本書介紹了一系列結合人工智能技術處理網(wǎng)絡空間安全問題的方法���,包括處理網(wǎng)絡威脅情報��、為惡意軟件提供戰(zhàn)略防御機制����、解決網(wǎng)絡犯罪��、評估漏洞�����,以及產(chǎn)生主動而不是被動的對策的人工智能方法��。
安全漏洞和被感染的計算機系統(tǒng)會讓政府和企業(yè)遭受嚴重損失���。 攻擊機制與防御機制在不斷地并行發(fā)展�,要檢測欺詐性支付網(wǎng)關�,保護云服務以及讓文件安全傳輸,需要不斷發(fā)展新技術�����。為了盡可能地防止未來發(fā)生的網(wǎng)絡攻擊或至少將其影響小化���,人工智能方法被用來抵御網(wǎng)絡威脅和攻擊�����。不斷增加的全球網(wǎng)絡威脅和網(wǎng)絡攻擊的數(shù)量促使人們迫切需要自動化防御機制來及時發(fā)現(xiàn)漏洞��、威脅和惡意活動�����。知識表示和推理���、自動化計劃以及機器學習這些方法�,有助于主動實現(xiàn)網(wǎng)絡安全措施�,而非被動實現(xiàn)。 為此���,人工智能驅(qū)動的網(wǎng)絡安全應用程序開始發(fā)展�,相關信息可參閱基于AI的安全基礎設施Chronicle系統(tǒng)(谷歌提供的云服務�����,可以用于企業(yè)保留����、分析和搜索網(wǎng)絡安全數(shù)據(jù))和“企業(yè)免疫系統(tǒng)” Darktrace。
日益復雜的網(wǎng)絡���、操作系統(tǒng)和無線通信漏洞����,以及惡意軟件行為給安全專家?guī)砹藙e甚至國際級別的重大挑戰(zhàn)。本書囊括了目前幾乎所有AI技術驅(qū)動的安全技術和方法�����。第1章介紹了AI的本體工程及其在網(wǎng)絡安全����、網(wǎng)絡威脅情報和網(wǎng)絡態(tài)勢感知等方面的應用��。 本體中網(wǎng)絡基礎架構的概念���、屬性���、關系和實體的正式定義使編寫機器可解釋的語句成為可能。這些語句可用于對專家知識進行有效的索引��、查詢和推理��。第2章詳細介紹了如何利用知識工程來描述網(wǎng)絡拓撲和流量�,以便軟件代理可以自動處理它們并執(zhí)行網(wǎng)絡知識發(fā)現(xiàn)。網(wǎng)絡分析人員往往使用多種來源的信息���,除非使用統(tǒng)一的語法�,否則軟件代理無法有效地處理這些信息并將這些信息解釋為易于理解的含義(例如模型理論語義和Tarski式解釋)。網(wǎng)絡知識的形式化表示不僅需要確定性的原理���,有時還需要模糊的�、概率性的原理以及元數(shù)據(jù)等作為來源����。通過對語義豐富的網(wǎng)絡知識進行推理,自動化機制可以生成即使是有經(jīng)驗的分析師也會忽略的關于相關性的非常規(guī)描述���,并自動識別可能導致漏洞的錯誤配置�。
第3章告訴我們����,人工智能不僅可以提供幫助,還可能對網(wǎng)絡安全構成威脅�����,因為黑客也會使用AI方法���,比如攻擊機器學習系統(tǒng)以利用軟件漏洞并破壞程序代碼�����。舉個例子���,他們可能在機器學習算法中引入誤導性數(shù)據(jù)(數(shù)據(jù)投毒)����,篡改算法的行為��,導致電子郵件將數(shù)千封垃圾郵件標記為“非垃圾郵件”���,從而使惡意電子郵件被視為正常郵件。
社交媒體網(wǎng)站中提到的軟件漏洞可以被軟件供應商用來打補丁�����,也可以被對手在打補丁之前加以利用��。第4章展示了軟件漏洞發(fā)布和利用之間的相關性�,并提出了一種基于在線資源預測漏洞被利用的可能性的方法,供應商可以使用這些資源(包括Dark Web和Deep Web)來優(yōu)先安排補丁程序�。
第5章介紹了適用于檢測網(wǎng)絡攻擊的AI方法。 它提供了二元分類器和優(yōu)化技術���,可以提高分類準確度����、訓練速度以及用于網(wǎng)絡攻擊檢測的分布式AI驅(qū)動的計算效率。該章還描述了基于神經(jīng)網(wǎng)絡�����、模糊網(wǎng)絡和進化計算的模型���,以及二元分類器的組合策略���,從而能夠?qū)Σ煌訕颖具M行多種方式的訓練。
第6章討論了利用機器學習和數(shù)據(jù)挖掘來識別惡意連接的入侵檢測技術�����,比較了使用模糊邏輯和人工神經(jīng)網(wǎng)絡的常見入侵檢測系統(tǒng)���,并在此基礎上總結了使用人工神經(jīng)網(wǎng)絡處理網(wǎng)絡攻擊的主要挑戰(zhàn)和機遇���。
安全性的強弱取決于系統(tǒng)中薄弱的環(huán)節(jié)。不論企業(yè)采取了什么樣的安全措施��,一個粗心的或經(jīng)驗不足的用戶足以破壞文件傳輸?shù)陌踩曰蜻`反企業(yè)安全策略進行登錄。 例如���,安裝軟件不僅可能導致系統(tǒng)感染惡意軟件����,還可能導致數(shù)據(jù)丟失�、隱私泄露等。如第7章所述�����,人工智能可以用于分析軟件安裝程序的安全性����,這一章中論述了基于機器學習的Android移動設備上用于分發(fā)和安裝移動程序以及中間件的包文件格式的分析方法��。利用機器學習算法對APK文件結構進行分析��,可以識別潛在的惡意軟件目標��。
網(wǎng)絡分析師�����、防御專家、學生和網(wǎng)絡安全研究人員都可以從本書中匯編的一系列AI方法中受益��,這本書不僅回顧了目前的技術水平��,還提出了這一快速發(fā)展的研究領域的新方向����。
Leslie F. Sikos博士
于澳大利亞阿德萊德
譯者序
序言
前言
第1章 網(wǎng)絡空間安全中的網(wǎng)絡本體語言:網(wǎng)絡知識的概念建模1
11網(wǎng)絡空間安全中的知識工程簡介1
12網(wǎng)絡空間安全分類標準4
13網(wǎng)絡空間安全的核心參考本體模型6
14網(wǎng)絡空間安全的上層本體6
15網(wǎng)絡空間安全的領域本體8
151入侵檢測本體模型8
152惡意軟件分類和惡意軟件行為本體模型8
153網(wǎng)絡威脅情報本體模型9
154數(shù)字取證本體模型10
155安全操作和流程本體模型11
156描述網(wǎng)絡攻擊及其影響的本體模型11
16網(wǎng)絡空間安全的相關網(wǎng)絡系統(tǒng)
本體集1217總結14
參考文獻15
第2章 推理型網(wǎng)絡態(tài)勢感知的網(wǎng)絡語義知識表示18
21引言18
22預備知識19
23通信網(wǎng)絡的概念23
231網(wǎng)絡和拓撲結構24
232網(wǎng)絡接口和IP地址24
233路由器25
234自治系統(tǒng)和路由系統(tǒng)26
24網(wǎng)絡態(tài)勢感知的形式化知識表示28
25表示網(wǎng)絡數(shù)據(jù)來源33
26表示網(wǎng)絡數(shù)據(jù)的不確定性35
27表示網(wǎng)絡數(shù)據(jù)的模糊性38
28對網(wǎng)絡態(tài)勢感知的推理支持40
29總結41
參考文獻41
第3章 機器學習系統(tǒng)的安全性45
31機器學習算法的脆弱性45
32威脅模型46
321攻擊者能力產(chǎn)生的威脅47
322攻擊者目標產(chǎn)生的威脅48
323攻擊者知識產(chǎn)生的威脅49
324攻擊策略產(chǎn)生的威脅50
33數(shù)據(jù)中毒52
331投毒攻擊場景53
332投毒攻擊56
333投毒攻擊的可傳遞性61
334對投毒攻擊的防御63
34在測試中的攻擊64
341規(guī)避攻擊場景66
342規(guī)避攻擊的計算69
343規(guī)避攻擊的可傳遞性70
344對規(guī)避攻擊的防御72
35總結73
參考文獻74
第4章 攻擊前修補漏洞:一種識別目標軟件脆弱性的方法77
41引言78
42相關工作81
43預備知識82
431有監(jiān)督的學習方法82
432漏洞利用預測面臨的挑戰(zhàn)83
44漏洞利用預測模型85
441數(shù)據(jù)源86
442特征描述88
45漏洞及利用分析90
451漏洞利用可能性91
452基于時間的分析91
453基于供應商/平臺的分析93
454基于語言的分析94
46實驗設置95
461性能評估96
462結果97
47對抗數(shù)據(jù)處理103
48討論105
49總結107
參考文獻107
第5章 人工智能方法在網(wǎng)絡攻擊檢測中的應用111
51引言111
52相關工作112
53二元分類器114
531神經(jīng)網(wǎng)絡114
532模糊神經(jīng)網(wǎng)絡118
533支持向量機123
54訓練二元分類器以檢測網(wǎng)絡攻擊126
541計算和預處理網(wǎng)絡參數(shù)127
542二元分類器權重的遺傳優(yōu)化129
543網(wǎng)絡攻擊檢測算法131
55組合多種二元分類器方案132
551組合檢測器的低層級方案132
552聚合成分134
553組合檢測器的常用方法136
56實驗137
561數(shù)據(jù)集137
562實驗1138
563實驗2139
57總結140
參考文獻141
第6章 用于網(wǎng)絡入侵檢測的機器學習算法144
61引言144
62網(wǎng)絡入侵檢測系統(tǒng)146
621部署方法146
622檢測方法148
63網(wǎng)絡入侵檢測中的機器學習149
631模糊推理系統(tǒng)150
632人工神經(jīng)網(wǎng)絡156
633基于機器學習的NIDS的部署160
64實驗161
641評估環(huán)境161
642模型構建162
643結果對比164
65總結165
參考文獻166
第7章 使用機器學習技術進行Android應用程序分析172
71引言172
72Android應用程序包的結構174
721中央配置(AndroidManifest.xml)174
722Dalvik字節(jié)碼(classes.dex)175
73Android惡意軟件識別技術176
731黑名單176
732參數(shù)化177
733分類177
74數(shù)據(jù)集準備178
741APK文件分析178
742應用程序元數(shù)據(jù)179
743標簽分類180
744數(shù)據(jù)編碼180
745一種安全和惡意APK文件的新型數(shù)據(jù)集181
75用SVM檢測惡意軟件182
751SVM概述182
752特征設置185
753調(diào)整超參數(shù)185
754評估指標186
755數(shù)值結果186
76與參數(shù)化方法比較188
761擴展DroidRisk188
762DroidRisk性能189
77特征選擇190
771遞歸特征消除190
772排序標準191
773實驗192
78問題和限制194
79總結195
參考文獻195
書單推薦
