欢乐颂小说在线阅读,神墓辰东小说,言情小说君子以泽

2017年安全數(shù)據(jù)科學(xué)領(lǐng)域的4個(gè)趨勢(shì)

機(jī)器人、威脅情報(bào)、對(duì)抗機(jī)器學(xué)習(xí)以及深度學(xué)習(xí)是如何影響安全領(lǐng)域的

2016年12月27日

編者注：從Nikhil Buduma的《深度學(xué)習(xí)的基礎(chǔ)》開(kāi)始了解深度學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)。

更多內(nèi)容可以參考Strata北京2017的相關(guān)議題。

安全數(shù)據(jù)科學(xué)正在蓬勃發(fā)展，有報(bào)告顯示安全分析市場(chǎng)將在2023年達(dá)到八十億美元的價(jià)值， 26%的增長(zhǎng)率。這要感謝不屈不撓的網(wǎng)絡(luò)攻擊。如果你想要在2017年走在不斷涌現(xiàn)的安全威脅的前面，那么投資在正確的領(lǐng)域是很重要的。在2016年3月，我寫(xiě)了一篇《2016年需要注意的4個(gè)趨勢(shì)》。而2017年的文章由我與來(lái)自Netflix的Cody Rioux合作，帶來(lái)他的平臺(tái)化視角。我們的目標(biāo)是幫助你為2017年的每一個(gè)季度形成一個(gè)計(jì)劃（例如，4個(gè)季度有4個(gè)趨勢(shì)）。對(duì)于每一個(gè)趨勢(shì)，我們都提供了一個(gè)短小精悍的理論基礎(chǔ)，即為什么我們認(rèn)為現(xiàn)在這個(gè)時(shí)間投資是對(duì)的；以及如何充分利用這一投資，并指明具體的工具和可用資源。

1.自動(dòng)化安全響應(yīng)和協(xié)助的機(jī)器人

我們認(rèn)為，安全行業(yè)將會(huì)見(jiàn)證以聊天機(jī)器人形式出現(xiàn)的自動(dòng)和自主反應(yīng)。當(dāng)一個(gè)模型判定到相關(guān)信息時(shí)或者符合需求時(shí)，機(jī)器人將會(huì)響應(yīng)提供信息。這種響應(yīng)將會(huì)整合在目前用于與團(tuán)隊(duì)成員進(jìn)行溝通的事件響應(yīng)平臺(tái)里。這并不是一個(gè)新的想法，聊天機(jī)器人至少和IRC存在一樣長(zhǎng)的時(shí)間了，但是要感謝”ChatOps”使它們流行起來(lái)。Shivon Zilis和James Cham將這稱(chēng)為“2016年最大的聊天機(jī)器人爆發(fā)潮”。在他們給出的信息圖表中列出了15家正在開(kāi)發(fā)自主代理機(jī)器人的公司。

為什么是現(xiàn)在？

Chris Messina(@chrismessina，哈希標(biāo)簽的發(fā)明者）最近寫(xiě)了一篇名為《聊天機(jī)器人不是一時(shí)的流行，它們是一場(chǎng)革命》的文章。高科技組織通常處在這樣一個(gè)地位，即對(duì)于生產(chǎn)環(huán)境中的自主系統(tǒng)有著充分的信任，這使得自動(dòng)化各種瑣碎的任務(wù)（包括那些在安全領(lǐng)域的任務(wù)）成為可能。機(jī)器人框架主要用于開(kāi)發(fā)各種溝通協(xié)作平臺(tái)，包括Slack、 IRC 以及Skype等，你很可能在日常生活和安全事件發(fā)生時(shí)已經(jīng)在使用這樣的平臺(tái)進(jìn)行溝通了。這使得機(jī)器人成為在事件中快速執(zhí)行任務(wù)或是執(zhí)行和報(bào)告例行檢查（例如證書(shū)更新以及確認(rèn)是否符合安全標(biāo)準(zhǔn)）的理想伙伴。Jason Chan (@chanjbs)最近也發(fā)表了關(guān)于Netflix在安全方面是如何使用機(jī)器人的相關(guān)演講：從安全咨詢(xún)講到批準(zhǔn)部署更新，再到如何設(shè)定明顯的安全關(guān)鍵字等。

下一步

與你的運(yùn)營(yíng)團(tuán)隊(duì)/網(wǎng)絡(luò)運(yùn)營(yíng)中心談?wù)?，看看他們是否已?jīng)有了可以進(jìn)行調(diào)用的解決方案。
看看微軟的機(jī)器人框架、Slack機(jī)器人，或者許多IRC機(jī)器人框架之一。
調(diào)研Security Monkey（Netflix的一個(gè)安全開(kāi)源項(xiàng)目）中的自動(dòng)化技術(shù)，并嘗試復(fù)制它們。

2.將威脅情報(bào)與機(jī)器學(xué)習(xí)檢測(cè)相結(jié)合

威脅情報(bào)可以被認(rèn)為是已知的不良行為的離散實(shí)例，或是一個(gè)折衷指標(biāo)的集合。它們是多種多樣的，可以是已知惡意文件的哈希值、僵尸網(wǎng)絡(luò)的控制服務(wù)器以及命令的IP地址，甚至是持久威脅所試用的用戶(hù)代理字符串。威脅情報(bào)長(zhǎng)期被安全社區(qū)用于安全監(jiān)控的定點(diǎn)檢查，但是我們認(rèn)為數(shù)據(jù)科學(xué)社區(qū)應(yīng)該在2017年將它們利用到行為檢測(cè)系統(tǒng)中去。

為什么是現(xiàn)在？

貝葉斯錯(cuò)誤率是任何在給定數(shù)據(jù)集上的分類(lèi)器的最基本的限制。改進(jìn)錯(cuò)誤率的標(biāo)準(zhǔn)方法是包含新的信息來(lái)源。我們假設(shè)威脅情報(bào)是一個(gè)簡(jiǎn)單的網(wǎng)關(guān)，并且是引入新的數(shù)據(jù)來(lái)源的第一步。

另外還有可替代的能解釋性——他們還提供了解釋警告的洞察。例如，如果你的機(jī)器學(xué)習(xí)系統(tǒng)判斷出登陸人是不正常的，且登陸的IP地址出現(xiàn)在一個(gè)“肉雞”網(wǎng)絡(luò)情報(bào)列表里，那么我們就能推測(cè)出這次登陸不正常，是一個(gè)受到感染的“肉雞”機(jī)器進(jìn)行的。盡管有些玄乎且不是100%確信，但這也提供了對(duì)告警的一種好的解釋。

下一步

引入威脅情報(bào)最簡(jiǎn)單的方式是直接將威脅情報(bào)數(shù)據(jù)加入到機(jī)器學(xué)習(xí)系統(tǒng)的結(jié)果中去。而最直接的方法是將威脅情報(bào)作為一個(gè)過(guò)濾器放置在機(jī)器學(xué)習(xí)系統(tǒng)之后。
另外一個(gè)選項(xiàng)是將它們作為二元的特征放置到訓(xùn)練集中去。這帶來(lái)額外的好處就是只要管理一份代碼。這個(gè)方法的缺點(diǎn)是每當(dāng)你新添加一個(gè)新的威脅情報(bào)，你需要改動(dòng)一次代碼并且重新訓(xùn)練和部署你的機(jī)器學(xué)習(xí)系統(tǒng)，這是很麻煩的。

在你開(kāi)始威脅情報(bào)的相關(guān)實(shí)驗(yàn)之前，要注意這些數(shù)據(jù)在不同的指標(biāo)上有不同級(jí)別的置信度，需要反復(fù)嘗試調(diào)整。商業(yè)威脅情報(bào)的供應(yīng)商包括Team Cymru,、iSight、?iDefense以及?Webroot。開(kāi)源威脅情報(bào)項(xiàng)目包括Project Honeypot、Malware Domain List，而諸如?Feodo Tracker,?Zeus Tracker?和?OpenPhish?等的追蹤器是便宜的原型系統(tǒng)之選。

3.繼續(xù)投資在對(duì)抗性機(jī)器學(xué)習(xí)上

對(duì)抗機(jī)器學(xué)習(xí)是指攻擊者可以破壞機(jī)器學(xué)習(xí)系統(tǒng)從而獲利。攻擊方可以增加系統(tǒng)的誤報(bào)率到很高，使得安全分析師感到挫敗、精疲力竭?；蛘咭部梢栽黾酉到y(tǒng)的假陰性率，從而使得攻擊可以完全不被注意地通過(guò)雷達(dá)監(jiān)控。甚至可以完全控制整個(gè)安全系統(tǒng)。對(duì)抗機(jī)器學(xué)習(xí)是真實(shí)會(huì)發(fā)生的，與Ian Goodfellow一起在這一話(huà)題寫(xiě)過(guò)很多論文的Nicholas Papernot曾寫(xiě)過(guò)一篇很棒的博客來(lái)解釋其中的一些奧妙，其核心就是說(shuō)，對(duì)抗性機(jī)器學(xué)習(xí)是非?？赡馨l(fā)生的。

為什么是現(xiàn)在？

這一趨勢(shì)已經(jīng)在我2016年發(fā)表的文章中列舉過(guò)。但是考慮到熱度的提升以及可能的損害，我們認(rèn)為有必要提醒我們的讀者，在2017年開(kāi)始保護(hù)他們的機(jī)器學(xué)習(xí)檢測(cè)防護(hù)系統(tǒng)是有價(jià)值的。盡管安全專(zhuān)家之前在惡意軟件過(guò)濾領(lǐng)域中已經(jīng)預(yù)見(jiàn)這一趨勢(shì)，2016年還是出現(xiàn)了許多的例子，打擊了幾乎所有的大公司。首先，微軟的“Tay the Tweet”機(jī)器人不得不關(guān)停，因?yàn)樗_(kāi)始冒出種族方面的用詞。然后，來(lái)自康奈爾的研究人員展示了他們是如何能夠從亞馬遜和BigML偷取機(jī)器學(xué)習(xí)模型的。最后，對(duì)抗機(jī)器學(xué)習(xí)甚至出現(xiàn)在2016大選，谷歌曾經(jīng)顯示過(guò)一張總統(tǒng)候選人的圖片，上面寫(xiě)著“病態(tài)的騙子”。

下一步

開(kāi)始對(duì)你的對(duì)外暴露的機(jī)器學(xué)習(xí)系統(tǒng)進(jìn)行威脅建模，Nicholas Papernot (@nicholaspapernot)等有一些靠譜的指導(dǎo)，比如這篇新論文《論安全科學(xué)以及機(jī)器學(xué)習(xí)中的隱私》。
看一看cleverhans。這是一個(gè)新的庫(kù)，模擬了對(duì)于機(jī)器學(xué)習(xí)解決方案的各種類(lèi)型的攻擊。
在允許用戶(hù)輸入成為模型的訓(xùn)練數(shù)據(jù)之前仔細(xì)地檢查用戶(hù)輸入，特別是在線機(jī)器學(xué)習(xí)的場(chǎng)景下。

4.深度學(xué)習(xí)用于安全

深度學(xué)習(xí)使以與人類(lèi)相當(dāng)?shù)乃絹?lái)完成一些任務(wù)成為可能，從開(kāi)車(chē)到以你最喜歡的藝術(shù)家的風(fēng)格來(lái)繪畫(huà)。有時(shí)甚至是完全超越人類(lèi)的水平，比如說(shuō)下圍棋。諸如流量識(shí)別、惡意軟件識(shí)別、命令檢測(cè)、服務(wù)器控制等安全任務(wù)已經(jīng)在向這一趨勢(shì)發(fā)展。而神經(jīng)網(wǎng)絡(luò)也具有無(wú)監(jiān)督學(xué)習(xí)的技術(shù)能力，可以自動(dòng)編碼和強(qiáng)化學(xué)習(xí)，這為諸如異常檢測(cè)和建立自治系統(tǒng)等任務(wù)提供了即使沒(méi)有標(biāo)記數(shù)據(jù)也可用的解決方案。簡(jiǎn)而言之，如果你需要人類(lèi)級(jí)別的性能并且有相當(dāng)多的數(shù)據(jù)和處理它們的計(jì)算資源，那么你可能想要利用這一趨勢(shì)來(lái)自動(dòng)化那些曾經(jīng)被視為只有人類(lèi)可以完成的任務(wù)。

為什么是現(xiàn)在？

深度學(xué)習(xí)的實(shí)現(xiàn)層一度淪為數(shù)據(jù)科學(xué)家的機(jī)器拼湊上包含數(shù)百行Theano代碼的python腳本。然而早已不是這樣了，產(chǎn)品級(jí)深度學(xué)習(xí)組件的工具是應(yīng)有盡有，無(wú)論你的軟件棧是什么。并且用來(lái)訓(xùn)練大型模型的分布式計(jì)算資源也是司空見(jiàn)慣的，你很可能已經(jīng)有一個(gè)可用的Spark或者Hadoop集群。你可能也正在生成足夠的數(shù)據(jù)來(lái)訓(xùn)練一個(gè)數(shù)據(jù)饑餓的算法，例如深度神經(jīng)網(wǎng)絡(luò)。集合分布式計(jì)算集群上的數(shù)據(jù)和計(jì)算資源，再加上可以使得用戶(hù)能夠簡(jiǎn)單地訓(xùn)練、預(yù)測(cè)、監(jiān)控和維護(hù)深度學(xué)習(xí)模型的產(chǎn)品級(jí)軟件包，意味著把深度學(xué)習(xí)整合到你的產(chǎn)品的威脅監(jiān)控系統(tǒng)中是前所未有得簡(jiǎn)單。

下一步

如果你不了解深度學(xué)習(xí)，在http://course.fast.ai/看看Jeremy Howard (@jeremyphoward)的新課程，務(wù)實(shí)、關(guān)注代碼，并且非常實(shí)用。
調(diào)研你的技術(shù)棧中的神經(jīng)網(wǎng)絡(luò)相關(guān)的包。Python (Keras,?Lasagne,?Theano,?Tensorflow), Java (deeplearning4j), 或者 .NET (accord)。你可能更愿意將這一職責(zé)交給一個(gè)管理服務(wù)，例如Azure ML。
一旦你選定了軟件包，動(dòng)手嘗試一下Cyber Defense Exercise數(shù)據(jù)集。
調(diào)研惡意軟件識(shí)別的研究，可以從以下論文開(kāi)始：《?Deep Neural Network-Based Malware Detection Using Two-Dimensional Binary Program Features?》和《Droid-Sec: Deep learning in android malware detection》。

總地來(lái)說(shuō)，對(duì)抗機(jī)器學(xué)習(xí)將繼續(xù)成為重要焦點(diǎn)，而正如它在其他領(lǐng)域所做的那樣，深度神經(jīng)網(wǎng)絡(luò)將開(kāi)始在安全數(shù)據(jù)科學(xué)領(lǐng)域產(chǎn)生影響力。與此同時(shí)，分析師的日常工作將更簡(jiǎn)單，通過(guò)整合威脅情報(bào)和通過(guò)帶有“安全口味”的聊天運(yùn)營(yíng)機(jī)器人盡可能自動(dòng)化所有任務(wù)。進(jìn)一步的自動(dòng)化任務(wù)可以只執(zhí)行一次并且自動(dòng)地通過(guò)聊天機(jī)器人將信息傳播到相關(guān)群體中。

我們樂(lè)意聽(tīng)取你對(duì)于安全數(shù)據(jù)科學(xué)的趨勢(shì)預(yù)測(cè)的想法，歡迎通過(guò)推特@ram_ssk和?@codyrioux聯(lián)系我們，并加入到討論中來(lái)。

Ram Shankar是微軟Azure的安全數(shù)據(jù)科學(xué)團(tuán)隊(duì)的安全數(shù)據(jù)總監(jiān)。他的主要關(guān)注點(diǎn)是對(duì)海量安全日志進(jìn)行建模來(lái)發(fā)現(xiàn)惡意活動(dòng)。他的成果曾出現(xiàn)在核心安全會(huì)議（像DerbyCon、MIRCon、BlueHat等），以及大數(shù)據(jù)會(huì)議(像Strata+Hadoop 世界大會(huì))和機(jī)器學(xué)習(xí)實(shí)踐大會(huì)。Ram畢業(yè)于卡內(nèi)基梅隆大學(xué)電氣與計(jì)算機(jī)工程專(zhuān)業(yè)，并獲得工程與技術(shù)創(chuàng)新管理碩士。

Cody Rioux是一名高級(jí)軟件工程師，設(shè)計(jì)和開(kāi)發(fā)實(shí)時(shí)機(jī)器學(xué)習(xí)系統(tǒng)來(lái)支持Netflix在AWS上的高可靠和可用。Cody曾參與過(guò)Netflix的異常值檢測(cè)、自動(dòng)化Hystrix部署等項(xiàng)目，實(shí)現(xiàn)了針對(duì)實(shí)時(shí)流式數(shù)據(jù)查詢(xún)的查詢(xún)語(yǔ)言。Cody的成果在Netflix的技術(shù)博客、一些集會(huì)、Strata+Hadoop世界大會(huì)以及PyData上發(fā)表過(guò)。Cody畢業(yè)于萊斯布里奇大學(xué)，獲得計(jì)算機(jī)科學(xué)學(xué)士學(xué)位。

This article originally appeared in English: "4 trends in security data science for 2017".