本文主要是根据目前本人了解,AI技术在安全领域中的一些可能应用点做一些总结,目前本人刚刚毕业,希望在AI安全上也能贡献出自己的一份力量,再过两年来回顾这篇文章不知道会有什么新的看法。
1.入侵检测
这里比较火的主要有几个小类:
Webshell检测
AI与Webshell检测的结合是许多公司在AI+入侵检测领域一般最先想要去进行研究的部分,因为Webshell危险等级很高,并且使用传统的方式只能够防御一些已有的Webshell攻击,而对新发生的Webshell攻击很难直接使用已有的规则方式进行预防,因此只能将希望寄托在AI上,这里也是我重点在研究的方向,目前针对该问题主要存在的一些解决方案如下:
- 完全使用深度学习的方式进行检测
- 使用先验知识进行特征提取然后使用机器学习建模进行检测
参数异常检测
参数异常检测目前主流的方式是使用HMM进行检测,在实际使用过程检测的效果还是非常不错·,模型能够有效的发现未知的攻击,但是唯一存在的问题就是模型运行效率问题,由于该模型对每一个要访问的页面都要构建一个模型,由于模型量巨大因此很难应用在大范围的主干网络对不同的站点进行检测,单对于公司内部网页站点数比较少的情况还是非常值得进行尝试的。
2.垃圾邮件识别
垃圾邮件识别应该是最早使用AI去进行解决的安全问题,也是目前取得的效果最好,在实际环境中更多别采用的一种。垃圾邮件的识别从本质上来说就是一些半结构化的数据从文本的角度金慈宁
3.DGA域名检测
对于DGA域名的检测,各个公司研究的也算比较多的
在几年以前DGA域名的识别在机器学习开始兴起后逐渐流行起了使用先验知识进行最长连续字母长度、最长连续数字长度等域名随机读衡量的统计特征人工提取,然后再使用各种各样的机器学习进行建模的过程,虽然在各种paper中效果良好,但是在我的实际使用过程中效果差强人意。而近年来人们渐渐意识到,由于DGA域名的展现形式与正常流量展现形式的差异表现很难直接使用人工的方式进行描述,因此将主要精力放在了使用深度学习技术进行DGA域名检测研究中来,通过大量的实验研究也证明了深度学习技术更加适合解决该问题。
4.僵尸网络检测
使用AI技术进行僵尸网络的检测目前也是一个非常热的问题,但大多处于发papar灌水阶段,目前没有通说有公司使用。本人研究的不多,这里不做展开。
未来的展望
1.对于Webshell检测的研究目前大多只停留在使用单条流量进行Webshell进行检测上,但实际环境中要想真正使用AI技术进行Webshell检测并直接进行响应,还用使用多条流量,