Imperva揭秘?cái)?shù)據(jù)安全機(jī)器學(xué)習(xí)的真諦：超越人力，定義未知

　　如今，機(jī)器學(xué)習(xí)已經(jīng)成為數(shù)據(jù)庫及數(shù)據(jù)安全領(lǐng)域中繞不開的核心技術(shù)。機(jī)器學(xué)習(xí)可以提供人力無法達(dá)成的大規(guī)模分析和收集數(shù)據(jù)的能力，可如果缺乏有關(guān)待解決問題的專業(yè)領(lǐng)域知識(shí)，機(jī)器學(xué)習(xí)技術(shù)本身仍然無法提供有價(jià)值的信息。就數(shù)據(jù)庫內(nèi)部威脅識(shí)別而言，最大的挑戰(zhàn)不在于通過機(jī)器學(xué)習(xí)輸出違規(guī)告警，而在于如何確定典型用戶或系統(tǒng)的數(shù)據(jù)訪問何時(shí)出現(xiàn)異常，以及哪些情況是有危害的，哪些僅僅是異常情況。

　　日前，Imperva首席技術(shù)Terry Ray對(duì)于機(jī)器學(xué)習(xí)在數(shù)據(jù)安全領(lǐng)域的有效應(yīng)用問題給予了深入的解答，揭秘了ImpervaCounterBreach解決方案如何能夠超越傳統(tǒng)的策略設(shè)置方案，準(zhǔn)確識(shí)別不可預(yù)知的數(shù)據(jù)訪問，并保護(hù)數(shù)據(jù)訪問的安全。

　　Terry Ray首先由機(jī)器學(xué)習(xí)的類型區(qū)分入手，把機(jī)器學(xué)習(xí)分為監(jiān)督式學(xué)習(xí)和無監(jiān)督式學(xué)習(xí)。監(jiān)督式學(xué)習(xí)可以完成圖像識(shí)別、標(biāo)記分類等功能，需要預(yù)先設(shè)定針對(duì)性的人工策略，對(duì)于不可預(yù)知的事件無能為力。而Imperva解決方案中采用的無監(jiān)督式學(xué)習(xí)，更接近大眾心目中的“人工智能”，增加了異常檢測、檢索、主題抽象等基本技術(shù)，并綜合了專業(yè)領(lǐng)域知識(shí)、數(shù)據(jù)收集和解析、制定基準(zhǔn)和鑒別敏感數(shù)據(jù)的能力，具有更高的自動(dòng)化屬性，極大地減少了對(duì)于人工的依賴性。

　　為了讓機(jī)器學(xué)習(xí)的結(jié)果更有意義，Imperva特別使用了聚類的技術(shù)。“聚類使得我們可以把許多不同的信息聚集在一起，我們?cè)侔哑渌�的�?shù)據(jù)和我們擁有的領(lǐng)域?qū)�業(yè)知識(shí)結(jié)合在一起，切實(shí)使得這些數(shù)據(jù)變得有價(jià)值并與語境關(guān)聯(lián)。”Terry Ray表示，“真正重要的關(guān)鍵和差異在于，Imperva把我們的專業(yè)領(lǐng)域知識(shí)和機(jī)器學(xué)習(xí)進(jìn)行了整合。”

　　專家領(lǐng)域知識(shí)是我們持續(xù)在數(shù)據(jù)庫、文件、應(yīng)用系統(tǒng)上年復(fù)一年累積的經(jīng)驗(yàn)，這些經(jīng)驗(yàn)可以幫助我們解決人力無法處理過大數(shù)據(jù)量的問題。根據(jù)Terry Ray的估計(jì)，“在大多數(shù)情況下，大多數(shù)人在告警超出正常量5%的時(shí)候就已經(jīng)無法忍受了，更不用說去查看那些生成這些告警的原始數(shù)據(jù)了。”

　　與此同時(shí)，“我們不僅僅需要收集大量數(shù)據(jù)的技術(shù)，同樣還需要能夠準(zhǔn)確的解析這些數(shù)據(jù)。”不同的數(shù)據(jù)庫使用不同的語言，必須有能力解析每一種語言，才可以根據(jù)解析后的數(shù)據(jù)創(chuàng)建有效的模型。Terry Ray介紹說，Imperva從事數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、應(yīng)用端的訪問數(shù)據(jù)解析已有14到15年的時(shí)間，長年累積的經(jīng)驗(yàn)，令他們可以識(shí)別30種不同的數(shù)據(jù)庫語言和文件語言，從而無礙地完成數(shù)據(jù)解析。

　　除了數(shù)據(jù)解析外，還需要有判斷的基準(zhǔn)，幫助我們鑒別敏感數(shù)據(jù)。Terry Ray說：“我們建立了基準(zhǔn)，就可以基于基準(zhǔn)來發(fā)現(xiàn)各種異常�；�線的異常是識(shí)別數(shù)據(jù)違規(guī)的基礎(chǔ)。它告訴我們有什么不對(duì)了。”在制定基準(zhǔn)的方面，Imperva不僅單獨(dú)觀察用戶或數(shù)據(jù)，而是把二者結(jié)合起來。Terry Ray模仿機(jī)器學(xué)習(xí)的口吻舉例說：“看，我明白這是一個(gè)人類用戶，而這個(gè)人類用戶正在觸碰只有應(yīng)用程序會(huì)觸及的數(shù)據(jù)。”這不是一個(gè)人工的策略，而是人類用戶與數(shù)據(jù)交互過程中由機(jī)器學(xué)習(xí)確定的模式。

　　能夠確定某人如何與數(shù)據(jù)交互，何時(shí)與數(shù)據(jù)交互，以及與數(shù)據(jù)交互的原因是這里的關(guān)鍵。Terry Ray再次強(qiáng)調(diào)，這一切的基礎(chǔ)都是機(jī)器學(xué)習(xí)和Imperva專業(yè)領(lǐng)域知識(shí)的結(jié)合。“如果你沒有機(jī)器學(xué)習(xí)來幫助你，那么由人類來回答這些問題幾乎是不可能完成的。”

　　Imperva CounterBreach解決方案的獨(dú)特優(yōu)勢，正在于其不再需要根據(jù)客戶的需求而人工設(shè)定策略。“但是誰知道你所有的數(shù)據(jù)庫和你所有的文件服務(wù)器的使用情況呢?答案是：沒有人。所以我們使用CounterBreach自動(dòng)化地為你完成這樣的工作。”Terry Ray總結(jié)說：“引入自動(dòng)化的價(jià)值，正在于它能讓我們理解和預(yù)測那些不可預(yù)測的東西。”