在过去几年中，安全措施显着增加，恶意行为者也在不断提高技术水平，特别是在无文件恶意软件等攻击方法的推进下。同样，AWS Lambda等“无服务器”计算平台的安全模型与传统计算机完全不同。这些巡回计算概念无法通过检查针对已知恶意软件样本的文件哈希的传统模型来有效保护。

为了实现强大的现代防御，必须采用自适应监控解决方案，利用机器学习来识别指示其初期攻击的异常模式，以保护企业系统免受网络攻击。

过去几年已经奠定了很多基础，终端检测服务分析系统事件。“打开了网络连接，修改了注册表项，创建了进程......你构建了这个真正安全相关行为的目录。挑战就是映射基本上做同样事情的已知恶意行为，”Forrester安全与风险高级分析师Josh Zelonis说道，“你必须在房间里有两个人才能建立这个：一个了解地图并可以建立这些模型的数据科学家...... [和]一个攻击性技术专家，以帮助他们建立模型并理解什么是抽象他们正在做，所以他们可以在统计上确定对手做什么看起来相似。“

准确地将系统事件的聚合连接到异常活动只是安全阶梯的一个步骤 - 确定工作流和恶意活动中的合法更改之间的差异是机器学习或人工智能的更高级别任务。利用ML / AI的安全信息和事件管理(SIEM)的各种方法可从各种供应商处获得。

领先的AI / ML供电解决方案供应商

ExtraHop

ExtraHop的Reveal(x)平台为企业网络提供网络流量分析，提供对连接的洞察，并使用基于规则和行为的分析与逻辑设备组配对来识别潜在威胁。该平台还宣传“每次检测的完整上下文和一键式调查工作流程”。

Vectra Networks

Vectra Cognito是一个基于AI的安全平台，它使用已知恶意软件有效负载和技术的分析来通知机器学习模型，以检测未来或未知的威胁。它还分析用户行为和本地网络，或特定于客户环境的属性，以获得对法线的基线理解，以设置识别异常行为的参数。

CoreLight

Corelight的1U机架式网络安全设备旨在根据各种因素生成全面且可操作的日志。CoreLight的平台可用于跟踪DNS查询和响应，以及可能存在问题的环境因素，例如过时或易受攻击的软件，环境的异常键盘设置，自签名，过期或即将过期的SSL证书，以及检测网络中的哪些系统访问了发现是恶意的文件。

DataVisor

DataVisor的产品更多地针对交易安全而非网络安全，产品针对内容审核和过滤，交易欺诈(包括促销滥用和忠诚度计划欺诈)，开户和监控，以及洗钱检测和预防。

该公司吹嘘他们提供有关为什么模式被标记为异常的详细信息的能力，理由是竞争AI / ML模型被视为“黑匣子”的倾向。

PerimeterX

与DataVisor一样，PerimeterX的目标是检测自动化平台滥用，实质上是机器人。可以通过使用JavaScript将PerimeterX平台添加到现有网站，并使用“浏览器中的数百个指标，如功能，传感器数据以及视觉和音频渲染”，将其与已知配置文件进行比较，以检测何时请求不是典型的普通用户。同样，它还收集用户行为模式，例如鼠标点击，屏幕触摸，节奏和计时。

展望(和落后)企业网络安全

对于AI / ML承诺改善网络安全的所有进步，它不能取代在特定组织中建立基本安全卫生所需的传统基础。“就人们在部署时需要担心的是如何使用或访问控制系统......这是通往所有其他设备的网关。如果有人在[工业控制系统]检查他们的电子邮件，那么你会度过一段美好的时光。“ 泽罗尼斯说。“对于深入的社会工程来说，确实没有技术解决方案。”

根据451 Research的信息安全高级分析师Eric Ogren的说法，向前发展，SIEM可能会整合用户数据。“第一步是谁访问[设备]?他们是否在正常时间使用普通协议进行访问?他们是否拥有权限?他们是否获得授权?我开始看到许多相同的供应商与身份信息集成，访问控制。”