本書介紹了一系列結合人工智能技術處理網絡空間安全問題的方法���,包括處理網絡威脅情報��、為惡意軟件提供戰(zhàn)略防御機制��、解決網絡犯罪���、評估漏洞,以及產生主動而不是被動的對策的人工智能方法��。
安全漏洞和被感染的計算機系統(tǒng)會讓政府和企業(yè)遭受嚴重損失��。 攻擊機制與防御機制在不斷地并行發(fā)展��,要檢測欺詐性支付網關��,保護云服務以及讓文件安全傳輸���,需要不斷發(fā)展新技術���。為了盡可能地防止未來發(fā)生的網絡攻擊或至少將其影響小化���,人工智能方法被用來抵御網絡威脅和攻擊。不斷增加的全球網絡威脅和網絡攻擊的數量促使人們迫切需要自動化防御機制來及時發(fā)現漏洞��、威脅和惡意活動���。知識表示和推理���、自動化計劃以及機器學習這些方法,有助于主動實現網絡安全措施���,而非被動實現���。 為此,人工智能驅動的網絡安全應用程序開始發(fā)展��,相關信息可參閱基于AI的安全基礎設施Chronicle系統(tǒng)(谷歌提供的云服務��,可以用于企業(yè)保留��、分析和搜索網絡安全數據)和“企業(yè)免疫系統(tǒng)” Darktrace��。
日益復雜的網絡、操作系統(tǒng)和無線通信漏洞��,以及惡意軟件行為給安全專家?guī)砹藙e甚至國際級別的重大挑戰(zhàn)���。本書囊括了目前幾乎所有AI技術驅動的安全技術和方法。第1章介紹了AI的本體工程及其在網絡安全��、網絡威脅情報和網絡態(tài)勢感知等方面的應用���。 本體中網絡基礎架構的概念���、屬性、關系和實體的正式定義使編寫機器可解釋的語句成為可能���。這些語句可用于對專家知識進行有效的索引���、查詢和推理。第2章詳細介紹了如何利用知識工程來描述網絡拓撲和流量��,以便軟件代理可以自動處理它們并執(zhí)行網絡知識發(fā)現��。網絡分析人員往往使用多種來源的信息���,除非使用統(tǒng)一的語法���,否則軟件代理無法有效地處理這些信息并將這些信息解釋為易于理解的含義(例如模型理論語義和Tarski式解釋)���。網絡知識的形式化表示不僅需要確定性的原理,有時還需要模糊的���、概率性的原理以及元數據等作為來源���。通過對語義豐富的網絡知識進行推理,自動化機制可以生成即使是有經驗的分析師也會忽略的關于相關性的非常規(guī)描述���,并自動識別可能導致漏洞的錯誤配置��。
第3章告訴我們���,人工智能不僅可以提供幫助,還可能對網絡安全構成威脅��,因為黑客也會使用AI方法���,比如攻擊機器學習系統(tǒng)以利用軟件漏洞并破壞程序代碼���。舉個例子���,他們可能在機器學習算法中引入誤導性數據(數據投毒),篡改算法的行為��,導致電子郵件將數千封垃圾郵件標記為“非垃圾郵件”��,從而使惡意電子郵件被視為正常郵件��。
社交媒體網站中提到的軟件漏洞可以被軟件供應商用來打補丁���,也可以被對手在打補丁之前加以利用。第4章展示了軟件漏洞發(fā)布和利用之間的相關性���,并提出了一種基于在線資源預測漏洞被利用的可能性的方法���,供應商可以使用這些資源(包括Dark Web和Deep Web)來優(yōu)先安排補丁程序。
第5章介紹了適用于檢測網絡攻擊的AI方法���。 它提供了二元分類器和優(yōu)化技術���,可以提高分類準確度、訓練速度以及用于網絡攻擊檢測的分布式AI驅動的計算效率。該章還描述了基于神經網絡��、模糊網絡和進化計算的模型���,以及二元分類器的組合策略��,從而能夠對不同子樣本進行多種方式的訓練���。
第6章討論了利用機器學習和數據挖掘來識別惡意連接的入侵檢測技術,比較了使用模糊邏輯和人工神經網絡的常見入侵檢測系統(tǒng)��,并在此基礎上總結了使用人工神經網絡處理網絡攻擊的主要挑戰(zhàn)和機遇��。
安全性的強弱取決于系統(tǒng)中薄弱的環(huán)節(jié)��。不論企業(yè)采取了什么樣的安全措施���,一個粗心的或經驗不足的用戶足以破壞文件傳輸的安全性或違反企業(yè)安全策略進行登錄��。 例如���,安裝軟件不僅可能導致系統(tǒng)感染惡意軟件,還可能導致數據丟失��、隱私泄露等。如第7章所述���,人工智能可以用于分析軟件安裝程序的安全性���,這一章中論述了基于機器學習的Android移動設備上用于分發(fā)和安裝移動程序以及中間件的包文件格式的分析方法。利用機器學習算法對APK文件結構進行分析���,可以識別潛在的惡意軟件目標���。
網絡分析師��、防御專家���、學生和網絡安全研究人員都可以從本書中匯編的一系列AI方法中受益���,這本書不僅回顧了目前的技術水平,還提出了這一快速發(fā)展的研究領域的新方向��。
Leslie F. Sikos博士
于澳大利亞阿德萊德
譯者序
序言
前言
第1章 網絡空間安全中的網絡本體語言:網絡知識的概念建模1
11網絡空間安全中的知識工程簡介1
12網絡空間安全分類標準4
13網絡空間安全的核心參考本體模型6
14網絡空間安全的上層本體6
15網絡空間安全的領域本體8
151入侵檢測本體模型8
152惡意軟件分類和惡意軟件行為本體模型8
153網絡威脅情報本體模型9
154數字取證本體模型10
155安全操作和流程本體模型11
156描述網絡攻擊及其影響的本體模型11
16網絡空間安全的相關網絡系統(tǒng)
本體集1217總結14
參考文獻15
第2章 推理型網絡態(tài)勢感知的網絡語義知識表示18
21引言18
22預備知識19
23通信網絡的概念23
231網絡和拓撲結構24
232網絡接口和IP地址24
233路由器25
234自治系統(tǒng)和路由系統(tǒng)26
24網絡態(tài)勢感知的形式化知識表示28
25表示網絡數據來源33
26表示網絡數據的不確定性35
27表示網絡數據的模糊性38
28對網絡態(tài)勢感知的推理支持40
29總結41
參考文獻41
第3章 機器學習系統(tǒng)的安全性45
31機器學習算法的脆弱性45
32威脅模型46
321攻擊者能力產生的威脅47
322攻擊者目標產生的威脅48
323攻擊者知識產生的威脅49
324攻擊策略產生的威脅50
33數據中毒52
331投毒攻擊場景53
332投毒攻擊56
333投毒攻擊的可傳遞性61
334對投毒攻擊的防御63
34在測試中的攻擊64
341規(guī)避攻擊場景66
342規(guī)避攻擊的計算69
343規(guī)避攻擊的可傳遞性70
344對規(guī)避攻擊的防御72
35總結73
參考文獻74
第4章 攻擊前修補漏洞:一種識別目標軟件脆弱性的方法77
41引言78
42相關工作81
43預備知識82
431有監(jiān)督的學習方法82
432漏洞利用預測面臨的挑戰(zhàn)83
44漏洞利用預測模型85
441數據源86
442特征描述88
45漏洞及利用分析90
451漏洞利用可能性91
452基于時間的分析91
453基于供應商/平臺的分析93
454基于語言的分析94
46實驗設置95
461性能評估96
462結果97
47對抗數據處理103
48討論105
49總結107
參考文獻107
第5章 人工智能方法在網絡攻擊檢測中的應用111
51引言111
52相關工作112
53二元分類器114
531神經網絡114
532模糊神經網絡118
533支持向量機123
54訓練二元分類器以檢測網絡攻擊126
541計算和預處理網絡參數127
542二元分類器權重的遺傳優(yōu)化129
543網絡攻擊檢測算法131
55組合多種二元分類器方案132
551組合檢測器的低層級方案132
552聚合成分134
553組合檢測器的常用方法136
56實驗137
561數據集137
562實驗1138
563實驗2139
57總結140
參考文獻141
第6章 用于網絡入侵檢測的機器學習算法144
61引言144
62網絡入侵檢測系統(tǒng)146
621部署方法146
622檢測方法148
63網絡入侵檢測中的機器學習149
631模糊推理系統(tǒng)150
632人工神經網絡156
633基于機器學習的NIDS的部署160
64實驗161
641評估環(huán)境161
642模型構建162
643結果對比164
65總結165
參考文獻166
第7章 使用機器學習技術進行Android應用程序分析172
71引言172
72Android應用程序包的結構174
721中央配置(AndroidManifest.xml)174
722Dalvik字節(jié)碼(classes.dex)175
73Android惡意軟件識別技術176
731黑名單176
732參數化177
733分類177
74數據集準備178
741APK文件分析178
742應用程序元數據179
743標簽分類180
744數據編碼180
745一種安全和惡意APK文件的新型數據集181
75用SVM檢測惡意軟件182
751SVM概述182
752特征設置185
753調整超參數185
754評估指標186
755數值結果186
76與參數化方法比較188
761擴展DroidRisk188
762DroidRisk性能189
77特征選擇190
771遞歸特征消除190
772排序標準191
773實驗192
78問題和限制194
79總結195
參考文獻195
書單推薦
