當(dāng)前位置:首頁 >  IDC >  安全 >  正文

誤報率太高?AI+流量安全分析,讓網(wǎng)絡(luò)運維更輕松

 2020-07-10 17:52  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

誤報率是衡量網(wǎng)絡(luò)安全設(shè)備的重要技術(shù)指標(biāo),但如何正確檢測和計算這項指標(biāo),沒有統(tǒng)一科學(xué)的方法。安博通基于自主研發(fā)的網(wǎng)絡(luò)流量安全分析系統(tǒng),總結(jié)自身技術(shù)和經(jīng)驗,得出了一套安全設(shè)備誤報率的檢測計算方法,并基于深度學(xué)習(xí)技術(shù)將誤報率降到業(yè)界較低水平,可減少企業(yè)機構(gòu)安全運維的人力和時間投入。

誤報率是什么?

· 誤報: 在網(wǎng)絡(luò)安全設(shè)備報警規(guī)則集合C中,事件A觸發(fā)報警時,發(fā)生了B事件報警或未發(fā)生報警。

· 誤報率: 在規(guī)則集C中,由于算法或事件定義導(dǎo)致安全設(shè)備產(chǎn)生誤報的概率。

通用的誤報率計算方法是,以設(shè)備規(guī)則集為出發(fā)點,對規(guī)則集事件進行加權(quán)處理,但業(yè)界暫無統(tǒng)一的權(quán)值標(biāo)準(zhǔn),因此造成計算困難。

由于安全設(shè)備規(guī)則集較多,全面覆蓋往往不現(xiàn)實。在實踐中,通常以抽樣測試方法來統(tǒng)計誤報率,即隨機挑選事件庫中的部分事件,使用攻擊工具觸發(fā)這些事件,或以抓包工具對捕獲的包進行回放,分析報警結(jié)果,從而得出安全設(shè)備的誤報率。

基于深度學(xué)習(xí)技術(shù)的流量安全分析,降低誤報率

安博通網(wǎng)絡(luò)流量安全分析系統(tǒng)在傳統(tǒng)流量采集、流量分析、流量回溯的基礎(chǔ)上,集成自研的威脅情報技術(shù),并應(yīng)用深度學(xué)習(xí)技術(shù),降低誤報率。

深度學(xué)習(xí)技術(shù)是機器學(xué)習(xí)技術(shù)的一種,而機器學(xué)習(xí)是實現(xiàn)人工智能的必經(jīng)路徑。深度學(xué)習(xí)概念源于人工神經(jīng)網(wǎng)絡(luò)的研究,其通過組合低層特征形成更加抽象的高層表示屬性類別或特征,并以發(fā)現(xiàn)數(shù)據(jù)的分布式特征表示。研究深度學(xué)習(xí)的動機在于建立模擬人腦學(xué)習(xí)分析的神經(jīng)網(wǎng)絡(luò),它模擬人腦機制解釋數(shù)據(jù),如圖像、聲音、文本等。

基于深度學(xué)習(xí)的惡意文件、惡意URL、DGA域名等檢測技術(shù)無需沙箱環(huán)境,可以直接將樣本文件轉(zhuǎn)換為二維圖片,進而應(yīng)用改造后的卷積神經(jīng)網(wǎng)絡(luò)Inception V4進行訓(xùn)練和檢測。

Step 1:二進制文件轉(zhuǎn)換

將樣本文件初步處理后轉(zhuǎn)換為二進制文件,轉(zhuǎn)換后每個字節(jié)范圍在00-FF之間,對應(yīng)灰度圖像素在0-255之間(0為黑色,255為白色)。將二進制文件轉(zhuǎn)換為矩陣,矩陣又可以轉(zhuǎn)換為灰度圖。

Step 2:CNN圖像識別

單靠觀看很難區(qū)分惡意樣本與白樣本在紋理上存在的細微差異,采用成熟的CNN圖像識別算法可以進行圖像分類。

CNN(卷積神經(jīng)網(wǎng)絡(luò))是一類包含卷積計算且具有深度結(jié)構(gòu)的前饋神經(jīng)網(wǎng)絡(luò),是深度學(xué)習(xí)的代表算法之一。它的構(gòu)成包括:

· 輸入層(Input Layer)

用三維矩陣代表一張圖片,矩陣的長寬表示圖片的大小,矩陣的深度表示圖像的色彩通道,黑白為1 。

· 卷積層(Convolution Layer)

這一層的輸入是上一層神經(jīng)網(wǎng)絡(luò)的一小塊,它試圖對神經(jīng)網(wǎng)絡(luò)的每一小塊進行更深入分析,以得到抽象程度更高的特征。一般來說,本層處理后的結(jié)點矩陣深度會增加。

· 池化層(Pooling Layer)

不改變?nèi)S矩陣的深度,但能夠縮小矩陣的大小,達到減少參數(shù)的目的。可以看做是將分辨率較高圖片降低分辨率的過程。

· 全連接層(Fully Connecced)

經(jīng)過多輪卷積和池化后,經(jīng)過1-2個全連接層進行輸出??梢詫⒕矸e層、池化層看做特征提取,最后由本層進行分類。

· Softmax層

轉(zhuǎn)化為概率分布。

這一技術(shù)簡化了檢測流程,速度也優(yōu)于沙箱技術(shù),可將誤報率控制在10%以內(nèi),最低降至1%。

以下是最近一次惡意文件訓(xùn)練后在測試集上評估的結(jié)果:

· 各項指標(biāo)在97-98%左右,優(yōu)于以往模型。

· 表現(xiàn)較差的幾種格式,主要原因為正樣本中樣本數(shù)較少。

· dex是一種特殊的安卓文件格式,在負樣本中沒有收集到,導(dǎo)致測試結(jié)果可能偏向正樣本。

· rar、zip壓縮后對檢測有一定影響。

以下是DGA和惡意URL檢測在驗證集上的結(jié)果,可以看到誤報率最低降至1% (1-準(zhǔn)確率)。

創(chuàng)新提出全棧分析概念

安博通網(wǎng)絡(luò)流量安全分析系統(tǒng)集成了會話分析、WAF、IDS告警、威脅情報分析、未知威脅分析、全流量溯源、文件還原取證等功能,并創(chuàng)新性地提出了全棧分析概念。

除了基于深度學(xué)習(xí)從技術(shù)層面量化降低誤報率外,還可以從實際操作層出發(fā),根據(jù)實踐經(jīng)驗,應(yīng)用這些措施降低誤報率:

1、 應(yīng)用自研威脅情報 ,可實時更新離線庫,保障準(zhǔn)確率。

2、 應(yīng)用未知威脅分析 ,通過加白名單操作排除誤報。

3、 應(yīng)用異常流量檢測、網(wǎng)絡(luò)攻擊檢測 ,通過配置審計的精確IP,降低誤報率。

4、 應(yīng)用內(nèi)置的WAF功能 ,也可以通過減少配置審計的IP降低誤報率。

在技術(shù)發(fā)展日新月異的今天,將先進技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域,不斷提升產(chǎn)品功能精度,是安博通自主創(chuàng)新的不懈追求。未來,公司將繼續(xù)以人工智能技術(shù)賦能網(wǎng)絡(luò)安全產(chǎn)業(yè),切實保障在等保合規(guī)、紅藍對抗、日常運維中的安全需求 ,為各行業(yè)用戶創(chuàng)造安全業(yè)務(wù)價值新體驗。

關(guān)于安博通

北京安博通科技股份有限公司(簡稱“安博通”),是國內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商,2019年成為中國第一家登陸科創(chuàng)板的網(wǎng)絡(luò)安全企業(yè)。

其自主研發(fā)的ABT SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)平臺,已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)套件,是國內(nèi)眾多部委與央企安全態(tài)勢感知平臺的核心組件與數(shù)據(jù)引擎。

更多詳情,敬請查閱:www.abtnetworks.com

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全

相關(guān)文章

  • 2023 年 6 月頭號惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時,移動木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評選活動正式公布獲獎名單,華順信安與湘潭大學(xué)計算機學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報的參選案例獲評優(yōu)秀案例二等獎。本次活動由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時,在2023年一份針對我國電子郵件安全的第三方報告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報告顯示,勒索軟件在2022年同比增長13%,增幅超過過去五年綜合。更危險的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運營商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國網(wǎng)安產(chǎn)業(yè)成長之星

    6月21日,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機構(gòu)“數(shù)說安全”提供研究支持的“2023年中國網(wǎng)安產(chǎn)業(yè)競爭力50強、成長之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強勁的核心競爭力再次榮登“2023年中國網(wǎng)安產(chǎn)業(yè)成長之星”榜單。據(jù)悉,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦