深度学习在网络安全中的应用PPT.ppt

1、深度学习在网络安全中的应用1 2目录深度学习的含义在公共网络安全管理中的应用计算机操作码恶意代码监测智能手机入侵检测基于http协议恶意特征分析手机恶意apk代码监测 22024/11/1 周五深度学习 2016年谷歌下属公司Deep Mind基于深度机器学习研究的AlphaGo首次打败围棋专业棋手李世石使得深度学习再次在世界上引起轰动。深度学习是近年来在图像识别、语音识别、自然语言处理等领域得到突破性的应用。32024/11/1 周五深层神经网络 深度学习是一个具有多个隐层的非线性神经网络结构，深层神经网络由一个输入层，数个隐层和一个输出层构成。每层有若干个神经元，神经元之间有连接权重。每个

2、神经元模拟人类的神经元细胞，节点之间的连接模拟神经细胞之间的连接。42024/11/1 周五深入学习算法原理第一层（输入层）：可直接接收原始数据，而不仅仅是特征；中间层：包含了若干个神经元，每个神经元包含两个功能，一个是对输入的加权叠加，另一个是对将叠加的值进行变换并将变换后的值传入到下一层；输出层：根据得到的多层运算的最后结果进行决策。功能强大在于对原始数据进行多项（神经元）与多层的运算52024/11/1 周五深度学习算法分类深度学习同机器学习方法一样，深度学习方法也有监督学习与无监督学习之分：卷积神经网络(Convolutional neural networks，简称CNNs)深度置信

3、网络(Deep Belief Nets，简称DBNs)62024/11/1 周五深度学习与网络安全标志性的事件：全球第一个基于深度学习提供商业化网络空间安全解决方案的公司（Deep Instinct）于2015年11月在旧金山成立，该公司宣称其安全解决方案能够抵御未知攻击，能够即时地检测0-day漏洞的威胁和APT攻击。2016年1月，Symantec公司也宣布采用深度学习技术检测利用0-day漏洞的病毒工具。72024/11/1 周五1.1 在公共网络语音监管中应用1.语音犯罪行为增加2.语音量巨大3.不同于文本分析（敏感关键词）4.现有语音识别系统误差率太高82024/11/1 周五1.2

4、 公共网络语音监管原理首先：将大量语音样本输入到深度学习神经网络中，通过样本得到语音样本的抽象化特征，从而得到语音特征信息库。然后：将语音信息输入深度学习神经网络，得到语音信息的抽象化表示，与与语音特征库进行比对。最后：通过一个分类器，可将正常信息与可疑信息区分开来。正常信息直接忽略，可疑信息在通过语音识别为文本信息在通过人工方式甄别，从而实现对语音信息的分析和预警92024/11/1 周五2.1 基于计算机操作码恶意代码监测恶意代码是指个人或组织有意编写的对计算机或者网络存在安全隐患的计算机代码，通常包含恶意共享软件、广告软件、木马、病毒、蠕虫等，每一种恶意代码又有不同种类的变种。深度置信网

5、络模型主要分为3大模块：1.数据预处理2.操作码特征提取3.深度置信网络模块102024/11/1 周五2.2 深度置信网络模块1.RBM 预训练，即首先利用大量无类标样本进行受限玻尔兹曼机（RBM）的重构训练，受限玻尔兹曼机的调节过程是自下而上的各个层间的调节过程，以这种方式来初始化整个深度模型的权值；112024/11/1 周五2.3 深度置信网络模块2.深度信念网络（DBN）无监督的反馈调节，即首先进行自下而上的识别模型转换，然后再进行自上而下的生成模型转换，最后通过不同层次之间的不断调节，使生成模型可以重构出具有较低误差的原样本，这样就得到了此样本的本质特征，即深度模型的最高抽象表示形

6、式；3.BP 反馈调节，以样本原始类标和目标输出之间的误差进行 BP 反馈微调，调节整个网络层数的权值。122024/11/1 周五3.智能手机入侵检测入侵检测是一种预防性安全机制，通过对智能手机状态、网络行为等的监控，来发现是否发生用户越权行为或是入侵行为。深度学习入侵检测主要有两个方向：一是发现入侵的规则、模式，与训练模型匹配对比；二是用于异常检测，找出用户正常行为，创建用户的正常行为库。132024/11/1 周五基于深度信念网络的手机入侵检测模型深度信念网络主要由限制玻尔兹曼机模型（RBM）和BP神经网络两部分1.针对输入数据进行处理，然后使用RBM进行无监督的训练，使得每一层输出的特

7、征较为显著，确保特征向里映射到不同特征空间时，都尽可多地保留特征信息，形成训练模型获取到了较为明显的特征信息；2.最后一层运用BP神经网络来进行分类。BP网络层接收RBM层输出的特征向量作为它的输入数据，且该层的训练过程是有监督的训练。在进行了设定层数的训练后，将该分类参数设定为2，得到最后的误差值，计算出对应准确率。142024/11/1 周五4.1 基于http恶意特征分析 随着web应用的发展，http协议的使用范围进一步扩大，同时也开始成为网络恶意行为的主要载体，因此请求数据中体现了很多恶意行为特征。有很多web攻击如SQL注入、跨站脚本攻击、cookie篡改等的恶意行为都在http请

8、求中有体现，且请求的攻击方式多变，恶意特征不是只体现在某个特定的地方，还有很多恶意特征集中在路径或者其他部位152024/11/1 周五4.2 http安全监测模型 首先对http请求格式和恶意特征分析，根据数据特点从结构、长度、字符三方面设计了大量特征而且还基于自动生成了一个敏感词库，统计请求内容中的敏感词数目，并将其也作为描述请求的特征之一。然后采用基于信息熵的特征选择算法，从设计的特征中选择出具有区分度的特征，用这些选择出的特征来向量化请求。在用分类算法训练好安全检测模型之后，就可以用来检测数据的类别了。162024/11/1 周五5.1 手机恶意apk代码监测1.Andriod 平台的

9、移动智能设备数量和用户数据流量呈指数爆炸式增长2.基于深度学习的 Andriod 恶意应用程序检测系统，突破传统算法效率低的技术屏障，不仅理论上取得了可行性证明，实际验证也获得了较好的检测效果。172024/11/1 周五5.2 恶意apk代码监测原理1.APK 代码特征的提取模块2.“训练”模块3.检测未知 APK 样本模块1.采用静态代码分析技术提取 Android应用的多类行为特征数据，2.将特征数据转化为样本特征矩阵，3.再用卷积神经网络算法文件来对样本特征矩阵进行训练。4.最后批量下载未参与训练深度神经网络的 Andriod 应用程序，然后对其APK 执行系统步骤，得到未知样本 AP

10、K 的相关预测报告。182024/11/1 周五总结 目前深度学习在信息安全中的应用还处于起步阶段，但是为当前的信息安全领域提供了新的思路。随着深度学习的发展，深度学习在信息安全上的应用会越来越成熟，越来越广泛。随着云计算相关技术的发展，可以将云计算与深度学习技术结合起来研究信息安全防治技术。192024/11/1 周五参考文献1蒋鲁宁.机器学习_深度学习与网络安全技术.网界论衡.2016.052邵翀,张凡忠.深度学习在公共网络安全管理中的应用研究.中国人民公安大学网络安全保卫学院.2015.063陈晨.基于操作码行为深度学习的恶意代码检测方法.哈尔滨工业大学.2013.12 4何苗.基于机器学习的移动数据安全检测技术研究.北京邮电大学.2015.015张海舰.基于深度学习的Andriod恶意应用程序检测系统.电子技术与网络安全.2017.016张美娟.基于深度学习的智能手机入侵检测系统的研究.北京交通大学.2016.06202024/11/1 周五