深度学习在网络安全中的应用.pptxVIP

深度学习在网络安全

中的应用

目录

深度学习的含义在公共网络安全管理中的应用计算机操作码恶意代码监测智能手机入侵检测基于http协议恶意特征分析手机恶意apk代码监测

深度学习2016年谷歌下属公司DeepMind基于深度机器学习研究的AlphaGo首次打败围棋专业棋手李世石使得深度学习再次在世界上引起轰动。深度学习是近年来在图像识别、语音识别、自然语言处理等领域得到突破性的应用。

深层神经网络深度学习是一个具有多个隐层的非线性神经网络结构，深层神经网络由一个输入层，数个隐层和一个输出层构成。每层有若干个神经元，神经元之间有连接权重。每个神经元模拟人类的神经元细胞，节点之间的连接模拟神经细胞之间的连接。

深入学习算法原理第一层（输入层）：可直接接收原始数据，而不仅仅是特征；中间层：包含了若干个神经元，每个神经元包含两个功能，一个是对输入的加权叠加，另一个是对将叠加的值进行变换并将变换后的值传入到下一层；输出层：根据得到的多层运算的最后结果进行决策。功能强大在于对原始数据进行多项（神经元）与多层的运算

1深度学习同机器学习方法一样，深度学习方法也有监督学习与无监督学习之分：2卷积神经网络(Convolutionalneuralnetworks，简称CNNs)3深度置信网络(DeepBeliefNets，简称DBNs)深度学习算法分类

深度学习与网络安全标志性的事件：全球第一个基于深度学习提供商业化网络空间安全解决方案的公司（DeepInstinct）于2015年11月在旧金山成立，该公司宣称其安全解决方案能够抵御未知攻击，能够即时地检测0-day漏洞的威胁和APT攻击。2016年1月，Symantec公司也宣布采用深度学习技术检测利用0-day漏洞的病毒工具。

1.1在公共网络语音监管中应用语音犯罪行为增加语音量巨大不同于文本分析（敏感关键词）现有语音识别系统误差率太高

1.2公共网络语音监管原理正常信息直接忽略，可疑信息在通过语音识别为文本信息在通过人工方式甄别，从而实现对语音信息的分析和预警将大量语音样本输入到深度学习神经网络中，通过样本得到语音样本的抽象化特征，从而得到语音特征信息库。然后：将语音信息输入深度学习神经网络，得到语音信息的抽象化表示，与与语音特征库进行比对。通过一个分类器，可将正常信息与可疑信息区分开来。

2.1基于计算机操作码恶意代码监测恶意代码是指个人或组织有意编写的对计算机或者网络存在安全隐患的计算机代码，通常包含恶意共享软件、广告软件、木马、病毒、蠕虫等，每一种恶意代码又有不同种类的变种。深度置信网络模型主要分为3大模块：1.数据预处理2.操作码特征提取3.深度置信网络模块

2.2深度置信网络模块RBM预训练，即首先利用大量无类标样本进行受限玻尔兹曼机（RBM）的重构训练，受限玻尔兹曼机的调节过程是自下而上的各个层间的调节过程，以这种方式来初始化整个深度模型的权值；

2.3深度置信网络模块深度信念网络（DBN）无监督的反馈调节，即首先进行自下而上的识别模型转换，然后再进行自上而下的生成模型转换，最后通过不同层次之间的不断调节，使生成模型可以重构出具有较低误差的原样本，这样就得到了此样本的本质特征，即深度模型的最高抽象表示形式；BP反馈调节，以样本原始类标和目标输出之间的误差进行BP反馈微调，调节整个网络层数的权值。

3.智能手机入侵检测入侵检测是一种预防性安全机制，通过对智能手机状态、网络行为等的监控，来发现是否发生用户越权行为或是入侵行为。深度学习入侵检测主要有两个方向：一是发现入侵的规则、模式，与训练模型匹配对比；二是用于异常检测，找出用户正常行为，创建用户的正常行为库。

深度信念网络主要由限制玻尔兹曼机模型（RBM）和BP神经网络两部分基于深度信念网络的手机入侵检测模型针对输入数据进行处理，然后使用RBM进行无监督的训练，使得每一层输出的特征较为显著，确保特征向里映射到不同特征空间时，都尽可多地保留特征信息，形成训练模型获取到了较为明显的特征信息；最后一层运用BP神经网络来进行分类。BP网络层接收RBM层输出的特征向量作为它的输入数据，且该层的训练过程是有监督的训练。在进行了设定层数的训练后，将该分类参数设定为2，得到最后的误差值，计算出对应准确率。

4.1基于http恶意特征分析随着web应用的发展，http协议的使用范围进一步扩大，同时也开始成为网络恶意行为的主要载体，因此请求数据中体现了很多恶意行为特征。01有很多web攻击如SQL注入、跨站脚本攻击、cookie篡改等的恶意行为都在http请求中有体现，且请求的攻击方式多变，恶意特征不是只体现在某个特定的地方，还有很多恶意特征集中在路径或者其他部位02

4.2http安全监测模