人工智能(AI)的话题已经热了数年，但最近，网络安全行业关于AI的讨论都集中在机器学习(ML)上——用算法梳理数据，从中学习，并基于分析结果指导动作的一种AI方法，比如自动阻止未知威胁什么的。

回顾AI/ML历史，你会很快发现，其背后的科学早在1950年代便开始发展了。1951年，阿兰·图灵的奠基性论文提出了一个简单的问题：“机器能思考吗？”但是，如果该方法论已经出现了几十年，很自然地，我们会想，为什么现在才开始应用呢？

由于ML系统可在不受人监管的情况下自行评估新数据及行为，每家公司都急于在多种应用中采纳该尖端方法。然而，机器学习的真正价值，是基于过往所学，而不仅仅是当前纳入并分析的内容，来做出决策的能力。机器学习系统需要训练，而训练必须要有大量以往数据和情报。

为最大化安全工作中ML的有效性，在采纳ML之前最好先了解清楚自己需要做什么。比如以下3个方面：

1. 收集高质量的数据

训练机器学习系统的基础，是手握大量高品质数据。采纳含有ML的产品时，你会想要强化之前所做的工作，比如特征码收集和自动化恶意软件分析，以便将之与机器学习能力相结合，对新型恶意内容加以确定。除了坏数据，你还需要拥有大量良性数据，这样就可以在训练机器学习算法时，让它准确区分危险和良性的东西。

2. 建立安全一致性

最终，你需确保ML算法能在多个层级上运行，包括网络流量、用户行为和终端。举个例子，如果目前你只观察自己网络流量中的异常行为，终端或用户行为都没有进入你的安全工作视线，你就不可能准确关联并确定真正恶意的东西，做不出最明智的决策。

3. 向供应商提出正确的问题

很多公司声称自己的解决方案中囊括了ML，但大多数时候，这项功能是被夸大了的。你询问供应商的问题，应落脚在他们系统的准确率、速度和效率上。分析的数据是从哪儿来的？收集频率是多久一次？该解决方案做出决策引导动作的速度有多快？拟定并问出这么些全面深入的问题，可以让你选出最适合自家公司需求的ML系统。

考虑机器学习价值的时候，最终目标很简单：用软件来自动采取行动。这一领域的研究已延续了几十年，业界已走到了可有效应用的程度，我们防止成功攻击的能力在ML的加持下已有所增强。

攻击数量不断增加，攻击行动也正走向自动化，但公司企业的响应工作，却通常应用的是无法扩展的人工过程。在通往更少手动工作，尽可能自动化威胁防止过程的路上，机器学习无疑是网络安全人士的得力助手。

相关阅读

安全解决方案转向机器学习
机器学习到底学习了什么？难道只是狗熊跳舞？
拨开迷雾 将机器学习转化为真正的安全收益