8、网络安全中的数据分析与机器学习应用

网络安全中的数据分析与机器学习应用

1. 网络安全工具助力人类防御

网络安全工具的目标是帮助人类更高效、安全地完成特定任务。自动化是应对大量任务的关键，不同组织对自动化响应的类型和范围有不同的容忍度。例如，对于企业 VPN 服务器的未授权登录尝试，有的组织会选择忽略，而有的则会自动将违规 IP 地址列入黑名单，甚至对其进行扫描。

数据风险分析是数据安全分析助力人类态势感知的一个重要应用。像“我们今天承担了多少与网络相关的风险？”这类细致的问题，对于大多数公司来说是非传统的，但借助数据分析和机器学习的进步得以实现。例如，加拿大的 Interset 公司以“威胁检测科学”为口号，其商业解决方案通过收集企业数据并运用行为分析进行威胁分析。该公司在白皮书“大数据与行为分析在安全领域的应用”中阐述了其开发并实施的行为分析数学模型，该模型聚合了有关活动、用户、文件和方法的数据，终端用户可以通过可视化的方式查看分析结果。

计算网络风险是复杂且尚未被充分理解的。可以通过大量科学实验来开发适合自己的风险方程。例如，存储在数据库中的客户数据越多，攻击者试图窃取数据的风险就越高，但这一假设受到许多变量的影响，如用户培训和数据保护措施等。Interset 在其行为风险模型中考虑了四个因素（用户、活动、文件和方法），我们可以使用真实的数据集来设计自己的风险方程并进行实验测试。

人类在判断事件的概率或频率方面并不擅长。例如，在网络中的众多机器和用户中，很难判断哪个最有可能受到攻击，以及攻击会造成多大的停机时间和财务影响。以 2013 年亚马逊网站宕机为例，人们推测其每分钟损失在 66,000 美元至 120,000 美元之间。

数据科学是黑客技能（如文件操作、算法）、