十大案例分析,机器学习的十种网络攻击

　　人工智能（AI）和机器学习（ML）是众多辩论的主题，特别是在网络安全社区内更是如此。那么，机器学习会是下一个大的安全趋势吗？人工智能准备好了接受机器学习推动的攻击吗？总的来说，人工智能是否做好了使用的准备？无论你对于机器学习是否会成为网络安全救世主的看法如何，有两件事情却是真实的：一是分析在安全领域占有一席之地，二是机器学习在一些具体的使用案例中代表了我们今天所能给出的最好答案。

　　尽管有报道称黑客使用了"复杂老道"的入侵方法，但是很有可能的是黑客或黑客团体聪明地使用了常见的攻击方法攻入了这家银幕巨头的系统，并使用了 "little.finger66″（译注："小指头66″，"小指头"是《权力的游戏》剧集人物培提尔。贝里席的绰号）这个绰号。

　　下面列举了一些使用案例，它们代表了一些会影响每一家企业的常见安全威胁。不过，机器学习可能是也可能不是网络安全的灵丹妙药，但在下面这些情况中，它肯定会有所帮助。

　　使用案例1："叉鱼"（防范网络钓鱼）

　　网络钓鱼是今天最常见的攻击媒介，而且非常成功。这种攻击利用了个人对通信工具的熟悉，如社交媒体和电子邮件，通过附件或链接向不知情的收件人发送恶意内容。这种攻击的有效性依赖于攻击者误导最终用户点击或下载恶意有效载荷并在之后绕过内部控制的能力。目前其不断增加的破坏性和勒索软件有效载荷使得这种攻击更加严重。

　　组织可以通过从电子邮件中捕获元数据来检测这些威胁，而且这种做法不会影响用户的隐私。通过查看电子邮件标题以及对邮件正文数据的二次抽样，机器学习算法可以学习识别能够暴露恶意发件人的电子邮件模式。通过提取和标记这些微观行为，我们可以训练我们的模型来检测是否有人正在尝试网络钓鱼。随着时间的推移，机器学习工具可以根据发件人的可信赖性构建曲线图。

　　使用案例2：水坑式攻击（Watering Holes）

　　类似于网络钓鱼攻击，水坑式攻击看起来似乎是合法的网站或网络应用程序。但是，这些网站或应用程序虽然是真实的，可已经被盗用了，或者根本就是假冒的网站或应用程序，旨在引诱没有疑虑的访问者输入个人信息。这种攻击也部分依赖于攻击者误导用户以及有效攻击服务的能力。

　　机器学习可以通过分析诸如路径/目录遍历统计等数据来帮助机构对网络应用程序服务进行基准测试。随着时间推移不断学习的算法可以识别出攻击者或恶意网站和应用程序的常见互动。机器学习还可以监控到罕见或不寻常的重新定向模式的行为，重新定向可能指向站点主机或者来自站点主机，还可以监控引荐链接–所有这些都是典型的风险警示指标。

　　使用案例3：内网漫游（Lateral Movement）

　　这不是一种特定类型的攻击，内网漫游攻击方法表示攻击者在网络中的移动，这是他们在查找漏洞并应用不同的技术来利用这些漏洞。内网漫游特别能够表明风险沿着杀伤链–攻击者从侦察到数据提取的活动–上升，特别是当攻击者从低级用户的机器转移到更重要的人员（可以访问有价值的数据）时。

　　网络流量输入记录可以告诉您访问者与网站的互动情况。机器学习了解数据的语境，可以动态地提供正常通信数据的视图。有了对典型通信流的更好理解，算法可以完成变化点检测（也就是说，当给定通信模式的概率分布发生变化，并变得不太可能像是"正常"的通信活动的时候，它能够识别出来），以此监测潜在的威胁。

　　使用案例4：隐蔽信道检测（Covert Channel DetecTIon）

　　使用隐蔽信道的攻击者通过不用于通信的信道传输信息。使用隐蔽信道让攻击者保持对受到威胁的资产的控制，并使用可以随时间执行攻击的战术，而且不被发现。

　　使用隐蔽信道的攻击通常取决于给定网络上所有域的可见性。机器学习技术可以摄取并分析有关稀有领域的统计数据。有了这些信息，安全操作团队可以更轻松地让云端攻击者现形。没有了对他们打算攻击的网络的整体了解，网络犯罪分子更难以将其攻击沿着杀伤链条向前推进。

　　使用案例5：勒索软件（Ransomware）

　　勒索软件"名符其实"。这种恶意软件擦除驱动器并锁定受感染的设备和计算机作为要挟，以换取用户的加密密钥。这种形式的网络攻击会锁定信息，直到用户放弃其密钥，或者在某些情况下，如果不支付赎金，则威胁发布用户的个人信息。

勒索软件提出了一种具有挑战性的使用案例，因为攻击经常导致网络活动日志缺乏证据。机器学习技术可以帮助安全分析师跟踪与勒索软件相关的细小行为，例如与给定的整个文件系统交互的熵统计或过程。组织可以将