安全智能分析系列(二)| 实操案例,带你“玩转”SecXOps?

全文共2568字,阅读大约需5分钟。

本文为安全智能分析技术白皮书《智能基座,开启安全分析新时代》精华解读系列第二篇,通过应用场景下的案例(Web攻击检测模型)说明SecXOps如何提高安全分析模型开发、运营的效率,以实现安全智能分析自动化、智能化的进阶。

概述

基于Web环境的互联网应用越来越广泛,形形色色的Web应用也越来越多地嵌入人们的日常生活,不法分子为牟取非法利益,通过各种手段对Web服务器进行攻击,试图获取个人信息、窃取企业重要数据或篡改内容等。Web攻击是恶意攻击者针对用户上网行为或网站服务器进行攻击的行为,常见Web攻击包含SQL注入攻击、跨站脚本攻击、本地文件包含、DDoS攻击、CC攻击等,多种网络攻击严重侵害个人用户利益,严重危害网站安全运营。据Gartner调查,信息安全攻击有75%都是发生在Web应用层,2/3的Web站点都相当脆弱,易受到攻击。随着攻防对抗的升级,规则引擎、语义引擎难以应对复杂多变的Web攻击。为了保障企事业单位网站的业务正常运行,安全厂商将AI安全分析引擎、规则引擎、语义引擎结合在一起检测Web攻击,通过加持AI能力的WAF等安全防护设备在运营商、高校、医疗、金融、政府、能源、交通等领域为Web应用安全保驾护航。

图1 多分析引擎联合防御

案例

传统的AI安全分析引擎运营流程如下图所示。AI分析引擎部署之后,安全运营人员对AI分析引擎的告警数据进行分析,当告警数据中出现大量正常业务数据,影响Web站点正常运行时,安全运营人员将收集误报数据,并反馈给安全专家。然后,安全专家对数据进行分析,并对数据打标签后,将数据交由AI分析引擎开发人员。接下来,开发人员对AI分析引擎的误报漏报情况进行优化,再发布优化后的AI分析引擎,对设备中的分析引擎进行迭代更新。如同传统规则库的维护一样,传统的AI安全分析引擎的运营维护流程同样存在繁琐耗时的问题。

图2 传统AI安全分析引擎运营流程

不同于规则引擎,AI模型本身具备自主学习和自我更新的能力,AI模型能够根据当前数据的变化,不断学习调整模型参数,实现自我更新进化。为了减少AI安全分析引擎运营过程中的繁琐流程,实现分析引擎的自动化运营,提高运营效率,SecXOps平台打通AI安全分析引擎的开发、测试、部署及后续运营流程。尤其对于AI安全分析引擎的运营维护,SecXOps平台基于AI模型的自主学习特性,通过采用AI模型增量学习及重新训练等措施,实行AI模型自动迭代升级,形成AI安全分析引擎的运营闭环。既解决现有AI模型性能退化问题,也减少AI模型优化升级过程中繁琐的人力沟通过程,降低人力沟通成本,提升AI安全分析引擎的运营效率。

图3 SecXOps AI 安全分析引擎运营流程

SecXOps能够帮助算法开发人员快速获取数据、搭建模型,部署后,运营过程中面对一系列繁琐的流程,SecXOps平台通过内置AI模型自动参数更新以及模型超参数调优功能,可以解决模型更新相关问题,并在整个AI模型迭代更新过程中尽可能的实现自动化运营,减少人力沟通过程,提高AI安全分析引擎运营效率。AI 安全分析引擎运营流程具体包括以下内容。

01

数据获取

在数据获取方面,由于SecXOps平台上已经拥有了大量公开数据集,因此只需在现有的公开数据库中挑选合适的数据集即可,同时若数据集存在未清洗、需要预处理等问题时,可以直接通过平台内置的方法一键式完成数据预处理,生成新的可供使用的数据集。

02

引擎开发

SecXOps平台提供AI安全分析引擎的开发环境。AI安全分析引擎的开发遵循一般应用中AI模型的开发流程。针对常见的SQL注入、XSS攻击、远程命令执行等Web攻击的检测,属于监督学习任务,AI安全分析引擎开发人员针对分析引擎的实际业务场景,收集需要检测的Web攻击数据以及业务场景中的正常业务数据,构建丰富的数据集,完成数据集清洗、数据集打标签等前期工作。依据选择AI模型的不同,进行适配的数据预处理进行特征提取,如原始数据统计特征提取、利用神经网络进行数据高维特征提取、利用注意力机制提取数据注意力分布等。基于提取的数据特征,构建初始AI模型,并进行AI模型训练,对于收敛的AI模型,开发人员采集测试数据,利用SecXOps提供的测试功能进行AI模型的性能测试,生成鲁棒的AI模型。针对未知类型Web攻击的检测,常采用自编码器、聚类等算法。对于聚类算法,前期不需要对Web攻击数据集打标签,利用SecXOps平台训练聚类模型并进行模型测试,生成鲁棒的聚类模型,实现未知类别Web攻击的检测。

03

模型发布

SecXOps平台提供模型发布功能,模型开发者将训练好的成熟AI模型及其数据预处理模块、模型推理服务模块共同打包发布,WAF等设备的开发人员将发布的AI安全分析引擎嵌入到WAF等Web安全防护设备中,与其他规则引擎、语义引擎融合,形成联合防御系统,降低WAF等设备的误报及漏报情况,提升防护设备抵御各种类型Web攻击的能力。

04

安全运营

对于嵌入WAF等安全防护设备的AI安全分析引擎,需要安全运营人员对其进行持续的运营维护。SecXOps平台提供AI模型参数自动更新功能,当AI安全分析引擎在生产环境中出现大量正常业务误报,影响Web站点正常使用,或者出现大量Web攻击数据漏报情况,检测能力下降时,安全运营人员通过AI模型参数自动更新功能进行AI安全分析引擎的优化升级。在生产环境中安全运营人员采集疑似Web攻击误报漏报的数据,利用SecXOps内置的聚类模型进行数据的初步打标签,并通过专家知识的辅助对聚类结果进行分析验证、清洗数据、生成数据的准确标签,以及构建数据集。基于构建的数据集与AI模型,在SecXOps平台创建AI模型参数更新任务,如下图所示,配置数据集、模型及运行参数,即可进行AI模型的参数更新。对于训练表现好的模型,需要通过模型测试才能进行模型发布。模型测试包括两种方式:第一种,在生产环境中采集数据,利用SecXOps平台的模型测试功能进行测试;第二种,对于训练好的模型,在生产环境中进行旁路部署,在不影响业务环境的情况下进行模型检测能力的测试。对于通过模型测试的AI模型进行模型发布,并对设备中的原AI模型进行替换,完成AI安全分析引擎的迭代升级。

图4 参数更新任务

总结

本技术白皮书描述了安全智能分析背景和趋势,以及面临的挑战,提出了SecXOps概念内涵、技术优势以及核心能力,从安全分析的实践出发,重点总结了SecXOps关键技术在五个安全分析场景中的应用实践。目前,SecXOps 技术的研究和攻防场景应用实践仍然具备较大的上升空间,在理论方法、标准制定和模型运营等方面需要进一步的研究与探索,期望白皮书能够促进SecXOps 技术体系的成熟,以构建智能分析的良好技术生态,这需要网络安全人员共同探索。

往期推荐:

绿盟科技SecXOps安全智能分析技术白皮书:让你的安全分析“更聪明”

安全智能分析系列(一) | 智能突围,绿盟科技推出SecXOps技术体系

白皮书全文链接:

https://book.yunzhan365.com/tkgd/pkqz/mobile/index.html

内容编辑:创新研究院 王玉坤

责任编辑:创新研究院 陈佛忠