位置:编程技术网 > 研发管理 > 正文 >

误报率太高?AI+流量安全分析,让网络运维更轻松

2020年07月11日 15:09来源:未知手机版

i5-2410m,采草莓,煤矿设计规范

短视频,自媒体,达人种草一站服务

误报率是衡量网络安全设备的重要技术指标,但如何正确检测和计算这项指标,没有统一科学的方法。安博通基于自主研发的网络流量安全分析系统,总结自身技术和经验,得出了一套安全设备误报率的检测计算方法,并基于深度学习技术将误报率降到业界较低水平,可减少企业机构安全运维的人力和时间投入。

误报率是什么?

误报: 在网络安全设备报警规则集合C中,事件A触发报警时,发生了B事件报警或未发生报警。

误报率: 在规则集C中,由于算法或事件定义导致安全设备产生误报的概率。

通用的误报率计算方法是,以设备规则集为出发点,对规则集事件进行加权处理,但业界暂无统一的权值标准,因此造成计算困难。

由于安全设备规则集较多,全面覆盖往往不现实。在实践中,通常以抽样测试方法来统计误报率,即随机挑选事件库中的部分事件,使用攻击工具触发这些事件,或以抓包工具对捕获的包进行回放,分析报警结果,从而得出安全设备的误报率。

基于深度学习技术的流量安全分析,降低误报率

安博通网络流量安全分析系统在传统流量采集、流量分析、流量回溯的基础上,集成自研的威胁情报技术,并应用深度学习技术,降低误报率。

深度学习技术是机器学习技术的一种,而机器学习是实现人工智能的必经路径。深度学习概念源于人工神经网络的研究,其通过组合低层特征形成更加抽象的高层表示属性类别或特征,并以发现数据的分布式特征表示。研究深度学习的动机在于建立模拟人脑学习分析的神经网络,它模拟人脑机制解释数据,如图像、声音、文本等。

基于深度学习的恶意文件、恶意URL、DGA域名等检测技术无需沙箱环境,可以直接将样本文件转换为二维图片,进而应用改造后的卷积神经网络Inception V4进行训练和检测。

Step 1:二进制文件转换

将样本文件初步处理后转换为二进制文件,转换后每个字节范围在00-FF之间,对应灰度图像素在0-255之间(0为黑色,255为白色)。将二进制文件转换为矩阵,矩阵又可以转换为灰度图。

Step 2:CNN图像识别

单靠观看很难区分恶意样本与白样本在纹理上存在的细微差异,采用成熟的CNN图像识别算法可以进行图像分类。

CNN(卷积神经网络)是一类包含卷积计算且具有深度结构的前馈神经网络,是深度学习的代表算法之一。它的构成包括:

输入层(Input Layer)

用三维矩阵代表一张图片,矩阵的长宽表示图片的大小,矩阵的深度表示图像的色彩通道,黑白为1 。

卷积层(Convolution Layer)

这一层的输入是上一层神经网络的一小块,它试图对神经网络的每一小块进行更深入分析,以得到抽象程度更高的特征。一般来说,本层处理后的结点矩阵深度会增加。

池化层(Pooling Layer)

不改变三维矩阵的深度,但能够缩小矩阵的大小,达到减少参数的目的。可以看做是将分辨率较高图片降低分辨率的过程。

全连接层(Fully Connecced)

经过多轮卷积和池化后,经过1-2个全连接层进行输出。可以将卷积层、池化层看做特征提取,最后由本层进行分类。

Softmax层

转化为概率分布。

这一技术简化了检测流程,速度也优于沙箱技术,可将误报率控制在10%以内,最低降至1%。

以下是最近一次恶意文件训练后在测试集上评估的结果:

各项指标在97-98%左右,优于以往模型。

本文地址:http://www.reviewcode.cn/yanfaguanli/156277.html 转载请注明出处!

今日热点资讯