機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用分析

李陽(yáng)

摘要：我國(guó)正在逐步實(shí)現(xiàn)信息化社會(huì)建設(shè)，現(xiàn)代信息技術(shù)發(fā)展速度越來(lái)越快，帶動(dòng)了整個(gè)網(wǎng)絡(luò)空間數(shù)據(jù)量的增長(zhǎng)，給網(wǎng)絡(luò)空間安全管理帶來(lái)了巨大的難題。隨著網(wǎng)絡(luò)空間連入點(diǎn)的增加，在海量數(shù)據(jù)面前，傳統(tǒng)的網(wǎng)絡(luò)空間安全處理方式已經(jīng)不能夠適應(yīng)需求，這時(shí)候機(jī)器學(xué)習(xí)的優(yōu)勢(shì)逐漸展現(xiàn)出來(lái)，機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全研究中的應(yīng)用，能夠?qū)W(wǎng)絡(luò)安全問題進(jìn)行有效的解決，因此，各專家學(xué)者正在推進(jìn)機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究，希望能夠通過機(jī)器學(xué)習(xí)來(lái)保障網(wǎng)絡(luò)空間安全。

關(guān)鍵詞：機(jī)器學(xué)習(xí);網(wǎng)絡(luò)空間安全;機(jī)器學(xué)習(xí);安全研究

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）24-0205-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

1 機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用步驟

機(jī)器學(xué)習(xí)是一門涉及多領(lǐng)域的學(xué)科，通過機(jī)器學(xué)習(xí)能夠使計(jì)算機(jī)具有智能，通過各種經(jīng)驗(yàn)數(shù)據(jù)來(lái)完善自身系統(tǒng)性能。因此機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用通常分為幾個(gè)步驟：安全問題抽象、數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理和安全特征提取、模型構(gòu)建、模型驗(yàn)證和模型效果。整合應(yīng)用步驟使相輔相成的。

1）安全問題抽象。通過安全問題抽象能夠?qū)⒕W(wǎng)絡(luò)空間安全問題轉(zhuǎn)化為機(jī)器學(xué)習(xí)能夠處理的數(shù)據(jù)，安全問題抽象的正確性決定了機(jī)器學(xué)習(xí)對(duì)網(wǎng)絡(luò)空間安全問題處理的成功性。所以首先機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用需要進(jìn)行安全問題抽象和定義，將網(wǎng)絡(luò)空間安全問題轉(zhuǎn)化為機(jī)器學(xué)習(xí)能夠處理的數(shù)據(jù)，然后能夠?yàn)檠芯咳藛T的數(shù)據(jù)采集提供參考。

2）數(shù)據(jù)采集。機(jī)器學(xué)習(xí)是通過各種經(jīng)驗(yàn)數(shù)據(jù)來(lái)完善自身系統(tǒng)性能，所以數(shù)據(jù)采集是機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用基礎(chǔ)。在數(shù)據(jù)采集步驟主要是通過應(yīng)用各種措施，例如日志收集工具等，來(lái)從網(wǎng)絡(luò)系統(tǒng)的各層級(jí)來(lái)獲得信息，完成數(shù)據(jù)采集。

3）數(shù)據(jù)預(yù)處理和安全特征提取。在進(jìn)行安全特征提取前，首先要對(duì)采集的原始數(shù)據(jù)進(jìn)行清洗和處理，以防因原始數(shù)據(jù)丟失、缺少等問題影響，使數(shù)據(jù)更加的規(guī)范。數(shù)據(jù)預(yù)處理和安全特征提取包括以下幾個(gè)內(nèi)容：第一，數(shù)據(jù)預(yù)處理。由于網(wǎng)絡(luò)空間的數(shù)據(jù)采集存在噪音，所以可能在錄入的時(shí)候出現(xiàn)各種異常點(diǎn)，為了保證數(shù)據(jù)質(zhì)量，需要對(duì)原始數(shù)據(jù)進(jìn)行清洗和處理，保證數(shù)據(jù)更加的規(guī)范;第二，數(shù)據(jù)缺失處理和異常值的處理。一旦采集數(shù)據(jù)中某個(gè)特征缺失值過多，為了防止噪聲過大，就必須要進(jìn)行丟棄，如果特征缺失值較少，就可以通過有效的方式進(jìn)行填充，對(duì)缺失數(shù)據(jù)進(jìn)行處理。第三，非平衡數(shù)據(jù)的處理。網(wǎng)絡(luò)空間中存在著大量的異常數(shù)據(jù)和惡意數(shù)據(jù)，雖然數(shù)量相比于正常樣本較少，但是這種非平衡數(shù)據(jù)的存在，會(huì)對(duì)機(jī)器學(xué)習(xí)算法建構(gòu)檢測(cè)模型產(chǎn)生直接影響，為了有效地解決這種問題，可以通過采樣或者欠采樣的方式來(lái)平衡數(shù)據(jù)。第四，數(shù)據(jù)集的分割。完成數(shù)據(jù)預(yù)處理以后，通過機(jī)器學(xué)習(xí)能夠完成數(shù)據(jù)集的相關(guān)準(zhǔn)備，并且對(duì)數(shù)據(jù)級(jí)進(jìn)行整理集合：訓(xùn)練集、驗(yàn)證集和測(cè)試集。第五，安全特征提取。通過安全特征提取能夠從網(wǎng)絡(luò)空間中將最具有安全問題的屬性提取出來(lái)，在這個(gè)過程中需要依靠特定的領(lǐng)域知識(shí)進(jìn)行，所以需要具有領(lǐng)域知識(shí)的專業(yè)人員來(lái)進(jìn)行安全特征提取。

4）構(gòu)建模型。機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全應(yīng)用的核心內(nèi)容就是模型構(gòu)建，能夠通過數(shù)據(jù)預(yù)處理完成后的數(shù)據(jù)級(jí)和目標(biāo)問題來(lái)選擇適當(dāng)?shù)膶W(xué)習(xí)算法，從而構(gòu)建求解問題模型。機(jī)器學(xué)習(xí)算法的種類包含范圍較廣，因此在機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全問題中的應(yīng)用時(shí)，選擇機(jī)器學(xué)習(xí)算法是核心問題。選擇好機(jī)器學(xué)習(xí)算法之后再模型構(gòu)建的應(yīng)用時(shí)，還需要進(jìn)行參數(shù)調(diào)優(yōu)，參數(shù)調(diào)優(yōu)是一項(xiàng)非常重要的工作，由于沒有充分的理論指導(dǎo)，所以通常都是在龐大的參數(shù)數(shù)據(jù)中進(jìn)行選擇或者憑借個(gè)人經(jīng)驗(yàn)來(lái)選擇。

5）模型驗(yàn)證。通過模型驗(yàn)證能夠?qū)?gòu)建的模型效果進(jìn)行檢驗(yàn)，驗(yàn)證模型和訓(xùn)練目標(biāo)區(qū)別較大，可以對(duì)樣本進(jìn)行誤差分析查找原因。

6）模型效果。模型效果評(píng)估一般是注重模型的學(xué)習(xí)效果和泛化能力。

2 機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的作用分析

1）網(wǎng)關(guān)運(yùn)營(yíng)檢測(cè)。網(wǎng)關(guān)協(xié)議作為互聯(lián)網(wǎng)體系的重要內(nèi)容，會(huì)影響路由通信質(zhì)量。然而，在實(shí)際運(yùn)營(yíng)中，網(wǎng)關(guān)協(xié)議由于缺乏完整的認(rèn)證體系，導(dǎo)致在路由信息識(shí)別中容易出現(xiàn)故障，從而遭受網(wǎng)絡(luò)攻擊。因此需要通過機(jī)器學(xué)習(xí)來(lái)對(duì)網(wǎng)管協(xié)議的運(yùn)營(yíng)狀況進(jìn)行實(shí)時(shí)跟蹤檢查的，從而保證數(shù)據(jù)的安全。

2）域名系統(tǒng)安全檢測(cè)。通過在網(wǎng)絡(luò)空間容易受到攻擊的系統(tǒng)為域名系統(tǒng)，一旦遭受攻擊就會(huì)對(duì)網(wǎng)絡(luò)的正常使用造成影響。一般對(duì)域名系統(tǒng)供給的處理方式都是記錄惡意域名，一旦域名安全發(fā)生異常就根據(jù)記錄的信息來(lái)進(jìn)行監(jiān)測(cè)，從而對(duì)安全問題進(jìn)行防治。但是在這種傳統(tǒng)的檢測(cè)方式有許多的不足，記錄信息有可能會(huì)被攻擊者竊取和屏蔽，導(dǎo)致檢測(cè)時(shí)識(shí)別空白，使惡意域名被判斷為安全的，影響網(wǎng)絡(luò)空間的安全性。機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中，能夠有效地提取和分析記錄惡意域名數(shù)據(jù)，通過域名對(duì)比進(jìn)行監(jiān)測(cè)，能夠爭(zhēng)取的判斷域名的安全性。

3）網(wǎng)路安全檢測(cè)。由于網(wǎng)絡(luò)空間中存在許多網(wǎng)絡(luò)接入點(diǎn)，已經(jīng)再進(jìn)行網(wǎng)絡(luò)安全檢測(cè)時(shí)需要通過數(shù)據(jù)收集、分析和控制，利用機(jī)器學(xué)習(xí)能夠更好地發(fā)現(xiàn)安全隱患，并通過有效的防范手段對(duì)安全問題進(jìn)行處理。機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究的用用，能夠更好地檢測(cè)網(wǎng)絡(luò)空間中攻擊、入侵行為，提高檢測(cè)效率，使網(wǎng)絡(luò)空間的安全得到保障。

3 機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用分析

網(wǎng)絡(luò)空間安全作為網(wǎng)絡(luò)空間的重要內(nèi)容，完善網(wǎng)絡(luò)基礎(chǔ)設(shè)施能夠使網(wǎng)絡(luò)空間更具安全性，為其安全運(yùn)營(yíng)打下良好的基礎(chǔ)，利用機(jī)器學(xué)習(xí)開展對(duì)網(wǎng)絡(luò)空間的各種安全檢測(cè)，能夠使互聯(lián)網(wǎng)絡(luò)的運(yùn)營(yíng)更加安全，下面將對(duì)機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用進(jìn)行分析，對(duì)機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究成過進(jìn)行簡(jiǎn)要介紹。

1）在網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全中的研究應(yīng)用。網(wǎng)絡(luò)基礎(chǔ)設(shè)施是保證計(jì)算機(jī)實(shí)現(xiàn)運(yùn)行的基礎(chǔ)設(shè)施，包括遠(yuǎn)程通信網(wǎng)、有線電視網(wǎng)等，其中最重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施為路由系統(tǒng)和域名系統(tǒng)，網(wǎng)絡(luò)活動(dòng)的安全展開需要依托這些系統(tǒng)的安全運(yùn)行，所以在對(duì)機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中，路由系統(tǒng)和域名系統(tǒng)的安全是重點(diǎn)內(nèi)容，在最近的研究中，通過機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間中進(jìn)行BGP異常檢測(cè)和DNS惡意攻擊檢測(cè)已經(jīng)得到了一定的成就，下面將對(duì)這兩項(xiàng)安全監(jiān)測(cè)內(nèi)容進(jìn)行簡(jiǎn)要介紹：第一，BGP異常檢測(cè)。所謂的BGP是Border Gateway Protocol的縮寫，也就是邊界網(wǎng)關(guān)協(xié)議，是運(yùn)行于 TCP 上的一種自治系統(tǒng)的路由協(xié)議。BGP 系統(tǒng)能夠讓不相關(guān)的互聯(lián)網(wǎng)路由域間進(jìn)行連接，從而實(shí)現(xiàn)信息交換，能夠和其他的 BGP 系統(tǒng)交換網(wǎng)絡(luò)可達(dá)信息，但是有一個(gè)不足之處就是，由于沒有可信任的路由認(rèn)證體系，導(dǎo)致難以對(duì)鄰居自治系統(tǒng)的完整性和安全性，這個(gè)問題使得路由器系統(tǒng)遭受了大量的危機(jī)，例如前綴劫持、異常BGP更新消息等都降低了互聯(lián)網(wǎng)安全，傳統(tǒng)的異常路由識(shí)別都是通過各種統(tǒng)計(jì)分析、信號(hào)處理等方式來(lái)進(jìn)行處理，但是這些方式難以對(duì)所有宜昌路有進(jìn)行有效識(shí)別。在利用機(jī)器學(xué)習(xí)開展網(wǎng)絡(luò)空間安全研究中，研究人員通過大量的實(shí)踐研究，發(fā)現(xiàn)了長(zhǎng)短期記憶網(wǎng)絡(luò)，能夠有效對(duì)異常路由進(jìn)行監(jiān)測(cè)，能夠及時(shí)提取BGP更新消息或時(shí)序中的異常信息，并進(jìn)行警告。但是機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的異常路由檢測(cè)應(yīng)用的準(zhǔn)確性還得不到保證，有可能會(huì)出現(xiàn)誤報(bào)、漏報(bào)等問題，所以目前機(jī)器學(xué)習(xí)對(duì)異常路由檢測(cè)還只是應(yīng)用在模型構(gòu)建和討論當(dāng)中，還需要進(jìn)行更加深入的研究，從而提高機(jī)器學(xué)習(xí)在路由異常檢測(cè)中的準(zhǔn)確性。第二，惡意域名檢測(cè)。域名系統(tǒng)縮寫DNS，作為互聯(lián)網(wǎng)的一項(xiàng)服務(wù)，能夠使互聯(lián)網(wǎng)防衛(wèi)更加便利。所以對(duì)域名系統(tǒng)的惡意工基非常的多，因此對(duì)域名系統(tǒng)的安全一直都是網(wǎng)絡(luò)空間安全的重要內(nèi)容。機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用推動(dòng)惡意域名檢測(cè)研究的進(jìn)行，利用機(jī)器學(xué)習(xí)，惡意域名檢測(cè)將離線模型和在線模型相結(jié)合，使惡意域名檢測(cè)研究得到了一定的成就。但是也還有兩點(diǎn)不足之處，其一就是當(dāng)攻擊方熟悉了域名檢測(cè)系統(tǒng)原理后，就能夠避開檢測(cè)系統(tǒng)進(jìn)行攻擊;其二是目前的惡意域名檢測(cè)系統(tǒng)是以已知而已域名來(lái)作為數(shù)據(jù)基礎(chǔ)進(jìn)行建設(shè)的，所以還難以發(fā)揮其效果。因此，對(duì)惡意域名檢測(cè)系統(tǒng)的研究還需要利用機(jī)器學(xué)習(xí)來(lái)深入研究。

2）在網(wǎng)絡(luò)軟件安全中的檢測(cè)作用。利用機(jī)器學(xué)習(xí)對(duì)軟件安全進(jìn)行監(jiān)測(cè)分為三個(gè)內(nèi)容：⑴檢測(cè)網(wǎng)頁(yè)安全。許多網(wǎng)絡(luò)供給會(huì)通過惡意網(wǎng)頁(yè)來(lái)竊取使用者的個(gè)人信息，從而達(dá)到相應(yīng)的目的，這就導(dǎo)致了網(wǎng)絡(luò)用戶的信息泄露。通常對(duì)網(wǎng)頁(yè)安全監(jiān)測(cè)都是通過記錄識(shí)別法開展，這種方法具有許多限制條件，檢測(cè)周期長(zhǎng)且檢測(cè)效果差等，這些對(duì)于網(wǎng)絡(luò)空間的安全具有巨大危害。利用理器學(xué)習(xí)來(lái)進(jìn)行網(wǎng)頁(yè)安全檢測(cè)，能夠?qū)Υ嬖诎踩[患的網(wǎng)頁(yè)進(jìn)行記錄，再將這些信息進(jìn)行數(shù)據(jù)采集和數(shù)據(jù)特征分析，在網(wǎng)頁(yè)安全檢測(cè)中以這些信息為基礎(chǔ)進(jìn)行分類算法計(jì)算，能夠有效檢測(cè)網(wǎng)頁(yè)安全性。⑵檢測(cè)郵件安全。在網(wǎng)絡(luò)空間中一旦垃圾郵件儲(chǔ)存過多，不僅會(huì)占用系統(tǒng)內(nèi)存，影響網(wǎng)絡(luò)運(yùn)行速度，甚至在這些垃圾郵件中還有許多隱藏的安全隱患，如果系統(tǒng)檢測(cè)不能夠及時(shí)有效地進(jìn)行，就會(huì)使網(wǎng)絡(luò)空間遭到工基，影響了用戶的信息安全。在以前對(duì)郵件安全檢測(cè)通常都司進(jìn)行人工檢測(cè)和刪除，這樣處理效率較低，而通過機(jī)器學(xué)習(xí)來(lái)構(gòu)建垃圾軟件檢測(cè)系統(tǒng)，讓技術(shù)人員按照文本處理標(biāo)準(zhǔn)來(lái)進(jìn)行特征輸入，能夠使程序自動(dòng)檢測(cè)郵件安全，從而保證用戶的信息。⑶檢測(cè)PDF安全。用戶在使用互聯(lián)網(wǎng)的使用會(huì)在網(wǎng)絡(luò)空間產(chǎn)生許多的PDF文件，在某些PDF文件中隱藏著許多惡意程序，傳統(tǒng)的檢測(cè)軟件很難完全的檢測(cè)出這些惡意程序，從而對(duì)系統(tǒng)安全造成影響。為了解決這類問題，可以在網(wǎng)絡(luò)空間中利用機(jī)器學(xué)習(xí)的相關(guān)技術(shù)，來(lái)構(gòu)建文件檢測(cè)系統(tǒng)，能夠通過特征信息提取，及時(shí)有效地對(duì)PDF文件中隱藏的惡意程序進(jìn)行檢測(cè)。

4 總結(jié)

我國(guó)技術(shù)人員對(duì)于網(wǎng)絡(luò)空間安全的研究在不斷深入，為了加強(qiáng)網(wǎng)絡(luò)空間安全性，使國(guó)家和用戶能夠更加放心使用網(wǎng)絡(luò)，必須要采取有效的措施來(lái)保障網(wǎng)絡(luò)空間的安全性。機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全檢測(cè)中已經(jīng)被廣泛應(yīng)用，經(jīng)過長(zhǎng)期的研究實(shí)踐已經(jīng)取得了一定的成就，但是還需要相關(guān)技術(shù)人員繼續(xù)深入研究，更好地利用機(jī)器學(xué)習(xí)來(lái)保障網(wǎng)絡(luò)空間安全，發(fā)揮其重要作用，及時(shí)的檢測(cè)網(wǎng)絡(luò)惡意供給，讓網(wǎng)絡(luò)空間的安全性提升。

參考文獻(xiàn)：

[1] 張蕾，崔勇，劉靜，等.機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用[J].計(jì)算機(jī)學(xué)報(bào)，2018，41（9）：1943-1975.

[2] 胡彬，王春東，胡思琦，等.基于機(jī)器學(xué)習(xí)的移動(dòng)終端高級(jí)持續(xù)性威脅檢測(cè)技術(shù)研究[J].計(jì)算機(jī)工程， 2017， 43（1）：241-246.

[3] 劉鑫.機(jī)器學(xué)習(xí)研究及其在生存分析中的應(yīng)用[J].電子科技大學(xué)，2018.

【通聯(lián)編輯：代影】