高級持續(xù)性威脅因其形式多變、持久化、對抗性強及隱蔽性強的特點使得企業(yè)的安全防護所面臨的挑戰(zhàn)愈加嚴峻，但任何事情都具有兩面性，它在為企業(yè)帶來巨大安全風險的同時，也催生出了很多新型防護技術，人工智能的應用就是其中之一。

　　北京金睛云華科技有限公司

　　技術總監(jiān)  富吉祥

　　現(xiàn)代社會，人工智能的廣泛應用已經不再是什么新鮮事了，它為“危機四伏”的網(wǎng)絡安全環(huán)境帶來了新的防護手段，而且最直接的優(yōu)點之一就是解放了勞動力，對于網(wǎng)絡安全運營團隊來說，人工智能的引入讓他們在面多枯燥繁雜的數(shù)據(jù)告警壓力時看到了新的希望。但理論的誕生到技術的落地是一個充滿荊棘的過程，尤其對于存在情報竊取、網(wǎng)絡攻擊即服務和勒索軟件攻擊等嚴峻威脅的高級威脅防護領域，任何監(jiān)測上的紕漏都可能會對企業(yè)造成無法挽回的傷害，對于一些國家關鍵信息基礎設施建設企業(yè)和監(jiān)管部門來說，更是不能有絲毫馬虎。人工智能在高級威脅防護領域的實踐與落地始終備受關注。因此，本期牛人訪談我們邀請到了北京金睛云華科技有限公司（以下簡稱“金睛云華”）的技術總監(jiān)富吉祥，針對高級威脅防護技術的發(fā)展情況，尤其是人工智能在該領域的實際應用方向和具體應用能力，以及其未來的發(fā)展展望進行了詳細的解讀，以下是訪談內容：

　　安全牛

　　您認為行業(yè)內高級威脅檢測技術發(fā)展歷程如何？現(xiàn)階段是一個怎樣的狀態(tài)？

　　富吉祥：

　　從高級威脅檢測產品上來看，行業(yè)內從關注入侵檢測系統(tǒng)IDS到基于全流量分析的NTA/NDR，再到最近比較“熱”的XDR，即將EDR、NDR和MDR等系統(tǒng)結合到統(tǒng)一平臺上的這樣的變化。檢測技術也從關注特征檢測轉變到了行為分析檢測，并且業(yè)內對于高級威脅攻擊的過程和技戰(zhàn)術手段的關注也在不斷增加。

　　防火墻、殺軟和IDS這“老三樣”是最初特征檢測階段最常用的工具，而發(fā)展到現(xiàn)如今對行為分析檢測更加關注之后，全流量分析產品也開始融入智能行為分析技術，比如可以采用自動化沙箱技術來分析惡意文件的主機和網(wǎng)絡行為，然后再對行為結果進行智能分析研判?？梢詫W(wǎng)絡中的惡意或異常流量進行行為建模，通過行為模式分析發(fā)現(xiàn)網(wǎng)絡安全風險。

　　安全牛

　　高級威脅檢測系統(tǒng)與傳統(tǒng)的威脅檢測產品相比技術難點有哪些？

　　富吉祥：

　　APT等高級威脅通常是一個長期連續(xù)的事件過程，從入侵到橫向移動，再到獲取目標數(shù)據(jù)會涉及到多種攻擊的組合。在現(xiàn)在復雜的網(wǎng)絡流量環(huán)境中，IDS類產品的告警數(shù)量非常多，它會識別到上述攻擊流程的部分攻擊事件并進行告警，但無法識別一些新型的、變種后的網(wǎng)絡攻擊，同時也無法對上述整個攻擊過程中的事件進行綜合分析研判，需要耗費安全運營團隊的大量時間在海量告警中挖掘。這是APT高級威脅檢測產品相對于傳統(tǒng)威脅檢測產品要解決的難點。

　　與此同時，如何在海量網(wǎng)絡數(shù)據(jù)中發(fā)現(xiàn)威脅線索、特別是特征檢測技術不能發(fā)現(xiàn)的高級威脅，如0day/Nday漏洞攻擊、惡意的加密流量、變種樣本或新產生的惡意文件也是APT威脅檢測產品的技術難點所在。解決這一難點的方法可以利用沙箱的惡意文件行為分析技術及基于人工智能的威脅行為分析技術。

　　沙箱可以理解為設備上的一個虛擬操作系統(tǒng)環(huán)境，其中內置了office、Adobe等軟件環(huán)境，當文件進入沙箱之后，首先會掃描文件的靜態(tài)構成，然后會在虛擬環(huán)境中去運行這一文件，運行之后就會產生本地行為，比如修改了系統(tǒng)文件或啟動了某項進程等，然后沙箱會根據(jù)這些行為來判斷是否是惡意行為，判定出相應的威脅程度；另外這個文件在虛擬環(huán)境中，還可能出現(xiàn)外聯(lián)互聯(lián)網(wǎng)的行為，外聯(lián)流量會被送入流量監(jiān)測引擎進行研判，如是否命中了惡意域名的黑名單等，最后沙箱根據(jù)這些綜合的行為判斷樣本的危害性。

安全牛

　　您上述提到的人工智能技術在高級威脅檢測中具體是怎樣實現(xiàn)的？發(fā)揮了怎樣的作用？

　　富吉祥：

　　人工智能技術可以很好的應用于圖像識別、模式識別（如語言識別）和自然語言處理等領域。通過將部分安全問題映射到圖像、模式和文本類數(shù)據(jù)，就可以利用人工智能的預測能力發(fā)現(xiàn)傳統(tǒng)特征檢測技術無法發(fā)現(xiàn)的未知威脅和高級威脅。即基于基因圖譜技術檢測惡意文件變種；基于步態(tài)指紋技術檢測惡意加密流量及隱蔽隧道這些通過防火墻或IDS無法識別的威脅；基于自然語言處理的技術實現(xiàn)對DGA域名和SQL注入、XSS、Webshell等WEB類攻擊等。

　　展開來說，基因圖譜技術就是我們通過B2G算法把一個文件映射成一張圖像，當我們的數(shù)據(jù)樣本足夠多時，就會有大量的圖像，基于圖像相似度進行聚類并進行家族標記，通常是相同惡意文件家族的圖像會聚類到一起。這時我們再通過人工智能的CNN算法對其進行圖像識別訓練，訓練之后，人工智能就可以通過CNN模型識別出一個個威脅“家族”的文件基因，后續(xù)把待檢測樣本通過這個模型進行檢測，就能識別出具有相應“家族”基因的惡意文件新變種。

　　步態(tài)指紋技術與此類似，我舉個例子，每個人走路的步調是不同的，具體體現(xiàn)在步伐大小和頻率上。同理，一個惡意樣本的外聯(lián)加密流量或惡意加密攻擊行為也會有一個客戶端同服務端的多輪交互過程，我們會對這個過程中流量的數(shù)據(jù)包傳輸頻率、方向、大小及其中的協(xié)議特征進行分析，最后基于上述數(shù)據(jù)生成特征向量，這個特征向量其實就是對網(wǎng)絡交互過程的行為模式的描述，通過訓練使人工智能模型能夠有效的識別這類過程的技術就是步態(tài)指紋技術，針對隱秘隧道建模也是同理。

　　第三個就是自然語言處理技術，通過該技術對大量有威脅和正常的文本構成進行語義和詞頻特征提取，然后基于這些特征向量，建立威脅識別模型，基于這個模型對新產生的文本數(shù)據(jù)進行威脅智能識別。以上三種技術就是基于圖像識別、模式識別、文本數(shù)據(jù)識別等建模過程，實現(xiàn)了利用人工智能技術對高級威脅和未知威脅的檢測能力。

　　安全牛

　　很多APT攻擊是有潛伏期的，潛伏期內的威脅可以檢測到嗎？另外，通過人工智能技術對高級威脅攻擊整個過程中事件的關聯(lián)分析，也是一個溯源的過程，該過程目前可以達到一個怎樣的程度？

　　富吉祥：

　　潛伏就代表已經入侵成功了，入侵成功之后，這些高級威脅肯定會有對外連接的心跳，因此連接心跳是識別潛伏期攻擊的很好的切入點。比如說某高級威脅是通過明文的心跳或者是隱蔽隧道（DNS隧道等）的方式去實現(xiàn)心跳連接的，那么識別這些外聯(lián)的過程是發(fā)現(xiàn)已經被入侵的有效方式。

　　至于溯源，我們剛剛講攻擊的發(fā)生是個連續(xù)的過程，會有很多步驟，當發(fā)現(xiàn)攻擊后，也就是看到攻擊結果時，就會去排查是在哪一塊出現(xiàn)了問題，比如企業(yè)的財務的一些關鍵數(shù)據(jù)被外發(fā)出去了，就需要去排查它是在哪里被發(fā)出去的，查到之后還會進一步調查惡意威脅是怎樣入侵到這一設備的，郵件釣魚亦或是其他方式。

　　對于一個溯源的過程，具體要溯源到哪一步，取決于這個企業(yè)或者組織它對該事件的關注程度。比如說國家CERT、公安等監(jiān)管單位，溯源的過程可能就會更深入一些，有可能會去溯源到某一個實體。

　　對于某些關鍵信息基礎設施類大型企業(yè)，它可能也會溯源到是哪些組織或實體在實施攻擊，但是對很多中小企業(yè)或影響很小的攻擊類型，并不會溯源很深，這些企業(yè)組織更在意本次威脅事件在企業(yè)內部的入口是什么、這些威脅是怎么進來的、消除風險后，后續(xù)是否還會再次發(fā)生……這是他們關注的重點。

　　安全牛

人工智能在實際落地中應用并不廣泛，您認為阻礙人工智能在安全檢測領域的發(fā)展因素是什么？

　　富吉祥：

　　人工智能技術其實很多年前就被提出了，近幾年才逐漸“火”起來。這是因為它開始變得可落地了。過去，也有人工智能算法，但是算力不夠，導致人工智能訓練過程很慢，甚至不可實現(xiàn)；另外就是可用于訓練的數(shù)據(jù)不夠，不能讓模型實現(xiàn)很好的應用效果。隨著GPU等算力的大規(guī)模提升，信息化和數(shù)字化發(fā)展進程的加快，可用于訓練的數(shù)據(jù)變得越來越多，人工智能技術更可落地了，并實現(xiàn)了很好的效果突破。

　　但相較于殺軟、規(guī)則檢測等技術手段，人工智能依舊屬于一個較新的前沿技術領域，在當前常用的檢測技術能產生一定效果情況下，發(fā)展并利用人工智能技術，首先需要企業(yè)認可這個方向，人工智能會給企業(yè)帶來實際的檢測效果及應用價值，能夠解決具體的問題，這樣人工智能領域才能獲得持續(xù)的資源投入，長期研發(fā)和積累。

　　人工智能的發(fā)展需要技術人才支持，既懂人工智能又懂網(wǎng)絡安全的綜合人才依舊匱乏，這也是一個不利因素。而且人工智能的發(fā)展，需要選定要解決的具體細分領域的網(wǎng)絡安全問題，并持續(xù)收集大量的數(shù)據(jù)，根據(jù)需要進行標注，人工智能的效果和數(shù)據(jù)的質量相關性很大，細分領域高質量的安全數(shù)據(jù)缺失也是一個阻礙因素。

安全牛

　　您認為未來人工智能在高級威脅檢測領域的發(fā)展形式如何？在人工智能的助力下，網(wǎng)絡安全行業(yè)會迎來哪些新的改變？

　　富吉祥：

　　我認為隨著更多的網(wǎng)絡安全企業(yè)對人工智能威脅檢測的關注與投入，相信人工智能會在更多的細分威脅領域落地，達到不錯的效果。這里的細分領域，可能是針對某一類惡意加密流量的識別，或者是對特定網(wǎng)絡攻擊的識別等，當然，要想實現(xiàn)對這些細分領域的實際應用落地，前提是一定要獲取大量的訓練數(shù)據(jù)并深入研究。

　　同時，已經有很多研究表明人工智能技術也可用于網(wǎng)絡攻擊，如利用強化學習等技術可以自動化生成繞過多種殺軟的變種惡意文件及繞過傳統(tǒng)檢測工具的Web攻擊等，我們將會面臨更復雜、變化快速的高級威脅攻擊手段及載荷，所以，未來可能會出現(xiàn)基于人工智能技術的網(wǎng)絡攻擊和檢測手段的持續(xù)對抗及升級。

　　安全牛評

　　網(wǎng)絡安全中的攻防是相輔相成的，安全防護技術在進步的同時，攻擊者也在不斷提升自身的攻擊水平。高級威脅已經成為大型企業(yè)關注的網(wǎng)絡安全威脅重點之一，一旦被高級威脅攻陷，造成的損失是不堪設想的。高級威脅潛伏期長，結構復雜，僅通過人工手段很難發(fā)現(xiàn)。人工智能在網(wǎng)絡安全領域的應用還處于初級階段，但應對以APT為代表的高級威脅時，卻急需人工智能技術的輔助。一方面，人工智能能提升威脅檢測的效率，減少重復性的人工操作；另一方面，隨著檢測數(shù)據(jù)類型增多、數(shù)據(jù)量龐大，只有人工智能才能在海量數(shù)據(jù)中發(fā)現(xiàn)威脅。隨著算法和算力的提升，人工智能將能發(fā)揮更大的作用，是安全產品必備的技術要點。