機(jī)器學(xué)習(xí)提供大數(shù)據(jù)分析欠缺的防護(hù)功能。大數(shù)據(jù)搞定數(shù)據(jù)泄露發(fā)生的原因，機(jī)器學(xué)習(xí)則是在泄露發(fā)生時(shí)就識(shí)別出來(lái)。

網(wǎng)絡(luò)安全專(zhuān)家看到大數(shù)據(jù)興奮得雙眼放光，因?yàn)檫@就是數(shù)據(jù)科學(xué)界的CSI（犯罪現(xiàn)場(chǎng)調(diào)查）。如果公司被黑，客戶(hù)信息被泄，可以使用大數(shù)據(jù)技術(shù)從公司各系統(tǒng)、用戶(hù)和客戶(hù)身上收集大量信息，讓數(shù)據(jù)分析師得以據(jù)此得出哪里出了紕漏的洞見(jiàn)。

但是，雖然大數(shù)據(jù)可以在事后幫助解決案子，卻無(wú)益于第一時(shí)間防止案件發(fā)生。數(shù)據(jù)泄露的遺留影響依然有待解決：憤怒的客戶(hù)、HIPAA和 PCI DSS之類(lèi)的數(shù)據(jù)隱私標(biāo)準(zhǔn)合規(guī)問(wèn)題，甚至政府罰款和集體訴訟。

大數(shù)據(jù)的短板正在于此：它在數(shù)據(jù)泄露發(fā)生后才進(jìn)場(chǎng)。正如老話(huà)所言：“事后諸葛亮總是對(duì)的。”網(wǎng)絡(luò)攻擊發(fā)生后使用大數(shù)據(jù)，無(wú)疑能給出最好的洞見(jiàn)。然而，它不能給你的，是意識(shí)到數(shù)據(jù)泄露正在發(fā)生或?qū)⒁l(fā)生的能力，在造成重大損失前阻斷攻擊的能力也提供不了的。因此，大數(shù)據(jù)，若單獨(dú)使用，是無(wú)法保證公司各系統(tǒng)、業(yè)務(wù)，或者敏感數(shù)據(jù)的安全的。

大數(shù)據(jù)擁護(hù)者會(huì)說(shuō)，你可以用后見(jiàn)之明來(lái)修復(fù)黑客用以入侵的漏洞。畢竟，既然知道哪里出了錯(cuò)，就能打上補(bǔ)丁防止此類(lèi)事件再次發(fā)生，對(duì)吧？

雖然這話(huà)可能是對(duì)的吧——確實(shí)可能預(yù)防該特定問(wèn)題再次發(fā)生，但網(wǎng)絡(luò)安全可不是這么簡(jiǎn)單的事兒。威脅態(tài)勢(shì)是動(dòng)態(tài)的，每天都有新技術(shù)出現(xiàn)，相應(yīng)的，新漏洞也在不斷涌現(xiàn)。

而且，黑客與其他任何罪犯都不一樣：他們精通科技，適應(yīng)性強(qiáng)，知道怎么玩弄人類(lèi)天性。他們總能找到你的弱點(diǎn)——而你最大的弱點(diǎn)就是你的人，那些你信任的可愛(ài)員工們。大多數(shù)黑客才不從后門(mén)突破系統(tǒng)，他們直接染指合法登錄憑證，基本上，都是從正面大大方方走進(jìn)來(lái)的。

因此，大多數(shù)案例中，大數(shù)據(jù)分析會(huì)揭示出：黑客是通過(guò)網(wǎng)絡(luò)釣魚(yú)郵件之類(lèi)社會(huì)工程騙局，搞到員工口令，然后登錄某服務(wù)器，進(jìn)入你的系統(tǒng)。(或者，更糟糕的情況，惡意內(nèi)部人士拱手交給黑客憑證。)

面對(duì)這種新情況，或許你會(huì)決定為員工提供網(wǎng)絡(luò)安全最佳實(shí)踐培訓(xùn)，比如怎樣識(shí)別釣魚(yú)郵件和點(diǎn)擊可疑連接的危險(xiǎn)。雇員網(wǎng)絡(luò)安全培訓(xùn)是很基本的東西，有助于保持公司系統(tǒng)更安全，但它不是靈丹妙藥。

人類(lèi)是很容易犯錯(cuò)的。累了，分心了，著急了，就疏忽了。另外，再多的培訓(xùn)都擋不住惡意內(nèi)部人士——心懷不滿(mǎn)的雇員、前雇員、決意報(bào)復(fù)或在暗網(wǎng)售賣(mài)機(jī)密數(shù)據(jù)搞點(diǎn)快錢(qián)的承包商等等。

幸運(yùn)的是，解決方案也是現(xiàn)成的：機(jī)器學(xué)習(xí)——一門(mén)建立在數(shù)學(xué)算法基礎(chǔ)上的尖端技術(shù)，實(shí)時(shí)更新，讓計(jì)算機(jī)無(wú)需顯式編程即可學(xué)習(xí)。驅(qū)動(dòng)自動(dòng)駕駛汽車(chē)的也是機(jī)器學(xué)習(xí)技術(shù)，我們用來(lái)對(duì)抗黑客的強(qiáng)力武器就是它了。

機(jī)器學(xué)習(xí)提供了大數(shù)據(jù)分析欠缺的防護(hù)功能。不同于大數(shù)據(jù)在事后分析數(shù)據(jù)泄露原因，機(jī)器學(xué)習(xí)是在泄露發(fā)生或?qū)⒁l(fā)生時(shí)就識(shí)別出來(lái)，然后出發(fā)系統(tǒng)警報(bào)，在真正的損害造成前擋住泄露。

機(jī)器學(xué)習(xí)技術(shù)不僅讓大數(shù)據(jù)有用；還能以遠(yuǎn)快于人工的速度分析數(shù)據(jù)并從中抽取出洞見(jiàn)。由于其預(yù)測(cè)能力，應(yīng)對(duì)威脅就可以變得積極主動(dòng)而非被動(dòng)反應(yīng)。機(jī)器學(xué)習(xí)技術(shù)可以實(shí)時(shí)標(biāo)出利用被盜憑證登錄的黑客，并阻止他們登入系統(tǒng)。

該技術(shù)沒(méi)有刻錄進(jìn)網(wǎng)絡(luò)中，而是嵌入到了應(yīng)用/數(shù)據(jù)里。這種認(rèn)知性的防護(hù)盾會(huì)監(jiān)視對(duì)應(yīng)用的每一次登錄，觀察該登錄ID使用者對(duì)應(yīng)用做的任何事，確認(rèn)該登錄會(huì)話(huà)中的“用戶(hù)行為”符合該用戶(hù)ID的慣常參數(shù)或基線(xiàn)行為特征。

舉個(gè)例子，如果某員工憑證在公司外的位置被使用，該員工還試圖訪問(wèn)完成其工作用不到的內(nèi)容，或者登錄嘗試行為發(fā)生在午夜，那么機(jī)器學(xué)習(xí)算法就會(huì)注意到此類(lèi)行為。因?yàn)橐呀?jīng)分析了該雇員的正常計(jì)算機(jī)使用，建立了基準(zhǔn)模式，機(jī)器學(xué)習(xí)技術(shù)就能識(shí)別出特定登錄嘗試是不正常且危險(xiǎn)的，將據(jù)此在公司IT部門(mén)可以調(diào)查情況作出決策前鎖定該用戶(hù)。

機(jī)器學(xué)習(xí)能快速給出對(duì)用戶(hù)數(shù)據(jù)的可行性洞見(jiàn)，提供大數(shù)據(jù)分析給不了的實(shí)時(shí)防護(hù)。因?yàn)橐恢痹趯W(xué)習(xí)和修正正常用戶(hù)行為模式，能立即依據(jù)基準(zhǔn)模式在黑客造成切實(shí)傷害前做出反應(yīng)，機(jī)器學(xué)習(xí)是防護(hù)系統(tǒng)安全的最佳方式。

該技術(shù)已有現(xiàn)實(shí)應(yīng)用，正幫助抓捕盜取敏感數(shù)據(jù)的罪犯，投放數(shù)據(jù)泄露和隱私侵犯的早期預(yù)警。該網(wǎng)絡(luò)安全技術(shù)是高性能數(shù)據(jù)保護(hù)解決方案的未來(lái)。如果大數(shù)據(jù)是犯罪現(xiàn)場(chǎng)調(diào)查員，那么，機(jī)器學(xué)習(xí)就是巡邏中的警察：保護(hù)你的系統(tǒng)不受網(wǎng)絡(luò)罪犯攻擊，執(zhí)法，阻止正在進(jìn)行中的犯罪。