編者按： 他山之石，可以攻玉。威脅情報(bào)服務(wù)和工具可以從AI 尤其是機(jī)器學(xué)習(xí)等高級技術(shù)中獲得很大提升。如何利用AI 改善攻擊檢測的過程從而提升安全性呢？

對于利用威脅情報(bào)的企業(yè)而言，下一步的發(fā)展是以機(jī)器學(xué)習(xí)技術(shù)的形式增加人工智能（AI）的威脅情報(bào)功能，用以提高攻擊檢測能力。

機(jī)器學(xué)習(xí)是可以使計(jì)算機(jī)分析數(shù)據(jù)并學(xué)習(xí)其意義的一種人工智能形式。將機(jī)器學(xué)習(xí)結(jié)合威脅情報(bào)使用的根本原因是，在攻擊發(fā)生之前，使計(jì)算機(jī)能夠以比人更快的速度檢測并阻止攻擊。此外，由于威脅情報(bào)的體量如此巨大，傳統(tǒng)的檢測技術(shù)不可避免地會產(chǎn)生很多虛假的情報(bào)。機(jī)器學(xué)習(xí)可以分析威脅情報(bào)并將其濃縮為更細(xì)小的要點(diǎn)，因而可以減少一些虛假情報(bào)的數(shù)量。

這聽起來似乎很令人激動(dòng)，但還存在問題。期望AI極大地提升安全性也不現(xiàn)實(shí)，而且在沒有準(zhǔn)備和后續(xù)支持的情況下部署機(jī)器學(xué)習(xí)可能使事情更糟。

企業(yè)可以采取哪些步驟才能更好地利用具有機(jī)器學(xué)習(xí)功能的AI 情報(bào)工具，從而提高攻擊的檢測能力呢？

利用高質(zhì)量的威脅情報(bào)源

利用機(jī)器學(xué)習(xí)的AI 威脅情報(bào)產(chǎn)品是通過接收、分析輸入并產(chǎn)生輸出而工作的。對于攻擊檢測來說，機(jī)器學(xué)習(xí)的輸入包括威脅情報(bào)，而其輸出可能是指示攻擊正在發(fā)生的警告，或者是阻止攻擊的自動(dòng)操作。如果威脅情報(bào)有錯(cuò)誤，機(jī)器學(xué)習(xí)將把錯(cuò)誤信息交給攻擊檢測工具，所以工具化的機(jī)器學(xué)習(xí)算法可能產(chǎn)生錯(cuò)誤的結(jié)果。

很多企業(yè)都訂閱了多個(gè)威脅源，其中包括機(jī)器可讀取的攻擊跡象的數(shù)據(jù)源，如發(fā)動(dòng)攻擊的計(jì)算機(jī)的IP 地址和惡意軟件使用的文件名等。其他的威脅情報(bào)源是服務(wù)，它一般提供可由人讀取的描述最新威脅的文本信息。機(jī)器學(xué)習(xí)可以利用情報(bào)源，但無法使用服務(wù)。

企業(yè)應(yīng)當(dāng)將最高質(zhì)量的威脅情報(bào)源用于機(jī)器學(xué)習(xí)。不妨從如下方面考慮如何選擇威脅情報(bào)源。

首先，情報(bào)源多久更新一次？威脅的變化非?？?，所以情報(bào)源應(yīng)當(dāng)持續(xù)更新。其次，情報(bào)源的數(shù)據(jù)準(zhǔn)確性如何？例如，一個(gè)被報(bào)告稱正在發(fā)動(dòng)攻擊的IP 地址是否確實(shí)？第三，情報(bào)源的全面性如何？是否覆蓋了全世界范圍的威脅？是否包括了企業(yè)的檢測工具所需威脅的信息類型？

直接評估威脅情報(bào)的質(zhì)量是很難的，但是根據(jù)因使用威脅情報(bào)而導(dǎo)致的虛假情報(bào)的數(shù)量進(jìn)行間接評估卻是可行的。在直接由檢測工具使用而無需機(jī)器學(xué)習(xí)時(shí)，高質(zhì)量的威脅情報(bào)應(yīng)當(dāng)帶來最少量的虛假信息。

給予機(jī)器學(xué)習(xí)所需的場景，使虛假情報(bào)最少化

如果將威脅情報(bào)用于機(jī)器學(xué)習(xí)執(zhí)行諸如自動(dòng)阻止攻擊等操作，虛假或錯(cuò)誤情報(bào)可能是一個(gè)現(xiàn)實(shí)問題。錯(cuò)誤可以破壞正常的活動(dòng)，并有可能對運(yùn)營產(chǎn)生負(fù)面影響。

從根本上說，威脅情報(bào)僅僅是評估風(fēng)險(xiǎn)的一部分而已。另一個(gè)部分是理解環(huán)境或場景，如角色、每臺電腦的重要性和運(yùn)營特性等。將環(huán)境信息提供給機(jī)器學(xué)習(xí)有助于從威脅情報(bào)中獲得更多價(jià)值。假如威脅情報(bào)表明一個(gè)特定的外部IP 地址是惡意的，那么檢測從一個(gè)內(nèi)部的數(shù)據(jù)庫服務(wù)器向外傳輸?shù)竭@個(gè)地址的網(wǎng)絡(luò)通信，與檢測一個(gè)每天將文件發(fā)送給訂閱者的服務(wù)器向這個(gè)同一IP地址發(fā)出的網(wǎng)絡(luò)通信相比，將產(chǎn)生不同的操作。

使用機(jī)器學(xué)習(xí)的最困難部分是提供真實(shí)的學(xué)習(xí)。機(jī)器學(xué)習(xí)需要知道哪些是好的，哪些是不好的，并且在犯錯(cuò)誤時(shí)也能夠從中學(xué)習(xí)。這就要求熟練技術(shù)人員的持續(xù)關(guān)注。向機(jī)器傳授學(xué)習(xí)技術(shù)的一種常見方法是將其置于一個(gè)僅有監(jiān)視的模式中，其中的機(jī)器可以識別惡意的東西但并不阻止任何操作。人類檢查機(jī)器學(xué)習(xí)工具的警告，并加以驗(yàn)證，使其知道哪些是錯(cuò)誤的。沒有來自人的反饋，機(jī)器學(xué)習(xí)就不能改正錯(cuò)誤和提升自身。

利用威脅情報(bào)和機(jī)器學(xué)習(xí)補(bǔ)充和提升對威脅的獵殺

傳統(tǒng)理念是要避免依靠使用機(jī)器學(xué)習(xí)來檢測攻擊的AI 威脅情報(bào)，主要是擔(dān)心虛假情報(bào)問題。在有些環(huán)境中這是對的，但在其他環(huán)境中就是錯(cuò)的。較老的檢測技術(shù)更有可能遺漏最新的攻擊，因?yàn)樗鼰o法跟上這些攻擊技術(shù)的新模式。機(jī)器學(xué)習(xí)有助于安全團(tuán)隊(duì)發(fā)現(xiàn)最新的攻擊，但是可能存在較高的誤報(bào)率。遺漏攻擊與調(diào)查可能的虛擬情報(bào)所需要的資源相比，將是一個(gè)更大的問題，那么更多地依靠利用機(jī)器學(xué)習(xí)的自動(dòng)化對于保護(hù)這些資產(chǎn)來說可能更有意義。

很多企業(yè)可能會發(fā)現(xiàn)最好是將無需機(jī)器學(xué)習(xí)的威脅情報(bào)用于某些目的，而將機(jī)器學(xué)習(xí)所生成的結(jié)果用于其他目的。例如，威脅獵手可能將機(jī)器學(xué)習(xí)用于獲得一些操作上的建議，用于人們無法在海量的威脅情報(bào)數(shù)據(jù)集中調(diào)查并得到有重要價(jià)值的信息情況。

當(dāng)然，不可忽視的是，威脅情報(bào)服務(wù)報(bào)告可以為威脅獵手提供一些關(guān)于最新威脅的珍貴信息。這些信息往往包括一些不能輕易地實(shí)現(xiàn)自動(dòng)化從而使機(jī)器學(xué)習(xí)可以處理的東西。