为什么在网络安全中使用机器学习

传统的威胁检测系统在大量数据日志上使用启发式和静态签名来检测威胁和异常，但这意味着分析师需要了解什么是正常的数据日志。该过程包括通过传统的提取、转换和加载（ETL）阶段来获取和处理数据。转换后的数据由机器读取，然后由分析师进行分析并创建签名。接下来通过传递更多的数据来评估签名。评估中出现错误意味着需要重写规则。基于签名的威胁检测技术虽然好理解，但并不健全，因为需要通过大量的数据来创建签名。

目前的网络安全解决方案

如今，基于签名的系统正逐渐被智能网络安全方案取代。机器学习产品能主动识别新的恶意软件、零日攻击和高级持续性威胁。可以通过日志关联方法对大量日志数据形成新的理解。终端解决方案已被用于识别外围攻击。机器学习驱动的网络安全产品可以增强容器系统（如虚拟机）的安全性。图1-1简要概述了网络安全中的一些机器学习解决方案。

通常，构建机器学习产品是为了在攻击发生之前预测攻击，但由于攻击的复杂性，预防措施往往会失败。在这种情况下，机器学习经常能用其他的方式来补救，例如：在攻击发生的早期就识别出来，并阻止该攻击在整个组织中蔓延。

许多网络安全公司依靠高级分析技术（如用户行为分析和预测分析）在网络安全威胁生命周期的早期检测高级持续性威胁，这些技术已经成功地阻止了个人身份信息（PII）的数据泄露和内部威胁。但是，在网络安全领域，规范性分析也是一种值得一提的机器学习解决方案。与将当前威胁日志与历史威胁日志进行比较来预测威胁的预测分析不同，规范性分析是一个更快响应的过程。规范性分析能够应对已经发生网络攻击的情况，在此阶段进行数据分析，并建议哪种响应措施能将损失降至最低。

机器学习在网络安全方面也存在劣势。由于预警需要让安全运营中心的分析员来进行验证，因此产生太多误报会导致疲于响应。为了避免这种情况发生，网络安全解决方案会从SIEM信号获得洞察力，将SIEM系统产生的信号与高级分析信号进行对比，以便系统不会产生重复信号。因此，网络安全产品中的机器学习解决方案从环境中学习，以使误报数量保持在最低水平。