人工智能（AI）和機(jī)器學(xué)習(xí)（ML）通過(guò)保護(hù)工具來(lái)分析數(shù)千起網(wǎng)絡(luò)事故中的數(shù)據(jù)，從而在網(wǎng)絡(luò)安全中發(fā)揮重要作用。機(jī)器學(xué)習(xí)（ML）是AI的心臟 -一種系統(tǒng)，它使計(jì)算機(jī)可以像人類(lèi)一樣探索數(shù)據(jù)，發(fā)現(xiàn)以前的經(jīng)驗(yàn)以做出決策。網(wǎng)絡(luò)安全中的機(jī)器學(xué)習(xí)算法可以發(fā)現(xiàn)，識(shí)別和分析安全問(wèn)題。許多當(dāng)前的保護(hù)工具，例如風(fēng)險(xiǎn)情報(bào)，已經(jīng)在使用ML。

在KitRUM，我們已經(jīng)建立了數(shù)十個(gè)團(tuán)隊(duì)來(lái)實(shí)施ML，以實(shí)現(xiàn)端點(diǎn)保護(hù)，應(yīng)用程序安全，檢測(cè)Web攻擊中的惡意查詢(xún)，檢測(cè)HTTP請(qǐng)求中的異常等。因此，我們非常熟悉該過(guò)程。

大多數(shù)ML算法執(zhí)行以下功能：

回歸

回歸（或預(yù)測(cè)）非常簡(jiǎn)單。通過(guò)了解和理解當(dāng)前信息，我們可以預(yù)測(cè)未來(lái)數(shù)據(jù)的變化。例如，根據(jù)世界情況和經(jīng)濟(jì)發(fā)展來(lái)考慮汽油價(jià)格預(yù)測(cè)。如果我們?cè)谡務(wù)摼W(wǎng)絡(luò)安全案例，則可以在欺詐檢測(cè)中使用回歸。標(biāo)志（幕后操作，位置，設(shè)備等的數(shù)量）標(biāo)識(shí)了欺詐行為的可能性。

以下是用于回歸任務(wù)的ML方法示例：

線性回歸

機(jī)器學(xué)習(xí)主要負(fù)責(zé)限制模式的錯(cuò)誤或創(chuàng)建可能的最精確的預(yù)測(cè)，但以可解釋性為代價(jià)。ML像統(tǒng)計(jì)數(shù)據(jù)一樣從各個(gè)不同的領(lǐng)域借用和重用方法。它適用于恒定范圍內(nèi)的預(yù)測(cè)值（例如，銷(xiāo)售，物流），而不是嘗試按類(lèi)別（例如，書(shū)籍，雜志）對(duì)其進(jìn)行排序。共有兩種常見(jiàn)形式：簡(jiǎn)單回歸和多元回歸。

多項(xiàng)式回歸

這種回歸類(lèi)型主要用于確定或解釋非線性情況，例如病毒的傳播，基于多年經(jīng)驗(yàn)的開(kāi)發(fā)人員薪水等。ML專(zhuān)家通常使用Python來(lái)構(gòu)建這種回歸類(lèi)型。

嶺回歸

是一種分析具有多重共線性的回歸數(shù)據(jù)的方法。在具有多重共線性的情況下，估計(jì)值會(huì)有所不同，因此它們可能與實(shí)數(shù)相去甚遠(yuǎn)。通過(guò)在回歸評(píng)估中增加一定的傾斜度，嶺回歸可以減少標(biāo)準(zhǔn)誤差。

決策樹(shù)

決策樹(shù)使用2個(gè)動(dòng)作建模：歸納法和切割法。歸納法是當(dāng)我們創(chuàng)建樹(shù)時(shí)，即根據(jù)我們的數(shù)據(jù)設(shè)置所有分級(jí)分辨率限制。修剪是一種從決策樹(shù)中刪除不必要形式，最小化復(fù)雜度以使其更易于閱讀的方法。

SVR（支持向量回歸）

SVR允許靈活地確定在我們的示例中有多少錯(cuò)誤是適當(dāng)?shù)?，并找出合適的行來(lái)匹配數(shù)據(jù)。

隨機(jī)森林

作為一個(gè)組工作的大量相對(duì)不相關(guān)的示例（樹(shù)）將超出模型的任何單獨(dú)部分。

分類(lèi)

分類(lèi)非常簡(jiǎn)單！例如，您有按類(lèi)別分類(lèi)的兩類(lèi)圖片，在這種情況下為計(jì)算機(jī)和電話。出于網(wǎng)絡(luò)安全的目的，可以將垃圾郵件與特定郵件區(qū)分開(kāi)來(lái)的垃圾郵件過(guò)濾器可以作為示例。垃圾郵件過(guò)濾器可能是網(wǎng)絡(luò)安全活動(dòng)中使用的第一種ML方法。

這些類(lèi)型的學(xué)習(xí)方法通??常僅在計(jì)算機(jī)/人員已經(jīng)知道分類(lèi)的本質(zhì)時(shí)才使用。這些方法稱(chēng)為監(jiān)督學(xué)習(xí)。因此，為使此方法起作用，應(yīng)預(yù)先定義類(lèi)別的所有類(lèi)。在下面，您將找到與算法相關(guān)的進(jìn)程的列表：

機(jī)器學(xué)習(xí)分類(lèi)

支持向量機(jī)（SVM）

樸素貝葉斯

隨機(jī)森林分類(lèi)

內(nèi)核支持向量機(jī)

決策樹(shù)分類(lèi)

邏輯回歸（LR）

K最近鄰居（K-NN）

即使大多數(shù)人傾向于發(fā)現(xiàn)SVM和隨機(jī)森林分類(lèi)可提供最佳結(jié)果，但機(jī)器學(xué)習(xí)并沒(méi)有“一刀切”的規(guī)則。強(qiáng)烈建議將所有這些方法都檢查為SVM，并且隨機(jī)森林澄清可能無(wú)法滿足您可能想到的任務(wù)！

聚類(lèi)

聚類(lèi)和澄清之間的唯一顯著區(qū)別是，已放入系統(tǒng)中的信息沒(méi)有任何分類(lèi)。這也稱(chēng)為無(wú)監(jiān)督學(xué)習(xí)。聚類(lèi)主要用于法醫(yī)分析之類(lèi)的任務(wù)，因?yàn)楹蠊头椒ǖ囊匚粗?，這就是聚類(lèi)的目的。法醫(yī)分析要求必須發(fā)現(xiàn)異常，這是由機(jī)器對(duì)事件中所有已完成的活動(dòng)進(jìn)行分類(lèi)來(lái)完成的。惡意軟件分析（例如間諜軟件或安全電子郵件網(wǎng)關(guān)）都使用群集作為查找異常的方法，以將合法文件與異常值分開(kāi)。

行為分析是可以使用群集的另一個(gè)有趣的領(lǐng)域。例如，系統(tǒng)可以對(duì)應(yīng)用程序用戶(hù)進(jìn)行聚類(lèi)，以便在可能的情況下將他們縮小到特定的組。

群集通常不用于解決問(wèn)題，而是用于預(yù)防問(wèn)題。它們更像是子任務(wù)執(zhí)行器，就像維護(hù)管道以降低風(fēng)險(xiǎn)一樣！可以將它們分別用于對(duì)用戶(hù)進(jìn)行分組，這可以在可預(yù)見(jiàn)的將來(lái)降低風(fēng)險(xiǎn)值。

機(jī)器學(xué)習(xí)集群

數(shù)據(jù)庫(kù)管理中心

K均值

均值漂移

貝葉斯

集聚的

K最近鄰居（KNN）

高斯混合模型

混合模型（LDA）

使用ML進(jìn)行網(wǎng)絡(luò)安全的真實(shí)示例

垃圾郵件填充應(yīng)用

每個(gè)郵件服務(wù)提供商都使用通過(guò)機(jī)器學(xué)習(xí)方法構(gòu)建的垃圾郵件過(guò)濾器算法。垃圾郵件檢測(cè)主要使用樸素貝葉斯算法，這是一種非常常見(jiàn)的機(jī)器學(xué)習(xí)方法，它基于統(tǒng)計(jì)方法。培訓(xùn)和測(cè)試是機(jī)器學(xué)習(xí)的兩個(gè)階段。由于監(jiān)督學(xué)習(xí)的復(fù)雜性，樸素貝葉斯算法采用了識(shí)別樣本的數(shù)據(jù)集。本質(zhì)上，樸素貝葉斯算法在整個(gè)電子郵件消息中都使用詞頻，因此，訓(xùn)練數(shù)據(jù)集包括每個(gè)樣本的詞，術(shù)語(yǔ)數(shù)和類(lèi)別詳細(xì)信息。

網(wǎng)絡(luò)入侵檢測(cè)與預(yù)防

了解網(wǎng)絡(luò)環(huán)境并生成安全策略可能是涉及傳統(tǒng)網(wǎng)絡(luò)安全方法時(shí)要重點(diǎn)關(guān)注的兩個(gè)重要方面。盡管如此，還有一些其他方面值得考慮：

策略：可以使用安全策略來(lái)區(qū)分合法和危險(xiǎn)/惡意網(wǎng)絡(luò)連接。此外，安全策略還實(shí)施了零信任的概念。但是，在大量網(wǎng)絡(luò)上創(chuàng)建和維護(hù)上述計(jì)劃非常具有挑戰(zhàn)性！

環(huán)境：許多公司沒(méi)有為程序和工作負(fù)載提供特定的命名協(xié)議。結(jié)果，保護(hù)部門(mén)傾向于投入大量時(shí)間來(lái)確定哪些工作負(fù)載集合是應(yīng)用程序的一部分。

欺詐識(shí)別

為了了解如何將機(jī)器學(xué)習(xí)用于欺詐檢測(cè)，我建立了一個(gè)小方案：

以下是用于欺詐檢測(cè)的一些機(jī)器學(xué)習(xí)概念和算法：

監(jiān)督學(xué)習(xí)

監(jiān)督學(xué)習(xí)非常適合金融科技中的欺詐檢測(cè)等案例。在監(jiān)督學(xué)習(xí)模型中，所有輸入都必須標(biāo)記為好和壞。這是因?yàn)樵撃Ｐ蜔o(wú)法檢測(cè)到未歸類(lèi)為歷史數(shù)據(jù)的欺詐行為，因?yàn)楸O(jiān)督學(xué)習(xí)取決于預(yù)測(cè)性數(shù)據(jù)分析，因此該模型已從中獲悉！

無(wú)監(jiān)督學(xué)習(xí)

這種類(lèi)型的模型使用其不斷處理和分析的新信息進(jìn)行更新，并根據(jù)發(fā)現(xiàn)進(jìn)行更新。

半監(jiān)督學(xué)習(xí)

這在識(shí)別信息不切實(shí)際或成本太高并且需要人類(lèi)專(zhuān)家研究的情況下起作用。即使未定義數(shù)據(jù)的組身份不確定，半監(jiān)督學(xué)習(xí)算法也會(huì)存儲(chǔ)有關(guān)基本組變量的信息。

強(qiáng)化學(xué)習(xí)

強(qiáng)化學(xué)習(xí)算法可幫助機(jī)器自動(dòng)識(shí)別指定設(shè)置內(nèi)的最佳動(dòng)作。

僵尸網(wǎng)絡(luò)檢測(cè)

在基于網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)識(shí)別技術(shù)中，惡意流量是通過(guò)分析一系列條件下的網(wǎng)絡(luò)流量來(lái)檢測(cè)的，例如網(wǎng)絡(luò)流量活動(dòng)，流量趨勢(shì)，反應(yīng)時(shí)間，網(wǎng)絡(luò)負(fù)載和鏈接行為。基于網(wǎng)絡(luò)的解決方案也分為兩類(lèi)：活動(dòng)監(jiān)視和不活動(dòng)監(jiān)視。

結(jié)論

隨著越來(lái)越多的技術(shù)融入我們的日常生活中，人工智能對(duì)我們生活的影響將繼續(xù)發(fā)展。許多分析師認(rèn)為，人工智能對(duì)技術(shù)有不利影響，而另一些分析師則認(rèn)為，人工智能將極大地改變我們的生活。對(duì)于信息保護(hù)而言，顯著的優(yōu)勢(shì)取決于更快地識(shí)別和減少風(fēng)險(xiǎn)。疑問(wèn)集中在黑客實(shí)施日益復(fù)雜的安全性和基于技術(shù)的攻擊的能力上。

責(zé)任編輯：YYX