王郁夫, 李沛辰, 易 波, 王興偉*

(東北大學(xué) a.計算機(jī)科學(xué)與工程學(xué)院； b.軟件學(xué)院， 遼寧 沈陽 110169)

1 研究背景

1969年以來，互聯(lián)網(wǎng)伴隨著人類已經(jīng)發(fā)展了半個多世紀(jì)，從最初的軍用網(wǎng)絡(luò)ARPANET到如今的萬維網(wǎng)，互聯(lián)網(wǎng)已經(jīng)滲透到了我們生活中的方方面面.據(jù)《Digital 2021 Global Overview Report》[1]統(tǒng)計，全球互聯(lián)網(wǎng)使用人數(shù)已經(jīng)達(dá)到46.6億，普及率達(dá)到59.5%.在生活中，人們只需要打開自己的網(wǎng)絡(luò)設(shè)備，敲動指尖點擊屏幕，就隨時可以盡情享受從溝通交流到衣食住行的全方位服務(wù).不僅如此，自從20世紀(jì)以來，互聯(lián)網(wǎng)領(lǐng)導(dǎo)的信息技術(shù)革命正在不斷推動世界經(jīng)濟(jì)的快速發(fā)展.以中國的經(jīng)濟(jì)水平為例，根據(jù)《中國數(shù)字經(jīng)濟(jì)發(fā)展白皮書(2020)》[2]統(tǒng)計，在2005年，我國數(shù)字經(jīng)濟(jì)占GDP僅為14.2%，但2019年，這一數(shù)字上升至36.2%，數(shù)字經(jīng)濟(jì)已經(jīng)成為國家經(jīng)濟(jì)發(fā)展的最大動力.同時，隨著2020年以來新冠肺炎疫情在全球范圍的爆發(fā)，互聯(lián)網(wǎng)支持的“數(shù)字經(jīng)濟(jì)”更是成為對沖疫情的影響、重塑經(jīng)濟(jì)結(jié)構(gòu)體系、增強(qiáng)治理水平的重要推動力.我國最新發(fā)布的《世界互聯(lián)網(wǎng)發(fā)展報告2020》[3]指出，在新冠疫情沖擊全球經(jīng)濟(jì)社會發(fā)展的大環(huán)境下，數(shù)字經(jīng)濟(jì)被視為全球經(jīng)濟(jì)復(fù)蘇新引擎.在未來，世界各國應(yīng)該大力推進(jìn)以5G、人工智能、物聯(lián)網(wǎng)等為代表的信息基礎(chǔ)設(shè)施建設(shè)，數(shù)字技術(shù)的快速發(fā)展，帶動了產(chǎn)業(yè)深度融合.

隨著互聯(lián)網(wǎng)衍生的數(shù)字經(jīng)濟(jì)的高速發(fā)展，網(wǎng)絡(luò)安全逐漸成為現(xiàn)代社會萬物互聯(lián)和技術(shù)發(fā)展過程中愈發(fā)明顯的治理難題，也逐漸受到世界各國的重視.網(wǎng)絡(luò)安全不只是通信行業(yè)的問題，已經(jīng)逐漸輻射到社會、經(jīng)濟(jì)、軍事等更為重要的領(lǐng)域.盡管世界各國都在不斷強(qiáng)化網(wǎng)絡(luò)安全技術(shù)，增大網(wǎng)絡(luò)安全領(lǐng)域的投入力度，但網(wǎng)絡(luò)安全技術(shù)的發(fā)展仍舊落后于惡意使用網(wǎng)絡(luò)技術(shù)的步伐，網(wǎng)絡(luò)威脅的發(fā)生頻率、惡劣影響和防護(hù)的復(fù)雜性都在不斷升級.令人激動的是，近年來，隨著人工智能的發(fā)展，人工智能技術(shù)在網(wǎng)絡(luò)安全的應(yīng)用上給人們提供了一種新的解決網(wǎng)絡(luò)安全威脅的可行方法.人工智能技術(shù)擁有類人的邏輯能力，能夠使機(jī)器實現(xiàn)對物理世界的認(rèn)知并實現(xiàn)自主決策，其內(nèi)在邏輯是通過數(shù)據(jù)輸入理解世界，或通過傳感器感知環(huán)境，然后運用模式識別實現(xiàn)數(shù)據(jù)的分類、聚類、回歸等分析，并據(jù)此做出最優(yōu)的決策推薦.進(jìn)一步地，當(dāng)人工智能運用到網(wǎng)絡(luò)安全領(lǐng)域時，機(jī)器自動化和機(jī)器學(xué)習(xí)等技術(shù)能有效且高效地幫助人類預(yù)測、感知和識別安全風(fēng)險，快速檢測定位危險來源，分析安全問題產(chǎn)生的原因和危害方式，綜合智慧大腦的知識庫判斷并選擇最優(yōu)策略，采取緩解措施或抵抗威脅，甚至提供進(jìn)一步緩解和修復(fù)的建議.這個過程不僅將人們從繁重、耗時、復(fù)雜的任務(wù)中解放出來，面對不斷變化的風(fēng)險環(huán)境、異常的攻擊威脅形態(tài)比人更快、更準(zhǔn)確，綜合分析的靈活性和效率也更高.

因此，為了推進(jìn)網(wǎng)絡(luò)安全技術(shù)研究的發(fā)展，本文主要總結(jié)人工智能技術(shù)在網(wǎng)絡(luò)安全問題中的應(yīng)用所帶來的賦能效果，重點介紹了網(wǎng)絡(luò)安全領(lǐng)域使用的機(jī)器學(xué)習(xí)和深度學(xué)習(xí)方法及其描述，旨在幫助那些希望開始研究機(jī)器學(xué)習(xí)和深度學(xué)習(xí)技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域的研究者們進(jìn)行總體的調(diào)研.本文中，首先對現(xiàn)今網(wǎng)絡(luò)環(huán)境中的安全問題進(jìn)行介紹并按照其特點進(jìn)行基礎(chǔ)分類.進(jìn)而，介紹了人工智能領(lǐng)域的主流技術(shù)和模型，并結(jié)合上述安全問題的分類舉例說明這些技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用.在調(diào)研中，主要統(tǒng)計了近5年該領(lǐng)域中的研究工作，確保在每一個網(wǎng)絡(luò)安全分類介紹中都包含機(jī)器學(xué)習(xí)或深度學(xué)習(xí)中各種基于主流模型衍生來的優(yōu)秀的研究工作.最后，對現(xiàn)階段人工智能技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用給出了總結(jié)，并提出了其在未來的網(wǎng)絡(luò)安全應(yīng)用中的風(fēng)險與挑戰(zhàn).

2 網(wǎng)絡(luò)安全定義與分類

2.1 網(wǎng)絡(luò)安全定義

近年來，用于討論數(shù)字設(shè)備及信息安全性方面的術(shù)語發(fā)生了很大的變化.21世紀(jì)初，在這種語境下經(jīng)常使用的術(shù)語是計算機(jī)安全、IT安全或信息安全.然而，隨著時間的推移，網(wǎng)絡(luò)安全這個新的術(shù)語開始變得越來越流行.搜索詞“計算機(jī)安全和信息安全”的數(shù)量在穩(wěn)步下降，而和“網(wǎng)絡(luò)安全”有關(guān)的各種變體正在超越它們.

雖然網(wǎng)絡(luò)安全是一個被廣泛使用的術(shù)語，但是其定義變化很大，主觀性較強(qiáng).到目前為止，網(wǎng)絡(luò)安全并沒有一個通用的、被普遍接受的定義.文獻(xiàn)[4]通過研究現(xiàn)有的、由權(quán)威提供的網(wǎng)絡(luò)安全定義，基于各種詞匯和語義分析技術(shù)，試圖更好地理解這些定義的范圍、語境以及相關(guān)性.最終，基于所進(jìn)行的分析，提出了一個改進(jìn)的更具代表性的定義：組織和國家為保護(hù)網(wǎng)絡(luò)空間中使用的數(shù)據(jù)和資產(chǎn)的機(jī)密性、完整性和可用性而遵循的與安全風(fēng)險管理流程相關(guān)的方法和行動.該概念包括指導(dǎo)方針、政策、保障措施、技術(shù)、工具以及培訓(xùn)的集合，為網(wǎng)絡(luò)環(huán)境及其用戶的狀態(tài)提供最佳保護(hù).

2.2 網(wǎng)絡(luò)安全分類

網(wǎng)絡(luò)安全是一個龐大的研究領(lǐng)域，涉及到方方面面的技術(shù)，通過結(jié)合近年來對人工智能和網(wǎng)絡(luò)安全的相關(guān)研究文獻(xiàn)[5-8]，綜合考慮其研究結(jié)果，以及本文在Web of Science、Google Scholar、知網(wǎng)等平臺上的檢索統(tǒng)計結(jié)果，選出了4個最受關(guān)注的研究方向，分別是網(wǎng)絡(luò)入侵、惡意軟件、網(wǎng)絡(luò)釣魚和垃圾郵件.下面對這些方向進(jìn)行簡要的介紹.

2.2.1 網(wǎng)絡(luò)入侵

網(wǎng)絡(luò)入侵是指任何未經(jīng)授權(quán)的訪問、操縱、修改或破壞信息的嘗試，或遠(yuǎn)程使用計算機(jī)系統(tǒng)發(fā)送垃圾郵件、進(jìn)行黑客攻擊或修改其他計算機(jī)的行為.入侵檢測系統(tǒng)(IDS)智能地監(jiān)視計算資源中發(fā)生的活動，例如網(wǎng)絡(luò)流量和計算機(jī)使用情況，以分析事件并生成應(yīng)對措施.IDS通常監(jiān)視和分析用戶和系統(tǒng)活動，訪問系統(tǒng)和數(shù)據(jù)的完整性，識別惡意活動模式，對入侵產(chǎn)生反應(yīng)，并報告檢測結(jié)果.

根據(jù)檢測原理，文獻(xiàn)[9]將網(wǎng)絡(luò)入侵檢測分為以下3個方面:誤用/簽名檢測、異常檢測和混合檢測等.

(1)誤用/簽名檢測

誤用檢測又稱簽名檢測，是一種已知網(wǎng)絡(luò)誤用發(fā)生時產(chǎn)生警告的入侵檢測方法.簽名檢測技術(shù)度量輸入事件和已知入侵簽名之間的相似性.它標(biāo)記與預(yù)定義的入侵模式有相似之處的行為.因此，已知的攻擊類型可以立即被檢測到，但是簽名檢測不能檢測新的攻擊.

(2)異常檢測

當(dāng)被檢測對象的行為與預(yù)定義的正常模式有顯著差異時，異常檢測將觸發(fā)警告.因此，異常檢測技術(shù)被設(shè)計用于檢測與預(yù)期的正常模型相偏離的行為.在網(wǎng)絡(luò)安全中，異常檢測包括檢測惡意活動，例如滲透和拒絕服務(wù).該方法通常包括訓(xùn)練和檢測兩個步驟.在訓(xùn)練步驟中，機(jī)器學(xué)習(xí)技術(shù)用于在沒有攻擊的情況下生成正常模式的描述；在檢測步驟中，如果事件記錄明顯偏離正常的模式，則將輸入事件標(biāo)記為攻擊[10].

(3)混合檢測

大多數(shù)IDS要么采用誤用檢測技術(shù)，要么采用異常檢測技術(shù).這兩種方法都存在缺陷：誤用檢測技術(shù)缺乏檢測未知入侵的能力；異常檢測技術(shù)通常產(chǎn)生很高的虛報率.為了改進(jìn)入侵檢測技術(shù)，研究人員提出了混合檢測技術(shù)，將異常檢測和誤用檢測技術(shù)結(jié)合在入侵檢測中.

2.2.2 惡意軟件

惡意軟件是一種通過傳播滲透到計算機(jī)系統(tǒng)，破壞其安全性、完整性和功能性的軟件.不同類型的惡意軟件包括病毒、蠕蟲、木馬、后門、間諜軟件、僵尸網(wǎng)絡(luò)等.隨著互聯(lián)網(wǎng)用戶的日益普及，惡意軟件對計算機(jī)系統(tǒng)的安全構(gòu)成了嚴(yán)重威脅[11-12].

一般來說，惡意軟件檢測技術(shù)被分為3類: 靜態(tài)的、動態(tài)的和混合的.靜態(tài)方法分解和分析源代碼而不執(zhí)行它.雖然速度很快，但是會產(chǎn)生很高的假陽性率.此外，無法檢測到混淆的惡意軟件.動態(tài)分析技術(shù)在監(jiān)視虛擬環(huán)境中執(zhí)行代碼相互作用的同時，消耗了大量的時間和內(nèi)存資源，而混合方法則利用了靜態(tài)和動態(tài)方法的優(yōu)點.

2.2.3 網(wǎng)絡(luò)釣魚

在網(wǎng)絡(luò)安全領(lǐng)域，釣魚是一種犯罪性欺詐過程，通過在電子通信中偽裝成一個可信賴的實體，試圖獲取敏感信息，如用戶名、密碼和信用卡信息.網(wǎng)絡(luò)釣魚一般是通過電子郵件或即時通訊進(jìn)行的，通常會讓用戶在一個外觀和感覺幾乎與合法網(wǎng)站相同的虛假網(wǎng)站上輸入詳細(xì)信息.網(wǎng)絡(luò)釣魚是社會工程技術(shù)的一個例子，利用當(dāng)前網(wǎng)絡(luò)安全技術(shù)的低可用性來欺騙用戶.

2.2.4 垃圾郵件

垃圾郵件是指未經(jīng)請求就通過電子郵件大量發(fā)送的信息.大多數(shù)垃圾郵件本質(zhì)上是商業(yè)性的.但是，無論其是否商業(yè)化，垃圾郵件中的許多網(wǎng)站不僅令人厭煩，而且還很危險，因為它們可能包含鏈接，導(dǎo)向釣魚網(wǎng)站或包含惡意軟件的網(wǎng)站，或包含惡意軟件作為文件附件.垃圾郵件發(fā)送者從聊天室、網(wǎng)站、客戶列表、新聞組和獲取用戶地址的病毒中收集電子郵件地址，這些收集到的電子郵件地址有時也會賣給其他垃圾郵件發(fā)送者.

3 人工智能技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

“人工智能”這一詞語最早起源于1956年8月，約翰·麥卡錫、馬文·閔斯基、克勞德·香農(nóng)等在美國達(dá)特茅斯學(xué)院的會議中對人工智能給出了最初的定義：“用機(jī)器來模仿人類學(xué)習(xí)以及其他方面的智能”.從90年代開始，物理計算能力的提升使得人工智能迎來了飛速發(fā)展，到了現(xiàn)在，互聯(lián)網(wǎng)技術(shù)的成熟、大數(shù)據(jù)、云計算等支撐技術(shù)的完善讓人工智能的發(fā)展變得越來越快，人工智能帶來的強(qiáng)大學(xué)習(xí)和計算能力正不斷被應(yīng)用于網(wǎng)絡(luò)態(tài)勢分析、計算機(jī)視覺、語音識別，自然語言處理等多種領(lǐng)域.近年來，人工智能技術(shù)也被廣泛應(yīng)用于網(wǎng)絡(luò)安全防護(hù)中，能夠很好地解決網(wǎng)絡(luò)入侵、惡意軟件、網(wǎng)絡(luò)釣魚和垃圾郵件等方面的問題.在本節(jié)中，首先將網(wǎng)絡(luò)安全中應(yīng)用的人工智能基礎(chǔ)技術(shù)進(jìn)行分類，重點介紹其中的機(jī)器學(xué)習(xí)和深度學(xué)習(xí)方法，進(jìn)而，針對網(wǎng)絡(luò)安全中不同的常見問題，對近年來相關(guān)工作中的解決方案和帶來的賦能效果進(jìn)行系統(tǒng)性的總結(jié).

3.1 傳統(tǒng)機(jī)器學(xué)習(xí)賦能網(wǎng)絡(luò)安全

本文將傳統(tǒng)的機(jī)器學(xué)習(xí)劃分為3類，分別是決策樹類機(jī)器學(xué)習(xí)方法、基于貝葉斯類的機(jī)器學(xué)習(xí)方法以及基于聚類的機(jī)器學(xué)習(xí)方法，進(jìn)而整體上介紹傳統(tǒng)的機(jī)器學(xué)習(xí)方法對網(wǎng)絡(luò)安全的賦能應(yīng)用.

機(jī)器學(xué)習(xí)中的“決策樹”能夠通過對歷史數(shù)據(jù)的分析，實現(xiàn)對求得目標(biāo)的分類或預(yù)測.決策樹代表的是對象屬性與對象值之間的一種映射關(guān)系.貝葉斯思想被總結(jié)為一種條件概率，即在事件B發(fā)生的情況下，事件A發(fā)生的概率.在20世紀(jì)后，樸素貝葉斯思想被廣泛應(yīng)用于機(jī)器學(xué)習(xí)的決策中，首先在不完全情報下，對部分未知的狀態(tài)用主觀概率估計，然后用貝葉斯公式對發(fā)生概率進(jìn)行修正，最后再利用期望值和修正概率做出最優(yōu)決策.聚類是機(jī)器學(xué)習(xí)中一種重要的無監(jiān)督訓(xùn)練算法，可以將數(shù)據(jù)點整合為一系列特定的組合.理論上分為同一類別的數(shù)據(jù)點具有相同的特征，而不同類別的數(shù)據(jù)點具有不同的屬性.網(wǎng)絡(luò)安全問題可以抽象映射為機(jī)器學(xué)習(xí)可以解決的問題，將機(jī)器學(xué)習(xí)應(yīng)用到網(wǎng)絡(luò)安全已成為近年來安全領(lǐng)域的研究熱點.

(1)網(wǎng)絡(luò)入侵

Panigrahi等[13]提出了一種基于c4.5的入侵檢測系統(tǒng)，該系統(tǒng)基于目前流行的統(tǒng)一樹構(gòu)造(CTC)算法，能夠有效地處理類別不平衡的數(shù)據(jù).已經(jīng)提出了一種稱為監(jiān)督相對隨機(jī)采樣(SRRS)的隨機(jī)采樣機(jī)制的改進(jìn)版本，用于在檢測器預(yù)處理階段從高級不平衡數(shù)據(jù)集中生成平衡樣本.實驗結(jié)果表明，該系統(tǒng)在NSL-KDD數(shù)據(jù)集和CICIDS2017數(shù)據(jù)集上有很高的檢測精度.

移動自組織網(wǎng)絡(luò)中節(jié)點的動態(tài)特性給網(wǎng)絡(luò)帶來了安全問題，大多數(shù)入侵檢測方法都在能量消耗方面取得了較好的檢測效果，但信任仍然是一個重要因素.Veeraiah等[14]提出了一種信任感知模糊聚類和模糊樸素貝葉斯(Trust-aware fuzzy clus-fuzzy NB)的自組網(wǎng)入侵檢測方案，模糊樸素貝葉斯通過節(jié)點信任表確定節(jié)點中的入侵行為.仿真實驗在存在和不存在節(jié)點攻擊的情況下進(jìn)行分析，并基于時延、能量、檢測率和吞吐量等指標(biāo)對所提方法進(jìn)行了驗證，仿真結(jié)果表明了所提方法的有效性.

數(shù)據(jù)質(zhì)量和訓(xùn)練算法被認(rèn)為是決定入侵檢測能力的兩個關(guān)鍵因素，現(xiàn)有的研究對數(shù)據(jù)質(zhì)量考慮的比較少，而這對于構(gòu)建一個高性能入侵檢測系統(tǒng)非常重要.Gu等[15]提出了一種基于支持向量機(jī)和樸素貝葉斯特征嵌入的入侵檢測框架.具體而言，它是一種數(shù)據(jù)質(zhì)量改進(jìn)技術(shù)，即樸素貝葉斯特征嵌入，將原始數(shù)據(jù)轉(zhuǎn)化為高質(zhì)量數(shù)據(jù)，然后利用支持向量機(jī)建立入侵檢測模型.實驗表明，該方法在UNSW-NB15， CICIDS2017，NSL-KDD，Kyoto 2006+等數(shù)據(jù)集上均取得了良好的效果.

k-means的簡單性和效率使得它在聚類分析中很受歡迎，然而k-means有收斂到局部最優(yōu)的趨勢，并且依賴于聚類中心的初始值.Chen等[16]提出了一種高效的混合聚類算法，稱為QALO-K，該算法結(jié)合量子計算和群體智能算法的優(yōu)點，對k-means算法進(jìn)行改進(jìn)，使k-means算法向全局最優(yōu)方向收斂.將該方法應(yīng)用于KDD Cup 99大型數(shù)據(jù)集進(jìn)行入侵檢測.仿真結(jié)果表明，該算法可以有效地用于數(shù)據(jù)聚類和入侵檢測.

(2)惡意軟件

靜態(tài)惡意軟件檢測是安全套件中的一個基本層，它試圖在執(zhí)行前將樣本分類為惡意或良性.Pham等[17]提出了一種使用梯度增強(qiáng)決策樹算法的靜態(tài)PE惡意軟件檢測方法，通過便攜式可執(zhí)行分析和梯度增強(qiáng)決策樹算法，適當(dāng)?shù)亟档吞卣骶S數(shù)來減少訓(xùn)練時間.在惡意軟件研究基準(zhǔn)數(shù)據(jù)集EMBER上，基于超過600 000次訓(xùn)練和200 000次測試，提出的方法有著良好的表現(xiàn).

為了更有效地檢測Android惡意軟件，Shang等[18]提出了一種基于改進(jìn)樸素貝葉斯分類的Android惡意軟件檢測模型.提出了基于改進(jìn)的樸素貝葉斯的惡意檢測算法提高檢測率，還提出了一種基于Pearson相關(guān)系數(shù)的相關(guān)方法來處理特權(quán)屬性，并利用Android應(yīng)用程序?qū)傩灾g的相關(guān)性對結(jié)果進(jìn)行優(yōu)化.

Zhang等[19]提出了一種新的Android惡意軟件聚類方法ANDRE，該方法利用異構(gòu)信息，包括代碼相似性、利用反病毒廠商的原始標(biāo)簽和元數(shù)據(jù)信息，共同學(xué)習(xí)一種混合表示，將網(wǎng)絡(luò)中的所有惡意軟件嵌入到一個低維、緊湊的混合特征空間中，有效地聚類弱標(biāo)記惡意軟件.

(3)釣魚網(wǎng)站

在網(wǎng)絡(luò)釣魚檢測方面，Zhu等[20]提出了一種基于決策樹和最優(yōu)特征選擇的神經(jīng)網(wǎng)絡(luò)釣魚檢測模型.首先，對傳統(tǒng)的K-medoids聚類算法進(jìn)行改進(jìn)，采用增量選擇初始中心的方法去除公共數(shù)據(jù)集中的重復(fù)點.然后，設(shè)計了一種基于新定義的特征評價指標(biāo)、決策樹和局部搜索方法的最優(yōu)特征選擇算法，以剔除負(fù)面的、無用的特征.最后，通過適當(dāng)調(diào)整參數(shù)構(gòu)造神經(jīng)網(wǎng)絡(luò)分類器的最優(yōu)結(jié)構(gòu)，并利用所選最優(yōu)特征進(jìn)行訓(xùn)練.實驗結(jié)果表明，該模型比現(xiàn)有的許多方法具有更高的性能.

(4)垃圾郵件

針對垃圾郵件數(shù)據(jù)集存在的嚴(yán)重不平衡問題，Lu等[21]提出了一種新的web垃圾郵件檢測集成分類器，分類器能夠自動采樣和選擇子分類器.通過構(gòu)建若干C4.5決策樹子分類器，利用這些子分類器構(gòu)造一個集成決策樹分類器，用于對測試數(shù)據(jù)中的實例進(jìn)行分類.在WEBSPAM-UK2006數(shù)據(jù)集上進(jìn)行的實驗表明，與一些基準(zhǔn)系統(tǒng)和最新方法相比，具有顯著的分類性能.

負(fù)選擇算法(NSA)是一種解決垃圾郵件問題的方法，然而，NSA方法缺乏連續(xù)適應(yīng)性，檢測性能較差.Chikh等[22]提出了一種新的基于改進(jìn)的NSA垃圾郵件檢測方法，即聚類NSA和果蠅優(yōu)化組合(CNSA FFO).該系統(tǒng)將實際的NSA與k-means聚類和FFO相結(jié)合，提高了經(jīng)典NSA的效率.通過對實際垃圾郵件數(shù)據(jù)集的性能和準(zhǔn)確性測試表明，CNSA FFO方法能夠比傳統(tǒng)的NSA方法和其他模型更好地檢測垃圾郵件.

隨著注冊用戶社交活動的增加，Twitter社交網(wǎng)絡(luò)越來越受歡迎，但是也有一些垃圾信息散布者利用Twitter傳播惡意信息，發(fā)布釣魚鏈接，用虛假賬戶在網(wǎng)絡(luò)上泛濫，并從事其他惡意活動.研究人員提出了許多方法來識別一組垃圾郵件發(fā)送者，然而每種方法都針對特定類別的垃圾郵件發(fā)送者.Adewole等[23]提出了一種不同的方法來檢測Twitter上的垃圾郵件發(fā)送者.該方法基于垃圾郵件帳戶之間存在的相似性，通過引入PCA和優(yōu)化的K-means算法來提高垃圾郵件發(fā)送者聚類的初始檢測，從200多萬條tweets中隨機(jī)選擇超過20萬個賬號進(jìn)行聚類，以檢測垃圾郵件發(fā)送者的聚類，實驗結(jié)果證明算法取得了良好的成果.

3.2 支持向量機(jī)賦能網(wǎng)絡(luò)安全

支持向量機(jī)(SVM)是由統(tǒng)計學(xué)習(xí)理論(SLT)發(fā)展而來的一種新的通用學(xué)習(xí)方法，主要解決高維空間的小樣本學(xué)習(xí)問題.SVM的主要思想是求解能夠正確劃分訓(xùn)練數(shù)據(jù)集并且?guī)缀伍g隔最大的分離超平面.SVM作為一種新穎的小樣本學(xué)習(xí)方法，基本不涉及概率測度及大數(shù)定律等，能夠?qū)崿F(xiàn)高效的從訓(xùn)練樣本到預(yù)報樣本的推理，大大簡化了通常的分類和回歸等問題.SVM可以很好地解決網(wǎng)絡(luò)安全數(shù)據(jù)的分類、預(yù)測、關(guān)聯(lián)規(guī)則學(xué)習(xí)等問題，從而可以給出預(yù)防網(wǎng)絡(luò)威脅的更優(yōu)解決方案.

(1)網(wǎng)絡(luò)入侵

在無線傳感器網(wǎng)絡(luò)(WSN)的入侵檢測研究中，Safaldin等[24]通過使用帶有支持向量機(jī)的修正二元灰狼優(yōu)化器(GWOSVM-IDS)提出了一種增強(qiáng)型入侵檢測系統(tǒng).GWOSVM-IDS，旨在通過降低誤報率和WSN環(huán)境中IDS產(chǎn)生的特征數(shù)量來提高WSN環(huán)境中的入侵檢測精度和檢測率，并減少處理時間.

Saleh等[25]設(shè)計了一種基于SVM的混合IDS(HIDS)方法，可以以實時方式成功使用并適合解決多類分類問題.通過應(yīng)用基于距離的方法來選擇信息量最大的訓(xùn)練示例，然后將其用于訓(xùn)練優(yōu)化支持向量機(jī)(OSVM)，從而拒絕異常值.之后，使用OSVM來拒絕異常值.最后，在拒絕異常值之后，HIDS 可以通過應(yīng)用優(yōu)先 K-最近鄰分類器成功檢測攻擊.

Gu等[26]提出了一種基于具有特征增強(qiáng)的SVM集成入侵檢測框架，通過對原始特征進(jìn)行對數(shù)邊際密度比變換后，使用 SVM 集成構(gòu)建入侵檢測模型.Raman等[27]提出一種基于支持向量機(jī)的Hyper Clique改進(jìn)二元引力搜索算法(HC-IBGSA SVM)，能夠在檢測率和誤報率方面提高SVM的性能.

(2)惡意軟件

在惡意軟件檢測中，Wadkar等[28]應(yīng)用基于線性支持向量機(jī)權(quán)重的特征排序來識別惡意軟件樣本在不同時間的不同變化問題.通過長時間分析，基于自動化和可量化的機(jī)器學(xué)習(xí)技術(shù)能夠高效檢測惡意軟件樣本中的進(jìn)化變化.Ghouti等[29]提出了一種僅使用惡意軟件二進(jìn)制文件的圖像表示來檢測和分類惡意軟件的新方案.使用主成分分析在緊湊的子空間中提取惡意軟件類別和結(jié)構(gòu)的高度判別特征.然后，設(shè)計了一種優(yōu)化的SVM模型將提取的特征進(jìn)行惡意軟件類別分類.

(3)釣魚網(wǎng)站

Anupam等[30]提出一種利用網(wǎng)站URL的不同屬性進(jìn)行釣魚網(wǎng)站檢測的SVM分類方法，在現(xiàn)有數(shù)據(jù)集上訓(xùn)練的支持向量機(jī)二進(jìn)制分類器能夠通過尋找最佳超平面區(qū)分兩個類別，并預(yù)測網(wǎng)站是否為合法網(wǎng)站，將網(wǎng)站分類為網(wǎng)絡(luò)釣魚和非網(wǎng)絡(luò)釣魚.Rao等[31]提出一種基于雙支持向量機(jī)(TWSVM)的新型啟發(fā)式技術(shù)用以檢測惡意注冊的網(wǎng)絡(luò)釣魚站點以及托管在受感染服務(wù)器上的站點.通過比較，TWSVM能夠以98.05% 的顯著準(zhǔn)確率比較訪問網(wǎng)站的登錄頁面和主頁來檢測托管在受感染域上的網(wǎng)絡(luò)釣魚網(wǎng)站.Ravi等[32]則討論了一種基于軟件定義網(wǎng)絡(luò)的新型框架方法，借助網(wǎng)絡(luò)空間中使用CANTINA方法(DMLCA)的深度機(jī)器學(xué)習(xí)來預(yù)防網(wǎng)絡(luò)釣魚攻擊.CANTINA方法使用SVM來處理網(wǎng)絡(luò)釣魚攻擊的分類問題，同時能夠借助DMLCA方法提高檢測準(zhǔn)確率.

(4)垃圾郵件

Olatunji[33]提出了一種基于支持向量機(jī)的垃圾郵件檢測模型，強(qiáng)調(diào)搜索最佳參數(shù)以獲得更好的性能.Kumaresan等[34]提出了一種使用S-Cuckoo并基于混合內(nèi)核的支持向量機(jī)(HKSVM)的垃圾郵件分類框架.首先，根據(jù)文本和圖像從電子郵件中提取特征，然后，使用提出的分類器HKSVM模型進(jìn)行分類，這種基于圖像提供的附加特征和SVM分類器的修改顯著地改進(jìn)了對垃圾郵件的分類能力.

針對垃圾郵件評論實例不足所導(dǎo)致監(jiān)督技術(shù)面臨類別不平衡的問題，Tian等[35]提出了名為Ramp One-Class SVM的魯棒且非凸的半監(jiān)督算法，采用One-Class SVM來處理欺騙性意見缺乏標(biāo)記數(shù)據(jù)的問題，并利用Ramp損失函數(shù)的非凸特性，消除了異常值和非評論意見的影響.

3.3 卷積神經(jīng)網(wǎng)絡(luò)賦能網(wǎng)絡(luò)安全

1980年，F(xiàn)ukushima等[36]提出了一種由卷積層、池化層構(gòu)成的新的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，在此基礎(chǔ)上，1998年，Lecun等[37]將BP算法應(yīng)用在這種神經(jīng)結(jié)構(gòu)中，提出了LeNet-5[37]模型，這也就是卷積神經(jīng)網(wǎng)絡(luò)(CNN)的雛形.相比于人工神經(jīng)網(wǎng)絡(luò)(ANN)模型中的單神經(jīng)元結(jié)構(gòu)，CNN最大的不同在于其使用卷積層代替了原本的全連接層，使用卷積核進(jìn)行特征提取，結(jié)合局部連接和權(quán)值共享的方法，能夠在大幅減少訓(xùn)練權(quán)值參數(shù)的情況下獲得全局關(guān)系.隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)狀態(tài)分析的數(shù)據(jù)量正在不斷攀升，由于訓(xùn)練參數(shù)量大幅減少的優(yōu)勢，CNN模型及其演變優(yōu)化后的模型正在被應(yīng)用于網(wǎng)絡(luò)流量檢測、網(wǎng)絡(luò)態(tài)勢分析等場景.

(1)網(wǎng)絡(luò)入侵

不同類型的IDS被設(shè)計為僅用于解決單一類型的入侵或多種變體，Shams等[38]提出了一種新的上下文感知特征提取方法，作為基于CNN的多類入侵檢測的預(yù)處理步驟.基于此的IDS系統(tǒng)可以識別4～12種不同類型的入侵檢測.Nguyen等[39]提出了一種網(wǎng)絡(luò)入侵檢測系統(tǒng)NIDS新算法，該算法將GA、CNN提取器和BG分類器進(jìn)行合理組合，實現(xiàn)了一種3層的特征提取結(jié)構(gòu).實驗證明，將CNN模型作為特征提取器，結(jié)合BG分類器的混合學(xué)習(xí)方法，能夠提高該算法的最終分類性能.在許多網(wǎng)絡(luò)安全的衍生領(lǐng)域中，CNN模型也提供了入侵檢測問題的多種解決方案.Jeong等[40]首次將CNN模型應(yīng)用在自動駕駛汽車的安全場景下，以解決汽車以太網(wǎng)的入侵檢測問題.提出一種基于特征生成和CNN網(wǎng)絡(luò)的入侵檢測系統(tǒng)，建立了一個基于BroadR-Reach的物理測試平臺，并捕獲了真實的AVTP包進(jìn)行性能評價.Gao等[41]考慮到電網(wǎng)監(jiān)控下入侵對象規(guī)模的多樣性和應(yīng)用場景的復(fù)雜性，提出了一種改進(jìn)的基于上下文感知掩碼區(qū)域的Mask R-CNN模型，即 ID-Net，用于入侵對象檢測.一個調(diào)制的可變形卷積操作被集成到主干網(wǎng)絡(luò)中，可以用于從工程車輛的幾何變化中學(xué)習(xí)魯棒的特征表示.

(2)惡意軟件

Cui等[42]提出了一種利用CNN和智能算法進(jìn)行惡意代碼檢測的方法.CNN用于對惡意代碼可執(zhí)行文件轉(zhuǎn)換成的灰度圖像進(jìn)行識別和分類.然后采用非支配排序遺傳算法II (NSGA-II)來處理惡意軟件族的數(shù)據(jù)不平衡問題.為了提高大規(guī)模Android惡意軟件檢測的準(zhǔn)確性和效率，Lu等[43]提出了一種基于深度神經(jīng)網(wǎng)絡(luò)的高效惡意軟件檢測框架DLAMD，結(jié)合能夠?qū)崿F(xiàn)快速響應(yīng)的預(yù)測階段和精準(zhǔn)溯源的深度檢測階段，選擇自動提取特征內(nèi)部隱藏模式的CNN進(jìn)行特征選擇.相似地，Wang等[44]提出了一種基于深度自編碼器和串行卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)的混合模型，重構(gòu)了Android應(yīng)用程序的高維特征，并利用多個CNN對Android惡意軟件進(jìn)行檢測.

(3)釣魚網(wǎng)站

Adebowale等[45]重點設(shè)計開發(fā)了一種基于深度學(xué)習(xí)的釣魚檢測解決方案，利用通用資源定位器和網(wǎng)站內(nèi)容，采用CNN和長短時記憶算法構(gòu)建了一種名為智能釣魚檢測系統(tǒng)的混合分類模型，在大數(shù)據(jù)集情況下提升分類器預(yù)測性能.相似地，Parra等[46]提出了一種基于云的分布式深度學(xué)習(xí)框架，用于網(wǎng)絡(luò)釣魚和僵尸網(wǎng)絡(luò)攻擊檢測及緩解.該模型使用分布式CNN模型作為物聯(lián)網(wǎng)設(shè)備微安全插件嵌入，用于檢測網(wǎng)絡(luò)釣魚和應(yīng)用層DDoS攻擊.分布式CNN模型嵌入到客戶端物聯(lián)網(wǎng)設(shè)備的ML引擎中，能夠在源頭檢測和保護(hù)物聯(lián)網(wǎng)設(shè)備免受網(wǎng)絡(luò)釣魚攻擊.

(4)垃圾郵件

Liu等[47]提出了一種新的檢測方法，即從用戶的角度對惡意網(wǎng)頁進(jìn)行截屏，從而使網(wǎng)絡(luò)垃圾郵件失效.采用CNN作為分類算法，在真實的Web環(huán)境中進(jìn)行了3個月的惡意網(wǎng)站檢測測試且性能良好.最近，CNN開始應(yīng)用于合成孔徑雷達(dá)(SAR)圖像的自動目標(biāo)識別(ATR)問題.Oh等[48]提出了一種基于CNN的具有姿態(tài)角邊緣化學(xué)習(xí)的SAR目標(biāo)識別網(wǎng)絡(luò)(SPAM-Net)，它邊緣化了SAR 目標(biāo)在其姿態(tài)角上精確估計真實的類別概率.

3.4 循環(huán)神經(jīng)網(wǎng)絡(luò)賦能網(wǎng)絡(luò)安全

1933年西班牙神經(jīng)生物學(xué)家Rafael Lorente在研究大腦皮層時發(fā)現(xiàn)刺激信號能夠在神經(jīng)回路中循環(huán)傳遞，因此，提出一種反向回路假設(shè).這種假設(shè)之后被神經(jīng)生物學(xué)領(lǐng)域總結(jié)為循環(huán)反饋系統(tǒng)，并基于此衍生出了各類數(shù)學(xué)模型.1990年，Elman[49]提出了第一個全連接的循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)，這是一種在時間結(jié)構(gòu)上存在共享特性的神經(jīng)網(wǎng)絡(luò)變體，一個序列的當(dāng)前輸出與前面的輸出也是有關(guān)的.其單個的神經(jīng)元相比以往ANN中的神經(jīng)元添加了反饋輸入，也就是通過一系列權(quán)值共享前饋神經(jīng)元的依次連接，這樣使得循環(huán)神經(jīng)網(wǎng)絡(luò)在t時刻的輸入不僅實現(xiàn)與輸出的映射,而且能夠參考t時刻之前所有輸入數(shù)據(jù)對網(wǎng)絡(luò)的影響.因為RNN獨有的對高級特性依賴關(guān)系如時序特征的提取能力，正在被逐漸應(yīng)用在網(wǎng)絡(luò)態(tài)勢感知等安全問題中.

(1)網(wǎng)絡(luò)入侵

針對云環(huán)境下的入侵檢測問題，Balamurugan等[50]提出了一種歸一化K均值聚類算法與RNN組合而成的新穎算法，包括檢查來自用戶數(shù)據(jù)包的審查算法和稱為NK-RNN的混合分類模型，能夠有效地檢測到實驗證明的入侵者.在車載通信中，針對控制器局域網(wǎng)(CAN)總線缺乏防御的問題，Tariq等[51]提出了一種基于RNN的CAN總線消息攻擊檢測框架(CAN-ADF)，采用由動態(tài)網(wǎng)絡(luò)流量特征和RNN組成的基于規(guī)則的檢測方法，實現(xiàn)了準(zhǔn)確的入侵檢測性能.

(2)惡意軟件

Sun等[52]將惡意代碼的靜態(tài)分析與RNN和CNN方法相結(jié)合.通過使用RNN，不僅考慮了惡意軟件的原始信息，還考慮了將原始代碼與時序特征相關(guān)聯(lián)的能力，然后，使用minhash從原始代碼以及來自RNN預(yù)測代碼的融合中生成特征圖像，并使用CNN來對特征圖像進(jìn)行分類.

近年來，加密貨幣交易急劇增加，這一趨勢也吸引了網(wǎng)絡(luò)威脅參與者利用現(xiàn)有漏洞感染目標(biāo).Yazdinejad等[53]提出了一種新穎的RNN學(xué)習(xí)模型，用于尋找加密貨幣惡意軟件威脅，使用5種不同的長短期記憶(LSTM)結(jié)構(gòu)進(jìn)行訓(xùn)練，并通過10倍交叉驗證技術(shù)進(jìn)行評估.隨著物聯(lián)網(wǎng)設(shè)備越來越多地部署在不同行業(yè)中，越來越多的應(yīng)用程序及其不斷增強(qiáng)的計算和處理能力使它們成為有價值的攻擊目標(biāo).Haddad等[54]探討了使用RNN模型檢測IoT惡意軟件的潛力，使用RNN來分析基于ARM的IoT應(yīng)用程序執(zhí)行操作代碼.

(3)釣魚網(wǎng)站

基于之前的工作，Somesha等[55]提出了一種基于啟發(fā)式特征的機(jī)器學(xué)習(xí)方法用于釣魚網(wǎng)站檢測，并使用18個特征實現(xiàn)了99.5%的準(zhǔn)確率.在本文中，針對筆者在早期工作分析的10種特征，并基于DNN、LSTM和CNN,提出了一種新穎的網(wǎng)絡(luò)釣魚URL檢測模型，實現(xiàn)了LSTM最高99.57%的準(zhǔn)確率.同樣為了克服惡意URL使用戶受害的問題，Shivangi等[56]提出了一種在chrome擴(kuò)展的檢測工具，使用ANN和LSTM網(wǎng)絡(luò)來分析URL，并對其進(jìn)行分類，旨在幫助用戶避免成為惡意URL、網(wǎng)絡(luò)釣魚和社會工程等惡意和欺詐活動的受害者.

(4)垃圾郵件

Makkar等[57]在檢測網(wǎng)絡(luò)垃圾郵件的研究中，提出一種基于RNN深度學(xué)習(xí)架構(gòu)來檢測隱藏模式，設(shè)計了一個名為FS2RNN的RNN特征選擇方案框架.同時，Makkar等[58]還提出了一種通過瀏覽不同網(wǎng)站和網(wǎng)頁使用特征提取的惡意圖像廣告垃圾郵件保護(hù)器(SPAMI)框架，使用CNN、RNN和LSTM模型標(biāo)記垃圾郵件廣告圖像.Xu等[59]提出了一個Sifter系統(tǒng)，一種無需勞動密集型特征工程即可以可擴(kuò)展方式檢測在線社交垃圾郵件的系統(tǒng)，能夠在RNN的支持下處理社交垃圾郵件，擺脫傳統(tǒng)的人工特征工程.

3.5 對抗神經(jīng)網(wǎng)絡(luò)賦能網(wǎng)絡(luò)安全

2014年，Goodfellow[60]提出了一種基于博弈論的新穎的神經(jīng)網(wǎng)絡(luò)模型——生成式對抗神經(jīng)網(wǎng)絡(luò)(GAN)，該網(wǎng)絡(luò)由兩個目標(biāo)互相沖突的神經(jīng)網(wǎng)絡(luò)組成，分別為生成器和鑒別器，通過對抗性過程同時進(jìn)行訓(xùn)練，當(dāng)取得納什均衡時則達(dá)到生成器的訓(xùn)練目標(biāo).近年來，GAN已經(jīng)成為機(jī)器學(xué)習(xí)領(lǐng)域最火熱的研究之一，Yann LeCun更是稱之為“過去10年間機(jī)器學(xué)習(xí)領(lǐng)域最讓人激動的點子”.GAN的優(yōu)勢在于其提供了神經(jīng)網(wǎng)絡(luò)生成困難的解決思路，同時，在最新的研究工作中，GAN中的鑒別器能夠被用作目標(biāo)神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程中的監(jiān)控器，以防止生成器過擬合.研究者們正在將GAN應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域中，著重解決網(wǎng)絡(luò)攻擊樣本生成和網(wǎng)絡(luò)攻擊行為檢測問題，幫助構(gòu)建智能有效的網(wǎng)絡(luò)安全防護(hù)機(jī)制.

(1)網(wǎng)絡(luò)入侵

在入侵檢測領(lǐng)域，生成對抗網(wǎng)絡(luò)是一種很有前途的無監(jiān)督方法，通過對系統(tǒng)進(jìn)行隱式建模來檢測網(wǎng)絡(luò)攻擊.de Araujo-Filho等[61]提出了FID-GAN，一種用于使用GAN的CPS新型基于霧的無監(jiān)督入侵檢測系統(tǒng)，能夠通過訓(xùn)練加速重建損失計算的編碼器，實現(xiàn)映射到潛在空間數(shù)據(jù)樣本的重建來計算重建損失.入侵檢測中流量異常模式樣本的不平衡數(shù)據(jù)是一個具有挑戰(zhàn)性的問題，Huang等[62]提出了一種新穎的不平衡生成對抗網(wǎng)絡(luò)(IGAN),在典型的GAN中引入不平衡數(shù)據(jù)過濾器和卷積層，為少數(shù)類生成新的代表性實例，建立一個基于IGAN的入侵檢測系統(tǒng)(IGAN-IDS)，使用IGAN生成的實例來應(yīng)對類不平衡的入侵檢測.Yan等[63]提出了一種DoS-WGAN通用架構(gòu)，使用Wasserstein生成對抗網(wǎng)絡(luò)(WGAN)和梯度懲罰技術(shù)來逃避網(wǎng)絡(luò)流量分類器.為了將拒絕服務(wù)攻擊(DoS)流量偽裝成正常的網(wǎng)絡(luò)流量，DoS-WGAN會自動合成攻擊痕跡，可以擊敗針對DoS案例的現(xiàn)有NIDS/網(wǎng)絡(luò)安全防御，使基于CNN的NIDS檢測率從97.3%下降到47.6%.本架構(gòu)將在網(wǎng)絡(luò)攻防博弈中發(fā)揮特別重要的作用.

(2)惡意軟件

以前基于GAN的研究是使用相同的特征量來學(xué)習(xí)惡意軟件檢測.但是現(xiàn)有的學(xué)習(xí)算法往往使用多個惡意軟件，影響了規(guī)避的性能，對攻擊者來說是不現(xiàn)實的.為了解決這個問題，Kawai等[64]應(yīng)用了具有不同特征量和只有一種惡意軟件的差異化學(xué)習(xí)方法.為了評估機(jī)器學(xué)習(xí)算法在惡意軟件檢測中的脆弱性，Taheri等[65]提出了5種不同的攻擊場景來干擾惡意應(yīng)用程序.為了區(qū)分對抗樣本和良性樣本，提出了兩種防御機(jī)制來對抗攻擊.結(jié)果表明，當(dāng)使用生成對抗網(wǎng)絡(luò)方法時，提出的攻擊模型在用于強(qiáng)化開發(fā)的反惡意軟件系統(tǒng)時，生成的規(guī)避變體將檢測率提高了50%.為了同時規(guī)避惡意軟件檢測和對抗示例檢測，Li等[66]在雙目標(biāo)GAN的基礎(chǔ)上開發(fā)了一種新的對抗示例攻擊方法.該方法生成的對抗實例中有95%以上的實例能夠突破防火墻Android惡意軟件檢測系統(tǒng).

(3)垃圾郵件

垃圾郵件的特征收集通常需要很長時間，因此很難將它們應(yīng)用到冷啟動垃圾郵件審查檢測任務(wù)中.因此，Tang等[67]利用GAN來解決這個問題，為新用戶從易于訪問的特性(EAFs)中生成合成行為特性(SBFs).首先，為普通用戶選擇6個公認(rèn)的真實行為特征(RBFs).然后，訓(xùn)練一個GAN框架，包括一個生成器，從包含文本、評級和屬性特征的EAF中生成SBFs，以及一個鑒別器來區(qū)分RBFs和SBFs.

3.6 強(qiáng)化學(xué)習(xí)賦能網(wǎng)絡(luò)安全

1911年，行為心理學(xué)專家Thorndike提出了效用法則，指出行為會被記住取決于該行為產(chǎn)生的效用.1954年Minsky首次提出“強(qiáng)化”和“強(qiáng)化學(xué)習(xí)”的概念和術(shù)語，之后，1989年，Watkins等[68]提出了現(xiàn)今強(qiáng)化學(xué)習(xí)最廣泛使用的Q學(xué)習(xí)策略(Q-learning).2013年，DeepMind發(fā)表了強(qiáng)化模型模擬人類進(jìn)行Atari游戲的論文，從此，強(qiáng)化學(xué)習(xí)開始了飛速發(fā)展.強(qiáng)化學(xué)習(xí)不同于傳統(tǒng)的機(jī)器學(xué)習(xí)，其核心思想是通過試錯學(xué)習(xí)如何能最佳地匹配狀態(tài)(States)和動作(Actions)，以期獲得最大的回報(Rewards).在面對網(wǎng)絡(luò)安全問題時，強(qiáng)化學(xué)習(xí)能夠通過試錯的方式不斷探索更優(yōu)的決策，在網(wǎng)絡(luò)狀態(tài)變化后，能夠智能地動態(tài)建模，推動網(wǎng)絡(luò)安全走向智能化.

(1)網(wǎng)絡(luò)入侵

Lopez-Martin等[69]提出了一種新的應(yīng)用深度強(qiáng)化學(xué)習(xí)(DRL)算法的入侵檢測框架，是對經(jīng)典DRL范式(基于與現(xiàn)場環(huán)境的交互)進(jìn)行概念上的修改，用記錄訓(xùn)練入侵的采樣函數(shù)替換環(huán)境.這種新的偽環(huán)境除了對訓(xùn)練數(shù)據(jù)進(jìn)行采樣外，還會根據(jù)訓(xùn)練過程中發(fā)現(xiàn)的檢測錯誤產(chǎn)生獎勵.對AWID和NSL-KDD數(shù)據(jù)集獲得的結(jié)果與其他機(jī)器學(xué)習(xí)模型進(jìn)行了全面的比較，結(jié)果表明，與現(xiàn)有的機(jī)器學(xué)習(xí)技術(shù)相比，DRL通過模型和一些參數(shù)的調(diào)整，可以提高入侵檢測的速度和效果.Caminero等[70]提出了一種新的基于監(jiān)督RL模型和對抗RL模型相結(jié)合的框架AE-RL，提供了一個遵循RL環(huán)境指導(dǎo)方針的模擬環(huán)境.這種方法的原理是為模擬環(huán)境提供一種智能行為.首先，通過從訓(xùn)練數(shù)據(jù)集中隨機(jī)提取新樣本，根據(jù)分類器預(yù)測的好壞產(chǎn)生獎勵；其次，通過進(jìn)一步調(diào)整初始行為與對抗目標(biāo)，環(huán)境將積極地嘗試增加分類器做出準(zhǔn)確預(yù)測的難度.實驗結(jié)果證明這種結(jié)構(gòu)提高了分類器的最終性能.基于物聯(lián)網(wǎng)的現(xiàn)代智能家庭是一個具有挑戰(zhàn)性的安全環(huán)境:設(shè)備不斷變化，新的漏洞被發(fā)現(xiàn)并經(jīng)常未打補丁，不同用戶與設(shè)備的交互方式不同，對網(wǎng)絡(luò)風(fēng)險的態(tài)度也不同.Heartfield等[71]提出了MAGPIE，其為第一個智能家庭入侵檢測系統(tǒng)，能夠自動調(diào)整其底層異常分類模型的決策功能，以適應(yīng)智能家庭不斷變化的條件.該方法將一種新的基于概率聚類的獎勵機(jī)制應(yīng)用于非平穩(wěn)多臂土匪強(qiáng)化學(xué)習(xí)中，從而達(dá)到上述目的.在真實家庭中的實驗評估表明，MAGPIE顯示出了較高的準(zhǔn)確性.

(2)惡意軟件

最近的研究表明，基于監(jiān)督學(xué)習(xí)的惡意軟件檢測模型很容易受到蓄意攻擊，因為其依賴于帶有明確標(biāo)記的靜態(tài)特征.為了暴露和展示這些模型中的弱點，F(xiàn)ang等[72]提出了一種利用強(qiáng)化學(xué)習(xí)規(guī)避反惡意軟件引擎的DQEAF框架.DQEAF通過神經(jīng)網(wǎng)絡(luò)不斷地與惡意軟件樣本交互來訓(xùn)練agent.動作是一組合理的修改，不破壞樣本的結(jié)構(gòu)和功能.Agent可以通過深度強(qiáng)化學(xué)習(xí)選擇最優(yōu)的功能保持動作序列，目的是規(guī)避監(jiān)督檢測器.實驗表明，該方法在PE樣本中具有較高的成功率，其有效性也得到了其他惡意軟件族的驗證，顯示了良好的魯棒性.準(zhǔn)確檢測移動設(shè)備上的惡意軟件需要快速處理大量的應(yīng)用軌跡，基于云的惡意軟件檢測可以利用安全服務(wù)器的數(shù)據(jù)共享和強(qiáng)大的計算資源來提高檢測性能.Xiao等[73]設(shè)計了一種基于云的惡意軟件檢測游戲，并導(dǎo)出了游戲的納什均衡，展示了移動設(shè)備如何選擇卸載速率，在傳輸成本和檢測性能之間進(jìn)行權(quán)衡.針對時變無線網(wǎng)絡(luò)中的動態(tài)博弈，提出了一種基于Q學(xué)習(xí)的惡意軟件檢測策略，并利用Dyna體系結(jié)構(gòu)和已知無線信道模型進(jìn)一步提高了檢測性能.

(3)網(wǎng)絡(luò)釣魚

Smadi等[74]首次提出一種將神經(jīng)網(wǎng)絡(luò)與強(qiáng)化學(xué)習(xí)相結(jié)合的在線模式下檢測釣魚攻擊的新框架.該模型通過采用強(qiáng)化學(xué)習(xí)的思想，隨時間動態(tài)地增強(qiáng)系統(tǒng)，能夠自我適應(yīng)，產(chǎn)生一個新的釣魚郵件檢測系統(tǒng)，反映出新探索行為的變化.該模型通過在線方式自動向原有數(shù)據(jù)集添加更多的電子郵件，解決了數(shù)據(jù)集有限的問題，提出一種新的算法來探索新的數(shù)據(jù)集中的任何新增添的釣魚行為.通過使用已知的數(shù)據(jù)集進(jìn)行嚴(yán)格的測試，證明該技術(shù)可以有效地處理零日網(wǎng)絡(luò)釣魚攻擊.受釣魚網(wǎng)站進(jìn)化特性的啟發(fā)，Chatterjee等[75]設(shè)計了一種基于深度強(qiáng)化學(xué)習(xí)的網(wǎng)絡(luò)釣魚自動檢測框架，來建模和檢測惡意URL.該模型能夠適應(yīng)網(wǎng)絡(luò)釣魚網(wǎng)站的動態(tài)行為，從而學(xué)習(xí)與網(wǎng)絡(luò)釣魚網(wǎng)站檢測相關(guān)的特征.

4 問題與挑戰(zhàn)

雖然目前人工智能方法已經(jīng)在網(wǎng)絡(luò)安全領(lǐng)域證明了其強(qiáng)大的效果，也展現(xiàn)出了相比傳統(tǒng)方法在檢測精度、靈活程度等方面優(yōu)勢，但是目前仍然面臨一些具有挑戰(zhàn)性的問題：

如何選擇合適的數(shù)據(jù)集是一個重要問題，大多數(shù)現(xiàn)有數(shù)據(jù)集是比較舊的，使用這些數(shù)據(jù)集會導(dǎo)致算法在理解新型網(wǎng)絡(luò)攻擊的行為模式方面存在不足.如KDD99[76]或NSL-KDD[77]數(shù)據(jù)集，這些數(shù)據(jù)集包含舊的可能已經(jīng)過時的流量，不能代表最近的攻擊場景和流量行為.因此，需要針對入侵檢測等特定問題領(lǐng)域建立最新的數(shù)據(jù)集，以及研究如何設(shè)計可擴(kuò)展性強(qiáng)的更加靈活的數(shù)據(jù)集，這可能是網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)領(lǐng)域面臨的重要挑戰(zhàn).

如果要比較相關(guān)工作的運行效果，應(yīng)該在完全相同環(huán)境下進(jìn)行對比.但不幸的是，不同的研究工作之間是比較孤立的，在效果和效率方面很難提供一個公平公正的比較，這是由于環(huán)境的多樣性造成的，包括但不限于:①使用的數(shù)據(jù)集;②采用的數(shù)據(jù)集部分;③預(yù)處理方法;④超參數(shù)配置;⑤硬件平臺.因此，需要使用統(tǒng)一的計算平臺和考慮共同的影響因素進(jìn)行更多的實驗研究，以期獲得公平的比較結(jié)果.

基于人工智能的安全模型通常使用大量靜態(tài)數(shù)據(jù)來構(gòu)建檢測系統(tǒng)，訓(xùn)練其學(xué)習(xí)正常和異常行為的能力.然而，大型的動態(tài)安全系統(tǒng)中的正常行為如果沒有被很好的定義，數(shù)據(jù)庫的增長可能會使得正常的行為模式隨著時間的推移而改變，這常常導(dǎo)致大量的假警報.大型動態(tài)系統(tǒng)中的安全檢測是一個既現(xiàn)實而又復(fù)雜的問題，值得研究人員投入更多的關(guān)注.

5 總 結(jié)

隨著互聯(lián)網(wǎng)日新月異的發(fā)展，其面臨的威脅與挑戰(zhàn)也愈發(fā)復(fù)雜.本文總結(jié)了人工智能技術(shù)應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域的最新進(jìn)展，涉及到的技術(shù)包括傳統(tǒng)機(jī)器學(xué)習(xí)、深度學(xué)習(xí)及強(qiáng)化學(xué)習(xí)等方法.本文還調(diào)查了近年來網(wǎng)絡(luò)安全領(lǐng)域中人工智能技術(shù)的相關(guān)應(yīng)用，總結(jié)出了4個最受關(guān)注的研究方向，分別是網(wǎng)絡(luò)入侵、惡意軟件、釣魚網(wǎng)站以及垃圾郵件，之后介紹了人工智能技術(shù)在每個研究方向中的具體應(yīng)用場景.最后，本文指出了當(dāng)前面臨的問題與挑戰(zhàn).