安全態(tài)勢感知專家說第2期：人工智能技術(shù)在態(tài)勢感知的應(yīng)用

一、行業(yè)挑戰(zhàn)

近年來，網(wǎng)絡(luò)對抗日益激烈，高危漏洞數(shù)量不斷增長，在野漏洞利用不斷增多，2022年超過70%新增在野漏洞被攻擊者武器化利用。高級持續(xù)性威脅（APT）組織濫用合法基礎(chǔ)設(shè)施隱匿攻擊行為，變形繞過檢測成為常態(tài)。目前，攻擊手法日益復(fù)雜，已很難通過單一固定的專家規(guī)則來進行表征。面對當(dāng)下復(fù)雜多變的網(wǎng)絡(luò)攻擊現(xiàn)狀，僅基于傳統(tǒng)規(guī)則或失陷指標（IOC）的檢測效果將大打折扣。

二、人工智能技術(shù)在安全領(lǐng)域的應(yīng)用與挑戰(zhàn)

為解決前述挑戰(zhàn)，人工智能技術(shù)逐步被應(yīng)用于安全領(lǐng)域，比如入侵檢測、垃圾郵件檢測、惡意軟件識別等領(lǐng)域。應(yīng)用人工智能技術(shù)有助于識別新威脅，加強對未知逃逸攻擊的發(fā)現(xiàn)，還可提升檢測與響應(yīng)效率，支撐平均檢測時間（MTTD）和平均響應(yīng)時間（MTTR）等運營關(guān)鍵指標，快速應(yīng)對不斷增加的在野漏洞利用。

但是，業(yè)界對于人工智能技術(shù)在安全領(lǐng)域的應(yīng)用效果也一直存在爭論，其面臨的挑戰(zhàn)如下：

● 安全場景問題發(fā)散，基于已知有限樣本集無法預(yù)測未知的未知

人工智能算法本質(zhì)是基于樣本抽象出特征，進而基于特征表征問題，然后再用于新數(shù)據(jù)進行推理判定。但安全領(lǐng)域中標注樣本少，安全問題多樣，僅基于已知樣本構(gòu)建的人工智能算法模型難以表征所有攻擊場景。

● 通用人工智能安全算法模型不完全滿足所有應(yīng)用場景，導(dǎo)致無效告警產(chǎn)生

通過安全算法模型可以發(fā)現(xiàn)更多的安全問題，但不同的客戶場景業(yè)務(wù)、網(wǎng)絡(luò)和資產(chǎn)屬性不盡相同，會導(dǎo)致通用模型檢出的告警中存在一定的無效告警或誤報，如果算法模型不能自適應(yīng)優(yōu)化，就需要安全分析人員重復(fù)研判分析，這將會大大增加運營成本。

● 人工智能算法模型檢出告警的可解釋性難以支撐安全人員處置威脅

只有告警的可解釋性足夠高，安全分析人員才能從事件描述中了解攻擊詳情，對威脅進行精準處置?；趯＜乙?guī)則或IOC檢出的告警可以展示安全屬性的命中字符或IOC碰撞結(jié)果，產(chǎn)品會高亮顯示攻擊載荷片段，解釋性較高。但人工智能算法模型自身缺乏透明度，若其檢出的告警描述僅呈現(xiàn)如報文大小、概率值等特征原始數(shù)值，將很難支撐安全人員進行告警處置。

三、我們的方案

安全態(tài)勢感知系統(tǒng)的本地檢測與分析框架提供多維度智能檢測分析能力，業(yè)務(wù)白模型、異常檢測模型、攻擊檢測模型、關(guān)聯(lián)模型和事件自動研判模型互相配合，結(jié)合規(guī)則、Threat Intelligence等已知檢測能力，共同構(gòu)成一套具備場景化自適應(yīng)能力的智能威脅檢測體系，經(jīng)過多階段分層檢測，檢測結(jié)果逐步收斂，變得更加準確。此外，安全模型也會利用本地反饋信息自演進，同時可與云端安全智能中心對接，實現(xiàn)Threat Intelligence、人工智能算法模型、專家規(guī)則庫等能力的快速升級。

1、業(yè)務(wù)白模型

針對有限的正常業(yè)務(wù)行為建模，利用時間序列、無監(jiān)督等模型構(gòu)建業(yè)務(wù)基線形成主動防御模型。在無法窮舉安全問題背景下，基于正常識別異常，解決威脅數(shù)據(jù)少的問題，并且還可以避免由正常業(yè)務(wù)的使用命中了攻擊特征而導(dǎo)致的誤報，在缺少先驗知識的情況下，也能發(fā)現(xiàn)威脅。

2、檢測模型（異常檢測模型、攻擊檢測模型）

明確具體的待檢測場景，精細化檢測目標，基于攻擊技術(shù)打點。

異常檢測模型可基于流量異常（如請求頻次、響應(yīng)時間和大小關(guān)系、周期性異常等）和行為異常（如時間、地點、訪問行為異常等）進行異常識別，持續(xù)感知未知威脅。攻擊檢測模型是基于對攻擊技術(shù)和真實數(shù)據(jù)的學(xué)習(xí)進行建模，從而檢測攻擊，結(jié)合業(yè)務(wù)模型和異常檢測模型檢出的結(jié)果將更加完整和精準。

華為HiSec Insight安全態(tài)勢感知系統(tǒng)涵蓋了攻擊鏈路檢測的全流程，囊括了信息搜集及準備、入口突破、持續(xù)控制、數(shù)據(jù)回傳等階段的30多種攻擊場景，包括了近20種基于智能技術(shù)的檢測算法。其涉及的關(guān)鍵技術(shù)有：

●語義分析引擎

語義分析引擎利用語義分析原理將繞過傳統(tǒng)規(guī)則檢測方法的攻擊還原，然后利用人工智能算法檢測進行告警，提升繞過檢測攻擊的檢出率以及告警描述的可解釋性。

●多維度檢測

檢測方案結(jié)合人工智能檢測、行為分析、專家規(guī)則、Threat Intelligence等不同檢測邏輯進行檢測，實現(xiàn)優(yōu)勢互補。如C2流量檢測結(jié)合了網(wǎng)絡(luò)協(xié)議和加密兩個維度進行檢測，分別從應(yīng)用層、傳輸層、網(wǎng)絡(luò)層以及內(nèi)容和通道是否加密等維度，把IOC檢測、規(guī)則檢測和人工智能算法檢測逐層分解覆蓋，最大化檢出覆蓋度和準確度。

●本地自演進

不同客戶的環(huán)境和業(yè)務(wù)不同，通用模型無法解決客戶特定場景問題，檢測框架需要具備在本地環(huán)境中通過人工智能和反饋自主學(xué)習(xí)的能力，以逐步減少無效告警。

安全運營人員對告警進行配置和標記，如標注誤報、配置場景化的白規(guī)則、配置研判邏輯等，配置和標記的結(jié)果會反饋至檢測框架，檢測框架會結(jié)合本地資產(chǎn)、網(wǎng)絡(luò)等信息進行自演進。在經(jīng)過一段時間的運營分析后，檢測框架會自演進并適應(yīng)特定場景，無效告警和誤報告警數(shù)量將大大減少。

3、關(guān)聯(lián)模型

通過關(guān)聯(lián)引擎、圖譜技術(shù)等能力，關(guān)聯(lián)模型基于邏輯、統(tǒng)計、時序、資產(chǎn)、Threat Intelligence、攻擊鏈等場景將多來源日志進行關(guān)聯(lián)，生成優(yōu)先級更高，取證信息更豐富的告警事件。這有助于識別有效攻擊，減少安全告警數(shù)量，幫助安全人員快速發(fā)現(xiàn)潛在風(fēng)險。

4、事件自動研判

基于歷史事件處置結(jié)果、安全運營人員研判經(jīng)驗，以及告警基礎(chǔ)信息、本地資產(chǎn)、網(wǎng)絡(luò)和業(yè)務(wù)屬性信息，構(gòu)建事件自動研判模型，以實現(xiàn)事件自動研判處置、優(yōu)先級調(diào)整以及攻擊是否有效的判定，降低人工運營成本。

案例說明

下圖展示的是一起現(xiàn)網(wǎng)攻擊案例，攻擊者利用某應(yīng)用的文件上傳漏洞發(fā)起攻擊、植入webshell，進而進行挖礦和內(nèi)部擴散。

針對該攻擊，首先，華為HiSec Insight安全態(tài)勢感知系統(tǒng)基于業(yè)務(wù)白模型基線算法在web日志中發(fā)現(xiàn)文件上傳接口的異常請求，該異常請求隨后被送往后端檢測模塊。然后，基于流量、主機日志的多種攻擊和異常檢測模型進行檢測，產(chǎn)生多種告警，進而提升告警事件的準確度和可解釋性。最后，告警關(guān)聯(lián)模型將多個告警關(guān)聯(lián)聚合生成威脅事件，自動化研判模型對所有告警和事件進行智能研判，自動進行處置或提供處置建議，提升告警處置效率。

四、結(jié)束語

人工智能技術(shù)是自主化、智能化安全不可或缺的關(guān)鍵技術(shù)，但也不是拿來即用的靈丹妙藥。問題的解決大都始于場景的理解、簡單方法的嘗試以及與專家經(jīng)驗的結(jié)合，要將人工智能更好地應(yīng)用于安全領(lǐng)域，需要我們對安全業(yè)務(wù)有深入的理解，對應(yīng)用場景、攻擊技術(shù)和安全數(shù)據(jù)有更全面的認識，同時還需要我們基于實驗數(shù)據(jù)、攻防演練和現(xiàn)網(wǎng)環(huán)境對算法模型不斷進行驗證和迭代優(yōu)化，建立一個能夠適應(yīng)場景變化的智能系統(tǒng)。這是一項艱巨耗時且需要創(chuàng)新的工作，人工智能在安全領(lǐng)域的應(yīng)用道阻且長，但行則將至。