基于NVIDIA Morpheus網(wǎng)絡(luò)釣魚(yú)檢測(cè)用于實(shí)現(xiàn)網(wǎng)絡(luò)安全特定推理

在數(shù)字化革命過(guò)程中，電子郵件成為最普遍、最強(qiáng)大的通信工具之一。試圖通過(guò)電子郵件偽裝成合法的人或機(jī)構(gòu)來(lái)欺騙用戶變得十分普遍，以至于它有了自己的名字：網(wǎng)絡(luò)釣魚(yú)（phishing）。

如今，隨著數(shù)字世界與我們的工作和個(gè)人生活深度交織在一起，網(wǎng)絡(luò)釣魚(yú)仍然是 2021 勒索軟件事件的前三大誘因之一，其復(fù)雜度和規(guī)模都在增長(zhǎng)。隨著網(wǎng)絡(luò)釣魚(yú)造成的損失持續(xù)增加，風(fēng)險(xiǎn)也隨之會(huì)增加。

如今的網(wǎng)絡(luò)釣魚(yú)

大多數(shù)的釣魚(yú)網(wǎng)絡(luò)安全防御結(jié)合了基于規(guī)則的電子郵件過(guò)濾器和人員培訓(xùn)來(lái)檢測(cè)欺詐電子郵件。當(dāng)過(guò)濾器失效時(shí)，盡管經(jīng)過(guò)培訓(xùn)加強(qiáng)了對(duì)可疑電子郵件的檢測(cè)，但是人員仍然也會(huì)面臨同樣的風(fēng)險(xiǎn)。

只需一次人為錯(cuò)誤，企業(yè)就可能蒙受數(shù)百萬(wàn)美元的損失，并需要時(shí)間來(lái)解決問(wèn)題。為了減少違規(guī)行為，至關(guān)重要的就是杜絕網(wǎng)絡(luò)釣魚(yú)進(jìn)入任何收件箱。

目前，基于規(guī)則的系統(tǒng)在他們看來(lái)是有限的。他們只能“看到”已知的問(wèn)題，而欺詐者通常比這些系統(tǒng)領(lǐng)先一步。捕捉這些問(wèn)題的過(guò)濾器只有在發(fā)現(xiàn)漏洞和弱點(diǎn)之后才能改進(jìn)，這為時(shí)已晚。

為了提前解決網(wǎng)絡(luò)釣魚(yú)問(wèn)題，機(jī)器必須能夠預(yù)測(cè)弱點(diǎn)，而不是成為弱點(diǎn)的犧牲品，并開(kāi)發(fā)增強(qiáng)的情感分析，以跟上甚至比欺詐者先走一步。

基于 NVIDIA Morpheus 的網(wǎng)絡(luò)釣魚(yú)檢測(cè)

NVIDIA Morpheus 是一個(gè)開(kāi)放的人工智能框架，用于實(shí)現(xiàn)網(wǎng)絡(luò)安全特定的推理管道，現(xiàn)可從 NVIDIA NGC 和 NVIDIA/Morpheus GitHub repo 下載。

通過(guò) NVIDIA Morpheus ，我們的網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)用了一種流行的人工智能技術(shù) - 自然語(yǔ)言處理（NLP），從而創(chuàng)建了一個(gè)網(wǎng)絡(luò)釣魚(yú)檢測(cè)應(yīng)用程序，該應(yīng)用程序能夠以 99% 以上的準(zhǔn)確率對(duì)網(wǎng)絡(luò)釣魚(yú)電子郵件進(jìn)行正確分類(lèi)。

使用 Morpheus 管道進(jìn)行網(wǎng)絡(luò)釣魚(yú)檢測(cè)，您可以使用自己的模型來(lái)進(jìn)一步提高準(zhǔn)確性。當(dāng)您的公司收到新的網(wǎng)絡(luò)釣魚(yú)郵件時(shí)，您可以對(duì)模型進(jìn)行微調(diào)，使模型得到持續(xù)改進(jìn)。

因?yàn)?Morpheus 支持大規(guī)模的無(wú)監(jiān)督學(xué)習(xí)，所以您并不必依賴(lài)基于規(guī)則的方法來(lái)檢測(cè)網(wǎng)絡(luò)釣魚(yú)行為，也不需要這些方法所需的 URL 或可疑的電子郵件地址。相反，Morpheus 從接收到的電子郵件中學(xué)習(xí)，使其成為管理網(wǎng)絡(luò)釣魚(yú)檢測(cè)的更全面、可持續(xù)的方法。

方法

網(wǎng)絡(luò)安全團(tuán)隊(duì)遵循典型人工智能工作流程的前三個(gè)步驟來(lái)開(kāi)發(fā)網(wǎng)絡(luò)釣魚(yú)檢測(cè)概念驗(yàn)證（POC）：

數(shù)據(jù)準(zhǔn)備

人工智能建模

模擬與測(cè)試

通過(guò)使用預(yù)訓(xùn)練的模型，他們能夠快速執(zhí)行。我們將逐步執(zhí)行每個(gè)步驟，深入了解網(wǎng)絡(luò)安全團(tuán)隊(duì)是如何進(jìn)行開(kāi)發(fā)的。

數(shù)據(jù)準(zhǔn)備

要開(kāi)發(fā)人工智能模型，必須使用預(yù)先存在的相關(guān)數(shù)據(jù)對(duì)其進(jìn)行訓(xùn)練。通常，大部分開(kāi)發(fā)時(shí)間都集中在處理數(shù)據(jù)集上，使其可用于訓(xùn)練中的模型進(jìn)行分析。

在這種情況下，該團(tuán)隊(duì)采用了現(xiàn)存的、公開(kāi)來(lái)源的英語(yǔ)網(wǎng)絡(luò)釣魚(yú)數(shù)據(jù)集，并進(jìn)行重新調(diào)整以符合概念驗(yàn)證的需求，從而顯著加快了開(kāi)發(fā)進(jìn)程。

概念驗(yàn)證需要大量良性和欺詐電子郵件數(shù)據(jù)集，以供網(wǎng)絡(luò)釣魚(yú)模型進(jìn)行訓(xùn)練。該團(tuán)隊(duì)從 SPAM_ASSASSIN 數(shù)據(jù)集 開(kāi)始，該數(shù)據(jù)集包含一個(gè)預(yù)先存在的電子郵件數(shù)據(jù)組合，標(biāo)記為 phishing （網(wǎng)絡(luò)釣魚(yú)）、hard ham（不易識(shí)別的正常郵件）和 easy ham （容易識(shí)別的正常郵件）。ham 類(lèi)是各種復(fù)雜的良性電子郵件。出于我們的目的，我們將分類(lèi)簡(jiǎn)化為 benign （良性）和 phishing （網(wǎng)絡(luò)釣魚(yú)），將 hard ham 和 easy ham 分類(lèi)的電子郵件合并為一個(gè)良性類(lèi)別。

雖然 SPAM_Assassin 數(shù)據(jù)集是一個(gè)有用的起點(diǎn)，但該模型需要更多的訓(xùn)練數(shù)據(jù)。該團(tuán)隊(duì)將 Enron Emails 數(shù)據(jù)集作為良性數(shù)據(jù)源，Clair 數(shù)據(jù)集 的網(wǎng)絡(luò)釣魚(yú)類(lèi)作為網(wǎng)絡(luò)釣魚(yú)數(shù)據(jù)源。該模型在這些數(shù)據(jù)集的各種組合上進(jìn)行了訓(xùn)練和評(píng)估。

ML 建模

ML（機(jī)器學(xué)習(xí)）開(kāi)發(fā)的核心是使用數(shù)據(jù)對(duì)模型進(jìn)行培訓(xùn)和評(píng)估，模型最終學(xué)會(huì)自己執(zhí)行所需的功能。

該團(tuán)隊(duì)沒(méi)有從頭開(kāi)始創(chuàng)建一個(gè)新的人工智能模型，而是選擇了一個(gè)預(yù)訓(xùn)練的 BERT 模型作為改進(jìn) POC 的人工智能模型。BERT 是一個(gè)面向 NLP 的開(kāi)源機(jī)器學(xué)習(xí)框架。BERT 旨在通過(guò)使用周?chē)奈谋窘⑸舷挛膩?lái)幫助計(jì)算機(jī)理解文本中模糊語(yǔ)言的含義。

該團(tuán)隊(duì)通過(guò)使用早期數(shù)據(jù)集對(duì)現(xiàn)有的網(wǎng)絡(luò)釣魚(yú)檢測(cè)模型進(jìn)行培訓(xùn)和評(píng)估，并對(duì)其進(jìn)行了微調(diào)。

模擬與測(cè)試

這是對(duì)模型進(jìn)行測(cè)試、評(píng)估和訓(xùn)練以實(shí)現(xiàn)網(wǎng)絡(luò)釣魚(yú)檢測(cè)目的的階段。

SPAM_Assassin、Clair 和 Enron 數(shù)據(jù)集都被隨機(jī)分成訓(xùn)練集和驗(yàn)證集。然后，對(duì) BERT 模型進(jìn)行訓(xùn)練，將來(lái)自不同組合的郵件分類(lèi)為良性郵件或網(wǎng)絡(luò)釣魚(yú)郵件。當(dāng)使用一個(gè)混合了 Enron、Clair 和 SPAM_Assassin 的驗(yàn)證數(shù)據(jù)集對(duì)改進(jìn)后的 BERT 模型進(jìn)行測(cè)試時(shí)，該模型在根據(jù)郵件分類(lèi)解析電子郵件方面的準(zhǔn)確率再次達(dá)到 99.68%。

我們的測(cè)試表明，在驗(yàn)證數(shù)據(jù)集上使用經(jīng)過(guò)訓(xùn)練的 BERT 模型檢測(cè)網(wǎng)絡(luò)釣魚(yú)或良性電子郵件方面的準(zhǔn)確率超過(guò) 99%。

總結(jié)

人工智能可以在解決組織每天面臨的網(wǎng)絡(luò)安全問(wèn)題方面發(fā)揮重要作用，但許多組織對(duì)在其組織中發(fā)展人工智能感到害怕。

NVIDIA 正在使人工智能大眾化，使其在任何用例中都能簡(jiǎn)單而高效的為任何企業(yè)所開(kāi)發(fā)。該 POC 就是這樣一個(gè)示例， 展示 NVIDIA Morpheus 中的可用資源是如何為期望增強(qiáng)其網(wǎng)絡(luò)安全武器庫(kù)的企業(yè)開(kāi)發(fā)者縮短和簡(jiǎn)化人工智能應(yīng)用程序開(kāi)發(fā)的。

為了進(jìn)一步加快企業(yè)的網(wǎng)絡(luò)安全，請(qǐng)使用 NVIDIA Morpheus 提供的預(yù)訓(xùn)練網(wǎng)絡(luò)釣魚(yú)模型。NVIDIA Morpheus 人工智能網(wǎng)絡(luò)安全框架不僅展示了應(yīng)用人工智能解決網(wǎng)絡(luò)安全威脅的變革能力，而且還使組織能夠輕松地將人工智能與前面描述的開(kāi)發(fā)周期相結(jié)合。隨著更多的數(shù)據(jù)來(lái)訓(xùn)練模型，它將變得更加強(qiáng)大。

Morpheus 是一個(gè)開(kāi)放的人工智能框架，供開(kāi)發(fā)者實(shí)現(xiàn)網(wǎng)絡(luò)安全特定的推理管道。Morpheus 為安全開(kāi)發(fā)者和數(shù)據(jù)科學(xué)家提供了一個(gè)簡(jiǎn)單的接口，用以創(chuàng)建和部署端到端管道，使其可以解決網(wǎng)絡(luò)安全、信息安全和通用基于日志管道的問(wèn)題。本系列重點(diǎn)介紹 Morpheus 與各種技術(shù)網(wǎng)絡(luò)安全戰(zhàn)略相關(guān)的用例和實(shí)現(xiàn)。