十大案例分析,机器学习的十种网络攻击

机器学习算法集中在最初感染有效载荷上，试图识别出这些证据碎片。

　　使用案例6：注入攻击（InjecTIon Attacks）

　　Open Web ApplicaTIon Security Project （开放网络应用程序安全项目，OWASP）将注入攻击列为网络应用程序头号安全风险。（注：当前版本的OWASP Top-10已被否决，该组织已重新开始安全专业人士的数据调用和调查）。注入攻击让攻击者可以在程序中进行恶意输入。例如，攻击者会将一行代码输入数据库，当访问数据库时，就会修改或更改网站上的数据。

　　数据库日志是可以帮助识别潜在攻击的另一个信息来源。机构可以使用机器学习算法来构建数据库用户组的统计概况。随着时间的推移，算法学习了解了这些组如何访问企业中的各个应用程序，并学习发现这些访问模式中出现的异常。

　　使用案例7：侦查攻击（Reconnaissance）

　　在发起攻击之前，黑客会对目标或目标群体进行广泛的侦查。侦查包括探测网络的漏洞。攻击者将在网络的周边或局域网（LAN）内进行侦查。典型的侦查攻击探测使用了签名匹配技术，通过网络活动日志寻找可能代表恶意行为的重复模式。然而，基于签名的检测通常会产生一串嘈杂的假警报。

　　机器学习可以是网络数据拓扑的指南针。经过训练的算法可以开发这种拓扑图，以便识别新模式的传播，这种做法比基于签名的方法更快。使用机器学习也减少了误报的数量，从而使安全分析人员能够把时间花在处理真正重要的报警上。

　　使用案例8：网页木马（Webshell）

　　United States Computer Emergency Readiness Team（美国计算机应急准备小组，US-CERT）对网页木马（Webshell）的定义是"可以上传到网络服务器的脚本，以便远程管理机器"。通过远程管理，攻击者可以启动数据库数据转存、文件传输和恶意软件安装等进程。

　　网页木马（Webshell）攻击者的目标通常是后端的电子商务平台，攻击者通过这些平台来瞄准购物者的个人信息。机器学习算法可以聚焦正常购物车行为的统计，然后帮助识别出不应该以这种频率发生的异常值或行为。

　　使用案例9：凭证盗窃（CredenTIal Theft）

　　一些高调的攻击，包括对虚拟专用网（VPN）攻击，都是凭据盗窃的结果。凭证盗窃通常使用诸如网络钓鱼或水坑式攻击等手段来实现，攻击者以此从受害者那里提取登录凭证，以便访问组织维护的敏感信息。

　　互联网用户–消费者–经常留下登录模式。网站和应用程序可以跟踪位置和登录时间。机器学习技术可以跟踪这些模式以及包含这些模式的数据，以了解什么样的用户行为是正常的，哪些行为则代表了可能有害的活动。

　　使用案例10：远程利用攻击（Remote Exploitation）

　　最后，许多攻击模式会使用远程利用攻击。这些攻击通常会通过一系列针对目标系统的恶意事件进行操作，以识别漏洞，然后提供有效负载（如恶意代码）来利用漏洞。一旦攻击投放了有效载荷，它就会在系统内执行代码。

　　机器学习可以分析系统行为并识别与典型网络行为无关的顺序行为实例。算法可以随着时间的推移进行学习，可以提醒安全分析师有关意在利用漏洞的有效载荷的传输情况。

　　这里的讨论不是机器学习的终点，而应该是它的起点

　　准确的网络安全分析系统必须成为现代安全运营中心的基石。但是，如果没有数据样本，则不可能开展准确的分析。采用机器学习思维并使用机器学习技术的安全团队可以更快地解决上述各种类型的攻击。机器学习或其他任何一种技术都永远不会是任何一个行业的终结和全部。它确实提供了一种替代的、开放源代码的哲学思维，可被用于识别和处理网络攻击，这能够改进很多目前正在使用的方法。