孫敬

（鄭州工業(yè)應(yīng)用技術(shù)學(xué)院信息工程學(xué)院 河南省鄭州市 451100）

網(wǎng)絡(luò)安全的概念范圍相對是比較寬的，在百度百科這個方面，對網(wǎng)絡(luò)安全的定義比較獨特。一般指網(wǎng)絡(luò)系統(tǒng)硬件以及軟件以及系統(tǒng)里一些受到保護的數(shù)據(jù)等，不會因為一些比較特殊的原因，或是具有針對性的原因受到破壞。系統(tǒng)必須要更加連續(xù)的，并且始終保持穩(wěn)定來進行運行，網(wǎng)絡(luò)服務(wù)也不能中斷，一般情況下，會將計算機的網(wǎng)絡(luò)所面臨安全性這方面的威脅可以分為被動攻擊還有主動攻擊。被動攻擊一般指攻擊者通過網(wǎng)絡(luò)上的一些手段，對別人的通信內(nèi)容偷聽，這樣的攻擊也可以被稱為截獲。被動攻擊也可以被稱作流量分析，主要指在進行被動攻擊的時候，攻擊者對某一個比較特殊的協(xié)議數(shù)據(jù)單元進行觀察和分析，為了達(dá)到交換數(shù)據(jù)的要求和目的，會干擾到信息流。而主動攻擊主要指的就是故意對網(wǎng)絡(luò)上面所傳送的報文進行篡改，以及一些惡意的程序和拒絕服務(wù)等。一般情況下后者主要指的是攻擊者朝著網(wǎng)絡(luò)上的某一個服務(wù)器進行分組攻擊，使這個服務(wù)器難以提供服務(wù)，甚至?xí)?dǎo)致這個服務(wù)器徹底癱瘓。而機器學(xué)習(xí)有可能會被認(rèn)為是一組，可以使用經(jīng)驗數(shù)據(jù)對系統(tǒng)性能改善的算法集合。本文主要討論了在機器學(xué)習(xí)技術(shù)網(wǎng)絡(luò)安全角度方面的學(xué)習(xí)過程中的使用流程。機器學(xué)習(xí)在網(wǎng)絡(luò)安全的探索過程當(dāng)中，應(yīng)用流程主要包括有抽象以及安全特征提取等幾個階段，在使用流程中，每一個階段都是無法相互獨立存在的，彼此之間有可能會存在一些聯(lián)系。

1 機器學(xué)習(xí)的概述

機器學(xué)習(xí)是人工智能最核心的內(nèi)容，一般情況下，主要是為了模擬人類的行為而存在。通過學(xué)習(xí)的辦法，讓計算機可以獲取更多的技能以及知識，使其變得更加聰明和智能，并且完成組織結(jié)構(gòu)方面的優(yōu)化，讓機器學(xué)習(xí)可以成為一種非常智能化的過程。怎樣才能夠讓機器擁有其特定的學(xué)習(xí)行為，對于這一點，不同的學(xué)者其各自所探索的內(nèi)容是不一樣的，總之，機器學(xué)習(xí)和推理過程相互之間的關(guān)系非常緊密，這一點獲得了大部分人的認(rèn)同。所以，可以把機器學(xué)習(xí)的策略分成幾個不同的板塊，機器學(xué)習(xí)所涉及到的范圍是非常廣的，主要是在很多種知識以及技術(shù)的交叉作用之下的一種結(jié)果。很多專業(yè)的學(xué)科都涉及的其中，對機器學(xué)習(xí)分類可以分為以下幾個模塊，首先是在學(xué)習(xí)策略分類的基礎(chǔ)上來進行分類?？梢苑殖蓹C械學(xué)習(xí)以及示教學(xué)習(xí)，還有類比學(xué)習(xí)和基于解釋的學(xué)習(xí)等。其次是在獲取知識以及表示形式方面分類的?？梢苑殖纱鷶?shù)表達(dá)式參數(shù)以及圖和網(wǎng)絡(luò)，還有多種表示形式組合等。再次就是根據(jù)應(yīng)用的領(lǐng)域來分類，可以分成自然語言以及圖像識別，還有知識模擬等。以及綜合分類可以分成經(jīng)驗性的歸納學(xué)習(xí)和分析學(xué)習(xí)，還有類比學(xué)習(xí)等[1]。

2 機器學(xué)習(xí)在網(wǎng)絡(luò)安全中應(yīng)用的意義

2.1 面向具體任務(wù)

在面向具體任務(wù)的時候，主要需要對其中的特定任務(wù)，以及執(zhí)行性能的學(xué)習(xí)系統(tǒng)進行分析和探索[2]。

2.2 認(rèn)知模型

認(rèn)知模型主要需要考察以及理解的，是人類學(xué)習(xí)的過程，并且要對整個學(xué)習(xí)過程進行計算機類的模擬。

2.3 理論研究

主要指的是在理論方面對各種不同的機器學(xué)習(xí)方法以及比較通用的機器學(xué)習(xí)方法進行考察。

2.4 機器學(xué)習(xí)本質(zhì)

通過對機器學(xué)習(xí)本質(zhì)情況進行分析，不難發(fā)現(xiàn)這是一種在大數(shù)據(jù)比較集中的情況下，引入一些數(shù)學(xué)類的基數(shù)。來構(gòu)建整個機器行為的模型，并且通過不斷地輸入一些新的數(shù)據(jù)資料，讓機器能夠全面的分析各個不同時段的數(shù)據(jù)，并且在其運算的基本條件下，對未來進行一系列的科學(xué)預(yù)測。根據(jù)機器學(xué)習(xí)在網(wǎng)絡(luò)安全過程當(dāng)中的應(yīng)用意義，不難發(fā)現(xiàn)，這方面主要體現(xiàn)為機器的學(xué)習(xí)是在自身能力，相對比較強的數(shù)據(jù)分析能力的基礎(chǔ)上進行的，在實際應(yīng)用的時候，可以讓用戶更加有效地及時回應(yīng)網(wǎng)絡(luò)安全的事件。特別是在有一些團隊的安全技能明顯有所缺陷的情況下，可以使用自動執(zhí)行的方式，來代替團隊執(zhí)行，完成一些比較瑣碎的系統(tǒng)安全類的任務(wù)，這種方式可以真正的保障用戶在使用過程當(dāng)中的網(wǎng)絡(luò)安全。而機器學(xué)習(xí)和傳統(tǒng)電子產(chǎn)品相互結(jié)合起來，可以清除在產(chǎn)品里面的一些惡意軟件，達(dá)到使整個產(chǎn)品的安全系數(shù)提升，并且可以運行得更加穩(wěn)定的目的。

3 常用的網(wǎng)絡(luò)安全研究

3.1 惡意軟件檢測技術(shù)

目前，在我國的軟網(wǎng)民使用軟件的時候，網(wǎng)絡(luò)安全方面最重要的威脅之一就是惡意軟件，如果沒有通過授權(quán)的情況下，惡意軟件會自動運行并且安裝于系統(tǒng)里，為了可以這樣達(dá)到一些不正當(dāng)目的，早期有很多惡意軟件是比較常見的計算機病毒，而惡意軟件檢測也只是對病毒進行掃描。但是目前的信息技術(shù)變得更加發(fā)達(dá)，而軟件技術(shù)也獲得了很大的提升，惡意軟件也已經(jīng)擴大了經(jīng)營范圍，不僅僅只是局限在一些計算機病毒的方面甚至?xí)霈F(xiàn)很多比較新的惡意軟件。比如特征碼技術(shù)以及駐留式軟件技術(shù)和虛擬機技術(shù)等。時間保留最久，而且目前依然會使用到的就是第一種技術(shù)。特征碼的技術(shù)主要是指，在對病毒樣本提煉獲取之后，將其中的一些特征值分析出來，然后，通過對特征值的關(guān)注來掃描計算機當(dāng)中的各個文件或是內(nèi)存系統(tǒng)，一旦發(fā)現(xiàn)比較類似的特征，那么很有可能就已經(jīng)感染了病毒。隨著病毒的技術(shù)在發(fā)展，虛擬機也已經(jīng)受到了人們的廣泛關(guān)注。通過虛擬機可以虛擬一些相對較為典型的運行環(huán)境，讓病毒可以在這樣的環(huán)境下運行，之后再對執(zhí)行情況檢查[3]。

3.2 入侵檢測技術(shù)

入侵檢測主要指的是一種，對想要入侵或是已經(jīng)開始了入侵行為，甚至已經(jīng)完成了入侵的整個行為的識別過程。在盡量避免影響網(wǎng)絡(luò)性能的狀況下，要及時監(jiān)測網(wǎng)絡(luò)，并且要收集在計算機網(wǎng)絡(luò)或是系統(tǒng)里的一些關(guān)鍵的信息，對這些信息完成分析。通過分析類似信息可以知道是否會存在被攻擊的情況。目前可以把入侵檢測的方法分成特異檢測和異常檢測這兩種不同的方法。特性檢測也可以被叫做誤用檢測，是一種可以把已知的入侵通過一種典型的模式所表現(xiàn)出來，把這種入侵形成網(wǎng)絡(luò)特征的數(shù)據(jù)庫，之后，再使用網(wǎng)絡(luò)特征數(shù)據(jù)庫里面的特征，將其和輸入帶的分析數(shù)據(jù)來源相互進行比較，如果發(fā)現(xiàn)了能夠匹配的特征，可以證明攻擊已經(jīng)發(fā)生過一次。而異常檢測不必對相對較大的網(wǎng)絡(luò)攻擊特征庫，只用收集一些相對較為正常的活動規(guī)律，將其需要檢測的活動進行收集，和正?；顒右?guī)律比較，一些比較典型的明顯違反了正常規(guī)律的行為，就是入侵[4]。

4 機器學(xué)習(xí)在網(wǎng)絡(luò)安全研究中的應(yīng)用

4.1 機器學(xué)習(xí)在入侵檢測中的應(yīng)用

分類學(xué)習(xí)當(dāng)中的一些分類方法，主要是為了確定需要分析的數(shù)據(jù)里的哪一種對象從屬于哪一個預(yù)定的目標(biāo)類，在進行入侵檢測的時候，可以應(yīng)用機器學(xué)習(xí)的分類方法，把入侵檢測看作是一種比較重要的分類問題，主要目標(biāo)是把需要檢測的元數(shù)據(jù)分成正?；顒右约叭肭只顒?。在機器學(xué)習(xí)里分類方法的基礎(chǔ)上，整個入侵過程可以分成以下幾種不同的別類，首先，要使用一些含有比較正常的數(shù)據(jù)，和一些具有入侵行為的順序?？梢詫⑦@些數(shù)據(jù)當(dāng)做是訓(xùn)練的模型，使用分類算法的方式對其進行學(xué)習(xí)，并且可以合理地建立分類模型。分類模型能夠有效的進行轉(zhuǎn)換，使其識別比較正常的活動，讓不同的入侵行為能夠更加明顯被發(fā)現(xiàn)。之后使用類似規(guī)則，對待檢測數(shù)據(jù)進行分析判斷，并且完成分類，了解這些數(shù)據(jù)是市場活動又或者是入侵行為。機器學(xué)習(xí)當(dāng)中的分類方法，能夠在一些比較繁雜的審計數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)里抽取出來，充分對網(wǎng)絡(luò)連接還有主機繪畫的特征來進行描述的部分選取分類模型，了解在一些需要檢測數(shù)據(jù)當(dāng)中所隱藏的入侵行為的分類規(guī)則。機器學(xué)習(xí)最重要的分類方法，已經(jīng)在入侵檢測中獲得相對比較廣泛的使用，決策樹和支持向量機以及人工網(wǎng)神經(jīng)網(wǎng)絡(luò)等，這些都是相對較有經(jīng)典的分類方式，目前幾乎都已經(jīng)被使用在入侵的檢測里[5]。

4.2 機器學(xué)習(xí)在惡意軟件檢測的應(yīng)用

這些年來產(chǎn)生了很多在機器學(xué)習(xí)算法基本條件下的一些惡意軟件的檢測成果。機器學(xué)習(xí)可以被大批量的應(yīng)用在一些檢測惡意軟件的方面。并且也已經(jīng)取得了比較有效的突破。目前有很多工作人員將機器學(xué)習(xí)技術(shù)應(yīng)用在了對惡意軟件檢測方面，比如分類計數(shù)等就比較成熟。分類技術(shù)一般情況下主要指在檢測惡意軟件的時候，對已知惡意軟件還有一些比較正常的樣本數(shù)據(jù)學(xué)習(xí)，使用相對較為合理的方式，建立惡意軟件分類模型，之后再通過類似的模型，監(jiān)測位置文件判斷這個軟件是否為惡意軟件。在一些以分類技術(shù)為條件的檢測過程中，包括有兩個相對教育特殊的步驟，首先就是訓(xùn)練針對惡意軟件的分類模型，其次是檢測惡意軟件。在對惡意軟件分類模型訓(xùn)練的過程中，首先，需要在文本的訓(xùn)練樣本當(dāng)中提取出其特征之后，建立起一個數(shù)據(jù)庫使用相對較為確定的機器學(xué)習(xí)類的算法。對惡意軟件的分類模型進行訓(xùn)練，再將分類模型生成之后，把檢測樣本當(dāng)中的一些特征數(shù)據(jù)提取出來，構(gòu)建出一個相對較為全面的文本樣本方面的檢測數(shù)據(jù)集。和已經(jīng)訓(xùn)練過后的惡意軟件的分類模型相互結(jié)合，對數(shù)據(jù)集進行分類檢測，然后再得到檢測結(jié)果，并且在進行機器學(xué)習(xí)的時候，使用決策樹的分類算法等，在惡意軟件檢測里都被成功的使用[6]。

5 結(jié)束語

綜上所述，目前的網(wǎng)絡(luò)空間方面的發(fā)展是非常迅速的，目前有很多問題都需要理解決。這些網(wǎng)絡(luò)安全應(yīng)用的需要，相對較為急切，這也讓工作人員持續(xù)把比較經(jīng)典的算法，使用在網(wǎng)絡(luò)安全方面的領(lǐng)域。在機器學(xué)習(xí)的技術(shù)基礎(chǔ)上，網(wǎng)絡(luò)安全所探索出來的成果也已經(jīng)持續(xù)出現(xiàn)在了一些較為專業(yè)的報道當(dāng)中，這些成果可以解決目前在網(wǎng)絡(luò)安全方面的很多問題。特別是一些機器學(xué)習(xí)類的算法，都能夠比較明顯的擁有可以解決網(wǎng)安全問題的突出的能力。當(dāng)然，這些技術(shù)方案目前很難完全滿足對網(wǎng)絡(luò)安全方面的一些需求，所以工作人員必須對其進行探索，使用機器學(xué)習(xí)技術(shù)，仍然是一個具有一定難度的工作在盡量解決安全問題的過程中，機器學(xué)習(xí)本身的難點也是比較顯著的，因此怎樣才能夠挑選一個更加合理的方式，利用計算機器學(xué)習(xí)算法，解決網(wǎng)絡(luò)安全問題，需要相關(guān)人員更多的探索，使其獲得更多提升。