機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全中的應(yīng)用

丁程程 崔艷榮

摘要：網(wǎng)絡(luò)安全事關(guān)國(guó)家安全，它已被多個(gè)國(guó)家納入國(guó)家安全戰(zhàn)略。在我國(guó)，網(wǎng)絡(luò)安全已得到政府的高度重視，國(guó)家層面明確意識(shí)到網(wǎng)絡(luò)安全對(duì)國(guó)家安全牽一發(fā)而動(dòng)全身。與此同時(shí)，危害網(wǎng)絡(luò)的新手段正不斷涌現(xiàn)，導(dǎo)致網(wǎng)絡(luò)安全威脅與日俱增，全球的網(wǎng)絡(luò)安全形勢(shì)都不容樂觀。在這種嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)大背景下，大量研究人員正不斷致力于尋找解決網(wǎng)絡(luò)安全問題的新技術(shù)。而機(jī)器學(xué)習(xí)正是能夠有效解決網(wǎng)絡(luò)安全問題的技術(shù)之一，為此，該文圍繞機(jī)器學(xué)習(xí)技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域的最新研究成果，首先介紹了網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)并闡述了機(jī)器學(xué)習(xí)技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用流程，然后介紹了常見的網(wǎng)絡(luò)安全研究方法，著重介紹了機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全中的解決方案，最后展望了機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全研究中的發(fā)展趨勢(shì)。

關(guān)鍵詞：機(jī)器學(xué)習(xí);網(wǎng)絡(luò)安全;入侵檢測(cè);隱私保護(hù)

中圖分類號(hào)：TP393? ? ? ? ? ? ? ? 文章標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）26-0044-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

Abstract： Cyber security is a matter of national security， which has been incorporated into national security strategy by many countries.In our country， network security has been highly valued by the government， the national level clearly aware of the network security on national security.At the same time， new means to harm the network are emerging， leading to the increasing threat of network security， the global network security situation is not optimistic.In the context of this severe network security situation， a large number of researchers are constantly looking for new technologies to solve network security problems.And machine learning is one of the effective technology to solve the problem of network security， and to this end， the paper around the machine learning technique is applied to the latest research achievements in the field of network security， firstly this paper introduces the key technology of network security and expounds the machine learning technology application in the field of network security process， then introduces the common network security research methods， introduces the machine learning in the network security solution， finally prospects the development trend in the study of machine learning in network security.

Key words： machine learning; network security; intrusion detection; privacy protection

1? ?引言

網(wǎng)絡(luò)安全是一個(gè)比較寬泛的概念。百度百科上面對(duì)“網(wǎng)絡(luò)安全”的定義，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。通常把計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅分為被動(dòng)攻擊和主動(dòng)攻擊。被動(dòng)攻擊指攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容，這類攻擊又稱為截獲。被動(dòng)攻擊又被稱為流量分析，是指在被動(dòng)攻擊中，攻擊者只是觀察和分析某一個(gè)協(xié)議數(shù)據(jù)單元PDU，以便了解所交換的數(shù)據(jù)的某種性質(zhì)，但比干擾信息流。主動(dòng)攻擊主要有故意篡改網(wǎng)絡(luò)上床送的報(bào)文，惡意程序（計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲、特洛伊木馬、邏輯炸彈、流氓軟件等等），拒絕服務(wù)。拒絕服務(wù)指攻擊者向互聯(lián)網(wǎng)上的某個(gè)服務(wù)器不停地發(fā)送大量分組，使該服務(wù)器無法提供正常服務(wù)，甚至完全癱瘓。

通常機(jī)器學(xué)習(xí)被認(rèn)為是一組能夠利用經(jīng)驗(yàn)數(shù)據(jù)來改善系統(tǒng)自身性能的算法集合。本文從機(jī)器學(xué)習(xí)技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的角度出發(fā)，總結(jié)了機(jī)器學(xué)習(xí)的一般應(yīng)用流程，如圖1所示，機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全研究中的一般應(yīng)用流程主要包括問題抽象、數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理及安全特征提取、模型構(gòu)建、模型驗(yàn)證及效果評(píng)估六個(gè)階段。在整個(gè)應(yīng)用流程中，各階段不能獨(dú)立存在，相互之間存在一定的關(guān)聯(lián)關(guān)系。

2? 常用的網(wǎng)絡(luò)安全研究

2.1 惡意軟件檢測(cè)技術(shù)

惡意軟件已經(jīng)成為網(wǎng)絡(luò)安全的主要威脅之一，它在未經(jīng)授權(quán)的情況下，自動(dòng)在系統(tǒng)中進(jìn)行安裝、執(zhí)行，以達(dá)到不正當(dāng)?shù)哪康摹Ｔ谠缙趷阂廛浖饕憩F(xiàn)為計(jì)算機(jī)病毒，因此，惡意軟件檢測(cè)技術(shù)就是單純的計(jì)算機(jī)病毒掃描技術(shù)。隨著信息技術(shù)和軟件技術(shù)的不斷發(fā)展，惡意軟件已不再局限于計(jì)算機(jī)病毒，而是涌現(xiàn)出大量的新型惡意軟件。

目前常用的惡意軟件檢測(cè)技術(shù)有：特征碼技術(shù)、覆蓋法技術(shù)、駐留式軟件技術(shù)、特征碼過濾技術(shù)、虛擬機(jī)技術(shù)、啟發(fā)掃描技術(shù)、病毒疫苗等，最初并且現(xiàn)在還在用的是特征碼技術(shù)。特征碼技術(shù)就是在獲取病毒樣本后，提取出其特征值，然后通過該特征值對(duì)各個(gè)文件或內(nèi)存等進(jìn)行掃描，如果發(fā)現(xiàn)其特征值，就說明感染了其病毒。隨著病毒技術(shù)的發(fā)展，虛擬機(jī)技術(shù)出現(xiàn)，所謂虛擬機(jī)就是用軟件先虛擬一套運(yùn)行環(huán)境，讓病毒先在該虛擬環(huán)境下運(yùn)行，看其執(zhí)行效果。

2.2 入侵檢測(cè)技術(shù)

入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程。它在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，收集計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的關(guān)鍵信息，并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)是否有被攻擊的跡象。目前，可以將入侵檢測(cè)的分析方法分為特征檢測(cè)和異常檢測(cè)。特征檢測(cè)又稱為誤用檢測(cè)，它是將已知的入侵用一種模式來表示，形成網(wǎng)絡(luò)特征攻擊庫(kù)，然后用網(wǎng)絡(luò)特征攻擊庫(kù)中的特征與輸入的待分析數(shù)據(jù)源進(jìn)行比較，如果發(fā)現(xiàn)匹配的特征，則表示發(fā)生了一次攻擊。異常檢測(cè)不需要龐大的網(wǎng)絡(luò)攻擊特征庫(kù)，它是收集正常活動(dòng)的規(guī)律，將待檢測(cè)的活動(dòng)與收集的正常活動(dòng)規(guī)律進(jìn)行比較，對(duì)于違反正常活動(dòng)規(guī)律的行為認(rèn)為是入侵行為。

3? 機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全研究中的應(yīng)用

3.1 機(jī)器學(xué)習(xí)在入侵檢測(cè)中的應(yīng)用

在機(jī)器學(xué)習(xí)中，分類方法的任務(wù)就是要確定待分析的數(shù)據(jù)中，哪些對(duì)象屬于哪個(gè)預(yù)定義的目標(biāo)類。將機(jī)器學(xué)習(xí)的分類方法應(yīng)用到入侵檢測(cè)中，就是把入侵檢測(cè)看作一種分類問題，其目標(biāo)就是將待檢測(cè)的源數(shù)據(jù)分類為正常活動(dòng)和入侵行為。

基于分類方法的入侵檢測(cè)過程可以歸納為：首先使用包含正常和各種入侵的歷史數(shù)據(jù)作為訓(xùn)練模型，再應(yīng)用分類算法在數(shù)據(jù)上進(jìn)行學(xué)習(xí)，建立分類模型，分類模型可以轉(zhuǎn)化為識(shí)別正常活動(dòng)和各種入侵行為的規(guī)則;最后使用這些規(guī)則對(duì)新的待檢測(cè)數(shù)據(jù)進(jìn)行分類判斷，判斷它是正常活動(dòng)還是入侵行為。

機(jī)器學(xué)習(xí)中的分類方法能夠從大量的審計(jì)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)中抽取出能充分描述網(wǎng)絡(luò)連接和主機(jī)會(huì)話的特征，并學(xué)習(xí)出分類模型，發(fā)現(xiàn)待檢測(cè)數(shù)據(jù)中隱藏的入侵行為的分類規(guī)則。機(jī)器學(xué)習(xí)的分類方法已在入侵檢測(cè)中得到廣泛的應(yīng)用，其中決策樹、貝葉斯定理、最鄰近、支持向量機(jī)、人工神經(jīng)網(wǎng)絡(luò)等經(jīng)典分類方法都已被應(yīng)用到入侵檢測(cè)中。如圖2所示，描述了決策樹分類方法在入侵檢測(cè)中的應(yīng)用。

3.2 機(jī)器學(xué)習(xí)在惡意軟件檢測(cè)中的應(yīng)用

近年來，出現(xiàn)了許多基于機(jī)器學(xué)習(xí)算法的惡意軟件檢測(cè)的研究，同時(shí)機(jī)器學(xué)習(xí)以大量應(yīng)用于惡意軟件檢測(cè)中，并取得了良好的成果。目前，研究人員將機(jī)器學(xué)習(xí)技術(shù)用于檢測(cè)惡意軟件比較成熟的技術(shù)有分類技術(shù)、聚類技術(shù)等。

分類技術(shù)在惡意軟件檢測(cè)中的基本原理是對(duì)已知的惡意軟件和正常樣本數(shù)據(jù)進(jìn)行學(xué)習(xí)，采用合適的分類算法構(gòu)建惡意軟件的分類模型，再通過這個(gè)分類模型對(duì)未知文件進(jìn)行監(jiān)測(cè)，判斷其是否為惡意軟件。基于分類技術(shù)的惡意軟件檢測(cè)過程包含兩個(gè)步驟：訓(xùn)練惡意軟件分類模型和檢測(cè)惡意軟件。分別如圖3、圖4所示。在訓(xùn)練惡意軟件分類模型中首先從文本訓(xùn)練樣本中提起文本特征，然后構(gòu)建樣本特征數(shù)據(jù)庫(kù)，最后采用一定的機(jī)器學(xué)習(xí)算法訓(xùn)練處惡意軟件分類模型。當(dāng)惡意軟件分類模型生成后，提取待檢測(cè)樣本中的特征數(shù)據(jù)來構(gòu)建文本樣本檢測(cè)數(shù)據(jù)集，結(jié)合訓(xùn)練好的惡意軟件分類模型對(duì)待檢測(cè)數(shù)據(jù)集進(jìn)行分類，最終得到檢測(cè)結(jié)果。在機(jī)器學(xué)習(xí)中，決策樹分類算法、貝葉斯分類算法、關(guān)聯(lián)分類算法在惡意軟件檢測(cè)中均以成功應(yīng)用。

4? 總結(jié)

在迅猛發(fā)展的網(wǎng)絡(luò)空間中，大量的網(wǎng)絡(luò)安全難題有待解決，正是這種實(shí)際的網(wǎng)絡(luò)安全應(yīng)用需求促使研究人員將經(jīng)典的機(jī)器學(xué)習(xí)算法應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。近年來，基于機(jī)器學(xué)習(xí)的技術(shù)的網(wǎng)絡(luò)安全研究成果不斷出現(xiàn)在各種報(bào)道和文獻(xiàn)中，這些研究成果在解決網(wǎng)絡(luò)安全問題方面取得了良好的成效，許多機(jī)器學(xué)習(xí)算法都凸顯了其解決網(wǎng)絡(luò)安全惡疾的良好能力。但是，目前的技術(shù)解決方案還不能完全滿足網(wǎng)絡(luò)安全的應(yīng)用需求，還存在著目前一些難以解決的問題和可以再進(jìn)一步的研究方向。采用機(jī)器學(xué)習(xí)技術(shù)解決網(wǎng)絡(luò)安全問題仍是一件具有挑戰(zhàn)的工作，在解決網(wǎng)絡(luò)安全問題的同時(shí)，機(jī)器學(xué)習(xí)本身也存在著一定的難點(diǎn)。因此，如何選擇合適的機(jī)器學(xué)習(xí)算法來有效解決網(wǎng)絡(luò)安全問題需進(jìn)一步深入研究。

參考文獻(xiàn)：

[1] 葉艷芳.惡意軟件智能檢測(cè)若干方法的研究及其應(yīng)用[D].廈門大學(xué)，2010.

[2] Dash M，H Liu. Feature selection for classification[J]. Intelligent Data Analysis， 1997，1（s 1-4）：131-156.

[3] 高志森.混合式入侵檢測(cè)系統(tǒng)中入侵檢測(cè)分類器模型的研究與實(shí)現(xiàn)[D].南京航空航天大學(xué)，2007.

[4] 張蕾，崔勇，等.機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用[J].計(jì)算機(jī)學(xué)報(bào)，2018（9）：1943-1975.

【通聯(lián)編輯：梁書】