安全態(tài)勢(shì)感知專(zhuān)家說(shuō)第2期：人工智能技術(shù)在態(tài)勢(shì)感知的應(yīng)用

一、行業(yè)挑戰(zhàn)

近年來(lái)，網(wǎng)絡(luò)對(duì)抗日益激烈，高危漏洞數(shù)量不斷增長(zhǎng)，在野漏洞利用不斷增多，2022年超過(guò)70%新增在野漏洞被攻擊者武器化利用。高級(jí)持續(xù)性威脅（APT）組織濫用合法基礎(chǔ)設(shè)施隱匿攻擊行為，變形繞過(guò)檢測(cè)成為常態(tài)。目前，攻擊手法日益復(fù)雜，已很難通過(guò)單一固定的專(zhuān)家規(guī)則來(lái)進(jìn)行表征。面對(duì)當(dāng)下復(fù)雜多變的網(wǎng)絡(luò)攻擊現(xiàn)狀，僅基于傳統(tǒng)規(guī)則或失陷指標(biāo)（IOC）的檢測(cè)效果將大打折扣。

二、人工智能技術(shù)在安全領(lǐng)域的應(yīng)用與挑戰(zhàn)

為解決前述挑戰(zhàn)，人工智能技術(shù)逐步被應(yīng)用于安全領(lǐng)域，比如入侵檢測(cè)、垃圾郵件檢測(cè)、惡意軟件識(shí)別等領(lǐng)域。應(yīng)用人工智能技術(shù)有助于識(shí)別新威脅，加強(qiáng)對(duì)未知逃逸攻擊的發(fā)現(xiàn)，還可提升檢測(cè)與響應(yīng)效率，支撐平均檢測(cè)時(shí)間（MTTD）和平均響應(yīng)時(shí)間（MTTR）等運(yùn)營(yíng)關(guān)鍵指標(biāo)，快速應(yīng)對(duì)不斷增加的在野漏洞利用。

但是，業(yè)界對(duì)于人工智能技術(shù)在安全領(lǐng)域的應(yīng)用效果也一直存在爭(zhēng)論，其面臨的挑戰(zhàn)如下：

● 安全場(chǎng)景問(wèn)題發(fā)散，基于已知有限樣本集無(wú)法預(yù)測(cè)未知的未知

人工智能算法本質(zhì)是基于樣本抽象出特征，進(jìn)而基于特征表征問(wèn)題，然后再用于新數(shù)據(jù)進(jìn)行推理判定。但安全領(lǐng)域中標(biāo)注樣本少，安全問(wèn)題多樣，僅基于已知樣本構(gòu)建的人工智能算法模型難以表征所有攻擊場(chǎng)景。

● 通用人工智能安全算法模型不完全滿(mǎn)足所有應(yīng)用場(chǎng)景，導(dǎo)致無(wú)效告警產(chǎn)生

通過(guò)安全算法模型可以發(fā)現(xiàn)更多的安全問(wèn)題，但不同的客戶(hù)場(chǎng)景業(yè)務(wù)、網(wǎng)絡(luò)和資產(chǎn)屬性不盡相同，會(huì)導(dǎo)致通用模型檢出的告警中存在一定的無(wú)效告警或誤報(bào)，如果算法模型不能自適應(yīng)優(yōu)化，就需要安全分析人員重復(fù)研判分析，這將會(huì)大大增加運(yùn)營(yíng)成本。

● 人工智能算法模型檢出告警的可解釋性難以支撐安全人員處置威脅

只有告警的可解釋性足夠高，安全分析人員才能從事件描述中了解攻擊詳情，對(duì)威脅進(jìn)行精準(zhǔn)處置。基于專(zhuān)家規(guī)則或IOC檢出的告警可以展示安全屬性的命中字符或IOC碰撞結(jié)果，產(chǎn)品會(huì)高亮顯示攻擊載荷片段，解釋性較高。但人工智能算法模型自身缺乏透明度，若其檢出的告警描述僅呈現(xiàn)如報(bào)文大小、概率值等特征原始數(shù)值，將很難支撐安全人員進(jìn)行告警處置。

三、我們的方案

安全態(tài)勢(shì)感知系統(tǒng)的本地檢測(cè)與分析框架提供多維度智能檢測(cè)分析能力，業(yè)務(wù)白模型、異常檢測(cè)模型、攻擊檢測(cè)模型、關(guān)聯(lián)模型和事件自動(dòng)研判模型互相配合，結(jié)合規(guī)則、Threat Intelligence等已知檢測(cè)能力，共同構(gòu)成一套具備場(chǎng)景化自適應(yīng)能力的智能威脅檢測(cè)體系，經(jīng)過(guò)多階段分層檢測(cè)，檢測(cè)結(jié)果逐步收斂，變得更加準(zhǔn)確。此外，安全模型也會(huì)利用本地反饋信息自演進(jìn)，同時(shí)可與云端安全智能中心對(duì)接，實(shí)現(xiàn)Threat Intelligence、人工智能算法模型、專(zhuān)家規(guī)則庫(kù)等能力的快速升級(jí)。

1、業(yè)務(wù)白模型

針對(duì)有限的正常業(yè)務(wù)行為建模，利用時(shí)間序列、無(wú)監(jiān)督等模型構(gòu)建業(yè)務(wù)基線形成主動(dòng)防御模型。在無(wú)法窮舉安全問(wèn)題背景下，基于正常識(shí)別異常，解決威脅數(shù)據(jù)少的問(wèn)題，并且還可以避免由正常業(yè)務(wù)的使用命中了攻擊特征而導(dǎo)致的誤報(bào)，在缺少先驗(yàn)知識(shí)的情況下，也能發(fā)現(xiàn)威脅。

2、檢測(cè)模型（異常檢測(cè)模型、攻擊檢測(cè)模型）

明確具體的待檢測(cè)場(chǎng)景，精細(xì)化檢測(cè)目標(biāo)，基于攻擊技術(shù)打點(diǎn)。

異常檢測(cè)模型可基于流量異常（如請(qǐng)求頻次、響應(yīng)時(shí)間和大小關(guān)系、周期性異常等）和行為異常（如時(shí)間、地點(diǎn)、訪問(wèn)行為異常等）進(jìn)行異常識(shí)別，持續(xù)感知未知威脅。攻擊檢測(cè)模型是基于對(duì)攻擊技術(shù)和真實(shí)數(shù)據(jù)的學(xué)習(xí)進(jìn)行建模，從而檢測(cè)攻擊，結(jié)合業(yè)務(wù)模型和異常檢測(cè)模型檢出的結(jié)果將更加完整和精準(zhǔn)。

華為HiSec Insight安全態(tài)勢(shì)感知系統(tǒng)涵蓋了攻擊鏈路檢測(cè)的全流程，囊括了信息搜集及準(zhǔn)備、入口突破、持續(xù)控制、數(shù)據(jù)回傳等階段的30多種攻擊場(chǎng)景，包括了近20種基于智能技術(shù)的檢測(cè)算法。其涉及的關(guān)鍵技術(shù)有：

●語(yǔ)義分析引擎

語(yǔ)義分析引擎利用語(yǔ)義分析原理將繞過(guò)傳統(tǒng)規(guī)則檢測(cè)方法的攻擊還原，然后利用人工智能算法檢測(cè)進(jìn)行告警，提升繞過(guò)檢測(cè)攻擊的檢出率以及告警描述的可解釋性。

●多維度檢測(cè)

檢測(cè)方案結(jié)合人工智能檢測(cè)、行為分析、專(zhuān)家規(guī)則、Threat Intelligence等不同檢測(cè)邏輯進(jìn)行檢測(cè)，實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)。如C2流量檢測(cè)結(jié)合了網(wǎng)絡(luò)協(xié)議和加密兩個(gè)維度進(jìn)行檢測(cè)，分別從應(yīng)用層、傳輸層、網(wǎng)絡(luò)層以及內(nèi)容和通道是否加密等維度，把IOC檢測(cè)、規(guī)則檢測(cè)和人工智能算法檢測(cè)逐層分解覆蓋，最大化檢出覆蓋度和準(zhǔn)確度。

●本地自演進(jìn)

不同客戶(hù)的環(huán)境和業(yè)務(wù)不同，通用模型無(wú)法解決客戶(hù)特定場(chǎng)景問(wèn)題，檢測(cè)框架需要具備在本地環(huán)境中通過(guò)人工智能和反饋?zhàn)灾鲗W(xué)習(xí)的能力，以逐步減少無(wú)效告警。

安全運(yùn)營(yíng)人員對(duì)告警進(jìn)行配置和標(biāo)記，如標(biāo)注誤報(bào)、配置場(chǎng)景化的白規(guī)則、配置研判邏輯等，配置和標(biāo)記的結(jié)果會(huì)反饋至檢測(cè)框架，檢測(cè)框架會(huì)結(jié)合本地資產(chǎn)、網(wǎng)絡(luò)等信息進(jìn)行自演進(jìn)。在經(jīng)過(guò)一段時(shí)間的運(yùn)營(yíng)分析后，檢測(cè)框架會(huì)自演進(jìn)并適應(yīng)特定場(chǎng)景，無(wú)效告警和誤報(bào)告警數(shù)量將大大減少。

3、關(guān)聯(lián)模型

通過(guò)關(guān)聯(lián)引擎、圖譜技術(shù)等能力，關(guān)聯(lián)模型基于邏輯、統(tǒng)計(jì)、時(shí)序、資產(chǎn)、Threat Intelligence、攻擊鏈等場(chǎng)景將多來(lái)源日志進(jìn)行關(guān)聯(lián)，生成優(yōu)先級(jí)更高，取證信息更豐富的告警事件。這有助于識(shí)別有效攻擊，減少安全告警數(shù)量，幫助安全人員快速發(fā)現(xiàn)潛在風(fēng)險(xiǎn)。

4、事件自動(dòng)研判

基于歷史事件處置結(jié)果、安全運(yùn)營(yíng)人員研判經(jīng)驗(yàn)，以及告警基礎(chǔ)信息、本地資產(chǎn)、網(wǎng)絡(luò)和業(yè)務(wù)屬性信息，構(gòu)建事件自動(dòng)研判模型，以實(shí)現(xiàn)事件自動(dòng)研判處置、優(yōu)先級(jí)調(diào)整以及攻擊是否有效的判定，降低人工運(yùn)營(yíng)成本。

案例說(shuō)明

下圖展示的是一起現(xiàn)網(wǎng)攻擊案例，攻擊者利用某應(yīng)用的文件上傳漏洞發(fā)起攻擊、植入webshell，進(jìn)而進(jìn)行挖礦和內(nèi)部擴(kuò)散。

針對(duì)該攻擊，首先，華為HiSec Insight安全態(tài)勢(shì)感知系統(tǒng)基于業(yè)務(wù)白模型基線算法在web日志中發(fā)現(xiàn)文件上傳接口的異常請(qǐng)求，該異常請(qǐng)求隨后被送往后端檢測(cè)模塊。然后，基于流量、主機(jī)日志的多種攻擊和異常檢測(cè)模型進(jìn)行檢測(cè)，產(chǎn)生多種告警，進(jìn)而提升告警事件的準(zhǔn)確度和可解釋性。最后，告警關(guān)聯(lián)模型將多個(gè)告警關(guān)聯(lián)聚合生成威脅事件，自動(dòng)化研判模型對(duì)所有告警和事件進(jìn)行智能研判，自動(dòng)進(jìn)行處置或提供處置建議，提升告警處置效率。

四、結(jié)束語(yǔ)

人工智能技術(shù)是自主化、智能化安全不可或缺的關(guān)鍵技術(shù)，但也不是拿來(lái)即用的靈丹妙藥。問(wèn)題的解決大都始于場(chǎng)景的理解、簡(jiǎn)單方法的嘗試以及與專(zhuān)家經(jīng)驗(yàn)的結(jié)合，要將人工智能更好地應(yīng)用于安全領(lǐng)域，需要我們對(duì)安全業(yè)務(wù)有深入的理解，對(duì)應(yīng)用場(chǎng)景、攻擊技術(shù)和安全數(shù)據(jù)有更全面的認(rèn)識(shí)，同時(shí)還需要我們基于實(shí)驗(yàn)數(shù)據(jù)、攻防演練和現(xiàn)網(wǎng)環(huán)境對(duì)算法模型不斷進(jìn)行驗(yàn)證和迭代優(yōu)化，建立一個(gè)能夠適應(yīng)場(chǎng)景變化的智能系統(tǒng)。這是一項(xiàng)艱巨耗時(shí)且需要?jiǎng)?chuàng)新的工作，人工智能在安全領(lǐng)域的應(yīng)用道阻且長(zhǎng)，但行則將至。