關(guān)于機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全中的應(yīng)用

孫敬

（鄭州工業(yè)應(yīng)用技術(shù)學(xué)院信息工程學(xué)院 河南省鄭州市 451100）

網(wǎng)絡(luò)安全的概念范圍相對(duì)是比較寬的，在百度百科這個(gè)方面，對(duì)網(wǎng)絡(luò)安全的定義比較獨(dú)特。一般指網(wǎng)絡(luò)系統(tǒng)硬件以及軟件以及系統(tǒng)里一些受到保護(hù)的數(shù)據(jù)等，不會(huì)因?yàn)橐恍┍容^特殊的原因，或是具有針對(duì)性的原因受到破壞。系統(tǒng)必須要更加連續(xù)的，并且始終保持穩(wěn)定來進(jìn)行運(yùn)行，網(wǎng)絡(luò)服務(wù)也不能中斷，一般情況下，會(huì)將計(jì)算機(jī)的網(wǎng)絡(luò)所面臨安全性這方面的威脅可以分為被動(dòng)攻擊還有主動(dòng)攻擊。被動(dòng)攻擊一般指攻擊者通過網(wǎng)絡(luò)上的一些手段，對(duì)別人的通信內(nèi)容偷聽，這樣的攻擊也可以被稱為截獲。被動(dòng)攻擊也可以被稱作流量分析，主要指在進(jìn)行被動(dòng)攻擊的時(shí)候，攻擊者對(duì)某一個(gè)比較特殊的協(xié)議數(shù)據(jù)單元進(jìn)行觀察和分析，為了達(dá)到交換數(shù)據(jù)的要求和目的，會(huì)干擾到信息流。而主動(dòng)攻擊主要指的就是故意對(duì)網(wǎng)絡(luò)上面所傳送的報(bào)文進(jìn)行篡改，以及一些惡意的程序和拒絕服務(wù)等。一般情況下后者主要指的是攻擊者朝著網(wǎng)絡(luò)上的某一個(gè)服務(wù)器進(jìn)行分組攻擊，使這個(gè)服務(wù)器難以提供服務(wù)，甚至?xí)?dǎo)致這個(gè)服務(wù)器徹底癱瘓。而機(jī)器學(xué)習(xí)有可能會(huì)被認(rèn)為是一組，可以使用經(jīng)驗(yàn)數(shù)據(jù)對(duì)系統(tǒng)性能改善的算法集合。本文主要討論了在機(jī)器學(xué)習(xí)技術(shù)網(wǎng)絡(luò)安全角度方面的學(xué)習(xí)過程中的使用流程。機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全的探索過程當(dāng)中，應(yīng)用流程主要包括有抽象以及安全特征提取等幾個(gè)階段，在使用流程中，每一個(gè)階段都是無法相互獨(dú)立存在的，彼此之間有可能會(huì)存在一些聯(lián)系。

1 機(jī)器學(xué)習(xí)的概述

機(jī)器學(xué)習(xí)是人工智能最核心的內(nèi)容，一般情況下，主要是為了模擬人類的行為而存在。通過學(xué)習(xí)的辦法，讓計(jì)算機(jī)可以獲取更多的技能以及知識(shí)，使其變得更加聰明和智能，并且完成組織結(jié)構(gòu)方面的優(yōu)化，讓機(jī)器學(xué)習(xí)可以成為一種非常智能化的過程。怎樣才能夠讓機(jī)器擁有其特定的學(xué)習(xí)行為，對(duì)于這一點(diǎn)，不同的學(xué)者其各自所探索的內(nèi)容是不一樣的，總之，機(jī)器學(xué)習(xí)和推理過程相互之間的關(guān)系非常緊密，這一點(diǎn)獲得了大部分人的認(rèn)同。所以，可以把機(jī)器學(xué)習(xí)的策略分成幾個(gè)不同的板塊，機(jī)器學(xué)習(xí)所涉及到的范圍是非常廣的，主要是在很多種知識(shí)以及技術(shù)的交叉作用之下的一種結(jié)果。很多專業(yè)的學(xué)科都涉及的其中，對(duì)機(jī)器學(xué)習(xí)分類可以分為以下幾個(gè)模塊，首先是在學(xué)習(xí)策略分類的基礎(chǔ)上來進(jìn)行分類。可以分成機(jī)械學(xué)習(xí)以及示教學(xué)習(xí)，還有類比學(xué)習(xí)和基于解釋的學(xué)習(xí)等。其次是在獲取知識(shí)以及表示形式方面分類的。可以分成代數(shù)表達(dá)式參數(shù)以及圖和網(wǎng)絡(luò)，還有多種表示形式組合等。再次就是根據(jù)應(yīng)用的領(lǐng)域來分類，可以分成自然語言以及圖像識(shí)別，還有知識(shí)模擬等。以及綜合分類可以分成經(jīng)驗(yàn)性的歸納學(xué)習(xí)和分析學(xué)習(xí)，還有類比學(xué)習(xí)等[1]。

2 機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全中應(yīng)用的意義

2.1 面向具體任務(wù)

在面向具體任務(wù)的時(shí)候，主要需要對(duì)其中的特定任務(wù)，以及執(zhí)行性能的學(xué)習(xí)系統(tǒng)進(jìn)行分析和探索[2]。

2.2 認(rèn)知模型

認(rèn)知模型主要需要考察以及理解的，是人類學(xué)習(xí)的過程，并且要對(duì)整個(gè)學(xué)習(xí)過程進(jìn)行計(jì)算機(jī)類的模擬。

2.3 理論研究

主要指的是在理論方面對(duì)各種不同的機(jī)器學(xué)習(xí)方法以及比較通用的機(jī)器學(xué)習(xí)方法進(jìn)行考察。

2.4 機(jī)器學(xué)習(xí)本質(zhì)

通過對(duì)機(jī)器學(xué)習(xí)本質(zhì)情況進(jìn)行分析，不難發(fā)現(xiàn)這是一種在大數(shù)據(jù)比較集中的情況下，引入一些數(shù)學(xué)類的基數(shù)。來構(gòu)建整個(gè)機(jī)器行為的模型，并且通過不斷地輸入一些新的數(shù)據(jù)資料，讓機(jī)器能夠全面的分析各個(gè)不同時(shí)段的數(shù)據(jù)，并且在其運(yùn)算的基本條件下，對(duì)未來進(jìn)行一系列的科學(xué)預(yù)測(cè)。根據(jù)機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全過程當(dāng)中的應(yīng)用意義，不難發(fā)現(xiàn)，這方面主要體現(xiàn)為機(jī)器的學(xué)習(xí)是在自身能力，相對(duì)比較強(qiáng)的數(shù)據(jù)分析能力的基礎(chǔ)上進(jìn)行的，在實(shí)際應(yīng)用的時(shí)候，可以讓用戶更加有效地及時(shí)回應(yīng)網(wǎng)絡(luò)安全的事件。特別是在有一些團(tuán)隊(duì)的安全技能明顯有所缺陷的情況下，可以使用自動(dòng)執(zhí)行的方式，來代替團(tuán)隊(duì)執(zhí)行，完成一些比較瑣碎的系統(tǒng)安全類的任務(wù)，這種方式可以真正的保障用戶在使用過程當(dāng)中的網(wǎng)絡(luò)安全。而機(jī)器學(xué)習(xí)和傳統(tǒng)電子產(chǎn)品相互結(jié)合起來，可以清除在產(chǎn)品里面的一些惡意軟件，達(dá)到使整個(gè)產(chǎn)品的安全系數(shù)提升，并且可以運(yùn)行得更加穩(wěn)定的目的。

3 常用的網(wǎng)絡(luò)安全研究

3.1 惡意軟件檢測(cè)技術(shù)

目前，在我國(guó)的軟網(wǎng)民使用軟件的時(shí)候，網(wǎng)絡(luò)安全方面最重要的威脅之一就是惡意軟件，如果沒有通過授權(quán)的情況下，惡意軟件會(huì)自動(dòng)運(yùn)行并且安裝于系統(tǒng)里，為了可以這樣達(dá)到一些不正當(dāng)目的，早期有很多惡意軟件是比較常見的計(jì)算機(jī)病毒，而惡意軟件檢測(cè)也只是對(duì)病毒進(jìn)行掃描。但是目前的信息技術(shù)變得更加發(fā)達(dá)，而軟件技術(shù)也獲得了很大的提升，惡意軟件也已經(jīng)擴(kuò)大了經(jīng)營(yíng)范圍，不僅僅只是局限在一些計(jì)算機(jī)病毒的方面甚至?xí)霈F(xiàn)很多比較新的惡意軟件。比如特征碼技術(shù)以及駐留式軟件技術(shù)和虛擬機(jī)技術(shù)等。時(shí)間保留最久，而且目前依然會(huì)使用到的就是第一種技術(shù)。特征碼的技術(shù)主要是指，在對(duì)病毒樣本提煉獲取之后，將其中的一些特征值分析出來，然后，通過對(duì)特征值的關(guān)注來掃描計(jì)算機(jī)當(dāng)中的各個(gè)文件或是內(nèi)存系統(tǒng)，一旦發(fā)現(xiàn)比較類似的特征，那么很有可能就已經(jīng)感染了病毒。隨著病毒的技術(shù)在發(fā)展，虛擬機(jī)也已經(jīng)受到了人們的廣泛關(guān)注。通過虛擬機(jī)可以虛擬一些相對(duì)較為典型的運(yùn)行環(huán)境，讓病毒可以在這樣的環(huán)境下運(yùn)行，之后再對(duì)執(zhí)行情況檢查[3]。

3.2 入侵檢測(cè)技術(shù)

入侵檢測(cè)主要指的是一種，對(duì)想要入侵或是已經(jīng)開始了入侵行為，甚至已經(jīng)完成了入侵的整個(gè)行為的識(shí)別過程。在盡量避免影響網(wǎng)絡(luò)性能的狀況下，要及時(shí)監(jiān)測(cè)網(wǎng)絡(luò)，并且要收集在計(jì)算機(jī)網(wǎng)絡(luò)或是系統(tǒng)里的一些關(guān)鍵的信息，對(duì)這些信息完成分析。通過分析類似信息可以知道是否會(huì)存在被攻擊的情況。目前可以把入侵檢測(cè)的方法分成特異檢測(cè)和異常檢測(cè)這兩種不同的方法。特性檢測(cè)也可以被叫做誤用檢測(cè)，是一種可以把已知的入侵通過一種典型的模式所表現(xiàn)出來，把這種入侵形成網(wǎng)絡(luò)特征的數(shù)據(jù)庫，之后，再使用網(wǎng)絡(luò)特征數(shù)據(jù)庫里面的特征，將其和輸入帶的分析數(shù)據(jù)來源相互進(jìn)行比較，如果發(fā)現(xiàn)了能夠匹配的特征，可以證明攻擊已經(jīng)發(fā)生過一次。而異常檢測(cè)不必對(duì)相對(duì)較大的網(wǎng)絡(luò)攻擊特征庫，只用收集一些相對(duì)較為正常的活動(dòng)規(guī)律，將其需要檢測(cè)的活動(dòng)進(jìn)行收集，和正常活動(dòng)規(guī)律比較，一些比較典型的明顯違反了正常規(guī)律的行為，就是入侵[4]。

4 機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全研究中的應(yīng)用

4.1 機(jī)器學(xué)習(xí)在入侵檢測(cè)中的應(yīng)用

分類學(xué)習(xí)當(dāng)中的一些分類方法，主要是為了確定需要分析的數(shù)據(jù)里的哪一種對(duì)象從屬于哪一個(gè)預(yù)定的目標(biāo)類，在進(jìn)行入侵檢測(cè)的時(shí)候，可以應(yīng)用機(jī)器學(xué)習(xí)的分類方法，把入侵檢測(cè)看作是一種比較重要的分類問題，主要目標(biāo)是把需要檢測(cè)的元數(shù)據(jù)分成正常活動(dòng)以及入侵活動(dòng)。在機(jī)器學(xué)習(xí)里分類方法的基礎(chǔ)上，整個(gè)入侵過程可以分成以下幾種不同的別類，首先，要使用一些含有比較正常的數(shù)據(jù)，和一些具有入侵行為的順序。可以將這些數(shù)據(jù)當(dāng)做是訓(xùn)練的模型，使用分類算法的方式對(duì)其進(jìn)行學(xué)習(xí)，并且可以合理地建立分類模型。分類模型能夠有效的進(jìn)行轉(zhuǎn)換，使其識(shí)別比較正常的活動(dòng)，讓不同的入侵行為能夠更加明顯被發(fā)現(xiàn)。之后使用類似規(guī)則，對(duì)待檢測(cè)數(shù)據(jù)進(jìn)行分析判斷，并且完成分類，了解這些數(shù)據(jù)是市場(chǎng)活動(dòng)又或者是入侵行為。機(jī)器學(xué)習(xí)當(dāng)中的分類方法，能夠在一些比較繁雜的審計(jì)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)里抽取出來，充分對(duì)網(wǎng)絡(luò)連接還有主機(jī)繪畫的特征來進(jìn)行描述的部分選取分類模型，了解在一些需要檢測(cè)數(shù)據(jù)當(dāng)中所隱藏的入侵行為的分類規(guī)則。機(jī)器學(xué)習(xí)最重要的分類方法，已經(jīng)在入侵檢測(cè)中獲得相對(duì)比較廣泛的使用，決策樹和支持向量機(jī)以及人工網(wǎng)神經(jīng)網(wǎng)絡(luò)等，這些都是相對(duì)較有經(jīng)典的分類方式，目前幾乎都已經(jīng)被使用在入侵的檢測(cè)里[5]。

4.2 機(jī)器學(xué)習(xí)在惡意軟件檢測(cè)的應(yīng)用

這些年來產(chǎn)生了很多在機(jī)器學(xué)習(xí)算法基本條件下的一些惡意軟件的檢測(cè)成果。機(jī)器學(xué)習(xí)可以被大批量的應(yīng)用在一些檢測(cè)惡意軟件的方面。并且也已經(jīng)取得了比較有效的突破。目前有很多工作人員將機(jī)器學(xué)習(xí)技術(shù)應(yīng)用在了對(duì)惡意軟件檢測(cè)方面，比如分類計(jì)數(shù)等就比較成熟。分類技術(shù)一般情況下主要指在檢測(cè)惡意軟件的時(shí)候，對(duì)已知惡意軟件還有一些比較正常的樣本數(shù)據(jù)學(xué)習(xí)，使用相對(duì)較為合理的方式，建立惡意軟件分類模型，之后再通過類似的模型，監(jiān)測(cè)位置文件判斷這個(gè)軟件是否為惡意軟件。在一些以分類技術(shù)為條件的檢測(cè)過程中，包括有兩個(gè)相對(duì)教育特殊的步驟，首先就是訓(xùn)練針對(duì)惡意軟件的分類模型，其次是檢測(cè)惡意軟件。在對(duì)惡意軟件分類模型訓(xùn)練的過程中，首先，需要在文本的訓(xùn)練樣本當(dāng)中提取出其特征之后，建立起一個(gè)數(shù)據(jù)庫使用相對(duì)較為確定的機(jī)器學(xué)習(xí)類的算法。對(duì)惡意軟件的分類模型進(jìn)行訓(xùn)練，再將分類模型生成之后，把檢測(cè)樣本當(dāng)中的一些特征數(shù)據(jù)提取出來，構(gòu)建出一個(gè)相對(duì)較為全面的文本樣本方面的檢測(cè)數(shù)據(jù)集。和已經(jīng)訓(xùn)練過后的惡意軟件的分類模型相互結(jié)合，對(duì)數(shù)據(jù)集進(jìn)行分類檢測(cè)，然后再得到檢測(cè)結(jié)果，并且在進(jìn)行機(jī)器學(xué)習(xí)的時(shí)候，使用決策樹的分類算法等，在惡意軟件檢測(cè)里都被成功的使用[6]。

5 結(jié)束語

綜上所述，目前的網(wǎng)絡(luò)空間方面的發(fā)展是非常迅速的，目前有很多問題都需要理解決。這些網(wǎng)絡(luò)安全應(yīng)用的需要，相對(duì)較為急切，這也讓工作人員持續(xù)把比較經(jīng)典的算法，使用在網(wǎng)絡(luò)安全方面的領(lǐng)域。在機(jī)器學(xué)習(xí)的技術(shù)基礎(chǔ)上，網(wǎng)絡(luò)安全所探索出來的成果也已經(jīng)持續(xù)出現(xiàn)在了一些較為專業(yè)的報(bào)道當(dāng)中，這些成果可以解決目前在網(wǎng)絡(luò)安全方面的很多問題。特別是一些機(jī)器學(xué)習(xí)類的算法，都能夠比較明顯的擁有可以解決網(wǎng)安全問題的突出的能力。當(dāng)然，這些技術(shù)方案目前很難完全滿足對(duì)網(wǎng)絡(luò)安全方面的一些需求，所以工作人員必須對(duì)其進(jìn)行探索，使用機(jī)器學(xué)習(xí)技術(shù)，仍然是一個(gè)具有一定難度的工作在盡量解決安全問題的過程中，機(jī)器學(xué)習(xí)本身的難點(diǎn)也是比較顯著的，因此怎樣才能夠挑選一個(gè)更加合理的方式，利用計(jì)算機(jī)器學(xué)習(xí)算法，解決網(wǎng)絡(luò)安全問題，需要相關(guān)人員更多的探索，使其獲得更多提升。