机器学习在网络安全中的应用

摘要：在计算机互联网技术迅猛发展态势的作用下，计算机以及计算机技术都在社会各领域当中得到了广泛式的传播与应用。但值得我们注意的是据相关调查显示，目前计算机在硬件方面的利用率只占到整台计算机的3%-5%，这导致计算机的各项功能无法在实际应用过程中得到充分的发挥，从而在造成资源浪费的同时也对计算机的软硬件安全形成了一定的威胁。而机器学习的出现则很好的改变了这一问题，尤其是其对计算机信息有效利用的倡导，可以在学习的作用下，让计算机具备人的思维，变得更聪明、更智能，以此来帮助人们抵御各种计算机网络安全威胁事件的发生。在此种背景下，本文以机器学习在网络安全中的应用展开探究，在对机器学习内容、特点等进行概述的基础上，探究了机器学习在网络安全中应用的意义，并详细介绍了机器学习在网络安全中的具体应用。

【关键词】机器学习；网络安全；应用

1机器学习概述

机器学习作为人工智能的核心内容而存在。简单来讲就是在模拟人类行为的基础上，通过学习来使计算机获得更多的新技能、新知识，变得更加聪明更加智能，以此来实现其组织结构性能上的不断优化。而机器学习作为一项极为智能化的过程，具体该如何实现属于机器的特有“学习”行为呢？关于这一点，不同专业学者基于自身专业研究内容的不同，因此众说纷纭，但总结来讲，机器学习与推理过程之间的紧密关系还是得到了大多数学者的一致认同，因此，我们可以将机器学习策略分为事例学习、类比学习、传授学习、机械学习。基于计算机功能的复杂性，机器学习涉及范围较广，是在多种知识、技术的交叉和共同作用下的结果，如，概率论、凸分析、统计学、算法复杂度理论、逼近论等多专业学科都涉及其中。就机器学习的分类来讲我们可以将其分为以下几种：（1）基于学习策略分类——机械学习、示教学习、演绎学习、类比学习、基于解释的学习、归纳学习；（2）基于所获取知识的表示形式分类——代数表达式参数、决策树、形式文法、产生式规则、形式逻辑表达式、图和网络、框架和模式、计算机程序和其它的过程编码、神经网络、多种表示形式的组合；（3）按应用领域分类——自然语言、图像识别、认知模拟、故障诊断、数据挖掘、专家系统、规划和问题求解、网络信息服务等领域；（4）综合分类——经验性归纳学习、分析学习、类比学习、遗传算法、连接学习、增强学习；（5）学习形式分类——监督学习、非监督学习。

2机器学习在网络安全中应用的意义

从机器学习的本质上来讲，它是在大数据集中的基础上通过对数学技术的引入，来构建机器行为模型，并通过不断输入新的数据资料，使机器在对各时段数据进行分析、运算的基础上，来实现对未来的科学预测。就机器学习在网络安全中应用的意义来讲，主要体现在，机器学习基于自身极强的数据分析能力，在应用的过程中，可以帮助用户来有效的对网络安全事件作出及时的响应，尤其是在团队安全技能不足的情况下，可以通过自动执行来替代团队执行一些琐碎的系统安全任务，有助于切实保障用户的网络安全。同时机器学习与传统电子科技产品的融合，有助于清除产品中的恶意软件，进而达到提升产品安全系数和运行稳定性的目的。

3机器学习在网络安全中的应用

3.1安全入侵检测

网络安全入侵检测是一种较早出现的计算机系统自我安全防护技术，其在不对网络性能以及用户的计算机操作构成影响的情况下，通过对网络运行数据、安全日志等信息的分析和检测，来判断系统是否受到了安全威胁，以此来实现对计算机系统的实时保护。机器学习凭借自身性能的智能化，在安全入侵检测中的应用，能够有效提升网络安全入侵检测反应灵敏度，使防护系统可以在短短的几秒钟内，就准确的检测到恶意攻击位置，并予及时的进行准确、有效的防护，将恶意攻击对系统的伤害降到最低。

3.2垃圾邮件检测

机器学习在垃圾邮件检测中的应用，根据其特殊的运行原理，我们可以将其看作是机器学习当中的分类问题。如，我们将邮件整体定义在{-1，1}之间，1就代表是垃圾邮件，而-1则说明是非垃圾邮件。而在对垃圾邮件进行文本分类问题定义的过程中，我们首先就需要通过一定的数值来对垃圾邮件的文本信息予以表达，并用向量来对各条消息进行表示，垃圾邮件的特征值则集中表现在各特征向量元素当中。同时，由于系统对于垃圾邮件的检测属于在线应用范畴，因此，机器学习对于邮件的自动识别和分类能够极大的提升系统对于垃圾邮件的检测效率，降低出错率。

3.3域名检测

作为互联网重要的核心应用系统，域名系统基于自身对整个网络安全所起到的重要意义，经常成为被黑客和不法分子恶意攻击的目标。以往我们多通过防火墙、黑名单拦截、域名系统等的作用下，来实现对域名恶意攻击的检测。以机器学习为主的域名检测则通常是在在线模型、离线模型的双重组合作用下，来实现其域名检测和防御功能。其中，离线模型，通过对恶意域名、合法域名训练数据集的建立，来从中提取出基于区域的特征、基于DNS应答的特征、基于域名信息的特征等，之后通过X-Means聚类算法、决策树等模型的构建，结合网站提供的已知域名数据集来对所构建的模型予以进一步的调整和验证。以此来判断其是否属于恶意域名。在线监测模型，是在网络系统对域名的自动查询分析作用下，来对被检测域名的主要特征、信息等进行获取，其特征显示已标记的则视为已知域名信息，进行继续训练操作，特征显示无标签的则视为未知域名，需要在分类器的作用下，对其是否属于恶意域名进行继续判断。

参考文献

[1]张蕾,崔勇,刘静,江勇,吴建平.机器学习在网络空间安全研究中的应用[J/OL].计算机学报,2018:1-35.

[2]蒋鲁宁.机器学习、深度学习与网络安全技术[J].中国信息安全,2016(05):94.

[3]蒋一波,王雨晨,王万良,张祯,陈琼.一种基于机器学习的MANET网络入侵检测性能评估方法研究[J].计算机科学,2013,40(S2):170-174+191

作者:张舒婷 单位:太原学院