绿盟科技：AISecOps智能安全运营技术白皮书（71页）.pdf

1、上图阐述了 AISecOps 的技术框架，针对安全运营技术中的关键环节，参考人工智能的经典范式“感知 - 认知 - 决策 - 行动”和经典作战决策 OODA 循环模型的“观测 - 调整 - 决策 - 执行”体系 14，进行子任务及其阶段划分，每个阶段包括多个不同子任务。下面详细介绍每个阶段及其完成的子任务。🅙 感知阶段 实现数据级别的融合及基本信息标注，包含识别和检测子任务。识别子任务对大规模数据中的实体(资产、特征、脆弱性等)及其行为的归类、去重、规范化等，以促进多源、异构数据的融合。检测子任务区别于识别子任务，从大规模数据池中捕获、标注异常事件、脆弱性、威胁特征等关键的动静

2、态信息，以标记威胁分析、狩猎、风险分析中的关键线索。决策阶段根据预设目标综合评估风险，实现任务策略的生成，包括评估和制定子任务。评估子任务面向核心运营指标，基于行为、环境、知识等关键信息，持续、综合评估网络安全的整体态势与风险等级，支撑在指定运营成本下的最优研判结果的输出。制定子任务根据动态环境与行为，自适应选择并生成有针对性的、风险驱动的行动计划和策略，明确行动的具体步骤。行动阶段根据计划、策略与步骤，协同调动各行动单元完成行动目标，包括响应和反馈子任务。响应子任务完成包括策略下发、设备部署、补丁更新、容错修复等平台级、模块级、设备级、指令集等针对不同层级的风险响应动作。反馈子任务持续收集响

3、应动作执行关联的效果集合，生成面向流程、人、技术多运营要素交互的数据汇总，以支撑自动化任务下一循环的开展。以上由低到高层次的感知、认知、决策、行动多个阶段及关联子任务是支撑网络安全运营自动化水平提升的关键能力。尽管子任务技术水平可独立演进，但高层次阶段的可用性、鲁棒性仍依赖于低层次阶段技术的成熟度。例如，随着SOAR (Security Orchestration, Automation and Response)技术的落地，迅速提升了安全运营中各项任务的自动化水平。SOAR技术提供了以上矩阵中行动阶段响应与反馈的关键能力，提供了数据、流程、技术集成的框架与接口，是AlSecOps技术实现运营

4、自动化过程中的架构基础实现。现阶段SOAR技术已能够协同多模块在多种场景下完成行动阶段响应子任务的自动化，然而在当前威胁溯源、攻击预测、风险评估技术尚未成熟的情况下，自动化响应流程会因误报导致的错误阻断等动作妨碍系统正常运行，大幅限制了SOAR技术的应用场景。整体上，AlSecOps技术框架包含两个大的循环。一个是图中实线覆盖的机器自循环，这是AlSecOps追求的运营关键任务自动化的终极目标。另一个是图上虚线覆盖的人-机协同循环，这一部分重点描绘人需要参与到运营自动化的每个关键环节中，同时充分获取机器的数据反馈。高水平运营自动化实现的要义仍然是对“数据-信息-知识”层次化的分析与挖掘，以应对动态不确定性的网络空间环境与高交互的攻防对抗过程。因此，唯有夯实网络空间数据的多层级任务能力基础，才能避免搭建安全任务自动化的“空中楼阁”。实际上，现阶段的威胁识别、溯源、预测等关键技术能力的智能化水平，仍难以有效支持基于SOAR的精准响应。事件误判、连接误杀、决策黑箱等多种类型的技术瓶颈，使得更高水平的自动化智能化实现在涉及高风险、关键决策的安全场景下难以有效部署。因此在当前阶段下，人-机智能的充分融合，就显得尤为关键了。