誤報率是衡量網(wǎng)絡(luò)安全設(shè)備的重要技術(shù)指標,但正確檢測和計算牙齒指標的方法沒有統(tǒng)一的科學方法。安全桶基于自主開發(fā)的網(wǎng)絡(luò)流量安全分析系統(tǒng),總結(jié)了自己的技術(shù)和經(jīng)驗,推導了安全設(shè)備誤報率的檢測計算方法,基于深入學習技術(shù),將誤報率降低到行業(yè)較低水平,減少了企業(yè)機構(gòu)維持安全運營的人員和時間投入。
誤報率是多少?
誤報:在網(wǎng)絡(luò)安全設(shè)備警告規(guī)則集C中,事件A觸發(fā)警告時,發(fā)生了b事件警告或未發(fā)出警告。
誤報率:在規(guī)則集C中,由于算法或事件定義,安全設(shè)備生成誤報的概率。
一般的誤報率計算方法是以設(shè)備規(guī)則集為起點加權(quán)規(guī)則集事件,但行業(yè)沒有統(tǒng)一的權(quán)重標準,計算困難。(大衛(wèi)亞設(shè),美國電視電視劇)
因為有很多安全設(shè)備規(guī)則集,全面覆蓋往往是不現(xiàn)實的。實際上,錯誤報告率通常通過抽樣測試方法計算。也就是說,從事件庫中隨機選擇一些事件,使用攻擊工具觸發(fā)或使用捕獲工具播放捕獲的數(shù)據(jù)包,并分析警告結(jié)果以生成安全設(shè)備的錯誤報告率。
基于深度學習技術(shù)的流量安全分析,降低誤報率。
安全桶網(wǎng)絡(luò)流量安全分析系統(tǒng)以現(xiàn)有流量收集、流量分析、流量回溯為基礎(chǔ),集成了自己的研究威脅信息技術(shù),應(yīng)用深入學習技術(shù),降低了誤報率。
深度學習技術(shù)是機器學習技術(shù)的一種,機器學習是實現(xiàn)人工智能的必由之路。深度學習概念源于人工神經(jīng)網(wǎng)絡(luò)的研究,結(jié)合低級特性形成了更抽象的高級表達屬性類別或特性,并由發(fā)現(xiàn)數(shù)據(jù)的分布式特性表示。研究深度學習的動機在于構(gòu)建模擬人腦學習分析的神經(jīng)網(wǎng)絡(luò)。這是模擬人類大腦機制解釋數(shù)據(jù)(如圖像、聲音、文本等)。
基于深入學習的檢測技術(shù)(如惡意檔案、惡意URL、DGA域名等)可以通過將示例文件直接轉(zhuǎn)換為2D圖(不使用沙盒環(huán)境)來培訓和檢測改造后的卷積神經(jīng)網(wǎng)絡(luò)Inception V4。
Step 1:轉(zhuǎn)換二進制文件
初步處理樣本文件,然后將其轉(zhuǎn)換為二進制文件。轉(zhuǎn)換后,每個字節(jié)的范圍為00-FF,灰色映射像素為0-255 (0表示黑色,255表示白色)。將二進制文件轉(zhuǎn)換為矩陣會將矩陣轉(zhuǎn)換回灰度。
Step 2:CNN圖像識別
僅憑視圖很難區(qū)分惡意樣本和白色樣本之間的細微差別,因此可以使用完善的CNN圖像識別算法對圖像進行分類。
卷積神經(jīng)網(wǎng)絡(luò)(CNN)是包含卷積計算的深度結(jié)構(gòu)的前饋神經(jīng)網(wǎng)絡(luò),是表示深度學習的算法之一。其配置如下:
輸入層(Input Layer)
以三維矩陣表示圖片。矩陣的橫豎表示圖的大小,矩陣的深度表示圖像的顏色通道,黑白為1。
卷積層(Convolution Layer)
牙齒層的輸入是上層神經(jīng)網(wǎng)絡(luò)的一小塊,進一步分析神經(jīng)網(wǎng)絡(luò)的每個小塊,試圖獲得抽象水平更高的特征。(約翰f肯尼迪,美國電視電視劇(Northern Exposure,Northern Exposure),通常會增加牙齒層中處理的節(jié)點矩陣深度。
池層(Pooling Layer)
3D矩陣的深度保持不變,但可以通過減小矩陣的大小來減小參數(shù)??梢园逊直媛矢叩恼掌醋魇墙档头直媛实倪^程。
完整連接層(Fully Connecced)
多線路和聚合后,通過1-2個完整的連接層輸出。卷積層、池化層可視為特征提取,最后可分類為牙齒層。
Softmax層
切換到概率分布。
牙齒技術(shù)簡化了檢查過程,速度比沙盒技術(shù)好,可以將誤報率調(diào)整到10%以內(nèi),最低降低到1%。
以下是最近進行惡意檔案訓練后在測試集中進行的評估結(jié)果。
各項指標為97%到98%,比以前的型號好。
表現(xiàn)不好的幾種茄子形式主要是因為正數(shù)樣品中樣品數(shù)較少。
DEX是一種特殊的Android檔案格式,無法從負樣本中收集,因此測試結(jié)果可能偏向正樣本。
對Rar、zip壓縮后檢測有一定影響。
以下是DGA和惡意URL檢測的驗證集的結(jié)果,您可以看到誤報率最小化到1% (1-準確度)。
創(chuàng)新提出了整體堆棧分析概念。
安全桶網(wǎng)絡(luò)流量安全分析系統(tǒng)集成了會話分析、WAF、IDS警報、威脅信息分析、未知威脅分析、整體流量跟蹤、檔案還原取證等功能,并革新了整體堆棧分析概念。
在深入學習的基礎(chǔ)上,除了在技術(shù)層面量化誤報率外,還可以根據(jù)實際操作層中的實際經(jīng)驗應(yīng)用這些措施,以降低誤報率。
1、應(yīng)用自主研究威脅信息,實時更新脫機庫,以確保準確性。
2.應(yīng)用未知的威脅分析,通過操縱白名單排除誤報。
3、通過應(yīng)用節(jié)目異常流量檢測、網(wǎng)絡(luò)攻擊檢測、配置審核的準確IP降低誤報率。
4.應(yīng)用內(nèi)置WAF功能或減少配置審核的IP,以降低誤報率。
在技術(shù)發(fā)展日新月異的今天,將高新技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域,不斷提高產(chǎn)品功能的準確性,是安博通堅持自主創(chuàng)新。今后,企業(yè)將通過面向網(wǎng)絡(luò)安全行業(yè)的人工智能技術(shù),有效地確保法規(guī)遵從性、紅藍對抗、日常運營和維護中的安全要求,為所有產(chǎn)業(yè)用戶創(chuàng)造新的安全業(yè)務(wù)價值。
癌癥普通信息
北京安博通技術(shù)有限公司(以下簡稱安博通)是國內(nèi)最好的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品和安全服務(wù)提供商,2019年成為中國第一家登陸科學學科網(wǎng)絡(luò)安全企業(yè)。
自行開發(fā)的ABT SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)平臺是眾多一線供應(yīng)商和大型解決方案集成商最廣泛使用的網(wǎng)絡(luò)安全系統(tǒng)套件,是國內(nèi)眾多部門和中央企業(yè)安全態(tài)勢感知平臺的核心組件和數(shù)據(jù)引擎。
有關(guān)詳細信息,請參閱。