机器学习与信息安全在云计算中的应用

机器学习与信息安全的结合，可以从以下几个点切入：入侵检测系统、木马检测、漏洞扫描。

（一）入侵检测

入侵检测技术是近20年出现的一种主动保护自己免受攻击的网络安全技术，它在不影响网络性能的情况下对网络进行检测，从而提供对内部攻击、外部攻击和误用操作的实时保护。它通过手机和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下对网络进行监测。入侵检测通过执行以下任务来实现其功能：监视、分析用户及系统活动；系统构造和弱点审计；识别已知进攻活动的模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理并识别用户违反安全策略的行为。Smaba从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝服务、恶意使用6种类型。正是由于机器学习在入侵检测技术中可以发挥重要作用，因此及与机器学习和人工智能的入侵检测模型和系统层出不穷。提出了在不同检测技术的入侵检测系统间相互学习的入侵检测模型“ZWP10”、基于新颖发现算法的入侵检测系统“GYN09”等等模型，丰富了及其学习在信息安全领域的应用。

（二）木马检测

网页木马是利用网页来进行破坏的病毒，它包含在恶意网页之中，通过使用脚本语言编写恶意代码，利用浏览器或者浏览器插件存在的漏洞来实现病毒的传播。当用户登陆了包含网页病毒的恶意网站时，网页木马便会被激活，受影响的系统一旦感染网页病毒，就会被植入木马病毒，盗取密码等恶意程序。

目前对网页木马的分析方法主要分为动态分析和静态分析。动态分析主要有高交互式蜜罐和低交互式蜜罐两种方式。高交互式蜜罐使用真实的带有漏洞的系统，其优点是能够捕获零日漏洞“CH11”。低交互式蜜罐则是仿真模拟漏洞来捕获恶意代码，其主要优点是统一部署且风险性小，且主要缺点是不能发现利用零日漏洞的未知攻击。静态分析主要是利用特征码匹配来识别恶意代码，者受到了加密和混淆的严峻挑战。(www.xing528.com)

北京大学互联网安全技术北京市重点实验室根据蜜罐技术，提出了网页木马收集和重放方法“CH11”，尽可能收集和记录所有感染路径的相关信息，完整的收集了整个木马场景。然后使用了Weka提供的决策树分类算法J48，可以根据建好的决策树模型来决定每个网页属于哪个类别。

（三）漏洞扫描

漏洞扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，漏洞扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，漏洞扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。

第一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查；而主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为网络安全扫描。