sophos|Sophos将AI技术用于预防恶意IP的安全解决方案中( 二 )_极速版

文章插图
由ISP定义的块组织的基于web的IP地址。蓝点表示良性活动的IP地址，红点表示恶意活动

文章插图
由 ISP 定义的块组织的基于垃圾邮件的 IP 地址。蓝点表示参与良性活动的 IP 地址，而红点表示恶意活动
科学家观察到，存在明显的恶意活动集群，并且一些 ISP 对恶意环境的贡献与其拥有的 IP 空间的大小不成比例。
【 sophos|Sophos将AI技术用于预防恶意IP的安全解决方案中】下一个挑战便是以AI模型能够理解的方式使用这些信息，考虑到这一挑战，SophosAI开发了一种新的IP表示，它允许模型有效地评估IP地址本身以及可能从该IP地址生成的所有子网。这些子网可以映射到互联网的高级结构，表明哪些相关的IP地址集合是由单个组织控制的。为了进一步使用与IP地址相关的物理基础设施，将有关互联网服务提供商(ISP)的信息添加到提供给检测模型的特性集中。通过观察IP 空间的一个网段中的大量恶意活动，模型可以学习如何确定同一 ISP 拥有的不同网段是否也是恶意的。然而，使用 ISP 完成这项任务的一个挑战是，用户在检测时并不总是能得到这些信息。为了解决这个问题，开发者训练了一个模型来将 IP 映射到 ISP，并且使用输出的附加功能来训练 IP 检测模型，与单独使用 IP 地址相比，改进了结果。图 2 显示了模型对 IP 空间的理解，其中每个 IP 地址根据其各自的 ISP 进行着色。在训练之前，该模型无法很好地区分来自一个 ISP 和另一个 ISP 的 IP，但在训练之后，你会看到更明显的分离。

文章插图
一个可视化的ip和他们各自的isp经过模型训练，每个点代表一个IP地址，点的颜色表示IP属于哪个ISP。在培训之前，模型在IP方面对ISP空间的理解并没有真正的区别。但是，经过培训后，基于它们所属的ISP，会有不同的IP地址集群
使用这些模型，可以更清晰地可视化 IP 空间并发现恶意 IP 组，不会随着时间的推移有任何“冷却”期。使用数据驱动的 AI 模型将这些 IP 分配给一组良性或恶意活动，可以更好地检测前所未见的 IP。

文章插图
IP 地址的模型检测，分数基于 IP 为恶意的可能性