信息化觀察網(wǎng)

本文來自微信公眾號“郵電設(shè)計技術(shù)”，作者/劉洋、翟銳、鞏坤。

圖像異常數(shù)據(jù)作為網(wǎng)絡(luò)安全檢測的核心監(jiān)控對象，面臨著樣本不均衡、數(shù)據(jù)缺乏標(biāo)注以及異常形式多樣化等挑戰(zhàn)，針對這些問題，創(chuàng)新性地提出了自信息量挖掘模塊，旨在學(xué)習(xí)已知類別樣本的數(shù)據(jù)模式；同時提出了三元組信息量學(xué)習(xí)策略，優(yōu)化類別信息學(xué)習(xí)和已知類別的數(shù)據(jù)模式學(xué)習(xí)，最終實(shí)現(xiàn)了在網(wǎng)絡(luò)安全防護(hù)場景中對圖像的未知類別樣本的異常檢測。實(shí)驗(yàn)結(jié)果表明，異常檢測算法可以有效提升網(wǎng)絡(luò)安全防護(hù)的準(zhǔn)確性，在實(shí)際應(yīng)用中表現(xiàn)出色。

0 1

概述

在數(shù)字化轉(zhuǎn)型的時代浪潮中，網(wǎng)絡(luò)安全已不僅僅是一個技術(shù)問題，更是涉及到國家安全、社會穩(wěn)定、經(jīng)濟(jì)發(fā)展等多方面的戰(zhàn)略性問題。隨著計算機(jī)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)環(huán)境的日益復(fù)雜多變，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施難以應(yīng)對層出不窮的網(wǎng)絡(luò)攻擊手段。而隨著深度學(xué)習(xí)技術(shù)的發(fā)展和引入，為網(wǎng)絡(luò)安全領(lǐng)域帶來了革命性的變革。

深度學(xué)習(xí)技術(shù)通過構(gòu)建深度神經(jīng)網(wǎng)絡(luò)模型，能夠自動學(xué)習(xí)和提取網(wǎng)絡(luò)數(shù)據(jù)中的復(fù)雜特征，進(jìn)而實(shí)現(xiàn)精準(zhǔn)的識別、分類和預(yù)測。深度學(xué)習(xí)還能夠與其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合，形成更加全面的安全防護(hù)體系。例如，可將深度學(xué)習(xí)模型與入侵檢測系統(tǒng)相結(jié)合，實(shí)現(xiàn)對網(wǎng)絡(luò)流量的實(shí)時分析和監(jiān)控；也可將深度學(xué)習(xí)模型用于用戶行為分析，通過識別異常行為來發(fā)現(xiàn)潛在的安全威脅。這種多層次的安全防護(hù)體系能夠大大提升網(wǎng)絡(luò)安全水平，有效防范各類網(wǎng)絡(luò)攻擊。當(dāng)然，深度學(xué)習(xí)技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用也面臨著一些挑戰(zhàn)，如何有效地收集、處理和分析網(wǎng)絡(luò)安全領(lǐng)域的數(shù)據(jù)，是深度學(xué)習(xí)技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用的關(guān)鍵。

基于上述現(xiàn)狀和問題，本文提出一種基于異常檢測算法的網(wǎng)絡(luò)安全技術(shù)。該方法使用聚類算法探索樣本相關(guān)性，并提出了自信息量挖掘模塊和三元組信息量學(xué)習(xí)策略，聯(lián)合優(yōu)化類別信息學(xué)習(xí)和已知類別的數(shù)據(jù)模式學(xué)習(xí)。實(shí)驗(yàn)結(jié)果表明，本文算法可以有效檢測未知類別樣本，對于防范異常信息入侵具有較好的效果，對于提高網(wǎng)絡(luò)安全防御能力、網(wǎng)絡(luò)安全響應(yīng)效率和準(zhǔn)確性具有重要意義。

0 2

異常檢測方法

異常檢測是指在所有的數(shù)據(jù)樣本中，檢測出對大部分?jǐn)?shù)據(jù)樣本具有顯著偏離性的異常樣本。幾十年來，異常檢測一直受到眾多學(xué)者的關(guān)注，隨著風(fēng)險管理、安全、人工智能安全等領(lǐng)域的崛起，對于異常檢測任務(wù)的需求也在不斷增加。異常檢測的方法主要分為以下幾類（見圖1）。

圖1異常檢測方法分類

基于概率統(tǒng)計的異常檢測方法可以在給定數(shù)據(jù)符合假設(shè)的分布時取得很好的效果并對結(jié)果給出非常好的解釋，但是此類方法常常難以用于真實(shí)世界的高維數(shù)據(jù)?；谥貥?gòu)的異常檢測旨在構(gòu)建可以重構(gòu)正常圖像的網(wǎng)絡(luò)模型?；诜诸惙椒▽?shí)現(xiàn)異常檢測的基本假設(shè)是使用已有的特征向量或者變換過后的特征向量訓(xùn)練精準(zhǔn)分類器從而檢測出真正異常樣本?；谏疃染垲惖漠惓z測旨在學(xué)習(xí)表征，使異常在新學(xué)習(xí)的表征空間中明顯偏離聚類集群。

0 3

網(wǎng)絡(luò)安全技術(shù)

目前網(wǎng)絡(luò)安全防御技術(shù)是一個多層次、多方面的復(fù)雜體系，涵蓋了多種技術(shù)手段和策略，旨在保護(hù)網(wǎng)絡(luò)空間免受各種威脅和攻擊?；A(chǔ)防御技術(shù)目前主要有如下幾種：認(rèn)證與授權(quán)、加密技術(shù)、防火墻。隨著人工智能、大數(shù)據(jù)等技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全防御技術(shù)也得到了前所未有的進(jìn)步和革新。以下是現(xiàn)有的主流網(wǎng)絡(luò)安全防御技術(shù)。

a）智能威脅檢測與防御。在網(wǎng)絡(luò)安全領(lǐng)域，智能威脅檢測與防御利用人工智能和機(jī)器學(xué)習(xí)技術(shù)，專注于對潛在的網(wǎng)絡(luò)攻擊進(jìn)行高精度的識別和響應(yīng)。

b）安全態(tài)勢感知。利用大數(shù)據(jù)技術(shù)對網(wǎng)絡(luò)環(huán)境進(jìn)行全面的監(jiān)控和分析，通過對海量網(wǎng)絡(luò)數(shù)據(jù)的挖掘和分析以及安全態(tài)勢感知能夠發(fā)現(xiàn)網(wǎng)絡(luò)安全的整體態(tài)勢，如漏洞的分布、攻擊的集中度、防御資源的分布等。

0 4

基于異常檢測的網(wǎng)絡(luò)安全技術(shù)

異常數(shù)據(jù)作為網(wǎng)絡(luò)安全檢測中的重點(diǎn)監(jiān)控對象，存在樣本不均衡、數(shù)據(jù)缺少標(biāo)注以及異常多樣化等問題。本文致力于研究網(wǎng)絡(luò)安全領(lǐng)域的未知類別異常檢測，用于檢測不屬于已知正常類別的異常類數(shù)據(jù)，為網(wǎng)絡(luò)異常入侵提供安全預(yù)警信息，其主要包括3個部分：基于聚類方法的類別信息學(xué)習(xí)、基于自信息量的數(shù)據(jù)結(jié)構(gòu)模式學(xué)習(xí)以及基于三元組的類別模式信息聯(lián)合優(yōu)化學(xué)習(xí)。

4.1基于聚類方法的類別信息學(xué)習(xí)

基于聚類方法的類別信息學(xué)習(xí)在機(jī)器學(xué)習(xí)領(lǐng)域中占據(jù)重要位置。這是一種無監(jiān)督學(xué)習(xí)方法，它突破了預(yù)定義類別標(biāo)簽的限制，通過數(shù)據(jù)對象間的相似性，智能地將海量數(shù)據(jù)劃分為不同的類或簇。這種方法不僅有助于更深入地理解數(shù)據(jù)的內(nèi)在結(jié)構(gòu)和特征，還能為后續(xù)的數(shù)據(jù)分析和應(yīng)用提供有價值的類別信息，在數(shù)據(jù)挖掘、圖像處理、生物信息學(xué)等領(lǐng)域具有廣泛的應(yīng)用前景。

4.2基于自信息量的數(shù)據(jù)結(jié)構(gòu)模式學(xué)習(xí)

原始圖像對經(jīng)過幾何變換的自身圖像有很強(qiáng)的內(nèi)在響應(yīng)，即存在較大的自信息量。本文通過挖掘樣本的自信息量，學(xué)習(xí)已知類別樣本的數(shù)據(jù)結(jié)構(gòu)模式信息，提高特征判別力。給定一個圖像樣本x和一個幾何變換G，可以用x'=G⋅x表示變換后的樣本。一個訓(xùn)練良好的特征提取器fθ應(yīng)使這2個樣本具有相同的標(biāo)簽并且fθ(x)≈fθ(x')。因此，將fθ(x)和fθ(x')之間的距離作為特征不變損失：

其中，lr為l2范數(shù)，用于測量原始樣本和轉(zhuǎn)換樣本的預(yù)測結(jié)果之間的距離。x和由轉(zhuǎn)換產(chǎn)生的G⋅x可被視為“易正例對”，它可以很好地穩(wěn)定訓(xùn)練，提高性能。

4.3基于三元組的類別模式信息聯(lián)合優(yōu)化學(xué)習(xí)

本文最大限度地利用同一樣本的深層特征和淺層特征之間的互信息，從而能夠保證表征之間的一致性。將2個隨機(jī)變量D和S之間的互信息轉(zhuǎn)換為由J聯(lián)合分布及其邊緣M的乘積所產(chǎn)生的樣本之間的JS散度（Jensen-Shannon divergence，JSD）。相應(yīng)地，不同層的特征只有在屬于同一樣本特征時才服從聯(lián)合分布，否則服從邊緣分布。所以基于JS散度的互信息被定義為：

MIJSD(D,S)=EJ{-sp[-T(d,s)]}-EM

其中，d對應(yīng)深層特征，s對應(yīng)淺層特征，T是用來區(qū)分d和s是否是從聯(lián)合分布中抽樣的判別器，sp(z)=log(1+ez)是softflus函數(shù)。在鑒別器的輸入中加入局部性知識可以提高表征的質(zhì)量。

本文還引入了正樣本對的互信息損失。通過選擇具有相同錨點(diǎn)的正樣本對和負(fù)樣本對來構(gòu)建三重相關(guān)性，從而將互信息監(jiān)督提升為三級監(jiān)督。

4.4網(wǎng)絡(luò)訓(xùn)練及異常檢測

在網(wǎng)絡(luò)訓(xùn)練的過程中，最終目標(biāo)函數(shù)可以表示為：

其中，α和β是平衡不同損失的常數(shù)，圖片=LPG+L'PG為整體偽圖損失，圖片=LPL+L'PL為整體偽標(biāo)簽損失。通過計算高置信度偽圖和偽標(biāo)簽來指導(dǎo)原始樣本和轉(zhuǎn)換樣本之間的特征學(xué)習(xí)，研究不同樣本之間的相關(guān)性和小擾動下的局部魯棒性。同時，為了研究鑒別特征學(xué)習(xí)的特征對應(yīng)關(guān)系，利用偽圖選擇高置信度的正負(fù)樣本對進(jìn)行三重互信息優(yōu)化。

圖2為整個網(wǎng)絡(luò)的訓(xùn)練流程圖。最終訓(xùn)練得到的網(wǎng)絡(luò)模型“記憶”了已知類別的類別模式，對于已知類別樣本判定為較大的自信息量，而未知類別樣本則判定為較小的自信息量，由此實(shí)現(xiàn)了對未知類別數(shù)據(jù)樣本的異常檢測。

圖2網(wǎng)絡(luò)訓(xùn)練流程

0 5

數(shù)據(jù)輸出及結(jié)果驗(yàn)證

為驗(yàn)證本算法的有效性，訓(xùn)練及測試數(shù)據(jù)采用國際公開的CIFAR-10數(shù)據(jù)集。本文將接收者操作特征曲線（Receiver Operating Characteristic，ROC）下的面積（Area Under Curve，AUC）作為最終的性能評估結(jié)果。為了驗(yàn)證所提算法的有效性和先進(jìn)性，本文對比了近年來異常檢測領(lǐng)域的多種優(yōu)秀方法，分別是：OC-SVM、KDE、VAE、PixCNN、MemAE、OCGAN和GANomaly。

表1展示了本文算法與對比算法在CIFAR-10數(shù)據(jù)集上的評估結(jié)果，表1中數(shù)值為圖像級的AUC指標(biāo)，加粗顯示代表效果優(yōu)于其他算法。從表1可以看出，本文所提出的方法得到的圖像級AUC平均為70.36%，高于二分類算法（OC-SVM）12個百分點(diǎn)，高于GANomaly方法1個百分點(diǎn)，高于OCGAN方法5個百分點(diǎn)。實(shí)驗(yàn)結(jié)果表明本文所提出的方法CIFAR-10數(shù)據(jù)集上異常檢測性能優(yōu)于其他幾個算法，證明本文方法能夠有效判斷類級別的異常情況。

表1本文算法與某些最新算法在CIFAR-10數(shù)據(jù)集上的不同類別的AUC值的比較結(jié)果（單位：%）

0 6

異常檢測技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的落地應(yīng)用

6.1網(wǎng)絡(luò)流量監(jiān)控與分析

企業(yè)內(nèi)部網(wǎng)絡(luò)每天承載著大量的數(shù)據(jù)傳輸和訪問請求。網(wǎng)絡(luò)流量監(jiān)控是網(wǎng)絡(luò)安全的關(guān)鍵環(huán)節(jié)。通過對網(wǎng)絡(luò)流量的實(shí)時監(jiān)控和分析，可以檢測異常流量模式，預(yù)防DDoS攻擊、網(wǎng)絡(luò)入侵等安全威脅。為了保障數(shù)據(jù)安全和防止未經(jīng)授權(quán)的訪問，企業(yè)可以部署基于圖像異常檢測的網(wǎng)絡(luò)安全威脅感知系統(tǒng)（見圖3）。

圖3網(wǎng)絡(luò)安全威脅感知系統(tǒng)

通過監(jiān)控網(wǎng)絡(luò)流量數(shù)據(jù)，將網(wǎng)絡(luò)流量數(shù)據(jù)轉(zhuǎn)化為圖像形式，如流量熱力圖、流量時序圖等，隨后應(yīng)用本文提出的圖像異常檢測算法，對這些圖像進(jìn)行分析，識別出與正常流量模式不同的異常圖像。結(jié)合深度學(xué)習(xí)算法，對異常圖像進(jìn)行進(jìn)一步分類和識別，確定異常流量的類型和來源。最后，根據(jù)檢測結(jié)果，采取相應(yīng)的安全措施，如阻斷異常流量、發(fā)送告警信息等。

6.2惡意代碼檢測

惡意代碼是網(wǎng)絡(luò)攻擊的主要手段之一。通過檢測網(wǎng)絡(luò)中的惡意代碼，可以有效預(yù)防病毒、木馬等惡意軟件的傳播和破壞。利用圖像識別技術(shù)，可將惡意代碼的特征（如代碼結(jié)構(gòu)、函數(shù)調(diào)用關(guān)系等）轉(zhuǎn)化為圖像形式。隨后應(yīng)用圖像異常檢測算法，對這些圖像進(jìn)行分析，識別出與正常代碼不同的異常圖像。結(jié)合機(jī)器學(xué)習(xí)算法，對異常圖像進(jìn)行進(jìn)一步分類和識別，確定惡意代碼的類型和危害程度。最終，根據(jù)檢測結(jié)果，采取相應(yīng)的處理措施，如隔離感染主機(jī)、清除惡意代碼等。

6.3用戶行為分析

用戶行為分析是網(wǎng)絡(luò)安全管理的重要方面。通過對用戶在網(wǎng)絡(luò)中的行為進(jìn)行分析，可以及時發(fā)現(xiàn)異常行為，預(yù)防內(nèi)部攻擊和數(shù)據(jù)泄露。利用圖像識別技術(shù)，可將用戶行為數(shù)據(jù)，如登錄時間、操作記錄等，轉(zhuǎn)化為用戶行為時間序列圖、用戶行為模式圖等。應(yīng)用圖像異常檢測算法，識別出與正常用戶行為模式不同的異常圖像。結(jié)合深度學(xué)習(xí)算法，對異常圖像進(jìn)行進(jìn)一步分類和識別，確定異常行為的類型和潛在風(fēng)險。最終，根據(jù)檢測結(jié)果，采取相應(yīng)的處理措施，如限制異常用戶權(quán)限、進(jìn)行安全審計等。

0 7

結(jié)論與展望

本研究基于異常檢測技術(shù)，提出了一種更有效的網(wǎng)絡(luò)安全檢測實(shí)現(xiàn)方式。與傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)相比，基于異常檢測的網(wǎng)絡(luò)安全檢測技術(shù)在無監(jiān)督的條件下，采用聚類和信息量學(xué)習(xí)聯(lián)合優(yōu)化，挖掘數(shù)據(jù)模式信息，檢測不屬于已知正常類別的異常類數(shù)據(jù)。本研究為網(wǎng)絡(luò)安全異常入侵檢測提供了新的思路和方法，對于提高網(wǎng)絡(luò)安全防御能力具有重要意義。