误报率是衡量网络安全设备的重要技术指标,但正确检测和计算牙齿指标的方法没有统一的科学方法。安全桶基于自主开发的网络流量安全分析系统,总结了自己的技术和经验,推导了安全设备误报率的检测计算方法,基于深入学习技术,将误报率降低到行业较低水平,减少了企业机构维持安全运营的人员和时间投入。
误报率是多少?
误报:在网络安全设备警告规则集C中,事件A触发警告时,发生了b事件警告或未发出警告。
误报率:在规则集C中,由于算法或事件定义,安全设备生成误报的概率。
一般的误报率计算方法是以设备规则集为起点加权规则集事件,但行业没有统一的权重标准,计算困难。(大卫亚设,美国电视电视剧)
因为有很多安全设备规则集,全面覆盖往往是不现实的。实际上,错误报告率通常通过抽样测试方法计算。也就是说,从事件库中随机选择一些事件,使用攻击工具触发或使用捕获工具播放捕获的数据包,并分析警告结果以生成安全设备的错误报告率。
基于深度学习技术的流量安全分析,降低误报率。
安全桶网络流量安全分析系统以现有流量收集、流量分析、流量回溯为基础,集成了自己的研究威胁信息技术,应用深入学习技术,降低了误报率。
深度学习技术是机器学习技术的一种,机器学习是实现人工智能的必由之路。深度学习概念源于人工神经网络的研究,结合低级特性形成了更抽象的高级表达属性类别或特性,并由发现数据的分布式特性表示。研究深度学习的动机在于构建模拟人脑学习分析的神经网络。这是模拟人类大脑机制解释数据(如图像、声音、文本等)。
基于深入学习的检测技术(如恶意档案、恶意URL、DGA域名等)可以通过将示例文件直接转换为2D图(不使用沙盒环境)来培训和检测改造后的卷积神经网络Inception V4。
Step 1:转换二进制文件
初步处理样本文件,然后将其转换为二进制文件。转换后,每个字节的范围为00-FF,灰色映射像素为0-255 (0表示黑色,255表示白色)。将二进制文件转换为矩阵会将矩阵转换回灰度。
Step 2:CNN图像识别
仅凭视图很难区分恶意样本和白色样本之间的细微差别,因此可以使用完善的CNN图像识别算法对图像进行分类。
卷积神经网络(CNN)是包含卷积计算的深度结构的前馈神经网络,是表示深度学习的算法之一。其配置如下:
输入层(Input Layer)
以三维矩阵表示图片。矩阵的横竖表示图的大小,矩阵的深度表示图像的颜色通道,黑白为1。
卷积层(Convolution Layer)
牙齿层的输入是上层神经网络的一小块,进一步分析神经网络的每个小块,试图获得抽象水平更高的特征。(约翰f肯尼迪,美国电视电视剧(Northern Exposure,Northern Exposure),通常会增加牙齿层中处理的节点矩阵深度。
池层(Pooling Layer)
3D矩阵的深度保持不变,但可以通过减小矩阵的大小来减小参数。可以把分辨率高的照片看作是降低分辨率的过程。
完整连接层(Fully Connecced)
多线路和聚合后,通过1-2个完整的连接层输出。卷积层、池化层可视为特征提取,最后可分类为牙齿层。
Softmax层
切换到概率分布。
牙齿技术简化了检查过程,速度比沙盒技术好,可以将误报率调整到10%以内,最低降低到1%。
以下是最近进行恶意档案训练后在测试集中进行的评估结果。
各项指标为97%到98%,比以前的型号好。
表现不好的几种茄子形式主要是因为正数样品中样品数较少。
DEX是一种特殊的Android档案格式,无法从负样本中收集,因此测试结果可能偏向正样本。
对Rar、zip压缩后检测有一定影响。
以下是DGA和恶意URL检测的验证集的结果,您可以看到误报率最小化到1% (1-准确度)。
创新提出了整体堆栈分析概念。
安全桶网络流量安全分析系统集成了会话分析、WAF、IDS警报、威胁信息分析、未知威胁分析、整体流量跟踪、档案还原取证等功能,并革新了整体堆栈分析概念。
在深入学习的基础上,除了在技术层面量化误报率外,还可以根据实际操作层中的实际经验应用这些措施,以降低误报率。
1、应用自主研究威胁信息,实时更新脱机库,以确保准确性。
2.应用未知的威胁分析,通过操纵白名单排除误报。
3、通过应用节目异常流量检测、网络攻击检测、配置审核的准确IP降低误报率。
4.应用内置WAF功能或减少配置审核的IP,以降低误报率。
在技术发展日新月异的今天,将高新技术应用于网络安全领域,不断提高产品功能的准确性,是安博通坚持自主创新。今后,企业将通过面向网络安全行业的人工智能技术,有效地确保法规遵从性、红蓝对抗、日常运营和维护中的安全要求,为所有产业用户创造新的安全业务价值。
癌症普通信息
北京安博通技术有限公司(以下简称安博通)是国内最好的可视化网络安全专用核心系统产品和安全服务提供商,2019年成为中国第一家登陆科学学科网络安全企业。
自行开发的ABT SPOS可视化网络安全系统平台是众多一线供应商和大型解决方案集成商最广泛使用的网络安全系统套件,是国内众多部门和中央企业安全态势感知平台的核心组件和数据引擎。
有关详细信息,请参阅。