如今的網(wǎng)絡(luò)安全系統(tǒng)，要么是人來(lái)監(jiān)控可疑信息，要么是由機(jī)器來(lái)進(jìn)行判斷。對(duì)前者來(lái)說(shuō)，所謂“分析驅(qū)動(dòng)的解決方案”依賴于現(xiàn)有專家建立的規(guī)則，因此不符合規(guī)則的任何攻擊都會(huì)被錯(cuò)過(guò)；同時(shí)，現(xiàn)在機(jī)器學(xué)習(xí)的方法依賴于“異常檢測(cè)”，這往往會(huì)引發(fā)誤報(bào)，無(wú)論如何兩者都會(huì)導(dǎo)致系統(tǒng)的不信任，人們不得不進(jìn)行調(diào)查。

但是，如果有合并這兩種方式的解決方案，將會(huì)是什么樣的？

最近一篇新論文討論了這一可能性。在麻省理工學(xué)院計(jì)算機(jī)科學(xué)與人工智能實(shí)驗(yàn)室（CSAIL）和機(jī)器學(xué)習(xí)創(chuàng)業(yè)公司PatternEx共同研發(fā)了叫做AI2（這個(gè)名字來(lái)源于合并人工智能AI和人稱“分析師直覺(jué)”Analyst Intuition。）的人工智能平臺(tái)，該平臺(tái)通過(guò)不斷整合人類專家的輸入，預(yù)測(cè)網(wǎng)絡(luò)攻擊顯著比現(xiàn)有系統(tǒng)更好。

研究小組發(fā)現(xiàn)，AI2可以檢測(cè)85％的攻擊，這大概是以前基準(zhǔn)的三倍，同時(shí)減少了五分之四的誤判。該系統(tǒng)在36億的日志數(shù)據(jù)進(jìn)行測(cè)試，由數(shù)百萬(wàn)用戶用時(shí)三個(gè)多月產(chǎn)生的日志。

為了預(yù)測(cè)攻擊，AI2會(huì)梳理數(shù)據(jù)和檢測(cè)可疑活動(dòng)，其通過(guò)聚類分析的方法，再加上自主機(jī)器學(xué)習(xí)，把數(shù)據(jù)變成有意義的模式。然后呈現(xiàn)給人類分析師，以確認(rèn)哪些事件是實(shí)際的攻擊，并把反饋集成模式，為下一組數(shù)據(jù)服務(wù)。

“你可以想象該系統(tǒng)為一個(gè)虛擬的分析師，”CSAIL科學(xué)家Kayan Veeramachaneni說(shuō)，他與PatternEx首席數(shù)據(jù)科學(xué)家阿納爾多·伊格納西奧一起研發(fā)了AI2。 “它不斷產(chǎn)生新的模式，它可以在短短的幾個(gè)小時(shí)里優(yōu)化，這意味著它可以顯著并迅速提高其檢測(cè)率。”

Veeramachaneni在上周紐約召開(kāi)的IEEE大數(shù)據(jù)安全國(guó)際會(huì)議中，呈現(xiàn)了關(guān)于該系統(tǒng)的論文。

創(chuàng)建一個(gè)融合人類和計(jì)算機(jī)為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)十分棘手，部分原因是手動(dòng)標(biāo)注網(wǎng)絡(luò)安全數(shù)據(jù)算法是一個(gè)挑戰(zhàn)。

例如，假設(shè)你要開(kāi)發(fā)一個(gè)識(shí)別精度高的計(jì)算機(jī)視覺(jué)算法。給這樣的數(shù)據(jù)加標(biāo)簽很簡(jiǎn)單：只要招募少數(shù)志愿者標(biāo)記照片為或者“物”或“非物”，并且把數(shù)據(jù)融入到算法中。

但對(duì)于網(wǎng)絡(luò)安全的任務(wù)來(lái)說(shuō)，在眾包網(wǎng)站如亞馬遜Mechanical Turk，一般人根本沒(méi)有辨別“DDOS”或“發(fā)現(xiàn)攻擊”這樣的技能，Veeramachaneni說(shuō)， “你需要安全方面的專家?！?/p>

這就引出了另一個(gè)問(wèn)題：專家都很忙，他們不可能整天審查大量被標(biāo)記為可疑的數(shù)據(jù)。大家都知道，公司會(huì)棄用工作太繁雜的平臺(tái)，所以有效的機(jī)器學(xué)習(xí)系統(tǒng)，必須在沒(méi)有給人類帶來(lái)工作負(fù)擔(dān)的情況下，能夠提高自身。

AI2的秘密武器就是它融合了三個(gè)不同的自主學(xué)習(xí)方法，然后把頂級(jí)的事件交給分析師來(lái)標(biāo)簽。然后，它構(gòu)建一個(gè)不斷優(yōu)化的監(jiān)管模型，團(tuán)隊(duì)稱其為“不斷主動(dòng)學(xué)習(xí)系統(tǒng)”。

具體而言，在其訓(xùn)練的第一天，AI2采集了200件最異常的事件，并把它們交給專家。隨著時(shí)間的推移，它不斷提高，越來(lái)越能清楚識(shí)別真實(shí)攻擊，這意味著不久的將來(lái)，分析員可以每天只需要審核30或40宗事件。

“這篇論文匯集了分析師的直覺(jué)和機(jī)器學(xué)習(xí)的優(yōu)勢(shì)，并最終壓低了錯(cuò)判和誤判的數(shù)量，”計(jì)算機(jī)科學(xué)教授Nitesh Chawla說(shuō)， “這項(xiàng)研究有可能成為抵御諸如欺詐、濫用服務(wù)和盜用帳戶等攻擊，這些攻擊對(duì)面向消費(fèi)者的系統(tǒng)來(lái)說(shuō)都是挑戰(zhàn)。”

該小組說(shuō)，AI2可以擴(kuò)展到每天數(shù)十億的日志，將數(shù)據(jù)轉(zhuǎn)換成不同的“類別”，或?qū)⑿袨榉诸悶椤罢！被颉爱惓！薄?nbsp;

“系統(tǒng)檢測(cè)到越多的攻擊，其接收到分析師的反饋就越多，反過(guò)來(lái)又提高了未來(lái)預(yù)測(cè)的準(zhǔn)確度，”Veeramachaneni說(shuō)， “這樣的人機(jī)交互創(chuàng)造了一個(gè)美麗又級(jí)級(jí)滲透的效應(yīng)”。

via MIT

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。