通俗講，機器學習就是“（計算機）無需顯式編程即可學習的能力”。跨海量數據集應用數學技術，機器學習算法可建立起行為模型，并基于新輸入的數據，用這些模型做出對未來的預測。視頻網站根據用戶的歷史觀看記錄推出新劇集，自動駕駛汽車從擦肩而過的行人學習路況，都是機器學習的例子。

　　那么，信息安全中的機器學習應用又是什么呢？

大體上，機器學習可幫助公司企業更好地分析威脅，響應攻擊及安全事件；還有助于自動化更瑣碎更低級的工作，也就是之前工作量巨大或技術欠缺的安全團隊所做的那些。

安全方面，機器學習是個快速發展的趨勢。ABI Research 的分析師估測，在網絡安全界，機器學習將推動大數據、人工智能(AI)及分析的投資，有望在2021年達到960億美元，同時，世界科技巨頭已經在采取措施更好地保護自己的客戶。

谷歌用機器學習來分析安卓移動終端上的威脅——從被感染手機上識別并清除惡意軟件。云基礎設施巨頭亞馬遜收購了初創公司 harvest.AI，并發布了Macie——用機器學習來發現、梳理并分類S3云存儲上數據的一項服務。

與此同時，企業安全供應商一直努力將機器學習集成進新舊產品線中，希望能改善惡意軟檢測率。大多數主流安全公司已從純“基于特征碼”的系統，轉向了試圖解釋行為及事件，并從各種源學習判斷安全與風險的機器學習系統。這仍是個新興領域，但明顯是未來發展方向。

AI和機器學習將極大改變安全運作方式，雖然目前正處在驅動網絡防御的早期階段，但已經在終端、網絡、欺詐或SIEM中，起到了識別惡意活動模式的明顯作用。未來，在防御服務中斷、屬性及用戶行為修改等領域，我們將看到越來越多的用例。

機器學習在安全領域的頂級用例有哪些呢？我們不妨來看看以下5個。

1. 用機器學習檢測惡意活動并阻止攻擊

機器學習算法可幫助公司企業更快速檢測惡意活動，并在攻擊開始前就予以阻止。英國初創公司Darktrace于2013年成立，其基于機器學習的企業免疫解決方案( Enterprise Immune Solution )，在這方面已取得了很多成功。作為這家公司的技術總監，大衛·帕爾瑪見證了機器學習對惡意活動及攻擊的影響。

帕爾瑪稱，利用機器學習算法，Darktrace最近幫助北美一家賭場檢測出了數據泄露攻擊。該攻擊將聯網魚缸用作了進入賭場網絡的切入點。該公司還宣稱，去年夏天的WannaCry勒索軟件大肆虐中，其算法也防止了類似的一起攻擊。

針對感染了150個國家20多萬受害者的WannaCry勒索軟件，帕爾瑪稱：“在數秒內，我們的算法就檢測出了一家國民醫療服務(NHS)機構網絡中的攻擊，在尚未對該機構造成任何破壞前，此威脅就被緩解掉了。事實上，我們的客戶沒有任何一家受到WannaCry攻擊的傷害，包括那些沒打補丁的。”

2. 用機器學習分析移動終端

移動設備上，機器學習已成主流；但到目前為止，絕大部分活動集中在驅動基于語音的體驗上，比如 Google Now、蘋果的Siri和亞馬遜的Alexa。不過，機器學習在安全方面確實有應用。如上文提及的，谷歌采用機器學習來分析移動終端威脅，而企業則在防護自帶及自選移動設備上看到了機會。

10月，MobileIron和Zimperium宣布合作，幫助企業將機器學習集成進移動殺軟解決方案中。MobileIron將在自己的安全及合規引擎中，集成Zimperium基于機器學習的威脅檢測，并作為聯合解決方案售出，解決設備、網絡及應用威脅檢測，快速自動化動作防護公司數據之類的難題。

其他供應商也在計劃改善自己的移動解決方案。LookOut、被賽門鐵克收購的Skycure，還有Wandera，是移動威脅檢測及防御市場中的佼佼者，每家都用自有機器學習算法檢測潛在威脅。拿Wandera舉個例子。這家公司最近剛公開發布了其威脅檢測引擎 MI:RIAM，據稱檢測出了超過400種針對企業移動設備的SLocker勒索軟件變種。

3. 用機器學習增強人類分析

機器學習在安全領域的核心應用，有人認為是幫助人類分析師處理安全方面的各項工作，包括惡意攻擊檢測、網絡分析、終端防護及漏洞評估。但在威脅情報方面，才是最令人興奮的。

比如說，2016年，麻省理工學院計算機科學和人工智能實驗室(CSAIL)，開發出了名AI2的系統。這是一個自適應機器學習安全平臺，可幫助分析師從海量數據中找出真正有用的東西。該系統每天審查數百萬登錄，過濾數據，并將濾出內容傳給人類分析師，可將警報數量大幅降低至每天100個左右。由CSAIL和初創公司PatternEx共同進行的實驗表明，攻擊檢測率被提升到了85%，而誤報率降低至原先的1/5。

4. 用機器學習自動化重復性安全工作

機器學習的真正價值，在于可以自動化重復性勞動，讓員工可以專注在更重要的工作上。帕爾瑪稱，機器學習最終應旨在“消除重復性低價值決策活動對人力的需求”上，比如歸類威脅情報等活動。讓機器處理重復性工作和阻止勒索軟件之類戰術性救火工作，這樣人類就能解放雙手去搞定戰略性問題了，比如現代化 Windows XP 系統等等。

博思艾倫咨詢公司也在走這個路線。據報道，該公司用AI工具更高效地分配人類安全資源，分類威脅，讓員工可以專注最關鍵的攻擊。

5. 用機器學習堵上零日漏洞

有人認為，機器學習有助堵上漏洞，尤其是零日威脅和主要針對不安全IoT設備的那些威脅。該領域里已出現了先驅者：《福布斯》報道，亞利桑那州立大學的一支團隊，采用機器學習監視暗網流量，以識別與零日漏洞利用相關的數據。有了此類洞見的加持，公司企業就可堵上漏洞，在漏洞造成數據泄露前就斷掉漏洞利用的機會。

炒作和誤解

然而，機器學習并非萬靈丹，至少對一個仍在對這些技術進行概念驗證實驗的行業來說不是。前路艱難，困難與隱患從來不少。機器學習系統有時候會有誤報（無監督學習系統的算法會基于數據推測類型），而有分析師也坦率承認，用在安全領域的機器學習可能是“黑箱”解決方案——CISO不能完全確定其內部機制。他們只能將自己的信任與責任放到供應商及機器身上。

在某些安全解決方案可能壓根兒沒用機器學習，盲目的信任可不是什么好主意。

市面上炒作的機器學習產品，大多數都不會在客戶環境中真正學習。它們不過是在供應商自己的云上，用惡意軟件樣本訓練出模型，再下載到客戶公司，就跟病毒特征碼似的。對客戶安全來說，這可不是什么進步，基本上是在倒退。

而且，算法投入實際使用前學習模型所需的訓練數據樣本，也有糟糕數據和實現會產出更糟糕結果的問題。機器學習的效果，取決于你輸入的信息。垃圾進，垃圾出。所以，如果你的機器學習算法設計不佳，結果也就不會太有用。算法在實驗室訓練數據上有用是一回事，但最大的挑戰，還在于讓機器學習網絡防御在現實復雜網絡中起效。