AISecOps 数据分类
当前,大规模多维度网络安全大数据的接入,为通过数据分析 发现、处置网络威胁带来了全新机会。 但考虑到可用的存储、计算资源有限,对安全数据源的甄选和统一处理就显得尤为重要。不同于 DIKW 的数据分层模型 [10]和 CyGraph 的安全 / 任务知识栈结构 [3],从网络攻防的对抗本质出发,以给定的网 络空间为战场,以保护资产(包括实体资产和虚拟资产)并打击威胁主体为目的,智能化的威胁分析应该收集并构建以下维度的关键数据图: 🅙 环境数据图。如资产、资产脆弱性 、文件信息、用户信息、IT 系统架构信息等。 🅙 行为数据图。如网络侧检测告警、终端侧检测告警、文件分析日志、应用日志、蜜罐日志、沙 箱日志等。
🅙 情报数据图。各类外部威胁情报。
🅙 知识数据图。各类知识库 (如 ATT&CK[11]、CAPEC[12]、CWE[13])等。 各类安全关联数据(包括但不限于以上四个类别)已在很多大数据分析场景中所采用,但仍然没有 成熟、统一的体系描述这些数据的分类和使用模式。故应将这里列举的四类数据,从网络威胁事件分析 实践出发,通过图结构组织起来,实现每个类别图内关联和不同类别图间关联,以满足网络空间 对抗的 基本战术需求,包括对环境的掌握、对威胁主体行动的理解、对外部情报的融合以及储备基本知识。四 图分立,又通过指定类型的实体进行关联,保证了不同类型图数据表达能力的同时,实现了全局的连接 能力。
AISecOps 技术框架
图 11 AISecOps 技术框架
上图阐述了 AISecOps 的技术框架,针对安全运营技术中的关键环节,参考人工智能 的经典范式“感 知 -认知 -决策 -行动”和经典作战决策 OODA循环模型的“观测 -调整 -决策 -执行”体系 [14],进行子 任务及其阶段划分,每个阶段包括多个不同子任务。下面详细介绍每个阶段及其完成的子任务。 🅙 感知阶段 实现数据级别的融合及基本信息标注,包含识别和检测子任务。识别子任务对大规模
数据中的实体(资产、特征、脆弱性等)及其行为的归类、去重、规范化等,以促进多源、异 构数据的融合。检测子任务区别于识别子任务,从大规模数据池中捕获、标注异常事件、脆弱性、 威胁特征等关键的动静态信息,以标记威胁分析、狩猎、风险分析中的关键线索。
🅙 认知阶段 实现线索、事件关联上下文信息的召回与构建,包括关联、溯源、预测子任务。关联
子任务通过跨多数据类别、跨长时间周期进行多维信息整合,供充分的信息连接视图。溯源 子任务通过回溯及根因分析,查明、识别事件的起源,明确多事件之间的因果及依赖关系。预 测子任务基于当前信息上下文,以路径预测、趋势分析等手段,预判可能的攻击行为、高危的 脆弱性等,实现在攻击意图识别和防护方法运用上领先攻击者 。
🅙 决策阶段 根据预设目标综合评估风险,实现任务策略的生成,包括评估和制定子任务。评估子
任务面向核心运营指标,基于行为、环境、知识等关键信息,持续、综合评估网络安全的整体 态势与风险等级,支撑在指定运营成本下的最优研判结果的输出。制定子任务根据动态环境与 行为,自适应选择并生成有针对性的、风险驱动的行动计划和策略,明确行动的具体步骤。
🅙 行动阶段 根据计划、策略与步骤,协同调动各行动单元完成行动目标,包括响应和反馈子任务。
响应子任务完成包括策略下发、设备部署、补丁更新、容错修复等平台级、模块级、设备级、 指令集等针对不同层级的风险响应动作。反馈子任务持续收集响应动作执行关联的效果集合, 生成面向流程、人、技术多运营要素交互的数据汇总,以支撑自动化任务下一循环的开展。
以上由低到高层次的感知、认知、决策、行动多个阶段及关联子任务是支撑网络安全运营自动化水 平升的关键能力。尽管子任务技术水平可独立演进,但高层次阶段的可用性、鲁棒性仍依赖于低层次 阶段技术的成熟度。例如,随着 SOAR(Security Orchestration, Automation and Response)技术的落地, 迅速升了安全运营中各项任务的自动化水平。 SOAR技术供了以上矩阵中行动阶段响应与反馈的关 键能力,供了数据、流程、技术集成的框架与接口,是 AISecOps 技术实现运营自动化过程中的架构 基础实现。现阶段 SOAR技术已能够协同多模块在多种场景下完成行动阶段响应子任务的自动化,然而 在当前威胁溯源、攻击预测、风险评估技术尚未成熟的情况下,自动化响应流程会因误报导致的错误阻断等动作妨碍系统正常运行,大幅限制了 SOAR技术的应用场景。
整体上,AISecOps 技术框架包含两个大的循环。一个是图中实线覆盖的机器自循环,这是 AISecOps 追求的运营关键任务自动化的终极目标。另一个是图上虚线覆盖的人 -机协同循环,这一部 分重点描绘人需要参与到运营自动化的每个关键环节中,同时充分获取机器的数据反馈。高水平运营自 动化实现的要义仍然是对“数据 -信息 -知识”层次化的分析与挖掘,以应对动态不确定性的网络空间 环境与高交互的攻防对抗过程。因此,唯有夯实网络空间数据的多层级任务能力基础,才能避免搭建安 全任务自动化的“空中楼阁”。实际上,现阶段的威胁识别、溯源、预测等关键技术能力的智能化水平,
仍难以有效支持基于 SOAR的精准响应。事件误判、连接误杀、决策黑箱等多种类型的技术瓶颈,使得 更高水平的自动化智能化实现在涉及高风险、关键决策的安全场景下难以有效部署。因此在当前阶段下,
人 -机智能的充分融合,就显得尤为关键了。
