高級持續(xù)性威脅因其形式多變、持久化,、對抗性強(qiáng)及隱蔽性強(qiáng)的特點使得企業(yè)的安全防護(hù)所面臨的挑戰(zhàn)愈加嚴(yán)峻，但任何事情都具有兩面性，它在為企業(yè)帶來巨大安全風(fēng)險的同時，也催生出了很多新型防護(hù)技術(shù),，人工智能的應(yīng)用就是其中之一。

　　北京金睛云華科技有限公司

　　技術(shù)總監(jiān)  富吉祥

　　現(xiàn)代社會,，人工智能的廣泛應(yīng)用已經(jīng)不再是什么新鮮事了,，它為“危機(jī)四伏”的網(wǎng)絡(luò)安全環(huán)境帶來了新的防護(hù)手段，而且最直接的優(yōu)點之一就是解放了勞動力，對于網(wǎng)絡(luò)安全運營團(tuán)隊來說,，人工智能的引入讓他們在面多枯燥繁雜的數(shù)據(jù)告警壓力時看到了新的希望。但理論的誕生到技術(shù)的落地是一個充滿荊棘的過程,，尤其對于存在情報竊取,、網(wǎng)絡(luò)攻擊即服務(wù)和勒索軟件攻擊等嚴(yán)峻威脅的高級威脅防護(hù)領(lǐng)域，任何監(jiān)測上的紕漏都可能會對企業(yè)造成無法挽回的傷害,，對于一些國家關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)企業(yè)和監(jiān)管部門來說,，更是不能有絲毫馬虎。人工智能在高級威脅防護(hù)領(lǐng)域的實踐與落地始終備受關(guān)注,。因此,，本期牛人訪談我們邀請到了北京金睛云華科技有限公司（以下簡稱“金睛云華”）的技術(shù)總監(jiān)富吉祥，針對高級威脅防護(hù)技術(shù)的發(fā)展情況,，尤其是人工智能在該領(lǐng)域的實際應(yīng)用方向和具體應(yīng)用能力,，以及其未來的發(fā)展展望進(jìn)行了詳細(xì)的解讀，以下是訪談內(nèi)容：

　　安全牛

　　您認(rèn)為行業(yè)內(nèi)高級威脅檢測技術(shù)發(fā)展歷程如何,？現(xiàn)階段是一個怎樣的狀態(tài),？

　　富吉祥：

　　從高級威脅檢測產(chǎn)品上來看，行業(yè)內(nèi)從關(guān)注入侵檢測系統(tǒng)IDS到基于全流量分析的NTA/NDR,，再到最近比較“熱”的XDR,，即將EDR、NDR和MDR等系統(tǒng)結(jié)合到統(tǒng)一平臺上的這樣的變化,。檢測技術(shù)也從關(guān)注特征檢測轉(zhuǎn)變到了行為分析檢測,，并且業(yè)內(nèi)對于高級威脅攻擊的過程和技戰(zhàn)術(shù)手段的關(guān)注也在不斷增加。

　　防火墻,、殺軟和IDS這“老三樣”是最初特征檢測階段最常用的工具,，而發(fā)展到現(xiàn)如今對行為分析檢測更加關(guān)注之后，全流量分析產(chǎn)品也開始融入智能行為分析技術(shù),，比如可以采用自動化沙箱技術(shù)來分析惡意文件的主機(jī)和網(wǎng)絡(luò)行為,，然后再對行為結(jié)果進(jìn)行智能分析研判?？梢詫W(wǎng)絡(luò)中的惡意或異常流量進(jìn)行行為建模,，通過行為模式分析發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險。

　　安全牛

　　高級威脅檢測系統(tǒng)與傳統(tǒng)的威脅檢測產(chǎn)品相比技術(shù)難點有哪些,？

　　富吉祥：

　　APT等高級威脅通常是一個長期連續(xù)的事件過程,，從入侵到橫向移動，再到獲取目標(biāo)數(shù)據(jù)會涉及到多種攻擊的組合,。在現(xiàn)在復(fù)雜的網(wǎng)絡(luò)流量環(huán)境中,，IDS類產(chǎn)品的告警數(shù)量非常多，它會識別到上述攻擊流程的部分攻擊事件并進(jìn)行告警,，但無法識別一些新型的,、變種后的網(wǎng)絡(luò)攻擊,，同時也無法對上述整個攻擊過程中的事件進(jìn)行綜合分析研判，需要耗費安全運營團(tuán)隊的大量時間在海量告警中挖掘,。這是APT高級威脅檢測產(chǎn)品相對于傳統(tǒng)威脅檢測產(chǎn)品要解決的難點,。

　　與此同時，如何在海量網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)威脅線索,、特別是特征檢測技術(shù)不能發(fā)現(xiàn)的高級威脅,，如0day/Nday漏洞攻擊、惡意的加密流量,、變種樣本或新產(chǎn)生的惡意文件也是APT威脅檢測產(chǎn)品的技術(shù)難點所在,。解決這一難點的方法可以利用沙箱的惡意文件行為分析技術(shù)及基于人工智能的威脅行為分析技術(shù)。

　　沙箱可以理解為設(shè)備上的一個虛擬操作系統(tǒng)環(huán)境,，其中內(nèi)置了office,、Adobe等軟件環(huán)境，當(dāng)文件進(jìn)入沙箱之后,，首先會掃描文件的靜態(tài)構(gòu)成,，然后會在虛擬環(huán)境中去運行這一文件，運行之后就會產(chǎn)生本地行為,，比如修改了系統(tǒng)文件或啟動了某項進(jìn)程等,，然后沙箱會根據(jù)這些行為來判斷是否是惡意行為，判定出相應(yīng)的威脅程度,；另外這個文件在虛擬環(huán)境中,，還可能出現(xiàn)外聯(lián)互聯(lián)網(wǎng)的行為，外聯(lián)流量會被送入流量監(jiān)測引擎進(jìn)行研判,，如是否命中了惡意域名的黑名單等,，最后沙箱根據(jù)這些綜合的行為判斷樣本的危害性。

安全牛

　　您上述提到的人工智能技術(shù)在高級威脅檢測中具體是怎樣實現(xiàn)的,？發(fā)揮了怎樣的作用,？

　　富吉祥：

　　人工智能技術(shù)可以很好的應(yīng)用于圖像識別、模式識別（如語言識別）和自然語言處理等領(lǐng)域,。通過將部分安全問題映射到圖像,、模式和文本類數(shù)據(jù)，就可以利用人工智能的預(yù)測能力發(fā)現(xiàn)傳統(tǒng)特征檢測技術(shù)無法發(fā)現(xiàn)的未知威脅和高級威脅,。即基于基因圖譜技術(shù)檢測惡意文件變種,；基于步態(tài)指紋技術(shù)檢測惡意加密流量及隱蔽隧道這些通過防火墻或IDS無法識別的威脅；基于自然語言處理的技術(shù)實現(xiàn)對DGA域名和SQL注入,、XSS,、Webshell等WEB類攻擊等。

　　展開來說，基因圖譜技術(shù)就是我們通過B2G算法把一個文件映射成一張圖像,，當(dāng)我們的數(shù)據(jù)樣本足夠多時,，就會有大量的圖像，基于圖像相似度進(jìn)行聚類并進(jìn)行家族標(biāo)記,，通常是相同惡意文件家族的圖像會聚類到一起,。這時我們再通過人工智能的CNN算法對其進(jìn)行圖像識別訓(xùn)練，訓(xùn)練之后,，人工智能就可以通過CNN模型識別出一個個威脅“家族”的文件基因，后續(xù)把待檢測樣本通過這個模型進(jìn)行檢測,，就能識別出具有相應(yīng)“家族”基因的惡意文件新變種,。

　　步態(tài)指紋技術(shù)與此類似，我舉個例子,，每個人走路的步調(diào)是不同的,，具體體現(xiàn)在步伐大小和頻率上。同理,，一個惡意樣本的外聯(lián)加密流量或惡意加密攻擊行為也會有一個客戶端同服務(wù)端的多輪交互過程,，我們會對這個過程中流量的數(shù)據(jù)包傳輸頻率、方向,、大小及其中的協(xié)議特征進(jìn)行分析,，最后基于上述數(shù)據(jù)生成特征向量，這個特征向量其實就是對網(wǎng)絡(luò)交互過程的行為模式的描述,，通過訓(xùn)練使人工智能模型能夠有效的識別這類過程的技術(shù)就是步態(tài)指紋技術(shù),，針對隱秘隧道建模也是同理。

　　第三個就是自然語言處理技術(shù),，通過該技術(shù)對大量有威脅和正常的文本構(gòu)成進(jìn)行語義和詞頻特征提取,，然后基于這些特征向量，建立威脅識別模型,，基于這個模型對新產(chǎn)生的文本數(shù)據(jù)進(jìn)行威脅智能識別,。以上三種技術(shù)就是基于圖像識別、模式識別,、文本數(shù)據(jù)識別等建模過程,，實現(xiàn)了利用人工智能技術(shù)對高級威脅和未知威脅的檢測能力。

　　安全牛

　　很多APT攻擊是有潛伏期的,，潛伏期內(nèi)的威脅可以檢測到嗎,？另外，通過人工智能技術(shù)對高級威脅攻擊整個過程中事件的關(guān)聯(lián)分析,，也是一個溯源的過程,，該過程目前可以達(dá)到一個怎樣的程度？

　　富吉祥：

　　潛伏就代表已經(jīng)入侵成功了，入侵成功之后,，這些高級威脅肯定會有對外連接的心跳,，因此連接心跳是識別潛伏期攻擊的很好的切入點。比如說某高級威脅是通過明文的心跳或者是隱蔽隧道（DNS隧道等）的方式去實現(xiàn)心跳連接的,，那么識別這些外聯(lián)的過程是發(fā)現(xiàn)已經(jīng)被入侵的有效方式,。

　　至于溯源，我們剛剛講攻擊的發(fā)生是個連續(xù)的過程,，會有很多步驟,，當(dāng)發(fā)現(xiàn)攻擊后，也就是看到攻擊結(jié)果時,，就會去排查是在哪一塊出現(xiàn)了問題,，比如企業(yè)的財務(wù)的一些關(guān)鍵數(shù)據(jù)被外發(fā)出去了，就需要去排查它是在哪里被發(fā)出去的,，查到之后還會進(jìn)一步調(diào)查惡意威脅是怎樣入侵到這一設(shè)備的,，郵件釣魚亦或是其他方式。

　　對于一個溯源的過程,，具體要溯源到哪一步,，取決于這個企業(yè)或者組織它對該事件的關(guān)注程度。比如說國家CERT,、公安等監(jiān)管單位，溯源的過程可能就會更深入一些,，有可能會去溯源到某一個實體,。

　　對于某些關(guān)鍵信息基礎(chǔ)設(shè)施類大型企業(yè)，它可能也會溯源到是哪些組織或?qū)嶓w在實施攻擊,，但是對很多中小企業(yè)或影響很小的攻擊類型,，并不會溯源很深，這些企業(yè)組織更在意本次威脅事件在企業(yè)內(nèi)部的入口是什么,、這些威脅是怎么進(jìn)來的,、消除風(fēng)險后，后續(xù)是否還會再次發(fā)生……這是他們關(guān)注的重點,。

　　安全牛

人工智能在實際落地中應(yīng)用并不廣泛,，您認(rèn)為阻礙人工智能在安全檢測領(lǐng)域的發(fā)展因素是什么？

　　富吉祥：

　　人工智能技術(shù)其實很多年前就被提出了,，近幾年才逐漸“火”起來,。這是因為它開始變得可落地了。過去,，也有人工智能算法,，但是算力不夠,，導(dǎo)致人工智能訓(xùn)練過程很慢，甚至不可實現(xiàn),；另外就是可用于訓(xùn)練的數(shù)據(jù)不夠,，不能讓模型實現(xiàn)很好的應(yīng)用效果。隨著GPU等算力的大規(guī)模提升,，信息化和數(shù)字化發(fā)展進(jìn)程的加快,，可用于訓(xùn)練的數(shù)據(jù)變得越來越多，人工智能技術(shù)更可落地了,，并實現(xiàn)了很好的效果突破,。

　　但相較于殺軟、規(guī)則檢測等技術(shù)手段,，人工智能依舊屬于一個較新的前沿技術(shù)領(lǐng)域,，在當(dāng)前常用的檢測技術(shù)能產(chǎn)生一定效果情況下，發(fā)展并利用人工智能技術(shù),，首先需要企業(yè)認(rèn)可這個方向,，人工智能會給企業(yè)帶來實際的檢測效果及應(yīng)用價值,，能夠解決具體的問題,，這樣人工智能領(lǐng)域才能獲得持續(xù)的資源投入，長期研發(fā)和積累,。

　　人工智能的發(fā)展需要技術(shù)人才支持,，既懂人工智能又懂網(wǎng)絡(luò)安全的綜合人才依舊匱乏，這也是一個不利因素,。而且人工智能的發(fā)展,，需要選定要解決的具體細(xì)分領(lǐng)域的網(wǎng)絡(luò)安全問題，并持續(xù)收集大量的數(shù)據(jù),，根據(jù)需要進(jìn)行標(biāo)注,，人工智能的效果和數(shù)據(jù)的質(zhì)量相關(guān)性很大，細(xì)分領(lǐng)域高質(zhì)量的安全數(shù)據(jù)缺失也是一個阻礙因素,。

安全牛

　　您認(rèn)為未來人工智能在高級威脅檢測領(lǐng)域的發(fā)展形式如何,？在人工智能的助力下，網(wǎng)絡(luò)安全行業(yè)會迎來哪些新的改變,？

　　富吉祥：

　　我認(rèn)為隨著更多的網(wǎng)絡(luò)安全企業(yè)對人工智能威脅檢測的關(guān)注與投入,，相信人工智能會在更多的細(xì)分威脅領(lǐng)域落地，達(dá)到不錯的效果,。這里的細(xì)分領(lǐng)域,，可能是針對某一類惡意加密流量的識別，或者是對特定網(wǎng)絡(luò)攻擊的識別等,，當(dāng)然,，要想實現(xiàn)對這些細(xì)分領(lǐng)域的實際應(yīng)用落地,，前提是一定要獲取大量的訓(xùn)練數(shù)據(jù)并深入研究。

　　同時,，已經(jīng)有很多研究表明人工智能技術(shù)也可用于網(wǎng)絡(luò)攻擊,，如利用強(qiáng)化學(xué)習(xí)等技術(shù)可以自動化生成繞過多種殺軟的變種惡意文件及繞過傳統(tǒng)檢測工具的Web攻擊等，我們將會面臨更復(fù)雜,、變化快速的高級威脅攻擊手段及載荷,，所以，未來可能會出現(xiàn)基于人工智能技術(shù)的網(wǎng)絡(luò)攻擊和檢測手段的持續(xù)對抗及升級,。

　　安全牛評

　　網(wǎng)絡(luò)安全中的攻防是相輔相成的,，安全防護(hù)技術(shù)在進(jìn)步的同時，攻擊者也在不斷提升自身的攻擊水平,。高級威脅已經(jīng)成為大型企業(yè)關(guān)注的網(wǎng)絡(luò)安全威脅重點之一,，一旦被高級威脅攻陷，造成的損失是不堪設(shè)想的,。高級威脅潛伏期長,，結(jié)構(gòu)復(fù)雜，僅通過人工手段很難發(fā)現(xiàn),。人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用還處于初級階段,，但應(yīng)對以APT為代表的高級威脅時，卻急需人工智能技術(shù)的輔助,。一方面,，人工智能能提升威脅檢測的效率，減少重復(fù)性的人工操作,；另一方面,，隨著檢測數(shù)據(jù)類型增多、數(shù)據(jù)量龐大,，只有人工智能才能在海量數(shù)據(jù)中發(fā)現(xiàn)威脅,。隨著算法和算力的提升，人工智能將能發(fā)揮更大的作用,，是安全產(chǎn)品必備的技術(shù)要點,。