誤報率是衡量網(wǎng)絡(luò)安全設(shè)備的重要技術(shù)指標(biāo)，但正確檢測和計算牙齒指標(biāo)的方法沒有統(tǒng)一的科學(xué)方法。安全桶基于自主開發(fā)的網(wǎng)絡(luò)流量安全分析系統(tǒng)，總結(jié)了自己的技術(shù)和經(jīng)驗，推導(dǎo)了安全設(shè)備誤報率的檢測計算方法，基于深入學(xué)習(xí)技術(shù)，將誤報率降低到行業(yè)較低水平，減少了企業(yè)機(jī)構(gòu)維持安全運(yùn)營的人員和時間投入。

誤報率是多少？

誤報：在網(wǎng)絡(luò)安全設(shè)備警告規(guī)則集C中，事件A觸發(fā)警告時，發(fā)生了b事件警告或未發(fā)出警告。

誤報率：在規(guī)則集C中，由于算法或事件定義，安全設(shè)備生成誤報的概率。

一般的誤報率計算方法是以設(shè)備規(guī)則集為起點加權(quán)規(guī)則集事件，但行業(yè)沒有統(tǒng)一的權(quán)重標(biāo)準(zhǔn)，計算困難。(大衛(wèi)亞設(shè)，美國電視電視劇)

因為有很多安全設(shè)備規(guī)則集，全面覆蓋往往是不現(xiàn)實的。實際上，錯誤報告率通常通過抽樣測試方法計算。也就是說，從事件庫中隨機(jī)選擇一些事件，使用攻擊工具觸發(fā)或使用捕獲工具播放捕獲的數(shù)據(jù)包，并分析警告結(jié)果以生成安全設(shè)備的錯誤報告率。

基于深度學(xué)習(xí)技術(shù)的流量安全分析，降低誤報率。

安全桶網(wǎng)絡(luò)流量安全分析系統(tǒng)以現(xiàn)有流量收集、流量分析、流量回溯為基礎(chǔ)，集成了自己的研究威脅信息技術(shù)，應(yīng)用深入學(xué)習(xí)技術(shù)，降低了誤報率。

深度學(xué)習(xí)技術(shù)是機(jī)器學(xué)習(xí)技術(shù)的一種，機(jī)器學(xué)習(xí)是實現(xiàn)人工智能的必由之路。深度學(xué)習(xí)概念源于人工神經(jīng)網(wǎng)絡(luò)的研究，結(jié)合低級特性形成了更抽象的高級表達(dá)屬性類別或特性，并由發(fā)現(xiàn)數(shù)據(jù)的分布式特性表示。研究深度學(xué)習(xí)的動機(jī)在于構(gòu)建模擬人腦學(xué)習(xí)分析的神經(jīng)網(wǎng)絡(luò)。這是模擬人類大腦機(jī)制解釋數(shù)據(jù)(如圖像、聲音、文本等)。

基于深入學(xué)習(xí)的檢測技術(shù)(如惡意檔案、惡意URL、DGA域名等)可以通過將示例文件直接轉(zhuǎn)換為2D圖(不使用沙盒環(huán)境)來培訓(xùn)和檢測改造后的卷積神經(jīng)網(wǎng)絡(luò)Inception V4。

Step 1:轉(zhuǎn)換二進(jìn)制文件

初步處理樣本文件，然后將其轉(zhuǎn)換為二進(jìn)制文件。轉(zhuǎn)換后，每個字節(jié)的范圍為00-FF，灰色映射像素為0-255 (0表示黑色，255表示白色)。將二進(jìn)制文件轉(zhuǎn)換為矩陣會將矩陣轉(zhuǎn)換回灰度。

Step 2:CNN圖像識別

僅憑視圖很難區(qū)分惡意樣本和白色樣本之間的細(xì)微差別，因此可以使用完善的CNN圖像識別算法對圖像進(jìn)行分類。

卷積神經(jīng)網(wǎng)絡(luò)(CNN)是包含卷積計算的深度結(jié)構(gòu)的前饋神經(jīng)網(wǎng)絡(luò)，是表示深度學(xué)習(xí)的算法之一。其配置如下：

輸入層(Input Layer)

以三維矩陣表示圖片。矩陣的橫豎表示圖的大小，矩陣的深度表示圖像的顏色通道，黑白為1。

卷積層(Convolution Layer)

牙齒層的輸入是上層神經(jīng)網(wǎng)絡(luò)的一小塊，進(jìn)一步分析神經(jīng)網(wǎng)絡(luò)的每個小塊，試圖獲得抽象水平更高的特征。(約翰f肯尼迪，美國電視電視劇(Northern Exposure，Northern Exposure)，通常會增加牙齒層中處理的節(jié)點矩陣深度。

池層(Pooling Layer)

3D矩陣的深度保持不變，但可以通過減小矩陣的大小來減小參數(shù)。可以把分辨率高的照片看作是降低分辨率的過程。

完整連接層(Fully Connecced)

多線路和聚合后，通過1-2個完整的連接層輸出。卷積層、池化層可視為特征提取，最后可分類為牙齒層。

Softmax層

切換到概率分布。

牙齒技術(shù)簡化了檢查過程，速度比沙盒技術(shù)好，可以將誤報率調(diào)整到10%以內(nèi)，最低降低到1%。

以下是最近進(jìn)行惡意檔案訓(xùn)練后在測試集中進(jìn)行的評估結(jié)果。

各項指標(biāo)為97%到98%，比以前的型號好。

表現(xiàn)不好的幾種茄子形式主要是因為正數(shù)樣品中樣品數(shù)較少。

DEX是一種特殊的Android檔案格式，無法從負(fù)樣本中收集，因此測試結(jié)果可能偏向正樣本。

對Rar、zip壓縮后檢測有一定影響。

以下是DGA和惡意URL檢測的驗證集的結(jié)果，您可以看到誤報率最小化到1% (1-準(zhǔn)確度)。

創(chuàng)新提出了整體堆棧分析概念。

安全桶網(wǎng)絡(luò)流量安全分析系統(tǒng)集成了會話分析、WAF、IDS警報、威脅信息分析、未知威脅分析、整體流量跟蹤、檔案還原取證等功能，并革新了整體堆棧分析概念。

在深入學(xué)習(xí)的基礎(chǔ)上，除了在技術(shù)層面量化誤報率外，還可以根據(jù)實際操作層中的實際經(jīng)驗應(yīng)用這些措施，以降低誤報率。

1、應(yīng)用自主研究威脅信息，實時更新脫機(jī)庫，以確保準(zhǔn)確性。

2.應(yīng)用未知的威脅分析，通過操縱白名單排除誤報。

3、通過應(yīng)用節(jié)目異常流量檢測、網(wǎng)絡(luò)攻擊檢測、配置審核的準(zhǔn)確IP降低誤報率。

4.應(yīng)用內(nèi)置WAF功能或減少配置審核的IP，以降低誤報率。

在技術(shù)發(fā)展日新月異的今天，將高新技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，不斷提高產(chǎn)品功能的準(zhǔn)確性，是安博通堅持自主創(chuàng)新。今后，企業(yè)將通過面向網(wǎng)絡(luò)安全行業(yè)的人工智能技術(shù)，有效地確保法規(guī)遵從性、紅藍(lán)對抗、日常運(yùn)營和維護(hù)中的安全要求，為所有產(chǎn)業(yè)用戶創(chuàng)造新的安全業(yè)務(wù)價值。

癌癥普通信息

北京安博通技術(shù)有限公司(以下簡稱安博通)是國內(nèi)最好的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品和安全服務(wù)提供商，2019年成為中國第一家登陸科學(xué)學(xué)科網(wǎng)絡(luò)安全企業(yè)。

自行開發(fā)的ABT SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)平臺是眾多一線供應(yīng)商和大型解決方案集成商最廣泛使用的網(wǎng)絡(luò)安全系統(tǒng)套件，是國內(nèi)眾多部門和中央企業(yè)安全態(tài)勢感知平臺的核心組件和數(shù)據(jù)引擎。

有關(guān)詳細(xì)信息，請參閱。