編者按： 他山之石，可以攻玉。威脅情報服務(wù)和工具可以從AI 尤其是機器學(xué)習(xí)等高級技術(shù)中獲得很大提升。如何利用AI 改善攻擊檢測的過程從而提升安全性呢？

對于利用威脅情報的企業(yè)而言，下一步的發(fā)展是以機器學(xué)習(xí)技術(shù)的形式增加人工智能（AI）的威脅情報功能，用以提高攻擊檢測能力。

機器學(xué)習(xí)是可以使計算機分析數(shù)據(jù)并學(xué)習(xí)其意義的一種人工智能形式。將機器學(xué)習(xí)結(jié)合威脅情報使用的根本原因是，在攻擊發(fā)生之前，使計算機能夠以比人更快的速度檢測并阻止攻擊。此外，由于威脅情報的體量如此巨大，傳統(tǒng)的檢測技術(shù)不可避免地會產(chǎn)生很多虛假的情報。機器學(xué)習(xí)可以分析威脅情報并將其濃縮為更細(xì)小的要點，因而可以減少一些虛假情報的數(shù)量。

這聽起來似乎很令人激動，但還存在問題。期望AI極大地提升安全性也不現(xiàn)實，而且在沒有準(zhǔn)備和后續(xù)支持的情況下部署機器學(xué)習(xí)可能使事情更糟。

企業(yè)可以采取哪些步驟才能更好地利用具有機器學(xué)習(xí)功能的AI 情報工具，從而提高攻擊的檢測能力呢？

利用高質(zhì)量的威脅情報源

利用機器學(xué)習(xí)的AI 威脅情報產(chǎn)品是通過接收、分析輸入并產(chǎn)生輸出而工作的。對于攻擊檢測來說，機器學(xué)習(xí)的輸入包括威脅情報，而其輸出可能是指示攻擊正在發(fā)生的警告，或者是阻止攻擊的自動操作。如果威脅情報有錯誤，機器學(xué)習(xí)將把錯誤信息交給攻擊檢測工具，所以工具化的機器學(xué)習(xí)算法可能產(chǎn)生錯誤的結(jié)果。

很多企業(yè)都訂閱了多個威脅源，其中包括機器可讀取的攻擊跡象的數(shù)據(jù)源，如發(fā)動攻擊的計算機的IP 地址和惡意軟件使用的文件名等。其他的威脅情報源是服務(wù)，它一般提供可由人讀取的描述最新威脅的文本信息。機器學(xué)習(xí)可以利用情報源，但無法使用服務(wù)。

企業(yè)應(yīng)當(dāng)將最高質(zhì)量的威脅情報源用于機器學(xué)習(xí)。不妨從如下方面考慮如何選擇威脅情報源。

首先，情報源多久更新一次？威脅的變化非?？?，所以情報源應(yīng)當(dāng)持續(xù)更新。其次，情報源的數(shù)據(jù)準(zhǔn)確性如何？例如，一個被報告稱正在發(fā)動攻擊的IP 地址是否確實？第三，情報源的全面性如何？是否覆蓋了全世界范圍的威脅？是否包括了企業(yè)的檢測工具所需威脅的信息類型？

直接評估威脅情報的質(zhì)量是很難的，但是根據(jù)因使用威脅情報而導(dǎo)致的虛假情報的數(shù)量進行間接評估卻是可行的。在直接由檢測工具使用而無需機器學(xué)習(xí)時，高質(zhì)量的威脅情報應(yīng)當(dāng)帶來最少量的虛假信息。

給予機器學(xué)習(xí)所需的場景，使虛假情報最少化

如果將威脅情報用于機器學(xué)習(xí)執(zhí)行諸如自動阻止攻擊等操作，虛假或錯誤情報可能是一個現(xiàn)實問題。錯誤可以破壞正常的活動，并有可能對運營產(chǎn)生負(fù)面影響。

從根本上說，威脅情報僅僅是評估風(fēng)險的一部分而已。另一個部分是理解環(huán)境或場景，如角色、每臺電腦的重要性和運營特性等。將環(huán)境信息提供給機器學(xué)習(xí)有助于從威脅情報中獲得更多價值。假如威脅情報表明一個特定的外部IP 地址是惡意的，那么檢測從一個內(nèi)部的數(shù)據(jù)庫服務(wù)器向外傳輸?shù)竭@個地址的網(wǎng)絡(luò)通信，與檢測一個每天將文件發(fā)送給訂閱者的服務(wù)器向這個同一IP地址發(fā)出的網(wǎng)絡(luò)通信相比，將產(chǎn)生不同的操作。

使用機器學(xué)習(xí)的最困難部分是提供真實的學(xué)習(xí)。機器學(xué)習(xí)需要知道哪些是好的，哪些是不好的，并且在犯錯誤時也能夠從中學(xué)習(xí)。這就要求熟練技術(shù)人員的持續(xù)關(guān)注。向機器傳授學(xué)習(xí)技術(shù)的一種常見方法是將其置于一個僅有監(jiān)視的模式中，其中的機器可以識別惡意的東西但并不阻止任何操作。人類檢查機器學(xué)習(xí)工具的警告，并加以驗證，使其知道哪些是錯誤的。沒有來自人的反饋，機器學(xué)習(xí)就不能改正錯誤和提升自身。

利用威脅情報和機器學(xué)習(xí)補充和提升對威脅的獵殺

傳統(tǒng)理念是要避免依靠使用機器學(xué)習(xí)來檢測攻擊的AI 威脅情報，主要是擔(dān)心虛假情報問題。在有些環(huán)境中這是對的，但在其他環(huán)境中就是錯的。較老的檢測技術(shù)更有可能遺漏最新的攻擊，因為它無法跟上這些攻擊技術(shù)的新模式。機器學(xué)習(xí)有助于安全團隊發(fā)現(xiàn)最新的攻擊，但是可能存在較高的誤報率。遺漏攻擊與調(diào)查可能的虛擬情報所需要的資源相比，將是一個更大的問題，那么更多地依靠利用機器學(xué)習(xí)的自動化對于保護這些資產(chǎn)來說可能更有意義。

很多企業(yè)可能會發(fā)現(xiàn)最好是將無需機器學(xué)習(xí)的威脅情報用于某些目的，而將機器學(xué)習(xí)所生成的結(jié)果用于其他目的。例如，威脅獵手可能將機器學(xué)習(xí)用于獲得一些操作上的建議，用于人們無法在海量的威脅情報數(shù)據(jù)集中調(diào)查并得到有重要價值的信息情況。

當(dāng)然，不可忽視的是，威脅情報服務(wù)報告可以為威脅獵手提供一些關(guān)于最新威脅的珍貴信息。這些信息往往包括一些不能輕易地實現(xiàn)自動化從而使機器學(xué)習(xí)可以處理的東西。