序

以人工智能、大數據、云計算、邊緣計算等為代表的新技術帶來了業務發展的新模式，推動著政企數字化轉型的高速發展，建設自動化、智能化的網絡安全風險識別預警系統已成為重中之重。傳統的網絡安全風險識別技術以規則分析為主，優點是可以根據已經發生的風險事件快速總結歸納出固定的規則，檢測速度快、針對性強；缺點是對于未知的網絡安全風險及威脅，檢測能力較弱。同時，當檢測規則達到一定量級后，檢測范圍不嚴謹、管理困難、各種規則之間容易存在交叉等缺陷，從而出現較多的誤報，并且不容易優化調整，導致安全分析人員的效率顯著下降。

隨著攻擊手段的不斷變化，高級持續性網絡安全攻擊層出不窮，網絡安全正在成為一個融合大數據、人工智能且需具備全局視角的大數據分析問題。人工智能模型能自動學習數據中的規律特征，具備較高的檢測準確率和較好的泛化能力。雖然訓練需要的時間相對較長（某些場景下的預測實時性不及規則策略），但經過調優后也能達到近實時的效果。尤其針對高級威脅、未知風險、0day等攻擊檢測，人工智能表現出來的優勢尤為明顯，能夠作為規則策略方法的關鍵補充。

我國網絡安全人才缺口率高達95%，到2027年這一數據將增長至300萬。其中，具備機器學習和人工智能技術的高級安全分析人員尤為緊缺。本書基于安恒信息近10年的實踐和教學經驗，總結了一套高效的教學模式，除了理論方法的教學，更注重實戰教學，讓學員能學以致用，融會貫通。整個教學內容的編排和機器學習的基本流程相得益彰。

· 機器學習第一步：樣本的收集與整理。對應整個教學內容的前置知識，如Python基礎、大數據工程技術基礎、基本的大數據分析流程等，幫助學員打好基礎。

· 機器學習第二步：提取特征。對應整個教學內容的算法知識，如分類算法、聚類算法、關聯分析等，幫助學員了解算法的原理和優缺點，熟悉算法的使用場景。

· 機器學習第三步：選擇模型并調優。對應整個教學內容的場景案例應用教學，如僵尸網絡的檢測、惡意URL的檢測、WebShell的檢測等，幫助學員深入理解在不同場景下如何使用算法模型，領會算法和場景的內在關聯關系和異同點。

· 機器學習第四步：使用訓練好的模型進行預測。對應整個教學內容的實操教學，學員會用Python進行編程建模實操，實現場景案例及課后習題，可以幫助學員更好地學以致用，提高學員將所學知識應用于實際工作的能力。

通過本書的學習，讀者會更深刻地認識到傳統分析方法和基于機器學習的大數據分析方法的內在聯系：它們相輔相成，互為補充，各有千秋。讀者如果能將兩者結合起來，取長補短，定會有更好的分析檢測效果，并成為一名優秀的網絡安全大數據分析專家。

劉博

杭州安恒信息技術股份有限公司　首席科學家