張潤滋，劉文懋

1.綠盟科技集團股份有限公司，北京 100089

2.清華大學(xué)，自動化系，北京 100084

引 言

隨著數(shù)據(jù)的積累，算力的提升，人工智能技術(shù)的演進，技術(shù)平臺的自動化、智能化水平，已經(jīng)逐漸成為網(wǎng)絡(luò)安全攻防雙方角力的重點。學(xué)術(shù)界和工業(yè)界紛紛嘗試基于人工智能技術(shù)的安全分析方法，包括深度學(xué)習(xí)、機器學(xué)習(xí)、知識圖譜等人工智能技術(shù)，已經(jīng)逐漸應(yīng)用到惡意軟件檢測、網(wǎng)絡(luò)入侵檢測、金融欺詐檢測、用戶行為分析等安全業(yè)務(wù)和應(yīng)用中。不過，幾輪炒作和試錯下來，火熱的期盼逐漸歸于平靜，安全技術(shù)的發(fā)展歸于辛苦的爬坡過程。

面對攻擊面的持續(xù)拓展，高級威脅的迭代升級，安全運營（Security Operations，SecOps）能夠面向人、技術(shù)、流程的集成與融合，有效提升安全防御資源的全局性、協(xié)同性，并已成為安全能力落地，發(fā)揮防御體系有效性，支撐實戰(zhàn)對抗的最直接、最關(guān)鍵環(huán)節(jié)之一。

可以預(yù)見，隨著安全大數(shù)據(jù)的采集與智能分析技術(shù)的成熟，基于人工智能的安全運營技術(shù)方案（AI-driven Security operations, AISecOps）將大幅提升威脅檢測、風(fēng)險評估、自動化響應(yīng)等關(guān)鍵運營環(huán)節(jié)的處理效率，大幅減少相關(guān)過程對專家經(jīng)驗的過度依賴，有效降低企業(yè)、組織乃至國家級關(guān)鍵信息基礎(chǔ)設(shè)施、數(shù)據(jù)資產(chǎn)的整體安全風(fēng)險。與此同時，智能安全運營技術(shù)能力的發(fā)展仍然在起步加速階段，在體系架構(gòu)、評估方法、數(shù)據(jù)融合、技術(shù)方向等多個層面，缺乏系統(tǒng)性的歸納與梳理。本文旨在對AISecOps智能安全運營技術(shù)的關(guān)鍵概念、成熟度、架構(gòu)、技術(shù)等維度進行一個全面的總結(jié)與介紹，期望為讀者帶來全新的技術(shù)思考，并促進AISecOps技術(shù)生態(tài)的構(gòu)建，助力網(wǎng)絡(luò)安全運營產(chǎn)業(yè)的技術(shù)升級。

圖1 安全運營技術(shù)發(fā)展趨勢Fig.1 Development trends of security operation technology

1 安全運營發(fā)展背景與趨勢

回顧安全產(chǎn)業(yè)的發(fā)展歷程，從計算機安全，到信息安全，到網(wǎng)絡(luò)空間安全，再到數(shù)字安全，安全產(chǎn)業(yè)概念演進的背后，是網(wǎng)絡(luò)信息化引領(lǐng)時代技術(shù)發(fā)展的核心趨勢。然而，隨著網(wǎng)絡(luò)空間攻擊面不斷擴大，惡意攻擊者持續(xù)規(guī)?；?、組織化，在攻擊技術(shù)的自動化、智能化、武器化，多種因素的作用下，使得傳統(tǒng)“高筑墻，廣積糧”——在網(wǎng)絡(luò)邊界堆砌防護設(shè)備的被動防御思路逐漸失效。面對日趨白熱化、持續(xù)化的網(wǎng)絡(luò)攻防對抗環(huán)境，安全防御的思路開始不再局限于構(gòu)建安全邊界，逐漸形成更為成熟、更為完備的滑動標(biāo)尺防護視角。邊界防御的左移，是系統(tǒng)化的安全內(nèi)生機制；右移是情報智能驅(qū)動的主動防御。零信任、威脅誘捕、威脅狩獵、安全開發(fā)、安全運營等支撐安全內(nèi)生、主動防御的技術(shù)方案成為安全業(yè)界的共識。值得注意的是，無論是安全左移追求安全機制內(nèi)生，還是安全右移促進主動安全防御，安全運營愈發(fā)成為安全能力內(nèi)外兼修的必由之路。

安全運營（Security Operations, SecOps）的關(guān)鍵在于，通過流程覆蓋、技術(shù)保障及服務(wù)化，為企業(yè)及組織提供資產(chǎn)和脆弱性識別與管理、威脅事件檢測與響應(yīng)等安全能力，以充分管控安全風(fēng)險[1]。

安全運營中的概念核心就是管理風(fēng)險，而風(fēng)險的度量是動態(tài)的、持續(xù)的、相對的。正是由于安全運營風(fēng)險驅(qū)動的特性，對風(fēng)險的認知的演進，決定了安全運營技術(shù)發(fā)展的方向。整體來看，安全運營技術(shù)和產(chǎn)業(yè)經(jīng)歷了單點攻防、邊界防御、安全運營中心的發(fā)展歷程，并最終向運營智能化的方向持續(xù)演進。

（1）單點攻防

伴隨著互聯(lián)網(wǎng)時代的到來，針對個人電腦的惡意軟件率先爆發(fā)。網(wǎng)絡(luò)世界的威脅趨勢逐漸呈現(xiàn)在大眾面前。此時惡意軟件正是最大的安全風(fēng)險，大量的攻防專家開始投入到反病毒軟件的研發(fā)當(dāng)中。安全運營的概念還未成型，專家即服務(wù)是典型的安全能力交付方式。

（2）邊界防御

利益驅(qū)動之下，攻擊與威脅逐漸組織化、產(chǎn)業(yè)化；與此同時，大規(guī)?；ヂ?lián)網(wǎng)服務(wù)與IT系統(tǒng)軟件的迅速演進，使得軟件漏洞引發(fā)的安全脆弱性問題浮出水面。為此，抗DDoS攻擊、入侵檢測系統(tǒng)、遠程漏洞掃描系統(tǒng)應(yīng)運而生，快速構(gòu)建起網(wǎng)絡(luò)防御邊界。并隨著攻防研究的深入，威脅場景的快速迭代，此時的安全運營從萌芽到成長，滲透測試、風(fēng)險評估團隊的配套逐漸成型，設(shè)備和維護即服務(wù)成為主流。

（3）安全運營中心

高級持續(xù)性威脅（Advanced Persistent Threat，APT）和相關(guān)事件的出現(xiàn)，給邊界化防御的思路帶來巨大的沖擊。此外，多層次的安全政策、規(guī)范的制定，逐漸形成體系化的合規(guī)性要求。在多種因素的驅(qū)動下，常態(tài)化、協(xié)同化、縱深化和智能化的防御思路成為業(yè)界共識。此時，安全運營理念和架構(gòu)逐漸成型，安全運營中心（Security Operations Center，SOC）遍地開花，以中心化的方式管理威脅、脆弱性、資產(chǎn)等風(fēng)險相關(guān)的流程和數(shù)據(jù)，并輔以行為分析、蜜網(wǎng)誘捕、威脅狩獵、情報融合等高級安全技術(shù)，來提升安全運營的效率。運營即服務(wù)，正成為當(dāng)前網(wǎng)絡(luò)空間防護的關(guān)鍵趨勢。持續(xù)自適應(yīng)風(fēng)險與信任評估（Continuous Adaptive Risk and Trust Assessment，CARTA）等面向運營管理的架構(gòu)與理念，也正是在這個背景下得以普及。

（4）運營智能化

安全運營團隊，是支撐安全運營中心化運作的核心。安全運營的萌芽、發(fā)展與成熟，映射出的是背后人與人對抗的認知與技術(shù)升級。然而，隨著網(wǎng)絡(luò)空間對抗關(guān)聯(lián)流程鏈路的增長、數(shù)據(jù)規(guī)模爆炸、技術(shù)復(fù)雜度提升，人力資源與風(fēng)險識別管控的目標(biāo)要求之間，逐漸形成巨大的需求剪刀差。此時，提升安全運營技術(shù)的自動化、智能化水平，已成為網(wǎng)絡(luò)安全風(fēng)險治理與防控的必備條件。智能賦能運營，是數(shù)字化時代運營即服務(wù)的基礎(chǔ)保障。

安全運營智能化趨勢已成為必然。流量分析、行為分析、樣本分析、威脅關(guān)聯(lián)、自動化響應(yīng)等技術(shù)越來越多地采用了機器學(xué)習(xí)、圖計算、強化學(xué)習(xí)等算法與模型。

表1概述了國際上智能安全運營相關(guān)技術(shù)產(chǎn)品?？梢钥吹剑嚓P(guān)技術(shù)廠商利用智能算法與模型，在威脅檢測、告警分診、事件調(diào)查等維度進行了探索與實踐。盡管如此，現(xiàn)階段安全智能的發(fā)展水平，仍難以滿足安全運營對威脅發(fā)現(xiàn)實時性與準(zhǔn)確性、事件自動化溯源、風(fēng)險決策自動化等多方面的要求。[2]距離可用、成熟的智能安全運營服務(wù)，還有很長的路要走。

表1 國際智能安全運營技術(shù)產(chǎn)品舉例Table 1 International technical product examples of AI-driven security operations

2 智能安全運營技術(shù)的挑戰(zhàn)

網(wǎng)絡(luò)空間攻防對抗中的信息不平衡性，使得安全運營團隊需要大規(guī)模地采集多維度的數(shù)據(jù)進行分析。然而，處理海量數(shù)據(jù)給安全運營團隊帶來了前所未有的挑戰(zhàn)，如數(shù)據(jù)依賴爆炸、事件告警疲勞、威脅大海撈針等難題。如圖2所示，本文將安全運營中大數(shù)據(jù)帶來的關(guān)鍵技術(shù)挑戰(zhàn)，簡要概括如下幾點。

圖2 智能安全運營技術(shù)的多個關(guān)鍵挑戰(zhàn)Fig.2 Key challenges for AISecOps technologies

（1）異構(gòu)多源數(shù)據(jù)欠缺規(guī)范約束。數(shù)據(jù)采集系統(tǒng)所收集的數(shù)據(jù)完整度，包括基礎(chǔ)的字段完整性，信息流的刻畫完整性，信息歸屬的完整性等等，在大規(guī)模數(shù)據(jù)并發(fā)接入和存儲受限的場景中，難以有效地、規(guī)范化地保證。與此同時，數(shù)據(jù)分析中的訓(xùn)練數(shù)據(jù)集往往經(jīng)過多輪次的清洗、過濾和標(biāo)記。而實際部署環(huán)境下，理想的數(shù)據(jù)分布假設(shè)難以適應(yīng)復(fù)雜動態(tài)的網(wǎng)絡(luò)環(huán)境與攻擊技戰(zhàn)術(shù)變化。缺乏規(guī)范約束一方面造成數(shù)據(jù)規(guī)模的膨脹，另一方面提升了數(shù)據(jù)統(tǒng)一建模的復(fù)雜度。

（2）統(tǒng)計數(shù)據(jù)匱乏語義內(nèi)涵。統(tǒng)計驅(qū)動的機器學(xué)習(xí)方法習(xí)得的數(shù)據(jù)模式，不總是能夠匹配安全經(jīng)驗與直覺，難以對齊安全業(yè)務(wù)的關(guān)注焦點。舉個例子，異常檢測是安全智能技術(shù)中的重要組成之一。然而，異常識別的維度可源于多種類型的數(shù)據(jù)統(tǒng)計維度，例如密度、距離、關(guān)聯(lián)性等等。這些統(tǒng)計維度的離散點召回方法，如果缺乏可以量化的安全語義與規(guī)則，會產(chǎn)生大規(guī)模的安全事件誤報。

（3）模型黑盒缺乏可解釋性。相對于傳統(tǒng)規(guī)則驅(qū)動的檢測方法，決策邊界的動態(tài)性給模型驅(qū)動的方法更強的數(shù)據(jù)擬合能力和泛化能力。很多高復(fù)雜度、高容量的模型，能夠端到端的給出預(yù)測結(jié)果。然而，無論預(yù)測結(jié)果是惡意的流量或樣本，或是高風(fēng)險的告警，這些黑盒模型都無法同時給出合理的佐證與上下文，這種不可解釋性給安全運營中的威脅調(diào)查與驗證帶來了更高的門檻。

（4）采集數(shù)據(jù)隱私泄露隱憂。數(shù)據(jù)利用與數(shù)據(jù)隱私保護之間的對抗與平衡，始終是安全技術(shù)升級的驅(qū)動力之一。隨著安全防御過程中收集的數(shù)據(jù)廣泛性和深度的提升，被采集端的數(shù)據(jù)所有者對采集系統(tǒng)的抵觸心理愈發(fā)明顯。數(shù)據(jù)從明文到加密，甚至拒絕“出境”，這些都限制了數(shù)據(jù)驅(qū)動技術(shù)方案的落地。

3 AISecOps智能安全運營技術(shù)體系

3.1 AISecOps核心內(nèi)涵

AISecOps技術(shù)是以安全運營目標(biāo)為導(dǎo)向，以人、流程、技術(shù)與數(shù)據(jù)的融合為基礎(chǔ)，面向預(yù)防、檢測、響應(yīng)、預(yù)測、恢復(fù)等網(wǎng)絡(luò)安全風(fēng)險管控、攻防對抗的關(guān)鍵環(huán)節(jié)，構(gòu)建數(shù)據(jù)驅(qū)動的、具有高自動化水平的可信任安全智能技術(shù)棧，實現(xiàn)安全智能范疇下的感知、認知、決策、行動能力，輔助甚至代替人在動態(tài)環(huán)境下完成各類安全運營服務(wù)[3]。

圖3 AISecOps核心技術(shù)能力拆解Fig.3 Components for AISecOps technologies

相比于安全智能（AI Security, AISec）技術(shù)，AISecOps更強調(diào)面向安全運營的核心指標(biāo)與評估方法；相比于智能運維（AI Operations, AIOps）技術(shù)[4]，AISecOps更強調(diào)攻防對抗的動態(tài)性；相比于安全運營（Security Operations, SecOps），AISecOps更強調(diào)數(shù)據(jù)驅(qū)動與智能驅(qū)動的方法賦能。AISecOps智能安全運營是在核心運營指標(biāo)的導(dǎo)向下，系統(tǒng)、深入地融合智能化技術(shù)方案，以適應(yīng)安全運營不同階段、不同任務(wù)場景的應(yīng)用需求，以提升運營全流程的自動化水平。

3.2 AISecOps指標(biāo)體系

針對安全運營技術(shù)、流程、人員交互的核心環(huán)節(jié)，需要自頂向下的構(gòu)建智能技術(shù)賦能安全運營的合理評估體系[3]。如圖4所示，該指標(biāo)體系是從企業(yè)或組織的頂層愿景出發(fā)，到安全運營的核心技術(shù)指標(biāo)，再構(gòu)建數(shù)據(jù)和分析層次的技術(shù)評價指標(biāo)。相對于傳統(tǒng)智能安全應(yīng)用中僅僅關(guān)注機器學(xué)習(xí)等技術(shù)的細粒度評估方法，從運營的可交互、可量化、可運維等需求出發(fā)，該指標(biāo)層次化體系，能夠更有效地服務(wù)于安全運營的核心目標(biāo)，輔助提升對風(fēng)險的認知水平，降低運營人員與機器智能之間的交互門檻。

圖4 AISecOps指標(biāo)體系Fig.4 AISecOps metric framework

3.3 AISecOps數(shù)據(jù)分類

當(dāng)前，大規(guī)模多維度網(wǎng)絡(luò)安全數(shù)據(jù)的接入，為通過數(shù)據(jù)分析、發(fā)現(xiàn)、處置網(wǎng)絡(luò)威脅帶來了全新機會。但考慮到可用的存儲、計算資源有限，對安全數(shù)據(jù)源的甄選和統(tǒng)一處理就顯得尤為重要。不同于DIKW的數(shù)據(jù)分層模型[5]和CyGraph的安全/任務(wù)知識棧結(jié)構(gòu)[6]，從網(wǎng)絡(luò)攻防的對抗本質(zhì)出發(fā)，以給定的網(wǎng)絡(luò)空間為戰(zhàn)場，以保護資產(chǎn)（包括實體資產(chǎn)和虛擬資產(chǎn)）并打擊威脅主體為目的，智能化的威脅分析應(yīng)該收集并構(gòu)建以下維度的關(guān)鍵數(shù)據(jù)圖。

圖5 AISecOps核心數(shù)據(jù)圖Fig.5 Core data graphs for AISecOps

（1）環(huán)境數(shù)據(jù)圖。如資產(chǎn)、資產(chǎn)脆弱性、文件信息、用戶信息、IT系統(tǒng)架構(gòu)信息等。

（2）行為數(shù)據(jù)圖。如網(wǎng)絡(luò)側(cè)檢測告警、終端側(cè)檢測告警、文件分析日志、應(yīng)用日志、蜜罐日志、沙箱日志等。

（3）情報數(shù)據(jù)圖。各類內(nèi)外部威脅情報。

（4）知識數(shù)據(jù)圖。各類知識庫（如ATT＆CK[7]、CAPEC[8]、CWE[9]）等。

各類安全關(guān)聯(lián)數(shù)據(jù)（包括但不限于以上四個類別）已在很多大數(shù)據(jù)分析場景中所采用，但仍然沒有成熟、統(tǒng)一的體系描述這些數(shù)據(jù)的分類和使用模式。將這里列舉的四類數(shù)據(jù)，從網(wǎng)絡(luò)威脅事件分析實踐出發(fā)，通過圖結(jié)構(gòu)組織起來，實現(xiàn)每個類別圖內(nèi)關(guān)聯(lián)和不同類別圖間關(guān)聯(lián)，以滿足網(wǎng)絡(luò)空間對抗的基本戰(zhàn)術(shù)需求，包括對環(huán)境的掌握、對威脅主體行動的理解、對外部情報的融合以及儲備基本知識。四圖分立，又通過指定類型的實體進行關(guān)聯(lián)，以保證不同類型圖數(shù)據(jù)表達能力的同時，實現(xiàn)全局的連接能力。

3.4 AISecOps技術(shù)框架

圖6闡述了AISecOps的技術(shù)框架，從左至右分別包含典型智能框架的感知、認知、決策和行動階段[10]。在每個階段中，列舉了關(guān)鍵的安全運營技術(shù)子任務(wù)。

圖6 AISecOps技術(shù)框架Fig.6 AISecOps technical framework

整體上，AISecOps技術(shù)框架包含兩個大的循環(huán)。一個是圖中實線覆蓋的機器自循環(huán)，這是AISecOps追求的運營關(guān)鍵任務(wù)自動化的終極目標(biāo)。另一個是圖上虛線覆蓋的人-機協(xié)同循環(huán)，這一部分強調(diào)了，在機器自動化的各個階段，需要充分融合人的反饋。高水平運營自動化實現(xiàn)的要義仍然是對“數(shù)據(jù)-信息-知識”層次化的分析與挖掘，以應(yīng)對動態(tài)不確定性的網(wǎng)絡(luò)空間環(huán)境與高交互的攻防對抗過程?？梢钥吹?，兩大循環(huán)服務(wù)于前述AISecOps的評估指標(biāo)。為了構(gòu)建人-機智能協(xié)同的閉環(huán)，必然要求機器智能提供的數(shù)據(jù)結(jié)果、運算流程是透明的、可解釋和可運營的，傳統(tǒng)黑盒的深度學(xué)習(xí)模型在深度交互的架構(gòu)下將難以為繼。

3.5 AISecOps技術(shù)成熟度矩陣

為了有效評估當(dāng)前智能安全運營技術(shù)的整體自動化水平，根據(jù)技術(shù)框架的層次架構(gòu)，對應(yīng)提出了AISecOps技術(shù)成熟度矩陣，以有效地在技術(shù)的橫縱向?qū)Ρ痊F(xiàn)有技術(shù)的發(fā)展層次[3]。

如圖7所示，按照安全運營關(guān)鍵任務(wù)的自動化程度，參考自動駕駛自動化分級，將AISecOps技術(shù)的自動化水平劃分為L0~L5六個層次，對應(yīng)無自動化到完全自動化。值得注意的是，每個階段技術(shù)能力的可用性、魯棒性，依賴于底層多個階段技術(shù)能力的成熟度。以安全運營的響應(yīng)行動為例，依賴對威脅與脆弱性的準(zhǔn)確的檢測與識別、攻擊行為上下文的溯源信息構(gòu)建以及魯棒的風(fēng)險評估量化。任何一個被依賴環(huán)節(jié)的失效，將導(dǎo)致響應(yīng)行為的失效[11]，甚至影響組織中正常業(yè)務(wù)的開展。

圖7 AISecOps技術(shù)成熟度矩陣Fig.7 AISecOps technology maturity matrix

3.6 AISecOps前沿技術(shù)分類

AISecOps智能安全運營技術(shù)尚處于快速演進的階段，所采用的技術(shù)方案迭代非?？?。為了充分探究技術(shù)的未來發(fā)展方向，定位關(guān)鍵能力瓶頸，本文總結(jié)了面向安全運營自動化、智能化的十六種基礎(chǔ)前沿技術(shù)，并形成技術(shù)圖譜，以期為網(wǎng)絡(luò)安全運營場景構(gòu)建領(lǐng)域技術(shù)“內(nèi)功心法”圖譜。

技術(shù)圖譜在橫向上，按照面向攻擊對抗的識別粒度進行技術(shù)領(lǐng)域劃分，粒度自微觀到宏觀，包括指紋與特征、技術(shù)與行為、戰(zhàn)術(shù)與意圖、戰(zhàn)役與組織、戰(zhàn)役與態(tài)勢。在縱向上，按照AISecOps智能化的經(jīng)典技術(shù)階段進行劃分，包括數(shù)據(jù)層面的融合建模，以及分析層面的風(fēng)險感知、因果認知、魯棒決策、負責(zé)行動五大階段。同時，根據(jù)技術(shù)的核心數(shù)據(jù)源不同，通過底色進行區(qū)分，涵蓋環(huán)境數(shù)據(jù)、情報數(shù)據(jù)、知識數(shù)據(jù)、行為數(shù)據(jù)以及融合多維的綜合數(shù)據(jù)。通過總結(jié)并歸類十六種關(guān)鍵技術(shù)，試圖厘清AISecOps的技術(shù)分類，以支持技術(shù)方案的細粒度抽象與整合，支持安全運營智能技術(shù)中臺等基礎(chǔ)平臺能力的構(gòu)建。以下簡要概述關(guān)鍵技術(shù)的核心內(nèi)涵與技術(shù)實現(xiàn)和分類。

3.6.1 超融合知識圖譜

超融合知識圖譜的含義是以安全領(lǐng)域知識圖譜為核心，面向網(wǎng)絡(luò)環(huán)境數(shù)據(jù)、威脅行為數(shù)據(jù)、威脅情報數(shù)據(jù)、安全知識庫等，構(gòu)建本體化、標(biāo)準(zhǔn)化、全局化的知識結(jié)構(gòu)[12]，支持安全數(shù)據(jù)的動態(tài)查詢與聚合分析，提升安全數(shù)據(jù)運營分析的整體性。超融合知識圖譜是后續(xù)風(fēng)險感知、因果認知、魯棒決策、可靠行動多層次技術(shù)能力實現(xiàn)的核心技術(shù)基礎(chǔ)。沒有統(tǒng)一的數(shù)據(jù)視圖支撐，高復(fù)雜度算法的構(gòu)建將是空中樓閣。

微軟的智能安全圖（Microsoft Intelligent Security Graph）通過云生態(tài)和平臺全面融合，鏈接多方多維數(shù)據(jù)，提供全面的威脅關(guān)聯(lián)信息，并以云端的分析能力保證實時的威脅檢測。Sqrrl（2018年1月被Amazon收購）提供網(wǎng)絡(luò)威脅狩獵平臺，結(jié)合UEBA（User and Entity Behavior Analytics）提出了“Behavior Graph”的概念，使用行為評估和關(guān)聯(lián)數(shù)據(jù)支撐威脅事件的深入調(diào)查。CyGraph是MITRE在圖模型研究方面的原型系統(tǒng)。CyGraph使用了層級的圖結(jié)構(gòu)，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施（Network Infrastructure）、安全狀態(tài)（Security Posture）、網(wǎng)絡(luò)威脅（Cyber Threats）、任務(wù)依賴（Mission Dependencies）四個層次的圖數(shù)據(jù)，用于支持針對關(guān)鍵資產(chǎn)保護的攻擊面識別和攻擊態(tài)勢理解等任務(wù)。IBM提出的威脅情報計算（Threat Intelligence Computing，TIC）的概念，通過構(gòu)建時序圖結(jié)構(gòu)，實現(xiàn)敏捷的網(wǎng)絡(luò)推理和威脅狩獵。

3.6.2 情報要素自動化提取

情報要素自動化提取的含義是通過數(shù)據(jù)驅(qū)動的模式提取方法，從流量、樣本、社交網(wǎng)絡(luò)、情報文本等多源數(shù)據(jù)中，自動化提取威脅情報要素[13]（攻擊者、活動、技戰(zhàn)術(shù)、特征、防護策略等），支撐網(wǎng)絡(luò)防御的預(yù)防、檢測、響應(yīng)、預(yù)測等全周期的信息采集。

情報要素自動化提取是一項面向網(wǎng)絡(luò)安全領(lǐng)域知識構(gòu)建需求的重要任務(wù)，自動化的要素提取，關(guān)鍵技術(shù)目標(biāo)是場景驅(qū)動下的模式識別。在攻擊特征提取場景下，例如根據(jù)模擬的、采集的已知惡意樣本、惡意流量，提取惡意特征，經(jīng)典的處理方法一般可通過傳統(tǒng)的序列相似性、文本相似性、結(jié)構(gòu)相似性等手段，快速定位可疑特征信息。此外，基于可解釋人工智能方法提取模型的知識，已成為知識獲取的重要方法之一，例如通過透明可解釋的決策樹模型、文本主題模型、圖模型、注意力機制等，或黑盒模型疊加后處理（Post-hoc）的解釋手段SHAP、LIME等等，抽取安全檢測分析模型內(nèi)的攻擊模式與特征，通過聚類與模型推斷算法，能夠有效提取惡意文本中的關(guān)鍵詞特征形成檢測規(guī)則。在攻擊組織活動、技戰(zhàn)術(shù)自動化情報生成的場景下，可通過經(jīng)典的命名實體識別、關(guān)系抽取、知識圖譜關(guān)系推理等技術(shù)手段，提取、對齊、關(guān)聯(lián)情報實體要素，實現(xiàn)情報的標(biāo)準(zhǔn)化與可共享性。自動化的提取方案，能夠有效作用在大規(guī)模數(shù)據(jù)空間下，從數(shù)據(jù)的角度提升威脅特征的區(qū)分性、情報實體的全局一致性等。

3.6.3 網(wǎng)絡(luò)實體測繪畫像

網(wǎng)絡(luò)實體測繪畫像的含義是通過主動指紋探測、被動的信息采集，收集、分析、整合網(wǎng)絡(luò)空間資產(chǎn)、身份、數(shù)據(jù)等各類實體及其特征信息，形成網(wǎng)絡(luò)空間的整體畫像和實體局部畫像[14]，支持網(wǎng)絡(luò)風(fēng)險的全面、深度分析與威脅情報生成。

網(wǎng)絡(luò)空間實體測繪的關(guān)鍵是保證實體實例的覆蓋率以及準(zhǔn)確的動態(tài)畫像，核心技術(shù)主要包含已知類型實體的識別和未知類型實體的分類。已知類型實體的召回，在于通過特征指紋匹配與行為模式匹配，快速召回收錄在冊的實體類型實例；未知類型實體的分類，需要通過無監(jiān)督或半監(jiān)督的特征與行為聚類、信息流或結(jié)構(gòu)性關(guān)聯(lián)分析、統(tǒng)計頻繁項挖掘等方法，識別未知實體數(shù)據(jù)中的模式信息，尋求與已知類型實體的相似性與關(guān)聯(lián)性，并向運營人員提供數(shù)據(jù)特征支撐人工分類分組標(biāo)記。值得注意的是，網(wǎng)絡(luò)實體行為及其所處環(huán)境的動態(tài)性，決定了實體測繪不是一勞永逸的，而是需要持續(xù)迭代演進的。實體探測僅僅是測繪流程的一個步驟，分析、跟蹤、可視化已成為實體畫像的重要組成。例如，實體畫像的準(zhǔn)確性決定了基于異常行為分析的UEBA等技術(shù)方案的成敗。

3.6.4 攻擊檢測與分類

攻擊檢測與分類的含義是針對各類網(wǎng)絡(luò)實體及其行為，通過有監(jiān)督或半監(jiān)督學(xué)習(xí)的方式[15]，實現(xiàn)攻擊行為的識別，并區(qū)分攻擊的技戰(zhàn)術(shù)類型。

攻擊檢測與分類的關(guān)鍵是融合數(shù)據(jù)特性的算法建模。網(wǎng)絡(luò)安全領(lǐng)域的算法建模相對于其他產(chǎn)業(yè)有一定的后發(fā)優(yōu)勢，可根據(jù)所處理數(shù)據(jù)的特性，如事件序列數(shù)據(jù)、時序數(shù)據(jù)、文本數(shù)據(jù)、實體關(guān)聯(lián)圖數(shù)據(jù)等，借鑒相關(guān)領(lǐng)域的成熟分析方法與思路。比較經(jīng)典的方法，有基于集成模型和動靜態(tài)特征集實現(xiàn)的惡意軟件家族分類；基于CNN+LSTM和流量數(shù)據(jù)包、數(shù)據(jù)流多層次特征的惡意（加密）流量分類；基于圖表示學(xué)習(xí)和進程調(diào)用關(guān)系的無文件APT攻擊檢測等等，不一而足。參考ATT＆CK模型，現(xiàn)階段包括終端、網(wǎng)絡(luò)、文件等多源、多維度的二十余類數(shù)據(jù)的采集，給威脅分析帶來全新的分析機遇。在有效數(shù)據(jù)標(biāo)注的基礎(chǔ)上，準(zhǔn)確的學(xué)習(xí)攻擊樣本與正常樣本之間的關(guān)鍵模式已不再是難事。

3.6.5 異常行為分析

異常行為分析的含義是構(gòu)建多層次網(wǎng)絡(luò)實體的行為畫像，識別偏離正常行為基線的行為模式[16]，捕獲、召回潛在威脅線索與攻擊行為。

異常行為檢測的關(guān)鍵是正常行為模式建模與離群（異常）點檢測算法設(shè)計。行為分析的主體是網(wǎng)絡(luò)環(huán)境下的各類實體，包括系統(tǒng)相關(guān)的（進程、網(wǎng)絡(luò)、文件等）、應(yīng)用相關(guān)的（API調(diào)用、業(yè)務(wù)數(shù)據(jù)流等）、用戶相關(guān)的（登錄、訪問等）等多維度、多層次可觀測數(shù)據(jù)源。針對任何一類實體行為數(shù)據(jù)的建模，可對應(yīng)一種具體的威脅分析場景。行為畫像建模的關(guān)鍵在于通過統(tǒng)計建模、機器學(xué)習(xí)、策略抽象的方式，識別實體正常行為的關(guān)鍵參數(shù)與結(jié)構(gòu)。常用的技術(shù)包括頻率統(tǒng)計、聚類、編解碼器、時序模型、隱馬爾科夫建模等。在行為畫像模型的基礎(chǔ)上，對動態(tài)輸入的未知行為執(zhí)行離群點檢測。離群點或異常點，指在數(shù)據(jù)模式中與大多數(shù)據(jù)點特征偏離較遠的點。離群點的檢測技術(shù)實現(xiàn)基于行為畫像模型的構(gòu)建方式。從數(shù)據(jù)特征建模的角度來看，主要包括基于距離的方法、基于密度的方法、基于統(tǒng)計閾值的方法、基于信息熵的方法、基于圖的方法等等。不同的場景下，異常行為分析的數(shù)據(jù)粒度可能不同，整體來看，行為分析具有較強的環(huán)境自適應(yīng)性，并且不依賴特征指紋與惡意樣本，能夠有效召回不同網(wǎng)絡(luò)環(huán)境、不同攻防周期內(nèi)的異常行為，是對傳統(tǒng)靜態(tài)的、針對已知威脅檢測的有效補充。

3.6.6 團伙行為發(fā)現(xiàn)

團伙行為發(fā)現(xiàn)的含義是跨時間周期、跨階段提取攻擊、行為事件的行為模式，通過社區(qū)挖掘等方法實現(xiàn)攻擊者組織、團伙的定位和劃定，進而實現(xiàn)對相關(guān)事件的歸因和追蹤[17]。

攻擊團伙發(fā)現(xiàn)的關(guān)鍵是基于威脅數(shù)據(jù)生成關(guān)聯(lián)圖與圖上社區(qū)發(fā)現(xiàn)。STIX是MITRE發(fā)起的威脅情報交換語言和標(biāo)準(zhǔn)，在STIX 2.0體系的促進下，全球威脅情報的共享、關(guān)聯(lián)開銷大幅降低。通過情報數(shù)據(jù)圖的實例化網(wǎng)絡(luò)圖構(gòu)建，攻擊者、IOCs、技戰(zhàn)術(shù)、惡意軟件、攻擊戰(zhàn)役及攻擊組織等實體及其行為關(guān)聯(lián)能夠統(tǒng)一在一張數(shù)據(jù)圖之中。同時，通過語義規(guī)則、統(tǒng)計規(guī)則、特征命中等方法，對圖上的實體點和關(guān)系邊進行特征抽取，以支撐圖結(jié)構(gòu)關(guān)聯(lián)之上的細粒度分析。進而，針對情報的數(shù)據(jù)規(guī)模大、點邊特征維度多、置信度差異大等特性，一般采用圖社區(qū)發(fā)現(xiàn)算法實現(xiàn)自動化的團伙標(biāo)定。社區(qū)發(fā)現(xiàn)的常用技術(shù)包括基于模塊度優(yōu)化的方法、基于譜分析的方法、基于信息論的方法、基于標(biāo)簽傳播的方法及基于深度學(xué)習(xí)的方法等等。數(shù)據(jù)驅(qū)動的攻擊團伙發(fā)現(xiàn)是一種情報或行為數(shù)據(jù)增強技術(shù)，基于動態(tài)情報數(shù)據(jù)的結(jié)構(gòu)關(guān)聯(lián)性、特征關(guān)聯(lián)，召回疑似團伙、組織，并刻畫其行為模式，有助于完善攻擊事件的證據(jù)鏈，提升情報置信度。

3.6.7 狩獵查詢專用語言

狩獵查詢專用語言的含義是面向安全運營威脅狩獵已知信息的高效檢索需求，基于融合的情報、行為、環(huán)境、知識數(shù)據(jù)基礎(chǔ)，設(shè)計滿足實時性、完整性、準(zhǔn)確性的數(shù)據(jù)檢索語言及處理引擎[6]，支撐線索的定位、事件關(guān)聯(lián)信息的召回、情報與知識的準(zhǔn)確定位等任務(wù)。

威脅狩獵專用查詢語言的設(shè)計的關(guān)鍵在于業(yè)務(wù)驅(qū)動的定制語義、語法以及支撐結(jié)果查詢的匹配算法。語義、語法的設(shè)計的驅(qū)動力是威脅狩獵的關(guān)鍵場景，需要支撐包括不同數(shù)據(jù)源（如外部威脅情報、內(nèi)部關(guān)鍵線索等）以及不同模式（精確匹配與模式匹配）的組合查詢問題。DSL（Domain Specific Language）一般是聲明式的獨立抽象層，安全運營場景下最直接的構(gòu)建基礎(chǔ)是融合的圖框架?；诎踩I(lǐng)域知識圖或事件圖譜，結(jié)合其本體化設(shè)計與層次化實體交互行為，設(shè)計針對指定任務(wù)的抽象查詢語法。經(jīng)典的語言設(shè)計方案包括基于Cygraph的CyQL（CyGraph Query Language）、IBM的τ-calculus等。在匹配算法方面，一方面可直接將DSL直接編譯為底層數(shù)據(jù)庫查詢語言，直接調(diào)用數(shù)據(jù)庫內(nèi)置匹配算法進行數(shù)據(jù)查詢；另一方面，可通過子圖對齊與相似性匹配、圖神經(jīng)網(wǎng)絡(luò)、表示學(xué)習(xí)等方法，基于分析算法，從大規(guī)模數(shù)據(jù)中查詢攻擊模式、關(guān)聯(lián)線索。

3.6.8 攻擊意圖理解

攻擊意圖理解的含義是基于大規(guī)模、依賴復(fù)雜、跨長時間周期的原始日志、檢測日志等基本數(shù)據(jù)線索[18]，從能力水平、攻擊階段、攻擊目標(biāo)等角度，提取、標(biāo)注、歸納攻擊者的戰(zhàn)術(shù)意圖，以明確線索之間的高層次邏輯關(guān)聯(lián)，跟蹤、預(yù)測攻擊者的行為。

攻擊意圖理解的關(guān)鍵在于數(shù)據(jù)的安全語義化。即通過對數(shù)據(jù)及其特征的模板化、標(biāo)簽化、體系化歸并，形成預(yù)設(shè)威脅模型框架下的實例化表達。核心技術(shù)實現(xiàn)一方面是數(shù)據(jù)的歸一化與規(guī)范化清洗；另一方面，是語義抽象算法，主要可分為兩類：基于行為模板的和基于統(tǒng)計切分的?；谛袨槟０宓姆椒?，例如HOLMES系統(tǒng)通過預(yù)設(shè)的數(shù)據(jù)模式提取策略，將終端側(cè)溯源數(shù)據(jù)圖中的關(guān)聯(lián)日志實體和關(guān)系進行抽取，形成符合ATT＆CK矩陣模型的技戰(zhàn)術(shù)高層關(guān)聯(lián)圖譜?；诮y(tǒng)計切分的方法，通過日志實體的邏輯關(guān)聯(lián)或時序關(guān)聯(lián)，在圖數(shù)據(jù)或序列數(shù)據(jù)上應(yīng)用社團發(fā)現(xiàn)、標(biāo)簽傳播、主題模型、情感分析等經(jīng)典技術(shù)手段，對圖上或序列數(shù)據(jù)進行統(tǒng)計切分和聚類，再結(jié)合專家經(jīng)驗的標(biāo)簽化過程，形成符合威脅語義模型的數(shù)據(jù)基礎(chǔ)。

3.6.9 攻擊路徑溯源

攻擊路徑溯源的含義是基于關(guān)鍵威脅線索，結(jié)合動態(tài)行為與資產(chǎn)環(huán)境，融合終端、網(wǎng)絡(luò)、脆弱性、威脅情報等多源歷史日志，回溯、精煉、重構(gòu)攻擊者的行為數(shù)據(jù)流[19]，完整呈現(xiàn)、還原日志級別細粒度的攻擊過程及攻擊結(jié)果，支持事件調(diào)查與取證。

溯源重構(gòu)的技術(shù)基礎(chǔ)，是刻畫、跟蹤行為信息流，以指定的攻擊樹、攻擊圖等形式組織相關(guān)日志，形成事件前因后果。從數(shù)據(jù)的角度來看，可將溯源過程建模為統(tǒng)計相關(guān)模型、信息傳播模型、圖關(guān)聯(lián)模型、因果模型等。統(tǒng)計相關(guān)性建模主要通過頻繁項/模式挖掘、注意力機制驅(qū)動的序列模型等方式，識別統(tǒng)計層面的實體與行為關(guān)聯(lián)性，以定位與關(guān)鍵線索相關(guān)的最可疑證據(jù)鏈。信息傳播模型，基于圖數(shù)據(jù)和標(biāo)簽傳播，或先驗傳播策略，主動跟蹤關(guān)鍵操作、敏感數(shù)據(jù)的傳播路徑。圖關(guān)聯(lián)模型，同樣基于圖數(shù)據(jù)，通過圖神經(jīng)網(wǎng)絡(luò)、可解釋圖模型等模型算法，識別、抽象可疑的實體與子圖結(jié)構(gòu)，以及實體、子圖之間的關(guān)鍵行為邊，從而實現(xiàn)全局的攻擊事件高效抽取。因果模型，相對經(jīng)典統(tǒng)計模型主要考慮數(shù)據(jù)的相關(guān)性，因果建模通過因果推斷框架，如基于約束的貝葉斯網(wǎng)絡(luò)、反事實推理等，構(gòu)建具有相對穩(wěn)定性結(jié)構(gòu)的數(shù)據(jù)因果依賴鏈路與圖，以探索所采集各類傳感器數(shù)據(jù)間的派生模式。整體來看，溯源與重建的關(guān)鍵在于數(shù)據(jù)的確定性關(guān)系推理。

3.6.10 威脅情報歸因

威脅情報歸因[20]（Threat Intelligence Attribution）的含義是基于威脅情報中的關(guān)鍵要素，例如技戰(zhàn)術(shù)模式、攻擊基礎(chǔ)設(shè)施、惡意軟件基因、攻擊意圖與目標(biāo)等，突破攻擊行為偽裝，識別、定位特定的攻擊者、攻擊組織等威脅主體，為事件的取證、溯源、歸因提供基礎(chǔ)，為防御反制措施的實施提供高置信度證據(jù)支持。

基于威脅情報實現(xiàn)攻擊行為、事件歸因的關(guān)鍵，在于情報的深度關(guān)聯(lián)與置信度評估。在情報深度關(guān)聯(lián)方面，最重要的驅(qū)動力還是情報的標(biāo)準(zhǔn)化與規(guī)范化。這一點上STIX 2.0情報標(biāo)準(zhǔn)、ATT＆CK技戰(zhàn)術(shù)矩陣、CAPEC攻擊和脆弱性枚舉庫等開源數(shù)據(jù)庫、標(biāo)準(zhǔn)的完善，推進了整個網(wǎng)絡(luò)空間威脅情報體系水平交互的完備化。此外，情報與本地化分析檢測數(shù)據(jù)的聯(lián)動，是情報細粒度語義富化等垂直交互的重要組成。經(jīng)典的數(shù)據(jù)驅(qū)動情報關(guān)聯(lián)方法包括基于草圖提?。℅raph Sketches）的情報聚類方法、基于子圖模式搜索的情報行為匹配、基于基因/血緣分析的惡意樣本關(guān)聯(lián)、基于知識圖譜的語義推理關(guān)聯(lián)等。情報關(guān)聯(lián)之外，威脅歸因的關(guān)鍵在于提升情報數(shù)據(jù)的置信度。置信度的評價一般通過基于區(qū)塊鏈的情報信譽機制、基于證據(jù)關(guān)聯(lián)命中評級方法、基于情報數(shù)據(jù)共享多方計算融合等方式實現(xiàn)。整體來看，威脅情報歸因的可用性首先是機制保障驅(qū)動的，并通過數(shù)據(jù)智能支持證據(jù)強化。

3.6.11 告警分診與誤報緩解

告警分診（Alert Triage）與誤報緩解[21]的含義是基于告警統(tǒng)計、時序、語義、關(guān)聯(lián)等維度上下文，對告警進行自動化分類，并評估其威脅等級，向運營者提供基于風(fēng)險的告警排序列表，降低誤報對事件調(diào)查的干擾。

告警分診的關(guān)鍵在于充分提取、過濾、組裝、推斷告警關(guān)聯(lián)的事件上下文，并以可量化、可理解的方式向運營人員提供風(fēng)險排序值。從上下文自動化構(gòu)建的角度，可劃分為以下多個維度：

（1）統(tǒng)計上下文，主要是指告警及其關(guān)聯(lián)實體、行為的統(tǒng)計頻率、共現(xiàn)頻率建模。一個統(tǒng)計建模的經(jīng)典假設(shè)是：從異常檢測和大數(shù)定理的角度看，高頻次告警所蘊含的威脅信息較少。

（2）語義上下文，指告警間的觸發(fā)時序和組合模式，指示了指定的事件規(guī)律或用戶行為模式，通過主題分析、詞嵌入等基于語言模型的建模方法，能夠挖掘潛在的語義關(guān)聯(lián)，提升告警的關(guān)聯(lián)分析語義內(nèi)涵。

（3）信息上下文，指相關(guān)網(wǎng)絡(luò)實體的信息流傳遞過程。通過系統(tǒng)級的數(shù)據(jù)、實體及行為標(biāo)注，結(jié)合先驗規(guī)則和基于圖的標(biāo)簽傳播算法，以估計、推斷敏感數(shù)據(jù)的關(guān)鍵傳播路徑。

（4）意圖上下文，指告警涉及技術(shù)的高層戰(zhàn)術(shù)意圖抽象。通過Kill Chain、ATT＆CK等威脅建模方式，可以把告警直接對應(yīng)到指定的戰(zhàn)術(shù)階段當(dāng)中。更動態(tài)的，可通過抽象的行為模板或統(tǒng)計方法，自動抽取實時數(shù)據(jù)的抽象意圖。

上下文的提取不限于以上方式，關(guān)鍵是從風(fēng)險驅(qū)動的各個維度，包括資產(chǎn)、脆弱性、威脅等，提取告警關(guān)聯(lián)的“故事細節(jié)”。細節(jié)的豐富程度，決定了告警分診的置信度參數(shù)。

3.6.12 態(tài)勢感知與預(yù)警

態(tài)勢感知與預(yù)警的含義是以系統(tǒng)的、整體的、全局的視角，基于網(wǎng)絡(luò)運行狀態(tài)數(shù)據(jù)、情報數(shù)據(jù)等，抽取、聚合、抽象網(wǎng)絡(luò)空間關(guān)鍵要素，針對環(huán)境變化、攻擊意圖、行為趨勢進行理解，持續(xù)監(jiān)測安全狀態(tài)，預(yù)警可能發(fā)生的風(fēng)險事件，為事件應(yīng)急處置提供必要的決策依據(jù)[22]。

態(tài)勢感知技術(shù)的關(guān)鍵在于態(tài)勢要素的提取、融合、消歧，及基于要素數(shù)據(jù)的關(guān)系推理。從威脅情報的角度理解態(tài)勢要素，可包含攻擊模式、戰(zhàn)役、防護策略、身份、威脅指標(biāo)、惡意軟件、脆弱性、工具、攻擊者等風(fēng)險關(guān)聯(lián)要素。以網(wǎng)絡(luò)中攻擊者的行為模式為例，通過安全日志、威脅情報數(shù)據(jù)提取行為特征，并基于特征集合和特征關(guān)系的相似程度定義攻擊模式，從而將日志數(shù)據(jù)抽象成攻擊行為事件，實現(xiàn)對海量多源異構(gòu)日志數(shù)據(jù)的融合并范式化為以攻擊模式為主的安全事件，為安全事件分析推理奠定數(shù)據(jù)基礎(chǔ)。在推理方面，可基于融合的知識圖譜結(jié)構(gòu)，結(jié)合圖表示學(xué)習(xí)、社交網(wǎng)絡(luò)傳播、團伙聚類、路徑搜索與推理等方法，在本體實例化數(shù)據(jù)上完成語義對齊與擴充、攻擊鏈推理、攻擊事件聚合溯源等任務(wù)，以識別關(guān)鍵局部風(fēng)險與整體風(fēng)險點。

3.6.13 風(fēng)險偏好學(xué)習(xí)

風(fēng)險偏好學(xué)習(xí)的含義是打通人機交互的閉環(huán)，通過收集反饋信息，學(xué)習(xí)專家潛在的、運營導(dǎo)向的風(fēng)險偏好，識別決定資產(chǎn)、威脅、脆弱性、策略等運營要素風(fēng)險值的關(guān)鍵數(shù)據(jù)特征，實現(xiàn)知識先驗與數(shù)據(jù)規(guī)律的深度融合，提升系統(tǒng)的決策輔助能力。

風(fēng)險偏好學(xué)習(xí)的關(guān)鍵是面向風(fēng)險的特征提取與基于用戶反饋的偏好擬合。限于時間開銷，傳統(tǒng)安全運營的驅(qū)動力是一些固化的、靜態(tài)的、基于經(jīng)驗的策略集合。例如特定的漏洞等級、威脅等級與類型等等。而數(shù)據(jù)層次動態(tài)的關(guān)聯(lián)關(guān)系、依賴關(guān)系，需要通過數(shù)據(jù)挖掘的方式進行抽取，這些特征通過資產(chǎn)、脆弱性、威脅、防護策略等風(fēng)險維度進行組織形成風(fēng)險特征集合，能夠向技術(shù)平臺消費者——運營人員提供數(shù)據(jù)洞見，輔助事件的理解與策略的選擇。進一步，通過構(gòu)建友好的、可理解的人機交互界面，收集專家在運營流程中的訪問行為、偏好分數(shù)、頁面駐留、描述性反饋等關(guān)鍵信息，在系統(tǒng)后臺，基于機器學(xué)習(xí)或強化學(xué)習(xí)算法，實現(xiàn)對用戶偏好與風(fēng)險特征集合的數(shù)據(jù)擬合或自動調(diào)整，自適應(yīng)更新大規(guī)模漏洞、資產(chǎn)、線索、事件、策略的動態(tài)用戶認知風(fēng)險，最終向運營專家提供量化風(fēng)險的排序結(jié)果。

3.6.14 攻擊模擬動態(tài)規(guī)劃

攻擊模擬動態(tài)規(guī)劃的含義是基于環(huán)境信息和攻擊能力圖譜，自適應(yīng)評估攻擊模擬效果，實時調(diào)整下一步攻擊策略、技術(shù)實現(xiàn)與路徑選擇，支撐自動化突破與攻擊模擬技術(shù)[23]，提升滲透測試、脆弱性評估等主動風(fēng)險感知運營環(huán)節(jié)的自動化水平。

攻擊模擬動態(tài)規(guī)劃的關(guān)鍵在于動作、狀態(tài)、環(huán)境和反饋結(jié)果的動態(tài)建模，以及基于模型空間的學(xué)習(xí)過程。在建模方面，核心是規(guī)劃關(guān)聯(lián)元素的量化表達、交互流程、狀態(tài)更新函數(shù)的設(shè)計。在學(xué)習(xí)方法上，動態(tài)規(guī)劃、博弈建模、強化學(xué)習(xí)、遞歸貝葉斯估計等經(jīng)典動態(tài)決策框架和算法能夠捕獲攻擊策略選擇、多元環(huán)境信息與指定攻陷目標(biāo)函數(shù)之間的潛在模式，實現(xiàn)長周期、多階段的路徑自動化規(guī)劃。

3.6.15 自適應(yīng)防護策略生成

自適應(yīng)防護策略生成的含義是針對持續(xù)的線索發(fā)現(xiàn)、事件重構(gòu)、情報命中、脆弱性和資產(chǎn)識別的結(jié)果，基于指定的風(fēng)險管控目標(biāo)，動態(tài)地從可行防護策略候選列表中選擇最佳防護手段，并生成具有可執(zhí)行參數(shù)、步驟、任務(wù)依賴的防護策略集合[24]，供運營人員判定或交由調(diào)度單元直接下發(fā)到指定執(zhí)行單元。

自適應(yīng)防護策略生成的核心在于博弈驅(qū)動的策略效果預(yù)估與在線策略要素提取。策略效果預(yù)估可類比強化學(xué)習(xí)中的回報函數(shù)設(shè)計。策略回報的計算需要考慮具體的運營場景。日志或漏洞分診場景中，漏洞潛在風(fēng)險、事件規(guī)模對人力資源的要求、平均關(guān)鍵任務(wù)調(diào)查處置時間等因素值得關(guān)注；攻擊事件響應(yīng)場景下，對正常業(yè)務(wù)的誤殺率、攻擊事件的阻斷率、策略執(zhí)行周期、策略回收周期等因素影響回報的計算結(jié)果。核心回報激勵計算之外，環(huán)境、行動、策略狀態(tài)空間的構(gòu)建，也是強化學(xué)習(xí)等馬爾科夫決策框架的重點。防護策略的制定不止于選定特定的策略類型，還需相應(yīng)的配置策略參數(shù)，包括策略自身的閾值、選項、作用域等，以及作用對象的特征、狀態(tài)、趨勢等等。這些策略參數(shù)一方面需要結(jié)合前述學(xué)習(xí)過程習(xí)得統(tǒng)計性、關(guān)聯(lián)性映射，另一方面需要自適應(yīng)的數(shù)據(jù)模式抽取算法，提供在線的、實時的元素特征。

3.6.16 透明可審計響應(yīng)

透明可審計響應(yīng)的含義是自動化的事件響應(yīng)需要保持足夠的透明度，并提供可供審計的接口與響應(yīng)審計范本，以在保證系統(tǒng)行動自主性的同時，向運營人員提供完整的、細粒度、結(jié)構(gòu)化、可量化的響應(yīng)流程、關(guān)鍵數(shù)據(jù)及其效果反饋[25]，實現(xiàn)自動化響應(yīng)技術(shù)整體可管控。透明可審計響應(yīng)能力的實現(xiàn)是橫跨整個智能數(shù)據(jù)驅(qū)動技術(shù)棧的，是感知-認知-決策-行動的融合體現(xiàn)。

行動響應(yīng)透明可審計的關(guān)鍵在于關(guān)聯(lián)技術(shù)的透明可解釋性、行動目標(biāo)一致性判定及結(jié)構(gòu)化響應(yīng)報告生成。行動響應(yīng)（告警分診、事件響應(yīng)、故障恢復(fù)）的執(zhí)行依賴多個前置技術(shù)能力，這些技術(shù)能力的實現(xiàn)過程中需要兼顧模型、方法的可解釋性，具體可參考前述章節(jié)，不在此贅述。策略的部署執(zhí)行的效果，需要行動單元驅(qū)動感知單元、認知單元和決策單元，共同收集并判定，以有效監(jiān)控、評估與預(yù)期目標(biāo)的偏差量。最后，在行動階段，需要持續(xù)匯集決策輸出、響應(yīng)狀態(tài)、環(huán)境反饋等維度的響應(yīng)要素度量值，并通過結(jié)構(gòu)化、指標(biāo)化形式的響應(yīng)審計報告。防護策略樹（Attack Countermeasure Trees, ACT）框架通過構(gòu)建量化的策略決策體系，并以樹形結(jié)構(gòu)組織策略的觸發(fā)條件與依賴關(guān)系，能夠以精確的、因果導(dǎo)向的方式表達、概述行動流程。除了樹模型之外，基于馬爾科夫框架的、基于因果依賴圖的結(jié)構(gòu)化響應(yīng)概述方法，都能夠有效融合多維度策略響應(yīng)元素，形成可解釋、可審計的響應(yīng)反饋數(shù)據(jù)結(jié)構(gòu)。

以上技術(shù)圖譜中的技術(shù)之間有著復(fù)雜的依賴關(guān)系。整體來看，層次高、位置偏上的技術(shù)實現(xiàn)與有效性依賴其下方技術(shù)的實現(xiàn)效果。例如，因果認知中的告警分診與誤報緩解技術(shù)，依賴于同層次攻擊意圖理解的建模，以及更低層次的技術(shù)，包括風(fēng)險感知與融合建模的多項子技術(shù)。值得注意的是，圖8中技術(shù)的依賴關(guān)系與位置關(guān)系不是明確對應(yīng)的。還是以告警分診與誤報緩解技術(shù)為例，其與攻擊路徑溯源技術(shù)之間是互相依賴的。溯源技術(shù)提供的上下文能支撐更為準(zhǔn)確的告警分診；同時有效地剔除誤報、識別高危告警，能夠減輕依賴爆炸、降低溯源的難度，提升攻擊者、攻擊源識別的效率。

圖8 AISecOps前沿技術(shù)分類圖譜Fig.8 Classification profile for AISecOps frontier technologies

4 總結(jié)與展望

網(wǎng)絡(luò)安全技術(shù)發(fā)展已進入以安全風(fēng)險全生命周期自適應(yīng)管控與運營為核心的新階段，面對大規(guī)模、多源、高維運營數(shù)據(jù)的涌入與融合，構(gòu)建可信任的、可運營的智能安全運營技術(shù)體系，支撐網(wǎng)絡(luò)安全防御體系邁向高度智能化、自動化，解放安全運營的生產(chǎn)力，已成為新基建數(shù)字安全時代的重要技術(shù)課題。

本文全面分析了網(wǎng)絡(luò)安全運營大數(shù)據(jù)所面臨的關(guān)鍵技術(shù)挑戰(zhàn)，提出AISecOps智能安全運營技術(shù)體系框架。從安全運營的實踐出發(fā)，深度總結(jié)AISecOps技術(shù)內(nèi)涵、指標(biāo)體系、成熟度矩陣、數(shù)據(jù)分類、技術(shù)架構(gòu)，提出AISecOps智能化技術(shù)分類圖譜，系統(tǒng)性總結(jié)十六大關(guān)鍵基礎(chǔ)性技術(shù)，期望技術(shù)體系的提出能夠促進AISecOps技術(shù)體系的成熟與行業(yè)生態(tài)的共建，為網(wǎng)絡(luò)安全運營技術(shù)的發(fā)展提供實踐驅(qū)動的基礎(chǔ)推動力。

利益沖突聲明

所有作者聲明不存在利益沖突關(guān)系。