人工智能已成新一輪產(chǎn)業(yè)變革的核心驅動(dòng)力。面對日益高級和復雜的攻擊手段，把機器學(xué)習應用到態(tài)勢感知系統中，構建更加智能的網(wǎng)絡(luò )安全主動(dòng)防御體系十分必要。

有機器學(xué)習，這個(gè)“安全大腦”不一樣

對態(tài)勢感知系統這個(gè)“安全大腦”而言，機器學(xué)習具有廣泛的應用價(jià)值。在海量數據分析、未知威脅發(fā)現、潛在風(fēng)險預測和自適應聯(lián)動(dòng)響應等方向上，機器學(xué)習均可發(fā)揮積極作用�；�于機器學(xué)習打造的態(tài)勢感知系統模型，能夠有效地完成不同源頭數據的格式統一、冗余及噪聲數據的去除、各類(lèi)業(yè)務(wù)模型的訓練和結果輸出，以及對分析輸出結果的量化評估。

圖1 基于機器學(xué)習的態(tài)勢感知系統框架

解讀海量數據，抽取有用信息

在網(wǎng)絡(luò )安全領(lǐng)域，我們將每個(gè)網(wǎng)絡(luò )行為視作一個(gè)樣本點(diǎn)，而每個(gè)樣本點(diǎn)的特征屬性都不一樣。有了機器學(xué)習技術(shù)的幫助，態(tài)勢感知系統可以從海量數據中尋找有用信息，提取和變換出各種安全特征屬性。隨后，系統將聚焦其中更具價(jià)值的特征屬性進(jìn)行深入的機器學(xué)習，并選擇合適高效的機器學(xué)習算法建立分類(lèi)/聚類(lèi)模型，利用模型完成具體的安全應用。

業(yè)務(wù)模型各顯其能，算法、平臺強力支撐

目前，基于機器學(xué)習的態(tài)勢感知系統建立了三大業(yè)務(wù)模型，包括精準估算目標威脅程度的威脅發(fā)現模型，預測準確率可達90%以上的風(fēng)險預測模型，以及在知識庫和策略庫的支撐下，利用基于案例的推理方法，自適應生成和調整控制策略的聯(lián)動(dòng)響應模型。

圖2 大數據機器學(xué)習平臺框架

不同的業(yè)務(wù)邏輯需要不同的業(yè)務(wù)模型來(lái)應對，各種業(yè)務(wù)模型背后則有降維、聚類(lèi)、分類(lèi)、回歸和關(guān)聯(lián)規則等豐富的機器學(xué)習算法進(jìn)行支撐。此外，為打造大規模、并行化的機器學(xué)習處理能力，我們采用Spark 異構云作為實(shí)現平臺，將MLLib與Spark環(huán)境整合起來(lái)，構建出一個(gè)性能強勁、支持多類(lèi)別機器學(xué)習算法的大數據機器學(xué)習平臺。

“云網(wǎng)端”協(xié)同，構筑強大“云安全”體系

機器學(xué)習在態(tài)勢感知系統中的應用，促成了一系列技術(shù)突破。我們可以將各設備的安全數據上傳至云端平臺，找到此前靠本地數據很難發(fā)現的APT攻擊；我們可以追蹤攻擊者留下的線(xiàn)索，實(shí)現對威脅過(guò)程的可視化溯源追蹤；我們可以通過(guò)多維度行為特征進(jìn)行用戶(hù)畫(huà)像，擺脫依靠主機IP無(wú)法及時(shí)識別異常威脅的痼疾。同時(shí)，在云端上應用機器學(xué)習技術(shù)，更打破了各種防護產(chǎn)品的“安全孤島”狀態(tài)，實(shí)現云化防護。借助“云網(wǎng)端”協(xié)同效應和實(shí)時(shí)、智能、敏捷、可運維的“云安全”體系，企業(yè)的整體防護能力必將全面增強，從而更好地應對網(wǎng)絡(luò )安全威脅。