36大数据专稿,原文作者:Jeremiah Grossman, 本文由36大数据翻译组-JOKER/se翻译向36大数据投稿,并授权36大数据较早发布。转载必须获得本站及作者的同意,拒绝任何不标明作者及来源的转载。
计算机安全领域的优势得益于对于对机器学习技能的钻研。接下来我会告诉你为什么。
2015拉斯维加斯黑帽大会,又一个疯狂的一年。这个全球性的互联网安全大会吸引了人山人海的全球知名的演讲者以及他们带来的更多内容。它总是会爆出很多让人意想不到的消息,值得我们整个行业去努力学习。所以当Dark Reading找到我去在一个有趣的回忆上发表文章时,我高兴极了。作为一个长期在黑帽大会上演讲的老油条, 我有幸加入了发言者复审委员会去帮助筛选大会日程上的全部演讲——所以能看到一手的演讲我是非常兴奋的。
同时,我会删选出我要参加的那几期,显然时间是不允许我全部看完的,这对我来说确实非常难以抉择。较后我还是选择了Joshua Saxe(Invincea实验室)的关于数据科学和机器学习的演讲作为我博客议论的相关内容。
Josh的研究和演讲深入地发掘了数据科学和机器学习应用于恶意软件相关产业,尤其是恶意软件检测,威胁情报,恶意软件分析以及恶意软件分析的可扩展性的原因。就我本人而言,这种独特的技术以及对于先进数学理论的应用是非常令人着迷的。
在演讲中,Josh明确的表明了信息安全所面临的这场战役并不是公平的,试图破坏的攻击者们只需要保持一定的工作量,维护安全的工程师们工作量就会与日俱增。总的来说,只要有足够的时间,尽管现在时间还不够多,较后也一定还是黑客的胜利,简而言之,我们还是会被黑掉。一个保护者工作的网络环中,在被黑掉之后,他们还要面对堆积如山的日志数据,这不仅仅非常令人烦恼,也需要花费大量金钱在这上面。
现在的恶意软件识别,分析和分类比以往任何时候都更难,但是却无法取得一个很好的效果。对于公司的安全防护来说,不管如何熟练的运用grep,里面仍有太多的日志信息需要手动整理。如果想取得任何真正意义上的可操作价值就需要机器学习去隔离信号外的噪音数据。
在台上,Josh以恶意软件为例,形象化的展示了与他们斗争的整个过程。超级酷!他还演示了如何在机器学习算法下利用一些具体应用和算法去检测和解析恶意软件。 这些算法可以将任何恶意软件一同过滤,使他们更容易被肉眼识别出来。整个过程只在分秒之间完成,相对于动辄数月的手动日志分析来说,这才是我们真正需要的快速的安全决策。坚持手动,我们将会输掉信息安全里的每一次战争。
一旦恶意软件被定义,且更多的恶意软件案例被样本化,这些机器学习算法就会更加聪明。这些恶意软件家族成员会被聚集在一起。机器更加智能化后,每一个新的家族的发现会使恶意软件和病毒的突破举步维艰。这种并不一味适应而去提高生存成本的做法无疑使成功的。
Josh还提醒到,算法往往会有失效时间,要求他们不断地进化或产生出不断增长的浪费时间的错误正向报告。这个策略的意义是希望保持网络安全人员的工作量并且不断加大攻击者所需要的工作量。将攻击行为转化成经济案例。
数据科学和机器学习同样也可以被应用程序的安全防护所利用。利用机器学习确定程序的入口,漏洞,缺陷和更多的代码问题在速度上远超大多数现有的技术,更别说让一个人去手动执行了。在过去十年里白帽们已经成功讲这技术用于登录检测,检测404页,网页抓取和攻击面检测,并且在其他领域上机器学习也是至关重要的。
将这个思路带到其他的安全领域会加快整个网络的改善进程,是整个网络成为一个更安全的地方。毫无疑问,机器学习是一个强大的工具,我相信这为IT界提出了一个新的方向。我十分欣赏Josh的演讲并且非常希望将他推荐给其他同仁。就我而言,我一直想要提高关于机器学习方面的技术。但较难的是你要知道从哪里出发,这无疑是一个很好的契机。
