再识安全测试：如何结合AI协助提效

“安全“的常见理解

安全一词格外重要，大到人身安全，财产安全 ，安全一词也小到生活细微 常见到 安全的护送一份文件，一杯热咖啡，覆盖这么广，安全的本质是什么

本人粗浅简单概括 大概是 信任、止损、攻防、执行人  ，在我们互联网中 信任 和不信任 更是对安全判断的主流，止损为兜底、攻防为手段、执行人为主体（网络资源是客体，是被保护的）

安全测试 为什么是专项测试

安全测试与自动化测试、接口测试、功能测试、性能测试最大的区别在于侧重点不同，目的不同。

功能测试目标是让实际结果满足预期结果，测试不充分会导致用户在实际操作中遇上bug。

而安全测试不充分，会导致攻击者伪装用户 或者管理人 攻击程序系统 ，在没有约束条件下，篡改数据、破坏系统、泄露隐私

网络安全 常见的体系及对策

为避免被攻击时 毫无防备吃大亏，多了解目前安全方向的上层策略，会方便于作为下层基础的 安全用例（细分到SQL注入、脚本攻击等） 设计与实现，扩展思路     常见的反制手段有以下几个方面

信任/不信任

1. 网络分段：

   • 将网络划分为多个子网，每个子网具有不同的信任级别。可以通过物理硬件或软件来创建和保护，例如使用路由器、交换机和防火墙进行物理分段，以及使用子网划分、虚拟局域网(VLAN)和网络寻址方案进行逻辑分段

2. 防火墙规则：

   • 配置防火墙规则来允许或拒绝来自特定IP地址或网络区域的流量。

3. 虚拟局域网（VLAN）：

   • 使用VLAN来隔离网络流量，确保不同VLAN之间的隔离性。

4. 信任边界：

   • 明确定义信任边界，限制跨边界的通信。

5. 身份验证和授权：

   • 强制执行身份验证和授权机制，确保只有授权用户才能访问敏感资源。

6. 端点安全：

   • 在端点设备上部署安全软件，确保端点的安全性。

7. 加密通信：

   • 使用SSL/TLS等加密协议保护数据传输，避免数据在传输过程中被窃取或篡改。握手中公密钥的发送、验证

8. 入侵检测系统（IDS）和入侵防御系统（IPS）：

   • 部署IDS和IPS来监控和防御潜在的恶意活动。比如部署在关注流量必经的链路上（一般在重点网段的交换机，或者Internet接入路由器之后的第一个交换机上） IDS作为一个旁路监听设备会对这些链路的访问流量进行统计，监视是否有恶意的网络报文。而部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。两者差别体现在部署位置 ，ids要尽可能靠近攻击源和保护源 而IPS位于防火墙和网络的设备之间，IDS能配合防火墙 防止外部威胁进入我们的网络，但它并不能监控网络内部所发生的攻击行为，因此IPS作用就有必要。

9. 零信任模型：

   • 实施零信任安全模型，不自动信任任何内部或外部的访问请求，敏感页面强制身份鉴权，开发设计时对权限严格区分限制

10. 多因素认证（MFA）：

    • 要求使用多种认证因素，增加访问控制的安全性，根据用户当前请求多个参数 是否满足标准 展示相应页面，比如登录人脸+验证码+密码，请求页面菜单 用户基本信息+用户关联的组织架构+白名单 

止损/恢复

止损：

1. 访问控制：限制对关键系统的访问，只允许必要的运维人员访问。尽量保证关键核心系统 不遭受攻击造成更大损失

2. 流量管理：通过负载均衡器或防火墙限制或重定向流量，以减轻对受影响系统的冲击。

3. 服务隔离：将受影响的服务与其它服务隔离，防止问题扩散。

4. 资源限制：对资源使用进行限制，如CPU、内存和网络带宽，以防止资源耗尽。

5. 紧急补丁：快速部署安全补丁或热修复来解决已知的安全漏洞。日常搭建快速部署流程，紧急上线、热修范围控制避免带入新问题

6. 数据备份：确保有最新的数据备份，以便在系统恢复时可以快速恢复数据，快速回滚避免影响扩大

7. 监控和日志：加强监控和日志记录，以便快速定位问题和追踪攻击者。快速发现问题，定位error

8. 法律和合规性：在必要时，与法律顾问合作，确保应对措施符合相关法律法规。比如问题期间已经产生的网络财产纠纷，妥善处理避免舆论

9. 用户通知：及时通知用户服务中断的情况，以及预计的恢复时间。

10. 第三方服务：如果问题与第三方服务有关，与服务提供商合作，共同解决问题。

恢复：

1. 备份恢复：从备份中恢复数据和系统配置。

2. 系统重建：在必要时，重建受影响的系统或服务。

3. 逐步恢复：分阶段恢复服务，首先恢复最关键的服务，然后逐步扩展到其他服务。

4. 负载均衡：使用负载均衡技术分散流量，避免单点过载。

5. 性能优化：优化系统性能，确保在高负载下也能稳定运行。

6. 安全加固：在恢复服务之前，确保所有系统都经过了安全加固。

7. 自动化部署：使用自动化工具快速部署更新和服务。

8. 通信策略：制定清晰的内部和外部通信策略，确保所有相关方都了解恢复进度。

9. 用户验证：在服务恢复后，进行用户验证，确保服务按预期工作。

10. 后续监控：在服务恢复后，持续监控系统，确保没有新的问题出现。

11. 事后分析：进行事后分析，了解问题的根本原因，并制定预防措施。

12. 培训和演练：定期进行恢复服务的培训和演练，提高团队的应对能力。

13. 业务连续性计划：制定和执行业务连续性计划，确保关键业务在任何情况下都能持续运行。

对抗/防守

1.  防火墙和入侵检测系统（IDS）：
   1. 防火墙用于监控和控制进出网络的流量，而IDS则用于检测潜在的恶意活动
2. 补丁管理：
   1. 及时应用软件和系统的安全补丁，减少可被利用的漏洞。
3. 网络分段：
   1. 将网络划分为多个子网，以隔离潜在的威胁并限制攻击的扩散
4. 数据丢失防护（DLP）：
   1. 实施DLP策略来监控、检测和阻止敏感数据的未授权访问和传输。（Data Loss Prevention，数据丢失防护策略），目的是防止数据被未授权访问、泄露、误用或丢失，常见的有：确定哪些数据被视为敏感数据、将数据按照敏感程度进行分类、使用自动化工具在组织内发现和定位敏感数据、访问控制、监控敏感数据的使用情况，包括访问、复制、打印等行为、对数据在传输过程中进行加密，防止数据在传输过程中被截获、对存储在数据库、文件服务器或云存储中的敏感数据进行加密和访问控制、定义和实施明确的数据保护政策，包括数据使用、共享和传输的规则、分析用户行为，识别异常行为模式，可能指示数据泄露尝试
5. 端点安全：
   1. 在端点设备上部署安全软件，如防病毒、防恶意软件和主机入侵防御系统。
6. 网络监控和流量分析：
   1. 监控网络流量，分析异常模式，以便及时发现和响应潜在的攻击。
7. 安全配置和加固：
   1. 确保系统和应用程序的配置符合安全最佳实践。
8. 供应链安全：
   1. 评估和管理供应链中的安全风险，确保第三方服务和组件的安全性。
9. 法律和合规性：
   1. 遵守相关的法律法规和行业标准，确保网络安全措施符合合规要求。
10. 安全自动化和编排：
    1. 自动化常见的安全任务和响应流程，提高效率和响应速度。常见的自动化安全任务有：定期自动执行漏洞扫描，以识别系统中的安全漏洞，并生成报告、自动收集、监控和分析来自网络和系统的日志数据、自动识别需要更新的系统组件，并应用安全补丁，减少系统漏洞、对捕获的可疑文件进行自动化沙箱测试，分析其行为并确定是否恶意、根据新的威胁情报和安全需求，自动更新防火墙规则和安全策略、在检测到安全事件时，自动执行预定的响应计划，如隔离受感染的系统、在安全事件发生后，自动收集相关证据，以供后续分析和调查使用等
11. 威胁情报：
    1. 收集和分析威胁情报，以便更好地了解和防御潜在的攻击。
12. 安全测试：
    1. 定期进行渗透测试和漏洞扫描，以识别和修复安全问题。

制度/执行

1. 服务账户管理：

   • 管理服务账户的权限，确保它们只能访问必要的资源。 开发和运营、产品非必要 严格收揽权限

2. 安全审计和监控：

   • 定期进行安全审计，监控网络和系统的活动。常见的有 漏洞评估、配置审计、访问控制审核、数据保护和加密措施、审核系统和软件的更新策略，确保及时应用安全补丁、检查备份的频率、存储和恢复流程、审核灾难恢复计划有效性、检查系统日志的完整性和监控策略的有效性

3. 安全策略和流程：

   • 制定明确的安全策略和流程，指导如何管理信任和不信任的服务。

4. 安全意识培训：

   • 对员工进行安全意识培训，教育他们识别和避免潜在的安全威胁。

5. 应用程序白名单/黑名单：

   • 允许或阻止特定应用程序的运行，以控制对系统的访问。

6. 业务连续性计划和灾难恢复：

   • 制定计划以确保在信任服务受到攻击时，可以快速恢复业务。常见的有容灾演练，真实模拟攻击后快速恢复的场景

实际测试中，具体案例及AI提效

这里简单扩展SQL注入来 举例AI应用的方式

一，SQL注入，攻击者通过在Web应用程序中 跟关联数据库操作 相关链接的输入字段中注入恶意SQL代码，来破坏原本的SQL语句结构，从而执行非法的数据库查询。这种攻击可以用于获取、篡改或删除数据库中的敏感信息，甚至可以用于获取数据库管理系统的控制权限。

1. 常规数据提交案例：

   • 假设一个网站的登录表单，其SQL查询可能是这样的：

     SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';

   • 攻击者可以输入：

     ' OR '1'='1

     这将导致SQL查询变为：

     SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '输入的密码';

     这通常能绕过登录验证，因为'1'='1'总是为真。

2. 错误信息利用案例：

   • 一个网站的用户信息查询可能使用如下SQL语句：

     SELECT * FROM users WHERE id = '输入的用户ID';

   • 攻击者输入：

     99999' AND 1=0 UNION SELECT NULL, password FROM users WHERE 1=1 --

     如果网站显示错误信息，攻击者可能获得所有用户的密码列表。

3. 布尔盲注案例：

   • 假设一个网站的用户ID查询使用类似这样的SQL语句：

     SELECT * FROM users WHERE id = '输入的用户ID';

   • 攻击者通过修改用户ID字段来探测数据库，例如：

     1 AND 1=1 1 AND 1=0

     通过比较页面的响应（如错误消息或页面存在/不存在），攻击者可以推断出数据库结构。

4. 时间盲注案例：

   • 使用SLEEP()函数来注入时间延迟，例如：

     1'; IF((SELECT COUNT(*) FROM users WHERE sleep(5)) > 0, 0, 0); --

     如果页面在5秒后响应，攻击者可以推断出数据库中存在用户。

5. 联合查询注入案例：

   • 假设一个网站的用户名和密码查询使用如下SQL语句：

     SELECT username, password FROM users WHERE username = '输入的用户名';

   • 攻击者输入：

     ' UNION SELECT 'admin', 'password123' --

     这将使SQL查询变为：

     SELECT username, password FROM users WHERE username = '' UNION SELECT 'admin', 'password123' --';

     可能会返回管理员的用户名和密码。

6. 堆叠查询注入案例：

   • 如果一个网站的用户查询允许执行多个语句，攻击者可以输入：

     正常用户名'; DROP TABLE users; --

     这将删除整个users表。

7. 外部数据引用案例：

   • 攻击者可能尝试使用LOAD_FILE()函数来读取服务器上的文件，例如：

     SELECT * FROM table WHERE column = LOAD_FILE('/path/to/secrets.txt');

     如果服务器配置不当，这可能会泄露敏感文件内容。

根据这些用例，我们思考 如何用AI来提高【安全测试】效率？

目标1：安全测试的实现，离不开对过往安全教训的理解，预防未来新的攻击手段 同时更保证不会重蹈覆辙

解决思路：构建数据集从历史攻击数据、开源漏洞数据库和安全论坛中收集SQL注入攻击案例，构建用于训练的数据集

比如在每次接口请求中，让AI在请求入参(可以是请求的Query 任何的参数)替换为 攻击案例的【输入字段】 进行Mock请求，然后观察接口响应

上边是简单prompt参数化方法，结合算法见 下方 目标6

目标2 坚墙难免有蚁穴，如何预防攻击者的试探，减少漏洞被发现的概率

解决思路：对输入数据进行分类，区分正常输入和潜在的恶意输入 锁定IP

攻击者多次尝试，部分会从简入深去试探安全漏洞，如果请求拦截是因为多次触发prompt里的类似 输入结构，将把IP加入流量黑名单

目标3  如何知道当前应用程序的安全性是否符合 安全标准

解决思路：模拟攻击 使用强化学习算法模拟攻击者行为，自动探索和测试应用程序的安全性

这里就说大家喜闻乐见的红队与蓝队的演练了，其中设定防守方（蓝队）的安全标准是确保演练有效性和安全性的关键步骤

一般蓝方防守成功的条件有以下几点：

1. 检测能力强：

   • 能够及时检测到异常行为或攻击迹象。

2. 响应速度快：

   • 在发现安全事件后，能够迅速响应并采取措施。

3. 入侵遏制快：

   • 有效地限制或阻止攻击者在网络中的活动。

4. 数据保护全：

   • 确保敏感数据未被泄露或在泄露后能够迅速采取措施。

5. 系统恢复快：

   • 在攻击发生后，能够快速恢复正常运营。

6. 攻击溯源快和准：

   • 能够追踪攻击来源，了解攻击者的策略和技术。

7. 漏洞管理全：

   • 对已知漏洞有有效的管理流程，包括及时的修复和缓解措施。

8. 访问控制快和准：

   • 确保访问控制策略得到执行，未授权访问被有效阻止

这里需要优先着重明确的是

1. 你有权限对目标接口进行安全测试。
2. 目标环境是一个测试或仿真环境，而不是生产环境，否则你就是卧底了
3. 你已经备份了所有数据，以防止意外丢失或损坏。
4. 你理解运行此脚本可能带来的安全风险和法律责任，这必须得多方review的

再次强调，未经授权的测试可能会违反法律法规，并可能对目标系统造成损害。始终确保你的测试行为是合法和道德的。

目标4 当攻击人找到漏洞并执行 非法输入时，如何避免敏感数据被访问操作？

解决思路：利用AI分析和优化访问控制策略，确保只有授权的主体才能执行特定的数据库操作。根据日志解析入参，调用方法比对，可以自己训练model，也可以提取特征让AI在知识库找现有的model 进行比对然后返回结果，根据结果更新访问控制权限列表，进行收回权限禁止访问

比如下图 用的model时一个常见的异常检测算法做为model

这个算法概念如下：

孤立森林（Isolation Forest）算法

孤立森林是一种基于树的异常检测算法，用于识别数据集中的异常或离群点。它的工作原理基于一个简单的观察：正常的数据点通常在决策树中较深的位置，而离群点则较浅。孤立森林通过随机选择特征和分割值来构建多个决策树，每个树尝试隔离数据点。

特点：

• 随机性：孤立森林在构建树的过程中引入随机性，通过随机选择特征和分割点来增加隔离离群点的机会。
• 效率：孤立森林通常比其他基于树的算法（如随机森林）更高效，因为它不需要构建大量的树来达到较好的检测效果。
• 无监督：孤立森林是一种无监督算法，不需要标记的训练数据，适用于没有标签的异常检测场景。

这里做个简单比喻：

想象一下，你有一片广阔的森林，里面有很多树木。这些树木代表了数据集中的正常数据点。现在，如果你想在这片森林中找到一个特定的树木（即一个数据点），你需要从森林的入口（起点）开始，沿着各种小径（决策规则）走，直到你到达那棵树下。由于树木很多，小径错综复杂，所以这可能需要走很长的路。

但是，如果这片森林中有一个外来的、与众不同的树木（异常数据点），比如一个塑料树，它可能就放在森林的边缘或者小径旁边。这样，你不需要走很远，也不需要经过很多决策，就能很快地找到它。这个塑料树就是“孤立”的，因为它与其它树木不同，容易被区分出来。

将这个比喻应用到孤立森林算法中：

• 树木：代表数据集中的数据点。
• 森林：代表整个数据集。
• 小径：代表决策树中的分割规则。
• 塑料树：代表异常或离群点。

孤立森林算法通过随机选择数据特征和分割点来构建多个决策树。在这些随机构建的树中，正常数据点往往需要更多的分割才能被孤立，而异常数据点则因为其与众不同的特性，很快就能被孤立。通过这种方式，孤立森林可以有效地识别出数据集中的异常点。

简而言之，孤立森林是一种利用数据集中的随机性和异常数据的“孤立”特性来进行异常检测的算法，更直白点说 算法的核心就是利用随机性来快速识别那些与众不同、不应该出现在数据集中的异常点。

正常的树木（数据点）需要经过很多随机路径才能找到，但塑料树（异常点）很快就能被发现，因为它们与众不同，容易被识别。

ok～我们有了异常检测的model 就可以根据反馈的结果对 访问权限列表（Acls：access_controls）进行更新

这里简单做个概念性的python脚本样例：～

最后入口执行调试

这里关于异常、diff 有更多的特征、算法、技术简单列举 感兴趣可以扩展了解：

1. 异常检测（Anomaly Detection）：

   • 识别数据集中不符合预期模式或行为的点。

2. 离群点检测（Outlier Detection）：

   • 发现数据集中远离大多数观测值的点。

3. 新奇检测（Novelty Detection）：

   • 区分已知类别的样本和新奇或未见过的样本。

4. 变化点检测（Change Point Detection）：

   • 识别数据生成过程发生变化的时间点。

5. 异常值（Outliers）：

   • 指数据集中的个别值，它们与其它值相比显著偏离。

6. 噪声点（Noise Points）：

   • 可能由于测量误差或随机波动而显著偏离正常范围的点。

7. 偏差（Deviation）：

   • 统计学中，指观测值与平均值或中位数的差异。

8. 非典型（Atypicity）：

   • 描述数据点与数据集中的典型模式或分布显著不同。

9. 异常分数（Anomaly Score）：

   • 一个数值，表示数据点是异常的可能性，分数越高，异常的可能性越大。

10. 异常标签（Anomaly Label）：

    • 在监督学习中，用于指示数据点是否为异常的标签（例如，0表示正常，1表示异常）。

常见处理异常的算法中，除了 孤立森林 外还有  自动编码器、支持向量机等，都可以有效地识别和处理异常数据。

目标5 如何实时发现正在发生的异常操作、非法行为？

解决思路：部署实时监控系统，使用AI模型分析数据库交互，检测并响应可能的异常行为 例如：SQL注入攻击。

这里是简单示例～仅解释概念，同理也适用与调用函数的监控、RPC/Http 、MQ的监控 

脚本简单概括：建了一个Flask Web应用，它有一个/database路由来监控数据库交互。当接收到POST请求时，它会检查请求中的每个查询语句，使用is_sqli_attempt函数来检测潜在的SQL注入攻击。如果检测到攻击，它会调用respond_to_sqli函数来做出响应

目标6 如何  预测尽可能存在的漏洞 料敌先知

解决思路：创建一个用于预测潜在安全漏洞的时间序列分析脚本涉及到数据收集、特征工程、模型训练和预测等步骤

例如 下边我们 使用Python中的statsmodels库来实现一个简单的ARIMA（自回归积分滑动平均）模型，用于时间序列预测

ARIMA（自回归积分滑动平均）模型 通俗易懂的理解：

想象一下你正在观察一群人在玩传球游戏。球被传来传去，每个人接到球后会根据自己和他人的过去行为来决定下一步将球传给谁。在这个游戏中：

• 自回归（AR）：就像玩家A会考虑自己之前接到球的次数和频率，以及其它玩家的行为，来预测自己下一次何时可能接到球。
• 积分（I）：如果玩家A注意到游戏开始时球传得很快，但随着时间推移传球速度减慢了（或者相反），他们可能会调整自己的预测，考虑到这种趋势变化。
• 滑动平均（MA）：玩家A还会考虑最近几次传球的平均情况，比如过去几分钟内球被传了多少次，来帮助自己预测下一次传球。

ARIMA模型将这三个概念结合起来，对时间序列数据进行预测。具体来说：

1. 自回归（AR）：模型会考虑时间序列中过去的值，就像玩家考虑自己过去接到球的次数。

2. 积分（I）：如果时间序列有趋势或非平稳性，积分部分会帮助模型通过差分（即连续值之间的差异）来使序列更加平稳。

3. 滑动平均（MA）：模型还会考虑随机扰动项（即误差或球传过程中的不确定性）的移动平均，就像玩家考虑最近传球的平均频率。

ARIMA模型的目的是通过分析时间序列的历史数据，捕捉其潜在的模式和结构，从而进行未来值的预测。在实际应用中，ARIMA模型需要确定三个参数（p, d, q）：

• p：自回归项的阶数。
• d：进行差分的次数，以使序列平稳。
• q：滑动平均项的阶数。

通过拟合这些参数，ARIMA模型可以很好地捕捉时间序列的动态特性，并进行预测。这就像玩家通过观察和学习游戏的模式，来提高自己预测传球的准确性。

～～～～

不过，预测本身的准确性是最重要的

特征工程、模型选择、参数调优和结果解释都是预测准确性的关键因素，model预测能力不稳定，预测的结果就没意义，除开算法 ，数据的预训练也很重要 毕竟能力除来技术 还需要经验，因此model里 安全漏洞的数据可能更多的需要从安全公告、日志文件、错误报告等来源收集，并进行适当的预处理

目的7  存量的历史代码逻辑，和每次代码审计时，发现存在的安全风险？

解决思路：使用AI辅助代码审计，例如 自动识别代码中可能存在SQL注入风险的部分

流程步骤：

1. 加载代码数据。
2. 使用预训练的模型或自定义规则来识别潜在的SQL注入风险。
3. 报告风险及其位置。

这里 由截图可见 我们只用了一个非常简单的规则来检测可能的SQL注入风险。在实际应用中，代码审计基本都会需要更复杂的逻辑和分析方法，例如：

• 使用更高级的静态代码分析工具，如SonarQube、Fortify等。
• 利用机器学习模型来识别代码中的异常模式或潜在风险。
• 结合代码上下文和数据流分析来提高检测的准确性。
• 集成到持续集成/持续部署（CI/CD）流程中，自动化审计过程。

等等还有很多方面要综合考虑，不过公司目前有 静态扫描 在编译时的节点，集成AI功能会事半功倍，

同时我们在实际扫描之前，也应该对这个审计工具进行充分的测试，确保扫描审计工具的准确性和有效性，并根据需要进行调整和优化，只是保证扫描工具本身出错不会阻塞发布流程

什么是   AST：在编程语言的编译过程中，源代码会被转换成AST，这使得编译器能够更好地理解和处理代码

你写了一段JavaScript代码，比如const x = 10;。这行代码在计算机看来，可以分解成几个部分：关键字const、变量名x和数值10。AST就是将这些部分以树状图的形式展示出来。

Program └── VariableDeclaration ├── kind: "const" ├── declarations │ └── VariableDeclarator │ ├── id: Identifier │ │ └── name: "x" │ └── init: Literal │ └── value

感兴趣可以了解：一文助你搞懂 AST-腾讯云开发者社区-腾讯云 AST常见于js的语法树

语法分析成 AST ，我们可以在这里在线看到效果 ：

Esprima

目的8 如何让开发过程中，实时通知开发者当前的方法逻辑存在安全漏洞？

解决思路：开发AI驱动的IDE插件，实时检测和警告开发过程中可能引入的安全漏洞，这里还是举例SQL注入漏洞

做这个插件的目的主要分为三个部分： 事件监听、代码分析和警告显示，以下是后端的简单实现逻辑

1. 根据所使用IDE的具体API和插件开发指南进行适配，不同IDE版本 支持能力不一样 
2. 集成一个真正的AI模型来分析代码并检测SQL注入风险。
3. 实现代码分析引擎，可能涉及到抽象语法树（AST）分析或其他静态代码分析技术。
4. 优化用户体验，确保警告信息准确且及时。

本次我们浅谈了AI对安全测试的部分实践和思路，但攻击方式 和漏洞的产生往往是复杂且出乎意料的，当下的攻击也不仅仅是SQL注入这么简单，与时俱进  比如在网络攻击演练中 红方的策略可以有

1. 自动化漏洞扫描：

   • AI去进行自动化漏洞扫描过程，快速识别已知漏洞和弱点。

2. 智能钓鱼攻击：

   • 使用自然语言处理（NLP）技术来创建更逼真的钓鱼邮件（甚至根据你邮箱或者个人信息，自动编写各种你以为只有熟人才能保证的 隐私秘密），以提高成功率。

3. 模式识别：

   • AI可以识别网络流量中的模式，以发现异常行为或潜在的攻击向量。（比如收集网络流量数据，举例 包括入站和出站的通信、用户行为日志、系统事件等。）

4. 攻击策略优化：

   • 利用机器学习算法分析过去的攻击数据，优化攻击策略和方法。

5. 自动化渗透测试：

   • AI可以自动化渗透测试的某些方面，如识别攻击面、执行攻击并记录结果。

6. 预测性威胁建模：

   • 使用AI预测潜在的安全威胁和攻击场景，帮助攻击方提前准备。

7. 智能逃避技术：

   • AI可以帮助设计逃避安全检测的攻击技术，如混淆恶意软件或加密攻击载荷。

8. 自适应攻击向量选择：

   • 根据目标系统的响应，AI可以动态选择最有效的攻击向量。

9. 攻击自动化和编排：

   • AI可以自动化攻击流程，将多个攻击步骤编排在一起，提高效率。

10. 实时威胁情报分析：

    • AI可以实时分析威胁情报，为攻击方提供最新的漏洞信息和攻击技术。

11. 攻击结果学习：

    • AI可以从攻击结果中学习，不断优化攻击策略，提高未来攻击的成功率。 （很多情况下大不了换个IP，攻击成本远低于防守成本，收益也是

AI大数据模型时代，安全问题会愈发尖锐化，提高网络安全能力也就刻不容缓

。