浅析人工智能技术在网络安全领域中的应用

企业数字化转型浪潮的来临促使人工智能技术得到了企业的普遍关注和重视。人工智能技术发展至今已经广泛应用到图像识别、自然语言处理等领域,并取得了重大的突破。随着网络空间逐渐成为数字经济发展的基石,网络空间的攻击面也不断地延伸和拓展,网络空间攻防双方信息的不对称性现象愈发明显。伴随着攻防对抗态势的升级,人工智能技术成为网络安全技术发展的必然趋势之一。

基于可变长序列的恶意加密流量检测方法

引入组合恶意加密流量数据集,结合随机森林对各个特征的重要性进行对比,构建可变长二维特征序列,提出一种针对可变长序列的恶意加密流量检测方法.该方法采用双向门控循环单元-卷积神经网络(BiGRU-CNN)深度学习模型,通过引入掩码层,有效解决变长序列问题,能够同时提取流量数据中时间和空间的多重特征,最终实现对恶意加密流量的二分类检测.实验结果表明,该方法与基于卷积神经网络(CNN)、长短期记忆网络(LSTM)等单一模型相比,精确率、召回率和F 1值均有所提升,准确率达到94.61%.

用于小样本的网络安全领域信息抽取统一模型

互联网中的威胁情报与日俱增,各大网络安全平台趋于使用自动化手段抽取其中的重要信息.然而,过去的诸多研究对实体识别、关系抽取和事件抽取等任务分开建模,导致多模型管理成本高、数据量需求大、知识共享能力差等问题.为此,将统一式抽取应用到网络安全领域上,提出了一种网络安全领域信息抽取模型——MRC-UIE.同时,还对网络安全领域的实体构建、prompt模板设计和模型优化等内容进行了设计.最后,将MRC-UIE在多个网络安全数据集上进行测试.结果表明,MRC-UIE在83%的数据集上均有提升,其F1值优于单一抽取模型1%~3%,优于统一式抽取模型9%~14%.随后,将MRC-UIE在小样本上进行测试,发现模型仅需要10个样本就能得到较好效果,验证了MRC-UIE的小样本能力.

基于异构属性图的自动化攻击行为语义识别方法

当前安全运营人员面对的是海量的设备日志,需要根据其专家知识或经验来进行调查溯源,大大降低了安全运营的效率,同时也为安全运营设置了较高的知识门槛.为了解决这一问题,提出了一种基于异构属性图的自动化攻击行为语义识别方法,能够实现底层安全日志到上层攻击行为之间的映射.首先,利用异构图对系统日志进行威胁建模;然后,以攻击行为上下文为语义并结合知识图谱表示学习得到图中节点与边的向量表示;接着,利用层次聚类把相似的日志聚合到一起,从中找出最具代表性日志作为整个类的行为表示.最后,对该方法进行了实验验证,可以看出该方法在系统正常行为与恶意行为的识别上都具有较高的精度,可以大大提高安全运营的效率.

SimMal:基于异构图学习的恶意软件关联分析系统

随着恶意软件快速增长和传播,近年来网络安全生态面临极大威胁;同时不断发展的攻击技术,可以绕过安全防御系统的分析检测,对网络安全分析人员提出了新的挑战。传统的人工分析方式由于资源限制,即使借助自动化工具也难以挖掘恶意软件潜在的攻击载体和技术,发现恶意软件之间的共性。设计了一种恶意软件关联分析系统SimMal,通过异构图的方式清晰地展示恶意软件、恶意行为、攻击技术和利用漏洞等多种维度间的关联;同时基于异构图表示学习算法预测恶意软件关联的恶意软件家族和APT(高级持续威胁)组织,协助分析人员提前发现恶意软件相关的风险和意图并做出预先防御。该系统目前已应用在现网真实的恶意软件数据集上,实验结果验证了恶意软件家族分类和APT组织溯源分析的有效性。

纯IPv6网络环境下的应用互通技术研究

在向下一代互联网的转换中,使用户能够无感知地使用IPv6是一个理想的目标,而这需要网络运营商、网络内容提供商、网络设备提供商、终端厂商、互联网应用公司五方的共同合作。本研究聚焦于互联网过渡到纯IPv6环境下用户工作的情况,从过渡技术及相关机制、访问场景、应用需求等方面对纯IPv6网络应用互通进行了初步的理论性研究。在中国科技网网络环境中,构建了一个能与IPv4网络应用互通的纯IPv6实验网络环境,对不同访问机制下的主流互联网络商业应用进行测试和评价,验证了我们的研究结论的有效性。