大数据背景下网络安全问题研究
                    Research on Network Security Issues under the Background of Big Data


                 （二）人工智能助力网络防御
                  网络安全威胁层出不穷且呈现智能化、隐匿性、规模化的特点，网络安全防御面
             临着极大的挑战。人工智能驱动的网络防御拥有强大的自主学习和数据分析能力，大
             幅缩短威胁发现与响应的间隔，实现了自动化快速识别、检测和处置安全威胁，在应
             对各类安全威胁发挥着重要作用。尤其是人工智能在发现未知威胁及APT等高级威胁

             方面有很大优势。
                  人工智能为人们应对日趋复杂的网络安全问题不断提供新的思路。目前，人工智
             能已经应用于恶意软件/流量检测、恶意域名/URL检测、钓鱼邮件检测、网络攻击检

             测、软件漏洞挖掘、威胁情报收集等方面。具体应用研究包括以下几点。
                  1.恶意软件检测
                  将恶意软件样本转换为二维图像，将二维图像输入经过训练的深度神经网络
             DNN，二维图像会被分类为“干净”或“已感染”。该检测方法达到了99.07％的准

             确性，误报率为2.58％。
                  2.未知加密恶意流量检测
                  在无法通过对有效传输载荷提取特征的情况下，基于LSTM的加密恶意流量检测

             模型经过为期两个月的训练之后，可以识别许多不同的恶意软件家族的未知加密恶意
             流量。
                  3.恶意（僵尸）网络流量检测
                  利用深度学习且独立于底层僵尸网络体系结构的恶意网络流量检测器SharkBot，
             采用堆叠式自动编码器Autoencoder和卷积神经网络CNN两种深度学习检测模型，以

             消除检测系统对网络流量主要特征的依赖性。该检测器实现了91%的分类准确率和
             13%的召回率。
                  4.基于人工智能检测恶意域名的方法

                  针对威胁情报误报/漏报多且不可控的特点，将威胁情报作为训练集，采用支持
             向量机SVM学习威胁情报背后的数据特征，通过人工智能强大的泛化能力，减少漏报
             并让安全系统变得可控。
                  5.运用机器学习检测恶意URL

                  结合域生成算法DGA检测的机器学习聚类算法可以获得较高的恶意URL检出率，
             不仅可以检测已知的恶意URL，并且也能检测到从未暴露的新变种。
                  6.新型网络钓鱼电子邮件检测
                  利用深度神经网络DNN对网络钓鱼电子邮件进行检测，并且通过实验证明DNN

             在钓鱼邮件的检测上可以实现94.27%的检测性能，进一步证明了深度学习技术在自动
             化网络钓鱼识别中的可行性。


             • 92 •