人工智能和機器學習通過保護工具來分析數千起網絡事故中數據

人工智能（AI）和機器學習（ML）通過保護工具來分析數千起網絡事故中的數據，從而在網絡安全中發(fā)揮重要作用。機器學習（ML）是AI的心臟 -一種系統(tǒng)，它使計算機可以像人類一樣探索數據，發(fā)現以前的經驗以做出決策。網絡安全中的機器學習算法可以發(fā)現，識別和分析安全問題。許多當前的保護工具，例如風險情報，已經在使用ML。

在KitRUM，我們已經建立了數十個團隊來實施ML，以實現端點保護，應用程序安全，檢測Web攻擊中的惡意查詢，檢測HTTP請求中的異常等。因此，我們非常熟悉該過程。

大多數ML算法執(zhí)行以下功能：

回歸

回歸（或預測）非常簡單。通過了解和理解當前信息，我們可以預測未來數據的變化。例如，根據世界情況和經濟發(fā)展來考慮汽油價格預測。如果我們在談論網絡安全案例，則可以在欺詐檢測中使用回歸。標志（幕后操作，位置，設備等的數量）標識了欺詐行為的可能性。

以下是用于回歸任務的ML方法示例：

線性回歸

機器學習主要負責限制模式的錯誤或創(chuàng)建可能的最精確的預測，但以可解釋性為代價。ML像統(tǒng)計數據一樣從各個不同的領域借用和重用方法。它適用于恒定范圍內的預測值（例如，銷售，物流），而不是嘗試按類別（例如，書籍，雜志）對其進行排序。共有兩種常見形式：簡單回歸和多元回歸。

多項式回歸

這種回歸類型主要用于確定或解釋非線性情況，例如病毒的傳播，基于多年經驗的開發(fā)人員薪水等。ML專家通常使用Python來構建這種回歸類型。

嶺回歸

是一種分析具有多重共線性的回歸數據的方法。在具有多重共線性的情況下，估計值會有所不同，因此它們可能與實數相去甚遠。通過在回歸評估中增加一定的傾斜度，嶺回歸可以減少標準誤差。

決策樹

決策樹使用2個動作建模：歸納法和切割法。歸納法是當我們創(chuàng)建樹時，即根據我們的數據設置所有分級分辨率限制。修剪是一種從決策樹中刪除不必要形式，最小化復雜度以使其更易于閱讀的方法。

SVR（支持向量回歸）

SVR允許靈活地確定在我們的示例中有多少錯誤是適當的，并找出合適的行來匹配數據。

隨機森林

作為一個組工作的大量相對不相關的示例（樹）將超出模型的任何單獨部分。

分類

分類非常簡單！例如，您有按類別分類的兩類圖片，在這種情況下為計算機和電話。出于網絡安全的目的，可以將垃圾郵件與特定郵件區(qū)分開來的垃圾郵件過濾器可以作為示例。垃圾郵件過濾器可能是網絡安全活動中使用的第一種ML方法。

這些類型的學習方法通??常僅在計算機/人員已經知道分類的本質時才使用。這些方法稱為監(jiān)督學習。因此，為使此方法起作用，應預先定義類別的所有類。在下面，您將找到與算法相關的進程的列表：

機器學習分類

支持向量機（SVM）

樸素貝葉斯

隨機森林分類

內核支持向量機

決策樹分類

邏輯回歸（LR）

K最近鄰居（K-NN）

即使大多數人傾向于發(fā)現SVM和隨機森林分類可提供最佳結果，但機器學習并沒有“一刀切”的規(guī)則。強烈建議將所有這些方法都檢查為SVM，并且隨機森林澄清可能無法滿足您可能想到的任務！

聚類

聚類和澄清之間的唯一顯著區(qū)別是，已放入系統(tǒng)中的信息沒有任何分類。這也稱為無監(jiān)督學習。聚類主要用于法醫(yī)分析之類的任務，因為后果和方法的要素未知，這就是聚類的目的。法醫(yī)分析要求必須發(fā)現異常，這是由機器對事件中所有已完成的活動進行分類來完成的。惡意軟件分析（例如間諜軟件或安全電子郵件網關）都使用群集作為查找異常的方法，以將合法文件與異常值分開。

行為分析是可以使用群集的另一個有趣的領域。例如，系統(tǒng)可以對應用程序用戶進行聚類，以便在可能的情況下將他們縮小到特定的組。

群集通常不用于解決問題，而是用于預防問題。它們更像是子任務執(zhí)行器，就像維護管道以降低風險一樣！可以將它們分別用于對用戶進行分組，這可以在可預見的將來降低風險值。

機器學習集群

數據庫管理中心

K均值

均值漂移

貝葉斯

集聚的

K最近鄰居（KNN）

高斯混合模型

混合模型（LDA）

使用ML進行網絡安全的真實示例

垃圾郵件填充應用

每個郵件服務提供商都使用通過機器學習方法構建的垃圾郵件過濾器算法。垃圾郵件檢測主要使用樸素貝葉斯算法，這是一種非常常見的機器學習方法，它基于統(tǒng)計方法。培訓和測試是機器學習的兩個階段。由于監(jiān)督學習的復雜性，樸素貝葉斯算法采用了識別樣本的數據集。本質上，樸素貝葉斯算法在整個電子郵件消息中都使用詞頻，因此，訓練數據集包括每個樣本的詞，術語數和類別詳細信息。

網絡入侵檢測與預防

了解網絡環(huán)境并生成安全策略可能是涉及傳統(tǒng)網絡安全方法時要重點關注的兩個重要方面。盡管如此，還有一些其他方面值得考慮：

策略：可以使用安全策略來區(qū)分合法和危險/惡意網絡連接。此外，安全策略還實施了零信任的概念。但是，在大量網絡上創(chuàng)建和維護上述計劃非常具有挑戰(zhàn)性！

環(huán)境：許多公司沒有為程序和工作負載提供特定的命名協(xié)議。結果，保護部門傾向于投入大量時間來確定哪些工作負載集合是應用程序的一部分。

欺詐識別

為了了解如何將機器學習用于欺詐檢測，我建立了一個小方案：

以下是用于欺詐檢測的一些機器學習概念和算法：

監(jiān)督學習

監(jiān)督學習非常適合金融科技中的欺詐檢測等案例。在監(jiān)督學習模型中，所有輸入都必須標記為好和壞。這是因為該模型無法檢測到未歸類為歷史數據的欺詐行為，因為監(jiān)督學習取決于預測性數據分析，因此該模型已從中獲悉！

無監(jiān)督學習

這種類型的模型使用其不斷處理和分析的新信息進行更新，并根據發(fā)現進行更新。

半監(jiān)督學習

這在識別信息不切實際或成本太高并且需要人類專家研究的情況下起作用。即使未定義數據的組身份不確定，半監(jiān)督學習算法也會存儲有關基本組變量的信息。

強化學習

強化學習算法可幫助機器自動識別指定設置內的最佳動作。

僵尸網絡檢測

在基于網絡的僵尸網絡識別技術中，惡意流量是通過分析一系列條件下的網絡流量來檢測的，例如網絡流量活動，流量趨勢，反應時間，網絡負載和鏈接行為?；诰W絡的解決方案也分為兩類：活動監(jiān)視和不活動監(jiān)視。

結論

隨著越來越多的技術融入我們的日常生活中，人工智能對我們生活的影響將繼續(xù)發(fā)展。許多分析師認為，人工智能對技術有不利影響，而另一些分析師則認為，人工智能將極大地改變我們的生活。對于信息保護而言，顯著的優(yōu)勢取決于更快地識別和減少風險。疑問集中在黑客實施日益復雜的安全性和基于技術的攻擊的能力上。

責任編輯：YYX