AI在XDR中的自动化安全分析实践-熊春霖-浙江大学网络空间安全学院博士（27页）.pptx

1、Autonomous Detection and Validation,AI在XDR中的自动化安全分析实践,AI在XDR中的自动化安全分析实践,Autonomous Detection and Validation,熊春霖浙江大学网络空间安全学院博士,熊春霖浙江大学网络空间安全学院博士,个人简介 熊春霖,浙江大学网络空间安全 博士，论文发表于CCS、TDSC等顶级会议、期刊，主要研究终端入侵检测、恶意代码分析；师从 Yan Chen（IEEE Fellow&NWU Tenure）作为主要成员参与DARPA项目、国家自然科学基金重点项目曾任杭州某终端安全创业公司联合创始人/CTO中国科学院深圳先

2、进技术研究院、深信服联合培养 博士后深信服XDR安全能力部 技术规划专家/安全技术专家,背景简介Autonomic Security Operations,企业数字化转型攻击门槛降低：RaaS、AIaaS、黑灰产业链、Google攻击面增加：远程办公、混合云人才缺乏“10*People;10*Technology;10*Processes;10*Influence.”by Google Cloud,背景简介XDR,更低的MTTD/MTTR/TCO全自动防御-半自动狩猎Validation-Investigation,终端防护平台EPP,传统防病毒AV,终端检测响应EDR,拓展检测响应XDR,背

3、景简介TDIR,Threat Detection,Investigation（Validation）and ResponseCrowdStrike SEARCHSentinelOne StorylineMDE AIRAI在自动化Detection和Validation上的实践,1,2,3,4,5,添加标题,Detection,Investigation,Validation,Response,Hone,Highlight,AI加速攻击检测和验证AI:man-in-the-loop AI在安全检测场景下的常见问题 AI在安全检测场景下的实践 知识用于辅助XDR攻击分析,AI在安全检测场景下的问题

4、,AI用于安全场景的常见问题（例：静态文件检测）能有一个区分所有恶意文件的模型吗？能解释一下为什么这些文件是恶意的？有了误报漏报怎么办？新的恶意文件能被旧模型识别吗？攻击者可以绕过模型吗？,AI用于安全场景的常见问题（例：静态文件检测）,问题合理性：不同文件类型、攻击类型、加壳混淆模型可解释性：模型本身可解释性、溯源取证；用户解释、模型评估、迭代优化模型可演进性：需要更新时，是否必须重新训练AI在强对抗场景的不足：安全的核心就是对抗,AI用于安全场景的常见问题（例：静态文件检测）,Data Distribution：在非安全领域，一般假定模型发布后，需要预测的数据分布是保持不变的；然而，在安全

5、领域，恶意程序的作者不停地创造与之前大相径庭的恶意文件、各式的白样本也不停地产生。需要有对样本的运营、周期地训练等。,-from Kaspersky report,AI用于安全场景的常见问题（例：静态文件检测）,第一步：训练一个轻量的“局部敏感哈希”（TLH）。通过分治的思想，将大问题化为多个小问题，便于分析、迭代等。第二步：针对小问题提出最佳解决方案。第三步：对于混淆、加密、脚本攻击、容器、无文件攻击等，采用post-execution检测。,-from Kaspersky report,AI用于安全场景的常见问题（例：静态文件检测）,-from Kaspersky report,AI用于安

6、全检测场景的问题,其他问题：大规模具有代表性的数据集：数据驱动的方法十分依赖于数据数据分析目标和问题的差距：离群=异常 恶意数据的准确性、连贯性和一致性无法保证模仿or超越？Highlight：man-in-the-loop AI,AI在安全检测场景下的实践,贝叶斯方法与传统机器学习的区别,=+,传统机器学习中 a,b为固定值，通过各种方法计算a,b的可能值贝叶斯方法中，a,b为概率分布贝叶斯的优点：可解释性，可演进，适应不同环境。贝叶斯网络也常被用于时序事件推理。,Naive Bayes,传统：事件-规则-攻击-