王郁夫, 李沛辰, 易 波, 王興偉*

(東北大學(xué) a.計(jì)算機(jī)科學(xué)與工程學(xué)院； b.軟件學(xué)院， 遼寧 沈陽 110169)

1 研究背景

1969年以來，互聯(lián)網(wǎng)伴隨著人類已經(jīng)發(fā)展了半個(gè)多世紀(jì)，從最初的軍用網(wǎng)絡(luò)ARPANET到如今的萬維網(wǎng)，互聯(lián)網(wǎng)已經(jīng)滲透到了我們生活中的方方面面.據(jù)《Digital 2021 Global Overview Report》[1]統(tǒng)計(jì)，全球互聯(lián)網(wǎng)使用人數(shù)已經(jīng)達(dá)到46.6億，普及率達(dá)到59.5%.在生活中，人們只需要打開自己的網(wǎng)絡(luò)設(shè)備，敲動(dòng)指尖點(diǎn)擊屏幕，就隨時(shí)可以盡情享受從溝通交流到衣食住行的全方位服務(wù).不僅如此，自從20世紀(jì)以來，互聯(lián)網(wǎng)領(lǐng)導(dǎo)的信息技術(shù)革命正在不斷推動(dòng)世界經(jīng)濟(jì)的快速發(fā)展.以中國的經(jīng)濟(jì)水平為例，根據(jù)《中國數(shù)字經(jīng)濟(jì)發(fā)展白皮書(2020)》[2]統(tǒng)計(jì)，在2005年，我國數(shù)字經(jīng)濟(jì)占GDP僅為14.2%，但2019年，這一數(shù)字上升至36.2%，數(shù)字經(jīng)濟(jì)已經(jīng)成為國家經(jīng)濟(jì)發(fā)展的最大動(dòng)力.同時(shí)，隨著2020年以來新冠肺炎疫情在全球范圍的爆發(fā)，互聯(lián)網(wǎng)支持的“數(shù)字經(jīng)濟(jì)”更是成為對(duì)沖疫情的影響、重塑經(jīng)濟(jì)結(jié)構(gòu)體系、增強(qiáng)治理水平的重要推動(dòng)力.我國最新發(fā)布的《世界互聯(lián)網(wǎng)發(fā)展報(bào)告2020》[3]指出，在新冠疫情沖擊全球經(jīng)濟(jì)社會(huì)發(fā)展的大環(huán)境下，數(shù)字經(jīng)濟(jì)被視為全球經(jīng)濟(jì)復(fù)蘇新引擎.在未來，世界各國應(yīng)該大力推進(jìn)以5G、人工智能、物聯(lián)網(wǎng)等為代表的信息基礎(chǔ)設(shè)施建設(shè)，數(shù)字技術(shù)的快速發(fā)展，帶動(dòng)了產(chǎn)業(yè)深度融合.

隨著互聯(lián)網(wǎng)衍生的數(shù)字經(jīng)濟(jì)的高速發(fā)展，網(wǎng)絡(luò)安全逐漸成為現(xiàn)代社會(huì)萬物互聯(lián)和技術(shù)發(fā)展過程中愈發(fā)明顯的治理難題，也逐漸受到世界各國的重視.網(wǎng)絡(luò)安全不只是通信行業(yè)的問題，已經(jīng)逐漸輻射到社會(huì)、經(jīng)濟(jì)、軍事等更為重要的領(lǐng)域.盡管世界各國都在不斷強(qiáng)化網(wǎng)絡(luò)安全技術(shù)，增大網(wǎng)絡(luò)安全領(lǐng)域的投入力度，但網(wǎng)絡(luò)安全技術(shù)的發(fā)展仍舊落后于惡意使用網(wǎng)絡(luò)技術(shù)的步伐，網(wǎng)絡(luò)威脅的發(fā)生頻率、惡劣影響和防護(hù)的復(fù)雜性都在不斷升級(jí).令人激動(dòng)的是，近年來，隨著人工智能的發(fā)展，人工智能技術(shù)在網(wǎng)絡(luò)安全的應(yīng)用上給人們提供了一種新的解決網(wǎng)絡(luò)安全威脅的可行方法.人工智能技術(shù)擁有類人的邏輯能力，能夠使機(jī)器實(shí)現(xiàn)對(duì)物理世界的認(rèn)知并實(shí)現(xiàn)自主決策，其內(nèi)在邏輯是通過數(shù)據(jù)輸入理解世界，或通過傳感器感知環(huán)境，然后運(yùn)用模式識(shí)別實(shí)現(xiàn)數(shù)據(jù)的分類、聚類、回歸等分析，并據(jù)此做出最優(yōu)的決策推薦.進(jìn)一步地，當(dāng)人工智能運(yùn)用到網(wǎng)絡(luò)安全領(lǐng)域時(shí)，機(jī)器自動(dòng)化和機(jī)器學(xué)習(xí)等技術(shù)能有效且高效地幫助人類預(yù)測(cè)、感知和識(shí)別安全風(fēng)險(xiǎn)，快速檢測(cè)定位危險(xiǎn)來源，分析安全問題產(chǎn)生的原因和危害方式，綜合智慧大腦的知識(shí)庫判斷并選擇最優(yōu)策略，采取緩解措施或抵抗威脅，甚至提供進(jìn)一步緩解和修復(fù)的建議.這個(gè)過程不僅將人們從繁重、耗時(shí)、復(fù)雜的任務(wù)中解放出來，面對(duì)不斷變化的風(fēng)險(xiǎn)環(huán)境、異常的攻擊威脅形態(tài)比人更快、更準(zhǔn)確，綜合分析的靈活性和效率也更高.

因此，為了推進(jìn)網(wǎng)絡(luò)安全技術(shù)研究的發(fā)展，本文主要總結(jié)人工智能技術(shù)在網(wǎng)絡(luò)安全問題中的應(yīng)用所帶來的賦能效果，重點(diǎn)介紹了網(wǎng)絡(luò)安全領(lǐng)域使用的機(jī)器學(xué)習(xí)和深度學(xué)習(xí)方法及其描述，旨在幫助那些希望開始研究機(jī)器學(xué)習(xí)和深度學(xué)習(xí)技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域的研究者們進(jìn)行總體的調(diào)研.本文中，首先對(duì)現(xiàn)今網(wǎng)絡(luò)環(huán)境中的安全問題進(jìn)行介紹并按照其特點(diǎn)進(jìn)行基礎(chǔ)分類.進(jìn)而，介紹了人工智能領(lǐng)域的主流技術(shù)和模型，并結(jié)合上述安全問題的分類舉例說明這些技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用.在調(diào)研中，主要統(tǒng)計(jì)了近5年該領(lǐng)域中的研究工作，確保在每一個(gè)網(wǎng)絡(luò)安全分類介紹中都包含機(jī)器學(xué)習(xí)或深度學(xué)習(xí)中各種基于主流模型衍生來的優(yōu)秀的研究工作.最后，對(duì)現(xiàn)階段人工智能技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用給出了總結(jié)，并提出了其在未來的網(wǎng)絡(luò)安全應(yīng)用中的風(fēng)險(xiǎn)與挑戰(zhàn).

2 網(wǎng)絡(luò)安全定義與分類

2.1 網(wǎng)絡(luò)安全定義

近年來，用于討論數(shù)字設(shè)備及信息安全性方面的術(shù)語發(fā)生了很大的變化.21世紀(jì)初，在這種語境下經(jīng)常使用的術(shù)語是計(jì)算機(jī)安全、IT安全或信息安全.然而，隨著時(shí)間的推移，網(wǎng)絡(luò)安全這個(gè)新的術(shù)語開始變得越來越流行.搜索詞“計(jì)算機(jī)安全和信息安全”的數(shù)量在穩(wěn)步下降，而和“網(wǎng)絡(luò)安全”有關(guān)的各種變體正在超越它們.

雖然網(wǎng)絡(luò)安全是一個(gè)被廣泛使用的術(shù)語，但是其定義變化很大，主觀性較強(qiáng).到目前為止，網(wǎng)絡(luò)安全并沒有一個(gè)通用的、被普遍接受的定義.文獻(xiàn)[4]通過研究現(xiàn)有的、由權(quán)威提供的網(wǎng)絡(luò)安全定義，基于各種詞匯和語義分析技術(shù)，試圖更好地理解這些定義的范圍、語境以及相關(guān)性.最終，基于所進(jìn)行的分析，提出了一個(gè)改進(jìn)的更具代表性的定義：組織和國家為保護(hù)網(wǎng)絡(luò)空間中使用的數(shù)據(jù)和資產(chǎn)的機(jī)密性、完整性和可用性而遵循的與安全風(fēng)險(xiǎn)管理流程相關(guān)的方法和行動(dòng).該概念包括指導(dǎo)方針、政策、保障措施、技術(shù)、工具以及培訓(xùn)的集合，為網(wǎng)絡(luò)環(huán)境及其用戶的狀態(tài)提供最佳保護(hù).

2.2 網(wǎng)絡(luò)安全分類

網(wǎng)絡(luò)安全是一個(gè)龐大的研究領(lǐng)域，涉及到方方面面的技術(shù)，通過結(jié)合近年來對(duì)人工智能和網(wǎng)絡(luò)安全的相關(guān)研究文獻(xiàn)[5-8]，綜合考慮其研究結(jié)果，以及本文在Web of Science、Google Scholar、知網(wǎng)等平臺(tái)上的檢索統(tǒng)計(jì)結(jié)果，選出了4個(gè)最受關(guān)注的研究方向，分別是網(wǎng)絡(luò)入侵、惡意軟件、網(wǎng)絡(luò)釣魚和垃圾郵件.下面對(duì)這些方向進(jìn)行簡要的介紹.

2.2.1 網(wǎng)絡(luò)入侵

網(wǎng)絡(luò)入侵是指任何未經(jīng)授權(quán)的訪問、操縱、修改或破壞信息的嘗試，或遠(yuǎn)程使用計(jì)算機(jī)系統(tǒng)發(fā)送垃圾郵件、進(jìn)行黑客攻擊或修改其他計(jì)算機(jī)的行為.入侵檢測(cè)系統(tǒng)(IDS)智能地監(jiān)視計(jì)算資源中發(fā)生的活動(dòng)，例如網(wǎng)絡(luò)流量和計(jì)算機(jī)使用情況，以分析事件并生成應(yīng)對(duì)措施.IDS通常監(jiān)視和分析用戶和系統(tǒng)活動(dòng)，訪問系統(tǒng)和數(shù)據(jù)的完整性，識(shí)別惡意活動(dòng)模式，對(duì)入侵產(chǎn)生反應(yīng)，并報(bào)告檢測(cè)結(jié)果.

根據(jù)檢測(cè)原理，文獻(xiàn)[9]將網(wǎng)絡(luò)入侵檢測(cè)分為以下3個(gè)方面:誤用/簽名檢測(cè)、異常檢測(cè)和混合檢測(cè)等.

(1)誤用/簽名檢測(cè)

誤用檢測(cè)又稱簽名檢測(cè)，是一種已知網(wǎng)絡(luò)誤用發(fā)生時(shí)產(chǎn)生警告的入侵檢測(cè)方法.簽名檢測(cè)技術(shù)度量輸入事件和已知入侵簽名之間的相似性.它標(biāo)記與預(yù)定義的入侵模式有相似之處的行為.因此，已知的攻擊類型可以立即被檢測(cè)到，但是簽名檢測(cè)不能檢測(cè)新的攻擊.

(2)異常檢測(cè)

當(dāng)被檢測(cè)對(duì)象的行為與預(yù)定義的正常模式有顯著差異時(shí)，異常檢測(cè)將觸發(fā)警告.因此，異常檢測(cè)技術(shù)被設(shè)計(jì)用于檢測(cè)與預(yù)期的正常模型相偏離的行為.在網(wǎng)絡(luò)安全中，異常檢測(cè)包括檢測(cè)惡意活動(dòng)，例如滲透和拒絕服務(wù).該方法通常包括訓(xùn)練和檢測(cè)兩個(gè)步驟.在訓(xùn)練步驟中，機(jī)器學(xué)習(xí)技術(shù)用于在沒有攻擊的情況下生成正常模式的描述；在檢測(cè)步驟中，如果事件記錄明顯偏離正常的模式，則將輸入事件標(biāo)記為攻擊[10].

(3)混合檢測(cè)

大多數(shù)IDS要么采用誤用檢測(cè)技術(shù)，要么采用異常檢測(cè)技術(shù).這兩種方法都存在缺陷：誤用檢測(cè)技術(shù)缺乏檢測(cè)未知入侵的能力；異常檢測(cè)技術(shù)通常產(chǎn)生很高的虛報(bào)率.為了改進(jìn)入侵檢測(cè)技術(shù)，研究人員提出了混合檢測(cè)技術(shù)，將異常檢測(cè)和誤用檢測(cè)技術(shù)結(jié)合在入侵檢測(cè)中.

2.2.2 惡意軟件

惡意軟件是一種通過傳播滲透到計(jì)算機(jī)系統(tǒng)，破壞其安全性、完整性和功能性的軟件.不同類型的惡意軟件包括病毒、蠕蟲、木馬、后門、間諜軟件、僵尸網(wǎng)絡(luò)等.隨著互聯(lián)網(wǎng)用戶的日益普及，惡意軟件對(duì)計(jì)算機(jī)系統(tǒng)的安全構(gòu)成了嚴(yán)重威脅[11-12].

一般來說，惡意軟件檢測(cè)技術(shù)被分為3類: 靜態(tài)的、動(dòng)態(tài)的和混合的.靜態(tài)方法分解和分析源代碼而不執(zhí)行它.雖然速度很快，但是會(huì)產(chǎn)生很高的假陽性率.此外，無法檢測(cè)到混淆的惡意軟件.動(dòng)態(tài)分析技術(shù)在監(jiān)視虛擬環(huán)境中執(zhí)行代碼相互作用的同時(shí)，消耗了大量的時(shí)間和內(nèi)存資源，而混合方法則利用了靜態(tài)和動(dòng)態(tài)方法的優(yōu)點(diǎn).

2.2.3 網(wǎng)絡(luò)釣魚

在網(wǎng)絡(luò)安全領(lǐng)域，釣魚是一種犯罪性欺詐過程，通過在電子通信中偽裝成一個(gè)可信賴的實(shí)體，試圖獲取敏感信息，如用戶名、密碼和信用卡信息.網(wǎng)絡(luò)釣魚一般是通過電子郵件或即時(shí)通訊進(jìn)行的，通常會(huì)讓用戶在一個(gè)外觀和感覺幾乎與合法網(wǎng)站相同的虛假網(wǎng)站上輸入詳細(xì)信息.網(wǎng)絡(luò)釣魚是社會(huì)工程技術(shù)的一個(gè)例子，利用當(dāng)前網(wǎng)絡(luò)安全技術(shù)的低可用性來欺騙用戶.

2.2.4 垃圾郵件

垃圾郵件是指未經(jīng)請(qǐng)求就通過電子郵件大量發(fā)送的信息.大多數(shù)垃圾郵件本質(zhì)上是商業(yè)性的.但是，無論其是否商業(yè)化，垃圾郵件中的許多網(wǎng)站不僅令人厭煩，而且還很危險(xiǎn)，因?yàn)樗鼈兛赡馨溄?，?dǎo)向釣魚網(wǎng)站或包含惡意軟件的網(wǎng)站，或包含惡意軟件作為文件附件.垃圾郵件發(fā)送者從聊天室、網(wǎng)站、客戶列表、新聞組和獲取用戶地址的病毒中收集電子郵件地址，這些收集到的電子郵件地址有時(shí)也會(huì)賣給其他垃圾郵件發(fā)送者.

3 人工智能技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

“人工智能”這一詞語最早起源于1956年8月，約翰·麥卡錫、馬文·閔斯基、克勞德·香農(nóng)等在美國達(dá)特茅斯學(xué)院的會(huì)議中對(duì)人工智能給出了最初的定義：“用機(jī)器來模仿人類學(xué)習(xí)以及其他方面的智能”.從90年代開始，物理計(jì)算能力的提升使得人工智能迎來了飛速發(fā)展，到了現(xiàn)在，互聯(lián)網(wǎng)技術(shù)的成熟、大數(shù)據(jù)、云計(jì)算等支撐技術(shù)的完善讓人工智能的發(fā)展變得越來越快，人工智能帶來的強(qiáng)大學(xué)習(xí)和計(jì)算能力正不斷被應(yīng)用于網(wǎng)絡(luò)態(tài)勢(shì)分析、計(jì)算機(jī)視覺、語音識(shí)別，自然語言處理等多種領(lǐng)域.近年來，人工智能技術(shù)也被廣泛應(yīng)用于網(wǎng)絡(luò)安全防護(hù)中，能夠很好地解決網(wǎng)絡(luò)入侵、惡意軟件、網(wǎng)絡(luò)釣魚和垃圾郵件等方面的問題.在本節(jié)中，首先將網(wǎng)絡(luò)安全中應(yīng)用的人工智能基礎(chǔ)技術(shù)進(jìn)行分類，重點(diǎn)介紹其中的機(jī)器學(xué)習(xí)和深度學(xué)習(xí)方法，進(jìn)而，針對(duì)網(wǎng)絡(luò)安全中不同的常見問題，對(duì)近年來相關(guān)工作中的解決方案和帶來的賦能效果進(jìn)行系統(tǒng)性的總結(jié).

3.1 傳統(tǒng)機(jī)器學(xué)習(xí)賦能網(wǎng)絡(luò)安全

本文將傳統(tǒng)的機(jī)器學(xué)習(xí)劃分為3類，分別是決策樹類機(jī)器學(xué)習(xí)方法、基于貝葉斯類的機(jī)器學(xué)習(xí)方法以及基于聚類的機(jī)器學(xué)習(xí)方法，進(jìn)而整體上介紹傳統(tǒng)的機(jī)器學(xué)習(xí)方法對(duì)網(wǎng)絡(luò)安全的賦能應(yīng)用.

機(jī)器學(xué)習(xí)中的“決策樹”能夠通過對(duì)歷史數(shù)據(jù)的分析，實(shí)現(xiàn)對(duì)求得目標(biāo)的分類或預(yù)測(cè).決策樹代表的是對(duì)象屬性與對(duì)象值之間的一種映射關(guān)系.貝葉斯思想被總結(jié)為一種條件概率，即在事件B發(fā)生的情況下，事件A發(fā)生的概率.在20世紀(jì)后，樸素貝葉斯思想被廣泛應(yīng)用于機(jī)器學(xué)習(xí)的決策中，首先在不完全情報(bào)下，對(duì)部分未知的狀態(tài)用主觀概率估計(jì)，然后用貝葉斯公式對(duì)發(fā)生概率進(jìn)行修正，最后再利用期望值和修正概率做出最優(yōu)決策.聚類是機(jī)器學(xué)習(xí)中一種重要的無監(jiān)督訓(xùn)練算法，可以將數(shù)據(jù)點(diǎn)整合為一系列特定的組合.理論上分為同一類別的數(shù)據(jù)點(diǎn)具有相同的特征，而不同類別的數(shù)據(jù)點(diǎn)具有不同的屬性.網(wǎng)絡(luò)安全問題可以抽象映射為機(jī)器學(xué)習(xí)可以解決的問題，將機(jī)器學(xué)習(xí)應(yīng)用到網(wǎng)絡(luò)安全已成為近年來安全領(lǐng)域的研究熱點(diǎn).

(1)網(wǎng)絡(luò)入侵

Panigrahi等[13]提出了一種基于c4.5的入侵檢測(cè)系統(tǒng)，該系統(tǒng)基于目前流行的統(tǒng)一樹構(gòu)造(CTC)算法，能夠有效地處理類別不平衡的數(shù)據(jù).已經(jīng)提出了一種稱為監(jiān)督相對(duì)隨機(jī)采樣(SRRS)的隨機(jī)采樣機(jī)制的改進(jìn)版本，用于在檢測(cè)器預(yù)處理階段從高級(jí)不平衡數(shù)據(jù)集中生成平衡樣本.實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)在NSL-KDD數(shù)據(jù)集和CICIDS2017數(shù)據(jù)集上有很高的檢測(cè)精度.

移動(dòng)自組織網(wǎng)絡(luò)中節(jié)點(diǎn)的動(dòng)態(tài)特性給網(wǎng)絡(luò)帶來了安全問題，大多數(shù)入侵檢測(cè)方法都在能量消耗方面取得了較好的檢測(cè)效果，但信任仍然是一個(gè)重要因素.Veeraiah等[14]提出了一種信任感知模糊聚類和模糊樸素貝葉斯(Trust-aware fuzzy clus-fuzzy NB)的自組網(wǎng)入侵檢測(cè)方案，模糊樸素貝葉斯通過節(jié)點(diǎn)信任表確定節(jié)點(diǎn)中的入侵行為.仿真實(shí)驗(yàn)在存在和不存在節(jié)點(diǎn)攻擊的情況下進(jìn)行分析，并基于時(shí)延、能量、檢測(cè)率和吞吐量等指標(biāo)對(duì)所提方法進(jìn)行了驗(yàn)證，仿真結(jié)果表明了所提方法的有效性.

數(shù)據(jù)質(zhì)量和訓(xùn)練算法被認(rèn)為是決定入侵檢測(cè)能力的兩個(gè)關(guān)鍵因素，現(xiàn)有的研究對(duì)數(shù)據(jù)質(zhì)量考慮的比較少，而這對(duì)于構(gòu)建一個(gè)高性能入侵檢測(cè)系統(tǒng)非常重要.Gu等[15]提出了一種基于支持向量機(jī)和樸素貝葉斯特征嵌入的入侵檢測(cè)框架.具體而言，它是一種數(shù)據(jù)質(zhì)量改進(jìn)技術(shù)，即樸素貝葉斯特征嵌入，將原始數(shù)據(jù)轉(zhuǎn)化為高質(zhì)量數(shù)據(jù)，然后利用支持向量機(jī)建立入侵檢測(cè)模型.實(shí)驗(yàn)表明，該方法在UNSW-NB15， CICIDS2017，NSL-KDD，Kyoto 2006+等數(shù)據(jù)集上均取得了良好的效果.

k-means的簡單性和效率使得它在聚類分析中很受歡迎，然而k-means有收斂到局部最優(yōu)的趨勢(shì)，并且依賴于聚類中心的初始值.Chen等[16]提出了一種高效的混合聚類算法，稱為QALO-K，該算法結(jié)合量子計(jì)算和群體智能算法的優(yōu)點(diǎn)，對(duì)k-means算法進(jìn)行改進(jìn)，使k-means算法向全局最優(yōu)方向收斂.將該方法應(yīng)用于KDD Cup 99大型數(shù)據(jù)集進(jìn)行入侵檢測(cè).仿真結(jié)果表明，該算法可以有效地用于數(shù)據(jù)聚類和入侵檢測(cè).

(2)惡意軟件

靜態(tài)惡意軟件檢測(cè)是安全套件中的一個(gè)基本層，它試圖在執(zhí)行前將樣本分類為惡意或良性.Pham等[17]提出了一種使用梯度增強(qiáng)決策樹算法的靜態(tài)PE惡意軟件檢測(cè)方法，通過便攜式可執(zhí)行分析和梯度增強(qiáng)決策樹算法，適當(dāng)?shù)亟档吞卣骶S數(shù)來減少訓(xùn)練時(shí)間.在惡意軟件研究基準(zhǔn)數(shù)據(jù)集EMBER上，基于超過600 000次訓(xùn)練和200 000次測(cè)試，提出的方法有著良好的表現(xiàn).

為了更有效地檢測(cè)Android惡意軟件，Shang等[18]提出了一種基于改進(jìn)樸素貝葉斯分類的Android惡意軟件檢測(cè)模型.提出了基于改進(jìn)的樸素貝葉斯的惡意檢測(cè)算法提高檢測(cè)率，還提出了一種基于Pearson相關(guān)系數(shù)的相關(guān)方法來處理特權(quán)屬性，并利用Android應(yīng)用程序?qū)傩灾g的相關(guān)性對(duì)結(jié)果進(jìn)行優(yōu)化.

Zhang等[19]提出了一種新的Android惡意軟件聚類方法ANDRE，該方法利用異構(gòu)信息，包括代碼相似性、利用反病毒廠商的原始標(biāo)簽和元數(shù)據(jù)信息，共同學(xué)習(xí)一種混合表示，將網(wǎng)絡(luò)中的所有惡意軟件嵌入到一個(gè)低維、緊湊的混合特征空間中，有效地聚類弱標(biāo)記惡意軟件.

(3)釣魚網(wǎng)站

在網(wǎng)絡(luò)釣魚檢測(cè)方面，Zhu等[20]提出了一種基于決策樹和最優(yōu)特征選擇的神經(jīng)網(wǎng)絡(luò)釣魚檢測(cè)模型.首先，對(duì)傳統(tǒng)的K-medoids聚類算法進(jìn)行改進(jìn)，采用增量選擇初始中心的方法去除公共數(shù)據(jù)集中的重復(fù)點(diǎn).然后，設(shè)計(jì)了一種基于新定義的特征評(píng)價(jià)指標(biāo)、決策樹和局部搜索方法的最優(yōu)特征選擇算法，以剔除負(fù)面的、無用的特征.最后，通過適當(dāng)調(diào)整參數(shù)構(gòu)造神經(jīng)網(wǎng)絡(luò)分類器的最優(yōu)結(jié)構(gòu)，并利用所選最優(yōu)特征進(jìn)行訓(xùn)練.實(shí)驗(yàn)結(jié)果表明，該模型比現(xiàn)有的許多方法具有更高的性能.

(4)垃圾郵件

針對(duì)垃圾郵件數(shù)據(jù)集存在的嚴(yán)重不平衡問題，Lu等[21]提出了一種新的web垃圾郵件檢測(cè)集成分類器，分類器能夠自動(dòng)采樣和選擇子分類器.通過構(gòu)建若干C4.5決策樹子分類器，利用這些子分類器構(gòu)造一個(gè)集成決策樹分類器，用于對(duì)測(cè)試數(shù)據(jù)中的實(shí)例進(jìn)行分類.在WEBSPAM-UK2006數(shù)據(jù)集上進(jìn)行的實(shí)驗(yàn)表明，與一些基準(zhǔn)系統(tǒng)和最新方法相比，具有顯著的分類性能.

負(fù)選擇算法(NSA)是一種解決垃圾郵件問題的方法，然而，NSA方法缺乏連續(xù)適應(yīng)性，檢測(cè)性能較差.Chikh等[22]提出了一種新的基于改進(jìn)的NSA垃圾郵件檢測(cè)方法，即聚類NSA和果蠅優(yōu)化組合(CNSA FFO).該系統(tǒng)將實(shí)際的NSA與k-means聚類和FFO相結(jié)合，提高了經(jīng)典NSA的效率.通過對(duì)實(shí)際垃圾郵件數(shù)據(jù)集的性能和準(zhǔn)確性測(cè)試表明，CNSA FFO方法能夠比傳統(tǒng)的NSA方法和其他模型更好地檢測(cè)垃圾郵件.

隨著注冊(cè)用戶社交活動(dòng)的增加，Twitter社交網(wǎng)絡(luò)越來越受歡迎，但是也有一些垃圾信息散布者利用Twitter傳播惡意信息，發(fā)布釣魚鏈接，用虛假賬戶在網(wǎng)絡(luò)上泛濫，并從事其他惡意活動(dòng).研究人員提出了許多方法來識(shí)別一組垃圾郵件發(fā)送者，然而每種方法都針對(duì)特定類別的垃圾郵件發(fā)送者.Adewole等[23]提出了一種不同的方法來檢測(cè)Twitter上的垃圾郵件發(fā)送者.該方法基于垃圾郵件帳戶之間存在的相似性，通過引入PCA和優(yōu)化的K-means算法來提高垃圾郵件發(fā)送者聚類的初始檢測(cè)，從200多萬條tweets中隨機(jī)選擇超過20萬個(gè)賬號(hào)進(jìn)行聚類，以檢測(cè)垃圾郵件發(fā)送者的聚類，實(shí)驗(yàn)結(jié)果證明算法取得了良好的成果.

3.2 支持向量機(jī)賦能網(wǎng)絡(luò)安全

支持向量機(jī)(SVM)是由統(tǒng)計(jì)學(xué)習(xí)理論(SLT)發(fā)展而來的一種新的通用學(xué)習(xí)方法，主要解決高維空間的小樣本學(xué)習(xí)問題.SVM的主要思想是求解能夠正確劃分訓(xùn)練數(shù)據(jù)集并且?guī)缀伍g隔最大的分離超平面.SVM作為一種新穎的小樣本學(xué)習(xí)方法，基本不涉及概率測(cè)度及大數(shù)定律等，能夠?qū)崿F(xiàn)高效的從訓(xùn)練樣本到預(yù)報(bào)樣本的推理，大大簡化了通常的分類和回歸等問題.SVM可以很好地解決網(wǎng)絡(luò)安全數(shù)據(jù)的分類、預(yù)測(cè)、關(guān)聯(lián)規(guī)則學(xué)習(xí)等問題，從而可以給出預(yù)防網(wǎng)絡(luò)威脅的更優(yōu)解決方案.

(1)網(wǎng)絡(luò)入侵

在無線傳感器網(wǎng)絡(luò)(WSN)的入侵檢測(cè)研究中，Safaldin等[24]通過使用帶有支持向量機(jī)的修正二元灰狼優(yōu)化器(GWOSVM-IDS)提出了一種增強(qiáng)型入侵檢測(cè)系統(tǒng).GWOSVM-IDS，旨在通過降低誤報(bào)率和WSN環(huán)境中IDS產(chǎn)生的特征數(shù)量來提高WSN環(huán)境中的入侵檢測(cè)精度和檢測(cè)率，并減少處理時(shí)間.

Saleh等[25]設(shè)計(jì)了一種基于SVM的混合IDS(HIDS)方法，可以以實(shí)時(shí)方式成功使用并適合解決多類分類問題.通過應(yīng)用基于距離的方法來選擇信息量最大的訓(xùn)練示例，然后將其用于訓(xùn)練優(yōu)化支持向量機(jī)(OSVM)，從而拒絕異常值.之后，使用OSVM來拒絕異常值.最后，在拒絕異常值之后，HIDS 可以通過應(yīng)用優(yōu)先 K-最近鄰分類器成功檢測(cè)攻擊.

Gu等[26]提出了一種基于具有特征增強(qiáng)的SVM集成入侵檢測(cè)框架，通過對(duì)原始特征進(jìn)行對(duì)數(shù)邊際密度比變換后，使用 SVM 集成構(gòu)建入侵檢測(cè)模型.Raman等[27]提出一種基于支持向量機(jī)的Hyper Clique改進(jìn)二元引力搜索算法(HC-IBGSA SVM)，能夠在檢測(cè)率和誤報(bào)率方面提高SVM的性能.

(2)惡意軟件

在惡意軟件檢測(cè)中，Wadkar等[28]應(yīng)用基于線性支持向量機(jī)權(quán)重的特征排序來識(shí)別惡意軟件樣本在不同時(shí)間的不同變化問題.通過長時(shí)間分析，基于自動(dòng)化和可量化的機(jī)器學(xué)習(xí)技術(shù)能夠高效檢測(cè)惡意軟件樣本中的進(jìn)化變化.Ghouti等[29]提出了一種僅使用惡意軟件二進(jìn)制文件的圖像表示來檢測(cè)和分類惡意軟件的新方案.使用主成分分析在緊湊的子空間中提取惡意軟件類別和結(jié)構(gòu)的高度判別特征.然后，設(shè)計(jì)了一種優(yōu)化的SVM模型將提取的特征進(jìn)行惡意軟件類別分類.

(3)釣魚網(wǎng)站

Anupam等[30]提出一種利用網(wǎng)站URL的不同屬性進(jìn)行釣魚網(wǎng)站檢測(cè)的SVM分類方法，在現(xiàn)有數(shù)據(jù)集上訓(xùn)練的支持向量機(jī)二進(jìn)制分類器能夠通過尋找最佳超平面區(qū)分兩個(gè)類別，并預(yù)測(cè)網(wǎng)站是否為合法網(wǎng)站，將網(wǎng)站分類為網(wǎng)絡(luò)釣魚和非網(wǎng)絡(luò)釣魚.Rao等[31]提出一種基于雙支持向量機(jī)(TWSVM)的新型啟發(fā)式技術(shù)用以檢測(cè)惡意注冊(cè)的網(wǎng)絡(luò)釣魚站點(diǎn)以及托管在受感染服務(wù)器上的站點(diǎn).通過比較，TWSVM能夠以98.05% 的顯著準(zhǔn)確率比較訪問網(wǎng)站的登錄頁面和主頁來檢測(cè)托管在受感染域上的網(wǎng)絡(luò)釣魚網(wǎng)站.Ravi等[32]則討論了一種基于軟件定義網(wǎng)絡(luò)的新型框架方法，借助網(wǎng)絡(luò)空間中使用CANTINA方法(DMLCA)的深度機(jī)器學(xué)習(xí)來預(yù)防網(wǎng)絡(luò)釣魚攻擊.CANTINA方法使用SVM來處理網(wǎng)絡(luò)釣魚攻擊的分類問題，同時(shí)能夠借助DMLCA方法提高檢測(cè)準(zhǔn)確率.

(4)垃圾郵件

Olatunji[33]提出了一種基于支持向量機(jī)的垃圾郵件檢測(cè)模型，強(qiáng)調(diào)搜索最佳參數(shù)以獲得更好的性能.Kumaresan等[34]提出了一種使用S-Cuckoo并基于混合內(nèi)核的支持向量機(jī)(HKSVM)的垃圾郵件分類框架.首先，根據(jù)文本和圖像從電子郵件中提取特征，然后，使用提出的分類器HKSVM模型進(jìn)行分類，這種基于圖像提供的附加特征和SVM分類器的修改顯著地改進(jìn)了對(duì)垃圾郵件的分類能力.

針對(duì)垃圾郵件評(píng)論實(shí)例不足所導(dǎo)致監(jiān)督技術(shù)面臨類別不平衡的問題，Tian等[35]提出了名為Ramp One-Class SVM的魯棒且非凸的半監(jiān)督算法，采用One-Class SVM來處理欺騙性意見缺乏標(biāo)記數(shù)據(jù)的問題，并利用Ramp損失函數(shù)的非凸特性，消除了異常值和非評(píng)論意見的影響.

3.3 卷積神經(jīng)網(wǎng)絡(luò)賦能網(wǎng)絡(luò)安全

1980年，F(xiàn)ukushima等[36]提出了一種由卷積層、池化層構(gòu)成的新的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，在此基礎(chǔ)上，1998年，Lecun等[37]將BP算法應(yīng)用在這種神經(jīng)結(jié)構(gòu)中，提出了LeNet-5[37]模型，這也就是卷積神經(jīng)網(wǎng)絡(luò)(CNN)的雛形.相比于人工神經(jīng)網(wǎng)絡(luò)(ANN)模型中的單神經(jīng)元結(jié)構(gòu)，CNN最大的不同在于其使用卷積層代替了原本的全連接層，使用卷積核進(jìn)行特征提取，結(jié)合局部連接和權(quán)值共享的方法，能夠在大幅減少訓(xùn)練權(quán)值參數(shù)的情況下獲得全局關(guān)系.隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)狀態(tài)分析的數(shù)據(jù)量正在不斷攀升，由于訓(xùn)練參數(shù)量大幅減少的優(yōu)勢(shì)，CNN模型及其演變優(yōu)化后的模型正在被應(yīng)用于網(wǎng)絡(luò)流量檢測(cè)、網(wǎng)絡(luò)態(tài)勢(shì)分析等場(chǎng)景.

(1)網(wǎng)絡(luò)入侵

不同類型的IDS被設(shè)計(jì)為僅用于解決單一類型的入侵或多種變體，Shams等[38]提出了一種新的上下文感知特征提取方法，作為基于CNN的多類入侵檢測(cè)的預(yù)處理步驟.基于此的IDS系統(tǒng)可以識(shí)別4～12種不同類型的入侵檢測(cè).Nguyen等[39]提出了一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS新算法，該算法將GA、CNN提取器和BG分類器進(jìn)行合理組合，實(shí)現(xiàn)了一種3層的特征提取結(jié)構(gòu).實(shí)驗(yàn)證明，將CNN模型作為特征提取器，結(jié)合BG分類器的混合學(xué)習(xí)方法，能夠提高該算法的最終分類性能.在許多網(wǎng)絡(luò)安全的衍生領(lǐng)域中，CNN模型也提供了入侵檢測(cè)問題的多種解決方案.Jeong等[40]首次將CNN模型應(yīng)用在自動(dòng)駕駛汽車的安全場(chǎng)景下，以解決汽車以太網(wǎng)的入侵檢測(cè)問題.提出一種基于特征生成和CNN網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，建立了一個(gè)基于BroadR-Reach的物理測(cè)試平臺(tái)，并捕獲了真實(shí)的AVTP包進(jìn)行性能評(píng)價(jià).Gao等[41]考慮到電網(wǎng)監(jiān)控下入侵對(duì)象規(guī)模的多樣性和應(yīng)用場(chǎng)景的復(fù)雜性，提出了一種改進(jìn)的基于上下文感知掩碼區(qū)域的Mask R-CNN模型，即 ID-Net，用于入侵對(duì)象檢測(cè).一個(gè)調(diào)制的可變形卷積操作被集成到主干網(wǎng)絡(luò)中，可以用于從工程車輛的幾何變化中學(xué)習(xí)魯棒的特征表示.

(2)惡意軟件

Cui等[42]提出了一種利用CNN和智能算法進(jìn)行惡意代碼檢測(cè)的方法.CNN用于對(duì)惡意代碼可執(zhí)行文件轉(zhuǎn)換成的灰度圖像進(jìn)行識(shí)別和分類.然后采用非支配排序遺傳算法II (NSGA-II)來處理惡意軟件族的數(shù)據(jù)不平衡問題.為了提高大規(guī)模Android惡意軟件檢測(cè)的準(zhǔn)確性和效率，Lu等[43]提出了一種基于深度神經(jīng)網(wǎng)絡(luò)的高效惡意軟件檢測(cè)框架DLAMD，結(jié)合能夠?qū)崿F(xiàn)快速響應(yīng)的預(yù)測(cè)階段和精準(zhǔn)溯源的深度檢測(cè)階段，選擇自動(dòng)提取特征內(nèi)部隱藏模式的CNN進(jìn)行特征選擇.相似地，Wang等[44]提出了一種基于深度自編碼器和串行卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)的混合模型，重構(gòu)了Android應(yīng)用程序的高維特征，并利用多個(gè)CNN對(duì)Android惡意軟件進(jìn)行檢測(cè).

(3)釣魚網(wǎng)站

Adebowale等[45]重點(diǎn)設(shè)計(jì)開發(fā)了一種基于深度學(xué)習(xí)的釣魚檢測(cè)解決方案，利用通用資源定位器和網(wǎng)站內(nèi)容，采用CNN和長短時(shí)記憶算法構(gòu)建了一種名為智能釣魚檢測(cè)系統(tǒng)的混合分類模型，在大數(shù)據(jù)集情況下提升分類器預(yù)測(cè)性能.相似地，Parra等[46]提出了一種基于云的分布式深度學(xué)習(xí)框架，用于網(wǎng)絡(luò)釣魚和僵尸網(wǎng)絡(luò)攻擊檢測(cè)及緩解.該模型使用分布式CNN模型作為物聯(lián)網(wǎng)設(shè)備微安全插件嵌入，用于檢測(cè)網(wǎng)絡(luò)釣魚和應(yīng)用層DDoS攻擊.分布式CNN模型嵌入到客戶端物聯(lián)網(wǎng)設(shè)備的ML引擎中，能夠在源頭檢測(cè)和保護(hù)物聯(lián)網(wǎng)設(shè)備免受網(wǎng)絡(luò)釣魚攻擊.

(4)垃圾郵件

Liu等[47]提出了一種新的檢測(cè)方法，即從用戶的角度對(duì)惡意網(wǎng)頁進(jìn)行截屏，從而使網(wǎng)絡(luò)垃圾郵件失效.采用CNN作為分類算法，在真實(shí)的Web環(huán)境中進(jìn)行了3個(gè)月的惡意網(wǎng)站檢測(cè)測(cè)試且性能良好.最近，CNN開始應(yīng)用于合成孔徑雷達(dá)(SAR)圖像的自動(dòng)目標(biāo)識(shí)別(ATR)問題.Oh等[48]提出了一種基于CNN的具有姿態(tài)角邊緣化學(xué)習(xí)的SAR目標(biāo)識(shí)別網(wǎng)絡(luò)(SPAM-Net)，它邊緣化了SAR 目標(biāo)在其姿態(tài)角上精確估計(jì)真實(shí)的類別概率.

3.4 循環(huán)神經(jīng)網(wǎng)絡(luò)賦能網(wǎng)絡(luò)安全

1933年西班牙神經(jīng)生物學(xué)家Rafael Lorente在研究大腦皮層時(shí)發(fā)現(xiàn)刺激信號(hào)能夠在神經(jīng)回路中循環(huán)傳遞，因此，提出一種反向回路假設(shè).這種假設(shè)之后被神經(jīng)生物學(xué)領(lǐng)域總結(jié)為循環(huán)反饋系統(tǒng)，并基于此衍生出了各類數(shù)學(xué)模型.1990年，Elman[49]提出了第一個(gè)全連接的循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)，這是一種在時(shí)間結(jié)構(gòu)上存在共享特性的神經(jīng)網(wǎng)絡(luò)變體，一個(gè)序列的當(dāng)前輸出與前面的輸出也是有關(guān)的.其單個(gè)的神經(jīng)元相比以往ANN中的神經(jīng)元添加了反饋輸入，也就是通過一系列權(quán)值共享前饋神經(jīng)元的依次連接，這樣使得循環(huán)神經(jīng)網(wǎng)絡(luò)在t時(shí)刻的輸入不僅實(shí)現(xiàn)與輸出的映射,而且能夠參考t時(shí)刻之前所有輸入數(shù)據(jù)對(duì)網(wǎng)絡(luò)的影響.因?yàn)镽NN獨(dú)有的對(duì)高級(jí)特性依賴關(guān)系如時(shí)序特征的提取能力，正在被逐漸應(yīng)用在網(wǎng)絡(luò)態(tài)勢(shì)感知等安全問題中.

(1)網(wǎng)絡(luò)入侵

針對(duì)云環(huán)境下的入侵檢測(cè)問題，Balamurugan等[50]提出了一種歸一化K均值聚類算法與RNN組合而成的新穎算法，包括檢查來自用戶數(shù)據(jù)包的審查算法和稱為NK-RNN的混合分類模型，能夠有效地檢測(cè)到實(shí)驗(yàn)證明的入侵者.在車載通信中，針對(duì)控制器局域網(wǎng)(CAN)總線缺乏防御的問題，Tariq等[51]提出了一種基于RNN的CAN總線消息攻擊檢測(cè)框架(CAN-ADF)，采用由動(dòng)態(tài)網(wǎng)絡(luò)流量特征和RNN組成的基于規(guī)則的檢測(cè)方法，實(shí)現(xiàn)了準(zhǔn)確的入侵檢測(cè)性能.

(2)惡意軟件

Sun等[52]將惡意代碼的靜態(tài)分析與RNN和CNN方法相結(jié)合.通過使用RNN，不僅考慮了惡意軟件的原始信息，還考慮了將原始代碼與時(shí)序特征相關(guān)聯(lián)的能力，然后，使用minhash從原始代碼以及來自RNN預(yù)測(cè)代碼的融合中生成特征圖像，并使用CNN來對(duì)特征圖像進(jìn)行分類.

近年來，加密貨幣交易急劇增加，這一趨勢(shì)也吸引了網(wǎng)絡(luò)威脅參與者利用現(xiàn)有漏洞感染目標(biāo).Yazdinejad等[53]提出了一種新穎的RNN學(xué)習(xí)模型，用于尋找加密貨幣惡意軟件威脅，使用5種不同的長短期記憶(LSTM)結(jié)構(gòu)進(jìn)行訓(xùn)練，并通過10倍交叉驗(yàn)證技術(shù)進(jìn)行評(píng)估.隨著物聯(lián)網(wǎng)設(shè)備越來越多地部署在不同行業(yè)中，越來越多的應(yīng)用程序及其不斷增強(qiáng)的計(jì)算和處理能力使它們成為有價(jià)值的攻擊目標(biāo).Haddad等[54]探討了使用RNN模型檢測(cè)IoT惡意軟件的潛力，使用RNN來分析基于ARM的IoT應(yīng)用程序執(zhí)行操作代碼.

(3)釣魚網(wǎng)站

基于之前的工作，Somesha等[55]提出了一種基于啟發(fā)式特征的機(jī)器學(xué)習(xí)方法用于釣魚網(wǎng)站檢測(cè)，并使用18個(gè)特征實(shí)現(xiàn)了99.5%的準(zhǔn)確率.在本文中，針對(duì)筆者在早期工作分析的10種特征，并基于DNN、LSTM和CNN,提出了一種新穎的網(wǎng)絡(luò)釣魚URL檢測(cè)模型，實(shí)現(xiàn)了LSTM最高99.57%的準(zhǔn)確率.同樣為了克服惡意URL使用戶受害的問題，Shivangi等[56]提出了一種在chrome擴(kuò)展的檢測(cè)工具，使用ANN和LSTM網(wǎng)絡(luò)來分析URL，并對(duì)其進(jìn)行分類，旨在幫助用戶避免成為惡意URL、網(wǎng)絡(luò)釣魚和社會(huì)工程等惡意和欺詐活動(dòng)的受害者.

(4)垃圾郵件

Makkar等[57]在檢測(cè)網(wǎng)絡(luò)垃圾郵件的研究中，提出一種基于RNN深度學(xué)習(xí)架構(gòu)來檢測(cè)隱藏模式，設(shè)計(jì)了一個(gè)名為FS2RNN的RNN特征選擇方案框架.同時(shí)，Makkar等[58]還提出了一種通過瀏覽不同網(wǎng)站和網(wǎng)頁使用特征提取的惡意圖像廣告垃圾郵件保護(hù)器(SPAMI)框架，使用CNN、RNN和LSTM模型標(biāo)記垃圾郵件廣告圖像.Xu等[59]提出了一個(gè)Sifter系統(tǒng)，一種無需勞動(dòng)密集型特征工程即可以可擴(kuò)展方式檢測(cè)在線社交垃圾郵件的系統(tǒng)，能夠在RNN的支持下處理社交垃圾郵件，擺脫傳統(tǒng)的人工特征工程.

3.5 對(duì)抗神經(jīng)網(wǎng)絡(luò)賦能網(wǎng)絡(luò)安全

2014年，Goodfellow[60]提出了一種基于博弈論的新穎的神經(jīng)網(wǎng)絡(luò)模型——生成式對(duì)抗神經(jīng)網(wǎng)絡(luò)(GAN)，該網(wǎng)絡(luò)由兩個(gè)目標(biāo)互相沖突的神經(jīng)網(wǎng)絡(luò)組成，分別為生成器和鑒別器，通過對(duì)抗性過程同時(shí)進(jìn)行訓(xùn)練，當(dāng)取得納什均衡時(shí)則達(dá)到生成器的訓(xùn)練目標(biāo).近年來，GAN已經(jīng)成為機(jī)器學(xué)習(xí)領(lǐng)域最火熱的研究之一，Yann LeCun更是稱之為“過去10年間機(jī)器學(xué)習(xí)領(lǐng)域最讓人激動(dòng)的點(diǎn)子”.GAN的優(yōu)勢(shì)在于其提供了神經(jīng)網(wǎng)絡(luò)生成困難的解決思路，同時(shí)，在最新的研究工作中，GAN中的鑒別器能夠被用作目標(biāo)神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程中的監(jiān)控器，以防止生成器過擬合.研究者們正在將GAN應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域中，著重解決網(wǎng)絡(luò)攻擊樣本生成和網(wǎng)絡(luò)攻擊行為檢測(cè)問題，幫助構(gòu)建智能有效的網(wǎng)絡(luò)安全防護(hù)機(jī)制.

(1)網(wǎng)絡(luò)入侵

在入侵檢測(cè)領(lǐng)域，生成對(duì)抗網(wǎng)絡(luò)是一種很有前途的無監(jiān)督方法，通過對(duì)系統(tǒng)進(jìn)行隱式建模來檢測(cè)網(wǎng)絡(luò)攻擊.de Araujo-Filho等[61]提出了FID-GAN，一種用于使用GAN的CPS新型基于霧的無監(jiān)督入侵檢測(cè)系統(tǒng)，能夠通過訓(xùn)練加速重建損失計(jì)算的編碼器，實(shí)現(xiàn)映射到潛在空間數(shù)據(jù)樣本的重建來計(jì)算重建損失.入侵檢測(cè)中流量異常模式樣本的不平衡數(shù)據(jù)是一個(gè)具有挑戰(zhàn)性的問題，Huang等[62]提出了一種新穎的不平衡生成對(duì)抗網(wǎng)絡(luò)(IGAN),在典型的GAN中引入不平衡數(shù)據(jù)過濾器和卷積層，為少數(shù)類生成新的代表性實(shí)例，建立一個(gè)基于IGAN的入侵檢測(cè)系統(tǒng)(IGAN-IDS)，使用IGAN生成的實(shí)例來應(yīng)對(duì)類不平衡的入侵檢測(cè).Yan等[63]提出了一種DoS-WGAN通用架構(gòu)，使用Wasserstein生成對(duì)抗網(wǎng)絡(luò)(WGAN)和梯度懲罰技術(shù)來逃避網(wǎng)絡(luò)流量分類器.為了將拒絕服務(wù)攻擊(DoS)流量偽裝成正常的網(wǎng)絡(luò)流量，DoS-WGAN會(huì)自動(dòng)合成攻擊痕跡，可以擊敗針對(duì)DoS案例的現(xiàn)有NIDS/網(wǎng)絡(luò)安全防御，使基于CNN的NIDS檢測(cè)率從97.3%下降到47.6%.本架構(gòu)將在網(wǎng)絡(luò)攻防博弈中發(fā)揮特別重要的作用.

(2)惡意軟件

以前基于GAN的研究是使用相同的特征量來學(xué)習(xí)惡意軟件檢測(cè).但是現(xiàn)有的學(xué)習(xí)算法往往使用多個(gè)惡意軟件，影響了規(guī)避的性能，對(duì)攻擊者來說是不現(xiàn)實(shí)的.為了解決這個(gè)問題，Kawai等[64]應(yīng)用了具有不同特征量和只有一種惡意軟件的差異化學(xué)習(xí)方法.為了評(píng)估機(jī)器學(xué)習(xí)算法在惡意軟件檢測(cè)中的脆弱性，Taheri等[65]提出了5種不同的攻擊場(chǎng)景來干擾惡意應(yīng)用程序.為了區(qū)分對(duì)抗樣本和良性樣本，提出了兩種防御機(jī)制來對(duì)抗攻擊.結(jié)果表明，當(dāng)使用生成對(duì)抗網(wǎng)絡(luò)方法時(shí)，提出的攻擊模型在用于強(qiáng)化開發(fā)的反惡意軟件系統(tǒng)時(shí)，生成的規(guī)避變體將檢測(cè)率提高了50%.為了同時(shí)規(guī)避惡意軟件檢測(cè)和對(duì)抗示例檢測(cè)，Li等[66]在雙目標(biāo)GAN的基礎(chǔ)上開發(fā)了一種新的對(duì)抗示例攻擊方法.該方法生成的對(duì)抗實(shí)例中有95%以上的實(shí)例能夠突破防火墻Android惡意軟件檢測(cè)系統(tǒng).

(3)垃圾郵件

垃圾郵件的特征收集通常需要很長時(shí)間，因此很難將它們應(yīng)用到冷啟動(dòng)垃圾郵件審查檢測(cè)任務(wù)中.因此，Tang等[67]利用GAN來解決這個(gè)問題，為新用戶從易于訪問的特性(EAFs)中生成合成行為特性(SBFs).首先，為普通用戶選擇6個(gè)公認(rèn)的真實(shí)行為特征(RBFs).然后，訓(xùn)練一個(gè)GAN框架，包括一個(gè)生成器，從包含文本、評(píng)級(jí)和屬性特征的EAF中生成SBFs，以及一個(gè)鑒別器來區(qū)分RBFs和SBFs.

3.6 強(qiáng)化學(xué)習(xí)賦能網(wǎng)絡(luò)安全

1911年，行為心理學(xué)專家Thorndike提出了效用法則，指出行為會(huì)被記住取決于該行為產(chǎn)生的效用.1954年Minsky首次提出“強(qiáng)化”和“強(qiáng)化學(xué)習(xí)”的概念和術(shù)語，之后，1989年，Watkins等[68]提出了現(xiàn)今強(qiáng)化學(xué)習(xí)最廣泛使用的Q學(xué)習(xí)策略(Q-learning).2013年，DeepMind發(fā)表了強(qiáng)化模型模擬人類進(jìn)行Atari游戲的論文，從此，強(qiáng)化學(xué)習(xí)開始了飛速發(fā)展.強(qiáng)化學(xué)習(xí)不同于傳統(tǒng)的機(jī)器學(xué)習(xí)，其核心思想是通過試錯(cuò)學(xué)習(xí)如何能最佳地匹配狀態(tài)(States)和動(dòng)作(Actions)，以期獲得最大的回報(bào)(Rewards).在面對(duì)網(wǎng)絡(luò)安全問題時(shí)，強(qiáng)化學(xué)習(xí)能夠通過試錯(cuò)的方式不斷探索更優(yōu)的決策，在網(wǎng)絡(luò)狀態(tài)變化后，能夠智能地動(dòng)態(tài)建模，推動(dòng)網(wǎng)絡(luò)安全走向智能化.

(1)網(wǎng)絡(luò)入侵

Lopez-Martin等[69]提出了一種新的應(yīng)用深度強(qiáng)化學(xué)習(xí)(DRL)算法的入侵檢測(cè)框架，是對(duì)經(jīng)典DRL范式(基于與現(xiàn)場(chǎng)環(huán)境的交互)進(jìn)行概念上的修改，用記錄訓(xùn)練入侵的采樣函數(shù)替換環(huán)境.這種新的偽環(huán)境除了對(duì)訓(xùn)練數(shù)據(jù)進(jìn)行采樣外，還會(huì)根據(jù)訓(xùn)練過程中發(fā)現(xiàn)的檢測(cè)錯(cuò)誤產(chǎn)生獎(jiǎng)勵(lì).對(duì)AWID和NSL-KDD數(shù)據(jù)集獲得的結(jié)果與其他機(jī)器學(xué)習(xí)模型進(jìn)行了全面的比較，結(jié)果表明，與現(xiàn)有的機(jī)器學(xué)習(xí)技術(shù)相比，DRL通過模型和一些參數(shù)的調(diào)整，可以提高入侵檢測(cè)的速度和效果.Caminero等[70]提出了一種新的基于監(jiān)督RL模型和對(duì)抗RL模型相結(jié)合的框架AE-RL，提供了一個(gè)遵循RL環(huán)境指導(dǎo)方針的模擬環(huán)境.這種方法的原理是為模擬環(huán)境提供一種智能行為.首先，通過從訓(xùn)練數(shù)據(jù)集中隨機(jī)提取新樣本，根據(jù)分類器預(yù)測(cè)的好壞產(chǎn)生獎(jiǎng)勵(lì)；其次，通過進(jìn)一步調(diào)整初始行為與對(duì)抗目標(biāo)，環(huán)境將積極地嘗試增加分類器做出準(zhǔn)確預(yù)測(cè)的難度.實(shí)驗(yàn)結(jié)果證明這種結(jié)構(gòu)提高了分類器的最終性能.基于物聯(lián)網(wǎng)的現(xiàn)代智能家庭是一個(gè)具有挑戰(zhàn)性的安全環(huán)境:設(shè)備不斷變化，新的漏洞被發(fā)現(xiàn)并經(jīng)常未打補(bǔ)丁，不同用戶與設(shè)備的交互方式不同，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的態(tài)度也不同.Heartfield等[71]提出了MAGPIE，其為第一個(gè)智能家庭入侵檢測(cè)系統(tǒng)，能夠自動(dòng)調(diào)整其底層異常分類模型的決策功能，以適應(yīng)智能家庭不斷變化的條件.該方法將一種新的基于概率聚類的獎(jiǎng)勵(lì)機(jī)制應(yīng)用于非平穩(wěn)多臂土匪強(qiáng)化學(xué)習(xí)中，從而達(dá)到上述目的.在真實(shí)家庭中的實(shí)驗(yàn)評(píng)估表明，MAGPIE顯示出了較高的準(zhǔn)確性.

(2)惡意軟件

最近的研究表明，基于監(jiān)督學(xué)習(xí)的惡意軟件檢測(cè)模型很容易受到蓄意攻擊，因?yàn)槠湟蕾囉趲в忻鞔_標(biāo)記的靜態(tài)特征.為了暴露和展示這些模型中的弱點(diǎn)，F(xiàn)ang等[72]提出了一種利用強(qiáng)化學(xué)習(xí)規(guī)避反惡意軟件引擎的DQEAF框架.DQEAF通過神經(jīng)網(wǎng)絡(luò)不斷地與惡意軟件樣本交互來訓(xùn)練agent.動(dòng)作是一組合理的修改，不破壞樣本的結(jié)構(gòu)和功能.Agent可以通過深度強(qiáng)化學(xué)習(xí)選擇最優(yōu)的功能保持動(dòng)作序列，目的是規(guī)避監(jiān)督檢測(cè)器.實(shí)驗(yàn)表明，該方法在PE樣本中具有較高的成功率，其有效性也得到了其他惡意軟件族的驗(yàn)證，顯示了良好的魯棒性.準(zhǔn)確檢測(cè)移動(dòng)設(shè)備上的惡意軟件需要快速處理大量的應(yīng)用軌跡，基于云的惡意軟件檢測(cè)可以利用安全服務(wù)器的數(shù)據(jù)共享和強(qiáng)大的計(jì)算資源來提高檢測(cè)性能.Xiao等[73]設(shè)計(jì)了一種基于云的惡意軟件檢測(cè)游戲，并導(dǎo)出了游戲的納什均衡，展示了移動(dòng)設(shè)備如何選擇卸載速率，在傳輸成本和檢測(cè)性能之間進(jìn)行權(quán)衡.針對(duì)時(shí)變無線網(wǎng)絡(luò)中的動(dòng)態(tài)博弈，提出了一種基于Q學(xué)習(xí)的惡意軟件檢測(cè)策略，并利用Dyna體系結(jié)構(gòu)和已知無線信道模型進(jìn)一步提高了檢測(cè)性能.

(3)網(wǎng)絡(luò)釣魚

Smadi等[74]首次提出一種將神經(jīng)網(wǎng)絡(luò)與強(qiáng)化學(xué)習(xí)相結(jié)合的在線模式下檢測(cè)釣魚攻擊的新框架.該模型通過采用強(qiáng)化學(xué)習(xí)的思想，隨時(shí)間動(dòng)態(tài)地增強(qiáng)系統(tǒng)，能夠自我適應(yīng)，產(chǎn)生一個(gè)新的釣魚郵件檢測(cè)系統(tǒng)，反映出新探索行為的變化.該模型通過在線方式自動(dòng)向原有數(shù)據(jù)集添加更多的電子郵件，解決了數(shù)據(jù)集有限的問題，提出一種新的算法來探索新的數(shù)據(jù)集中的任何新增添的釣魚行為.通過使用已知的數(shù)據(jù)集進(jìn)行嚴(yán)格的測(cè)試，證明該技術(shù)可以有效地處理零日網(wǎng)絡(luò)釣魚攻擊.受釣魚網(wǎng)站進(jìn)化特性的啟發(fā)，Chatterjee等[75]設(shè)計(jì)了一種基于深度強(qiáng)化學(xué)習(xí)的網(wǎng)絡(luò)釣魚自動(dòng)檢測(cè)框架，來建模和檢測(cè)惡意URL.該模型能夠適應(yīng)網(wǎng)絡(luò)釣魚網(wǎng)站的動(dòng)態(tài)行為，從而學(xué)習(xí)與網(wǎng)絡(luò)釣魚網(wǎng)站檢測(cè)相關(guān)的特征.

4 問題與挑戰(zhàn)

雖然目前人工智能方法已經(jīng)在網(wǎng)絡(luò)安全領(lǐng)域證明了其強(qiáng)大的效果，也展現(xiàn)出了相比傳統(tǒng)方法在檢測(cè)精度、靈活程度等方面優(yōu)勢(shì)，但是目前仍然面臨一些具有挑戰(zhàn)性的問題：

如何選擇合適的數(shù)據(jù)集是一個(gè)重要問題，大多數(shù)現(xiàn)有數(shù)據(jù)集是比較舊的，使用這些數(shù)據(jù)集會(huì)導(dǎo)致算法在理解新型網(wǎng)絡(luò)攻擊的行為模式方面存在不足.如KDD99[76]或NSL-KDD[77]數(shù)據(jù)集，這些數(shù)據(jù)集包含舊的可能已經(jīng)過時(shí)的流量，不能代表最近的攻擊場(chǎng)景和流量行為.因此，需要針對(duì)入侵檢測(cè)等特定問題領(lǐng)域建立最新的數(shù)據(jù)集，以及研究如何設(shè)計(jì)可擴(kuò)展性強(qiáng)的更加靈活的數(shù)據(jù)集，這可能是網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)領(lǐng)域面臨的重要挑戰(zhàn).

如果要比較相關(guān)工作的運(yùn)行效果，應(yīng)該在完全相同環(huán)境下進(jìn)行對(duì)比.但不幸的是，不同的研究工作之間是比較孤立的，在效果和效率方面很難提供一個(gè)公平公正的比較，這是由于環(huán)境的多樣性造成的，包括但不限于:①使用的數(shù)據(jù)集;②采用的數(shù)據(jù)集部分;③預(yù)處理方法;④超參數(shù)配置;⑤硬件平臺(tái).因此，需要使用統(tǒng)一的計(jì)算平臺(tái)和考慮共同的影響因素進(jìn)行更多的實(shí)驗(yàn)研究，以期獲得公平的比較結(jié)果.

基于人工智能的安全模型通常使用大量靜態(tài)數(shù)據(jù)來構(gòu)建檢測(cè)系統(tǒng)，訓(xùn)練其學(xué)習(xí)正常和異常行為的能力.然而，大型的動(dòng)態(tài)安全系統(tǒng)中的正常行為如果沒有被很好的定義，數(shù)據(jù)庫的增長可能會(huì)使得正常的行為模式隨著時(shí)間的推移而改變，這常常導(dǎo)致大量的假警報(bào).大型動(dòng)態(tài)系統(tǒng)中的安全檢測(cè)是一個(gè)既現(xiàn)實(shí)而又復(fù)雜的問題，值得研究人員投入更多的關(guān)注.

5 總 結(jié)

隨著互聯(lián)網(wǎng)日新月異的發(fā)展，其面臨的威脅與挑戰(zhàn)也愈發(fā)復(fù)雜.本文總結(jié)了人工智能技術(shù)應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域的最新進(jìn)展，涉及到的技術(shù)包括傳統(tǒng)機(jī)器學(xué)習(xí)、深度學(xué)習(xí)及強(qiáng)化學(xué)習(xí)等方法.本文還調(diào)查了近年來網(wǎng)絡(luò)安全領(lǐng)域中人工智能技術(shù)的相關(guān)應(yīng)用，總結(jié)出了4個(gè)最受關(guān)注的研究方向，分別是網(wǎng)絡(luò)入侵、惡意軟件、釣魚網(wǎng)站以及垃圾郵件，之后介紹了人工智能技術(shù)在每個(gè)研究方向中的具體應(yīng)用場(chǎng)景.最后，本文指出了當(dāng)前面臨的問題與挑戰(zhàn).