AISecOps 技术成熟
度矩阵
安全运营是一项复杂的系统化工程,人工智能
技术的应用不是一蹴而就的。如今中心化的安全运营 平台收集的流量、日志、标签、指标、事件、规则等多源数据的规模已逾千百倍,智能化、自动化的数 据挖掘方法,已得以规模化应用,然而,在数据挖掘与智能分析关键技术的应用实践过程中,研究、开 发和运营人员普遍遇到了如数据质量低下、算法拟合粗暴、模型产出易误报、难解释、难维护等问题。
在实践效果难以匹配安全运营
迫切需求的背景下,我们出了分阶段、分层次的 AISecOps 技术成 熟度,即自动化能力分级矩阵构建方法,以在统一语义下横纵向定位相关技术的发展层次与现状、应用 范畴、应用深度等。
如图 12 所示,按照安全运营关键任务的自动化
程度,参考自动驾驶自动化分级 [15],将 AISecOps 技术的自动化水平划分为 L0~L5 六个层次,对应无自动化到完全自动化。同时,针对安全运营技术中 的关键环节,按照人工智能的经典范式“感知 -认知 -决策 -行动”进行概念划分,并基本对应经典作 战决策 OODA循环模型的“观测 -调整 -决策 -执行”体系。其中感知层执行识别(如各类实体识别与 分类)和检测(如威胁检测)任务,认知层执行关联(如多源数据集成分析等)、溯源(如回溯攻击路 径)和预测(如预判攻击行为)任务,决策层执行评估(如风险综合评估)和制定(如策略、方案生成) 任务,行动层执行响应(如部署策略)和反馈(如主动报告)任务。每个任务层次的有效性依赖于上一 次层次的成熟度。以下简述 AISecOps 自动化能力的不同级别含义:
🅙 L0(无自动化) 安全运营的所有任务都由安全运营人员完成。尽管 AI等分析技术能够供一
定层级的识别和检测能力,但该层次下识别与检测不对任何安全运营任务负责,属于较高层级 的数据采集能力。
🅙 L1(运营辅助) 面向安全运营的运营指标,自动化运营系统开始有针对性的参与环境感知、信
息加工认知及风险评估等部分子任务。在该自动化层级下,系统例行数据分析
的辅助功能,不 参与任何自动化行动子任务。
🅙 L2(部分自动化) 针对部分单一环境场景,自动化运营系统参与感知、认知、决策、行动的全
流程子任务,与运营人员进行持续数据、知识交互。
🅙 L3(有条件自动化) 针对所有任务场景,自动化运营系统完成包括行动子任务在内的所有子任
务,但在必要阶段须安全运营人员提供应答与系统接管。
🅙 L4(高度自动化) 在限定的复杂场景下,自动化运营系统按照预定的运营指标完全自动化执行,
无需安全运营人员介入。
🅙 L5(完全自动化) 在所有复杂场景下,自动化运营系统按照预定的运营指标完全自动化执行,
无需安全运营人员介入。
通过技术框架的横向技术阶段划分,明确了安全运营技术智能化的关键需求与任务;通过基于技术 成熟度的纵向分级,能够有效划定现阶段发展层次与未来的发展方向。以上分类、分级方案,形成了 AISecOps 关键能力成熟度矩阵,以期现有的技术方案能够更快速的找到其在 AISecOps 技术领域的定位, 并与其他技术能力快速融合互动。
通过 AISecOps 技术成熟度矩阵的构建,能够让技术从业者不囿于技术泡沫造成的困惑。目前来看, 在安全运营的智能化技术领域中,我们整体上仍处于 L1~L2 级别的技术发展阶段,多个单点技术水平 已经在更高层次有所突破。同时我们所收集的数据、构建的模型、优化的算法及搭建的系统,在特定场 景下还未能有效符合安全运营的指标导向性需求,更不用说跨场景、自适应的更高层级运营自动化能力。 总之,我们从实践的经验出发,距离高可用的、高自动化水平的智能安全运营技术仍有较远路程。
AISecOps 前沿技术概述
AISecOps 智能安全运营技术尚处于快速演进的阶段,所采用的技术方案迭代非常快。为了充分探 究技术的未来发展方向,定位关键能力瓶颈,本文总结了面向安全运营自动化、智能化的十六种基础前 沿技术,并形成技术图谱,以期为网络安全运营场景构建领域技术“内功心法”图谱。
技术图谱在横向上,按照面向攻击对抗的识别粒度进行技术领域划分,粒度自微观到宏观,包括指 纹与特征、技术与行为、战术与意图、战役与组织、战役与态势。在纵向上,按照 AISecOps 智能化的 经典技术阶段进行划分,包括数据层面的融合建模,以及分析层面的风险感知、因果认知、鲁棒决策、 负责行动五大阶段。同时,根据技术的核心数据源不同,通过颜色进行区分,涵盖环境数据、情报数据、 知识数据、行为数据以及融合多维的综合数据。通过总结并归类十六种关键技术,试图厘清 AISecOps 的技术分类,以支持技术方案的细粒度抽象与整合,支持安全运营智能技术中台等基础平台能力的构建。
以上技术图谱中的技术之间有着复杂的依赖关系。整体来看,层次高、位置偏上的技术实现与有效 性依赖其下方技术的实现效果。例如,因果认知中的告警分诊与误报缓解技术,依赖于同层次攻击意图 理解的建模,以及更低层次的技术,包括风险感知与融合建模的多项子技术。值得注意的是,上图技术 的依赖关系与位置关系不是明确对应的。还是以告警分诊与误报缓解技术为例,其与攻击路径溯源技术 之间是互相依赖的。溯源技术供的上下文能支撑更为准确的告警分诊;同时有效的剔除误报、识别高 危告警,能够减轻依赖爆炸、降低溯源的难度,提升攻击者、攻击源识别的效率。
以下,首先重点介绍智能化的数据基础⸺ 融合建模中的超融合知识图谱技术,进而分阶段介绍其 他十五种基础分析技术。
985
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
