高級(jí)持續(xù)性威脅因其形式多變、持久化、對(duì)抗性強(qiáng)及隱蔽性強(qiáng)的特點(diǎn)使得企業(yè)的安全防護(hù)所面臨的挑戰(zhàn)愈加嚴(yán)峻，但任何事情都具有兩面性，它在為企業(yè)帶來(lái)巨大安全風(fēng)險(xiǎn)的同時(shí)，也催生出了很多新型防護(hù)技術(shù)，人工智能的應(yīng)用就是其中之一。

　　北京金睛云華科技有限公司

　　技術(shù)總監(jiān)  富吉祥

　　現(xiàn)代社會(huì)，人工智能的廣泛應(yīng)用已經(jīng)不再是什么新鮮事了，它為“危機(jī)四伏”的網(wǎng)絡(luò)安全環(huán)境帶來(lái)了新的防護(hù)手段，而且最直接的優(yōu)點(diǎn)之一就是解放了勞動(dòng)力，對(duì)于網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)來(lái)說(shuō)，人工智能的引入讓他們?cè)诿娑嗫菰锓彪s的數(shù)據(jù)告警壓力時(shí)看到了新的希望。但理論的誕生到技術(shù)的落地是一個(gè)充滿(mǎn)荊棘的過(guò)程，尤其對(duì)于存在情報(bào)竊取、網(wǎng)絡(luò)攻擊即服務(wù)和勒索軟件攻擊等嚴(yán)峻威脅的高級(jí)威脅防護(hù)領(lǐng)域，任何監(jiān)測(cè)上的紕漏都可能會(huì)對(duì)企業(yè)造成無(wú)法挽回的傷害，對(duì)于一些國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)企業(yè)和監(jiān)管部門(mén)來(lái)說(shuō)，更是不能有絲毫馬虎。人工智能在高級(jí)威脅防護(hù)領(lǐng)域的實(shí)踐與落地始終備受關(guān)注。因此，本期牛人訪談我們邀請(qǐng)到了北京金睛云華科技有限公司（以下簡(jiǎn)稱(chēng)“金睛云華”）的技術(shù)總監(jiān)富吉祥，針對(duì)高級(jí)威脅防護(hù)技術(shù)的發(fā)展情況，尤其是人工智能在該領(lǐng)域的實(shí)際應(yīng)用方向和具體應(yīng)用能力，以及其未來(lái)的發(fā)展展望進(jìn)行了詳細(xì)的解讀，以下是訪談內(nèi)容：

　　安全牛

　　您認(rèn)為行業(yè)內(nèi)高級(jí)威脅檢測(cè)技術(shù)發(fā)展歷程如何？現(xiàn)階段是一個(gè)怎樣的狀態(tài)？

　　富吉祥：

　　從高級(jí)威脅檢測(cè)產(chǎn)品上來(lái)看，行業(yè)內(nèi)從關(guān)注入侵檢測(cè)系統(tǒng)IDS到基于全流量分析的NTA/NDR，再到最近比較“熱”的XDR，即將EDR、NDR和MDR等系統(tǒng)結(jié)合到統(tǒng)一平臺(tái)上的這樣的變化。檢測(cè)技術(shù)也從關(guān)注特征檢測(cè)轉(zhuǎn)變到了行為分析檢測(cè)，并且業(yè)內(nèi)對(duì)于高級(jí)威脅攻擊的過(guò)程和技戰(zhàn)術(shù)手段的關(guān)注也在不斷增加。

　　防火墻、殺軟和IDS這“老三樣”是最初特征檢測(cè)階段最常用的工具，而發(fā)展到現(xiàn)如今對(duì)行為分析檢測(cè)更加關(guān)注之后，全流量分析產(chǎn)品也開(kāi)始融入智能行為分析技術(shù)，比如可以采用自動(dòng)化沙箱技術(shù)來(lái)分析惡意文件的主機(jī)和網(wǎng)絡(luò)行為，然后再對(duì)行為結(jié)果進(jìn)行智能分析研判?？梢詫?duì)網(wǎng)絡(luò)中的惡意或異常流量進(jìn)行行為建模，通過(guò)行為模式分析發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　安全牛

　　高級(jí)威脅檢測(cè)系統(tǒng)與傳統(tǒng)的威脅檢測(cè)產(chǎn)品相比技術(shù)難點(diǎn)有哪些？

　　富吉祥：

　　APT等高級(jí)威脅通常是一個(gè)長(zhǎng)期連續(xù)的事件過(guò)程，從入侵到橫向移動(dòng)，再到獲取目標(biāo)數(shù)據(jù)會(huì)涉及到多種攻擊的組合。在現(xiàn)在復(fù)雜的網(wǎng)絡(luò)流量環(huán)境中，IDS類(lèi)產(chǎn)品的告警數(shù)量非常多，它會(huì)識(shí)別到上述攻擊流程的部分攻擊事件并進(jìn)行告警，但無(wú)法識(shí)別一些新型的、變種后的網(wǎng)絡(luò)攻擊，同時(shí)也無(wú)法對(duì)上述整個(gè)攻擊過(guò)程中的事件進(jìn)行綜合分析研判，需要耗費(fèi)安全運(yùn)營(yíng)團(tuán)隊(duì)的大量時(shí)間在海量告警中挖掘。這是APT高級(jí)威脅檢測(cè)產(chǎn)品相對(duì)于傳統(tǒng)威脅檢測(cè)產(chǎn)品要解決的難點(diǎn)。

　　與此同時(shí)，如何在海量網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)威脅線索、特別是特征檢測(cè)技術(shù)不能發(fā)現(xiàn)的高級(jí)威脅，如0day/Nday漏洞攻擊、惡意的加密流量、變種樣本或新產(chǎn)生的惡意文件也是APT威脅檢測(cè)產(chǎn)品的技術(shù)難點(diǎn)所在。解決這一難點(diǎn)的方法可以利用沙箱的惡意文件行為分析技術(shù)及基于人工智能的威脅行為分析技術(shù)。

　　沙箱可以理解為設(shè)備上的一個(gè)虛擬操作系統(tǒng)環(huán)境，其中內(nèi)置了office、Adobe等軟件環(huán)境，當(dāng)文件進(jìn)入沙箱之后，首先會(huì)掃描文件的靜態(tài)構(gòu)成，然后會(huì)在虛擬環(huán)境中去運(yùn)行這一文件，運(yùn)行之后就會(huì)產(chǎn)生本地行為，比如修改了系統(tǒng)文件或啟動(dòng)了某項(xiàng)進(jìn)程等，然后沙箱會(huì)根據(jù)這些行為來(lái)判斷是否是惡意行為，判定出相應(yīng)的威脅程度；另外這個(gè)文件在虛擬環(huán)境中，還可能出現(xiàn)外聯(lián)互聯(lián)網(wǎng)的行為，外聯(lián)流量會(huì)被送入流量監(jiān)測(cè)引擎進(jìn)行研判，如是否命中了惡意域名的黑名單等，最后沙箱根據(jù)這些綜合的行為判斷樣本的危害性。

安全牛

　　您上述提到的人工智能技術(shù)在高級(jí)威脅檢測(cè)中具體是怎樣實(shí)現(xiàn)的？發(fā)揮了怎樣的作用？

　　富吉祥：

　　人工智能技術(shù)可以很好的應(yīng)用于圖像識(shí)別、模式識(shí)別（如語(yǔ)言識(shí)別）和自然語(yǔ)言處理等領(lǐng)域。通過(guò)將部分安全問(wèn)題映射到圖像、模式和文本類(lèi)數(shù)據(jù)，就可以利用人工智能的預(yù)測(cè)能力發(fā)現(xiàn)傳統(tǒng)特征檢測(cè)技術(shù)無(wú)法發(fā)現(xiàn)的未知威脅和高級(jí)威脅。即基于基因圖譜技術(shù)檢測(cè)惡意文件變種；基于步態(tài)指紋技術(shù)檢測(cè)惡意加密流量及隱蔽隧道這些通過(guò)防火墻或IDS無(wú)法識(shí)別的威脅；基于自然語(yǔ)言處理的技術(shù)實(shí)現(xiàn)對(duì)DGA域名和SQL注入、XSS、Webshell等WEB類(lèi)攻擊等。

　　展開(kāi)來(lái)說(shuō)，基因圖譜技術(shù)就是我們通過(guò)B2G算法把一個(gè)文件映射成一張圖像，當(dāng)我們的數(shù)據(jù)樣本足夠多時(shí)，就會(huì)有大量的圖像，基于圖像相似度進(jìn)行聚類(lèi)并進(jìn)行家族標(biāo)記，通常是相同惡意文件家族的圖像會(huì)聚類(lèi)到一起。這時(shí)我們?cè)偻ㄟ^(guò)人工智能的CNN算法對(duì)其進(jìn)行圖像識(shí)別訓(xùn)練，訓(xùn)練之后，人工智能就可以通過(guò)CNN模型識(shí)別出一個(gè)個(gè)威脅“家族”的文件基因，后續(xù)把待檢測(cè)樣本通過(guò)這個(gè)模型進(jìn)行檢測(cè)，就能識(shí)別出具有相應(yīng)“家族”基因的惡意文件新變種。

　　步態(tài)指紋技術(shù)與此類(lèi)似，我舉個(gè)例子，每個(gè)人走路的步調(diào)是不同的，具體體現(xiàn)在步伐大小和頻率上。同理，一個(gè)惡意樣本的外聯(lián)加密流量或惡意加密攻擊行為也會(huì)有一個(gè)客戶(hù)端同服務(wù)端的多輪交互過(guò)程，我們會(huì)對(duì)這個(gè)過(guò)程中流量的數(shù)據(jù)包傳輸頻率、方向、大小及其中的協(xié)議特征進(jìn)行分析，最后基于上述數(shù)據(jù)生成特征向量，這個(gè)特征向量其實(shí)就是對(duì)網(wǎng)絡(luò)交互過(guò)程的行為模式的描述，通過(guò)訓(xùn)練使人工智能模型能夠有效的識(shí)別這類(lèi)過(guò)程的技術(shù)就是步態(tài)指紋技術(shù)，針對(duì)隱秘隧道建模也是同理。

　　第三個(gè)就是自然語(yǔ)言處理技術(shù)，通過(guò)該技術(shù)對(duì)大量有威脅和正常的文本構(gòu)成進(jìn)行語(yǔ)義和詞頻特征提取，然后基于這些特征向量，建立威脅識(shí)別模型，基于這個(gè)模型對(duì)新產(chǎn)生的文本數(shù)據(jù)進(jìn)行威脅智能識(shí)別。以上三種技術(shù)就是基于圖像識(shí)別、模式識(shí)別、文本數(shù)據(jù)識(shí)別等建模過(guò)程，實(shí)現(xiàn)了利用人工智能技術(shù)對(duì)高級(jí)威脅和未知威脅的檢測(cè)能力。

　　安全牛

　　很多APT攻擊是有潛伏期的，潛伏期內(nèi)的威脅可以檢測(cè)到嗎？另外，通過(guò)人工智能技術(shù)對(duì)高級(jí)威脅攻擊整個(gè)過(guò)程中事件的關(guān)聯(lián)分析，也是一個(gè)溯源的過(guò)程，該過(guò)程目前可以達(dá)到一個(gè)怎樣的程度？

　　富吉祥：

　　潛伏就代表已經(jīng)入侵成功了，入侵成功之后，這些高級(jí)威脅肯定會(huì)有對(duì)外連接的心跳，因此連接心跳是識(shí)別潛伏期攻擊的很好的切入點(diǎn)。比如說(shuō)某高級(jí)威脅是通過(guò)明文的心跳或者是隱蔽隧道（DNS隧道等）的方式去實(shí)現(xiàn)心跳連接的，那么識(shí)別這些外聯(lián)的過(guò)程是發(fā)現(xiàn)已經(jīng)被入侵的有效方式。

　　至于溯源，我們剛剛講攻擊的發(fā)生是個(gè)連續(xù)的過(guò)程，會(huì)有很多步驟，當(dāng)發(fā)現(xiàn)攻擊后，也就是看到攻擊結(jié)果時(shí)，就會(huì)去排查是在哪一塊出現(xiàn)了問(wèn)題，比如企業(yè)的財(cái)務(wù)的一些關(guān)鍵數(shù)據(jù)被外發(fā)出去了，就需要去排查它是在哪里被發(fā)出去的，查到之后還會(huì)進(jìn)一步調(diào)查惡意威脅是怎樣入侵到這一設(shè)備的，郵件釣魚(yú)亦或是其他方式。

　　對(duì)于一個(gè)溯源的過(guò)程，具體要溯源到哪一步，取決于這個(gè)企業(yè)或者組織它對(duì)該事件的關(guān)注程度。比如說(shuō)國(guó)家CERT、公安等監(jiān)管單位，溯源的過(guò)程可能就會(huì)更深入一些，有可能會(huì)去溯源到某一個(gè)實(shí)體。

　　對(duì)于某些關(guān)鍵信息基礎(chǔ)設(shè)施類(lèi)大型企業(yè)，它可能也會(huì)溯源到是哪些組織或?qū)嶓w在實(shí)施攻擊，但是對(duì)很多中小企業(yè)或影響很小的攻擊類(lèi)型，并不會(huì)溯源很深，這些企業(yè)組織更在意本次威脅事件在企業(yè)內(nèi)部的入口是什么、這些威脅是怎么進(jìn)來(lái)的、消除風(fēng)險(xiǎn)后，后續(xù)是否還會(huì)再次發(fā)生……這是他們關(guān)注的重點(diǎn)。

　　安全牛

人工智能在實(shí)際落地中應(yīng)用并不廣泛，您認(rèn)為阻礙人工智能在安全檢測(cè)領(lǐng)域的發(fā)展因素是什么？

　　富吉祥：

　　人工智能技術(shù)其實(shí)很多年前就被提出了，近幾年才逐漸“火”起來(lái)。這是因?yàn)樗_(kāi)始變得可落地了。過(guò)去，也有人工智能算法，但是算力不夠，導(dǎo)致人工智能訓(xùn)練過(guò)程很慢，甚至不可實(shí)現(xiàn)；另外就是可用于訓(xùn)練的數(shù)據(jù)不夠，不能讓模型實(shí)現(xiàn)很好的應(yīng)用效果。隨著GPU等算力的大規(guī)模提升，信息化和數(shù)字化發(fā)展進(jìn)程的加快，可用于訓(xùn)練的數(shù)據(jù)變得越來(lái)越多，人工智能技術(shù)更可落地了，并實(shí)現(xiàn)了很好的效果突破。

　　但相較于殺軟、規(guī)則檢測(cè)等技術(shù)手段，人工智能依舊屬于一個(gè)較新的前沿技術(shù)領(lǐng)域，在當(dāng)前常用的檢測(cè)技術(shù)能產(chǎn)生一定效果情況下，發(fā)展并利用人工智能技術(shù)，首先需要企業(yè)認(rèn)可這個(gè)方向，人工智能會(huì)給企業(yè)帶來(lái)實(shí)際的檢測(cè)效果及應(yīng)用價(jià)值，能夠解決具體的問(wèn)題，這樣人工智能領(lǐng)域才能獲得持續(xù)的資源投入，長(zhǎng)期研發(fā)和積累。

　　人工智能的發(fā)展需要技術(shù)人才支持，既懂人工智能又懂網(wǎng)絡(luò)安全的綜合人才依舊匱乏，這也是一個(gè)不利因素。而且人工智能的發(fā)展，需要選定要解決的具體細(xì)分領(lǐng)域的網(wǎng)絡(luò)安全問(wèn)題，并持續(xù)收集大量的數(shù)據(jù)，根據(jù)需要進(jìn)行標(biāo)注，人工智能的效果和數(shù)據(jù)的質(zhì)量相關(guān)性很大，細(xì)分領(lǐng)域高質(zhì)量的安全數(shù)據(jù)缺失也是一個(gè)阻礙因素。

安全牛

　　您認(rèn)為未來(lái)人工智能在高級(jí)威脅檢測(cè)領(lǐng)域的發(fā)展形式如何？在人工智能的助力下，網(wǎng)絡(luò)安全行業(yè)會(huì)迎來(lái)哪些新的改變？

　　富吉祥：

　　我認(rèn)為隨著更多的網(wǎng)絡(luò)安全企業(yè)對(duì)人工智能威脅檢測(cè)的關(guān)注與投入，相信人工智能會(huì)在更多的細(xì)分威脅領(lǐng)域落地，達(dá)到不錯(cuò)的效果。這里的細(xì)分領(lǐng)域，可能是針對(duì)某一類(lèi)惡意加密流量的識(shí)別，或者是對(duì)特定網(wǎng)絡(luò)攻擊的識(shí)別等，當(dāng)然，要想實(shí)現(xiàn)對(duì)這些細(xì)分領(lǐng)域的實(shí)際應(yīng)用落地，前提是一定要獲取大量的訓(xùn)練數(shù)據(jù)并深入研究。

　　同時(shí)，已經(jīng)有很多研究表明人工智能技術(shù)也可用于網(wǎng)絡(luò)攻擊，如利用強(qiáng)化學(xué)習(xí)等技術(shù)可以自動(dòng)化生成繞過(guò)多種殺軟的變種惡意文件及繞過(guò)傳統(tǒng)檢測(cè)工具的Web攻擊等，我們將會(huì)面臨更復(fù)雜、變化快速的高級(jí)威脅攻擊手段及載荷，所以，未來(lái)可能會(huì)出現(xiàn)基于人工智能技術(shù)的網(wǎng)絡(luò)攻擊和檢測(cè)手段的持續(xù)對(duì)抗及升級(jí)。

　　安全牛評(píng)

　　網(wǎng)絡(luò)安全中的攻防是相輔相成的，安全防護(hù)技術(shù)在進(jìn)步的同時(shí)，攻擊者也在不斷提升自身的攻擊水平。高級(jí)威脅已經(jīng)成為大型企業(yè)關(guān)注的網(wǎng)絡(luò)安全威脅重點(diǎn)之一，一旦被高級(jí)威脅攻陷，造成的損失是不堪設(shè)想的。高級(jí)威脅潛伏期長(zhǎng)，結(jié)構(gòu)復(fù)雜，僅通過(guò)人工手段很難發(fā)現(xiàn)。人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用還處于初級(jí)階段，但應(yīng)對(duì)以APT為代表的高級(jí)威脅時(shí)，卻急需人工智能技術(shù)的輔助。一方面，人工智能能提升威脅檢測(cè)的效率，減少重復(fù)性的人工操作；另一方面，隨著檢測(cè)數(shù)據(jù)類(lèi)型增多、數(shù)據(jù)量龐大，只有人工智能才能在海量數(shù)據(jù)中發(fā)現(xiàn)威脅。隨著算法和算力的提升，人工智能將能發(fā)揮更大的作用，是安全產(chǎn)品必備的技術(shù)要點(diǎn)。