在網(wǎng)絡(luò)安全領(lǐng)域,,將人工智能技術(shù)融入安全產(chǎn)品已成為數(shù)字時代下安全發(fā)展的新趨勢,兩者的有效結(jié)合能夠加強(qiáng)網(wǎng)絡(luò)風(fēng)險的自動化預(yù)測,、識別,、響應(yīng),、處置能力,。但人工智能技術(shù)需有效融入安全產(chǎn)品,對網(wǎng)絡(luò)風(fēng)險進(jìn)行自動化的預(yù)測,、識別,、響應(yīng)、處置,,AI 算法和模型必須獲取到海量且多維的安全大數(shù)據(jù),,不斷地進(jìn)行“訓(xùn)練”和“驗證”,才能進(jìn)行有效的“思考”和作出最優(yōu)的“決策”,,得以實時進(jìn)化,,方能具備真正的智能安全。
一,、安全大數(shù)據(jù)的特點
網(wǎng)絡(luò)安全領(lǐng)域的大數(shù)據(jù)不同于普通大數(shù)據(jù),,它的獲取渠道、獲取難度,、數(shù)據(jù)關(guān)注維度都有自己鮮明的特點,。傳統(tǒng)的消費(fèi)領(lǐng)域大數(shù)據(jù),關(guān)注的更多是企業(yè),、個體的商業(yè)和生活行為,,透過交易特征、消費(fèi)偏好,、行動軌跡等,,去判斷背后的交易喜好、生活和消費(fèi)習(xí)慣,,從而變現(xiàn)商業(yè)價值,。這涉及很多個人隱私,也成為“大數(shù)據(jù)之殤”,,成為監(jiān)管的重點,。
1. 不同于普通大數(shù)據(jù),不涉及用戶隱私
安全大數(shù)據(jù)不關(guān)注上述商業(yè)行為和個人隱私,而更關(guān)注那些網(wǎng)絡(luò)“作惡者”在網(wǎng)絡(luò)上的行為,,更關(guān)注安全風(fēng)險和異常,。如關(guān)注哪些數(shù)據(jù)是惡意攻擊行為,是否在做黑產(chǎn)交易,,是否為分布式拒絕服務(wù)攻擊(DDoS)攻擊,,是否為爬蟲行為等。
2. 關(guān)注“安全治理,、安全風(fēng)險”
安全大數(shù)據(jù)更加關(guān)注與網(wǎng)絡(luò)空間安全治理,、網(wǎng)絡(luò)安全風(fēng)險相關(guān)的大數(shù)據(jù),關(guān)注黑客,、行為,、資產(chǎn)。涉及網(wǎng)絡(luò)安全風(fēng)險相關(guān)的數(shù)據(jù),,對于運(yùn)營主體的數(shù)據(jù)安全,、合規(guī)性、資產(chǎn)安全,、業(yè)務(wù)安全都是非常重要的參考和響應(yīng)處置的依據(jù),。
3. 安全大數(shù)據(jù)關(guān)注的細(xì)分維度
在實際中,安全大數(shù)據(jù)可分為以下三個方面,。攻擊行為數(shù)據(jù),,如攻擊的具體類型,攻擊者習(xí)慣使用的平臺,、工具,,語言等,從而對攻擊者的攻擊行為進(jìn)行相應(yīng)判斷,。攻擊者畫像數(shù)據(jù),,主要是攻擊留下的痕跡等多維數(shù)據(jù)信息,據(jù)此判斷攻擊者的類型,,對攻擊者進(jìn)行畫像,,這需要多維數(shù)據(jù)作為參考,進(jìn)行綜合分析,,輔助一定時間的數(shù)據(jù)積累,。資產(chǎn)數(shù)據(jù),通過網(wǎng)絡(luò)空間測繪或漏洞掃描可以獲取到互聯(lián)網(wǎng)的資產(chǎn)數(shù)據(jù),,也可以獲得企業(yè)內(nèi)部的已知或未知的網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù),。
二、安全大數(shù)據(jù)的獲取渠道
安全大數(shù)據(jù)從哪里獲???對于本地化部署的網(wǎng)絡(luò)安全解決方案,,由于安全設(shè)備部署在用戶現(xiàn)場,只能在用戶本地根據(jù)客戶需求和許可,,對數(shù)據(jù)進(jìn)行采集,、分析,無法獲取到真正的安全大數(shù)據(jù),。而且,,僅僅單個用戶的安全數(shù)據(jù),量級較小,、維度單一,,不利于機(jī)器學(xué)習(xí)算法和模型的優(yōu)化和調(diào)優(yōu)。
對于互聯(lián)網(wǎng)企業(yè)和 SaaS 部署的安全企業(yè),,由于安全產(chǎn)品部署在云上,,所有部署其 SaaS 安全產(chǎn)品的用戶,其安全數(shù)據(jù)(如攻擊行為,、活動軌跡,、IP 信息,、資產(chǎn)信息等)都會直接同步到云端數(shù)據(jù)中心,,形成海量安全大數(shù)據(jù),并不斷投喂給機(jī)器學(xué)習(xí)算法模型進(jìn)行實時分析,,從而進(jìn)一步自動調(diào)整算法,,讓安全能力實時進(jìn)化提升。
目前,,能夠獲取安全大數(shù)據(jù)的主要渠道有:云測繪,、云監(jiān)測、云防御和安全探針類的云端設(shè)備和平臺,。
1. 云測繪:全球網(wǎng)絡(luò)空間測繪獲取的大量 IP資產(chǎn)數(shù)據(jù)
網(wǎng)絡(luò)空間資產(chǎn)測繪對象主要集中在 IPv4,、IPv6、域名,、暗網(wǎng)等方面,,以知道創(chuàng)宇的網(wǎng)絡(luò)空間資產(chǎn)測繪項目 ZoomEye (鐘馗之眼)為例,迄今為止收集了超 30 個億的 IPv6 地址并進(jìn)行測繪,。
獲取數(shù)據(jù)的核心能力包括很多細(xì)節(jié),,如此多的數(shù)據(jù)需要部署大量的探測節(jié)點,那么就存在各種“對抗”的問題,,節(jié)點會被“禁止”等,,而解決這些問題正是獲取數(shù)據(jù)能力的體現(xiàn)。ZoomEye 通過全球部署的 1000+ 節(jié)點對全球網(wǎng)絡(luò)空間資產(chǎn)進(jìn)行 7×24 小時不間斷資產(chǎn)測繪,,通過十幾年的積累,,目前擁有100 億網(wǎng)絡(luò)空間測繪數(shù)據(jù)。
2. 云監(jiān)測:覆蓋全球的安全風(fēng)險監(jiān)測數(shù)據(jù)
云監(jiān)測可以理解為全球黑客信息的搬運(yùn)工,通過軟件即服務(wù)(SaaS)的部署方式,,云監(jiān)測可持續(xù)不斷監(jiān)測到全球最新的網(wǎng)絡(luò)攻擊,、漏洞數(shù)據(jù)、黑客指紋數(shù)據(jù),、威脅情報等數(shù)據(jù)信息,。以知道創(chuàng)宇的云監(jiān)測產(chǎn)品圖譜為例,其中有對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行監(jiān)測的 NDR 流量監(jiān)測產(chǎn)品,;對網(wǎng)絡(luò)空間的威脅監(jiān)測及收集威脅數(shù)據(jù)的產(chǎn)品,;監(jiān)測收集黑客指紋數(shù)據(jù)的全球黑客追蹤系統(tǒng);監(jiān)測漏洞數(shù)據(jù)的 ScanV Max,、WebSOC 等,,這些產(chǎn)品形成了具有大覆蓋范圍的云監(jiān)測矩陣,產(chǎn)生了源源不斷的安全數(shù)據(jù),。
3. 云防御:在線防護(hù)業(yè)務(wù)系統(tǒng)產(chǎn)生的真實攻防大數(shù)據(jù)
通過 SaaS 形式為客戶部署 Web 應(yīng)用防火墻(云WAF),,不僅可對客戶實施貼身防護(hù),同時安全廠商自然獲得了大量真實的攻防數(shù)據(jù),,這些數(shù)據(jù)進(jìn)入到云端大數(shù)據(jù)平臺進(jìn)行融合,,攻防信息可同時分發(fā)給所有的云端客戶,當(dāng)受到同樣類型攻擊時,,可有效進(jìn)行阻斷和防護(hù),,做到“一網(wǎng)攻擊、全網(wǎng)防御”,。
從云測繪,、云監(jiān)測、云防御系列組合得到的攻防大數(shù)據(jù),,與 AI 算法和模型相結(jié)合,,可被用于對異常風(fēng)險的發(fā)現(xiàn)和自動化處置。通過數(shù)據(jù)生產(chǎn)引擎,、AI 智能分析引擎,,基于場景優(yōu)化的深度學(xué)習(xí)的神經(jīng)網(wǎng)絡(luò)技術(shù)和算法,可對異常行為進(jìn)行特征分析,,如異常的登錄,、偏離度較大的異常行為等。同時,,針對不同業(yè)務(wù)場景收集網(wǎng)絡(luò)攻擊情報,,根據(jù)安全大數(shù)據(jù)生成不同的風(fēng)險策略模型,將其同步到實時攻擊行為特征的策略模型中,,當(dāng)識別到遭遇同一特征模型的風(fēng)險時,,可做到即時識別并攔截,。
在安全大數(shù)據(jù) +AI 技術(shù)的互相促進(jìn)下,源源不斷的安全大數(shù)據(jù)可讓網(wǎng)絡(luò)安全體系更具“彈性”,。越來越智能的網(wǎng)絡(luò)安全體系,,可更加靈敏的感知異常、自動化響應(yīng)和快速處置,,讓網(wǎng)絡(luò)具備較強(qiáng)的運(yùn)營連續(xù)性,、組織韌性和良好的業(yè)務(wù)彈性。
