AISecOps智能安全運(yùn)營(yíng)技術(shù)體系框架

張潤(rùn)滋，劉文懋

1.綠盟科技集團(tuán)股份有限公司，北京 100089

2.清華大學(xué)，自動(dòng)化系，北京 100084

引 言

隨著數(shù)據(jù)的積累，算力的提升，人工智能技術(shù)的演進(jìn)，技術(shù)平臺(tái)的自動(dòng)化、智能化水平，已經(jīng)逐漸成為網(wǎng)絡(luò)安全攻防雙方角力的重點(diǎn)。學(xué)術(shù)界和工業(yè)界紛紛嘗試基于人工智能技術(shù)的安全分析方法，包括深度學(xué)習(xí)、機(jī)器學(xué)習(xí)、知識(shí)圖譜等人工智能技術(shù)，已經(jīng)逐漸應(yīng)用到惡意軟件檢測(cè)、網(wǎng)絡(luò)入侵檢測(cè)、金融欺詐檢測(cè)、用戶(hù)行為分析等安全業(yè)務(wù)和應(yīng)用中。不過(guò)，幾輪炒作和試錯(cuò)下來(lái)，火熱的期盼逐漸歸于平靜，安全技術(shù)的發(fā)展歸于辛苦的爬坡過(guò)程。

面對(duì)攻擊面的持續(xù)拓展，高級(jí)威脅的迭代升級(jí)，安全運(yùn)營(yíng)（Security Operations，SecOps）能夠面向人、技術(shù)、流程的集成與融合，有效提升安全防御資源的全局性、協(xié)同性，并已成為安全能力落地，發(fā)揮防御體系有效性，支撐實(shí)戰(zhàn)對(duì)抗的最直接、最關(guān)鍵環(huán)節(jié)之一。

可以預(yù)見(jiàn)，隨著安全大數(shù)據(jù)的采集與智能分析技術(shù)的成熟，基于人工智能的安全運(yùn)營(yíng)技術(shù)方案（AI-driven Security operations, AISecOps）將大幅提升威脅檢測(cè)、風(fēng)險(xiǎn)評(píng)估、自動(dòng)化響應(yīng)等關(guān)鍵運(yùn)營(yíng)環(huán)節(jié)的處理效率，大幅減少相關(guān)過(guò)程對(duì)專(zhuān)家經(jīng)驗(yàn)的過(guò)度依賴(lài)，有效降低企業(yè)、組織乃至國(guó)家級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施、數(shù)據(jù)資產(chǎn)的整體安全風(fēng)險(xiǎn)。與此同時(shí)，智能安全運(yùn)營(yíng)技術(shù)能力的發(fā)展仍然在起步加速階段，在體系架構(gòu)、評(píng)估方法、數(shù)據(jù)融合、技術(shù)方向等多個(gè)層面，缺乏系統(tǒng)性的歸納與梳理。本文旨在對(duì)AISecOps智能安全運(yùn)營(yíng)技術(shù)的關(guān)鍵概念、成熟度、架構(gòu)、技術(shù)等維度進(jìn)行一個(gè)全面的總結(jié)與介紹，期望為讀者帶來(lái)全新的技術(shù)思考，并促進(jìn)AISecOps技術(shù)生態(tài)的構(gòu)建，助力網(wǎng)絡(luò)安全運(yùn)營(yíng)產(chǎn)業(yè)的技術(shù)升級(jí)。

圖1 安全運(yùn)營(yíng)技術(shù)發(fā)展趨勢(shì)Fig.1 Development trends of security operation technology

1 安全運(yùn)營(yíng)發(fā)展背景與趨勢(shì)

回顧安全產(chǎn)業(yè)的發(fā)展歷程，從計(jì)算機(jī)安全，到信息安全，到網(wǎng)絡(luò)空間安全，再到數(shù)字安全，安全產(chǎn)業(yè)概念演進(jìn)的背后，是網(wǎng)絡(luò)信息化引領(lǐng)時(shí)代技術(shù)發(fā)展的核心趨勢(shì)。然而，隨著網(wǎng)絡(luò)空間攻擊面不斷擴(kuò)大，惡意攻擊者持續(xù)規(guī)?；?、組織化，在攻擊技術(shù)的自動(dòng)化、智能化、武器化，多種因素的作用下，使得傳統(tǒng)“高筑墻，廣積糧”——在網(wǎng)絡(luò)邊界堆砌防護(hù)設(shè)備的被動(dòng)防御思路逐漸失效。面對(duì)日趨白熱化、持續(xù)化的網(wǎng)絡(luò)攻防對(duì)抗環(huán)境，安全防御的思路開(kāi)始不再局限于構(gòu)建安全邊界，逐漸形成更為成熟、更為完備的滑動(dòng)標(biāo)尺防護(hù)視角。邊界防御的左移，是系統(tǒng)化的安全內(nèi)生機(jī)制；右移是情報(bào)智能驅(qū)動(dòng)的主動(dòng)防御。零信任、威脅誘捕、威脅狩獵、安全開(kāi)發(fā)、安全運(yùn)營(yíng)等支撐安全內(nèi)生、主動(dòng)防御的技術(shù)方案成為安全業(yè)界的共識(shí)。值得注意的是，無(wú)論是安全左移追求安全機(jī)制內(nèi)生，還是安全右移促進(jìn)主動(dòng)安全防御，安全運(yùn)營(yíng)愈發(fā)成為安全能力內(nèi)外兼修的必由之路。

安全運(yùn)營(yíng)（Security Operations, SecOps）的關(guān)鍵在于，通過(guò)流程覆蓋、技術(shù)保障及服務(wù)化，為企業(yè)及組織提供資產(chǎn)和脆弱性識(shí)別與管理、威脅事件檢測(cè)與響應(yīng)等安全能力，以充分管控安全風(fēng)險(xiǎn)[1]。

安全運(yùn)營(yíng)中的概念核心就是管理風(fēng)險(xiǎn)，而風(fēng)險(xiǎn)的度量是動(dòng)態(tài)的、持續(xù)的、相對(duì)的。正是由于安全運(yùn)營(yíng)風(fēng)險(xiǎn)驅(qū)動(dòng)的特性，對(duì)風(fēng)險(xiǎn)的認(rèn)知的演進(jìn)，決定了安全運(yùn)營(yíng)技術(shù)發(fā)展的方向。整體來(lái)看，安全運(yùn)營(yíng)技術(shù)和產(chǎn)業(yè)經(jīng)歷了單點(diǎn)攻防、邊界防御、安全運(yùn)營(yíng)中心的發(fā)展歷程，并最終向運(yùn)營(yíng)智能化的方向持續(xù)演進(jìn)。

（1）單點(diǎn)攻防

伴隨著互聯(lián)網(wǎng)時(shí)代的到來(lái)，針對(duì)個(gè)人電腦的惡意軟件率先爆發(fā)。網(wǎng)絡(luò)世界的威脅趨勢(shì)逐漸呈現(xiàn)在大眾面前。此時(shí)惡意軟件正是最大的安全風(fēng)險(xiǎn)，大量的攻防專(zhuān)家開(kāi)始投入到反病毒軟件的研發(fā)當(dāng)中。安全運(yùn)營(yíng)的概念還未成型，專(zhuān)家即服務(wù)是典型的安全能力交付方式。

（2）邊界防御

利益驅(qū)動(dòng)之下，攻擊與威脅逐漸組織化、產(chǎn)業(yè)化；與此同時(shí)，大規(guī)?；ヂ?lián)網(wǎng)服務(wù)與IT系統(tǒng)軟件的迅速演進(jìn)，使得軟件漏洞引發(fā)的安全脆弱性問(wèn)題浮出水面。為此，抗DDoS攻擊、入侵檢測(cè)系統(tǒng)、遠(yuǎn)程漏洞掃描系統(tǒng)應(yīng)運(yùn)而生，快速構(gòu)建起網(wǎng)絡(luò)防御邊界。并隨著攻防研究的深入，威脅場(chǎng)景的快速迭代，此時(shí)的安全運(yùn)營(yíng)從萌芽到成長(zhǎng)，滲透測(cè)試、風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的配套逐漸成型，設(shè)備和維護(hù)即服務(wù)成為主流。

（3）安全運(yùn)營(yíng)中心

高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）和相關(guān)事件的出現(xiàn)，給邊界化防御的思路帶來(lái)巨大的沖擊。此外，多層次的安全政策、規(guī)范的制定，逐漸形成體系化的合規(guī)性要求。在多種因素的驅(qū)動(dòng)下，常態(tài)化、協(xié)同化、縱深化和智能化的防御思路成為業(yè)界共識(shí)。此時(shí)，安全運(yùn)營(yíng)理念和架構(gòu)逐漸成型，安全運(yùn)營(yíng)中心（Security Operations Center，SOC）遍地開(kāi)花，以中心化的方式管理威脅、脆弱性、資產(chǎn)等風(fēng)險(xiǎn)相關(guān)的流程和數(shù)據(jù)，并輔以行為分析、蜜網(wǎng)誘捕、威脅狩獵、情報(bào)融合等高級(jí)安全技術(shù)，來(lái)提升安全運(yùn)營(yíng)的效率。運(yùn)營(yíng)即服務(wù)，正成為當(dāng)前網(wǎng)絡(luò)空間防護(hù)的關(guān)鍵趨勢(shì)。持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估（Continuous Adaptive Risk and Trust Assessment，CARTA）等面向運(yùn)營(yíng)管理的架構(gòu)與理念，也正是在這個(gè)背景下得以普及。

（4）運(yùn)營(yíng)智能化

安全運(yùn)營(yíng)團(tuán)隊(duì)，是支撐安全運(yùn)營(yíng)中心化運(yùn)作的核心。安全運(yùn)營(yíng)的萌芽、發(fā)展與成熟，映射出的是背后人與人對(duì)抗的認(rèn)知與技術(shù)升級(jí)。然而，隨著網(wǎng)絡(luò)空間對(duì)抗關(guān)聯(lián)流程鏈路的增長(zhǎng)、數(shù)據(jù)規(guī)模爆炸、技術(shù)復(fù)雜度提升，人力資源與風(fēng)險(xiǎn)識(shí)別管控的目標(biāo)要求之間，逐漸形成巨大的需求剪刀差。此時(shí)，提升安全運(yùn)營(yíng)技術(shù)的自動(dòng)化、智能化水平，已成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理與防控的必備條件。智能賦能運(yùn)營(yíng)，是數(shù)字化時(shí)代運(yùn)營(yíng)即服務(wù)的基礎(chǔ)保障。

安全運(yùn)營(yíng)智能化趨勢(shì)已成為必然。流量分析、行為分析、樣本分析、威脅關(guān)聯(lián)、自動(dòng)化響應(yīng)等技術(shù)越來(lái)越多地采用了機(jī)器學(xué)習(xí)、圖計(jì)算、強(qiáng)化學(xué)習(xí)等算法與模型。

表1概述了國(guó)際上智能安全運(yùn)營(yíng)相關(guān)技術(shù)產(chǎn)品。可以看到，相關(guān)技術(shù)廠(chǎng)商利用智能算法與模型，在威脅檢測(cè)、告警分診、事件調(diào)查等維度進(jìn)行了探索與實(shí)踐。盡管如此，現(xiàn)階段安全智能的發(fā)展水平，仍難以滿(mǎn)足安全運(yùn)營(yíng)對(duì)威脅發(fā)現(xiàn)實(shí)時(shí)性與準(zhǔn)確性、事件自動(dòng)化溯源、風(fēng)險(xiǎn)決策自動(dòng)化等多方面的要求。[2]距離可用、成熟的智能安全運(yùn)營(yíng)服務(wù)，還有很長(zhǎng)的路要走。

表1 國(guó)際智能安全運(yùn)營(yíng)技術(shù)產(chǎn)品舉例Table 1 International technical product examples of AI-driven security operations

2 智能安全運(yùn)營(yíng)技術(shù)的挑戰(zhàn)

網(wǎng)絡(luò)空間攻防對(duì)抗中的信息不平衡性，使得安全運(yùn)營(yíng)團(tuán)隊(duì)需要大規(guī)模地采集多維度的數(shù)據(jù)進(jìn)行分析。然而，處理海量數(shù)據(jù)給安全運(yùn)營(yíng)團(tuán)隊(duì)帶來(lái)了前所未有的挑戰(zhàn)，如數(shù)據(jù)依賴(lài)爆炸、事件告警疲勞、威脅大海撈針等難題。如圖2所示，本文將安全運(yùn)營(yíng)中大數(shù)據(jù)帶來(lái)的關(guān)鍵技術(shù)挑戰(zhàn)，簡(jiǎn)要概括如下幾點(diǎn)。

圖2 智能安全運(yùn)營(yíng)技術(shù)的多個(gè)關(guān)鍵挑戰(zhàn)Fig.2 Key challenges for AISecOps technologies

（1）異構(gòu)多源數(shù)據(jù)欠缺規(guī)范約束。數(shù)據(jù)采集系統(tǒng)所收集的數(shù)據(jù)完整度，包括基礎(chǔ)的字段完整性，信息流的刻畫(huà)完整性，信息歸屬的完整性等等，在大規(guī)模數(shù)據(jù)并發(fā)接入和存儲(chǔ)受限的場(chǎng)景中，難以有效地、規(guī)范化地保證。與此同時(shí)，數(shù)據(jù)分析中的訓(xùn)練數(shù)據(jù)集往往經(jīng)過(guò)多輪次的清洗、過(guò)濾和標(biāo)記。而實(shí)際部署環(huán)境下，理想的數(shù)據(jù)分布假設(shè)難以適應(yīng)復(fù)雜動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境與攻擊技戰(zhàn)術(shù)變化。缺乏規(guī)范約束一方面造成數(shù)據(jù)規(guī)模的膨脹，另一方面提升了數(shù)據(jù)統(tǒng)一建模的復(fù)雜度。

（2）統(tǒng)計(jì)數(shù)據(jù)匱乏語(yǔ)義內(nèi)涵。統(tǒng)計(jì)驅(qū)動(dòng)的機(jī)器學(xué)習(xí)方法習(xí)得的數(shù)據(jù)模式，不總是能夠匹配安全經(jīng)驗(yàn)與直覺(jué)，難以對(duì)齊安全業(yè)務(wù)的關(guān)注焦點(diǎn)。舉個(gè)例子，異常檢測(cè)是安全智能技術(shù)中的重要組成之一。然而，異常識(shí)別的維度可源于多種類(lèi)型的數(shù)據(jù)統(tǒng)計(jì)維度，例如密度、距離、關(guān)聯(lián)性等等。這些統(tǒng)計(jì)維度的離散點(diǎn)召回方法，如果缺乏可以量化的安全語(yǔ)義與規(guī)則，會(huì)產(chǎn)生大規(guī)模的安全事件誤報(bào)。

（3）模型黑盒缺乏可解釋性。相對(duì)于傳統(tǒng)規(guī)則驅(qū)動(dòng)的檢測(cè)方法，決策邊界的動(dòng)態(tài)性給模型驅(qū)動(dòng)的方法更強(qiáng)的數(shù)據(jù)擬合能力和泛化能力。很多高復(fù)雜度、高容量的模型，能夠端到端的給出預(yù)測(cè)結(jié)果。然而，無(wú)論預(yù)測(cè)結(jié)果是惡意的流量或樣本，或是高風(fēng)險(xiǎn)的告警，這些黑盒模型都無(wú)法同時(shí)給出合理的佐證與上下文，這種不可解釋性給安全運(yùn)營(yíng)中的威脅調(diào)查與驗(yàn)證帶來(lái)了更高的門(mén)檻。

（4）采集數(shù)據(jù)隱私泄露隱憂(yōu)。數(shù)據(jù)利用與數(shù)據(jù)隱私保護(hù)之間的對(duì)抗與平衡，始終是安全技術(shù)升級(jí)的驅(qū)動(dòng)力之一。隨著安全防御過(guò)程中收集的數(shù)據(jù)廣泛性和深度的提升，被采集端的數(shù)據(jù)所有者對(duì)采集系統(tǒng)的抵觸心理愈發(fā)明顯。數(shù)據(jù)從明文到加密，甚至拒絕“出境”，這些都限制了數(shù)據(jù)驅(qū)動(dòng)技術(shù)方案的落地。

3 AISecOps智能安全運(yùn)營(yíng)技術(shù)體系

3.1 AISecOps核心內(nèi)涵

AISecOps技術(shù)是以安全運(yùn)營(yíng)目標(biāo)為導(dǎo)向，以人、流程、技術(shù)與數(shù)據(jù)的融合為基礎(chǔ)，面向預(yù)防、檢測(cè)、響應(yīng)、預(yù)測(cè)、恢復(fù)等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控、攻防對(duì)抗的關(guān)鍵環(huán)節(jié)，構(gòu)建數(shù)據(jù)驅(qū)動(dòng)的、具有高自動(dòng)化水平的可信任安全智能技術(shù)棧，實(shí)現(xiàn)安全智能范疇下的感知、認(rèn)知、決策、行動(dòng)能力，輔助甚至代替人在動(dòng)態(tài)環(huán)境下完成各類(lèi)安全運(yùn)營(yíng)服務(wù)[3]。

圖3 AISecOps核心技術(shù)能力拆解Fig.3 Components for AISecOps technologies

相比于安全智能（AI Security, AISec）技術(shù)，AISecOps更強(qiáng)調(diào)面向安全運(yùn)營(yíng)的核心指標(biāo)與評(píng)估方法；相比于智能運(yùn)維（AI Operations, AIOps）技術(shù)[4]，AISecOps更強(qiáng)調(diào)攻防對(duì)抗的動(dòng)態(tài)性；相比于安全運(yùn)營(yíng)（Security Operations, SecOps），AISecOps更強(qiáng)調(diào)數(shù)據(jù)驅(qū)動(dòng)與智能驅(qū)動(dòng)的方法賦能。AISecOps智能安全運(yùn)營(yíng)是在核心運(yùn)營(yíng)指標(biāo)的導(dǎo)向下，系統(tǒng)、深入地融合智能化技術(shù)方案，以適應(yīng)安全運(yùn)營(yíng)不同階段、不同任務(wù)場(chǎng)景的應(yīng)用需求，以提升運(yùn)營(yíng)全流程的自動(dòng)化水平。

3.2 AISecOps指標(biāo)體系

針對(duì)安全運(yùn)營(yíng)技術(shù)、流程、人員交互的核心環(huán)節(jié)，需要自頂向下的構(gòu)建智能技術(shù)賦能安全運(yùn)營(yíng)的合理評(píng)估體系[3]。如圖4所示，該指標(biāo)體系是從企業(yè)或組織的頂層愿景出發(fā)，到安全運(yùn)營(yíng)的核心技術(shù)指標(biāo)，再構(gòu)建數(shù)據(jù)和分析層次的技術(shù)評(píng)價(jià)指標(biāo)。相對(duì)于傳統(tǒng)智能安全應(yīng)用中僅僅關(guān)注機(jī)器學(xué)習(xí)等技術(shù)的細(xì)粒度評(píng)估方法，從運(yùn)營(yíng)的可交互、可量化、可運(yùn)維等需求出發(fā)，該指標(biāo)層次化體系，能夠更有效地服務(wù)于安全運(yùn)營(yíng)的核心目標(biāo)，輔助提升對(duì)風(fēng)險(xiǎn)的認(rèn)知水平，降低運(yùn)營(yíng)人員與機(jī)器智能之間的交互門(mén)檻。

圖4 AISecOps指標(biāo)體系Fig.4 AISecOps metric framework

3.3 AISecOps數(shù)據(jù)分類(lèi)

當(dāng)前，大規(guī)模多維度網(wǎng)絡(luò)安全數(shù)據(jù)的接入，為通過(guò)數(shù)據(jù)分析、發(fā)現(xiàn)、處置網(wǎng)絡(luò)威脅帶來(lái)了全新機(jī)會(huì)。但考慮到可用的存儲(chǔ)、計(jì)算資源有限，對(duì)安全數(shù)據(jù)源的甄選和統(tǒng)一處理就顯得尤為重要。不同于DIKW的數(shù)據(jù)分層模型[5]和CyGraph的安全/任務(wù)知識(shí)棧結(jié)構(gòu)[6]，從網(wǎng)絡(luò)攻防的對(duì)抗本質(zhì)出發(fā)，以給定的網(wǎng)絡(luò)空間為戰(zhàn)場(chǎng)，以保護(hù)資產(chǎn)（包括實(shí)體資產(chǎn)和虛擬資產(chǎn)）并打擊威脅主體為目的，智能化的威脅分析應(yīng)該收集并構(gòu)建以下維度的關(guān)鍵數(shù)據(jù)圖。

圖5 AISecOps核心數(shù)據(jù)圖Fig.5 Core data graphs for AISecOps

（1）環(huán)境數(shù)據(jù)圖。如資產(chǎn)、資產(chǎn)脆弱性、文件信息、用戶(hù)信息、IT系統(tǒng)架構(gòu)信息等。

（2）行為數(shù)據(jù)圖。如網(wǎng)絡(luò)側(cè)檢測(cè)告警、終端側(cè)檢測(cè)告警、文件分析日志、應(yīng)用日志、蜜罐日志、沙箱日志等。

（3）情報(bào)數(shù)據(jù)圖。各類(lèi)內(nèi)外部威脅情報(bào)。

（4）知識(shí)數(shù)據(jù)圖。各類(lèi)知識(shí)庫(kù)（如ATT＆CK[7]、CAPEC[8]、CWE[9]）等。

各類(lèi)安全關(guān)聯(lián)數(shù)據(jù)（包括但不限于以上四個(gè)類(lèi)別）已在很多大數(shù)據(jù)分析場(chǎng)景中所采用，但仍然沒(méi)有成熟、統(tǒng)一的體系描述這些數(shù)據(jù)的分類(lèi)和使用模式。將這里列舉的四類(lèi)數(shù)據(jù)，從網(wǎng)絡(luò)威脅事件分析實(shí)踐出發(fā)，通過(guò)圖結(jié)構(gòu)組織起來(lái)，實(shí)現(xiàn)每個(gè)類(lèi)別圖內(nèi)關(guān)聯(lián)和不同類(lèi)別圖間關(guān)聯(lián)，以滿(mǎn)足網(wǎng)絡(luò)空間對(duì)抗的基本戰(zhàn)術(shù)需求，包括對(duì)環(huán)境的掌握、對(duì)威脅主體行動(dòng)的理解、對(duì)外部情報(bào)的融合以及儲(chǔ)備基本知識(shí)。四圖分立，又通過(guò)指定類(lèi)型的實(shí)體進(jìn)行關(guān)聯(lián)，以保證不同類(lèi)型圖數(shù)據(jù)表達(dá)能力的同時(shí)，實(shí)現(xiàn)全局的連接能力。

3.4 AISecOps技術(shù)框架

圖6闡述了AISecOps的技術(shù)框架，從左至右分別包含典型智能框架的感知、認(rèn)知、決策和行動(dòng)階段[10]。在每個(gè)階段中，列舉了關(guān)鍵的安全運(yùn)營(yíng)技術(shù)子任務(wù)。

圖6 AISecOps技術(shù)框架Fig.6 AISecOps technical framework

整體上，AISecOps技術(shù)框架包含兩個(gè)大的循環(huán)。一個(gè)是圖中實(shí)線(xiàn)覆蓋的機(jī)器自循環(huán)，這是AISecOps追求的運(yùn)營(yíng)關(guān)鍵任務(wù)自動(dòng)化的終極目標(biāo)。另一個(gè)是圖上虛線(xiàn)覆蓋的人-機(jī)協(xié)同循環(huán)，這一部分強(qiáng)調(diào)了，在機(jī)器自動(dòng)化的各個(gè)階段，需要充分融合人的反饋。高水平運(yùn)營(yíng)自動(dòng)化實(shí)現(xiàn)的要義仍然是對(duì)“數(shù)據(jù)-信息-知識(shí)”層次化的分析與挖掘，以應(yīng)對(duì)動(dòng)態(tài)不確定性的網(wǎng)絡(luò)空間環(huán)境與高交互的攻防對(duì)抗過(guò)程?？梢钥吹?，兩大循環(huán)服務(wù)于前述AISecOps的評(píng)估指標(biāo)。為了構(gòu)建人-機(jī)智能協(xié)同的閉環(huán)，必然要求機(jī)器智能提供的數(shù)據(jù)結(jié)果、運(yùn)算流程是透明的、可解釋和可運(yùn)營(yíng)的，傳統(tǒng)黑盒的深度學(xué)習(xí)模型在深度交互的架構(gòu)下將難以為繼。

3.5 AISecOps技術(shù)成熟度矩陣

為了有效評(píng)估當(dāng)前智能安全運(yùn)營(yíng)技術(shù)的整體自動(dòng)化水平，根據(jù)技術(shù)框架的層次架構(gòu)，對(duì)應(yīng)提出了AISecOps技術(shù)成熟度矩陣，以有效地在技術(shù)的橫縱向?qū)Ρ痊F(xiàn)有技術(shù)的發(fā)展層次[3]。

如圖7所示，按照安全運(yùn)營(yíng)關(guān)鍵任務(wù)的自動(dòng)化程度，參考自動(dòng)駕駛自動(dòng)化分級(jí)，將AISecOps技術(shù)的自動(dòng)化水平劃分為L(zhǎng)0~L5六個(gè)層次，對(duì)應(yīng)無(wú)自動(dòng)化到完全自動(dòng)化。值得注意的是，每個(gè)階段技術(shù)能力的可用性、魯棒性，依賴(lài)于底層多個(gè)階段技術(shù)能力的成熟度。以安全運(yùn)營(yíng)的響應(yīng)行動(dòng)為例，依賴(lài)對(duì)威脅與脆弱性的準(zhǔn)確的檢測(cè)與識(shí)別、攻擊行為上下文的溯源信息構(gòu)建以及魯棒的風(fēng)險(xiǎn)評(píng)估量化。任何一個(gè)被依賴(lài)環(huán)節(jié)的失效，將導(dǎo)致響應(yīng)行為的失效[11]，甚至影響組織中正常業(yè)務(wù)的開(kāi)展。

圖7 AISecOps技術(shù)成熟度矩陣Fig.7 AISecOps technology maturity matrix

3.6 AISecOps前沿技術(shù)分類(lèi)

AISecOps智能安全運(yùn)營(yíng)技術(shù)尚處于快速演進(jìn)的階段，所采用的技術(shù)方案迭代非?？?。為了充分探究技術(shù)的未來(lái)發(fā)展方向，定位關(guān)鍵能力瓶頸，本文總結(jié)了面向安全運(yùn)營(yíng)自動(dòng)化、智能化的十六種基礎(chǔ)前沿技術(shù)，并形成技術(shù)圖譜，以期為網(wǎng)絡(luò)安全運(yùn)營(yíng)場(chǎng)景構(gòu)建領(lǐng)域技術(shù)“內(nèi)功心法”圖譜。

技術(shù)圖譜在橫向上，按照面向攻擊對(duì)抗的識(shí)別粒度進(jìn)行技術(shù)領(lǐng)域劃分，粒度自微觀到宏觀，包括指紋與特征、技術(shù)與行為、戰(zhàn)術(shù)與意圖、戰(zhàn)役與組織、戰(zhàn)役與態(tài)勢(shì)。在縱向上，按照AISecOps智能化的經(jīng)典技術(shù)階段進(jìn)行劃分，包括數(shù)據(jù)層面的融合建模，以及分析層面的風(fēng)險(xiǎn)感知、因果認(rèn)知、魯棒決策、負(fù)責(zé)行動(dòng)五大階段。同時(shí)，根據(jù)技術(shù)的核心數(shù)據(jù)源不同，通過(guò)底色進(jìn)行區(qū)分，涵蓋環(huán)境數(shù)據(jù)、情報(bào)數(shù)據(jù)、知識(shí)數(shù)據(jù)、行為數(shù)據(jù)以及融合多維的綜合數(shù)據(jù)。通過(guò)總結(jié)并歸類(lèi)十六種關(guān)鍵技術(shù)，試圖厘清AISecOps的技術(shù)分類(lèi)，以支持技術(shù)方案的細(xì)粒度抽象與整合，支持安全運(yùn)營(yíng)智能技術(shù)中臺(tái)等基礎(chǔ)平臺(tái)能力的構(gòu)建。以下簡(jiǎn)要概述關(guān)鍵技術(shù)的核心內(nèi)涵與技術(shù)實(shí)現(xiàn)和分類(lèi)。

3.6.1 超融合知識(shí)圖譜

超融合知識(shí)圖譜的含義是以安全領(lǐng)域知識(shí)圖譜為核心，面向網(wǎng)絡(luò)環(huán)境數(shù)據(jù)、威脅行為數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)、安全知識(shí)庫(kù)等，構(gòu)建本體化、標(biāo)準(zhǔn)化、全局化的知識(shí)結(jié)構(gòu)[12]，支持安全數(shù)據(jù)的動(dòng)態(tài)查詢(xún)與聚合分析，提升安全數(shù)據(jù)運(yùn)營(yíng)分析的整體性。超融合知識(shí)圖譜是后續(xù)風(fēng)險(xiǎn)感知、因果認(rèn)知、魯棒決策、可靠行動(dòng)多層次技術(shù)能力實(shí)現(xiàn)的核心技術(shù)基礎(chǔ)。沒(méi)有統(tǒng)一的數(shù)據(jù)視圖支撐，高復(fù)雜度算法的構(gòu)建將是空中樓閣。

微軟的智能安全圖（Microsoft Intelligent Security Graph）通過(guò)云生態(tài)和平臺(tái)全面融合，鏈接多方多維數(shù)據(jù)，提供全面的威脅關(guān)聯(lián)信息，并以云端的分析能力保證實(shí)時(shí)的威脅檢測(cè)。Sqrrl（2018年1月被Amazon收購(gòu)）提供網(wǎng)絡(luò)威脅狩獵平臺(tái)，結(jié)合UEBA（User and Entity Behavior Analytics）提出了“Behavior Graph”的概念，使用行為評(píng)估和關(guān)聯(lián)數(shù)據(jù)支撐威脅事件的深入調(diào)查。CyGraph是MITRE在圖模型研究方面的原型系統(tǒng)。CyGraph使用了層級(jí)的圖結(jié)構(gòu)，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施（Network Infrastructure）、安全狀態(tài)（Security Posture）、網(wǎng)絡(luò)威脅（Cyber Threats）、任務(wù)依賴(lài)（Mission Dependencies）四個(gè)層次的圖數(shù)據(jù)，用于支持針對(duì)關(guān)鍵資產(chǎn)保護(hù)的攻擊面識(shí)別和攻擊態(tài)勢(shì)理解等任務(wù)。IBM提出的威脅情報(bào)計(jì)算（Threat Intelligence Computing，TIC）的概念，通過(guò)構(gòu)建時(shí)序圖結(jié)構(gòu)，實(shí)現(xiàn)敏捷的網(wǎng)絡(luò)推理和威脅狩獵。

3.6.2 情報(bào)要素自動(dòng)化提取

情報(bào)要素自動(dòng)化提取的含義是通過(guò)數(shù)據(jù)驅(qū)動(dòng)的模式提取方法，從流量、樣本、社交網(wǎng)絡(luò)、情報(bào)文本等多源數(shù)據(jù)中，自動(dòng)化提取威脅情報(bào)要素[13]（攻擊者、活動(dòng)、技戰(zhàn)術(shù)、特征、防護(hù)策略等），支撐網(wǎng)絡(luò)防御的預(yù)防、檢測(cè)、響應(yīng)、預(yù)測(cè)等全周期的信息采集。

情報(bào)要素自動(dòng)化提取是一項(xiàng)面向網(wǎng)絡(luò)安全領(lǐng)域知識(shí)構(gòu)建需求的重要任務(wù)，自動(dòng)化的要素提取，關(guān)鍵技術(shù)目標(biāo)是場(chǎng)景驅(qū)動(dòng)下的模式識(shí)別。在攻擊特征提取場(chǎng)景下，例如根據(jù)模擬的、采集的已知惡意樣本、惡意流量，提取惡意特征，經(jīng)典的處理方法一般可通過(guò)傳統(tǒng)的序列相似性、文本相似性、結(jié)構(gòu)相似性等手段，快速定位可疑特征信息。此外，基于可解釋人工智能方法提取模型的知識(shí)，已成為知識(shí)獲取的重要方法之一，例如通過(guò)透明可解釋的決策樹(shù)模型、文本主題模型、圖模型、注意力機(jī)制等，或黑盒模型疊加后處理（Post-hoc）的解釋手段SHAP、LIME等等，抽取安全檢測(cè)分析模型內(nèi)的攻擊模式與特征，通過(guò)聚類(lèi)與模型推斷算法，能夠有效提取惡意文本中的關(guān)鍵詞特征形成檢測(cè)規(guī)則。在攻擊組織活動(dòng)、技戰(zhàn)術(shù)自動(dòng)化情報(bào)生成的場(chǎng)景下，可通過(guò)經(jīng)典的命名實(shí)體識(shí)別、關(guān)系抽取、知識(shí)圖譜關(guān)系推理等技術(shù)手段，提取、對(duì)齊、關(guān)聯(lián)情報(bào)實(shí)體要素，實(shí)現(xiàn)情報(bào)的標(biāo)準(zhǔn)化與可共享性。自動(dòng)化的提取方案，能夠有效作用在大規(guī)模數(shù)據(jù)空間下，從數(shù)據(jù)的角度提升威脅特征的區(qū)分性、情報(bào)實(shí)體的全局一致性等。

3.6.3 網(wǎng)絡(luò)實(shí)體測(cè)繪畫(huà)像

網(wǎng)絡(luò)實(shí)體測(cè)繪畫(huà)像的含義是通過(guò)主動(dòng)指紋探測(cè)、被動(dòng)的信息采集，收集、分析、整合網(wǎng)絡(luò)空間資產(chǎn)、身份、數(shù)據(jù)等各類(lèi)實(shí)體及其特征信息，形成網(wǎng)絡(luò)空間的整體畫(huà)像和實(shí)體局部畫(huà)像[14]，支持網(wǎng)絡(luò)風(fēng)險(xiǎn)的全面、深度分析與威脅情報(bào)生成。

網(wǎng)絡(luò)空間實(shí)體測(cè)繪的關(guān)鍵是保證實(shí)體實(shí)例的覆蓋率以及準(zhǔn)確的動(dòng)態(tài)畫(huà)像，核心技術(shù)主要包含已知類(lèi)型實(shí)體的識(shí)別和未知類(lèi)型實(shí)體的分類(lèi)。已知類(lèi)型實(shí)體的召回，在于通過(guò)特征指紋匹配與行為模式匹配，快速召回收錄在冊(cè)的實(shí)體類(lèi)型實(shí)例；未知類(lèi)型實(shí)體的分類(lèi)，需要通過(guò)無(wú)監(jiān)督或半監(jiān)督的特征與行為聚類(lèi)、信息流或結(jié)構(gòu)性關(guān)聯(lián)分析、統(tǒng)計(jì)頻繁項(xiàng)挖掘等方法，識(shí)別未知實(shí)體數(shù)據(jù)中的模式信息，尋求與已知類(lèi)型實(shí)體的相似性與關(guān)聯(lián)性，并向運(yùn)營(yíng)人員提供數(shù)據(jù)特征支撐人工分類(lèi)分組標(biāo)記。值得注意的是，網(wǎng)絡(luò)實(shí)體行為及其所處環(huán)境的動(dòng)態(tài)性，決定了實(shí)體測(cè)繪不是一勞永逸的，而是需要持續(xù)迭代演進(jìn)的。實(shí)體探測(cè)僅僅是測(cè)繪流程的一個(gè)步驟，分析、跟蹤、可視化已成為實(shí)體畫(huà)像的重要組成。例如，實(shí)體畫(huà)像的準(zhǔn)確性決定了基于異常行為分析的UEBA等技術(shù)方案的成敗。

3.6.4 攻擊檢測(cè)與分類(lèi)

攻擊檢測(cè)與分類(lèi)的含義是針對(duì)各類(lèi)網(wǎng)絡(luò)實(shí)體及其行為，通過(guò)有監(jiān)督或半監(jiān)督學(xué)習(xí)的方式[15]，實(shí)現(xiàn)攻擊行為的識(shí)別，并區(qū)分攻擊的技戰(zhàn)術(shù)類(lèi)型。

攻擊檢測(cè)與分類(lèi)的關(guān)鍵是融合數(shù)據(jù)特性的算法建模。網(wǎng)絡(luò)安全領(lǐng)域的算法建模相對(duì)于其他產(chǎn)業(yè)有一定的后發(fā)優(yōu)勢(shì)，可根據(jù)所處理數(shù)據(jù)的特性，如事件序列數(shù)據(jù)、時(shí)序數(shù)據(jù)、文本數(shù)據(jù)、實(shí)體關(guān)聯(lián)圖數(shù)據(jù)等，借鑒相關(guān)領(lǐng)域的成熟分析方法與思路。比較經(jīng)典的方法，有基于集成模型和動(dòng)靜態(tài)特征集實(shí)現(xiàn)的惡意軟件家族分類(lèi)；基于CNN+LSTM和流量數(shù)據(jù)包、數(shù)據(jù)流多層次特征的惡意（加密）流量分類(lèi)；基于圖表示學(xué)習(xí)和進(jìn)程調(diào)用關(guān)系的無(wú)文件APT攻擊檢測(cè)等等，不一而足。參考ATT＆CK模型，現(xiàn)階段包括終端、網(wǎng)絡(luò)、文件等多源、多維度的二十余類(lèi)數(shù)據(jù)的采集，給威脅分析帶來(lái)全新的分析機(jī)遇。在有效數(shù)據(jù)標(biāo)注的基礎(chǔ)上，準(zhǔn)確的學(xué)習(xí)攻擊樣本與正常樣本之間的關(guān)鍵模式已不再是難事。

3.6.5 異常行為分析

異常行為分析的含義是構(gòu)建多層次網(wǎng)絡(luò)實(shí)體的行為畫(huà)像，識(shí)別偏離正常行為基線(xiàn)的行為模式[16]，捕獲、召回潛在威脅線(xiàn)索與攻擊行為。

異常行為檢測(cè)的關(guān)鍵是正常行為模式建模與離群（異常）點(diǎn)檢測(cè)算法設(shè)計(jì)。行為分析的主體是網(wǎng)絡(luò)環(huán)境下的各類(lèi)實(shí)體，包括系統(tǒng)相關(guān)的（進(jìn)程、網(wǎng)絡(luò)、文件等）、應(yīng)用相關(guān)的（API調(diào)用、業(yè)務(wù)數(shù)據(jù)流等）、用戶(hù)相關(guān)的（登錄、訪(fǎng)問(wèn)等）等多維度、多層次可觀測(cè)數(shù)據(jù)源。針對(duì)任何一類(lèi)實(shí)體行為數(shù)據(jù)的建模，可對(duì)應(yīng)一種具體的威脅分析場(chǎng)景。行為畫(huà)像建模的關(guān)鍵在于通過(guò)統(tǒng)計(jì)建模、機(jī)器學(xué)習(xí)、策略抽象的方式，識(shí)別實(shí)體正常行為的關(guān)鍵參數(shù)與結(jié)構(gòu)。常用的技術(shù)包括頻率統(tǒng)計(jì)、聚類(lèi)、編解碼器、時(shí)序模型、隱馬爾科夫建模等。在行為畫(huà)像模型的基礎(chǔ)上，對(duì)動(dòng)態(tài)輸入的未知行為執(zhí)行離群點(diǎn)檢測(cè)。離群點(diǎn)或異常點(diǎn)，指在數(shù)據(jù)模式中與大多數(shù)據(jù)點(diǎn)特征偏離較遠(yuǎn)的點(diǎn)。離群點(diǎn)的檢測(cè)技術(shù)實(shí)現(xiàn)基于行為畫(huà)像模型的構(gòu)建方式。從數(shù)據(jù)特征建模的角度來(lái)看，主要包括基于距離的方法、基于密度的方法、基于統(tǒng)計(jì)閾值的方法、基于信息熵的方法、基于圖的方法等等。不同的場(chǎng)景下，異常行為分析的數(shù)據(jù)粒度可能不同，整體來(lái)看，行為分析具有較強(qiáng)的環(huán)境自適應(yīng)性，并且不依賴(lài)特征指紋與惡意樣本，能夠有效召回不同網(wǎng)絡(luò)環(huán)境、不同攻防周期內(nèi)的異常行為，是對(duì)傳統(tǒng)靜態(tài)的、針對(duì)已知威脅檢測(cè)的有效補(bǔ)充。

3.6.6 團(tuán)伙行為發(fā)現(xiàn)

團(tuán)伙行為發(fā)現(xiàn)的含義是跨時(shí)間周期、跨階段提取攻擊、行為事件的行為模式，通過(guò)社區(qū)挖掘等方法實(shí)現(xiàn)攻擊者組織、團(tuán)伙的定位和劃定，進(jìn)而實(shí)現(xiàn)對(duì)相關(guān)事件的歸因和追蹤[17]。

攻擊團(tuán)伙發(fā)現(xiàn)的關(guān)鍵是基于威脅數(shù)據(jù)生成關(guān)聯(lián)圖與圖上社區(qū)發(fā)現(xiàn)。STIX是MITRE發(fā)起的威脅情報(bào)交換語(yǔ)言和標(biāo)準(zhǔn)，在STIX 2.0體系的促進(jìn)下，全球威脅情報(bào)的共享、關(guān)聯(lián)開(kāi)銷(xiāo)大幅降低。通過(guò)情報(bào)數(shù)據(jù)圖的實(shí)例化網(wǎng)絡(luò)圖構(gòu)建，攻擊者、IOCs、技戰(zhàn)術(shù)、惡意軟件、攻擊戰(zhàn)役及攻擊組織等實(shí)體及其行為關(guān)聯(lián)能夠統(tǒng)一在一張數(shù)據(jù)圖之中。同時(shí)，通過(guò)語(yǔ)義規(guī)則、統(tǒng)計(jì)規(guī)則、特征命中等方法，對(duì)圖上的實(shí)體點(diǎn)和關(guān)系邊進(jìn)行特征抽取，以支撐圖結(jié)構(gòu)關(guān)聯(lián)之上的細(xì)粒度分析。進(jìn)而，針對(duì)情報(bào)的數(shù)據(jù)規(guī)模大、點(diǎn)邊特征維度多、置信度差異大等特性，一般采用圖社區(qū)發(fā)現(xiàn)算法實(shí)現(xiàn)自動(dòng)化的團(tuán)伙標(biāo)定。社區(qū)發(fā)現(xiàn)的常用技術(shù)包括基于模塊度優(yōu)化的方法、基于譜分析的方法、基于信息論的方法、基于標(biāo)簽傳播的方法及基于深度學(xué)習(xí)的方法等等。數(shù)據(jù)驅(qū)動(dòng)的攻擊團(tuán)伙發(fā)現(xiàn)是一種情報(bào)或行為數(shù)據(jù)增強(qiáng)技術(shù)，基于動(dòng)態(tài)情報(bào)數(shù)據(jù)的結(jié)構(gòu)關(guān)聯(lián)性、特征關(guān)聯(lián)，召回疑似團(tuán)伙、組織，并刻畫(huà)其行為模式，有助于完善攻擊事件的證據(jù)鏈，提升情報(bào)置信度。

3.6.7 狩獵查詢(xún)專(zhuān)用語(yǔ)言

狩獵查詢(xún)專(zhuān)用語(yǔ)言的含義是面向安全運(yùn)營(yíng)威脅狩獵已知信息的高效檢索需求，基于融合的情報(bào)、行為、環(huán)境、知識(shí)數(shù)據(jù)基礎(chǔ)，設(shè)計(jì)滿(mǎn)足實(shí)時(shí)性、完整性、準(zhǔn)確性的數(shù)據(jù)檢索語(yǔ)言及處理引擎[6]，支撐線(xiàn)索的定位、事件關(guān)聯(lián)信息的召回、情報(bào)與知識(shí)的準(zhǔn)確定位等任務(wù)。

威脅狩獵專(zhuān)用查詢(xún)語(yǔ)言的設(shè)計(jì)的關(guān)鍵在于業(yè)務(wù)驅(qū)動(dòng)的定制語(yǔ)義、語(yǔ)法以及支撐結(jié)果查詢(xún)的匹配算法。語(yǔ)義、語(yǔ)法的設(shè)計(jì)的驅(qū)動(dòng)力是威脅狩獵的關(guān)鍵場(chǎng)景，需要支撐包括不同數(shù)據(jù)源（如外部威脅情報(bào)、內(nèi)部關(guān)鍵線(xiàn)索等）以及不同模式（精確匹配與模式匹配）的組合查詢(xún)問(wèn)題。DSL（Domain Specific Language）一般是聲明式的獨(dú)立抽象層，安全運(yùn)營(yíng)場(chǎng)景下最直接的構(gòu)建基礎(chǔ)是融合的圖框架。基于安全領(lǐng)域知識(shí)圖或事件圖譜，結(jié)合其本體化設(shè)計(jì)與層次化實(shí)體交互行為，設(shè)計(jì)針對(duì)指定任務(wù)的抽象查詢(xún)語(yǔ)法。經(jīng)典的語(yǔ)言設(shè)計(jì)方案包括基于Cygraph的CyQL（CyGraph Query Language）、IBM的τ-calculus等。在匹配算法方面，一方面可直接將DSL直接編譯為底層數(shù)據(jù)庫(kù)查詢(xún)語(yǔ)言，直接調(diào)用數(shù)據(jù)庫(kù)內(nèi)置匹配算法進(jìn)行數(shù)據(jù)查詢(xún)；另一方面，可通過(guò)子圖對(duì)齊與相似性匹配、圖神經(jīng)網(wǎng)絡(luò)、表示學(xué)習(xí)等方法，基于分析算法，從大規(guī)模數(shù)據(jù)中查詢(xún)攻擊模式、關(guān)聯(lián)線(xiàn)索。

3.6.8 攻擊意圖理解

攻擊意圖理解的含義是基于大規(guī)模、依賴(lài)復(fù)雜、跨長(zhǎng)時(shí)間周期的原始日志、檢測(cè)日志等基本數(shù)據(jù)線(xiàn)索[18]，從能力水平、攻擊階段、攻擊目標(biāo)等角度，提取、標(biāo)注、歸納攻擊者的戰(zhàn)術(shù)意圖，以明確線(xiàn)索之間的高層次邏輯關(guān)聯(lián)，跟蹤、預(yù)測(cè)攻擊者的行為。

攻擊意圖理解的關(guān)鍵在于數(shù)據(jù)的安全語(yǔ)義化。即通過(guò)對(duì)數(shù)據(jù)及其特征的模板化、標(biāo)簽化、體系化歸并，形成預(yù)設(shè)威脅模型框架下的實(shí)例化表達(dá)。核心技術(shù)實(shí)現(xiàn)一方面是數(shù)據(jù)的歸一化與規(guī)范化清洗；另一方面，是語(yǔ)義抽象算法，主要可分為兩類(lèi)：基于行為模板的和基于統(tǒng)計(jì)切分的?；谛袨槟０宓姆椒?，例如HOLMES系統(tǒng)通過(guò)預(yù)設(shè)的數(shù)據(jù)模式提取策略，將終端側(cè)溯源數(shù)據(jù)圖中的關(guān)聯(lián)日志實(shí)體和關(guān)系進(jìn)行抽取，形成符合ATT＆CK矩陣模型的技戰(zhàn)術(shù)高層關(guān)聯(lián)圖譜?；诮y(tǒng)計(jì)切分的方法，通過(guò)日志實(shí)體的邏輯關(guān)聯(lián)或時(shí)序關(guān)聯(lián)，在圖數(shù)據(jù)或序列數(shù)據(jù)上應(yīng)用社團(tuán)發(fā)現(xiàn)、標(biāo)簽傳播、主題模型、情感分析等經(jīng)典技術(shù)手段，對(duì)圖上或序列數(shù)據(jù)進(jìn)行統(tǒng)計(jì)切分和聚類(lèi)，再結(jié)合專(zhuān)家經(jīng)驗(yàn)的標(biāo)簽化過(guò)程，形成符合威脅語(yǔ)義模型的數(shù)據(jù)基礎(chǔ)。

3.6.9 攻擊路徑溯源

攻擊路徑溯源的含義是基于關(guān)鍵威脅線(xiàn)索，結(jié)合動(dòng)態(tài)行為與資產(chǎn)環(huán)境，融合終端、網(wǎng)絡(luò)、脆弱性、威脅情報(bào)等多源歷史日志，回溯、精煉、重構(gòu)攻擊者的行為數(shù)據(jù)流[19]，完整呈現(xiàn)、還原日志級(jí)別細(xì)粒度的攻擊過(guò)程及攻擊結(jié)果，支持事件調(diào)查與取證。

溯源重構(gòu)的技術(shù)基礎(chǔ)，是刻畫(huà)、跟蹤行為信息流，以指定的攻擊樹(shù)、攻擊圖等形式組織相關(guān)日志，形成事件前因后果。從數(shù)據(jù)的角度來(lái)看，可將溯源過(guò)程建模為統(tǒng)計(jì)相關(guān)模型、信息傳播模型、圖關(guān)聯(lián)模型、因果模型等。統(tǒng)計(jì)相關(guān)性建模主要通過(guò)頻繁項(xiàng)/模式挖掘、注意力機(jī)制驅(qū)動(dòng)的序列模型等方式，識(shí)別統(tǒng)計(jì)層面的實(shí)體與行為關(guān)聯(lián)性，以定位與關(guān)鍵線(xiàn)索相關(guān)的最可疑證據(jù)鏈。信息傳播模型，基于圖數(shù)據(jù)和標(biāo)簽傳播，或先驗(yàn)傳播策略，主動(dòng)跟蹤關(guān)鍵操作、敏感數(shù)據(jù)的傳播路徑。圖關(guān)聯(lián)模型，同樣基于圖數(shù)據(jù)，通過(guò)圖神經(jīng)網(wǎng)絡(luò)、可解釋圖模型等模型算法，識(shí)別、抽象可疑的實(shí)體與子圖結(jié)構(gòu)，以及實(shí)體、子圖之間的關(guān)鍵行為邊，從而實(shí)現(xiàn)全局的攻擊事件高效抽取。因果模型，相對(duì)經(jīng)典統(tǒng)計(jì)模型主要考慮數(shù)據(jù)的相關(guān)性，因果建模通過(guò)因果推斷框架，如基于約束的貝葉斯網(wǎng)絡(luò)、反事實(shí)推理等，構(gòu)建具有相對(duì)穩(wěn)定性結(jié)構(gòu)的數(shù)據(jù)因果依賴(lài)鏈路與圖，以探索所采集各類(lèi)傳感器數(shù)據(jù)間的派生模式。整體來(lái)看，溯源與重建的關(guān)鍵在于數(shù)據(jù)的確定性關(guān)系推理。

3.6.10 威脅情報(bào)歸因

威脅情報(bào)歸因[20]（Threat Intelligence Attribution）的含義是基于威脅情報(bào)中的關(guān)鍵要素，例如技戰(zhàn)術(shù)模式、攻擊基礎(chǔ)設(shè)施、惡意軟件基因、攻擊意圖與目標(biāo)等，突破攻擊行為偽裝，識(shí)別、定位特定的攻擊者、攻擊組織等威脅主體，為事件的取證、溯源、歸因提供基礎(chǔ)，為防御反制措施的實(shí)施提供高置信度證據(jù)支持。

基于威脅情報(bào)實(shí)現(xiàn)攻擊行為、事件歸因的關(guān)鍵，在于情報(bào)的深度關(guān)聯(lián)與置信度評(píng)估。在情報(bào)深度關(guān)聯(lián)方面，最重要的驅(qū)動(dòng)力還是情報(bào)的標(biāo)準(zhǔn)化與規(guī)范化。這一點(diǎn)上STIX 2.0情報(bào)標(biāo)準(zhǔn)、ATT＆CK技戰(zhàn)術(shù)矩陣、CAPEC攻擊和脆弱性枚舉庫(kù)等開(kāi)源數(shù)據(jù)庫(kù)、標(biāo)準(zhǔn)的完善，推進(jìn)了整個(gè)網(wǎng)絡(luò)空間威脅情報(bào)體系水平交互的完備化。此外，情報(bào)與本地化分析檢測(cè)數(shù)據(jù)的聯(lián)動(dòng)，是情報(bào)細(xì)粒度語(yǔ)義富化等垂直交互的重要組成。經(jīng)典的數(shù)據(jù)驅(qū)動(dòng)情報(bào)關(guān)聯(lián)方法包括基于草圖提?。℅raph Sketches）的情報(bào)聚類(lèi)方法、基于子圖模式搜索的情報(bào)行為匹配、基于基因/血緣分析的惡意樣本關(guān)聯(lián)、基于知識(shí)圖譜的語(yǔ)義推理關(guān)聯(lián)等。情報(bào)關(guān)聯(lián)之外，威脅歸因的關(guān)鍵在于提升情報(bào)數(shù)據(jù)的置信度。置信度的評(píng)價(jià)一般通過(guò)基于區(qū)塊鏈的情報(bào)信譽(yù)機(jī)制、基于證據(jù)關(guān)聯(lián)命中評(píng)級(jí)方法、基于情報(bào)數(shù)據(jù)共享多方計(jì)算融合等方式實(shí)現(xiàn)。整體來(lái)看，威脅情報(bào)歸因的可用性首先是機(jī)制保障驅(qū)動(dòng)的，并通過(guò)數(shù)據(jù)智能支持證據(jù)強(qiáng)化。

3.6.11 告警分診與誤報(bào)緩解

告警分診（Alert Triage）與誤報(bào)緩解[21]的含義是基于告警統(tǒng)計(jì)、時(shí)序、語(yǔ)義、關(guān)聯(lián)等維度上下文，對(duì)告警進(jìn)行自動(dòng)化分類(lèi)，并評(píng)估其威脅等級(jí)，向運(yùn)營(yíng)者提供基于風(fēng)險(xiǎn)的告警排序列表，降低誤報(bào)對(duì)事件調(diào)查的干擾。

告警分診的關(guān)鍵在于充分提取、過(guò)濾、組裝、推斷告警關(guān)聯(lián)的事件上下文，并以可量化、可理解的方式向運(yùn)營(yíng)人員提供風(fēng)險(xiǎn)排序值。從上下文自動(dòng)化構(gòu)建的角度，可劃分為以下多個(gè)維度：

（1）統(tǒng)計(jì)上下文，主要是指告警及其關(guān)聯(lián)實(shí)體、行為的統(tǒng)計(jì)頻率、共現(xiàn)頻率建模。一個(gè)統(tǒng)計(jì)建模的經(jīng)典假設(shè)是：從異常檢測(cè)和大數(shù)定理的角度看，高頻次告警所蘊(yùn)含的威脅信息較少。

（2）語(yǔ)義上下文，指告警間的觸發(fā)時(shí)序和組合模式，指示了指定的事件規(guī)律或用戶(hù)行為模式，通過(guò)主題分析、詞嵌入等基于語(yǔ)言模型的建模方法，能夠挖掘潛在的語(yǔ)義關(guān)聯(lián)，提升告警的關(guān)聯(lián)分析語(yǔ)義內(nèi)涵。

（3）信息上下文，指相關(guān)網(wǎng)絡(luò)實(shí)體的信息流傳遞過(guò)程。通過(guò)系統(tǒng)級(jí)的數(shù)據(jù)、實(shí)體及行為標(biāo)注，結(jié)合先驗(yàn)規(guī)則和基于圖的標(biāo)簽傳播算法，以估計(jì)、推斷敏感數(shù)據(jù)的關(guān)鍵傳播路徑。

（4）意圖上下文，指告警涉及技術(shù)的高層戰(zhàn)術(shù)意圖抽象。通過(guò)Kill Chain、ATT＆CK等威脅建模方式，可以把告警直接對(duì)應(yīng)到指定的戰(zhàn)術(shù)階段當(dāng)中。更動(dòng)態(tài)的，可通過(guò)抽象的行為模板或統(tǒng)計(jì)方法，自動(dòng)抽取實(shí)時(shí)數(shù)據(jù)的抽象意圖。

上下文的提取不限于以上方式，關(guān)鍵是從風(fēng)險(xiǎn)驅(qū)動(dòng)的各個(gè)維度，包括資產(chǎn)、脆弱性、威脅等，提取告警關(guān)聯(lián)的“故事細(xì)節(jié)”。細(xì)節(jié)的豐富程度，決定了告警分診的置信度參數(shù)。

3.6.12 態(tài)勢(shì)感知與預(yù)警

態(tài)勢(shì)感知與預(yù)警的含義是以系統(tǒng)的、整體的、全局的視角，基于網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)、情報(bào)數(shù)據(jù)等，抽取、聚合、抽象網(wǎng)絡(luò)空間關(guān)鍵要素，針對(duì)環(huán)境變化、攻擊意圖、行為趨勢(shì)進(jìn)行理解，持續(xù)監(jiān)測(cè)安全狀態(tài)，預(yù)警可能發(fā)生的風(fēng)險(xiǎn)事件，為事件應(yīng)急處置提供必要的決策依據(jù)[22]。

態(tài)勢(shì)感知技術(shù)的關(guān)鍵在于態(tài)勢(shì)要素的提取、融合、消歧，及基于要素?cái)?shù)據(jù)的關(guān)系推理。從威脅情報(bào)的角度理解態(tài)勢(shì)要素，可包含攻擊模式、戰(zhàn)役、防護(hù)策略、身份、威脅指標(biāo)、惡意軟件、脆弱性、工具、攻擊者等風(fēng)險(xiǎn)關(guān)聯(lián)要素。以網(wǎng)絡(luò)中攻擊者的行為模式為例，通過(guò)安全日志、威脅情報(bào)數(shù)據(jù)提取行為特征，并基于特征集合和特征關(guān)系的相似程度定義攻擊模式，從而將日志數(shù)據(jù)抽象成攻擊行為事件，實(shí)現(xiàn)對(duì)海量多源異構(gòu)日志數(shù)據(jù)的融合并范式化為以攻擊模式為主的安全事件，為安全事件分析推理奠定數(shù)據(jù)基礎(chǔ)。在推理方面，可基于融合的知識(shí)圖譜結(jié)構(gòu)，結(jié)合圖表示學(xué)習(xí)、社交網(wǎng)絡(luò)傳播、團(tuán)伙聚類(lèi)、路徑搜索與推理等方法，在本體實(shí)例化數(shù)據(jù)上完成語(yǔ)義對(duì)齊與擴(kuò)充、攻擊鏈推理、攻擊事件聚合溯源等任務(wù)，以識(shí)別關(guān)鍵局部風(fēng)險(xiǎn)與整體風(fēng)險(xiǎn)點(diǎn)。

3.6.13 風(fēng)險(xiǎn)偏好學(xué)習(xí)

風(fēng)險(xiǎn)偏好學(xué)習(xí)的含義是打通人機(jī)交互的閉環(huán)，通過(guò)收集反饋信息，學(xué)習(xí)專(zhuān)家潛在的、運(yùn)營(yíng)導(dǎo)向的風(fēng)險(xiǎn)偏好，識(shí)別決定資產(chǎn)、威脅、脆弱性、策略等運(yùn)營(yíng)要素風(fēng)險(xiǎn)值的關(guān)鍵數(shù)據(jù)特征，實(shí)現(xiàn)知識(shí)先驗(yàn)與數(shù)據(jù)規(guī)律的深度融合，提升系統(tǒng)的決策輔助能力。

風(fēng)險(xiǎn)偏好學(xué)習(xí)的關(guān)鍵是面向風(fēng)險(xiǎn)的特征提取與基于用戶(hù)反饋的偏好擬合。限于時(shí)間開(kāi)銷(xiāo)，傳統(tǒng)安全運(yùn)營(yíng)的驅(qū)動(dòng)力是一些固化的、靜態(tài)的、基于經(jīng)驗(yàn)的策略集合。例如特定的漏洞等級(jí)、威脅等級(jí)與類(lèi)型等等。而數(shù)據(jù)層次動(dòng)態(tài)的關(guān)聯(lián)關(guān)系、依賴(lài)關(guān)系，需要通過(guò)數(shù)據(jù)挖掘的方式進(jìn)行抽取，這些特征通過(guò)資產(chǎn)、脆弱性、威脅、防護(hù)策略等風(fēng)險(xiǎn)維度進(jìn)行組織形成風(fēng)險(xiǎn)特征集合，能夠向技術(shù)平臺(tái)消費(fèi)者——運(yùn)營(yíng)人員提供數(shù)據(jù)洞見(jiàn)，輔助事件的理解與策略的選擇。進(jìn)一步，通過(guò)構(gòu)建友好的、可理解的人機(jī)交互界面，收集專(zhuān)家在運(yùn)營(yíng)流程中的訪(fǎng)問(wèn)行為、偏好分?jǐn)?shù)、頁(yè)面駐留、描述性反饋等關(guān)鍵信息，在系統(tǒng)后臺(tái)，基于機(jī)器學(xué)習(xí)或強(qiáng)化學(xué)習(xí)算法，實(shí)現(xiàn)對(duì)用戶(hù)偏好與風(fēng)險(xiǎn)特征集合的數(shù)據(jù)擬合或自動(dòng)調(diào)整，自適應(yīng)更新大規(guī)模漏洞、資產(chǎn)、線(xiàn)索、事件、策略的動(dòng)態(tài)用戶(hù)認(rèn)知風(fēng)險(xiǎn)，最終向運(yùn)營(yíng)專(zhuān)家提供量化風(fēng)險(xiǎn)的排序結(jié)果。

3.6.14 攻擊模擬動(dòng)態(tài)規(guī)劃

攻擊模擬動(dòng)態(tài)規(guī)劃的含義是基于環(huán)境信息和攻擊能力圖譜，自適應(yīng)評(píng)估攻擊模擬效果，實(shí)時(shí)調(diào)整下一步攻擊策略、技術(shù)實(shí)現(xiàn)與路徑選擇，支撐自動(dòng)化突破與攻擊模擬技術(shù)[23]，提升滲透測(cè)試、脆弱性評(píng)估等主動(dòng)風(fēng)險(xiǎn)感知運(yùn)營(yíng)環(huán)節(jié)的自動(dòng)化水平。

攻擊模擬動(dòng)態(tài)規(guī)劃的關(guān)鍵在于動(dòng)作、狀態(tài)、環(huán)境和反饋結(jié)果的動(dòng)態(tài)建模，以及基于模型空間的學(xué)習(xí)過(guò)程。在建模方面，核心是規(guī)劃關(guān)聯(lián)元素的量化表達(dá)、交互流程、狀態(tài)更新函數(shù)的設(shè)計(jì)。在學(xué)習(xí)方法上，動(dòng)態(tài)規(guī)劃、博弈建模、強(qiáng)化學(xué)習(xí)、遞歸貝葉斯估計(jì)等經(jīng)典動(dòng)態(tài)決策框架和算法能夠捕獲攻擊策略選擇、多元環(huán)境信息與指定攻陷目標(biāo)函數(shù)之間的潛在模式，實(shí)現(xiàn)長(zhǎng)周期、多階段的路徑自動(dòng)化規(guī)劃。

3.6.15 自適應(yīng)防護(hù)策略生成

自適應(yīng)防護(hù)策略生成的含義是針對(duì)持續(xù)的線(xiàn)索發(fā)現(xiàn)、事件重構(gòu)、情報(bào)命中、脆弱性和資產(chǎn)識(shí)別的結(jié)果，基于指定的風(fēng)險(xiǎn)管控目標(biāo)，動(dòng)態(tài)地從可行防護(hù)策略候選列表中選擇最佳防護(hù)手段，并生成具有可執(zhí)行參數(shù)、步驟、任務(wù)依賴(lài)的防護(hù)策略集合[24]，供運(yùn)營(yíng)人員判定或交由調(diào)度單元直接下發(fā)到指定執(zhí)行單元。

自適應(yīng)防護(hù)策略生成的核心在于博弈驅(qū)動(dòng)的策略效果預(yù)估與在線(xiàn)策略要素提取。策略效果預(yù)估可類(lèi)比強(qiáng)化學(xué)習(xí)中的回報(bào)函數(shù)設(shè)計(jì)。策略回報(bào)的計(jì)算需要考慮具體的運(yùn)營(yíng)場(chǎng)景。日志或漏洞分診場(chǎng)景中，漏洞潛在風(fēng)險(xiǎn)、事件規(guī)模對(duì)人力資源的要求、平均關(guān)鍵任務(wù)調(diào)查處置時(shí)間等因素值得關(guān)注；攻擊事件響應(yīng)場(chǎng)景下，對(duì)正常業(yè)務(wù)的誤殺率、攻擊事件的阻斷率、策略執(zhí)行周期、策略回收周期等因素影響回報(bào)的計(jì)算結(jié)果。核心回報(bào)激勵(lì)計(jì)算之外，環(huán)境、行動(dòng)、策略狀態(tài)空間的構(gòu)建，也是強(qiáng)化學(xué)習(xí)等馬爾科夫決策框架的重點(diǎn)。防護(hù)策略的制定不止于選定特定的策略類(lèi)型，還需相應(yīng)的配置策略參數(shù)，包括策略自身的閾值、選項(xiàng)、作用域等，以及作用對(duì)象的特征、狀態(tài)、趨勢(shì)等等。這些策略參數(shù)一方面需要結(jié)合前述學(xué)習(xí)過(guò)程習(xí)得統(tǒng)計(jì)性、關(guān)聯(lián)性映射，另一方面需要自適應(yīng)的數(shù)據(jù)模式抽取算法，提供在線(xiàn)的、實(shí)時(shí)的元素特征。

3.6.16 透明可審計(jì)響應(yīng)

透明可審計(jì)響應(yīng)的含義是自動(dòng)化的事件響應(yīng)需要保持足夠的透明度，并提供可供審計(jì)的接口與響應(yīng)審計(jì)范本，以在保證系統(tǒng)行動(dòng)自主性的同時(shí)，向運(yùn)營(yíng)人員提供完整的、細(xì)粒度、結(jié)構(gòu)化、可量化的響應(yīng)流程、關(guān)鍵數(shù)據(jù)及其效果反饋[25]，實(shí)現(xiàn)自動(dòng)化響應(yīng)技術(shù)整體可管控。透明可審計(jì)響應(yīng)能力的實(shí)現(xiàn)是橫跨整個(gè)智能數(shù)據(jù)驅(qū)動(dòng)技術(shù)棧的，是感知-認(rèn)知-決策-行動(dòng)的融合體現(xiàn)。

行動(dòng)響應(yīng)透明可審計(jì)的關(guān)鍵在于關(guān)聯(lián)技術(shù)的透明可解釋性、行動(dòng)目標(biāo)一致性判定及結(jié)構(gòu)化響應(yīng)報(bào)告生成。行動(dòng)響應(yīng)（告警分診、事件響應(yīng)、故障恢復(fù)）的執(zhí)行依賴(lài)多個(gè)前置技術(shù)能力，這些技術(shù)能力的實(shí)現(xiàn)過(guò)程中需要兼顧模型、方法的可解釋性，具體可參考前述章節(jié)，不在此贅述。策略的部署執(zhí)行的效果，需要行動(dòng)單元驅(qū)動(dòng)感知單元、認(rèn)知單元和決策單元，共同收集并判定，以有效監(jiān)控、評(píng)估與預(yù)期目標(biāo)的偏差量。最后，在行動(dòng)階段，需要持續(xù)匯集決策輸出、響應(yīng)狀態(tài)、環(huán)境反饋等維度的響應(yīng)要素度量值，并通過(guò)結(jié)構(gòu)化、指標(biāo)化形式的響應(yīng)審計(jì)報(bào)告。防護(hù)策略樹(shù)（Attack Countermeasure Trees, ACT）框架通過(guò)構(gòu)建量化的策略決策體系，并以樹(shù)形結(jié)構(gòu)組織策略的觸發(fā)條件與依賴(lài)關(guān)系，能夠以精確的、因果導(dǎo)向的方式表達(dá)、概述行動(dòng)流程。除了樹(shù)模型之外，基于馬爾科夫框架的、基于因果依賴(lài)圖的結(jié)構(gòu)化響應(yīng)概述方法，都能夠有效融合多維度策略響應(yīng)元素，形成可解釋、可審計(jì)的響應(yīng)反饋數(shù)據(jù)結(jié)構(gòu)。

以上技術(shù)圖譜中的技術(shù)之間有著復(fù)雜的依賴(lài)關(guān)系。整體來(lái)看，層次高、位置偏上的技術(shù)實(shí)現(xiàn)與有效性依賴(lài)其下方技術(shù)的實(shí)現(xiàn)效果。例如，因果認(rèn)知中的告警分診與誤報(bào)緩解技術(shù)，依賴(lài)于同層次攻擊意圖理解的建模，以及更低層次的技術(shù)，包括風(fēng)險(xiǎn)感知與融合建模的多項(xiàng)子技術(shù)。值得注意的是，圖8中技術(shù)的依賴(lài)關(guān)系與位置關(guān)系不是明確對(duì)應(yīng)的。還是以告警分診與誤報(bào)緩解技術(shù)為例，其與攻擊路徑溯源技術(shù)之間是互相依賴(lài)的。溯源技術(shù)提供的上下文能支撐更為準(zhǔn)確的告警分診；同時(shí)有效地剔除誤報(bào)、識(shí)別高危告警，能夠減輕依賴(lài)爆炸、降低溯源的難度，提升攻擊者、攻擊源識(shí)別的效率。

圖8 AISecOps前沿技術(shù)分類(lèi)圖譜Fig.8 Classification profile for AISecOps frontier technologies

4 總結(jié)與展望

網(wǎng)絡(luò)安全技術(shù)發(fā)展已進(jìn)入以安全風(fēng)險(xiǎn)全生命周期自適應(yīng)管控與運(yùn)營(yíng)為核心的新階段，面對(duì)大規(guī)模、多源、高維運(yùn)營(yíng)數(shù)據(jù)的涌入與融合，構(gòu)建可信任的、可運(yùn)營(yíng)的智能安全運(yùn)營(yíng)技術(shù)體系，支撐網(wǎng)絡(luò)安全防御體系邁向高度智能化、自動(dòng)化，解放安全運(yùn)營(yíng)的生產(chǎn)力，已成為新基建數(shù)字安全時(shí)代的重要技術(shù)課題。

本文全面分析了網(wǎng)絡(luò)安全運(yùn)營(yíng)大數(shù)據(jù)所面臨的關(guān)鍵技術(shù)挑戰(zhàn)，提出AISecOps智能安全運(yùn)營(yíng)技術(shù)體系框架。從安全運(yùn)營(yíng)的實(shí)踐出發(fā)，深度總結(jié)AISecOps技術(shù)內(nèi)涵、指標(biāo)體系、成熟度矩陣、數(shù)據(jù)分類(lèi)、技術(shù)架構(gòu)，提出AISecOps智能化技術(shù)分類(lèi)圖譜，系統(tǒng)性總結(jié)十六大關(guān)鍵基礎(chǔ)性技術(shù)，期望技術(shù)體系的提出能夠促進(jìn)AISecOps技術(shù)體系的成熟與行業(yè)生態(tài)的共建，為網(wǎng)絡(luò)安全運(yùn)營(yíng)技術(shù)的發(fā)展提供實(shí)踐驅(qū)動(dòng)的基礎(chǔ)推動(dòng)力。

利益沖突聲明

所有作者聲明不存在利益沖突關(guān)系。