很少有主题已经捕获了在过去几年中像机器学习（ML）这样的技术人员的思想。穿过CES的展位，您将找到许多新产品和服务，希望以某种创新方式利用ML，以帮助将其提供与下一个产品分享。

网络安全平台肯定是这种情况。作为恶意软件已经扩展到脚本童域的领域，越来越多地用于通过更有组织的犯罪组织来实现利润。

传统上，专业人士使用防病毒签名来识别和解除最常见的恶意软件形式。但恶意软件的复杂性和扩散使得难以检测。今天最复杂的恶意软件可以逃避签名检测。这是启发式可以提供帮助的地方。并且最有希望的启发式技术形式之一是机器学习恶意软件分析。

机器学习的角色有很多困惑，人工智能将在打击恶意软件中发挥作用。有些人可以互换使用机器学习和人工智能术语，但它们不应该。ML和AI都在战斗恶意软件中起着至关重要的作用，重要的是要了解它们的不同。

机器学习与人工智能之间的差异：

• 机器学习是一种识别大量数据模式的算法。
• 机器学习侧重于完成预编程任务。
• 人工智能是一台计算机学会“思考”的时候。
• 通过分析以前的游戏来游戏国际象棋的计算机学习是人工智能的例子。

行为建模

恶意软件检测工具传统上依赖于陷阱或坏行为模型。安全工具通过将恶意软件签名与已知有害代码的数据库匹配来删除威胁。在威胁变得更加复杂和避免签名检测之前，以这种方式捕获恶意软件很好地工作。恶意软件作者弄明白，他们可以编写从未被安全界从未见过的恶意软件，以造成重大损害。机器学习允许我们根据行为建模从捕获到狩猎恶意软件。

不良行为建模着眼于访问已保存的密码、本地文档、浏览历史记录或联系人等操作。恶意软件检测工具被设计成只有当它们检测到这种类型的行为时才会行动。这些工具只能按照程序所设定的功能发挥作用。他们不能在匆忙中“学习”。

狩猎模型使用更难以规避的良好行为建模。良好行为建模使用机器学习来确定员工最有可能登录网络或访问某些文件共享时。它还可能检测到以下内容：

• 转移大量数据的员工或设备。
• 在正常使用或正常工作时间之外连接到另一个网络或设备。
• 使用员工域外的程序和工具。例如，员工在晚上会计运行网络扫描工具。
• 使用过多的计算机资源（如CPU，GPU或Memory）的员工或设备。

良好行为建模依赖于机器学习

基于良好行为建模的开发工具是一个大任务，因为它需要捕获，分析和处理大量数据。然后计算机将用户和程序应执行的所有内容进行分类。当我们知道什么行动被认为是“好”时，我们知道其他一切必须是“坏”。

我们不仅需要访问数据，还需要有足够处理能力的计算机来进行必要的制造。基于云计算的服务使这种处理能力变得更便宜，这鼓励更多的公司加入这场战斗。

另一个挑战是数据处理永远不会停止。由于人类行为发生了变化，因此行为建模必须改变，或者它变得过时。这允许检测工具在飞行中“学习”并随着更多数据而增加智能。

结论

恶意软件变得越来越多高级和更加邪恶。我们过去依赖的工具在当今的计算环境中不起作用。虽然机器学习和人工智能肯定在打击恶意软件中发挥关键作用，但它也将被恶意软件作者使用它来攻击更多难以检测。

这需要网络安全社区的共同努力，以保持领先这些复杂的威胁。当你在考虑保护网络安全的产品时，寻找那些利用机器学习和人工智能的产品，以帮助保持领先。