高級持續(xù)性威脅因其形式多變、持久化、對抗性強及隱蔽性強的特點使得企業(yè)的安全防護所面臨的挑戰(zhàn)愈加嚴峻，但任何事情都具有兩面性，它在為企業(yè)帶來巨大安全風險的同時，也催生出了很多新型防護技術(shù)，人工智能的應(yīng)用就是其中之一。

　　北京金睛云華科技有限公司

　　技術(shù)總監(jiān)  富吉祥

　　現(xiàn)代社會，人工智能的廣泛應(yīng)用已經(jīng)不再是什么新鮮事了，它為“危機四伏”的網(wǎng)絡(luò)安全環(huán)境帶來了新的防護手段，而且最直接的優(yōu)點之一就是解放了勞動力，對于網(wǎng)絡(luò)安全運營團隊來說，人工智能的引入讓他們在面多枯燥繁雜的數(shù)據(jù)告警壓力時看到了新的希望。但理論的誕生到技術(shù)的落地是一個充滿荊棘的過程，尤其對于存在情報竊取、網(wǎng)絡(luò)攻擊即服務(wù)和勒索軟件攻擊等嚴峻威脅的高級威脅防護領(lǐng)域，任何監(jiān)測上的紕漏都可能會對企業(yè)造成無法挽回的傷害，對于一些國家關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)企業(yè)和監(jiān)管部門來說，更是不能有絲毫馬虎。人工智能在高級威脅防護領(lǐng)域的實踐與落地始終備受關(guān)注。因此，本期牛人訪談我們邀請到了北京金睛云華科技有限公司（以下簡稱“金睛云華”）的技術(shù)總監(jiān)富吉祥，針對高級威脅防護技術(shù)的發(fā)展情況，尤其是人工智能在該領(lǐng)域的實際應(yīng)用方向和具體應(yīng)用能力，以及其未來的發(fā)展展望進行了詳細的解讀，以下是訪談內(nèi)容：

　　安全牛

　　您認為行業(yè)內(nèi)高級威脅檢測技術(shù)發(fā)展歷程如何？現(xiàn)階段是一個怎樣的狀態(tài)？

　　富吉祥：

　　從高級威脅檢測產(chǎn)品上來看，行業(yè)內(nèi)從關(guān)注入侵檢測系統(tǒng)IDS到基于全流量分析的NTA/NDR，再到最近比較“熱”的XDR，即將EDR、NDR和MDR等系統(tǒng)結(jié)合到統(tǒng)一平臺上的這樣的變化。檢測技術(shù)也從關(guān)注特征檢測轉(zhuǎn)變到了行為分析檢測，并且業(yè)內(nèi)對于高級威脅攻擊的過程和技戰(zhàn)術(shù)手段的關(guān)注也在不斷增加。

　　防火墻、殺軟和IDS這“老三樣”是最初特征檢測階段最常用的工具，而發(fā)展到現(xiàn)如今對行為分析檢測更加關(guān)注之后，全流量分析產(chǎn)品也開始融入智能行為分析技術(shù)，比如可以采用自動化沙箱技術(shù)來分析惡意文件的主機和網(wǎng)絡(luò)行為，然后再對行為結(jié)果進行智能分析研判?？梢詫W(wǎng)絡(luò)中的惡意或異常流量進行行為建模，通過行為模式分析發(fā)現(xiàn)網(wǎng)絡(luò)安全風險。

　　安全牛

　　高級威脅檢測系統(tǒng)與傳統(tǒng)的威脅檢測產(chǎn)品相比技術(shù)難點有哪些？

　　富吉祥：

　　APT等高級威脅通常是一個長期連續(xù)的事件過程，從入侵到橫向移動，再到獲取目標數(shù)據(jù)會涉及到多種攻擊的組合。在現(xiàn)在復(fù)雜的網(wǎng)絡(luò)流量環(huán)境中，IDS類產(chǎn)品的告警數(shù)量非常多，它會識別到上述攻擊流程的部分攻擊事件并進行告警，但無法識別一些新型的、變種后的網(wǎng)絡(luò)攻擊，同時也無法對上述整個攻擊過程中的事件進行綜合分析研判，需要耗費安全運營團隊的大量時間在海量告警中挖掘。這是APT高級威脅檢測產(chǎn)品相對于傳統(tǒng)威脅檢測產(chǎn)品要解決的難點。

　　與此同時，如何在海量網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)威脅線索、特別是特征檢測技術(shù)不能發(fā)現(xiàn)的高級威脅，如0day/Nday漏洞攻擊、惡意的加密流量、變種樣本或新產(chǎn)生的惡意文件也是APT威脅檢測產(chǎn)品的技術(shù)難點所在。解決這一難點的方法可以利用沙箱的惡意文件行為分析技術(shù)及基于人工智能的威脅行為分析技術(shù)。

　　沙箱可以理解為設(shè)備上的一個虛擬操作系統(tǒng)環(huán)境，其中內(nèi)置了office、Adobe等軟件環(huán)境，當文件進入沙箱之后，首先會掃描文件的靜態(tài)構(gòu)成，然后會在虛擬環(huán)境中去運行這一文件，運行之后就會產(chǎn)生本地行為，比如修改了系統(tǒng)文件或啟動了某項進程等，然后沙箱會根據(jù)這些行為來判斷是否是惡意行為，判定出相應(yīng)的威脅程度；另外這個文件在虛擬環(huán)境中，還可能出現(xiàn)外聯(lián)互聯(lián)網(wǎng)的行為，外聯(lián)流量會被送入流量監(jiān)測引擎進行研判，如是否命中了惡意域名的黑名單等，最后沙箱根據(jù)這些綜合的行為判斷樣本的危害性。

安全牛

　　您上述提到的人工智能技術(shù)在高級威脅檢測中具體是怎樣實現(xiàn)的？發(fā)揮了怎樣的作用？

　　富吉祥：

　　人工智能技術(shù)可以很好的應(yīng)用于圖像識別、模式識別（如語言識別）和自然語言處理等領(lǐng)域。通過將部分安全問題映射到圖像、模式和文本類數(shù)據(jù)，就可以利用人工智能的預(yù)測能力發(fā)現(xiàn)傳統(tǒng)特征檢測技術(shù)無法發(fā)現(xiàn)的未知威脅和高級威脅。即基于基因圖譜技術(shù)檢測惡意文件變種；基于步態(tài)指紋技術(shù)檢測惡意加密流量及隱蔽隧道這些通過防火墻或IDS無法識別的威脅；基于自然語言處理的技術(shù)實現(xiàn)對DGA域名和SQL注入、XSS、Webshell等WEB類攻擊等。

　　展開來說，基因圖譜技術(shù)就是我們通過B2G算法把一個文件映射成一張圖像，當我們的數(shù)據(jù)樣本足夠多時，就會有大量的圖像，基于圖像相似度進行聚類并進行家族標記，通常是相同惡意文件家族的圖像會聚類到一起。這時我們再通過人工智能的CNN算法對其進行圖像識別訓練，訓練之后，人工智能就可以通過CNN模型識別出一個個威脅“家族”的文件基因，后續(xù)把待檢測樣本通過這個模型進行檢測，就能識別出具有相應(yīng)“家族”基因的惡意文件新變種。

　　步態(tài)指紋技術(shù)與此類似，我舉個例子，每個人走路的步調(diào)是不同的，具體體現(xiàn)在步伐大小和頻率上。同理，一個惡意樣本的外聯(lián)加密流量或惡意加密攻擊行為也會有一個客戶端同服務(wù)端的多輪交互過程，我們會對這個過程中流量的數(shù)據(jù)包傳輸頻率、方向、大小及其中的協(xié)議特征進行分析，最后基于上述數(shù)據(jù)生成特征向量，這個特征向量其實就是對網(wǎng)絡(luò)交互過程的行為模式的描述，通過訓練使人工智能模型能夠有效的識別這類過程的技術(shù)就是步態(tài)指紋技術(shù)，針對隱秘隧道建模也是同理。

　　第三個就是自然語言處理技術(shù)，通過該技術(shù)對大量有威脅和正常的文本構(gòu)成進行語義和詞頻特征提取，然后基于這些特征向量，建立威脅識別模型，基于這個模型對新產(chǎn)生的文本數(shù)據(jù)進行威脅智能識別。以上三種技術(shù)就是基于圖像識別、模式識別、文本數(shù)據(jù)識別等建模過程，實現(xiàn)了利用人工智能技術(shù)對高級威脅和未知威脅的檢測能力。

　　安全牛

　　很多APT攻擊是有潛伏期的，潛伏期內(nèi)的威脅可以檢測到嗎？另外，通過人工智能技術(shù)對高級威脅攻擊整個過程中事件的關(guān)聯(lián)分析，也是一個溯源的過程，該過程目前可以達到一個怎樣的程度？

　　富吉祥：

　　潛伏就代表已經(jīng)入侵成功了，入侵成功之后，這些高級威脅肯定會有對外連接的心跳，因此連接心跳是識別潛伏期攻擊的很好的切入點。比如說某高級威脅是通過明文的心跳或者是隱蔽隧道（DNS隧道等）的方式去實現(xiàn)心跳連接的，那么識別這些外聯(lián)的過程是發(fā)現(xiàn)已經(jīng)被入侵的有效方式。

　　至于溯源，我們剛剛講攻擊的發(fā)生是個連續(xù)的過程，會有很多步驟，當發(fā)現(xiàn)攻擊后，也就是看到攻擊結(jié)果時，就會去排查是在哪一塊出現(xiàn)了問題，比如企業(yè)的財務(wù)的一些關(guān)鍵數(shù)據(jù)被外發(fā)出去了，就需要去排查它是在哪里被發(fā)出去的，查到之后還會進一步調(diào)查惡意威脅是怎樣入侵到這一設(shè)備的，郵件釣魚亦或是其他方式。

　　對于一個溯源的過程，具體要溯源到哪一步，取決于這個企業(yè)或者組織它對該事件的關(guān)注程度。比如說國家CERT、公安等監(jiān)管單位，溯源的過程可能就會更深入一些，有可能會去溯源到某一個實體。

　　對于某些關(guān)鍵信息基礎(chǔ)設(shè)施類大型企業(yè)，它可能也會溯源到是哪些組織或?qū)嶓w在實施攻擊，但是對很多中小企業(yè)或影響很小的攻擊類型，并不會溯源很深，這些企業(yè)組織更在意本次威脅事件在企業(yè)內(nèi)部的入口是什么、這些威脅是怎么進來的、消除風險后，后續(xù)是否還會再次發(fā)生……這是他們關(guān)注的重點。

　　安全牛

人工智能在實際落地中應(yīng)用并不廣泛，您認為阻礙人工智能在安全檢測領(lǐng)域的發(fā)展因素是什么？

　　富吉祥：

　　人工智能技術(shù)其實很多年前就被提出了，近幾年才逐漸“火”起來。這是因為它開始變得可落地了。過去，也有人工智能算法，但是算力不夠，導致人工智能訓練過程很慢，甚至不可實現(xiàn)；另外就是可用于訓練的數(shù)據(jù)不夠，不能讓模型實現(xiàn)很好的應(yīng)用效果。隨著GPU等算力的大規(guī)模提升，信息化和數(shù)字化發(fā)展進程的加快，可用于訓練的數(shù)據(jù)變得越來越多，人工智能技術(shù)更可落地了，并實現(xiàn)了很好的效果突破。

　　但相較于殺軟、規(guī)則檢測等技術(shù)手段，人工智能依舊屬于一個較新的前沿技術(shù)領(lǐng)域，在當前常用的檢測技術(shù)能產(chǎn)生一定效果情況下，發(fā)展并利用人工智能技術(shù)，首先需要企業(yè)認可這個方向，人工智能會給企業(yè)帶來實際的檢測效果及應(yīng)用價值，能夠解決具體的問題，這樣人工智能領(lǐng)域才能獲得持續(xù)的資源投入，長期研發(fā)和積累。

　　人工智能的發(fā)展需要技術(shù)人才支持，既懂人工智能又懂網(wǎng)絡(luò)安全的綜合人才依舊匱乏，這也是一個不利因素。而且人工智能的發(fā)展，需要選定要解決的具體細分領(lǐng)域的網(wǎng)絡(luò)安全問題，并持續(xù)收集大量的數(shù)據(jù)，根據(jù)需要進行標注，人工智能的效果和數(shù)據(jù)的質(zhì)量相關(guān)性很大，細分領(lǐng)域高質(zhì)量的安全數(shù)據(jù)缺失也是一個阻礙因素。

安全牛

　　您認為未來人工智能在高級威脅檢測領(lǐng)域的發(fā)展形式如何？在人工智能的助力下，網(wǎng)絡(luò)安全行業(yè)會迎來哪些新的改變？

　　富吉祥：

　　我認為隨著更多的網(wǎng)絡(luò)安全企業(yè)對人工智能威脅檢測的關(guān)注與投入，相信人工智能會在更多的細分威脅領(lǐng)域落地，達到不錯的效果。這里的細分領(lǐng)域，可能是針對某一類惡意加密流量的識別，或者是對特定網(wǎng)絡(luò)攻擊的識別等，當然，要想實現(xiàn)對這些細分領(lǐng)域的實際應(yīng)用落地，前提是一定要獲取大量的訓練數(shù)據(jù)并深入研究。

　　同時，已經(jīng)有很多研究表明人工智能技術(shù)也可用于網(wǎng)絡(luò)攻擊，如利用強化學習等技術(shù)可以自動化生成繞過多種殺軟的變種惡意文件及繞過傳統(tǒng)檢測工具的Web攻擊等，我們將會面臨更復(fù)雜、變化快速的高級威脅攻擊手段及載荷，所以，未來可能會出現(xiàn)基于人工智能技術(shù)的網(wǎng)絡(luò)攻擊和檢測手段的持續(xù)對抗及升級。

　　安全牛評

　　網(wǎng)絡(luò)安全中的攻防是相輔相成的，安全防護技術(shù)在進步的同時，攻擊者也在不斷提升自身的攻擊水平。高級威脅已經(jīng)成為大型企業(yè)關(guān)注的網(wǎng)絡(luò)安全威脅重點之一，一旦被高級威脅攻陷，造成的損失是不堪設(shè)想的。高級威脅潛伏期長，結(jié)構(gòu)復(fù)雜，僅通過人工手段很難發(fā)現(xiàn)。人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用還處于初級階段，但應(yīng)對以APT為代表的高級威脅時，卻急需人工智能技術(shù)的輔助。一方面，人工智能能提升威脅檢測的效率，減少重復(fù)性的人工操作；另一方面，隨著檢測數(shù)據(jù)類型增多、數(shù)據(jù)量龐大，只有人工智能才能在海量數(shù)據(jù)中發(fā)現(xiàn)威脅。隨著算法和算力的提升，人工智能將能發(fā)揮更大的作用，是安全產(chǎn)品必備的技術(shù)要點。