安全智能分析系列（二）| 实操案例，带你玩转SecXOps

基于Web环境的互联网应用越来越广泛，形形色色的Web应用也越来越多地嵌入人们的日常生活，不法分子为牟取非法利益，通过各种手段对Web服务器进行攻击，试图获取个人信息、窃取企业重要数据或篡改内容等。Web攻击是恶意攻击者针对用户上网行为或网站服务器进行攻击的行为，常见Web攻击包含SQL注入攻击、跨站脚本攻击、本地文件包含、DDoS攻击、CC攻击等，多种网络攻击严重侵害个人用户利益，严重危害网站安全运营。据Gartner调查，信息安全攻击有75%都是发生在Web应用层，2/3的Web站点都相当脆弱，易受到攻击。随着攻防对抗的升级，规则引擎、语义引擎难以应对复杂多变的Web攻击。为了保障企事业单位网站的业务正常运行，安全厂商将AI安全分析引擎、规则引擎、语义引擎结合在一起检测Web攻击，通过加持AI能力的WAF等安全防护设备在运营商、高校、医疗、金融、政府、能源、交通等领域为Web应用安全保驾护航。

传统的AI安全分析引擎运营流程如下图所示。AI分析引擎部署之后，安全运营人员对AI分析引擎的告警数据进行分析，当告警数据中出现大量正常业务数据，影响Web站点正常运行时，安全运营人员将收集误报数据，并反馈给安全专家。然后，安全专家对数据进行分析，并对数据打标签后，将数据交由AI分析引擎开发人员。接下来，开发人员对AI分析引擎的误报漏报情况进行优化，再发布优化后的AI分析引擎，对设备中的分析引擎进行迭代更新。如同传统规则库的维护一样，传统的AI安全分析引擎的运营维护流程同样存在繁琐耗时的问题。

不同于规则引擎，AI模型本身具备自主学习和自我更新的能力，AI模型能够根据当前数据的变化，不断学习调整模型参数，实现自我更新进化。为了减少AI安全分析引擎运营过程中的繁琐流程，实现分析引擎的自动化运营，提高运营效率，SecXOps平台打通AI安全分析引擎的开发、测试、部署及后续运营流程。尤其对于AI安全分析引擎的运营维护，SecXOps平台基于AI模型的自主学习特性，通过采用AI模型增量学习及重新训练等措施，实行AI模型自动迭代升级，形成AI安全分析引擎的运营闭环。既解决现有AI模型性能退化问题，也减少AI模型优化升级过程中繁琐的人力沟通过程，降低人力沟通成本，提升AI安全分析引擎的运营效率。

SecXOps能够帮助算法开发人员快速获取数据、搭建模型，部署后，运营过程中面对一系列繁琐的流程，SecXOps平台通过内置AI模型自动参数更新以及模型超参数调优功能，可以解决模型更新相关问题，并在整个AI模型迭代更新过程中尽可能的实现自动化运营，减少人力沟通过程，提高AI安全分析引擎运营效率。AI 安全分析引擎运营流程具体包括以下内容。

在数据获取方面，由于SecXOps平台上已经拥有了大量公开数据集，因此只需在现有的公开数据库中挑选合适的数据集即可，同时若数据集存在未清洗、需要预处理等问题时，可以直接通过平台内置的方法一键式完成数据预处理，生成新的可供使用的数据集。

SecXOps平台提供AI安全分析引擎的开发环境。AI安全分析引擎的开发遵循一般应用中AI模型的开发流程。针对常见的SQL注入、XSS攻击、远程命令执行等Web攻击的检测，属于监督学习任务，AI安全分析引擎开发人员针对分析引擎的实际业务场景，收集需要检测的Web攻击数据以及业务场景中的正常业务数据，构建丰富的数据集，完成数据集清洗、数据集打标签等前期工作。依据选择AI模型的不同，进行适配的数据预处理进行特征提取，如原始数据统计特征提取、利用神经网络进行数据高维特征提取、利用注意力机制提取数据注意力分布等。基于提取的数据特征，构建初始AI模型，并进行AI模型训练，对于收敛的AI模型，开发人员采集测试数据，利用SecXOps提供的测试功能进行AI模型的性能测试，生成鲁棒的AI模型。针对未知类型Web攻击的检测，常采用自编码器、聚类等算法。对于聚类算法，前期不需要对Web攻击数据集打标签，利用SecXOps平台训练聚类模型并进行模型测试，生成鲁棒的聚类模型，实现未知类别Web攻击的检测。

SecXOps平台提供模型发布功能，模型开发者将训练好的成熟AI模型及其数据预处理模块、模型推理服务模块共同打包发布，WAF等设备的开发人员将发布的AI安全分析引擎嵌入到WAF等Web安全防护设备中，与其他规则引擎、语义引擎融合，形成联合防御系统，降低WAF等设备的误报及漏报情况，提升防护设备抵御各种类型Web攻击的能力。

对于嵌入WAF等安全防护设备的AI安全分析引擎，需要安全运营人员对其进行持续的运营维护。SecXOps平台提供AI模型参数自动更新功能，当AI安全分析引擎在生产环境中出现大量正常业务误报，影响Web站点正常使用，或者出现大量Web攻击数据漏报情况，检测能力下降时，安全运营人员通过AI模型参数自动更新功能进行AI安全分析引擎的优化升级。在生产环境中安全运营人员采集疑似Web攻击误报漏报的数据，利用SecXOps内置的聚类模型进行数据的初步打标签，并通过专家知识的辅助对聚类结果进行分析验证、清洗数据、生成数据的准确标签，以及构建数据集。基于构建的数据集与AI模型，在SecXOps平台创建AI模型参数更新任务，如下图所示，配置数据集、模型及运行参数，即可进行AI模型的参数更新。对于训练表现好的模型，需要通过模型测试才能进行模型发布。模型测试包括两种方式：第一种，在生产环境中采集数据，利用SecXOps平台的模型测试功能进行测试；第二种，对于训练好的模型，在生产环境中进行旁路部署，在不影响业务环境的情况下进行模型检测能力的测试。对于通过模型测试的AI模型进行模型发布，并对设备中的原AI模型进行替换，完成AI安全分析引擎的迭代升级。

本技术白皮书描述了安全智能分析背景和趋势，以及面临的挑战，提出了SecXOps概念内涵、技术优势以及核心能力，从安全分析的实践出发，重点总结了SecXOps关键技术在五个安全分析场景中的应用实践。目前，SecXOps 技术的研究和攻防场景应用实践仍然具备较大的上升空间，在理论方法、标准制定和模型运营等方面需要进一步的研究与探索，期望白皮书能够促进SecXOps 技术体系的成熟，以构建智能分析的良好技术生态，这需要网络安全人员共同探索。

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们