在數(shù)字化革命過程中，電子郵件成為最普遍、最強(qiáng)大的通信工具之一。試圖通過電子郵件偽裝成合法的人或機(jī)構(gòu)來欺騙用戶變得十分普遍，以至于它有了自己的名字：網(wǎng)絡(luò)釣魚（phishing）。

如今，隨著數(shù)字世界與我們的工作和個人生活深度交織在一起，網(wǎng)絡(luò)釣魚仍然是 2021 勒索軟件事件的前三大誘因之一，其復(fù)雜度和規(guī)模都在增長。隨著網(wǎng)絡(luò)釣魚造成的損失持續(xù)增加，風(fēng)險也隨之會增加。

如今的網(wǎng)絡(luò)釣魚

大多數(shù)的釣魚網(wǎng)絡(luò)安全防御結(jié)合了基于規(guī)則的電子郵件過濾器和人員培訓(xùn)來檢測欺詐電子郵件。當(dāng)過濾器失效時，盡管經(jīng)過培訓(xùn)加強(qiáng)了對可疑電子郵件的檢測，但是人員仍然也會面臨同樣的風(fēng)險。

只需一次人為錯誤，企業(yè)就可能蒙受數(shù)百萬美元的損失，并需要時間來解決問題。為了減少違規(guī)行為，至關(guān)重要的就是杜絕網(wǎng)絡(luò)釣魚進(jìn)入任何收件箱。

目前，基于規(guī)則的系統(tǒng)在他們看來是有限的。他們只能“看到”已知的問題，而欺詐者通常比這些系統(tǒng)領(lǐng)先一步。捕捉這些問題的過濾器只有在發(fā)現(xiàn)漏洞和弱點(diǎn)之后才能改進(jìn)，這為時已晚。

為了提前解決網(wǎng)絡(luò)釣魚問題，機(jī)器必須能夠預(yù)測弱點(diǎn)，而不是成為弱點(diǎn)的犧牲品，并開發(fā)增強(qiáng)的情感分析，以跟上甚至比欺詐者先走一步。

基于 NVIDIA Morpheus 的網(wǎng)絡(luò)釣魚檢測

NVIDIA Morpheus 是一個開放的人工智能框架，用于實現(xiàn)網(wǎng)絡(luò)安全特定的推理管道，現(xiàn)可從 NVIDIA NGC 和 NVIDIA/Morpheus GitHub repo 下載。

通過 NVIDIA Morpheus ，我們的網(wǎng)絡(luò)安全團(tuán)隊?wèi)?yīng)用了一種流行的人工智能技術(shù) - 自然語言處理（NLP），從而創(chuàng)建了一個網(wǎng)絡(luò)釣魚檢測應(yīng)用程序，該應(yīng)用程序能夠以 99% 以上的準(zhǔn)確率對網(wǎng)絡(luò)釣魚電子郵件進(jìn)行正確分類。

使用 Morpheus 管道進(jìn)行網(wǎng)絡(luò)釣魚檢測，您可以使用自己的模型來進(jìn)一步提高準(zhǔn)確性。當(dāng)您的公司收到新的網(wǎng)絡(luò)釣魚郵件時，您可以對模型進(jìn)行微調(diào)，使模型得到持續(xù)改進(jìn)。

因為 Morpheus 支持大規(guī)模的無監(jiān)督學(xué)習(xí)，所以您并不必依賴基于規(guī)則的方法來檢測網(wǎng)絡(luò)釣魚行為，也不需要這些方法所需的 URL 或可疑的電子郵件地址。相反，Morpheus 從接收到的電子郵件中學(xué)習(xí)，使其成為管理網(wǎng)絡(luò)釣魚檢測的更全面、可持續(xù)的方法。

方法

網(wǎng)絡(luò)安全團(tuán)隊遵循典型人工智能工作流程的前三個步驟來開發(fā)網(wǎng)絡(luò)釣魚檢測概念驗證（POC）：

數(shù)據(jù)準(zhǔn)備

人工智能建模

模擬與測試

通過使用預(yù)訓(xùn)練的模型，他們能夠快速執(zhí)行。我們將逐步執(zhí)行每個步驟，深入了解網(wǎng)絡(luò)安全團(tuán)隊是如何進(jìn)行開發(fā)的。

數(shù)據(jù)準(zhǔn)備

要開發(fā)人工智能模型，必須使用預(yù)先存在的相關(guān)數(shù)據(jù)對其進(jìn)行訓(xùn)練。通常，大部分開發(fā)時間都集中在處理數(shù)據(jù)集上，使其可用于訓(xùn)練中的模型進(jìn)行分析。

在這種情況下，該團(tuán)隊采用了現(xiàn)存的、公開來源的英語網(wǎng)絡(luò)釣魚數(shù)據(jù)集，并進(jìn)行重新調(diào)整以符合概念驗證的需求，從而顯著加快了開發(fā)進(jìn)程。

概念驗證需要大量良性和欺詐電子郵件數(shù)據(jù)集，以供網(wǎng)絡(luò)釣魚模型進(jìn)行訓(xùn)練。該團(tuán)隊從 SPAM_ASSASSIN 數(shù)據(jù)集 開始，該數(shù)據(jù)集包含一個預(yù)先存在的電子郵件數(shù)據(jù)組合，標(biāo)記為 phishing （網(wǎng)絡(luò)釣魚）、hard ham（不易識別的正常郵件）和 easy ham （容易識別的正常郵件）。ham 類是各種復(fù)雜的良性電子郵件。出于我們的目的，我們將分類簡化為 benign （良性）和 phishing （網(wǎng)絡(luò)釣魚），將 hard ham 和 easy ham 分類的電子郵件合并為一個良性類別。

雖然 SPAM_Assassin 數(shù)據(jù)集是一個有用的起點(diǎn)，但該模型需要更多的訓(xùn)練數(shù)據(jù)。該團(tuán)隊將 Enron Emails 數(shù)據(jù)集作為良性數(shù)據(jù)源，Clair 數(shù)據(jù)集 的網(wǎng)絡(luò)釣魚類作為網(wǎng)絡(luò)釣魚數(shù)據(jù)源。該模型在這些數(shù)據(jù)集的各種組合上進(jìn)行了訓(xùn)練和評估。

ML 建模

ML（機(jī)器學(xué)習(xí)）開發(fā)的核心是使用數(shù)據(jù)對模型進(jìn)行培訓(xùn)和評估，模型最終學(xué)會自己執(zhí)行所需的功能。

該團(tuán)隊沒有從頭開始創(chuàng)建一個新的人工智能模型，而是選擇了一個預(yù)訓(xùn)練的 BERT 模型作為改進(jìn) POC 的人工智能模型。BERT 是一個面向 NLP 的開源機(jī)器學(xué)習(xí)框架。BERT 旨在通過使用周圍的文本建立上下文來幫助計算機(jī)理解文本中模糊語言的含義。

該團(tuán)隊通過使用早期數(shù)據(jù)集對現(xiàn)有的網(wǎng)絡(luò)釣魚檢測模型進(jìn)行培訓(xùn)和評估，并對其進(jìn)行了微調(diào)。

模擬與測試

這是對模型進(jìn)行測試、評估和訓(xùn)練以實現(xiàn)網(wǎng)絡(luò)釣魚檢測目的的階段。

SPAM_Assassin、Clair 和 Enron 數(shù)據(jù)集都被隨機(jī)分成訓(xùn)練集和驗證集。然后，對 BERT 模型進(jìn)行訓(xùn)練，將來自不同組合的郵件分類為良性郵件或網(wǎng)絡(luò)釣魚郵件。當(dāng)使用一個混合了 Enron、Clair 和 SPAM_Assassin 的驗證數(shù)據(jù)集對改進(jìn)后的 BERT 模型進(jìn)行測試時，該模型在根據(jù)郵件分類解析電子郵件方面的準(zhǔn)確率再次達(dá)到 99.68%。

我們的測試表明，在驗證數(shù)據(jù)集上使用經(jīng)過訓(xùn)練的 BERT 模型檢測網(wǎng)絡(luò)釣魚或良性電子郵件方面的準(zhǔn)確率超過 99%。

總結(jié)

人工智能可以在解決組織每天面臨的網(wǎng)絡(luò)安全問題方面發(fā)揮重要作用，但許多組織對在其組織中發(fā)展人工智能感到害怕。

NVIDIA 正在使人工智能大眾化，使其在任何用例中都能簡單而高效的為任何企業(yè)所開發(fā)。該 POC 就是這樣一個示例， 展示 NVIDIA Morpheus 中的可用資源是如何為期望增強(qiáng)其網(wǎng)絡(luò)安全武器庫的企業(yè)開發(fā)者縮短和簡化人工智能應(yīng)用程序開發(fā)的。

為了進(jìn)一步加快企業(yè)的網(wǎng)絡(luò)安全，請使用 NVIDIA Morpheus 提供的預(yù)訓(xùn)練網(wǎng)絡(luò)釣魚模型。NVIDIA Morpheus 人工智能網(wǎng)絡(luò)安全框架不僅展示了應(yīng)用人工智能解決網(wǎng)絡(luò)安全威脅的變革能力，而且還使組織能夠輕松地將人工智能與前面描述的開發(fā)周期相結(jié)合。隨著更多的數(shù)據(jù)來訓(xùn)練模型，它將變得更加強(qiáng)大。

Morpheus 是一個開放的人工智能框架，供開發(fā)者實現(xiàn)網(wǎng)絡(luò)安全特定的推理管道。Morpheus 為安全開發(fā)者和數(shù)據(jù)科學(xué)家提供了一個簡單的接口，用以創(chuàng)建和部署端到端管道，使其可以解決網(wǎng)絡(luò)安全、信息安全和通用基于日志管道的問題。本系列重點(diǎn)介紹 Morpheus 與各種技術(shù)網(wǎng)絡(luò)安全戰(zhàn)略相關(guān)的用例和實現(xiàn)。