From AISec to AISecOps：安全智能应用之道-张润滋-绿盟科技集团股份有限公司高级安全研究员（18页）.pdf

1、From AISec to AISecOps 安全智能应用之道 张润滋 绿盟科技 高级安全研究员 AISecOps技术是什么“智能驱动安全运营，以安全运营目标为导向，以人、流程、技术与数据的融合为基础，面向预防、检测、响应、预测、恢复等网络安全风险控制、攻防对抗的关键环节，构建具有高自动化水平的可信任安全智能，以辅助甚至代替人提供各类安全运营服务的能力。”From AISec to AISecOps:技术成熟度 From AISec to AISecOps:基本的逻辑 用数据智能驱动自动化，对抗安全运营中的信息爆炸 决策辅助 数据标签的问题：用统计机器学习辅助tagging，用tags辅助决策

2、 数据关系的问题：用关联分析、统一建模辅助构建contexts，用contexts辅助决策 From AISec to AISecOps:关键技术趋势与技术方向 可解释的鲁棒异常检测（可解释的鲁棒异常检测（UEBAUEBA）大规模异构图异常检测与路径分析（大规模异构图异常检测与路径分析（XDRXDR）面向隐私防护与性能瓶颈的分布式分析面向隐私防护与性能瓶颈的分布式分析 (Federated Learning)(Federated Learning)灵活多模的威胁狩猎语言（灵活多模的威胁狩猎语言（Threat HuntingThreat Hunting）四大前沿 大规模运营大规模运营数据的数据质

3、量评估（数据的数据质量评估（AnalyticsAnalytics）可编排可交互的特征抽取与分析框架（可编排可交互的特征抽取与分析框架（ArchitectureArchitecture）大规模多源日志全量分诊（大规模多源日志全量分诊（Alert TriageAlert Triage）实体行为画像侧写（实体行为画像侧写（CAASMCAASM，UEBAUEBA）基于知识图谱的数据规范与知识增强（基于知识图谱的数据规范与知识增强（Knowledge GraphKnowledge Graph）六大痛点 动化渗透攻击路径与利用决策（动化渗透攻击路径与利用决策（BASBAS）大规模运营大规模运营数据的数据质

4、量评估（数据的数据质量评估（AnalyticsAnalytics）可编排可交互的特征抽取与分析框架（可编排可交互的特征抽取与分析框架（ArchitectureArchitecture）大规模多源告警全量分诊（大规模多源告警全量分诊（Alert TriageAlert Triage）实体行为画像侧写（实体行为画像侧写（CAASMCAASM，UEBAUEBA）基于知识图谱的本体化与语义化（基于知识图谱的本体化与语义化（Knowledge GraphKnowledge Graph）自动化渗透攻击路径与利用决策（自动化渗透攻击路径与利用决策（BASBAS）前沿方向一：可解释的鲁棒异常检测 场景与痛点现

5、状场景与痛点现状 场景：大规模告警中的异常高危告警/事件的识别。安全运营需要面向用户、实体的行为分析技术，以进行更抽象粒度的、灵活聚合的风险分析 痛点：异常检测是安全威胁分析必需的技术手段，但目前异常检测过度依赖基线数据，适应性较差，需要通过可解释性的研究，提升透明度，支持模型调优、运营。技术方向评估技术方向评估 成熟度：难度 ：LEMNA:Explaining Deep Learning based Security Applications,CCS 2018 DeepAID:Interpreting and Improving Deep Learning-based Anomaly Det

6、ection in Security Applications,CCS 2021 前沿方向二：大规模异构图异常检测与路径分析 场景与痛点现状场景与痛点现状 场景：针对大规模网络终端日志、情报日志、知识图谱等，构建并分析异构溯源图、情报图、知识图。痛点：日志规模巨大，但是采用哪些数据进行图构建，亟需算法实现鲁棒的行为基线和异常检测。大规模安全图数据呈现依赖爆炸，给溯源与取证的路径分析带来巨大挑战。技术方向评估技术方向评估 成熟度：难度 ：A Sequence-based Learning Approach for Attack Investigation,USENIX 2021 HOLMES:R