当前位置:首页 >  IDC >  安全 >  正文

误报率太高?AI+流量安全分析,让网络运维更轻松

 2020-07-10 17:52  来源: 互联网   我来投稿 撤稿纠错

  【推荐】海外独服/站群服务器/高防

误报率是衡量网络安全设备的重要技术指标,但如何正确检测和计算这项指标,没有统一科学的方法。安博通基于自主研发的网络流量安全分析系统,总结自身技术和经验,得出了一套安全设备误报率的检测计算方法,并基于深度学习技术将误报率降到业界较低水平,可减少企业机构安全运维的人力和时间投入。

误报率是什么?

· 误报: 在网络安全设备报警规则集合C中,事件A触发报警时,发生了B事件报警或未发生报警。

· 误报率: 在规则集C中,由于算法或事件定义导致安全设备产生误报的概率。

通用的误报率计算方法是,以设备规则集为出发点,对规则集事件进行加权处理,但业界暂无统一的权值标准,因此造成计算困难。

由于安全设备规则集较多,全面覆盖往往不现实。在实践中,通常以抽样测试方法来统计误报率,即随机挑选事件库中的部分事件,使用攻击工具触发这些事件,或以抓包工具对捕获的包进行回放,分析报警结果,从而得出安全设备的误报率。

基于深度学习技术的流量安全分析,降低误报率

安博通网络流量安全分析系统在传统流量采集、流量分析、流量回溯的基础上,集成自研的威胁情报技术,并应用深度学习技术,降低误报率。

深度学习技术是机器学习技术的一种,而机器学习是实现人工智能的必经路径。深度学习概念源于人工神经网络的研究,其通过组合低层特征形成更加抽象的高层表示属性类别或特征,并以发现数据的分布式特征表示。研究深度学习的动机在于建立模拟人脑学习分析的神经网络,它模拟人脑机制解释数据,如图像、声音、文本等。

基于深度学习的恶意文件、恶意URL、DGA域名等检测技术无需沙箱环境,可以直接将样本文件转换为二维图片,进而应用改造后的卷积神经网络Inception V4进行训练和检测。

Step 1:二进制文件转换

将样本文件初步处理后转换为二进制文件,转换后每个字节范围在00-FF之间,对应灰度图像素在0-255之间(0为黑色,255为白色)。将二进制文件转换为矩阵,矩阵又可以转换为灰度图。

Step 2:CNN图像识别

单靠观看很难区分恶意样本与白样本在纹理上存在的细微差异,采用成熟的CNN图像识别算法可以进行图像分类。

CNN(卷积神经网络)是一类包含卷积计算且具有深度结构的前馈神经网络,是深度学习的代表算法之一。它的构成包括:

· 输入层(Input Layer)

用三维矩阵代表一张图片,矩阵的长宽表示图片的大小,矩阵的深度表示图像的色彩通道,黑白为1 。

· 卷积层(Convolution Layer)

这一层的输入是上一层神经网络的一小块,它试图对神经网络的每一小块进行更深入分析,以得到抽象程度更高的特征。一般来说,本层处理后的结点矩阵深度会增加。

· 池化层(Pooling Layer)

不改变三维矩阵的深度,但能够缩小矩阵的大小,达到减少参数的目的。可以看做是将分辨率较高图片降低分辨率的过程。

· 全连接层(Fully Connecced)

经过多轮卷积和池化后,经过1-2个全连接层进行输出。可以将卷积层、池化层看做特征提取,最后由本层进行分类。

· Softmax层

转化为概率分布。

这一技术简化了检测流程,速度也优于沙箱技术,可将误报率控制在10%以内,最低降至1%。

以下是最近一次恶意文件训练后在测试集上评估的结果:

· 各项指标在97-98%左右,优于以往模型。

· 表现较差的几种格式,主要原因为正样本中样本数较少。

· dex是一种特殊的安卓文件格式,在负样本中没有收集到,导致测试结果可能偏向正样本。

· rar、zip压缩后对检测有一定影响。

以下是DGA和恶意URL检测在验证集上的结果,可以看到误报率最低降至1% (1-准确率)。

创新提出全栈分析概念

安博通网络流量安全分析系统集成了会话分析、WAF、IDS告警、威胁情报分析、未知威胁分析、全流量溯源、文件还原取证等功能,并创新性地提出了全栈分析概念。

除了基于深度学习从技术层面量化降低误报率外,还可以从实际操作层出发,根据实践经验,应用这些措施降低误报率:

1、 应用自研威胁情报 ,可实时更新离线库,保障准确率。

2、 应用未知威胁分析 ,通过加白名单操作排除误报。

3、 应用异常流量检测、网络攻击检测 ,通过配置审计的精确IP,降低误报率。

4、 应用内置的WAF功能 ,也可以通过减少配置审计的IP降低误报率。

在技术发展日新月异的今天,将先进技术应用于网络安全领域,不断提升产品功能精度,是安博通自主创新的不懈追求。未来,公司将继续以人工智能技术赋能网络安全产业,切实保障在等保合规、红蓝对抗、日常运维中的安全需求 ,为各行业用户创造安全业务价值新体验。

关于安博通

北京安博通科技股份有限公司(简称“安博通”),是国内领先的可视化网络安全专用核心系统产品与安全服务提供商,2019年成为中国第一家登陆科创板的网络安全企业。

其自主研发的ABT SPOS可视化网络安全系统平台,已成为众多一线厂商与大型解决方案集成商最广泛搭载的网络安全系统套件,是国内众多部委与央企安全态势感知平台的核心组件与数据引擎。

更多详情,敬请查阅:www.abtnetworks.com

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
网络安全

相关文章

  • 2023 年 6 月头号恶意软件:Qbot 成为 2023 年上半年最猖獗恶意软件

    CheckPointResearch报告称,多用途木马Qbot是2023年上半年最猖獗的恶意软件。与此同时,移动木马SpinOk于6月份首次位居榜首,该恶意软件在MOVEit暴出零日漏洞后开始肆虐2023年7月,全球领先的网络安全解决方案提供商CheckPoint®软件技术有限公司(纳斯达克股票代码

    标签:
    网络安全
  • 华顺信安荣获“网络空间安全产学协同育人优秀案例”二等奖

    7月6日,“第三届网络空间安全产学协同育人优秀案例”评选活动正式公布获奖名单,华顺信安与湘潭大学计算机学院·网络空间安全学院联合申报的参选案例获评优秀案例二等奖。本次活动由教育部高等学校网络空间安全专业教学指导委员会产学合作育人工作组主办,四川大学与华中科技大学共同承办。本次评选,华顺信安与湘潭大学

    标签:
    网络安全
  • Check Point:攻击者通过合法email服务窃取用户凭证信息

    近日,CheckPoint®软件技术有限公司的研究人员对电子邮件安全展开调研,结果显示凭证收集仍是主要攻击向量,59%的报告攻击与之相关。它还在商业电子邮件入侵(BEC)攻击中发挥了重要作用,造成了15%的攻击。同时,在2023年一份针对我国电子邮件安全的第三方报告显示,与证书/凭据钓鱼相关的不法活

    标签:
    网络安全
  • 百代OSS防勒索解决方案,打造领先安全生态体系

    Verizon发布的VerizonBusiness2022数据泄露调查报告显示,勒索软件在2022年同比增长13%,增幅超过过去五年综合。更危险的是,今年又出现了许多新的勒索软件即服务(RaaS)团伙,例如Mindware、Onyx和BlackBasta,以及恶名昭著的勒索软件运营商REvil的回归

    标签:
    网络安全
  • 2023 CCIA年度榜单出炉,华顺信安三度蝉联“中国网安产业成长之星

    6月21日,中国网络安全产业联盟(CCIA)正式发布由网络安全产业研究机构“数说安全”提供研究支持的“2023年中国网安产业竞争力50强、成长之星、潜力之星”榜单。华顺信安凭借行业内优秀的专业能力与强劲的核心竞争力再次荣登“2023年中国网安产业成长之星”榜单。据悉,中国网络安全产业联盟(CCIA)

    标签:
    网络安全

热门排行

信息推荐