0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

安全态势感知专家说第2期:人工智能技术在态势感知的应用

华为数据通信 来源:未知 2023-01-10 19:55 次阅读

5410730c-90dd-11ed-bfe3-dac502259ad0.jpg

一、行业挑战

近年来,网络对抗日益激烈,高危漏洞数量不断增长,在野漏洞利用不断增多,2022年超过70%新增在野漏洞被攻击者武器化利用。高级持续性威胁(APT)组织滥用合法基础设施隐匿攻击行为,变形绕过检测成为常态。目前,攻击手法日益复杂,已很难通过单一固定的专家规则来进行表征。面对当下复杂多变的网络攻击现状,仅基于传统规则或失陷指标(IOC)的检测效果将大打折扣。

二、人工智能技术在安全领域的应用与挑战

为解决前述挑战,人工智能技术逐步被应用于安全领域,比如入侵检测、垃圾邮件检测、恶意软件识别等领域。应用人工智能技术有助于识别新威胁,加强对未知逃逸攻击的发现,还可提升检测与响应效率,支撑平均检测时间(MTTD)和平均响应时间(MTTR)等运营关键指标,快速应对不断增加的在野漏洞利用。

但是,业界对于人工智能技术在安全领域的应用效果也一直存在争论,其面临的挑战如下:

● 安全场景问题发散,基于已知有限样本集无法预测未知的未知

人工智能算法本质是基于样本抽象出特征,进而基于特征表征问题,然后再用于新数据进行推理判定。但安全领域中标注样本少,安全问题多样,仅基于已知样本构建的人工智能算法模型难以表征所有攻击场景。

● 通用人工智能安全算法模型不完全满足所有应用场景,导致无效告警产生

通过安全算法模型可以发现更多的安全问题,但不同的客户场景业务、网络和资产属性不尽相同,会导致通用模型检出的告警中存在一定的无效告警或误报,如果算法模型不能自适应优化,就需要安全分析人员重复研判分析,这将会大大增加运营成本。

● 人工智能算法模型检出告警的可解释性难以支撑安全人员处置威胁

只有告警的可解释性足够高,安全分析人员才能从事件描述中了解攻击详情,对威胁进行精准处置。基于专家规则或IOC检出的告警可以展示安全属性的命中字符或IOC碰撞结果,产品会高亮显示攻击载荷片段,解释性较高。但人工智能算法模型自身缺乏透明度,若其检出的告警描述仅呈现如报文大小、概率值等特征原始数值,将很难支撑安全人员进行告警处置。

三、我们的方案

541e1fca-90dd-11ed-bfe3-dac502259ad0.png

安全态势感知系统的本地检测与分析框架提供多维度智能检测分析能力,业务白模型、异常检测模型、攻击检测模型、关联模型和事件自动研判模型互相配合,结合规则、Threat Intelligence等已知检测能力,共同构成一套具备场景化自适应能力的智能威胁检测体系,经过多阶段分层检测,检测结果逐步收敛,变得更加准确。此外,安全模型也会利用本地反馈信息自演进,同时可与云端安全智能中心对接,实现Threat Intelligence、人工智能算法模型、专家规则库等能力的快速升级。

1、业务白模型

针对有限的正常业务行为建模,利用时间序列、无监督等模型构建业务基线形成主动防御模型。在无法穷举安全问题背景下,基于正常识别异常,解决威胁数据少的问题,并且还可以避免由正常业务的使用命中了攻击特征而导致的误报,在缺少先验知识的情况下,也能发现威胁。

2、检测模型(异常检测模型、攻击检测模型)

明确具体的待检测场景,精细化检测目标,基于攻击技术打点。

异常检测模型可基于流量异常(如请求频次、响应时间和大小关系、周期性异常等)和行为异常(如时间、地点、访问行为异常等)进行异常识别,持续感知未知威胁。攻击检测模型是基于对攻击技术和真实数据的学习进行建模,从而检测攻击,结合业务模型和异常检测模型检出的结果将更加完整和精准。

华为HiSec Insight安全态势感知系统涵盖了攻击链路检测的全流程,囊括了信息搜集及准备、入口突破、持续控制、数据回传等阶段的30多种攻击场景,包括了近20种基于智能技术的检测算法。其涉及的关键技术有:

语义分析引擎

语义分析引擎利用语义分析原理将绕过传统规则检测方法的攻击还原,然后利用人工智能算法检测进行告警,提升绕过检测攻击的检出率以及告警描述的可解释性。

543aa2d0-90dd-11ed-bfe3-dac502259ad0.png

多维度检测

检测方案结合人工智能检测、行为分析、专家规则、Threat Intelligence等不同检测逻辑进行检测,实现优势互补。如C2流量检测结合了网络协议和加密两个维度进行检测,分别从应用层、传输层、网络层以及内容和通道是否加密等维度,把IOC检测、规则检测和人工智能算法检测逐层分解覆盖,最大化检出覆盖度和准确度。

本地自演进

不同客户的环境和业务不同,通用模型无法解决客户特定场景问题,检测框架需要具备在本地环境中通过人工智能和反馈自主学习的能力,以逐步减少无效告警。

安全运营人员对告警进行配置和标记,如标注误报、配置场景化的白规则、配置研判逻辑等,配置和标记的结果会反馈至检测框架,检测框架会结合本地资产、网络等信息进行自演进。在经过一段时间的运营分析后,检测框架会自演进并适应特定场景,无效告警和误报告警数量将大大减少。

3、关联模型

通过关联引擎、图谱技术等能力,关联模型基于逻辑、统计、时序、资产、Threat Intelligence、攻击链等场景将多来源日志进行关联,生成优先级更高,取证信息更丰富的告警事件。这有助于识别有效攻击,减少安全告警数量,帮助安全人员快速发现潜在风险。

4、事件自动研判

基于历史事件处置结果、安全运营人员研判经验,以及告警基础信息、本地资产、网络和业务属性信息,构建事件自动研判模型,以实现事件自动研判处置、优先级调整以及攻击是否有效的判定,降低人工运营成本。

案例说明

下图展示的是一起现网攻击案例,攻击者利用某应用的文件上传漏洞发起攻击、植入webshell,进而进行挖矿和内部扩散。

54465486-90dd-11ed-bfe3-dac502259ad0.png

针对该攻击,首先,华为HiSec Insight安全态势感知系统基于业务白模型基线算法在web日志中发现文件上传接口的异常请求,该异常请求随后被送往后端检测模块。然后,基于流量、主机日志的多种攻击和异常检测模型进行检测,产生多种告警,进而提升告警事件的准确度和可解释性。最后,告警关联模型将多个告警关联聚合生成威胁事件,自动化研判模型对所有告警和事件进行智能研判,自动进行处置或提供处置建议,提升告警处置效率。

四、结束语

人工智能技术是自主化、智能化安全不可或缺的关键技术,但也不是拿来即用的灵丹妙药。问题的解决大都始于场景的理解、简单方法的尝试以及与专家经验的结合,要将人工智能更好地应用于安全领域,需要我们对安全业务有深入的理解,对应用场景、攻击技术和安全数据有更全面的认识,同时还需要我们基于实验数据、攻防演练和现网环境对算法模型不断进行验证和迭代优化,建立一个能够适应场景变化的智能系统。这是一项艰巨耗时且需要创新的工作,人工智能在安全领域的应用道阻且长,但行则将至。


原文标题:安全态势感知专家说第2期:人工智能技术在态势感知的应用

文章出处:【微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 华为
    +关注

    关注

    216

    文章

    34435

    浏览量

    251724

原文标题:安全态势感知专家说第2期:人工智能技术在态势感知的应用

文章出处:【微信号:Huawei_Fixed,微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    嵌入式和人工智能究竟是什么关系?

    了重要作用。未来,随着嵌入式系统和人工智能技术的不断进步,我们可以预见更多创新应用的出现,为社会发展和生活品质的提升带来更多可能性。
    发表于 11-14 16:39

    未来智慧建筑:人工智能技术的无限可能

    随着科技的不断发展,人工智能技术正逐渐渗透到各行各业,其中,智能建筑领域的应用备受瞩目。智能建筑结合了传统建筑与先进科技的完美融合,提高
    的头像 发表于 10-17 14:07 250次阅读

    《AI for Science:人工智能驱动科学创新》6章人AI与能源科学读后感

    幸得一好书,特此来分享。感谢平台,感谢作者。受益匪浅。 阅读《AI for Science:人工智能驱动科学创新》的6章后,我深刻感受到人工智能在能源科学领域中的巨大潜力和广泛应
    发表于 10-14 09:27

    AI for Science:人工智能驱动科学创新》4章-AI与生命科学读后感

    很幸运社区给我一个阅读此书的机会,感谢平台。 《AI for Science:人工智能驱动科学创新》4章关于AI与生命科学的部分,为我们揭示了人工智能技术在生命科学领域中的广泛应用和深远影响。
    发表于 10-14 09:21

    risc-v人工智能图像处理应用前景分析

    RISC-V和Arm内核及其定制的机器学习和浮点运算单元,用于处理复杂的人工智能图像处理任务。 四、未来发展趋势 随着人工智能技术的不断发展和普及,RISC-V人工智能图像处理领域的
    发表于 09-28 11:00

    名单公布!【书籍评测活动NO.44】AI for Science:人工智能驱动科学创新

    大力发展AI for Science的原因。 2章从科学研究底层的理论模式与主要困境,以及人工智能三要素(数据、算法、算力)出发,对AI for Science的技术支撑进行解读。
    发表于 09-09 13:54

    FPGA人工智能中的应用有哪些?

    定制化的硬件设计,提高了硬件的灵活性和适应性。 综上所述,FPGA人工智能领域的应用前景广阔,不仅可以用于深度学习的加速和云计算的加速,还可以针对特定应用场景进行定制化计算,为人工智能技术的发展提供有力支持。
    发表于 07-29 17:05

    又一家人工智能企业成功IPO,核心技术涉及感知、理解、执行

    流程。主要服务于城市管理及行政、汽车及交通、通信、金融以及教育、医疗健康、电商及零售等行业。   核心技术涉及感知、理解、执行                                   声通科技核心技术包括交互式
    的头像 发表于 07-17 00:16 3095次阅读

    华为政务HiSec Insight安全态势感知系统促进网络安全产业发展

    Insight安全态势感知系统以出色的创新能力、领先的技术成熟度及强大的复制推广能力,从200多个参赛作品中脱颖而出,在数字城市安全运营的
    的头像 发表于 06-29 11:00 803次阅读
    华为政务HiSec Insight<b class='flag-5'>安全</b><b class='flag-5'>态势</b><b class='flag-5'>感知</b>系统促进网络<b class='flag-5'>安全</b>产业发展

    影响国家安全的十大新兴技术感知技术

    来源:远望智库开源情报中心,谢谢 编辑:感知芯视界 Link 近日,美Booz Allen Hamilton咨询公司发布研究报告,提出影响国家安全的十大新兴技术,主要包括: 1.用于人工智能
    的头像 发表于 05-20 09:23 372次阅读

    态势数据可视化技术有哪些

    智慧华盛恒辉态势数据可视化技术是一种将复杂、动态的态势数据以直观、易于理解的方式展现出来的技术手段。以下是几种主要的态势数据可视化
    的头像 发表于 04-22 15:17 404次阅读

    知语云全景监测技术:现代安全防护的全面解决方案

    是一种先进的安全防护手段,它集成了大数据分析、人工智能、云计算等尖端技术,能够实时监测网络环境中的各种安全风险,为企业和个人的数据安全提供坚
    发表于 02-23 16:40

    生成式人工智能感知人工智能的区别

    生成式人工智能感知人工智能人工智能领域中两种重要的研究方向。本文将探讨这两种人工智能的区别。 生成式
    的头像 发表于 02-19 16:43 1755次阅读

    人工智能技术的优势有哪些

    人工智能技术的优势
    的头像 发表于 01-19 15:58 3128次阅读

    基于多任务优化和人工智能赋能态势感知技术

    随着作战任务和系统的复杂性不断增加,正确的时间做出正确的作战决策需要 (1) 实时态势感知,以及 (2) 提供自动建议的决策支持系统。这两项功能是作战任务管理系统 (MMS) 的核心
    的头像 发表于 01-18 15:22 655次阅读