哪些產(chǎn)品或者在哪些領域運用了機器學習技術？

事實上，亞信安全基于AI的安全引擎在數(shù)據(jù)、特征識別、算法、模型等層面均有積累，在亞信安全防毒墻網(wǎng)絡版OfficeScan 12中使用了跨代整合技術，實現(xiàn)了AI-機器學習技術和其它防護技術融合創(chuàng)新。

童寧指出，在有監(jiān)督學習方面，亞信安全利用其進行惡意程序及勒索病毒的防治，以及進行防治垃圾郵件等進行了實踐探索。無監(jiān)督學習方面，亞信安全對UBA、態(tài)勢感知、以及反欺詐（信勢和信盾）等產(chǎn)品進行了機器學習的應用。

人工智能在各個領域的應用都在逐漸成熟，從去年起人工智能、機器學習已經(jīng)被安全領域的廠商所接受。比如36氪在今年1月份報道美國創(chuàng)業(yè)公司 SentinelOne，英國網(wǎng)絡安全公司W(wǎng)andera，都將機器學習融入其產(chǎn)品中并在實際生產(chǎn)中得到應用，前者也獲得7000萬美金的C輪融資，后者也有超過2700萬美元的融資。不僅僅是創(chuàng)業(yè)公司活躍于此，微軟也以1億美元收購的以色列網(wǎng)絡安全公司Hexadite，而Hexadite最大的特點也在于將機器學習應用于安全領域。在中國，亞信安全也正在通過機器學習技術解決企業(yè)安全難題。

實際上，在安全領域沒有一招鮮吃遍天的事情，亞信安全通用安全產(chǎn)品中心總經(jīng)理、亞信網(wǎng)絡安全產(chǎn)業(yè)技術研究院副院長童寧認為，人工智能、機器學習毫無疑問在驅動網(wǎng)絡安全發(fā)展。”但亞信安全不會放棄基于特征碼比對的一代技術和基于行為分析的二代技術，它們的結合對于處置安全風險更為有效。

在機器學習領域，最主要的兩個概念就是有監(jiān)督學習和無監(jiān)督學習。

有監(jiān)督學習是指通過已有樣本來訓練，從而得到一個最優(yōu)模型，再利用這個模型將所有新的數(shù)據(jù)樣本映射為相應的輸出結果，對輸出結果進行簡單的判斷從而實現(xiàn)分類的目的。簡單來說，“有監(jiān)督學習就是人們‘告訴’機器‘哪些數(shù)據(jù)是屬于哪一類的’，然后通過數(shù)據(jù)進行訓練。

有監(jiān)督學習可以用于網(wǎng)絡攻防中對惡意程序、垃圾郵件的識別和對勒索病毒的防治，特別是在需要多維度識別的情況下，能夠大幅提高識別速度和效率。雖如此，但有監(jiān)督學習同樣面臨挑戰(zhàn)：一是模型的新鮮度，因為威脅進化非常迅速，所以要保證訓練數(shù)據(jù)的更新能力。二是分類識別的精度和誤判管理，主要包括兩個指標，正確率與召回率。

童寧認為，正確率和召回率是很多所謂的人工智能安全廠商不敢正面去談的話題，正確率指的是抓了多少是正確的，召回率指的是漏掉了多少沒有抓住。

如果假設總共有100個文件，其中有10個惡意文件。如果人工智能從中找到5個，并且全部正確，那么正確率是100%，召回率是50%。如果人工智能從中找到 20個，包含其中10個惡意文件，那么正確率是50%，召回率是100%。

童寧指出，也許有的廠商說我的AI安全正確率是100%，這話沒有錯，但確是片面的。亞信安全在實踐有監(jiān)督學習時，實際上一直在平衡正確率和召回率，總有一定的錯誤率，想要前后都做到100%目前是不可能的，現(xiàn)在做的是如何控制在可控的范圍內(nèi)。

而無監(jiān)督學習是從無標記的訓練數(shù)據(jù)中推斷結論；也就是說，無監(jiān)督學習就是不‘告訴’機器，直接由人對最終輸出的結果進行定義。”

童寧告訴36氪，無監(jiān)督學習通常用于反欺詐、異常發(fā)現(xiàn)、攻擊發(fā)現(xiàn)、行為分析（UBA）等。

與正確率和召回率一樣，無監(jiān)督學習也面臨著一些挑戰(zhàn)，例如如何讓用于建模學習的數(shù)據(jù)不受干擾避免投毒攻擊。在客戶環(huán)境中進行建模學習，一般要學習幾個星期甚至幾個月，廠商投入成本相對較高；客戶無能力持續(xù)繼續(xù)運維，模型更新緩慢。

與機器學習在其他領域的要求一樣，機器學習在安全領域的成功也要依賴于以下幾點，第一，持續(xù)的、高質(zhì)量的數(shù)據(jù)，保證機器的學習能力。第二，機器學習的專家，保持在建模、算法方面的持續(xù)優(yōu)化。

此外在安全領域內(nèi)，安全專家也扮演的重要的角色，他們來判斷機器要抽取哪些特征進行學習和對結果的把控。那么亞信安全的哪些產(chǎn)品或者在哪些領域運用了機器學習技術？

事實上，亞信安全基于AI的安全引擎在數(shù)據(jù)、特征識別、算法、模型等層面均有積累，在亞信安全防毒墻網(wǎng)絡版OfficeScan 12中使用了跨代整合技術，實現(xiàn)了AI-機器學習技術和其它防護技術融合創(chuàng)新。

童寧指出，在有監(jiān)督學習方面，亞信安全利用其進行惡意程序及勒索病毒的防治，以及進行防治垃圾郵件等進行了實踐探索。無監(jiān)督學習方面，亞信安全對UBA、態(tài)勢感知、以及反欺詐（信勢和信盾）等產(chǎn)品進行了機器學習的應用。