网络犯罪日益猖獗,随着网络犯罪数量的不断增长,其管理成本会越来越高,管理工作也会越来越耗时。问题在于,威胁及其攻击方法和防御方法都在不断升级。在本文中,我们将探索如何在威胁检测与管理中使用机器学习算法。
随着数字化不断深入到我们的生活当中,关于我们自身的汇总数据正逐渐产生风险。无论是社交媒体、商务网站、IoT 设备还是来自智能手机和 Web 浏览器的跟踪数据,互联网上的实体对于我们的了解之彻底远远超出我们的想象。问题在于这些数据的价值,以及在大部分情况下这些数据的获取方式是如此的简单。
毋庸置疑,机器学习早已应用到计算机安全领域,可帮助保护计算机系统和网上数据。Accenture 于 2019 发现,仅有 28% 的组织部署了机器学习方法,但在因安全技术而实现的成本节省方面,机器学习却高居次席。在本文中,我们将探索各种安全技术,了解机器学习(和深度学习)是如何应用于这些技术的,以及在打击网络犯罪和数据盗窃方面的下一步有力举措。
早期非 AI 方法
早期的安全威胁出现在一些早期的个人计算机上(例如,1986 年有早期个人计算机感染了"大脑"病毒)。由于当时还没有网络,所以这种病毒并不是通过网络来传播,而是通过软盘来感染系统并进一步传播自身。在计算机可供多人访问(在多用户系统环境中或者通过联网)后,就开始出现大规模的安全威胁。
有一种沿用至今的早期方法称为加入黑名单(参阅图 1)。通过这种方法,病毒数据库可包含已知病毒的签名(例如,密码散列)并使用此信息来控制对系统的访问。
图 1. 通过密码签名加入黑名单
与加入黑名单相对应的一种方法称为加入白名单。白名单用于定义可访问系统或者可在系统上执行的可接受实体的列表。这两种方法都很实用,并且均可用于限制访问(使用白名单)并在发现携带威胁时对威胁加以处理(使用黑名单)。
防病毒应用程序使用签名来检测潜在威胁,其缺点在于它仅限于检测已知的病毒。
网络安全通常依靠防火墙和类似白名单的配置来限制访问。防火墙是通过规则来配置的,此类规则可定义可能与网络进行通信的主机、应用程序和协议。
电子邮件已经成为安全威胁和不受欢迎的消息的常见传输途径。早期用于限制这种所谓垃圾邮件的方法包括通过关键字或发件人来阻止访问的原始过滤器。
早期 AI 方法
上述各种方法(从基于签名的扫描到防火墙和过滤)都依赖于已知晓威胁是什么。在未经更新的情况下,它们无法处理新的威胁。但是,机器学习可以帮助填补这一漏洞。
在防病毒机制的环境中,有一种很有趣的方法是忽略签名,转而关注于程序的潜在行为(参阅图 2)。通过所谓的静态分析对程序进行二进制分析,可以将程序的意图显示为一组功能,例如,注册自动启动功能或者禁用安全控件。这些可能并不总是代表恶意,但通过根据发现的行为(编码为特征向量)对这些程序加以分析和分类,就有可能根据这些程序与其他恶意程序的关系来识别恶意软件程序。当程序与恶意程序分类在一起时,它就可能代表着一种威胁。
图为基于行为的恶意软件检测
网络安全也可以从机器学习中受益。根据网络攻击有效内容对神经网络进行训练,可以将其应用于防火墙以识别潜在的恶意程序包,并阻止其进入网络。
最早在安全领域应用 AI 的一个例子是过滤垃圾邮件。它并非对电子邮件应用原始过滤器,而是使用贝叶斯过滤器来应用概率。通过这种方法,用户可以识别电子邮件是否属于垃圾邮件。该算法会根据邮件是否属于垃圾邮件来调整所有文字的优先级。随着时间的推移,该算法发现"再融资"一词与垃圾邮件存在关联的概率高于其他文字,并将其归为垃圾邮件。贝叶斯方法自 20 世纪 90 年代起就已成为电子邮件过滤的基准方法。
扫一扫
3335
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
