1、From AISec to AISecOps 安全智能应用之道 张润滋 绿盟科技 高级安全研究员 AISecOps技术是什么“智能驱动安全运营，以安全运营目标为导向，以人、流程、技术与数据的融合为基础，面向预防、检测、响应、预测、恢复等网络安全风险控制、攻防对抗的关键环节，构建具有高自动化水平的可信任安全智能，以辅助甚至代替人提供各类安全运营服务的能力。”From AISec to AISecOps:技术成熟度 From AISec to AISecOps:基本的逻辑 用数据智能驱动自动化，对抗安全运营中的信息爆炸 决策辅助 数据标签的问题：用统计机器学习辅助tagging，用tags辅助决策

2、 数据关系的问题：用关联分析、统一建模辅助构建contexts，用contexts辅助决策 From AISec to AISecOps:关键技术趋势与技术方向 可解释的鲁棒异常检测（可解释的鲁棒异常检测（UEBAUEBA）大规模异构图异常检测与路径分析（大规模异构图异常检测与路径分析（XDRXDR）面向隐私防护与性能瓶颈的分布式分析面向隐私防护与性能瓶颈的分布式分析 (Federated Learning)(Federated Learning)灵活多模的威胁狩猎语言（灵活多模的威胁狩猎语言（Threat HuntingThreat Hunting）四大前沿 大规模运营大规模运营数据的数据质

3、量评估（数据的数据质量评估（AnalyticsAnalytics）可编排可交互的特征抽取与分析框架（可编排可交互的特征抽取与分析框架（ArchitectureArchitecture）大规模多源日志全量分诊（大规模多源日志全量分诊（Alert TriageAlert Triage）实体行为画像侧写（实体行为画像侧写（CAASMCAASM，UEBAUEBA）基于知识图谱的数据规范与知识增强（基于知识图谱的数据规范与知识增强（Knowledge GraphKnowledge Graph）六大痛点 动化渗透攻击路径与利用决策（动化渗透攻击路径与利用决策（BASBAS）大规模运营大规模运营数据的数据质

4、量评估（数据的数据质量评估（AnalyticsAnalytics）可编排可交互的特征抽取与分析框架（可编排可交互的特征抽取与分析框架（ArchitectureArchitecture）大规模多源告警全量分诊（大规模多源告警全量分诊（Alert TriageAlert Triage）实体行为画像侧写（实体行为画像侧写（CAASMCAASM，UEBAUEBA）基于知识图谱的本体化与语义化（基于知识图谱的本体化与语义化（Knowledge GraphKnowledge Graph）自动化渗透攻击路径与利用决策（自动化渗透攻击路径与利用决策（BASBAS）前沿方向一：可解释的鲁棒异常检测 场景与痛点现

5、状场景与痛点现状 场景：大规模告警中的异常高危告警/事件的识别。安全运营需要面向用户、实体的行为分析技术，以进行更抽象粒度的、灵活聚合的风险分析 痛点：异常检测是安全威胁分析必需的技术手段，但目前异常检测过度依赖基线数据，适应性较差，需要通过可解释性的研究，提升透明度，支持模型调优、运营。技术方向评估技术方向评估 成熟度：难度 ：LEMNA:Explaining Deep Learning based Security Applications,CCS 2018 DeepAID:Interpreting and Improving Deep Learning-based Anomaly Det

6、ection in Security Applications,CCS 2021 前沿方向二：大规模异构图异常检测与路径分析 场景与痛点现状场景与痛点现状 场景：针对大规模网络终端日志、情报日志、知识图谱等，构建并分析异构溯源图、情报图、知识图。痛点：日志规模巨大，但是采用哪些数据进行图构建，亟需算法实现鲁棒的行为基线和异常检测。大规模安全图数据呈现依赖爆炸，给溯源与取证的路径分析带来巨大挑战。技术方向评估技术方向评估 成熟度：难度 ：A Sequence-based Learning Approach for Attack Investigation,USENIX 2021 HOLMES:R

7、eal-Time APT Detection through Correlation of Suspicious Information Flows，IEEE S&P 2019 前沿方向三：灵活多模的威胁狩猎语言 场景与痛点现状场景与痛点现状 场景：安全运营威胁狩猎任务需解决长周期、多源异构数据、多模式的灵活和实时搜索问题。痛点：长周期日志的搜索，一方面实时性是瓶颈，另一方面，需叠加解决多模式的灵活统一搜索问题，支撑特征数据、时序数据、图数据的统一建模与分析。技术方向评估技术方向评估 成熟度：难度 ：https:/ 前沿方向四：面向隐私防护与性能瓶颈的分布式检测 场景与痛点现状场景与痛点现状

8、场景：安全运营云端集中式服务，需要解决分布式安全运营中心中的数据不出本地的分类及学习问题。痛点：尚缺乏有效的技术实践方案，来支撑分布式情况下不同运营中心鲁邦的告警分诊任务，同时降低传输、存储和计算开销，并保护本地用户的隐私敏感数据。技术方向评估技术方向评估 成熟度：难度 ：https:/ https:/ 痛点方向一：大规模安全运营数据的数据质量评估 场景与痛点现状场景与痛点现状 场景：安全运营大数据平台汇聚了大规模数据以支撑安全运营的分析工作。痛点：情报、日志规模巨大，但是噪声、误报比例也很高，亟需探索合理的、面向安全运营的数据质量评估指标体系。技术方向评估技术方向评估 成熟度：难度 ：数据质

9、量评估指标体系探索 统计与关联统计与关联特征分析特征分析 世界信息安全大会 2019 基于可信线索挖掘的威胁狩猎 痛点方向二：可编排可交互的特征抽取与分析框架 场景与痛点现状场景与痛点现状 场景：安全运营告警研判、事件分析依赖各类型的风险标签与分析方法，同时提供可编排机制辅助用户人工利用机器分析，降低误报干扰，提升运营效率。痛点：仍然缺乏成体系的特征抽取策略、机制、方法，当前所利用的特征仍然较为局限 缺乏可编排、可交互的的设计框架与思路，以灵活配置并促进人机协同 技术方向评估技术方向评估 成熟度：难度 ：构建标准的分析编排系统与架构 痛点方向三：大规模多源告警全量分诊 场景与痛点现状场景与痛点

10、现状 场景：安全运营的误报、噪声引发告警疲劳，成为安全运营效率提升的关键瓶颈之一。痛点：全量的全量的、精细化的、面向场景的自动化分诊，需要灵活、细粒度的数据、知识特征抽取，并通过可量化的监控指标进行持续运营。技术方向评估技术方向评估 成熟度：难度 ：NoDoze:Combatting Threat Alert Fatigue with Automated Provenance Triage,NDSS 2019 99%false positives:A qualitative study of SOC analysts perspectives on security alarms,Usenix

11、 2022 痛点方向四：实体行为画像侧写 场景与痛点现状场景与痛点现状 场景：安全运营需要对网络行为的准确画像，并有进行隐含意图的深入侧写，以准确定位真实威胁与评估影响范畴、发现攻击目标。痛点：缺乏成熟的画像技术维度、框架 缺少基于数据的动态资产行为、意图测绘的技术 技术方向评估技术方向评估 成熟度：难度 ：痛点方向五：基于知识图谱的本体化与语义化 场景与痛点现状场景与痛点现状 场景：信息与专家资源的剪刀差，导致专家洛阳纸贵，安全运营的成败愈发依赖有经验、有知识储备的安全与运营专家。痛点：安全专家知识固化缺乏范本与规范、安全知识与数据的交互缺乏技术支撑。技术方向评估技术方向评估 成熟度：难度

12、：WATSON:Abstracting Behaviors from Audit Logs via Aggregation of Contextual Semantics,NDSS 2021 CyGraph:Graph-Based Analytics and Visualization for Cybersecurity 痛点方向六：自动化渗透攻击路径与利用决策（BAS）场景与痛点现状场景与痛点现状 场景：主动式探索潜在攻击路径，实现安全运营中渗透测试风险评估的自动化。痛点：自动化渗透，在可自动化的范畴内，仍需解决路径决策、利用方式决策等组合优化问题，以提升自动渗透的效率。技术方向评估技术方向

13、评估 成熟度：难度 ：https:/ https:/ About Our AISecOps TEAM 数据科学+安全运营攻防的技术团队 负责安全运营中的自动化与智能化技术前沿研究与落地应用攻关 目标定位是可实战的、可运营、可信任、有挑战的 AISecOps技术领域 XCON 2020 打造风险驱动的智能威胁推荐引擎 网络安全创新大会 2020AISecOps智能安全运营技术体系与实践 世界信息安全大会 2019基于可信线索挖掘的威胁狩猎 网络安全创新大会 2019XAI与可信任安全智能 分享与开源 AISecOps智能安全运营技术白皮书 安全知识图谱技术白皮书 XAIGen自动规则提取开源项目，项目地址：https:/ Awesome AISecOps知识库，项目地址：https:/ 图片来源：https:/