用机器学习武装网络安全

“用机器学习武装网络安全”这是Splunk公司中国区总经理严立忠在一个技术沙龙中提出的观点。他说：“我们不会有足够的人和时间去针对所有可能出现的威胁进行搜索与定位，并为之制定相应的策略。很多时候，我们的问题只是出在没有足够的人力去监测和解决所有事情。而人工智能和机器学习正在成为主流，我们应当借助机器学习来消除我们在人力上的短板。”

信息技术几乎已经全方位无死角的进入老百姓的日常工作与生活，于些同时，信息化和数字化也已成为企业的核心资产，成为引领企业创新发展的新动能。

可以说，信息社会已经到来。

信息技术带给我们前所未有的便利体验，但它也放大了我们生活的这个越来越相互关联的世界所固有的风险和潜在的脆弱性。在一个联网的世界里，到处都有可能成为黑客攻击的切入点——从员工的智能手机到越来越自动化的交通工具。

那些正处于数字化转型进程中的企业，对于安全问题，更是不能有丝毫松懈和半点侥幸。但是面对越来越庞大、越来越重要的IT系统，以及越来越多的安全隐患，企业也有捉襟见肘之处。这就是Splunk公司严立忠提到的“缺人手”问题。

是的，发现合格的信息安全专业人员对于企业来说是件非常困难的事情。根据国际信息系统审计协会的数据，到2019年，全球网络安全专业人员的短缺将达到200万，而且安全专业人员的安全技能差距在逐年拉大，没有放缓的迹象。

既然安全人力短缺，那我们就把任务交给机器学习，交给人工智能。之前，我们是靠一群人努力、靠经验来积累、靠损失积累来获得相对的安全。人工智能和机器学习带给我们一个新的网络安全防护的机会。

虽然引入人工智能来解决网络安全问题并不是什么新概念，它仍然处于初级阶段，在大多数环境中都不是核心或者主流。但是这是一个不容置疑的趋势，人工智能和机器学习在网络安全防御的应用不断扩展。

当前将机器学习和人工智能引入网络安全的最主要目的是提高网络安全监测和处理的效率以及人力短缺的问题。而且，机器学习也不是万能的，至少目前是这样。比如，机器学习的本质上是一种基于统计的学习方法，可适用的场景是相对模糊、非精确匹配，比如垃圾邮件识别、恶意域名识别、异常行为检测。相反像二进制级恶意代码识别和数据包特征识别这类需精确匹配的场景就不太可能适用。

此外，我们也不应忘记，攻击方的参与者同样能够利用这些先进的技术，并通过协作和分享更快地进行创新。他们可以利用机器学习和人工智能，更迅速的发现漏洞，提高攻擊的准确性，改变攻击路由和路径，并通过反机器学习措施来避免被检测到。对此，Splunk公司严立忠建议企业：应该先发制人，尽早制定一个将人类智能、机器学习、网络安全和数据融合在一起的最佳方案。