深度學習技術在網路安全應用

『壹』 網路安全中edr是什麼意思

本教程操作環境：windows7系統、Dell G3電腦。
端點檢測與響應(Endpoint Detection & Response，EDR)是一種主動式端點安全解決方案，通過記錄終端與網路事件，將這些信息本地化存儲在端點或者集中在資料庫。EDR 會集合已知的攻擊指示器、行為分析的資料庫來連續搜索數據和機器學習技術來監測任何可能的安全威脅，並對這些安全威脅做出快速響應。還有助於快速調查攻擊范圍，並提供響應能力。
能力
預測：risk assessment（風險評估）；anticipate threats（預測威脅）；baseline security posture（基線安全態勢）。
防護：harden systems（強化系統）；isolate system（隔離系統）；prevent attacks（防止攻擊）。
檢測：detect incidents（檢測事件）；confirm and prioritize risk（確認風險並確鍵謹閉定優先順序）。contain incidents（包含事件）。
響應：remediate（補救）；design policy change（設計規則變更）；investigate incidents（調查事件）。
安全模型
相比於傳端點安全防護採用預設安全策略的靜態防禦技術，EDR 加強了威脅檢測和響應取證能力，能夠快速檢測、識別、監控和處理端點事件，從而在威脅尚未造成危害前進行檢測和阻止，幫助受保護網路免受零日威脅和各種新出現的威脅。安全模型如圖所示：

1、資產發現
定期通過主動掃描、被動發現、手工錄入和人工排查等多種方法收集當前網路中所有軟硬體資產，包括全網所有的端點資產和在用的軟體名稱、版本，確保整個網路中沒有安全盲點。
2、系統加固
需要定期進行漏洞掃描，打補丁、對安全策略進行更新和進一步細化，通過白名單現在未授權的軟體進行運行，通過防火牆限制為授權就開啟伺服器埠和服務，最好能定期檢查和修改清理內部人員的賬號和密碼還有授權信晌迅息。
3、威脅檢測
通過端點本地的主機入侵檢測進行異常行為分析，針對各類安全威脅，在其發生之前、發生中、和發生後作出相應的防護和檢測行為。
4、響應取證
針對全網的安全威脅進行可視化展示，對威脅自動化地進行隔離、修復和搶救，降低事件響應和取證的門檻，這樣就不需要依賴於外部專家就可以完成應急響應和取證分析。
功能
調查安全事件；
將端點修復為預感染狀態；
檢測安全事件；
包含終端事件；
工作原理
一旦安裝了 EDR 技術，馬上 EDR 就會使用先進的演算法分析系統上單個用戶的行為，並記住和連接他們的活動。
感知系統中的某個或者特定用戶的異常行為，數據會被過濾，防止出現惡意行為的跡象，這些跡象會觸發警報然後我們就去確定攻擊的真假。
如果檢測到惡意活動，演算法將跟蹤攻擊路徑並將其構建回入口點。 （關聯跟蹤）
然後，該技術將所有數據點合稿裂並到稱為惡意操作 (MalOps) 的窄類別中，使分析人員更容易查看。
在發生真正的攻擊事件時，客戶會得到通知，並得到可採取行動的響應步驟和建議，以便進行進一步調查和高級取證。如果是誤報，則警報關閉，只增加調查記錄，不會通知客戶
體系框架
EDR 的核心在於：一方面，利用已有的黑名單和基於病毒特徵的端點靜態防禦技術來阻止已知威脅。另一方面，通過雲端威脅情報、機器學習、異常行為分析、攻擊指示器等方式，主動發現來自外部或內部的各類安全威脅。同時，基於端點的背景數據、惡意軟體行為以及整體的高級威脅的生命周期的角度進行全面的檢測和響應，並進行自動化阻止、取證、補救和溯源，從而有效地對端點進行安全防護。
EDR 包括：端點、端點檢測與響應中心、可視化展現三個部分，體系框架如圖所示：

端點：在 EDR 中，端點只具備信息上報、安全加固、行為監控、活動文件監控、快速響應和安全取證等基本功能，負責向端點檢測與響應中心上報端點的運行信息，同時執行下發的安全策略和響應、取證指令等。
端點檢測與響應中心：由資產發現、安全加固、威脅檢測、響應取證等中心組成。
可視化：展現針對各類端點安全威脅提供實時的可視性、可控性，降低發現和處置安全威脅的復雜度，輔助用戶更加快速、智能地應對安全威脅。
檢測威脅類型
惡意軟體 (犯罪軟體、勒索軟體等)
無文件型攻擊
濫用合法應用程序
可疑的用戶活動和行為
要素類型和收集類型
EDR 是獨一無二的，因為它的演算法不僅可以檢測和打擊威脅，還可以簡化警報和攻擊數據的管理。 使用行為分析來實時分析用戶活動，可以在不幹擾端點的情況下立即檢測潛在威脅。 它通過將攻擊數據合並到可以分析的事件中，與防病毒和其他工具一起使用可以為你提供一個安全的網路，從而增強了取證分析的能力。
端點檢測和響應通過安裝在端點上的感測器運行而不需要重新啟動。 所有這些數據被拼接在一起，形成了一個完整的端點活動圖，無論設備位於何處。
主要技術
智能沙箱技術
針對可疑代碼進行動態行為分析的關鍵技術，通過模擬各類虛擬資源，創建嚴格受控和高度隔離的程序運行環境，運行並提取可疑代碼運行過程中的行為信息，實現對未知惡意代碼的快速識別。

機器學習技術
是一門多學科交叉知識，是人工智慧領域的核心，專門研究計算機如何模擬實現人類的學習行為，通過獲取新的技能知識重組已有的知識體系，並不斷完善自身性能。在大規模數掘處理中，可以自動分析獲得規律，然後利用這些規律預測未知的數據。

數字取證技術
數字取證是指對具有足夠可靠和有說服力的，存在於計算機、網路、電子設備等數字設備中的數字證據，進行確認、保護、提取和歸檔的過程。在 EDR 中，數字取證要克服雲計算環境取證、智能終端取證、大數據取證等關鍵技術，自動定位和採集端點人侵電子證據，降低取證分析的技術門檻，提高取證效率及其分析結果的准確性，為端點安全事件調查、打擊網路犯罪提供技術支持。
EDR 優缺點
優點
EDR 具有精準識別攻擊的先天優勢。端點是攻防對抗的主戰場，通過 EDR 在端點上實施防禦能夠更加全面地搜集安全數據，精準地識別安全威脅，准確判定安全攻擊是否成功，准確還原安全事件發生過程。
EDR 完整覆蓋端點安全防禦全生命周期。對於各類安全威脅事件，EDR 在其發生前、發生中、發生後均能夠進行相應的安全檢測和響應動作。安全事件發生前，實時主動採集端 安全數據和針對性地進行安全加固；安全事件發生時，通過異常行為檢測、智能沙箱分析等各類安全引擎，主動發現和阻止安全威脅；安全事件發生後，通過端點數據追蹤溯源。
EDR 能夠兼容各類網路架構。EDR 能夠廣泛適應傳統計算機網路、雲計算、邊緣計算等各類網路架構，能夠適用於各種類型的端點，且不受網路和數據加密的影響。
EDR 輔助管理員智能化應對安全威脅。EDR 對安全威脅的發現、隔離、修復、補救、調查、分析和取證等一系列工作均可自動化完成，大大降低了發現和處置安全威脅的復雜度，能夠輔助用戶更加快速、智能地應對安全威脅。
缺點
EDR 的局限性在於並不能完全取代現有的端點安全防禦技術。EDR 與防病毒、主機防火牆、主機入侵檢測、補丁加固、外設管控、軟體白名單等傳統端點安全防禦技術屬於互補關系，並不是取代關系。
技術前提
要想使用或者更好的的理解 EDR 就需要對一些知識有了解，這樣才能更好地的使用和理解 EDR 的原理和使用方法。
熟悉 Linux 環境，python 或 shell，Java；
熟悉 hadoop，spark 等大數據組件；
熟悉數據挖掘與分析（比如進行風險等級劃分），數據統計技術（比如一些置信度的計算），機器學習技術（分類檢測等），深度學習技術，大數據分析技術（主要是關聯分析），漏斗分析法等。
熟悉 mysql 或 nosql 資料庫，集中存儲的資料庫，分布式存儲的資料庫。

『貳』 日本防衛省研發人工智慧用深度學習防禦網路攻擊

據日本《產經新聞》1月7日報道稱，日本防衛省於6日宣布：為強化對網路攻擊的應對能力，已經確定要將人工智慧（AI）引入日本自衛隊信息通信網路的防禦系統中。預計將於明年開始為期兩年的調查研究，於2020年著手進行軟體開發，2022年實際運用，並且也開始考慮在日本政府全體的網路防禦系統中應用AI。

目前，軍方人員介入網路安全戰場早已成為常態，美國著名的網路安全公司Cybereason其創辦人正是來自以色列國防部下屬精英網路部隊8200部隊。值得注意的是，2015年該公司接受了來自日本軟銀的為數1億美元的融資，不知《產經新聞》提到的「以色列技術」是否來自該公司呢？