1AISecOps技术内涵
人工智能+安全的技术融合给行业带来了新的期盼。无论是安全的AI还是AI的安全应用,都已成为学术、工业跨界的热点话题。AI技术在诸多单点安全技术和指定场景中,如恶意软件分类、恶意流量识别、入侵检测等,呈现出不错的效果。随着SIEM、SOAR等关键技术的产业化,安全能力不再停留在堆砌设备的阶段,数据、技术、流程与人员的“接口”被打通,安全运营逐渐得到行业各方的统一关注。而自动化安全运营,特别是基于AI技术的智能化方案,给我们描绘了美好的蓝图。
2AISecOps指标层次
脱离实际的场景与任务目标很难谈技术的成败。许多AI技术的失败案例,往往是拿来主义的技术堆叠加上牵强的数据拟合,高指标的模型算法在落地时坠下神坛,原形毕露。面向不同的运营目标、不同的安全场景(例如企业内网、工业互联网、云计算等)、不同的考核对象等,需要设计不同层次的安全运营指标化体系,以指导人、流程与技术的持续优化迭代。
3AISecOps能力分级
安全行业不断尝试各种基于AI技术的安全应用,例如自然语言处理技术、图像处理技术、图分析技术等等,都经过改良嫁接到安全场景中。当前,我们愈发需要统一的视图来有效透过宣传炒作审视AISecOps技术的发展水平与阶段,在统一语义下进行技术能力分级,以横纵向定位自身技术的发展层次。
按照安全运营关键任务的自动化程度,我们将AISecOps技术的自动化水平划分为L0~L5六个层次,对应无自动化到完全自动化。同时,针对安全运营技术中的关键环节,按照人工智能的经典范式“感知-认知-决策-行动”进行概念划分(基本对应经典作战决策OODA循环模型的“观测-调整-决策-执行”体系),其中感知层执行识别(如各类实体识别与分类)和检测(如威胁检测)任务,认知层执行关联(如多源数据集成分析等)、溯源(如回溯攻击路径)和预测(如预判攻击行为)任务,决策层执行评估(如风险综合评估)和制定(如策略、方案生成)任务,行动层执行响应(如部署策略)和修复(如系统恢复)任务。每个任务层次的有效性依赖于上一次层次的成熟度。以下概述AISecOps自动化能力的不同级别:
-
L0(无自动化),安全运营的所有任务都由安全运营人员完成。尽管AI等分析技术能够提供一定层级的识别和检测能力,但该层次下识别与检测不对任何安全运营任务负责,属于较高层级的数据采集能力。 -
L1(运营辅助),面向安全运营的运营指标,自动化运营系统开始有针对性的参与环境感知、信息加工认知及风险评估等部分子任务。在该自动化层级下,系统例行数据分析的辅助功能,不参与任何自动化行动子任务。 -
L2(部分自动化),针对部分单一环境场景,自动化运营系统参与感知、认知、决策、行动的全流程子任务,与运营人员进行持续数据、知识交互。 -
L3(有条件自动化),针对所有任务场景,自动化运营系统完成包括行动子任务在内的所有子任务,但在必要阶段须安全运营人员提供应答与系统接管。 -
L4(高度自动化),在限定的复杂场景下,自动化运营系统按照预定的运营指标完全自动化执行,无需安全运营人员介入。 -
L5(完全自动化),在所有复杂场景下,自动化运营系统按照预定的运营指标完全自动化执行,无需安全运营人员介入。
1安全智能技术的信任危机
2构建可信任安全智能
-
环境自适应,指的是针对动态网络全数据的分析性能,如分类准确率、异常的检出率、误报率等等,唯有自适应才能保证任务执行的结果的稳定性,真实有效拓展人处理能力的不足; -
输出可解释,指的是要求智能体的结果可解释,能够以人可理解的方式输出决策依据,才能建立人与机器的“沟通”闭环; -
持续学习,建立在可解释的基础上,通过人机协同的数据、信息和知识闭环,模型能够根据人、环境、自身特性进行持续优化; -
最后,安全智能本身应保证鲁棒性和安全性,能够抵抗针对算法、模型、系统的攻击,保证在安全攻防中的安全性与可用性,同时需提供可审计的接口,满足合法合规性,符合人类所要求的尺度限制与规范。
以上多个技术要素,互为补充又相互依赖,需要在设计之初充分考虑。正如我们更倾向选择能力强、善于沟通、抗压能力强、高尚守法的人作战友,具备以上技术要素的机器智能更能够获取人的信任,并胜任高级别的安全运营自动化任务。
人工智能技术与网络安全技术的碰撞与融合,将改观安全行业劳动密集的现状,加快安全能力更全面、更深入的自动化。在这个过程中,安全行业的智能化探索不能止于亦步亦趋,做其他智能应用场景的跟随者、方法的搬运工。AISecOps技术中所应对的关键科学问题、安全业务的自动化的实际需求所面临的挑战终究需要高可用的人工智能技术研究工作的支撑。现阶段,需要从构建可信任的安全智能出发,研究自适应、可解释的、持续学习、安全的、满足道德和法规约束的数据挖掘技术方案,以促进网络安全运营自动化的进程。
以上是笔者在探索AISecOps应用落地中的一些思考,不成熟之处,请各位读者不吝赐教,共同探讨AISecOps技术的落地,感兴趣的读者欢迎点击阅读AISecOps系列相关文章。
数据篇:
算法篇:
参考文献:
[3].Floridi, L. Establishing the rules for building trustworthy AI. Nat MachIntell 1, 261–262 (2019). https://doi.org/10.1038/s42256-019-0055-y
天枢实验室聚焦安全数据、AI攻防等方面研究,以期在“数据智能”领域获得突破。
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我们
本文来源于互联网:AISecOps:打造可信任安全智能
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论