难题
- 未知威胁
- 已知威胁的检测率低,实时性不够
- 漏报,误报,错报,重复上报
- APT的攻击检测
- DDoS检测与防御
- 加密内容威胁检测
- 溯源攻击
- 攻防对抗博弈的智能化
- 威胁预测
- 网络欺诈检测
常见技术:MTD,大数据分析/威胁情报,蜜罐/沙箱
技术发展:黑白名单/规则匹配/特征匹配/数据分析
数据分析的关键因素:
- 信息来源:基于主机/网络
- 检测分析数据:行为和规则
- 加入实践因子:预测和取证
- 响应策略
- 持续监控
IDS特征:
- 模式:误用和滥用
- 检测:主动和被动
- 集中和分布
AI路线:
- 基于异常行为建模:样本质量要高
- 基于正常行为学习建模:无法判断异常是否是攻击行为,误报率高。
AI+网络安全面临的挑战
- 异常检测
- 误报造成的高成本
- 样本缺乏
- 学习结果难以预测
- 网络流量的多样性
- 自适应能力
- 效果难以评估
评估方法:ROC