解析阻止机器学习的十种网络攻击（三）

07 侦查攻击(Reconnaissance)

在发起攻击之前，黑客会对目标或目标群体进行广泛的侦查。侦查包括探测网络的漏洞。攻击者将在网络的周边或局域网(LAN)内进行侦查。典型的侦查攻击探测使用了签名匹配技术，通过网络活动日志寻找可能代表恶意行为的重复模式。然而，基于签名的检测通常会产生一串嘈杂的假警报。

机器学习可以是网络数据拓扑的指南针。经过训练的算法可以开发这种拓扑图，以便识别新模式的传播，这种做法比基于签名的方法更快。使用机器学习也减少了误报的数量，从而使安全分析人员能够把时间花在处理真正重要的报警上。

08 “叉鱼”网页木马(Webshell)

United States Computer Emergency Readiness Team(美国计算机应急准备小组，US-CERT)对网页木马(Webshell)的定义是”可以上传到网络服务器的脚本，以便远程管理机器”。通过远程管理，攻击者可以启动数据库数据转存、文件传输和恶意软件安装等进程。

网页木马(Webshell)攻击者的目标通常是后端的电子商务平台，攻击者通过这些平台来瞄准购物者的个人信息。机器学习算法可以聚焦正常购物车行为的统计，然后帮助识别出不应该以这种频率发生的异常值或行为。

09 凭证盗窃(Credential Theft)

一些高调的攻击，包括对虚拟专用网(VPN)攻击，都是凭据盗窃的结果。凭证盗窃通常使用诸如网络钓鱼或水坑式攻击等手段来实现，攻击者以此从受害者那里提取登录凭证，以便访问组织维护的敏感信息。

互联网用户–消费者–经常留下登录模式。网站和应用程序可以跟踪位置和登录时间。机器学习技术可以跟踪这些模式以及包含这些模式的数据，以了解什么样的用户行为是正常的，哪些行为则代表了可能有害的活动。

10 远程利用攻击(Remote Exploitation)

最后，许多攻击模式会使用远程利用攻击。这些攻击通常会通过一系列针对目标系统的恶意事件进行操作，以识别漏洞，然后提供有效负载(如恶意代码)来利用漏洞。一旦攻击投放了有效载荷，它就会在系统内执行代码。