ChatGPT在安全运营中的应用场景

自ChatGPT （Chat Generative Pre-trained Transformer）2022年11月30日发布后，在各行各业引起了极大反响，可谓是AI界的一次跃进。回顾它的发展过程，自2015年OpenAI研究机构成立，2017年谷歌发布Transformer架构，2019年微软注资到2020年GPT3.0模型发布，由于付费使用的原因，未能第一时间在社会中传播开来。但是本次ChatGPT的发布，以极其亲民化的面貌出现在大家的视野，越来越多被业内业外的广大用户把玩起来。基于其1750亿的参数以及先进的RLHF模型，给用户极致的体验，让你一时无法分辨对面到底是AI还是真人。

随着话题的引爆，更多的应用场景被广大用户挖掘出来。通用的应用包括代码编写、代码debug、文章撰写、聊天、智能客服、搜索引擎等。在网络安全应用场景中大家也提了很多，包括提升安全运营能力、恶意软件制作和分析、漏洞处理、安全咨询、网络钓鱼邮件撰写和识别，可谓在攻防两端都产生了巨大的影响，也引发了我们的进一步思考，在攻防博弈中，作为安全厂商，如何能通过ChatGpt赋能我们的安全运营，更好更快的处理客户的安全问题。

智能运营

近年来，随着AI的发展以及网络攻击的自动化、系统化，网络安全防御面临了更大的挑战。一方面专业安全从业人员极度短缺，难以满足市场需求，缺口巨大；另一方面，企业部署了大量的安全设备，但是彼此缺乏联动，各自为战，难以形成有效的防御体系。再者，安全业务知识的匮乏使得很多防御工作都是被动无序的。为了帮助客户解决这些棘手的问题，绿盟科技在2019年就开始投入SOAR（安全编排与自动化响应）解决方案的预研和产品化，将人员、流程、工具有效的结合起来，通过剧本赋能客户，自动化响应SIME或者SOC系统中的安全事件，安全运营也开始逐步走向自动化，在运营效率上提升百倍。

2022年我们开发了AI机器人-小盟BOT，如图1。它是协同作战室的重要组成，协同作战室打破了人人协同、人机协同的壁垒。如图2小盟BOT我们采用了RASA自然语言框架、结合Seq2Seq的生成式模型（Transformer架构）来完成自然语言识别、自然语言生成的核心能力，其核心是识别运营人员的意图，结合历史数据，智能推荐SOAR中集成的剧本能力、动作能力，并驱动SOAR引擎自动化处理。全新的交互方式，能够极大的提升一线用户的运营效率。

在ChatGPT上我们看到了目前世界上最强NLP模型之一在处理自然语言的强大能力。我们的小盟BOT架构上可以无缝使用其类GPT3.5级别的开源模型，大大提升自身的交互能力和知识深度。一方面作为开源的自然语言处理框架RASA，可以将GPT模型作为语言模型嵌入处理流中，提供NLP能力；另一方面，当前我们在Action节点上，更多的是将用户意图映射到已有的安全原子能力上进行调度，比如IP封堵、情报查询等，使用ChatGPT后，可以扩展任务场景，在Action节点上进行更广的方案级交互，为智慧运营助力。

不管是小盟BOT还是协同作战室，核心都在于为运营人员提供全新的交互模式。我们看到基于海量知识训练出来的ChatGPT带来的很多可能性，如：运营人员可以将一份邮件交给ChatGPT，快速识别钓鱼邮件；运营人员可以将安全告警请求交给ChatGPT，快速识别是否具备恶意目的。如图4，我们将一个网页请求交给ChatGPT，其快速地识别出了该请求具有SQL注入攻击的目的，同时还能识别出是通过SQLMap工具生成的。

智能编排

在网络安全投入越来越大，安全专家越来越短缺的情况下，如何通过机器智能自动地生成安全解决方案，如何自动处置来自于专家级的攻击者的攻击越发重要。智能编排的目标是基于客户环境上存在的事件轨迹、行为轨迹、进程轨迹、文件轨迹，结合历史的处置记录，将自身分散在网络中的安全能力进行整合，智能编排出有效的安全响应方案，解决从无到有的第一步，然后不断地人工加以优化应用。整理的逻辑架构如图5。

ChatGPT的强项归根结底在于做文案，文案的类型包括普通文本、新闻稿、演讲稿、作文甚至代码。那如何将其与安全运营结合起来呢，安全运营领域目前应用最广泛的是SOAR，SOAR依托的则是剧本，剧本来源于安全专家的运营经验和知识。到此，我们尝试了一种可行的方式，由ChatGPT担任安全专家的角色，由其生成剧本。在业内，剧本的构成大都是python代码脚本，且各家有所差异，如何能生成符合自家规范的剧本呢。这里需要提到另一个概念，BPMN（Business Process Modeling Notation），目前主流的SOAR厂商，在可视化编排上均符合BPMN2.0规范，笔者尝试让ChatGPT生成了一下，验证是可行的。如图6。那么基于BPMN2.0规范的所有SOAR厂商，均可以由此收益，将BPMN文件转换成SOAR剧本将不是难事，这里不再赘述。

但我们细看，这里其实有个问题，由于ChatGPT生成的文本有长度限制，而BPMN描述文件相对冗余的语法，占据了大量的篇幅，导致很难完整的描述一个安全事件的自动化处置方案。那就问问ChatGPT有没有更好的方式呢，如图7，我们发现基于yaml的描述似乎来的更加精炼和易读，且也是结构化的文本。这里尝试了一个SQL注入攻击的处置剧本，可以看到其处理过程是比较合理的，只是其中的动作执行逻辑，应用的时候需要切换到SOAR系统本身具备的原子能力上来。

ChatGPT的火热，对于安全攻防两端都提供了新的可能。对于安全厂商，我们需要更多的知识赋能，在人才密集型行业中，利用AI的能力提升为客户服务的效率，将传统人肉运营不断地往智能运营的方向上演进。当然，新技术的诞生，必将面临诸多挑战，存在不确定性。本文聚焦安全运营，在绿盟科技已有成果的基础上，提出了若干结合ChatGPT或者类GPT模型的新的场景和应用方式，为不断提升客户网络安全运营水平添砖加瓦。