3月17日讯 2017年，机器学习是网络安全最热门的领域之一。机器学习的潜力巨大，但其算法如果被聪明绝顶的对手加以利用，同样也会降低决策的质量。

美国NSA/CSS研究部门责人黛博拉·弗林克对机器学习的部分见解

美国国家安全局/中央安全局（NSA/CSS）的研究部门负责人黛博拉·弗林克表示，或许是考虑到有人发现对手能在大数据环境控制足够多的数据进行误导性干扰。弗林克将这种做法称之为“对抗性机器学习”。她担心尽管目前刚开始出现这样的苗头，但合理推测之后认为这样的趋势还将继续。

例如，组织机构可以利用机器学习形成网络的“自我意识”，并构建自我修复能力。然而，如果攻击者进入网络，或甚至在机器学习进程开始之前就已潜入网络，又当如何？组织机构的行为就是规范的一部分，这种情况下从某种意义上讲存在一个问题，正在做的事情相当于是在保护攻击者。

数字科学之所以有趣还在于：如果你正使用数据驱动的算法，而该算法恰好就是你宣传机器学习算法技术的根据。除非保留原始数据，否则你不会知道你在机器学习方法中构建了怎样的偏置。

她认为“不可能在大海里捞到针，因为你抛弃了整片大海，剩下的就是权重和神经网络等等。”

例如，2016年澳大利亚莫纳什大学的教授汤姆·德拉蒙德指出，神经网络是机器学习的基本方法之一，如果不被告知出错的原因，神经网络会被引入歧途。

追溯到20世纪80年代。尼尔·弗雷泽在他的文章“神经网络弊端”（Neural Network Follies）讲述了这样的故事。美国国防部试图培训神经网络来发现潜在威胁，例如躲在树后的敌方坦克。他们通过一系列图片（树后隐藏有坦克和树后无坦克的图片）训练神经网络。但当被要求运用这类知识时，系统失败了。弗雷泽写到，“最终有人注意到，所有200张图片中，有关坦克的图片都是在阴天拍摄的，但不带坦克的图片确是在晴天拍摄的。因此，目前令美国军方引以为豪的是，自己拥有数百万可以识别天气是否晴朗的大型计算机。”

黛博拉·弗林克当地时间周三在堪培拉举办的澳大利亚网络安全中心（ACSC）大会上发言。虽然她并未指出机器学习的局限在哪里，但她概括了NSA真实有效的一些防御策略。

例如，组织机构可以学习欺骗技术或隐瞒对手，以此打破网络安全的权力平衡。网络防御在本质上就是不对称的。这种不平衡通常表现为：防御者必须隔离每个安全漏洞，而攻击者只需正确部署一次就够了。

弗林克表示:

“从表面判断你会认为自己占有优先主导权，应该能运用欺骗技术或隐瞒手段从而打破这种权利平衡。”从传统意义上讲，组织机构设法让数据系统更高效，这就使得网络更易于管理。然而这种情况下，从攻击者的观点出发，在给定时间预测给定系统的现状就变得相当容易。

但采取防御性欺骗方法意味着构建过剩能力，之后再想尽办法利用这种过剩能力通过欺骗或多变的方法进行设计。这样一来，攻击者就无法真正了解数据的具体位置。如果在云端处理数据，简单的做法就是：在更多节点（超出正常使用）上复制数据，并交换数据。

弗林克称，

“如果你试图执行完整性攻击，更改我使用的数据，但不知道我在使用哪一个节点，因为我正在使用上百个节点。或者，我可能正在查看这些节点的子集，你不知道我正在使用哪三个节点。或许你可以尝试一次更改所有数据，但是难度不言而喻。”

RD的研究证明这种方法增强了攻击者的认知负荷，并影响他们的认知偏差。

弗林克表示，“我们可以试图引导攻击者得出错误的结论。换句话讲，我们要试图增加攻击者的工作难度，误导他们做无用功，以此来挫败他们。这样一来，我们就能更容易找到攻击者。”这与蜜罐技术（Honeypot）有些类似，但不是作为附加功能添加到系统上，得将奏效的方法设计到系统中去。

弗林克还指出，防御欺骗需要系统管理员执行更多工作。此外，作为设计者，尤其为对手部署某种误导性变化时，必须十分确定应该使用哪几个节点，否则可能会搬起石头砸自己的脚。