人工智能在各个领域的应用都在逐渐成熟,从去年起人工智能、机器学习已经被安全领域的厂商所接受。比如36氪在今年1月份报道美国创业公司 SentinelOne ,英国网络安全公司Wandera,都将机器学习融入其产品中并在实际生产中得到应用,前者也获得7000万美金的C轮融资,后者也有超过2700万美元的融资。不仅仅是创业公司活跃于此,微软也以1亿美元收购的以色列网络安全公司Hexadite,而Hexadite最大的特点也在于将机器学习应用于安全领域。在中国,亚信安全也正在通过机器学习技术解决企业安全难题。
实际上,在安全领域没有一招鲜吃遍天的事情,亚信安全通用安全产品中心总经理、亚信网络安全产业技术研究院副院长童宁认为,人工智能、机器学习毫无疑问在驱动网络安全发展。”但亚信安全不会放弃基于特征码比对的一代技术和基于行为分析的二代技术,它们的结合对于处置安全风险更为有效。
在机器学习领域,最主要的两个概念就是有监督学习和无监督学习。
有监督学习是指通过已有样本来训练,从而得到一个最优模型,再利用这个模型将所有新的数据样本映射为相应的输出结果,对输出结果进行简单的判断从而实现分类的目的。简单来说,“有监督学习就是人们‘告诉’机器‘哪些数据是属于哪一类的’,然后通过数据进行训练。
有监督学习可以用于网络攻防中对恶意程序、垃圾邮件的识别和对勒索病毒的防治,特别是在需要多维度识别的情况下,能够大幅提高识别速度和效率。虽如此,但有监督学习同样面临挑战:一是模型的新鲜度,因为威胁进化非常迅速,所以要保证训练数据的更新能力。二是分类识别的精度和误判管理,主要包括两个指标,正确率与召回率。
童宁认为,正确率和召回率是很多所谓的人工智能安全厂商不敢正面去谈的话题,正确率指的是抓了多少是正确的,召回率指的是漏掉了多少没有抓住。
如果假设总共有100个文件,其中有10个恶意文件。如果人工智能从中找到5个,并且全部正确,那么正确率是100%,召回率是50%。如果人工智能从中找到 20个,包含其中10个恶意文件,那么正确率是50%,召回率是100%。
童宁指出,也许有的厂商说我的AI安全正确率是100%,这话没有错,但确是片面的。亚信安全在实践有监督学习时,实际上一直在平衡正确率和召回率,总有一定的错误率,想要前后都做到100%目前是不可能的,现在做的是如何控制在可控的范围内。
而无监督学习是从无标记的训练数据中推断结论;也就是说,无监督学习就是不‘告诉’机器,直接由人对最终输出的结果进行定义。”
童宁告诉36氪,无监督学习通常用于反欺诈、异常发现、攻击发现、行为分析(UBA)等。
与正确率和召回率一样,无监督学习也面临着一些挑战,例如如何让用于建模学习的数据不受干扰避免投毒攻击。在客户环境中进行建模学习,一般要学习几个星期甚至几个月,厂商投入成本相对较高;客户无能力持续继续运维,模型更新缓慢。
与机器学习在其他领域的要求一样,机器学习在安全领域的成功也要依赖于以下几点,第一,持续的、高质量的数据,保证机器的学习能力。第二,机器学习的专家,保持在建模、算法方面的持续优化。
此外在安全领域内,安全专家也扮演的重要的角色,他们来判断机器要抽取哪些特征进行学习和对结果的把控。那么亚信安全的哪些产品或者在哪些领域运用了机器学习技术?
事实上,亚信安全基于AI的安全引擎在数据、特征识别、算法、模型等层面均有积累,在亚信安全防毒墙网络版OfficeScan 12中使用了跨代整合技术,实现了AI-机器学习技术和其它防护技术融合创新。
童宁指出,在有监督学习方面,亚信安全利用其进行恶意程序及勒索病毒的防治,以及进行防治垃圾邮件等进行了实践探索。无监督学习方面,亚信安全对UBA、态势感知、以及反欺诈(信势和信盾)等产品进行了机器学习的应用。
人工智能在各个领域的应用都在逐渐成熟,从去年起人工智能、机器学习已经被安全领域的厂商所接受。比如36氪在今年1月份报道美国创业公司 SentinelOne,英国网络安全公司Wandera,都将机器学习融入其产品中并在实际生产中得到应用,前者也获得7000万美金的C轮融资,后者也有超过2700万美元的融资。不仅仅是创业公司活跃于此,微软也以1亿美元收购的以色列网络安全公司Hexadite,而Hexadite最大的特点也在于将机器学习应用于安全领域。在中国,亚信安全也正在通过机器学习技术解决企业安全难题。
实际上,在安全领域没有一招鲜吃遍天的事情,亚信安全通用安全产品中心总经理、亚信网络安全产业技术研究院副院长童宁认为,人工智能、机器学习毫无疑问在驱动网络安全发展。”但亚信安全不会放弃基于特征码比对的一代技术和基于行为分析的二代技术,它们的结合对于处置安全风险更为有效。
在机器学习领域,最主要的两个概念就是有监督学习和无监督学习。
有监督学习是指通过已有样本来训练,从而得到一个最优模型,再利用这个模型将所有新的数据样本映射为相应的输出结果,对输出结果进行简单的判断从而实现分类的目的。简单来说,“有监督学习就是人们‘告诉’机器‘哪些数据是属于哪一类的’,然后通过数据进行训练。
有监督学习可以用于网络攻防中对恶意程序、垃圾邮件的识别和对勒索病毒的防治,特别是在需要多维度识别的情况下,能够大幅提高识别速度和效率。虽如此,但有监督学习同样面临挑战:一是模型的新鲜度,因为威胁进化非常迅速,所以要保证训练数据的更新能力。二是分类识别的精度和误判管理,主要包括两个指标,正确率与召回率。
童宁认为,正确率和召回率是很多所谓的人工智能安全厂商不敢正面去谈的话题,正确率指的是抓了多少是正确的,召回率指的是漏掉了多少没有抓住。
如果假设总共有100个文件,其中有10个恶意文件。如果人工智能从中找到5个,并且全部正确,那么正确率是100%,召回率是50%。如果人工智能从中找到 20个,包含其中10个恶意文件,那么正确率是50%,召回率是100%。
童宁指出,也许有的厂商说我的AI安全正确率是100%,这话没有错,但确是片面的。亚信安全在实践有监督学习时,实际上一直在平衡正确率和召回率,总有一定的错误率,想要前后都做到100%目前是不可能的,现在做的是如何控制在可控的范围内。
而无监督学习是从无标记的训练数据中推断结论;也就是说,无监督学习就是不‘告诉’机器,直接由人对最终输出的结果进行定义。”
童宁告诉36氪,无监督学习通常用于反欺诈、异常发现、攻击发现、行为分析(UBA)等。
与正确率和召回率一样,无监督学习也面临着一些挑战,例如如何让用于建模学习的数据不受干扰避免投毒攻击。在客户环境中进行建模学习,一般要学习几个星期甚至几个月,厂商投入成本相对较高;客户无能力持续继续运维,模型更新缓慢。
与机器学习在其他领域的要求一样,机器学习在安全领域的成功也要依赖于以下几点,第一,持续的、高质量的数据,保证机器的学习能力。第二,机器学习的专家,保持在建模、算法方面的持续优化。
此外在安全领域内,安全专家也扮演的重要的角色,他们来判断机器要抽取哪些特征进行学习和对结果的把控。那么亚信安全的哪些产品或者在哪些领域运用了机器学习技术?
事实上,亚信安全基于AI的安全引擎在数据、特征识别、算法、模型等层面均有积累,在亚信安全防毒墙网络版OfficeScan 12中使用了跨代整合技术,实现了AI-机器学习技术和其它防护技术融合创新。
童宁指出,在有监督学习方面,亚信安全利用其进行恶意程序及勒索病毒的防治,以及进行防治垃圾邮件等进行了实践探索。无监督学习方面,亚信安全对UBA、态势感知、以及反欺诈(信势和信盾)等产品进行了机器学习的应用。
京公网安备 11010502049343号