机器学习已成为安全界最流行的新主题。似乎每家厂商都在采用这一能力,力求在竞争激烈的市场上脱颖而出。这就造成了混乱,因为“机器学习”这个词汇本身往往被误解,而其使用的影响也是各有不同。
不仅每个人对“机器学习”的理解都不相同,不同厂商应用机器学习的方式也各种各样。所有这一切,让买家难以区分炒作和现实,难以弄清机器学习给他们带来的实际价值。
为拨开机器学习迷雾,不妨从澄清它“不是”什么开始。
1. 机器学习不是一种防护形式
最大的误解之一,就是机器学习是某种形式的安全新产品或新功能。事实上,机器学习并不切实提供防护,而是通过驱动更快、更准确、更广泛、更深入的威胁数据分析,来指导防护操作。面对令人疲于应付的安全威胁数据巨浪,机器学习可以提供人类分析师无法达到的处理效率。
2. 机器学习不是过时方法的权宜之计
大多数杀软都用机器学习来分析文件属性,以确定文件是否恶意。但这基本上就是杀软这些年来一直在干的事情——扫描新文件属性与已知恶意软件属性做对比来做判定。其中问题是:对静态已知文件熟悉的依赖,意味着没有任何一点机器学习可以用来阻止未知或无文件威胁。无文件,就没有东西可供扫描。
3. 机器学习未必总能更聪明
与任何其他分析工具类似,基于机器学习的安全解决方案效果取决于可用的数据。但是,众所周知的“垃圾进,垃圾出”。用于训练的正确功能/属性集,大量高品质常更新的数据,是有效防护的倚仗。机器学习模型还必须用及时、相关、高保真的数据经常重训练。
虽然机器学习确实改善了端点安全,我们显然还未达到最好效果。
为能有效阻止今天高度复杂的恶意软件,比如无文件攻击、CPU级漏洞利用、基于脚本和宏的威胁,还有尚未到来的威胁,端点安全机器学习必须适应当前的环境。它必须能够从众多威胁参数和系统配置中,实时辨别软件的好坏。
于是,要兑现炒作承诺,驱动真正革命性的端点安全新浪潮,机器学习需要做什么呢?
1. 必须分析文件行为,而不仅仅是文件属性
将安全决策建立在文件属性上,只在以下2种情况下有效:
有文件可供分析
这些属性事先已被识别并嵌入到了模型中
于是,当涉及到检测并阻止新型未知变体、无文件攻击和脚本/宏攻击时,这就留下了一大片空白。端点安全里对机器学习更新更灵敏的使用,可分析实时行为——程序运行过程中的系统调用和程序指令,驱动这些解决方案在恶意行为刚开始时就识别并阻止之,提供更广泛更可靠的防护。
2. 必须受及时严格反复训练过的模型的指导
大多数厂商每几个月就更新一次模型,但鉴于当前新威胁涌现的快节奏,软件更新的波动性,模型更新的速度显然不够快。真正灵敏的解决方案,利用机器学习以近实时(每24小时)的频率更新其模型,提供能切实跟上当今威胁态势的最准确及时的解决方案。
3. 必须兼顾合法软件
正如每天有数千新恶意软件变体威胁端点,合法软件也在不停更新和整合。基于文件属性的传统安全解决方案,往往难以持续区分好应用和坏程序,无法分辨有益进程和恶意攻击。这就造成了高误报率,迫使用户在等待模型更新的数月中维护白名单和黑名单。
反应灵敏的解决方案,则不仅仅基于当前恶意软件数据,还根据已知良好软件的最新数据,摄入并建立模型,解决这一问题。这么做可以提供更具适应性的敏捷模型,在大幅减少误报和用户麻烦的同时,确保更高的精准度和更广覆盖面。
毫无疑问,机器学习已经,并将持续改变端点安全。但理解该技术实际运作原理及其局限性,是十分重要的。理解了这些东西,公司企业便可以通过询问正确的问题,在快速进化愈趋复杂的威胁态势下,获得充分保护自身所需的准确、全面、前瞻性的安全覆盖。
本文转自d1net(转载)