机器学习如何为主机安全赋能

企业上云已成趋势，上云后的主机安全则分分秒秒牵扯着企业的神经。黑客入侵屡见不鲜，病毒花式翻新。根据权威机构的统计，全球每天都会出现数量惊人的恶意软件。面对海量涌现的恶意软件，传统基于签名的技术无法跟上恶意软件的变化。加上层出不穷的漏洞，频频爆发的0day漏洞攻击让企业更加不堪其扰。

如何才能减少安全风险，为云主机、终端主机带来全方位的保护呢？ 杰思安全认为，机器学习（ML）是抵御当前威胁的一道高效防线。从种种网络主机入侵事件中，不难发现恶意软件通常是破坏性攻击的先兆和跳板。在过去的一年里，40％的安全事件是由传统防病毒（AV）方案没有检测到的恶意软件造成的。这意味着依赖传统安全方案的企业很容易受到未被检测到的恶意软件的入侵。而经过科学训练的机器学习引擎则可以对这种未知恶意软件说不。

恶意软件为何会绕过传统AV？

传统的AV在很大程度上依赖于签名库或病毒特征码来识别和阻止恶意软件。这意味着要想拦截恶意软件，首先需要发现新的恶意软件并创建相应的特征签名，将该签名分发部署到端点。在此过程中，在恶意软件首次出现、创建特征签名并且使得特征签名可用之间打开了时间窗口。这一时间差使得攻击者有足够的时间发起攻击并得逞，或窃取以后可以加以利用的数据。

当下，攻击者不断利用新技术来绕过反恶意软件的安全保护措施。比较常见的技术是将已知恶意软件修改或变形为0day变体，没有与之匹配的特征签名。为了实现这一目标，攻击者会不断变化或混淆恶意软件的真实面目，使用诸如打包程序之类的工具。通过这样简单的技术，就能轻而易举地逃避检测。现在，每天都会出现大约390，000多个新的恶意软件，传统基于签名的技术，根本无法应对数量如此庞大的新恶意软件。

ML是对恶意软件的更好防御

反恶意软件解决方案能有效检测已知恶意软件，但是对于未知威胁或0day 攻击则无能为力。要想防止未知或0day恶意软件，则需要引入ML。这便是ML最有价值的地方。

ML是基于文件的属性来理解和识别恶意意图，不需要特征签名，也不需要执行文件来观察其行为。经过精心设计，ML可以成为抵御恶意软件的极为有效的武器，检测率高达99.5％。这使得机器学习成为任何有效端点解决方案的最低要求。杰思安全旗下的猎鹰主机安全响应系统，成功将安全研究团队的经验与高级机器学习功能相结合，能帮助客户自动识别威胁，并立即采取响应行动。

杰思安全认为：企业主机防范恶意软件的能力是其安全策略是否有效的标志之一 。无论云中的主机还是终端主机都承载了大量的关键数据和关键应用，是不法分子觊觎的攻击目标。而ML能够增加主机的主动防御能力，有效抵御0day攻击，增强主机安全免疫力。不过仅依靠ML来保护端点的安全策略稍显单薄，需要综合实施包括ML在内的立体端点安全解决方案，结合各种互补技术，例如漏洞利用预防、行为分析、意图分析，才能提升用户防御各种类型攻击的综合能力。