只用机器学习侦测网络使用行为还不够，Aruba要用深度学习优化产品

越来越多资安厂商或网络设备商开始用机器学习（Machine Learning，ML）来优化网络安全产品，像是网络厂商Aruba早在去年2月透过并购UEBA厂商Niara引进机器学习技术，来强化自家安全产品。前Niara共同创办人，也是现任HPE Aruba安全产品副总裁暨总经理Prasad Palkar更表示，未来Aruba安全产品策略，更要开始结合深度学习，来解决传统机器学习难以解决的安全问题，甚至是更复杂新型态网络攻击威胁。

随着骇客攻击手法日新月异，加上AI与机器学习技术发展成熟，逐渐成为骇客用来发展规避网络安全侦察的新手段，也增加企业资安防护的难度。Prasad Palkar就表示，面对层出不穷资安威胁，企业更得开始结合机器学习强化网络安全防护，甚至他说：“ 未来谁的AI算法技高一筹，将是决定网络安全胜负的关键。”

企业开始从内部使用者行为侦测下手，找出潜在网络安全威胁

有别于传统资安防护重在防止骇客入侵，一旦防线遭突破之后，企业往往难以察觉，也不知该从何防堵，而以强调使用者行为与装置分析（User and Entity Behavior Analytics，UEBA）的网络安全威胁侦测手法，在近两年开始窜起，它利用机器学习技术，从内部来侦测网络使用异常行为，借此来辨识可疑网络活动，甚至利用它来协助企业提早预测潜在恶意攻击，早一步防堵。

Prasad Palkar表示，UEBA是一个机器学习侦测为主的网络使用行为分析，不只用于侦测内部使用者行为异常事件，也能用在网络攻击威胁侦测，借由分析使用者装置经由网络发送的资料封包、资料流、Log等数据分析，从看似正常的网络行为事件中，如系统登入、档案上传、资料下载等活动，来找出可疑网络活动，进而将企业资产损害降到最低，甚至在攻击还没发生前就提前防范。

但是，如何从许多看似正常网络使用流量数据中，来找出可疑有异常行为？举例来说，当骇客暗中入侵某家企业员工笔电并植入恶意软件，取得存取控制权限，用来窃取企业内部重要资料，在这类情况下，Prasad Palkar表示，企业通常很难透过传统基于规则的安全侦测方式，来发现可疑活动，而必须仰赖大量使用行为数据分析中，才能找出有无可疑的网络存取行为正在发生中，例如下载没有存取权限的公司机密档案等。他说：“这得要靠机器学习才有办法做到。”

同时采监督与非监督ML模型，来侦测不同类型网络安全事件

以IntroSpect产品为例，他表示，因为是采用机器学习，因此训练过程，也分成监督式（Supervised Learning），及非监督式机器学习（Unsupervised Learning）两种，来做为各种网络安全事件的侦测之用。

至于哪些安全事件需要采用监督式或非监督式学习？他也举例，像是恶意网域侦测就适合采用监督式机器学习建立侦测模型，事先让ML学习正常和恶意域名资料集，建立一套恶意网域预测模型，用来分辨出哪些是好或不好的域名。他表示，以往骇客常利用Domain Generation Algorithm （DGA）产生的恶意网域来建立疆尸网络，并不时变动网域名称以规避如防火墙等的侦查，但是透过结合ML模型侦测，就能强化这方面的安全侦测能力。

另外，在使用者存取行为分析时，Aruba也采用非监督式机器学习来强化这方面的侦测能力，不像监督式学习，需要经过人工事先选取特征和资料标记，Prasad Palkar表示，在进行非监督机器学习训练时，仅需订出一个机器对照学习基准线（Baseline），并让机器自动从大量使用者行为范本中，自行找出使用者特征和存取行为之间关联性，得出不同使用者在网络行为的差异，借此辨识哪些存取行为是正常或不正常。

企业面对攻击威胁不能停下脚步，须持续不断发展新的对抗方式

然而，现在不只是企业资安防护开始借重AI与机器学习，就连骇客也开始运用这些新技术来训练自己的攻击工具，让它可以规避资安设备侦察。对此，Prasad Palkar坦言：“这也是为何我们不能停下脚步而必须持续不断发展新的对抗方式，才能比骇客更快一步找到安全问题加以解决。”

Prasad Palkar并表示，目前Aruba安全产品团队成员，许多都是资料科学专家和资安领域专家组成，只要一有新攻击手法出现，这些人就会一起合作，透过结合如主成分分析（Principal Component Analysis）等不同机器学习算法，并搭配各种数据分析工具，来建立不同安全侦测功能的ML模型，以应对各种网络安全威胁。他指出，目前在IntroSpect产品上已建立至少超过100个机器学习预测分析模型，可以用于各种网络安全事件的侦测使用。

他也看好机器学习技术在企业移动网络安全发展，未来可以用来解决更多网络问题，特别是在提高网络使用体验、安全洞见分析，以及网络使用行为侦测上，将有它更大发挥的空间，甚至为了因应未来更复杂新型态网络攻击威胁，他更透露未来也将采用深度学习（Deep Learning）技术，来加强企业无线、有线网络安全防护。

他解释，与传统机器学习不同，深度学习是利用更大量资料训练，来建立更多层类神经网络模型（DNN），以解决更复杂网络安全问题，甚至是，这些还未曾发现过的未知的未知（Unknown unknown）风险。

Prasad Palkar也指出，目前该团队已试用如循环神经网络(Recurrent Neural Network，RNN)，及长短期记忆 （Long Short-Term Memory, LSTM）的神经网络结构，以建立异常网络行为侦测的深度学习模型，用来预测使用者网络行为的好坏，甚至可依据不同安全威胁程度提供风险评分，让企业能及早防范，降低安全风险。

不只是对抗新型态网络攻击威胁，Prasad Palkar指出，透过深度学习也能用来改善现有ML模型推论效果。他解释，即便是已经训练完成的ML模型，推论信心水准已达到80%，但是只要不是百分之百，都还是有产生误判的风险，而透过采用如LSTM等深度学习侦测技术，只要能提供足够大量的资料持续训练学习，就能够逐步提高预测准确度，也能用来改善现有ML算法的学习表现。

不过，他坦言，目前最大的挑战，是要取得大量可供深度学习训练的资料，他说，这些训练用数据，皆来自企业用户用于部署网络设备产生的资料，并非属于涉及隐私安全的数据，然而，若是想要提高学习成效，就需要更多不同类型取样资料，包括钓鱼邮件、可疑C&C DNS、用户不正常存取、档案上传等数据，来做学习训练才行。