关于机器学习在网络安全中的应用

孙敬

（郑州工业应用技术学院信息工程学院 河南省郑州市 451100）

网络安全的概念范围相对是比较宽的，在百度百科这个方面，对网络安全的定义比较独特。一般指网络系统硬件以及软件以及系统里一些受到保护的数据等，不会因为一些比较特殊的原因，或是具有针对性的原因受到破坏。系统必须要更加连续的，并且始终保持稳定来进行运行，网络服务也不能中断，一般情况下，会将计算机的网络所面临安全性这方面的威胁可以分为被动攻击还有主动攻击。被动攻击一般指攻击者通过网络上的一些手段，对别人的通信内容偷听，这样的攻击也可以被称为截获。被动攻击也可以被称作流量分析，主要指在进行被动攻击的时候，攻击者对某一个比较特殊的协议数据单元进行观察和分析，为了达到交换数据的要求和目的，会干扰到信息流。而主动攻击主要指的就是故意对网络上面所传送的报文进行篡改，以及一些恶意的程序和拒绝服务等。一般情况下后者主要指的是攻击者朝着网络上的某一个服务器进行分组攻击，使这个服务器难以提供服务，甚至会导致这个服务器彻底瘫痪。而机器学习有可能会被认为是一组，可以使用经验数据对系统性能改善的算法集合。本文主要讨论了在机器学习技术网络安全角度方面的学习过程中的使用流程。机器学习在网络安全的探索过程当中，应用流程主要包括有抽象以及安全特征提取等几个阶段，在使用流程中，每一个阶段都是无法相互独立存在的，彼此之间有可能会存在一些联系。

1 机器学习的概述

机器学习是人工智能最核心的内容，一般情况下，主要是为了模拟人类的行为而存在。通过学习的办法，让计算机可以获取更多的技能以及知识，使其变得更加聪明和智能，并且完成组织结构方面的优化，让机器学习可以成为一种非常智能化的过程。怎样才能够让机器拥有其特定的学习行为，对于这一点，不同的学者其各自所探索的内容是不一样的，总之，机器学习和推理过程相互之间的关系非常紧密，这一点获得了大部分人的认同。所以，可以把机器学习的策略分成几个不同的板块，机器学习所涉及到的范围是非常广的，主要是在很多种知识以及技术的交叉作用之下的一种结果。很多专业的学科都涉及的其中，对机器学习分类可以分为以下几个模块，首先是在学习策略分类的基础上来进行分类。可以分成机械学习以及示教学习，还有类比学习和基于解释的学习等。其次是在获取知识以及表示形式方面分类的。可以分成代数表达式参数以及图和网络，还有多种表示形式组合等。再次就是根据应用的领域来分类，可以分成自然语言以及图像识别，还有知识模拟等。以及综合分类可以分成经验性的归纳学习和分析学习，还有类比学习等[1]。

2 机器学习在网络安全中应用的意义

2.1 面向具体任务

在面向具体任务的时候，主要需要对其中的特定任务，以及执行性能的学习系统进行分析和探索[2]。

2.2 认知模型

认知模型主要需要考察以及理解的，是人类学习的过程，并且要对整个学习过程进行计算机类的模拟。

2.3 理论研究

主要指的是在理论方面对各种不同的机器学习方法以及比较通用的机器学习方法进行考察。

2.4 机器学习本质

通过对机器学习本质情况进行分析，不难发现这是一种在大数据比较集中的情况下，引入一些数学类的基数。来构建整个机器行为的模型，并且通过不断地输入一些新的数据资料，让机器能够全面的分析各个不同时段的数据，并且在其运算的基本条件下，对未来进行一系列的科学预测。根据机器学习在网络安全过程当中的应用意义，不难发现，这方面主要体现为机器的学习是在自身能力，相对比较强的数据分析能力的基础上进行的，在实际应用的时候，可以让用户更加有效地及时回应网络安全的事件。特别是在有一些团队的安全技能明显有所缺陷的情况下，可以使用自动执行的方式，来代替团队执行，完成一些比较琐碎的系统安全类的任务，这种方式可以真正的保障用户在使用过程当中的网络安全。而机器学习和传统电子产品相互结合起来，可以清除在产品里面的一些恶意软件，达到使整个产品的安全系数提升，并且可以运行得更加稳定的目的。

3 常用的网络安全研究

3.1 恶意软件检测技术

目前，在我国的软网民使用软件的时候，网络安全方面最重要的威胁之一就是恶意软件，如果没有通过授权的情况下，恶意软件会自动运行并且安装于系统里，为了可以这样达到一些不正当目的，早期有很多恶意软件是比较常见的计算机病毒，而恶意软件检测也只是对病毒进行扫描。但是目前的信息技术变得更加发达，而软件技术也获得了很大的提升，恶意软件也已经扩大了经营范围，不仅仅只是局限在一些计算机病毒的方面甚至会出现很多比较新的恶意软件。比如特征码技术以及驻留式软件技术和虚拟机技术等。时间保留最久，而且目前依然会使用到的就是第一种技术。特征码的技术主要是指，在对病毒样本提炼获取之后，将其中的一些特征值分析出来，然后，通过对特征值的关注来扫描计算机当中的各个文件或是内存系统，一旦发现比较类似的特征，那么很有可能就已经感染了病毒。随着病毒的技术在发展，虚拟机也已经受到了人们的广泛关注。通过虚拟机可以虚拟一些相对较为典型的运行环境，让病毒可以在这样的环境下运行，之后再对执行情况检查[3]。

3.2 入侵检测技术

入侵检测主要指的是一种，对想要入侵或是已经开始了入侵行为，甚至已经完成了入侵的整个行为的识别过程。在尽量避免影响网络性能的状况下，要及时监测网络，并且要收集在计算机网络或是系统里的一些关键的信息，对这些信息完成分析。通过分析类似信息可以知道是否会存在被攻击的情况。目前可以把入侵检测的方法分成特异检测和异常检测这两种不同的方法。特性检测也可以被叫做误用检测，是一种可以把已知的入侵通过一种典型的模式所表现出来，把这种入侵形成网络特征的数据库，之后，再使用网络特征数据库里面的特征，将其和输入带的分析数据来源相互进行比较，如果发现了能够匹配的特征，可以证明攻击已经发生过一次。而异常检测不必对相对较大的网络攻击特征库，只用收集一些相对较为正常的活动规律，将其需要检测的活动进行收集，和正常活动规律比较，一些比较典型的明显违反了正常规律的行为，就是入侵[4]。

4 机器学习在网络安全研究中的应用

4.1 机器学习在入侵检测中的应用

分类学习当中的一些分类方法，主要是为了确定需要分析的数据里的哪一种对象从属于哪一个预定的目标类，在进行入侵检测的时候，可以应用机器学习的分类方法，把入侵检测看作是一种比较重要的分类问题，主要目标是把需要检测的元数据分成正常活动以及入侵活动。在机器学习里分类方法的基础上，整个入侵过程可以分成以下几种不同的别类，首先，要使用一些含有比较正常的数据，和一些具有入侵行为的顺序。可以将这些数据当做是训练的模型，使用分类算法的方式对其进行学习，并且可以合理地建立分类模型。分类模型能够有效的进行转换，使其识别比较正常的活动，让不同的入侵行为能够更加明显被发现。之后使用类似规则，对待检测数据进行分析判断，并且完成分类，了解这些数据是市场活动又或者是入侵行为。机器学习当中的分类方法，能够在一些比较繁杂的审计数据和网络数据里抽取出来，充分对网络连接还有主机绘画的特征来进行描述的部分选取分类模型，了解在一些需要检测数据当中所隐藏的入侵行为的分类规则。机器学习最重要的分类方法，已经在入侵检测中获得相对比较广泛的使用，决策树和支持向量机以及人工网神经网络等，这些都是相对较有经典的分类方式，目前几乎都已经被使用在入侵的检测里[5]。

4.2 机器学习在恶意软件检测的应用

这些年来产生了很多在机器学习算法基本条件下的一些恶意软件的检测成果。机器学习可以被大批量的应用在一些检测恶意软件的方面。并且也已经取得了比较有效的突破。目前有很多工作人员将机器学习技术应用在了对恶意软件检测方面，比如分类计数等就比较成熟。分类技术一般情况下主要指在检测恶意软件的时候，对已知恶意软件还有一些比较正常的样本数据学习，使用相对较为合理的方式，建立恶意软件分类模型，之后再通过类似的模型，监测位置文件判断这个软件是否为恶意软件。在一些以分类技术为条件的检测过程中，包括有两个相对教育特殊的步骤，首先就是训练针对恶意软件的分类模型，其次是检测恶意软件。在对恶意软件分类模型训练的过程中，首先，需要在文本的训练样本当中提取出其特征之后，建立起一个数据库使用相对较为确定的机器学习类的算法。对恶意软件的分类模型进行训练，再将分类模型生成之后，把检测样本当中的一些特征数据提取出来，构建出一个相对较为全面的文本样本方面的检测数据集。和已经训练过后的恶意软件的分类模型相互结合，对数据集进行分类检测，然后再得到检测结果，并且在进行机器学习的时候，使用决策树的分类算法等，在恶意软件检测里都被成功的使用[6]。

5 结束语

综上所述，目前的网络空间方面的发展是非常迅速的，目前有很多问题都需要理解决。这些网络安全应用的需要，相对较为急切，这也让工作人员持续把比较经典的算法，使用在网络安全方面的领域。在机器学习的技术基础上，网络安全所探索出来的成果也已经持续出现在了一些较为专业的报道当中，这些成果可以解决目前在网络安全方面的很多问题。特别是一些机器学习类的算法，都能够比较明显的拥有可以解决网安全问题的突出的能力。当然，这些技术方案目前很难完全满足对网络安全方面的一些需求，所以工作人员必须对其进行探索，使用机器学习技术，仍然是一个具有一定难度的工作在尽量解决安全问题的过程中，机器学习本身的难点也是比较显著的，因此怎样才能够挑选一个更加合理的方式，利用计算机器学习算法，解决网络安全问题，需要相关人员更多的探索，使其获得更多提升。