一、背景

由于對(duì)數(shù)字化和物聯(lián)網(wǎng)的日益依賴，各種安全事件，例如未授權(quán)訪問(wèn)、惡意軟件攻擊、數(shù)據(jù)泄露、拒絕服務(wù)攻擊（DOS）、分布式拒絕服務(wù)攻擊（DDOS）、網(wǎng)絡(luò)釣魚(yú)等等，此類(lèi)安全事件近年來(lái)以指數(shù)級(jí)的速度增長(zhǎng)。在2010年，據(jù)統(tǒng)計(jì)安全社區(qū)已知的惡意軟件可執(zhí)行文件不到5000萬(wàn)個(gè)。根據(jù)相關(guān)研究機(jī)構(gòu)的統(tǒng)計(jì)數(shù)據(jù)，到2012年，它們?cè)黾恿?億，而在2019年，安全社區(qū)已知的惡意可執(zhí)行文件已經(jīng)超過(guò)了9億，而且這個(gè)數(shù)字可能還會(huì)增長(zhǎng)。此類(lèi)的網(wǎng)絡(luò)攻擊事件會(huì)給社會(huì)國(guó)家和每個(gè)人帶來(lái)巨大的安全隱患，因此，如何準(zhǔn)確地識(shí)別各種已有的或者未曾見(jiàn)過(guò)的網(wǎng)絡(luò)攻擊事件，并智能地保護(hù)相關(guān)系統(tǒng)免受此類(lèi)網(wǎng)絡(luò)攻擊，是迫切需要解決的關(guān)鍵問(wèn)題[1]。

網(wǎng)絡(luò)安全本質(zhì)上是一套技術(shù)和過(guò)程，是為了保護(hù)計(jì)算機(jī)、網(wǎng)絡(luò)、程序和數(shù)據(jù)免受攻擊、損壞，或未經(jīng)授權(quán)的訪問(wèn)。近年來(lái)，網(wǎng)絡(luò)安全在計(jì)算領(lǐng)域的技術(shù)正在發(fā)生著巨大的變化，而數(shù)據(jù)科學(xué)正在推動(dòng)這一變化，機(jī)器學(xué)習(xí)，作為人工智能的核心部分，可以在從數(shù)據(jù)科學(xué)領(lǐng)域發(fā)揮至關(guān)重要的作用，利用機(jī)器學(xué)習(xí)可以顯著地改變網(wǎng)絡(luò)安全的格局，而數(shù)據(jù)科學(xué)正在引領(lǐng)一種新的科學(xué)方法，此類(lèi)技術(shù)的流行程度日益增加，如圖1.1所示，2014年流行程度指數(shù)小于40，而在2019年已經(jīng)超過(guò)了70。分析網(wǎng)絡(luò)安全數(shù)據(jù)，構(gòu)建正確的工具和流程來(lái)成功地防止網(wǎng)絡(luò)安全事件，這不僅僅是一套簡(jiǎn)單的功能需求和關(guān)于風(fēng)險(xiǎn)、威脅或漏洞的知識(shí)。為了簡(jiǎn)單地提取安全事件的見(jiàn)解或模式，可以使用一些機(jī)器學(xué)習(xí)技術(shù)，如特征工程、數(shù)據(jù)聚類(lèi)、分類(lèi)和關(guān)聯(lián)分析，或基于神經(jīng)網(wǎng)絡(luò)的深度學(xué)習(xí)方法，從而做出合理的決策。

圖1.1 數(shù)據(jù)科學(xué)網(wǎng)絡(luò)安全流行趨勢(shì)

二、研究挑戰(zhàn)

國(guó)內(nèi)外的研究人員已經(jīng)考慮了從數(shù)據(jù)中提取信息的基本概念與原則，這些基本方法和基本原理是從大量的數(shù)據(jù)分析研究中得出的。從數(shù)據(jù)中提取有用的信息應(yīng)該通過(guò)已有的規(guī)范的步驟來(lái)處理整個(gè)流程。數(shù)據(jù)科學(xué)需要在使用它的上下文中進(jìn)行詳細(xì)的考慮和結(jié)果評(píng)估，因?yàn)樘崛〉男畔?duì)于幫助給定程序中的決定過(guò)程是非常重要的。相關(guān)性發(fā)現(xiàn)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)考慮的數(shù)據(jù)科學(xué)基本概念之一，它通常提供相關(guān)數(shù)據(jù)項(xiàng)的詳細(xì)信息，特別是我們已經(jīng)了解的數(shù)據(jù)項(xiàng)的數(shù)量，從而大大減少了未知的不確定性。微軟引入了TDSP，它為數(shù)據(jù)科學(xué)項(xiàng)目創(chuàng)建了一個(gè)生命周期。隨后通過(guò)對(duì)KDD過(guò)程、CRISP-DM、TDSP和FMDS進(jìn)行比較，其中FMDS、CRISP-DM和TDSP被使用范圍最廣，因?yàn)樗鼈儽徽J(rèn)為是最受歡迎的，同時(shí)它們也是為機(jī)器學(xué)習(xí)與數(shù)據(jù)科學(xué)領(lǐng)域提出的，這些技術(shù)與網(wǎng)絡(luò)安全領(lǐng)域有非常大的關(guān)聯(lián)[2]。分析網(wǎng)絡(luò)安全數(shù)據(jù)，構(gòu)建正確的工具和流程來(lái)成功地防止網(wǎng)絡(luò)安全事件，這不僅僅是一套簡(jiǎn)單的功能需求和關(guān)于風(fēng)險(xiǎn)、威脅或漏洞的知識(shí)。為了簡(jiǎn)單地提取安全事件的見(jiàn)解或模式，可以使用一些機(jī)器學(xué)習(xí)技術(shù)，如特征工程、數(shù)據(jù)聚類(lèi)、分類(lèi)和關(guān)聯(lián)分析，或基于神經(jīng)網(wǎng)絡(luò)的深度學(xué)習(xí)方法，從而做出合理的決策。 

三、網(wǎng)絡(luò)攻擊安全挑戰(zhàn)

這種風(fēng)險(xiǎn)通常與許多攻擊相關(guān)，通常我們考慮三個(gè)安全因素，首先是威脅，即誰(shuí)在攻擊；其次是漏洞，即正在攻擊什么；最后是影響，即攻擊做了什么。安全事件是一種威脅到信息和系統(tǒng)的機(jī)密性、完整性或可用性的行為，可能導(dǎo)致大量或單個(gè)的系統(tǒng)和網(wǎng)絡(luò)受到攻擊的幾種類(lèi)型的網(wǎng)絡(luò)安全事件有：

未經(jīng)授權(quán)訪問(wèn)網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)信息都是不安全的行為，存在很大的隱患；

惡意軟件被故意設(shè)計(jì)成對(duì)計(jì)算機(jī)、客戶端、服務(wù)器或計(jì)算機(jī)網(wǎng)絡(luò)造成損害的程序或軟件，對(duì)系統(tǒng)會(huì)產(chǎn)生巨大的影響；

拒絕服務(wù)（DOS）是一種攻擊，旨在關(guān)閉機(jī)器或網(wǎng)絡(luò)，使目標(biāo)用戶無(wú)法訪問(wèn)它；

釣魚(yú)是惡意入侵行為，用于廣泛的惡意活動(dòng)，通過(guò)人與人之間互動(dòng)完成，攻擊者企圖通過(guò)電子郵件、文本或即時(shí)消息，將自己偽裝成受信任的個(gè)人或團(tuán)體，參與獲取敏感信息[3]。 

四、數(shù)據(jù)科學(xué)與網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)

我們生活在一個(gè)充滿著數(shù)據(jù)的時(shí)代，數(shù)據(jù)驅(qū)動(dòng)了許多的產(chǎn)業(yè)。從數(shù)據(jù)中發(fā)現(xiàn)隱藏有趣的知信息的過(guò)程被人們稱(chēng)為數(shù)據(jù)挖掘，為了用現(xiàn)實(shí)數(shù)據(jù)來(lái)理解和分析生活中的現(xiàn)象，我們使用了各種科學(xué)的方法、機(jī)器學(xué)習(xí)等，這些通常都被稱(chēng)為數(shù)據(jù)科學(xué)。數(shù)據(jù)科學(xué)的一般定義是通過(guò)使用科學(xué)的方法從數(shù)據(jù)中提取信息以及發(fā)現(xiàn)新事物。數(shù)據(jù)科學(xué)可以利用存儲(chǔ)、計(jì)算和行為分析等等的技術(shù)優(yōu)勢(shì)來(lái)建立新的網(wǎng)絡(luò)安全方法。一般來(lái)說(shuō)，由分布式系統(tǒng)建立的集群存儲(chǔ)使得收集和存儲(chǔ)大量數(shù)據(jù)變得更加容易

數(shù)據(jù)科學(xué)的應(yīng)用使得訪問(wèn)大量的數(shù)據(jù)使解決具有復(fù)雜性的安全問(wèn)題成為可能。利用海量的大數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，往往數(shù)據(jù)越多，越能創(chuàng)建更準(zhǔn)確和精確的分析。在網(wǎng)絡(luò)安全領(lǐng)域中，數(shù)據(jù)科學(xué)通過(guò)利用海量數(shù)據(jù)、高性能計(jì)算以及數(shù)據(jù)挖掘的方法來(lái)保護(hù)用戶免受網(wǎng)絡(luò)攻擊，在信息安全領(lǐng)域發(fā)揮了重要的作用。

數(shù)據(jù)科學(xué)在很大程度上是由數(shù)據(jù)的可用性驅(qū)動(dòng)的，數(shù)據(jù)集通常代表由幾個(gè)屬性或特征和相關(guān)事實(shí)組成的信息記錄的集合，而網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)就是基于這些集合的，因此，了解包含各種類(lèi)型的網(wǎng)絡(luò)攻擊和相關(guān)特征的網(wǎng)絡(luò)安全數(shù)據(jù)的性質(zhì)是很重要的。因?yàn)閺南嚓P(guān)數(shù)據(jù)來(lái)源收集的原始安全數(shù)據(jù)可以用來(lái)分析安全事件或惡意行為的所屬模式，基于此可以建立一個(gè)數(shù)據(jù)驅(qū)動(dòng)的安全模型，以實(shí)現(xiàn)我們的目標(biāo)。在網(wǎng)絡(luò)安全領(lǐng)域存在一些數(shù)據(jù)集，包括入侵分析、惡意軟件分析、異常、欺詐或垃圾郵件分析，因此在圖2.1中，總結(jié)了幾個(gè)這樣的數(shù)據(jù)集，包括它們的各種特征以及在互聯(lián)網(wǎng)上可訪問(wèn)的攻擊，同時(shí)羅列了在基于機(jī)器學(xué)習(xí)下不同的網(wǎng)絡(luò)應(yīng)用程序中的使用[4]。 

圖2.1數(shù)據(jù)科學(xué)中的分析階段

通過(guò)對(duì)這些安全特性進(jìn)行分析和處理，根據(jù)需求構(gòu)建基于目標(biāo)機(jī)器學(xué)習(xí)的安全模型，并最終實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)，才是要達(dá)到的目的。因此，網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)的概念結(jié)合了數(shù)據(jù)科學(xué)和機(jī)器學(xué)習(xí)，以及各種安全事件的行為來(lái)進(jìn)行分析。將這些技術(shù)結(jié)合產(chǎn)生了網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)這種方法，指的就是從不同的來(lái)源收集大量的安全事件數(shù)據(jù)以及使用機(jī)器學(xué)習(xí)的方法檢測(cè)安全風(fēng)險(xiǎn)或攻擊，最終發(fā)現(xiàn)高效的或者最新的數(shù)據(jù)驅(qū)動(dòng)模式。

五、總結(jié)與展望

數(shù)據(jù)科學(xué)正在逐漸改變世界上的產(chǎn)業(yè)，它對(duì)智能網(wǎng)絡(luò)安全系統(tǒng)和服務(wù)業(yè)的未來(lái)至關(guān)重要，因?yàn)榫W(wǎng)絡(luò)安全的一切都是關(guān)于數(shù)據(jù)的。當(dāng)我們檢測(cè)網(wǎng)絡(luò)威脅時(shí)，通常是在以日志、網(wǎng)絡(luò)數(shù)據(jù)包或其他相關(guān)來(lái)源的形式對(duì)安全數(shù)據(jù)進(jìn)行分析，而在傳統(tǒng)意義上，安全專(zhuān)業(yè)人員并不會(huì)使用數(shù)據(jù)科學(xué)相關(guān)知識(shí)來(lái)對(duì)這些數(shù)據(jù)源進(jìn)行檢測(cè)，相反，他們使用比如簽名、手動(dòng)防御等等方法，盡管這些技術(shù)在特定情況下都有它們自己的優(yōu)點(diǎn)，但同時(shí)也需要太多的人為操作才能跟上不斷變化的網(wǎng)絡(luò)威脅環(huán)境，而數(shù)據(jù)科學(xué)則可以應(yīng)用在該領(lǐng)域并產(chǎn)生重要影響，借助數(shù)據(jù)科學(xué)結(jié)合機(jī)器學(xué)習(xí)算法可以從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)和提取安全事件，增強(qiáng)洞察力，用用來(lái)對(duì)安全事件進(jìn)行檢測(cè)和預(yù)防，相信在未來(lái)，數(shù)據(jù)科學(xué)會(huì)被更加廣泛地應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域。

參考文獻(xiàn)

[1]Kotenko, Igor, Igor Saenko, and Alexander Branitskiy. "Machine learning and big data processing for cybersecurity data analysis." Data science in cybersecurity and cyberthreat       intelligence. Springer, Cham, 2020. 61-85.

[2]Thanh, Cao Tien. "A Study of Machine Learning Techniques for Cybersecurity." 2021 15th    International Conference on Advanced Computing and Applications (ACOMP). IEEE, 2021.

[3]Alhayani, Bilal, et al. "Effectiveness of artificial intelligence techniques against cybersecurity  risks apply of IT industry." Materials Today: Proceedings (2021).

[4]Shaukat, Kamran, et al. "A survey on machine learning techniques for cyber security in the    last decade." IEEE Access 8 (2020): 222310-222354.