マシンラーニング問題とアプローチ

あなたが会社のコンピューター・セキュリティを担当しているとしよう。ファイアウォールを設置し、フィッシング・トレーニングを実施し、安全なコーディングの実践を保証する。しかし、一日の終わりにCEOが気にするのは、情報漏えいを起こさないことだけだ。そこであなたは、あらゆる攻撃対象への悪質なトラフィックを検知しブロックできるシステムを構築することにした。最終的に、これらのシステムは以下を決定しなければならない：

• ネットワークを通じて送信されるすべてのファイルにマルウェアが含まれているか？

• ログインを試みるたびに、誰かのパスワードが漏洩していないか？

• 受信したすべてのEメールについて、それはフィッシングの試みなのだろうか？

• サーバへのすべてのリクエストに対して、それはサービス拒否（DoS）攻撃なのだろうか？

• ネットワークからのアウトバウンドリクエストごとに、ボットがコマンド＆コントロールサーバを呼び出していないか？

これらのタスクはすべて分類タスクであり、観測された事象の性質に関する二項対立的な決定である。

したがって、あなたの仕事は次のように言い換えることができる：

• ネットワーク上のすべてのイベントを悪意あるものか正当なものかに分類する。

このような言い方をされると、ほとんど絶望的な仕事に思える。しかし恐れることはない！データという秘密兵器があるのだ。

具体的には、バイナリファイル、ログイン試行、受信メール、受信リクエスト、送信リクエストの履歴ログがある。場合によっては、過去の攻撃を知っていて、その攻撃とログの対応するイベントを関連付けることができるかもしれない。さて、問題を解決するために、過去のデータから悪意のある攻撃を示すと思われるパターンを探す。例えば、1つのIPアドレスが5分間に1秒間に20回以上サーバにリクエストしている場合、それはおそらくDoS攻撃であることを観察する。(過去にそのような負荷でサーバがダウンしたのかもしれない）。

つまり、分類しようとしているものに関するデータを入力として受け取り、バイナリ・レスポンスを出力する関数である：「悪意がある "か "正当な "かである。この例では、このアルゴリズムは非常に単純である：¹リクエスト前の5分間におけるIPアドレスからのリクエスト数を入力とし、その数が6,000未満であれば "正当"、6,000以上であれば "悪意ある ...