[套装书]Web安全之机器学习入门+Web安全之深度学习实战+Web安全之强化学习与GAN（3册）

2.1.4　Scikit-Learn 17
2.2　TensorFlow简介与环境搭建 18
2.3　本章小结 19
参考资源 20
第3章　机器学习概述 21
3.1　机器学习基本概念 21
3.2　数据集 22
3.2.1　KDD 99数据 22
3.2.2　HTTP DATASET CSIC 2010 26
3.2.3　SEA数据集 26
3.2.4　ADFA-LD数据集 27
3.2.5　Alexa域名数据 29
3.2.6　Scikit-Learn数据集 29
3.2.7　MNIST数据集 30
3.2.8　Movie Review Data 31
3.2.9　SpamBase数据集 32
3.2.10　Enron数据集 33
3.3　特征提取 35
3.3.1　数字型特征提取 35
3.3.2　文本型特征提取 36
3.3.3　数据读取 37
3.4　效果验证 38
3.5　本章小结 40
参考资源 40
第4章　Web安全基础 41
4.1　XSS攻击概述 41
4.1.1　XSS的分类 43
4.1.2　XSS特殊攻击方式 48
4.1.3　XSS平台简介 50
4.1.4　近年典型XSS攻击事件分析 51
4.2　SQL注入概述 53
4.2.1　常见SQL注入攻击 54
4.2.2　常见SQL注入攻击载荷 55
4.2.3　SQL常见工具 56
4.2.4　近年典型SQL注入事件分析 60
4.3　WebShell概述 63
4.3.1　WebShell功能 64
4.3.2　常见WebShell 64
4.4　僵尸网络概述 67
4.4.1　僵尸网络的危害 68
4.4.2　近年典型僵尸网络攻击事件分析 69
4.5　本章小结 72
参考资源 72
第5章　K近邻算法 74
5.1　K近邻算法概述 74
5.2　示例：hello world！K近邻 75
5.3　示例：使用K近邻算法检测异常操作（一） 76
5.4　示例：使用K近邻算法检测异常操作（二） 80
5.5　示例：使用K近邻算法检测Rootkit 81
5.6　示例：使用K近邻算法检测WebShell 83
5.7　本章小结 85
参考资源 86
第6章　决策树与随机森林算法 87
6.1　决策树算法概述 87
6.2　示例：hello world！决策树 88
6.3　示例：使用决策树算法检测POP3暴力破解 89
6.4　示例：使用决策树算法检测FTP暴力破解 91
6.5　随机森林算法概述 93
6.6　示例：hello world！随机森林 93
6.7　示例：使用随机森林算法检测FTP暴力破解 95
6.8　本章小结 96
参考资源 96
第7章　朴素贝叶斯算法 97
7.1　朴素贝叶斯算法概述 97
7.2　示例：hello world！朴素贝叶斯 98
7.3　示例：检测异常操作 99
7.4　示例：检测WebShell（一） 100
7.5　示例：检测WebShell（二） 102
7.6　示例：检测DGA域名 103
7.7　示例：检测针对Apache的DDoS攻击 104
7.8　示例：识别验证码 107
7.9　本章小结 108
参考资源 108
第8章　逻辑回归算法 109
8.1　逻辑回归算法概述 109
8.2　示例：hello world！逻辑回归 110
8.3　示例：使用逻辑回归算法检测Java溢出攻击 111
8.4　示例：识别验证码 113
8.5　本章小结 114
参考资源 114
第9章　支持向量机算法 115
9.1　支持向量机算法概述 115
9.2　示例：hello world！支持向量机 118
9.3　示例：使用支持向量机算法识别XSS 120
9.4　示例：使用支持向量机算法区分僵尸网络DGA家族 124
9.4.1　数据搜集和数据清洗 124
9.4.2　特征化 125
9.4.3　模型验证 129
9.5　本章小结 130
参考资源 130
第10章　K-Means与DBSCAN算法 131
10.1　K-Means算法概述 131
10.2　示例：hello world！K-Means 132
10.3　示例：使用K-Means算法检测DGA域名 133
10.4　DBSCAN算法概述 135
10.5　示例：hello world！DBSCAN 135
10.6　本章小结 137
参考资源 137
第11章　Apriori与FP-growth算法 138
11.1　Apriori算法概述 138
11.2　示例：hello world！Apriori 140
11.3　示例：使用Apriori算法挖掘XSS相关参数 141
11.4　FP-growth算法概述 143
11.5　示例：hello world！FP-growth 144
11.6　示例：使用FP-growth算法挖掘疑似僵尸主机 145
11.7　本章小结 146
参考资源 146
第12章　隐式马尔可夫算法 147
12.1　隐式马尔可夫算法概述 147
12.2　hello world! 隐式马尔可夫 148
12.3　示例：使用隐式马尔可夫算法识别XSS攻击（一） 150
12.4　示例：使用隐式马尔可夫算法识别XSS攻击（二） 153
12.5　示例：使用隐式马尔可夫算法识别DGA域名 159
12.6　本章小结 162
参考资源 162
第13章　图算法与知识图谱 163
13.1　图算法概述 163
13.2　示例：hello world！有向图 164
13.3　示例：使用有向图识别WebShell 169
13.4　示例：使用有向图识别僵尸网络 173
13.5　知识图谱概述 176
13.6　示例：知识图谱在风控领域的应用 177
13.6.1　检测疑似账号被盗 178
13.6.2　检测疑似撞库攻击 179
13.6.3　检测疑似刷单 181
13.7　示例：知识图谱在威胁情报领域的应用 183
13.7.1　挖掘后门文件潜在联系 184
13.7.2　挖掘域名潜在联系 185
13.8　本章小结 187
参考资源 187
第14章　神经网络算法 188
14.1　神经网络算法概述 188
14.2　示例：hello world！神经网络 190
14.3　示例：使用神经网络算法识别验证码 190
14.4　示例：使用神经网络算法检测Java溢出攻击 191
14.5　本章小结 193
参考资源 194
第15章　多层感知机与DNN算法 195
15.1　神经网络与深度学习 195
15.2　TensorFlow编程模型 196
15.2.1　操作 197
15.2.2　张量 197
15.2.3　变量 198
15.2.4　会话 198
15.3　TensorFlow的运行模式 198
15.4　示例：在TensorFlow下识别验证码（一） 199
15.5　示例：在TensorFlow下识别验证码（二） 202
15.6　示例：在TensorFlow下识别验证码（三） 205
15.7　示例：在TensorFlow下识别垃圾邮件（一） 207
15.8　示例：在TensorFlow下识别垃圾邮件（二） 209
15.9　本章小结 210
参考资源 210
第16章　循环神经网络算法 212
16.1　循环神经网络算法概述 212
16.2　示例：识别验证码 213
16.3　示例：识别恶意评论 216
16.4　示例：生成城市名称 220
16.5　示例：识别WebShell 222
16.6　示例：生成常用密码 225
16.7　示例：识别异常操作 227
16.8　本章小结 230
参考资源 230
第17章　卷积神经网络算法 231
17.1　卷积神经网络算法概述 231
17.2　示例：hello world！卷积神经网络 234
17.3　示例：识别恶意评论 235
17.4　示例：识别垃圾邮件 237
17.5　本章小结 240
参考资源 242
---------------------------图书编号：7017944---------------------------
对本书的赞誉
序
前言
第1章　打造深度学习工具箱1
1.1　TensorFlow1
1.1.1　安装1
1.1.2　使用举例3
1.2　TFLearn3
1.3　PaddlePaddle4
1.3.1　安装5
1.3.2　使用举例6
1.4　Karas7
1.5　本章小结9
第2章　卷积神经网络10
2.1　传统的图像分类算法10
2.2　基于CNN的图像分类算法11
2.2.1　局部连接11
2.2.2　参数共享13
2.2.3　池化15
2.2.4　典型的CNN结构及实现16
2.2.5　AlexNet的结构及实现19
2.2.6　VGG的结构及实现24
2.3　基于CNN的文本处理29
2.3.1　典型的CNN结构30
2.3.2　典型的CNN代码实现30
2.4　本章小结32
第3章　循环神经网络33
3.1　循环神经算法概述34
3.2　单向循环神经网络结构与实现36
3.3　双向循环神经网络结构与实现38
3.4　循环神经网络在序列分类的应用41
3.5　循环神经网络在序列生成的应用42
3.6　循环神经网络在序列标记的应用43
3.7　循环神经网络在序列翻译的应用44
3.8　本章小结46
第4章　基于OpenSOC的机器学习框架47
4.1　OpenSOC框架47
4.2　数据源系统48
4.3　数据收集层53
4.4　消息系统层57
4.5　实时处理层60
4.6　存储层62
4.6.1　HDFS62
4.6.2　HBase64
4.6.3　Elasticsearch65
4.7　分析处理层66
4.8　计算系统67
4.9　实战演练72
4.10　本章小结77
第5章　验证码识别78
5.1　数据集79
5.2　特征提取80
5.3　模型训练与验证81
5.3.1　K近邻算法81
5.3.2　支持向量机算法81
5.3.3　深度学习算法之MLP82
5.3.4　深度学习算法之CNN83
5.4　本章小结87
第6章　垃圾邮件识别88
6.1　数据集89
6.2　特征提取90
6.2.1　词袋模型90
6.2.2　TF-IDF模型93
6.2.3　词汇表模型95
6.3　模型训练与验证97
6.3.1　朴素贝叶斯算法97
6.3.2　支持向量机算法100
6.3.3　深度学习算法之MLP101
6.3.4　深度学习算法之CNN102
6.3.5　深度学习算法之RNN106
6.4　本章小结108
第7章　负面评论识别109
7.1　数据集110
7.2　特征提取112
7.2.1　词袋和TF-IDF模型112
7.2.2　词汇表模型114
7.2.3　Word2Vec模型和Doc2Vec模型115
7.3　模型训练与验证119
7.3.1　朴素贝叶斯算法119
7.3.2　支持向量机算法122
7.3.3　深度学习算法之MLP123
7.3.4　深度学习算法之CNN124
7.4　本章小结127
第8章　骚扰短信识别128
8.1　数据集129
8.2　特征提取130
8.2.1　词袋和TF-IDF模型130
8.2.2　词汇表模型131
8.2.3　Word2Vec模型和Doc2Vec模型132
8.3　模型训练与验证134
8.3.1　朴素贝叶斯算法134
8.3.2　支持向量机算法136
8.3.3　XGBoost算法137
8.3.4　深度学习算法之MLP140
8.4　本章小结141
第9章　Linux后门检测142
9.1　数据集142
9.2　特征提取144
9.3　模型训练与验证145
9.3.1　朴素贝叶斯算法145
9.3.2　XGBoost算法146
9.3.3　深度学习算法之多层感知机148
9.4　本章小结149
第10章　用户行为分析与恶意行为检测150
10.1　数据集151
10.2　特征提取152
10.2.1　词袋和TF-IDF模型152
10.2.2　词袋和N-Gram模型154
10.2.3　词汇表模型155
10.3　模型训练与验证156
10.3.1　朴素贝叶斯算法156
10.3.2　XGBoost算法157
10.3.3　隐式马尔可夫算法159
10.3.4　深度学习算法之MLP164
10.4　本章小结166
第11章　WebShell检测167
11.1　数据集168
11.1.1　WordPress168
11.1.2　PHPCMS170
11.1.3　phpMyAdmin170
11.1.4　Smarty171
11.1.5　Yii171
11.2　特征提取172
11.2.1　词袋和TF-IDF模型172
11.2.2　opcode和N-Gram模型174
11.2.3　opcode调用序列模型180
11.3　模型训练与验证181
11.3.1　朴素贝叶斯算法181
11.3.2　深度学习算法之MLP182
11.3.3　深度学习算法之CNN184
11.4　本章小结188
第12章　智能扫描器189
12.1　自动生成XSS攻击载荷190
12.1.1　数据集190
12.1.2　特征提取194
12.1.3　模型训练与验证195
12.2　自动识别登录界面198
12.2.1　数据集198
12.2.2　特征提取199
12.2.3　模型训练与验证201
12.3　本章小结203
第13章　DGA域名识别204
13.1　数据集206
13.2　特征提取207
13.2.1　N-Gram模型207
13.2.2　统计特征模型208
13.2.3　字符序列模型210
13.3　模型训练与验证210
13.3.1　朴素贝叶斯算法210
13.3.2　XGBoost算法212
13.3.3　深度学习算法之多层感知机215
13.3.4　深度学习算法之RNN218
13.4　本章小结221
第14章　恶意程序分类识别222
14.1　数据集223
14.2　特征提取226
14.3　模型训练与验证228
14.3.1　支持向量机算法228
14.3.2　XGBoost算法229
14.3.3　深度学习算法之多层感知机230
14.4　本章小结231
第15章　反信用卡欺诈232
15.1　数据集232
15.2　特征提取234
15.2.1　标准化234
15.2.2　标准化和降采样234
15.2.3　标准化和过采样236
15.3　模型训练与验证239
15.3.1　朴素贝叶斯算法239
15.3.2　XGBoost算法243
15.3.3　深度学习算法之多层感知机247
15.4　本章小结251
---------------------------图书编号：7672768---------------------------
对本书的赞誉
前言
第1章　AI安全之攻与防1
1.1　AI设备的安全2
1.2　AI模型的安全3
1.3　使用AI进行安全建设4
1.4　使用AI进行攻击9
1.5　本章小结9
第2章　打造机器学习工具箱11
2.1　TensorFlow11
2.2　Keras13
2.3　Anaconda14
2.4　OpenAI Gym19
2.5　Keras-rl19
2.6　XGBoost19
2.7　GPU服务器20
2.8　本章小结23
第3章　性能衡量与集成学习24
3.1　常见性能衡量指标24
3.1.1　测试数据24
3.1.2　混淆矩阵25
3.1.3　准确率与召回率25
3.1.4　准确度与F1-Score26
3.1.5　ROC与AUC27
3.2　集成学习28
3.2.1　Boosting算法29
3.2.2　Bagging算法31
3.3　本章小结32
第4章　Keras基础知识34
4.1　Keras简介34
4.2　Keras常用模型35
4.2.1　序列模型35
4.2.2　函数式模型35
4.3　Keras的网络层36
4.3.1　模型可视化36
4.3.2　常用层38
4.3.3　损失函数44
4.3.4　优化器44
4.3.5　模型的保存与加载45
4.3.6　基于全连接识别MNIST45
4.3.7　卷积层和池化层47
4.3.8　基于卷积识别MNIST49
4.3.9　循环层49
4.3.10　基于LSTM进行IMDB情感分类52
4.4　本章小结54
第5章　单智力体强化学习55
5.1　马尔可夫决策过程55
5.2　Q函数56
5.3　贪婪算法与-贪婪算法57
5.4　Sarsa算法59
案例5-1：使用Sarsa算法处理金币问题60
5.5　Q Learning算法62
案例5-2：使用Q Learning算法处理金币问题63
5.6　Deep Q Network算法64
案例5-3：使用DQN算法处理CartPole问题65
5.7　本章小结71
第6章　Keras-rl简介72
6.1　Keras-rl智能体介绍73
6.2　Keras-rl智能体通用API73
6.3　Keras-rl常用对象75
案例6-1：在Keras-rl下使用SARSA算法处理CartPole问题75
案例6-2：在Keras-rl下使用DQN算法处理CartPole问题77
案例6-3：在Keras-rl下使用DQN算法玩Atari游戏78
6.4　本章小结86
第7章　OpenAI Gym简介87
7.1　OpenAI87
7.2　OpenAI Gym88
7.3　Hello World！OpenAI Gym89
7.4　编写OpenAI Gym环境92
7.5　本章小结98
第8章　恶意程序检测99
8.1　PE文件格式概述100
8.2　PE文件的节104
8.3　PE文件特征提取107
8.4　PE文件节的特征提取119
8.5　检测模型121
8.6　本章小结129
第9章　恶意程序免杀技术130
9.1　LIEF库简介130
9.2　文件末尾追加随机内容 132
9.3　追加导入表132
9.4　改变节名称133
9.5　增加节134
9.6　节内追加内容135
9.7　UPX加壳135
9.8　删除签名137
9.9　删除debug信息138
9.10　置空可选头的交验和138
9.11　本章小结138
第10章　智能提升恶意程序检测能力139
10.1　Gym-Malware简介139
10.2　Gym-Malware架构141
10.2.1　PEFeatureExtractor141
10.2.2　Interface143
10.2.3　MalwareManipulator143
10.2.4　DQNAgent144
10.2.5　MalwareEnv145
10.3　恶意程序样本148
10.4　本章小结149
第11章　智能提升WAF的防护能力150
11.1　常见XSS攻击方式151
11.2　常见XSS防御方式152
11.3　常见XSS绕过方式153
11.4　Gym-WAF架构155
11.4.1　Features类156
11.4.2　Xss_Manipulator类156
11.4.3　DQNAgent类160
11.4.4　WafEnv_v0类161
11.4.5　Waf_Check类162
11.5　效果验证163
11.6　本章小结164
第12章　智能提升垃圾邮件检测能力165
12.1　垃圾邮件检测技术166
12.1.1　数据集166
12.1.2　特征提取168
12.1.3　模型训练与效果验证171
12.1.4　模型的使用172
12.2　垃圾邮件检测绕过技术173
12.2.1　随机增加TAB174
12.2.2　随机增加回车174
12.2.3　大小写混淆175
12.2.4　随机增加换行符175
12.2.5　随机增加连字符176
12.2.6　使用错别字176
12.3　Gym-Spam架构177
12.3.1　Features类178
12.3.2　Spam_Manipulator类178
12.3.3　DQNAgent类179
12.3.4　SpamEnv_v0类181
12.4　效果验证182
12.5　本章小结183
第13章　生成对抗网络184
13.1　GAN基本原理184
13.2　GAN系统架构185
13.2.1　噪音源185
13.2.2　Generator186
13.2.3　Discriminator187
13.2.4　对抗模型188
13.3　GAN188
13.4　DCGAN194
13.5　ACGAN202
13.6　WGAN210
13.7　本章小结217
第14章　攻击机器学习模型218
14.1　攻击图像分类模型218
14.1.1　常见图像分类模型219
14.1.2　梯度算法和损失函数222
14.1.3　基于梯度上升的攻击原理224
14.1.4　基于梯度上升的算法实现226
14.1.5　基于FGSM的攻击原理228
14.1.6　基于FGSM攻击的算法实现229
14.2　攻击其他模型231
案例14-1：攻击手写数字识别模型233
案例14-2：攻击自编码器240
案例14-3：攻击差分自编码器249
14.3　本章小结262

.　　我平时在Freebuf专栏以及i春秋分享企业安全建设以及人工智能相关经验与最新话题，同时也运营我的微信公众号“兜哥带你学安全”、知识星球（原名小密圈）“Web安全之机器学习”，欢迎大家关注并在线交流。之前没有使用过知识星球的读者可以在各类应用市场上搜索。
　　本书使用的代码和数据均在GitHub上发布，地址为：https://github.com/duoergun0729/2book，代码层面任何疑问可以在GitHub上直接反馈。
　　 ---------------------------图书编号：7672768---------------------------
　　网络安全一直和AI相伴相生，从网络安全诞生的那一天起，人们就一直试图使用自动化的方式去解决安全问题。网络安全专家一直试图把自己对网络威胁的理解转换成机器可以理解的方式，比如黑白名单、正则表达式，然后利用机器强大的计算能力，夜以继日地从流量、日志、文件中寻找似曾相识的各类威胁。似乎这一切就是那么天经地义并无懈可击。事情似乎又没有那么简单，机器其实并没有完全学到人的经验，网络安全专家一眼就可以识破的变形，对于机器却难以理解；更可怕的是，恶意程序数量呈指数增长，各类新型攻击方式层出不穷，0day（零日攻击）的出现早已超过一线明星出现在新闻头条的频率，依靠极其有限的网络专家总结的经验和几个安全厂商所谓的样本交换，已经难以应付现在的网络安全威胁。如果安全专家一眼就可以识破的威胁，机器也能够自动化发现甚至做出相应的响应，这已经是很大的进步；如果让机器可以像AlphaGo理解围棋一样，能够理解网络威胁，那将是巨大进步。事情又回到最初的那个问题，如何能让机器真正学会识别安全威胁？机器学习可能是一个不错的答案。
　　目标读者
　　本书面向信息安全从业人员、大专院校计算机相关专业学生以及信息安全爱好者、机器学习爱好者，对于想了解人工智能的CTO、运维总监、架构师，本书同样也是一本不错的科普书籍。如果看完本书，可以让读者在工作学习中遇到问题时想起一到两种算法，那么我觉得就达到效果了；如果可以让读者像使用printf一样使用SVM、朴素贝叶斯等算法，那么这本书就相当成功了。
　　我写本书的初衷是帮助安全爱好者以及信息安全从业者了解机器学习，可以动手使用简单的机器学习算法解决实际问题。在写作中尽量避免生硬的说教，能用文字描述的尽量不用冷冰冰的公式，能用图和代码说明的尽量不用多余的文字，正如霍金说言，“多写一个公式，少一半读者”，希望反之亦然。
　　机器学习应用于安全领域遇到的最大问题就是缺乏大量的黑样本，即所谓的攻击样本，尤其相对于大量的正常业务访问，攻击行为尤其是成功的攻击行为是非常少的，这就给机器学习带来了很大挑战。本书很少对不同算法进行横向比较，也是因为在不同场景下不同算法的表现差别的确很大，很难说深度学习就一定比朴素贝叶斯好，也很难说支持向量机就不如卷积神经网络，拿某个具体场景进行横评意义不大，毕竟选择算法不像购买SUV，可以拿几十个参数评头论足，最后还是需要大家结合实际问题去选择。
　　如何使用本书
　　本书的第1章主要介绍了如何打造自己的深度学习工具箱，介绍了AI安全的攻与防，介绍了针对AI设备和AI模型的攻击，以及使用AI进行安全建设和攻击。第2章介绍了如何打造深度学习的工具箱。第3章介绍了如何衡量机器学习算法的性能以及集成学习的基本知识。第4章介绍了Keras的基本知识以及使用方法，这章是后面章节学习开发的基础。第5章介绍了强化学习，重点介绍了单智力体的强化学习。第6章介绍了Keras下强化学习算法的一种实现Keras-rl。第7章介绍了强化学习领域经常使用的OpenAI Gym环境。第8章～第10章，介绍了基于机器学习的恶意程序识别技术以及常见的恶意程序免杀方法，最后介绍了如何使用强化学习生成免杀程序，并进一步提升杀毒软件的检测能力。第11章介绍如何使用强化学习提升WAF的防护能力，第12章介绍如何使用强化学习提升反垃圾邮件的检测能力。第13章介绍了对抗生成网络的基础知识，第14章介绍了针对机器学习模型的几种攻击方式，包括如何欺骗图像识别模型让其指鹿为马。每个案例都使用互联网公开的数据集并配有基于Python的代码，代码和数据集可以在本书配套的GitHub下载。
　　本书是我机器学习三部曲的第三部，在第一部中，主要以机器学习常见算法为主线，以生活中的例子和具体安全场景介绍机器学习常见算法，定位为机器学习入门书籍，便于大家快速上手。全部代码都可以在普通PC电脑上运行。在第二部中，重点介绍深度学习，并以具体的11个案例介绍机器学习的应用，面向的是具有一定机器学习基础或者致力于使用机器学习解决工作中问题的读者。本书重点介绍强化学习和对抗网络，并介绍了AI安全的攻与防。一直有个遗憾的地方：深度学习的优势发挥需要大量精准标注的训练样本，但是由于各种各样的原因，我只能在书中使用互联网上已经公开的数据集，数据量级往往很难发挥深度学习的优势，对于真正想在生产环境中验证想法的读者需要搜集更多样本。
　　致谢
　　这里我要感谢我的家人对我的支持，本来工作就很忙，没有太多时间处理家务，写书以后更是花费了我大量的休息时间，我的妻子无条件承担起了全部家务，尤其是照料孩子方面的繁杂事务。我很感谢我的女儿，写书这段时间几乎没有时间陪她玩，她也很懂事地自己玩，我也想用这本书作为生日礼物送给她。我还要感谢编辑吴怡对我的支持和鼓励，让我可以坚持把这本书写完。最后还要感谢各位业内好友尤其是我boss对我的支持，排名不分先后：马杰@百度安全、冯景辉@百度安全、Tony@京东安全、程岩@京东安全、简单@京东安全、林晓东@百度基础架构、黄颖@百度IT、李振宇@百度AI、Lenx@百度安全、黄正@百度安全、郝轶@百度云、云鹏@百度无人车、赵林林@微步在线、张宇平@数盟、谢忱@Freebuf、李新@Freebuf、李琦@清华、徐恪@清华、王宇@蚂蚁金服、王泯然@蚂蚁金服、王龙@蚂蚁金服、周涛@启明星辰、姚志武@借贷宝、刘静@安天、刘元军@医渡云、廖威@易宝支付、尹毅@sobug、宋文宽@联想、团长@宜人贷、齐鲁@搜狐安全、吴圣@58安全、康宇@新浪安全、幻泉@i春秋、雅驰@i春秋、王庆双@i春秋、张亚同@i春秋、王禾@微软、李臻@paloalto、西瓜@四叶草、郑伟@四叶草、朱利军@四叶草、土夫子@XSRC、英雄马@乐视云、sbilly@360、侯曼@360、高磊@滴滴、高磊@爱加密、高渐离@华为、刘洪善@华为云、宋柏林@一亩田、张昊@一亩田、张开@安恒、李硕@智联、阿杜@优信拍、李斌@房多多、李程@搜狗、姚聪@face+、李鸣雷@金山云、吴鲁加@小密圈，最后我还要感谢我的亲密战友陈燕、康亮亮、蔡奇、哲超、新宇、子奇、月升、王磊、碳基体、刘璇、钱华沟、刘超、王胄、吴梅、冯侦探、冯永校。
　　我平时在Freebuf专栏以及“i春秋”分享企业安全建设以及人工智能相关经验与最新话题，同时也运营我的微信公众号“兜哥带你学安全”，欢迎大家关注并在线交流。
　　本书使用的代码和数据均在GitHub上发布，地址为：https://github.com/duoergun 0729/3book，代码层面任何疑问可以在GitHub上直接反馈。

.　　伴随着互联网的爆炸式发展，网络安全已上升到国家层面，按效果说话的安全能力建设得到高度重视。与此同时，安全团队却又不得不面对百花齐放的业务场景、大规模的数据中心，以及愈加剧烈、复杂和不确定性的网络攻击。如何在传统攻防对抗之外，寻找更有效、可落地的对抗方式，已成为各大企业安全团队思考的重点。所幸，近些年来，计算和存储资源已不是安全团队的瓶颈，安全团队自身在工程能力上也已非昔日吴下阿蒙。机器学习成为近些年来安全领域里第一批从学术走向工业的应用方向，并已有很多阶段性的实践成果。很欣喜地看到兜哥一直在推进机器学习系列的文章并编写了此书。此书重点讲解了常见机器学习算法在不同场景下的潜在应用和实践，非常适合初学者入门。希望此书能够启发更多的同行继续实践和深耕机器学习应用这个方向，并给安全行业带来更多的反馈和讨论。
　　——程岩，京东安全首席架构师
　　人工智能的技术发展正在不断加速，是时候探讨如何将机器学习应用于安全领域了。人工智能真的能在未来对抗网络攻击、自主保护我们的系统吗？这本书打开了一道门。这不仅是一部机器学习的科普书，一部机器学习在安全场景下的实战书，更是一部鼓励技术创新应用的行动指南。
　　——谢忱，FreeBuf联合创始人，斗象科技COO
　　安全正在发生变革，已经从专家模式逐渐演变成系统化、平台化，而随着机器学习和大数据技术的发展，未来安全将逐渐智能化。而这种变化已经得到了验证，在业务安全领域风控系统的基础数据中，如IP和用户画像、设备指纹生成和识别、规则的挖掘都使用大量的机器学习算法；在网络安全领域，如何入侵检测系统发现未知的攻击、如何解决无效的攻击行为也采用了大量的分类和关联规则算法。兜哥作为互联网企业的安全界资深研究者，一直对新技术的运用进行探索，这本书将为你打开安全智能化的大门。
　　——吴圣，58同城高级架构师
　　机器学习一直是高大上的领域，作者结合自己的实际工作和研究，把机器学习在安全领域的应用讲得深入浅出、很接地气，稍具基础知识的读者就可动手体验应用机器学习的美妙感受。
　　——姚志武，借贷宝安全总监
　　纵观安全行业近十余年的攻击方式，从最早的单机小工具到如今分布式、大数据、自动化等攻击方式，防御的方式不得不随之不断升级，于是出现各种云安全产品，这些产品都能产生大量有价值的数据，但却少有产品能够真正利用这些数据实现联动防御，所以这些云都是单朵的小云。我们需要利用人工智能将这些数据进行联动，进行多维度、高精度的深入分析，还原攻击路径，才能真正实现态势感知，防御未知攻击。而人工智能的基础就是机器学习，让机器自适应、自分析、自决策，未来的安全防御必须具备这样的特性。本书采用实例的方式讲解机器学习在安全领域的应用，不仅能让读者了解到机器学习，还能让读者了解到攻击方式的检测手段，是一本难得的好书。
　　——尹毅，Sobug技术合伙人，《代码审计：企业级Web代码安全架构》作者
　　在机器学习领域中，大多数的实用方向都表现在图像识别、广告推荐和个性画像等方面，但很少看见安全领域相关的机器学习方法和介绍，因为“安全”的概念是很模糊的，有的场景中，很少有合适的模型、适用的参数，甚至没有明确的算法。这本书介绍了基础的机器学习应用和方法，并结合部分特殊的场景对安全领域中较为常见和较为烦琐的分析提供了很好的例子和思维模型，不论是安全从业人员或者是机器学习领域的研究者，都值得阅读，可以从本书中获得很多好的启发和灵感。
　　——Kevin1986，搜狐资深安全研究员
　　不知道十余年前，在兜哥刚刚踏上安全这条“不归路”时，有没有想过如今的工作会面对多么错综复杂的环境，担负着数亿用户的信赖。在大型互联网公司中，产品线绵延复杂，每一个新产品的上线，每一次版本的迭代更新，都有不可预知的安全问题出现，安全防御体系也无时无刻不在应对新的挑战。哪怕是拥有丰富工作经验的安全从业者，在面对层出不穷的攻击手段和海量的日志数据时也会望洋兴叹。机器学习是这些问题天然契合的解决方案，在数据量以指数级不断增长的未来，甚至有可能是唯一的出路。机器学习如今可以说是如日中天的热词，但对于初学者来说可能并不是很容易就能掌握的技能。将学习到的内容应用在安全工作中更是难上加难。这或许也是机器学习经常出现在安全从业者视野中，却鲜有人愿意深入研究的原因之一吧。兜哥作为互联网安全领域内机器学习的先导践行者，可以说是从零开始，在不断尝试中摸索出了一条新的道路。毫无疑问，这是一个艰难而有价值的过程。这本书作为走过这段历程之后的总结与分享，兜哥将多年的工作经验毫无保留地倾注于其中，以一个甲方安全人员的视角，将机器学习如何应用在Web安全工作的各个方面，用诙谐易懂的语言娓娓道来。在一气呵成地读罢兜哥亲手递过的样章之后，我只有一个想法：如今的Web安全领域，太需要这样一本佳作了。或许未来的某一天，机器学习或者说人工智能已经成为了保护互联网安全的中坚力量。回头一看，正是本书在路途的起点为我们指明了方向。
　　——幻泉，i春秋教研中心总监
　　识别各类攻击一直是安全领域内难以解决的问题，由于语言的多样性，利用传统规则匹配来识别攻击已经过时，传统安全技术的发展也已经到了瓶颈，而本书提出机器学习结合 Web 安全的思路为安全技术发展指出了新的方向。相信读者阅读本书后能受益匪浅。
　　——西瓜，四叶草CTO
　　安全监控的建立产生海量安全日志，人工查看审计日志已经无法解决企业实际安全需求。随着硬件成本降低，大数据技术成熟，机器学习在企业安全中的实践应运而生。本书详细介绍了如何通过机器学习分析海量安全日志，发现隐匿的攻击，本书是企业安全建设中不可多得的孙子兵法。
　　——廖威，易宝支付安全总监
　　早在2009在百度工作时，就因为工作交集认识了本书作者刘焱。期间经常讨论安全技术问题，为他的渊博知识与钻研精神所折服。近年来，Web安全被越来越多的人所重视，攻防对抗上升到一个新的高度。各种新的攻击方法层出不穷，传统的检测与防御方式已不再适应，迫切需要更加智能的方法。随着机器学习的爆发式发展，两者的结合将是未来的趋势。在本书中，刘焱将枯燥复杂的算法、概念以简单易懂的图文结合方式呈现出来，并夹杂着他一贯的幽默风格，内容由浅入深、循序渐进。应用机器学习是未来的发展趋势，学习掌握它使创造出新一代的安全产品成为可能。希望大家喜欢这本书，并从中受益。
　　——刘袁君，医渡云安全总监
　　通过机器学习分析海量Web日志，进而发现业务异常和安全问题已经是安全监控平台的标配。然而，市场上信息安全和机器学习结合的工具书却很少，本书从基础知识和实际案例出发，逐步抽丝剥茧带你进入自动化安全的殿堂。书中的算法和思路是经过大规模部署和商业验证的，具备很强的可操作性。
　　——宋文宽，联想集团信息安全高级经理
　　 ---------------------------图书编号：7017944---------------------------
　　此亦笃信之年，此亦大惑之年。此亦多丽之阳春，此亦绝念之穷冬。人或万事俱备，人或一事无成。我辈其青云直上，我辈其黄泉永坠。—《双城记》狄更斯 著，魏易 译
　　如今是一个人工智能兴起的年代，也是一个黑产猖獗的年代；是一个机器学习算法百花齐放的年代，也是一个隐私泄露、恶意代码传播、网络攻击肆虐的年代。AlphaGo碾压柯洁之后，不少人担心AI会抢了人类的工作，然而信息安全领域专业人才严重匮乏，极其需要AI来补充专业缺口。
　　兜哥的这本书展示了丰富多彩的机器学习算法在错综复杂的Web安全中的应用，是一本非常及时的人工智能在信息安全领域的入门读物。正如书中所述，没有最好的算法，只有最合适的算法。虽然这几年深度学习呼声很高，但各种机器学习算法依然在形形色色的应用场景中有着各自独特的价值，熟悉并用好这些算法在安全领域的实战中会起到重要的作用。
　　—Lenx，百度首席安全科学家，安全实验室负责人
　　存储和计算能力的爆发式增长，让我们获得了比以往更全面、更实时获取以及分析数据的潜在能力，但面对产生的海量信息，如何快速准确地将其转化为业务需求，则需要依赖一些非传统的手段。就安全领域来说，原先依赖于规则的问题解法过于受限于编写规则的安全专家自身知识领域的广度和深度，以及对于问题本质的理解能力。但我们都知道，安全漏洞层出不穷，攻击利用的方式多种多样，仅仅依赖于规则来发现问题在现阶段的威胁形势下慢慢变得捉襟见肘。面对威胁，企业安全人员需要打造这样一种能力，它能够让我们脱离单纯的点对点的竞争，case by case的对抗，转而从更高的维度上来审视业务，发现潜在的异常事件，而这些异常事件可能会作为安全人员深入调查的起点。这种能力能让我们找到原有安全能力盲区以及发现新威胁，促使我们的技能水平以及对威胁的响应速度持续提升。同时这种能力和防御体系结合，也有可能让我们在面对某些未知威胁时，达到以不变应万变、获得天然免疫的理想状态。兜哥的这本书或许是开启我们这种能力的一把钥匙。本书用通俗易懂的语言介绍了机器学习原理，结合实际企业中的安全业务需求场景，让广大安全人员能够感受到这种“如日中天”的技术在传统安全领域内如何大放异彩。最后，May the force be with you。
　　—王宇，蚂蚁金服安全总监
　　百度是拥有海量互联网数据的几家公司之一，兜哥是百度前IT安全负责人，现Web安全产品负责人，研发的产品不仅应用于百度公司内部检测网络攻击，也应用在多个百度的商业安全产品中，服务于数万站长。兜哥的团队是国内最早一批将机器学习算法应用于网络安全场景的团队之一，本书聚集了兜哥及其团队多年的安全实践经验，覆盖了互联网公司可能会遇到的多个安全场景， 比如用图算法检测WebShell等，非常好地解决了百度商业安全客户被入侵留后门的问题。兜哥将自己的技术选型、算法、代码倾囊相授，我相信本书的出版将会大大降低安全研发工程师转型安全数据分析专家的难度，值得推荐。
　　—黄正，百度安全实验室X-Team负责人，MSRC 2016中国区第一
　　伴随着互联网的爆炸式发展，网络安全已上升到国家战略层面，能直接看到效果的安全能力建设得到高度重视。与此同时，安全团队却又不得不面对百花齐放的业务场景、大规模的数据中心，以及愈加剧烈、复杂和不确定性的网络攻击。如何在传统攻防对抗之外寻找更有效、可落地的对抗方式，已成为各大企业安全团队思考的重点。所幸，近些年来，计算和存储资源已不再是安全团队的瓶颈，安全团队自身在工程能力上也已非昔日吴下阿蒙。机器学习成为近些年来安全领域里第一批从学术走向工业的应用方向，并已有很多阶段性的实践成果。很欣喜地看到兜哥一直在推进机器学习系列的文章并编写了此书。此书重点讲解了常见机器学习算法在不同场景下的潜在应用和实践，非常适合初学者入门。希望此书能够启发更多的同行继续实践和深耕机器学习应用这个方向，并给安全行业带来更多的反馈和讨论。
　　—程岩，京东安全首席架构师
　　网络安全是信息时代的重大挑战和核心课题之一，而机器学习是迄今为止人工智能大厦最坚实稳固的基石。本书从基本原理出发，通过实际案例深入介绍和分析机器学习技术和算法在网络安全领域的应用与实践，是一本不可多得的入门指南和参考手册。
　　—姚聪博士，北京旷视科技（Face++）有限公司高级研究员
　　 ---------------------------图书编号：7672768---------------------------
　　此亦笃信之年，此亦大惑之年。此亦多丽之阳春，此亦绝念之穷冬。人或万事俱备，人或一事无成。我辈其青云直上，我辈其黄泉永坠。—《双城记》狄更斯 著，魏易 译
　　如今是一个人工智能兴起的年代，也是一个黑产猖獗的年代；是一个机器学习算法百花齐放的年代，也是一个隐私泄露、恶意代码传播、网络攻击肆虐的年代。AlphaGo碾压柯洁之后，不少人担心AI会抢了人类的工作，然而信息安全领域专业人才严重匮乏，极其需要AI来补充专业缺口。
　　兜哥的这本书展示了丰富多彩的机器学习算法在错综复杂的Web安全中的应用，是一本非常及时的人工智能在信息安全领域的入门读物。正如书中所述，没有最好的算法，只有最合适的算法。虽然这几年深度学习呼声很高，但各种机器学习算法依然在形形色色的应用场景中有着各自独特的价值，熟悉并用好这些算法在安全领域的实战中会起到重要的作用。
　　——Lenx，百度首席安全科学家，安全实验室负责人
　　存储和计算能力的爆发式增长，让我们获得了比以往更全面、更实时获取以及分析数据的潜在能力，但面对产生的海量信息，如何快速准确地将其转化为业务需求，则需要依赖一些非传统的手段。就安全领域来说，原先依赖于规则的问题解法过于受限于编写规则的安全专家自身知识领域的广度和深度，以及对于问题本质的理解能力。但我们都知道，安全漏洞层出不穷，攻击利用的方式多种多样，仅仅依赖于规则来发现问题在现阶段的威胁形势下慢慢变得捉襟见肘。面对威胁，企业安全人员需要打造这样一种能力，它能够让我们脱离单纯的点对点的竞争，case by case的对抗，转而从更高的维度上来审视业务，发现潜在的异常事件，而这些异常事件可能会作为安全人员深入调查的起点。这种能力能让我们找到原有安全能力盲区以及发现新威胁，促使我们的技能水平以及对威胁的响应速度持续提升。同时这种能力和防御体系结合，也有可能让我们在面对某些未知威胁时，达到以不变应万变、获得天然免疫的理想状态。兜哥的这本书或许是开启我们这种能力的一把钥匙。本书用通俗易懂的语言介绍了机器学习原理，结合实际企业中的安全业务需求场景，让广大安全人员能够感受到这种“如日中天”的技术在传统安全领域内如何大放异彩。最后，May the force be with you。
　　——王宇，蚂蚁金服安全总监
　　百度是拥有海量互联网数据的几家公司之一，兜哥是百度前IT安全负责人，现Web安全产品负责人，研发的产品不仅应用于百度公司内部检测网络攻击，也应用在多个百度的商业安全产品中，服务于数万站长。兜哥的团队是国内最早一批将机器学习算法应用于网络安全场景的团队之一，本书聚集了兜哥及其团队多年的安全实践经验，覆盖了互联网公司可能会遇到的多个安全场景， 比如用图算法检测WebShell等，非常好地解决了百度商业安全客户被入侵留后门的问题。兜哥将自己的技术选型、算法、代码倾囊相授，我相信本书的出版将会大大降低安全研发工程师转型安全数据分析专家的难度，值得推荐。
　　——黄正，百度安全实验室X-Team负责人，MSRC 2016中国区第一
　　伴随着互联网的爆炸式发展，网络安全已上升到国家战略层面，能直接看到效果的安全能力建设得到高度重视。与此同时，安全团队却又不得不面对百花齐放的业务场景、大规模的数据中心，以及愈加剧烈、复杂和不确定性的网络攻击。如何在传统攻防对抗之外寻找更有效、可落地的对抗方式，已成为各大企业安全团队思考的重点。所幸，近些年来，计算和存储资源已不再是安全团队的瓶颈，安全团队自身在工程能力上也已非昔日吴下阿蒙。机器学习成为近些年来安全领域里第一批从学术走向工业的应用方向，并已有很多阶段性的实践成果。很欣喜地看到兜哥一直在推进机器学习系列的文章并编写了此书。此书重点讲解了常见机器学习算法在不同场景下的潜在应用和实践，非常适合初学者入门。希望此书能够启发更多的同行继续实践和深耕机器学习应用这个方向，并给安全行业带来更多的反馈和讨论。
　　——程岩，京东安全首席架构师
　　网络安全是信息时代的重大挑战和核心课题之一，而机器学习是迄今为止人工智能大厦最坚实稳固的基石。本书从基本原理出发，通过实际案例深入介绍和分析机器学习技术和算法在网络安全领域的应用与实践，是一本不可多得的入门指南和参考手册。
　　——姚聪博士，北京旷视科技（Face++）有限公司高级研究员