人工智能和机器学习通过保护工具来分析数千起网络事故中数据

人工智能（AI）和机器学习（ML）通过保护工具来分析数千起网络事故中的数据，从而在网络安全中发挥重要作用。机器学习（ML）是AI的心脏 -一种系统，它使计算机可以像人类一样探索数据，发现以前的经验以做出决策。网络安全中的机器学习算法可以发现，识别和分析安全问题。许多当前的保护工具，例如风险情报，已经在使用ML。

在KitRUM，我们已经建立了数十个团队来实施ML，以实现端点保护，应用程序安全，检测Web攻击中的恶意查询，检测HTTP请求中的异常等。因此，我们非常熟悉该过程。

大多数ML算法执行以下功能：

回归

回归（或预测）非常简单。通过了解和理解当前信息，我们可以预测未来数据的变化。例如，根据世界情况和经济发展来考虑汽油价格预测。如果我们在谈论网络安全案例，则可以在欺诈检测中使用回归。标志（幕后操作，位置，设备等的数量）标识了欺诈行为的可能性。

以下是用于回归任务的ML方法示例：

线性回归

机器学习主要负责限制模式的错误或创建可能的最精确的预测，但以可解释性为代价。ML像统计数据一样从各个不同的领域借用和重用方法。它适用于恒定范围内的预测值（例如，销售，物流），而不是尝试按类别（例如，书籍，杂志）对其进行排序。共有两种常见形式：简单回归和多元回归。

多项式回归

这种回归类型主要用于确定或解释非线性情况，例如病毒的传播，基于多年经验的开发人员薪水等。ML专家通常使用Python来构建这种回归类型。

岭回归

是一种分析具有多重共线性的回归数据的方法。在具有多重共线性的情况下，估计值会有所不同，因此它们可能与实数相去甚远。通过在回归评估中增加一定的倾斜度，岭回归可以减少标准误差。

决策树

决策树使用2个动作建模：归纳法和切割法。归纳法是当我们创建树时，即根据我们的数据设置所有分级分辨率限制。修剪是一种从决策树中删除不必要形式，最小化复杂度以使其更易于阅读的方法。

SVR（支持向量回归）

SVR允许灵活地确定在我们的示例中有多少错误是适当的，并找出合适的行来匹配数据。

随机森林

作为一个组工作的大量相对不相关的示例（树）将超出模型的任何单独部分。

分类

分类非常简单！例如，您有按类别分类的两类图片，在这种情况下为计算机和电话。出于网络安全的目的，可以将垃圾邮件与特定邮件区分开来的垃圾邮件过滤器可以作为示例。垃圾邮件过滤器可能是网络安全活动中使用的第一种ML方法。

这些类型的学习方法通​​常仅在计算机/人员已经知道分类的本质时才使用。这些方法称为监督学习。因此，为使此方法起作用，应预先定义类别的所有类。在下面，您将找到与算法相关的进程的列表：

机器学习分类

支持向量机（SVM）

朴素贝叶斯

随机森林分类

内核支持向量机

决策树分类

逻辑回归（LR）

K最近邻居（K-NN）

即使大多数人倾向于发现SVM和随机森林分类可提供最佳结果，但机器学习并没有“一刀切”的规则。强烈建议将所有这些方法都检查为SVM，并且随机森林澄清可能无法满足您可能想到的任务！

聚类

聚类和澄清之间的唯一显着区别是，已放入系统中的信息没有任何分类。这也称为无监督学习。聚类主要用于法医分析之类的任务，因为后果和方法的要素未知，这就是聚类的目的。法医分析要求必须发现异常，这是由机器对事件中所有已完成的活动进行分类来完成的。恶意软件分析（例如间谍软件或安全电子邮件网关）都使用群集作为查找异常的方法，以将合法文件与异常值分开。

行为分析是可以使用群集的另一个有趣的领域。例如，系统可以对应用程序用户进行聚类，以便在可能的情况下将他们缩小到特定的组。

群集通常不用于解决问题，而是用于预防问题。它们更像是子任务执行器，就像维护管道以降低风险一样！可以将它们分别用于对用户进行分组，这可以在可预见的将来降低风险值。

机器学习集群

数据库管理中心

K均值

均值漂移

贝叶斯

集聚的

K最近邻居（KNN）

高斯混合模型

混合模型（LDA）

使用ML进行网络安全的真实示例

垃圾邮件填充应用

每个邮件服务提供商都使用通过机器学习方法构建的垃圾邮件过滤器算法。垃圾邮件检测主要使用朴素贝叶斯算法，这是一种非常常见的机器学习方法，它基于统计方法。培训和测试是机器学习的两个阶段。由于监督学习的复杂性，朴素贝叶斯算法采用了识别样本的数据集。本质上，朴素贝叶斯算法在整个电子邮件消息中都使用词频，因此，训练数据集包括每个样本的词，术语数和类别详细信息。

网络入侵检测与预防

了解网络环境并生成安全策略可能是涉及传统网络安全方法时要重点关注的两个重要方面。尽管如此，还有一些其他方面值得考虑：

策略：可以使用安全策略来区分合法和危险/恶意网络连接。此外，安全策略还实施了零信任的概念。但是，在大量网络上创建和维护上述计划非常具有挑战性！

环境：许多公司没有为程序和工作负载提供特定的命名协议。结果，保护部门倾向于投入大量时间来确定哪些工作负载集合是应用程序的一部分。

欺诈识别

为了了解如何将机器学习用于欺诈检测，我建立了一个小方案：

以下是用于欺诈检测的一些机器学习概念和算法：

监督学习

监督学习非常适合金融科技中的欺诈检测等案例。在监督学习模型中，所有输入都必须标记为好和坏。这是因为该模型无法检测到未归类为历史数据的欺诈行为，因为监督学习取决于预测性数据分析，因此该模型已从中获悉！

无监督学习

这种类型的模型使用其不断处理和分析的新信息进行更新，并根据发现进行更新。

半监督学习

这在识别信息不切实际或成本太高并且需要人类专家研究的情况下起作用。即使未定义数据的组身份不确定，半监督学习算法也会存储有关基本组变量的信息。

强化学习

强化学习算法可帮助机器自动识别指定设置内的最佳动作。

僵尸网络检测

在基于网络的僵尸网络识别技术中，恶意流量是通过分析一系列条件下的网络流量来检测的，例如网络流量活动，流量趋势，反应时间，网络负载和链接行为。基于网络的解决方案也分为两类：活动监视和不活动监视。

结论

随着越来越多的技术融入我们的日常生活中，人工智能对我们生活的影响将继续发展。许多分析师认为，人工智能对技术有不利影响，而另一些分析师则认为，人工智能将极大地改变我们的生活。对于信息保护而言，显着的优势取决于更快地识别和减少风险。疑问集中在黑客实施日益复杂的安全性和基于技术的攻击的能力上。

责任编辑：YYX