一、行業挑戰

近年來，網絡對抗日益激烈，高危漏洞數量不斷增長，在野漏洞利用不斷增多，2022年超過70%新增在野漏洞被攻擊者武器化利用。高級持續性威脅（APT）組織濫用合法基礎設施隱匿攻擊行為，變形繞過檢測成為常態。目前，攻擊手法日益復雜，已很難通過單一固定的專家規則來進行表征。面對當下復雜多變的網絡攻擊現狀，僅基于傳統規則或失陷指標（IOC）的檢測效果將大打折扣。

二、人工智能技術在安全領域的應用與挑戰

為解決前述挑戰，人工智能技術逐步被應用于安全領域，比如入侵檢測、垃圾郵件檢測、惡意軟件識別等領域。應用人工智能技術有助于識別新威脅，加強對未知逃逸攻擊的發現，還可提升檢測與響應效率，支撐平均檢測時間（MTTD）和平均響應時間（MTTR）等運營關鍵指標，快速應對不斷增加的在野漏洞利用。

但是，業界對于人工智能技術在安全領域的應用效果也一直存在爭論，其面臨的挑戰如下：

● 安全場景問題發散，基于已知有限樣本集無法預測未知的未知

人工智能算法本質是基于樣本抽象出特征，進而基于特征表征問題，然后再用于新數據進行推理判定。但安全領域中標注樣本少，安全問題多樣，僅基于已知樣本構建的人工智能算法模型難以表征所有攻擊場景。

● 通用人工智能安全算法模型不完全滿足所有應用場景，導致無效告警產生

通過安全算法模型可以發現更多的安全問題，但不同的客戶場景業務、網絡和資產屬性不盡相同，會導致通用模型檢出的告警中存在一定的無效告警或誤報，如果算法模型不能自適應優化，就需要安全分析人員重復研判分析，這將會大大增加運營成本。

● 人工智能算法模型檢出告警的可解釋性難以支撐安全人員處置威脅

只有告警的可解釋性足夠高，安全分析人員才能從事件描述中了解攻擊詳情，對威脅進行精準處置。基于專家規則或IOC檢出的告警可以展示安全屬性的命中字符或IOC碰撞結果，產品會高亮顯示攻擊載荷片段，解釋性較高。但人工智能算法模型自身缺乏透明度，若其檢出的告警描述僅呈現如報文大小、概率值等特征原始數值，將很難支撐安全人員進行告警處置。

三、我們的方案

安全態勢感知系統的本地檢測與分析框架提供多維度智能檢測分析能力，業務白模型、異常檢測模型、攻擊檢測模型、關聯模型和事件自動研判模型互相配合，結合規則、Threat Intelligence等已知檢測能力，共同構成一套具備場景化自適應能力的智能威脅檢測體系，經過多階段分層檢測，檢測結果逐步收斂，變得更加準確。此外，安全模型也會利用本地反饋信息自演進，同時可與云端安全智能中心對接，實現Threat Intelligence、人工智能算法模型、專家規則庫等能力的快速升級。

1、業務白模型

針對有限的正常業務行為建模，利用時間序列、無監督等模型構建業務基線形成主動防御模型。在無法窮舉安全問題背景下，基于正常識別異常，解決威脅數據少的問題，并且還可以避免由正常業務的使用命中了攻擊特征而導致的誤報，在缺少先驗知識的情況下，也能發現威脅。

2、檢測模型（異常檢測模型、攻擊檢測模型）

明確具體的待檢測場景，精細化檢測目標，基于攻擊技術打點。

異常檢測模型可基于流量異常（如請求頻次、響應時間和大小關系、周期性異常等）和行為異常（如時間、地點、訪問行為異常等）進行異常識別，持續感知未知威脅。攻擊檢測模型是基于對攻擊技術和真實數據的學習進行建模，從而檢測攻擊，結合業務模型和異常檢測模型檢出的結果將更加完整和精準。

華為HiSec Insight安全態勢感知系統涵蓋了攻擊鏈路檢測的全流程，囊括了信息搜集及準備、入口突破、持續控制、數據回傳等階段的30多種攻擊場景，包括了近20種基于智能技術的檢測算法。其涉及的關鍵技術有：

●語義分析引擎

語義分析引擎利用語義分析原理將繞過傳統規則檢測方法的攻擊還原，然后利用人工智能算法檢測進行告警，提升繞過檢測攻擊的檢出率以及告警描述的可解釋性。

●多維度檢測

檢測方案結合人工智能檢測、行為分析、專家規則、Threat Intelligence等不同檢測邏輯進行檢測，實現優勢互補。如C2流量檢測結合了網絡協議和加密兩個維度進行檢測，分別從應用層、傳輸層、網絡層以及內容和通道是否加密等維度，把IOC檢測、規則檢測和人工智能算法檢測逐層分解覆蓋，最大化檢出覆蓋度和準確度。

●本地自演進

不同客戶的環境和業務不同，通用模型無法解決客戶特定場景問題，檢測框架需要具備在本地環境中通過人工智能和反饋自主學習的能力，以逐步減少無效告警。

安全運營人員對告警進行配置和標記，如標注誤報、配置場景化的白規則、配置研判邏輯等，配置和標記的結果會反饋至檢測框架，檢測框架會結合本地資產、網絡等信息進行自演進。在經過一段時間的運營分析后，檢測框架會自演進并適應特定場景，無效告警和誤報告警數量將大大減少。

3、關聯模型

通過關聯引擎、圖譜技術等能力，關聯模型基于邏輯、統計、時序、資產、Threat Intelligence、攻擊鏈等場景將多來源日志進行關聯，生成優先級更高，取證信息更豐富的告警事件。這有助于識別有效攻擊，減少安全告警數量，幫助安全人員快速發現潛在風險。

4、事件自動研判

基于歷史事件處置結果、安全運營人員研判經驗，以及告警基礎信息、本地資產、網絡和業務屬性信息，構建事件自動研判模型，以實現事件自動研判處置、優先級調整以及攻擊是否有效的判定，降低人工運營成本。

案例說明

下圖展示的是一起現網攻擊案例，攻擊者利用某應用的文件上傳漏洞發起攻擊、植入webshell，進而進行挖礦和內部擴散。

針對該攻擊，首先，華為HiSec Insight安全態勢感知系統基于業務白模型基線算法在web日志中發現文件上傳接口的異常請求，該異常請求隨后被送往后端檢測模塊。然后，基于流量、主機日志的多種攻擊和異常檢測模型進行檢測，產生多種告警，進而提升告警事件的準確度和可解釋性。最后，告警關聯模型將多個告警關聯聚合生成威脅事件，自動化研判模型對所有告警和事件進行智能研判，自動進行處置或提供處置建議，提升告警處置效率。

四、結束語

人工智能技術是自主化、智能化安全不可或缺的關鍵技術，但也不是拿來即用的靈丹妙藥。問題的解決大都始于場景的理解、簡單方法的嘗試以及與專家經驗的結合，要將人工智能更好地應用于安全領域，需要我們對安全業務有深入的理解，對應用場景、攻擊技術和安全數據有更全面的認識，同時還需要我們基于實驗數據、攻防演練和現網環境對算法模型不斷進行驗證和迭代優化，建立一個能夠適應場景變化的智能系統。這是一項艱巨耗時且需要創新的工作，人工智能在安全領域的應用道阻且長，但行則將至。