人工智能与机器学习成焦点话题

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

关注

美国当地时间8月8日，一年一度的Black Hat（黑帽子）大会在拉斯维加斯如期举行。不经意间，这项吸引全球顶级厂商、黑客的大会已走过了21个年头。21年前，当时只有22岁的Jeff Moss（杰夫·莫斯）在创立 Black Hat时，估计做梦也无法想象，如今的会议规模和影响力竟会有如此之大。

如今的Jeff Moss，似乎更多地在向政坛跨界。除了继续领导Black Hat和DEF CON的活动外，他还是美国国土安全部（DHS）顾问委员会和外交关系委员会等组织的成员。在备受瞩目的开幕式演讲上，Jeff Moss就网络安全与政治的融合发表了他的观点：“如果说攻击纯粹是技术上的努力的话，那么防御从开销、战略、保护目标来讲，都是政治上的考量。我无法修复微软操作系统中的问题，只有微软自己才能修复，但如果我能对微软施加政治影响力，让他们生产出更好的产品的话，那就可以帮助这个星球上所有的人。”

Black Hat创始人——Jeff Moss发表主题演讲

“谷歌安全公主”——Parisa Tabriz 的主题演讲讨论了与网络安全状况相关的问题。其表示，在线安全不应该是用户关注的重点所在，所以科技巨头们需要作出更多的努力。人们在日常生活中，一直被网络攻击的阴霾所笼罩，比如黑客会以电子邮件、信用卡、甚至政治为目标，带来许多安全隐患。

“谷歌安全公主”——Parisa Tabriz发表主题演讲

会前，很多媒体对今年Black Hat大会上关注的重点网络安全发展趋势作了分析和预测，而人工智能技术在安全领域，尤其是行为分析领域的应用，获得了众多从业人员的广泛关注和认可。大会官方公布的主题演讲也印证了这一点。

多个议题聚焦于下述主题

网络安全中的AI及机器学习---为什么算法是危险的

MLPdf：基于机器学习的有效PDF恶意软件检测方法

利用大数据和机器学习狩猎威胁

战壕里的故事：机器学习实践

解密机器学习及评估SOC成功

如何利用机器学习发现新的定向攻击

可预测的优势——0day攻击防范于未然

特别值得一提的是Sophos首席科学家Joshua Saxe发表的主题演讲《黑客的深层神经网络：方法，应用及开源工具》（Deep Neural Networks for Hackers: Methods, Applications, and OpenSource Tools）。首先，Saxe用视频内容物体识别的例子介绍了当下前沿的机器学习技术：包括增强学习（reinforcement learning）、循环神经网络（RNN）和卷积神经网络（CNN）;接着，他介绍了利用深度学习技术可以解决很多安全威胁检测的问题,比如恶意URL检测、基于1.5亿训练样本的CNN机器学习模型，这些比之前检测方法都要更好。

另外，比如基于深度学习的恶意文件检测可以达到95%的检测率，远高于传统的基于特征的检测方法（大约85%）。

深度学习在安全中的应用不只这些，它还包括HTML文本分类、Window PE分类和恶意程序线程调用分类等很多领域。Saxe接着总结了机器学习改变安全的新世界和之前旧世界的比较。

Saxe还详细介绍了恶意URL分类深度学习模型的机理。

最后Saxe建议大家多学习数据科学和机器学习，鼓励把更多的前沿深度学习技术应用到威胁检测中。

在这个万物互联的时代中，安全问题显得越来越重要。大数据作为一种工具，与人工智能结合，可以在安全领域解决很多问题。正如Parisa Tabriz博士所讲，人工智能上针对行为的分析，现在已经得到越来越多从业者的广泛关注和认可。

而作为全球网络安全企业500强之一的安恒信息，近年来也在信息化安全领域不断推动创新，并在2016年，就将人工智能技术进行了深入应用。在安恒信息，很多产品线都有机器学习的应用。AiLPHA大数据智能安全平台就是其中之一。

AiLPHA大数据智能安全平台

安恒信息的AiLPHA大数据智能安全平台，通过收集安全设备的日志、流量、威胁情报等信息，形成安全大数据中心；同时，其利用人工智能技术进行智能化分析，尤其是基于用户行为分析的能力极其强大，并在用户的行为分析上进行两个维度的关联分析——横向维度分析和纵向维度分析。在横向维度上，将该用户相同的群体行为进行模型建立，当用户做的行为跟群体做的行为不一致时，能够快速发出告警；在纵向维度上，通过该用户历史行为的数据进行模型建立，并随着时间推移，模型会不断学习优化，当未来的某时该用户因为某些原因做了跟历史模型不一致时，能够快速定位安全问题。

最终，平台可通过横向维度，将纵向维度的行为分析模型碰撞、关联，帮助用户发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生的安全事件等复杂的安全问题。

除了安恒信息的AiLPHA大数据智能安全平台以外,安恒信息的明御APT攻击（网络战）预警平台也在机器学习领域多方位实践。

明御APT攻击（网络战）预警平台

在垃圾邮件及钓鱼邮件检测方面，平台有别于传统的黑白名单的检测方式，而采用基于概率统计计算邮件特征之间的相关性并对其进行分类训练，极大的提高了检出率；在恶意代码检测方面，区别于传统的特征检测，通过概率模型与分类决策模型对恶意文件、恶意网页代码及其变种深度检测；在异常流量检测方面，利用机器学习，快速有效进行DGA域名逆向分析，实现对攻击进行追踪溯源。