在過去的兩年里，企業(yè)生產(chǎn)的數(shù)據(jù)量超過了之前整個人類歷史創(chuàng)造的數(shù)據(jù)總和。要為如此大規(guī)模的數(shù)據(jù)提供安全保障，專家們不得不重新思考，該以何種方式?jīng)Q定敏感文件的授權(quán)與撤銷；更加重要的是，該如何識別和追蹤不可避免的異常訪問，并排查出哪些是真正具有危險的行為。 對于數(shù)據(jù)安全而言，最為關(guān)鍵的問題就是：“這個行為正常嗎？如果不正常，那么它是被允許的嗎？”Imperva的機(jī)器學(xué)習(xí)創(chuàng)新技術(shù)可以為這一問題提供答案。機(jī)器學(xué)習(xí)把模式識別算法應(yīng)用在每一位用戶的每一次SQL查詢上，把內(nèi)部威脅扼殺在搖籃之中。 數(shù)據(jù)安全中的機(jī)器學(xué)習(xí) 機(jī)器學(xué)習(xí)作為一種人工智能，可以讓計算機(jī)檢測出各種模式，并使用通過訓(xùn)練或觀察而習(xí)得的算法來建立行為基線。機(jī)器學(xué)習(xí)可以大規(guī)模地處理和分析人力難以把握的大量數(shù)據(jù)，而提供人類可以理解的分析結(jié)果。 傳統(tǒng)的安全控制通常基于最小訪問特權(quán)模型。這個模型在理論上是成立的，但是在實踐中卻很難得到大規(guī)模的實現(xiàn)。要想以人工的方式?jīng)Q定每個用戶對每種數(shù)據(jù)具體的訪問權(quán)，本身就足夠令人望而卻步了。而在此基礎(chǔ)之上，還要從訪問日志中篩選并識別出潛在的不良行為，這就更難以實現(xiàn)了。即使是在一個只有50到200個數(shù)據(jù)庫的小企業(yè)環(huán)境中，這個過程也會讓20人規(guī)模的IT部門難以招架。而在更大的企業(yè)中，數(shù)據(jù)庫的數(shù)量很可能達(dá)到1萬以上。 好消息是，機(jī)器學(xué)習(xí)有望減輕這份負(fù)擔(dān)。對機(jī)器學(xué)習(xí)而言，更多的信息意味著更多的學(xué)習(xí)燃料。系統(tǒng)學(xué)習(xí)更多的輸入，就能通過學(xué)習(xí)給出更高質(zhì)量的結(jié)果。 話雖如此，機(jī)器學(xué)習(xí)的有效應(yīng)用依然要求人類大腦的參與，需要透徹理解他們想要解決的問題并可以把恰當(dāng)?shù)乃惴☉?yīng)用在恰當(dāng)?shù)膯栴}上。算法并不是萬能鑰匙，而企業(yè)結(jié)構(gòu)也不都是一樣的。真正創(chuàng)新式的機(jī)器學(xué)習(xí)必須更進(jìn)一步。 上下文中的機(jī)器學(xué)習(xí) 簡單的機(jī)器學(xué)習(xí)可以處理日志文件并解讀訪問行為模式；可是，僅僅根據(jù)何人在何時登錄何種資源來生成行為模型，是遠(yuǎn)遠(yuǎn)不夠的。在數(shù)據(jù)安全的問題領(lǐng)域中，真正的需求是對潛在的惡意數(shù)據(jù)濫用提早一步的識別，這就需要機(jī)器學(xué)習(xí)更深地了解被訪問的具體數(shù)據(jù)。 機(jī)器學(xué)習(xí)可以把建立數(shù)據(jù)訪問模式基線的手動進(jìn)程自動化。使用模式識別，機(jī)器學(xué)習(xí)可以識別對等群組中個體的正常行為，還可以動態(tài)地學(xué)習(xí)真正有效的對等群組，而擺脫對于靜態(tài)的“組織結(jié)構(gòu)圖”的依賴——后者極少能夠反映人們的真實工作狀態(tài)。 過去幾年，人工智能與機(jī)器學(xué)習(xí)在模式識別上取得了顯著的進(jìn)展。例如，F(xiàn)acebook的機(jī)器學(xué)習(xí)應(yīng)用，不僅可以識別圖像中有什么，而且還能識別場景的上下文，以及其中是否包含其它已知的實體或地標(biāo)。同理，Imperva設(shè)計師在數(shù)據(jù)集合上應(yīng)用了恰當(dāng)?shù)臋C(jī)器學(xué)習(xí)算法，創(chuàng)造了一個檢查對等群組分支使用模式的系統(tǒng)。這個技術(shù)已經(jīng)超出了識別登錄和訪問時長的范疇，可以針對性地識別和建立正常的用戶數(shù)據(jù)訪問行為，可以輕松過濾出潛在的有危險的行為，避免其損害企業(yè)數(shù)據(jù)。 對于安全團(tuán)隊而言，關(guān)鍵的問題在于：在一次個人訪問中，發(fā)生了什么，行為是否良好？他們需要制作一份事件清單，以備適當(dāng)規(guī)模的SOC團(tuán)隊調(diào)查。出于實用性的考慮，得出的數(shù)據(jù)必須滿足三點要求：有限性，保證團(tuán)隊可以輕松地消化信息：精確性，排除噪音，提高信度；以及上下文的豐富性，讓調(diào)查無須從零開始。 讓機(jī)器學(xué)習(xí)更聰明 Imperva開發(fā)者通過把機(jī)器學(xué)習(xí)算法的豐富知識和關(guān)于構(gòu)成不同種類用戶不當(dāng)數(shù)據(jù)訪問行為的特定專業(yè)知識相結(jié)合，達(dá)到了三個目標(biāo)。 利用模式識別算法處理數(shù)據(jù)安全信息，與Facebook圖像識別相似，只不過識別的對象換成了上下文中的數(shù)據(jù)訪問模式，包括上萬名員工的賬戶，以及每天上百億次的個人數(shù)據(jù)訪問。基于行為的群組自動識別，可以精確定義每個用戶的訪問權(quán)限，并根據(jù)用戶與企業(yè)文件的交互變化進(jìn)行動態(tài)調(diào)整。在對比試驗中，Imperva應(yīng)用機(jī)器學(xué)習(xí)動態(tài)對等群組分析算法，發(fā)現(xiàn)了大量其他方式無法注意到的問題。 以往，大多數(shù)機(jī)器學(xué)習(xí)應(yīng)用都從很高的視角觀測數(shù)據(jù)訪問，比如：王剛在星期二上午8點12分登入了一個特定的數(shù)據(jù)庫，并在8點39分登出。可是它們無法確定王剛在那27分鐘內(nèi)真正做了些什么，所以很難判定行為模式是否正常，是否存在潛在的數(shù)據(jù)濫用。 而Imperva機(jī)器學(xué)習(xí)在理解模式識別算法的基礎(chǔ)上，可以更加聰明地識別威脅數(shù)據(jù)的用戶行為模式。檢查每個用戶的每次SQL查詢，意味著機(jī)器學(xué)習(xí)不僅可以識別王剛在何時登錄了多長時間，而且更為重要的是，還可以學(xué)習(xí)到他訪問了什么。然后，我們可以參照他的對等群組，比較他的行為與其他人的行為，最終判定數(shù)據(jù)訪問到底是正常的，還是不正常的。 大規(guī)模、動態(tài)化、結(jié)合上下文與專業(yè)知識的機(jī)器學(xué)習(xí)，能夠提早適應(yīng)新興的威脅形態(tài)，永遠(yuǎn)領(lǐng)先一步，提早預(yù)防數(shù)據(jù)違規(guī)。 --------------------------------------------------------- 免責(zé)聲明： 1.本文援引自互聯(lián)網(wǎng)，旨在傳遞更多網(wǎng)絡(luò)信息，僅代表作者本人觀點，與本網(wǎng)站無關(guān)。 2.本文僅供讀者參考，本網(wǎng)站未對該內(nèi)容進(jìn)行證實，對其原創(chuàng)性、真實性、完整性、及時性不作任何保證。