誤報率是衡量網(wǎng)絡(luò)安全設(shè)備的重要技術(shù)指標(biāo),但如何正確檢測和計算這項指標(biāo),沒有統(tǒng)一科學(xué)的方法。安博通基于自主研發(fā)的網(wǎng)絡(luò)流量安全分析系統(tǒng),總結(jié)自身技術(shù)和經(jīng)驗,得出了一套安全設(shè)備誤報率的檢測計算方法,并基于深度學(xué)習(xí)技術(shù)將誤報率降到業(yè)界較低水平,可減少企業(yè)機構(gòu)安全運維的人力和時間投入。
誤報率是什么?
· 誤報: 在網(wǎng)絡(luò)安全設(shè)備報警規(guī)則集合C中,事件A觸發(fā)報警時,發(fā)生了B事件報警或未發(fā)生報警。
· 誤報率: 在規(guī)則集C中,由于算法或事件定義導(dǎo)致安全設(shè)備產(chǎn)生誤報的概率。
通用的誤報率計算方法是,以設(shè)備規(guī)則集為出發(fā)點,對規(guī)則集事件進行加權(quán)處理,但業(yè)界暫無統(tǒng)一的權(quán)值標(biāo)準(zhǔn),因此造成計算困難。
由于安全設(shè)備規(guī)則集較多,全面覆蓋往往不現(xiàn)實。在實踐中,通常以抽樣測試方法來統(tǒng)計誤報率,即隨機挑選事件庫中的部分事件,使用攻擊工具觸發(fā)這些事件,或以抓包工具對捕獲的包進行回放,分析報警結(jié)果,從而得出安全設(shè)備的誤報率。
基于深度學(xué)習(xí)技術(shù)的流量安全分析,降低誤報率
安博通網(wǎng)絡(luò)流量安全分析系統(tǒng)在傳統(tǒng)流量采集、流量分析、流量回溯的基礎(chǔ)上,集成自研的威脅情報技術(shù),并應(yīng)用深度學(xué)習(xí)技術(shù),降低誤報率。
深度學(xué)習(xí)技術(shù)是機器學(xué)習(xí)技術(shù)的一種,而機器學(xué)習(xí)是實現(xiàn)人工智能的必經(jīng)路徑。深度學(xué)習(xí)概念源于人工神經(jīng)網(wǎng)絡(luò)的研究,其通過組合低層特征形成更加抽象的高層表示屬性類別或特征,并以發(fā)現(xiàn)數(shù)據(jù)的分布式特征表示。研究深度學(xué)習(xí)的動機在于建立模擬人腦學(xué)習(xí)分析的神經(jīng)網(wǎng)絡(luò),它模擬人腦機制解釋數(shù)據(jù),如圖像、聲音、文本等。
基于深度學(xué)習(xí)的惡意文件、惡意URL、DGA域名等檢測技術(shù)無需沙箱環(huán)境,可以直接將樣本文件轉(zhuǎn)換為二維圖片,進而應(yīng)用改造后的卷積神經(jīng)網(wǎng)絡(luò)Inception V4進行訓(xùn)練和檢測。
Step 1:二進制文件轉(zhuǎn)換
將樣本文件初步處理后轉(zhuǎn)換為二進制文件,轉(zhuǎn)換后每個字節(jié)范圍在00-FF之間,對應(yīng)灰度圖像素在0-255之間(0為黑色,255為白色)。將二進制文件轉(zhuǎn)換為矩陣,矩陣又可以轉(zhuǎn)換為灰度圖。
Step 2:CNN圖像識別
單靠觀看很難區(qū)分惡意樣本與白樣本在紋理上存在的細微差異,采用成熟的CNN圖像識別算法可以進行圖像分類。
CNN(卷積神經(jīng)網(wǎng)絡(luò))是一類包含卷積計算且具有深度結(jié)構(gòu)的前饋神經(jīng)網(wǎng)絡(luò),是深度學(xué)習(xí)的代表算法之一。它的構(gòu)成包括:
· 輸入層(Input Layer)
用三維矩陣代表一張圖片,矩陣的長寬表示圖片的大小,矩陣的深度表示圖像的色彩通道,黑白為1 。
· 卷積層(Convolution Layer)
這一層的輸入是上一層神經(jīng)網(wǎng)絡(luò)的一小塊,它試圖對神經(jīng)網(wǎng)絡(luò)的每一小塊進行更深入分析,以得到抽象程度更高的特征。一般來說,本層處理后的結(jié)點矩陣深度會增加。
· 池化層(Pooling Layer)
不改變?nèi)S矩陣的深度,但能夠縮小矩陣的大小,達到減少參數(shù)的目的。可以看做是將分辨率較高圖片降低分辨率的過程。
· 全連接層(Fully Connecced)
經(jīng)過多輪卷積和池化后,經(jīng)過1-2個全連接層進行輸出??梢詫⒕矸e層、池化層看做特征提取,最后由本層進行分類。
· Softmax層
轉(zhuǎn)化為概率分布。
這一技術(shù)簡化了檢測流程,速度也優(yōu)于沙箱技術(shù),可將誤報率控制在10%以內(nèi),最低降至1%。
以下是最近一次惡意文件訓(xùn)練后在測試集上評估的結(jié)果:
· 各項指標(biāo)在97-98%左右,優(yōu)于以往模型。
· 表現(xiàn)較差的幾種格式,主要原因為正樣本中樣本數(shù)較少。
· dex是一種特殊的安卓文件格式,在負樣本中沒有收集到,導(dǎo)致測試結(jié)果可能偏向正樣本。
· rar、zip壓縮后對檢測有一定影響。
以下是DGA和惡意URL檢測在驗證集上的結(jié)果,可以看到誤報率最低降至1% (1-準(zhǔn)確率)。
創(chuàng)新提出全棧分析概念
安博通網(wǎng)絡(luò)流量安全分析系統(tǒng)集成了會話分析、WAF、IDS告警、威脅情報分析、未知威脅分析、全流量溯源、文件還原取證等功能,并創(chuàng)新性地提出了全棧分析概念。
除了基于深度學(xué)習(xí)從技術(shù)層面量化降低誤報率外,還可以從實際操作層出發(fā),根據(jù)實踐經(jīng)驗,應(yīng)用這些措施降低誤報率:
1、 應(yīng)用自研威脅情報 ,可實時更新離線庫,保障準(zhǔn)確率。
2、 應(yīng)用未知威脅分析 ,通過加白名單操作排除誤報。
3、 應(yīng)用異常流量檢測、網(wǎng)絡(luò)攻擊檢測 ,通過配置審計的精確IP,降低誤報率。
4、 應(yīng)用內(nèi)置的WAF功能 ,也可以通過減少配置審計的IP降低誤報率。
在技術(shù)發(fā)展日新月異的今天,將先進技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域,不斷提升產(chǎn)品功能精度,是安博通自主創(chuàng)新的不懈追求。未來,公司將繼續(xù)以人工智能技術(shù)賦能網(wǎng)絡(luò)安全產(chǎn)業(yè),切實保障在等保合規(guī)、紅藍對抗、日常運維中的安全需求 ,為各行業(yè)用戶創(chuàng)造安全業(yè)務(wù)價值新體驗。
關(guān)于安博通
北京安博通科技股份有限公司(簡稱“安博通”),是國內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商,2019年成為中國第一家登陸科創(chuàng)板的網(wǎng)絡(luò)安全企業(yè)。
其自主研發(fā)的ABT SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)平臺,已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)套件,是國內(nèi)眾多部委與央企安全態(tài)勢感知平臺的核心組件與數(shù)據(jù)引擎。
更多詳情,敬請查閱:www.abtnetworks.com
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!