6、机器学习在网络安全用例中的深度应用

机器学习在网络安全用例中的深度应用

1. 引言

随着计算机应用数量和网络规模的持续增长，网络攻击带来的潜在危害急剧增加。攻击者不断开发新的安全威胁，现有检测和预防机制面临挑战。不同计算系统、网络、网络数据包和交易的日志包含着用于安全日志分析的有用信息，可检测故障和恶意事件，监控安全威胁。

现代计算模式产生了大量的“大数据”，及时分析这些数据对检测恶意活动至关重要。机器学习是从大数据中提取有价值知识的常用方法，它分为监督学习和无监督学习。监督学习通过样本输入和输出让机器学习操作，无监督学习则让算法自行学习数据模式。常见的分类算法包括决策树、k - 近邻、支持向量机（SVM）、人工神经网络（ANN）、遗传算法等。经典机器学习算法依赖特征工程提取安全工件的最优数据表示，但选择最优特征需要大量领域知识，在网络安全中是一项艰巨任务。而深度学习虽像一个黑盒，但具有自动提取特征的能力。

网络安全是一个跨学科领域，需要自然语言处理（NLP）、图像处理（IP）、语音识别（SR）等多领域知识。本研究主要应用NLP和文本挖掘技术，结合经典机器学习和深度学习方法，处理两个网络安全用例：域生成算法（DGAs）和恶意统一资源定位符（URL）。

研究的主要贡献包括：
- 构建态势感知框架：在该框架中添加收集恶意URL的子模块，该框架可收集和处理来自互联网连接主机的DNS查询产生的海量事件数据，通过关联DNS和URL的事件数据检测攻击模式，防止恶意软件造成进一步损害。
- 早期检测恶意活动：通过对DNS和URL日志进行多次分析，利用高度可扩展的优化和深度学习架构对恶意事件进行分类和关联，不仅能检测DGA生成的域名，还能将其归类到相应的DGA恶意软件家族。