機器學習：現代網路安全英雄？

網路攻擊日漸複雜精密。新型惡意軟體變體幾乎是每日層出不窮，Web 攻擊數量增加 56%，而表單點擊劫持、挖礦綁架及物聯網 (IoT) 等新型攻擊，也加入勒索軟體及網路釣魚等舊有技術的行列。在這樣的態勢之下，需要強大力量提供協助，才能搶得先機對抗永不停止的攻擊媒介。

許多人將隱身在現代工具及平台之中的機器學習和人工智慧功能，視為網路安全的超級英雄。機器學習技術可協助搜查及分析收集到的大量資料，以推動即時威脅偵測。PcW 等業界專家預期，許多組織會透過網路安全使用案例來初次實際嘗試 AI 和機器學習技術，其中包括分散式阻斷服務 (DDOS) 模式認知、排定記錄警示優先順序以便向上呈報及進行調查，以及風險型驗證方法。根據 PcW 2018 年的全球資訊安全現況調查 (Global State of Information Security Survey)，有 27% 的組織計畫投資網路安全防禦措施，其中將納入部分形式的 AI 與機器學習技術。

具有 AI 與機器學習功能的網路安全工具正掀起熱潮，原因很簡單：無論是入侵預防系統、端點安全解決方案或防毒平台，以共同聚集資料點識別及偵測攻擊媒介的成效，遠優於任何個別威脅分析師或安全專業團隊。

賽門鐵克資深首席研究員 Yun Shen 表示：「找出攻擊者團體的攻擊和行動可說是相當困難，原因在於資料集規模相當龐大。」Yun Shen 曾經探索如何運用神經網路等新一代技術，解決持續演進發展的網路安全難題。

Shen 表示：「實際上，機器學習可說是處理資訊安全問題的最佳工具之一。如果能以負責任的方式開發這項技術，就能找出各種模式，並用於設計特定防禦策略。」

找出模式

安全態勢中的各家廠商已經發現，無論機器學習與 AI 之後產生的成果為何，都將是改變企業級安全防護的關鍵技術。目前大部分主要安全平台都納入機器學習及 AI 功能，以協助偵測異常、讓演進發展的新型威脅在執行前浮上檯面，並加快識別及驗證速度。

以賽門鐵克 Endpoint Protection 方案為例，進階機器學習及 AI 功能與 Global Intelligence Network (GIN) 互相配合運作；GIN 是賽門鐵克的威脅情報網路，由數百萬個攻擊偵測器收集遙測資料，以便在執行前偵測可能的威脅，並標記可能有問題的檔案及網站，協助安全組織在造成損害前採取行動。

卡內基美隆大學軟體工程機構 (Software Engineering Institute at Carnegie Mellon University) CERT 部門 CERT 資料科學團隊技術經理 Eliezer Kanal 表示：「攻擊已經變得相當複雜，攻擊者也更加低調狡猾，因此能造成更多損害。任何擁有 5,000 位以上員工的大型組織，每月或每日都將產生數萬或甚至數十萬的資安事端問題單。而要讓一個人找出其中兩個問題單之間互有關聯的機率卻非常低，近乎於零。機器學習就能從中找出規律。」

展望未來，Kanal 表示 SEI 團隊正在研究如何應用自然語言處理技術，訓練電腦尋找特定文件中的蛛絲馬跡，在沒有人力分析協助的情況下探索網路安全漏洞。

賽門鐵克研究人員在偵測惡意活動方面也大有進展，不過目標著重於預測攻擊者執行攻擊時可能採取的特定步驟。有別於其他做出二分法結論的研究計畫，也就是預測攻擊是否將會發生，賽門鐵克名為 Tiresias 的研究成果，正以循環神經網路 (RNN) 依據先前觀察預測未來事件，持續向前邁進。Shen 表示如果將預測攻擊者確切行動的能力，作為入侵預防系統的一部分，就可以採取主動措施，從一開始就阻止攻擊發生。

不過在 AI、機器學習及任何其他進階技術提供的任何效益背後，當然也存在負面影響。以上技術雖然能夠提供更強大的防禦能力，用以偵測網路事件且有可能加以預防，但也能協助創造更惡毒的全新攻擊媒介。

因此賽門鐵克研究人員主張，像是 Tiresias 這類研究成果對網路安全的未來發展至關重要。

賽門鐵克資深首席研究工程師 Pierre-Antoine Vervier，是 Tiresias 研發團隊的成員之一，他表示：「目前網路安全比較著重於被動安全，但這項技術可以化被動為主動，成為未來的關鍵所在。」