安全智能分析系列（二）| 實操案例，帶你“玩轉”SecXOps - 網安

本文為安全智能分析技術白皮書《智能基座，開啟安全分析新時代》精華解讀系列第二篇，通過應用場景下的案例（Web攻擊檢測模型）說明SecXOps如何提高安全分析模型開發、運營的效率，以實現安全智能分析自動化、智能化的進階。

概述

基于Web環境的互聯網應用越來越廣泛，形形色色的Web應用也越來越多地嵌入人們的日常生活，不法分子為牟取非法利益，通過各種手段對Web服務器進行攻擊，試圖獲取個人信息、竊取企業重要數據或篡改內容等。Web攻擊是惡意攻擊者針對用戶上網行為或網站服務器進行攻擊的行為，常見Web攻擊包含SQL注入攻擊、跨站腳本攻擊、本地文件包含、DDoS攻擊、CC攻擊等，多種網絡攻擊嚴重侵害個人用戶利益，嚴重危害網站安全運營。據Gartner調查，信息安全攻擊有75%都是發生在Web應用層，2/3的Web站點都相當脆弱，易受到攻擊。隨著攻防對抗的升級，規則引擎、語義引擎難以應對復雜多變的Web攻擊。為了保障企事業單位網站的業務正常運行，安全廠商將AI安全分析引擎、規則引擎、語義引擎結合在一起檢測Web攻擊，通過加持AI能力的WAF等安全防護設備在運營商、高校、醫療、金融、政府、能源、交通等領域為Web應用安全保駕護航。

圖1 多分析引擎聯合防御

二

案例

傳統的AI安全分析引擎運營流程如下圖所示。AI分析引擎部署之后，安全運營人員對AI分析引擎的告警數據進行分析，當告警數據中出現大量正常業務數據，影響Web站點正常運行時，安全運營人員將收集誤報數據，并反饋給安全專家。然后，安全專家對數據進行分析，并對數據打標簽后，將數據交由AI分析引擎開發人員。接下來，開發人員對AI分析引擎的誤報漏報情況進行優化，再發布優化后的AI分析引擎，對設備中的分析引擎進行迭代更新。如同傳統規則庫的維護一樣，傳統的AI安全分析引擎的運營維護流程同樣存在繁瑣耗時的問題。

圖2 傳統AI安全分析引擎運營流程

不同于規則引擎，AI模型本身具備自主學習和自我更新的能力，AI模型能夠根據當前數據的變化，不斷學習調整模型參數，實現自我更新進化。為了減少AI安全分析引擎運營過程中的繁瑣流程，實現分析引擎的自動化運營，提高運營效率，SecXOps平臺打通AI安全分析引擎的開發、測試、部署及后續運營流程。尤其對于AI安全分析引擎的運營維護，SecXOps平臺基于AI模型的自主學習特性，通過采用AI模型增量學習及重新訓練等措施，實行AI模型自動迭代升級，形成AI安全分析引擎的運營閉環。既解決現有AI模型性能退化問題，也減少AI模型優化升級過程中繁瑣的人力溝通過程，降低人力溝通成本，提升AI安全分析引擎的運營效率。

圖3 SecXOps AI 安全分析引擎運營流程

SecXOps能夠幫助算法開發人員快速獲取數據、搭建模型，部署后，運營過程中面對一系列繁瑣的流程，SecXOps平臺通過內置AI模型自動參數更新以及模型超參數調優功能，可以解決模型更新相關問題，并在整個AI模型迭代更新過程中盡可能的實現自動化運營，減少人力溝通過程，提高AI安全分析引擎運營效率。AI 安全分析引擎運營流程具體包括以下內容。

數據獲取

在數據獲取方面，由于SecXOps平臺上已經擁有了大量公開數據集，因此只需在現有的公開數據庫中挑選合適的數據集即可，同時若數據集存在未清洗、需要預處理等問題時，可以直接通過平臺內置的方法一鍵式完成數據預處理，生成新的可供使用的數據集。

引擎開發

SecXOps平臺提供AI安全分析引擎的開發環境。AI安全分析引擎的開發遵循一般應用中AI模型的開發流程。針對常見的SQL注入、XSS攻擊、遠程命令執行等Web攻擊的檢測，屬于監督學習任務，AI安全分析引擎開發人員針對分析引擎的實際業務場景，收集需要檢測的Web攻擊數據以及業務場景中的正常業務數據，構建豐富的數據集，完成數據集清洗、數據集打標簽等前期工作。依據選擇AI模型的不同，進行適配的數據預處理進行特征提取，如原始數據統計特征提取、利用神經網絡進行數據高維特征提取、利用注意力機制提取數據注意力分布等。基于提取的數據特征，構建初始AI模型，并進行AI模型訓練，對于收斂的AI模型，開發人員采集測試數據，利用SecXOps提供的測試功能進行AI模型的性能測試，生成魯棒的AI模型。針對未知類型Web攻擊的檢測，常采用自編碼器、聚類等算法。對于聚類算法，前期不需要對Web攻擊數據集打標簽，利用SecXOps平臺訓練聚類模型并進行模型測試，生成魯棒的聚類模型，實現未知類別Web攻擊的檢測。

模型發布

SecXOps平臺提供模型發布功能，模型開發者將訓練好的成熟AI模型及其數據預處理模塊、模型推理服務模塊共同打包發布，WAF等設備的開發人員將發布的AI安全分析引擎嵌入到WAF等Web安全防護設備中，與其他規則引擎、語義引擎融合，形成聯合防御系統，降低WAF等設備的誤報及漏報情況，提升防護設備抵御各種類型Web攻擊的能力。

安全運營

對于嵌入WAF等安全防護設備的AI安全分析引擎，需要安全運營人員對其進行持續的運營維護。SecXOps平臺提供AI模型參數自動更新功能，當AI安全分析引擎在生產環境中出現大量正常業務誤報，影響Web站點正常使用，或者出現大量Web攻擊數據漏報情況，檢測能力下降時，安全運營人員通過AI模型參數自動更新功能進行AI安全分析引擎的優化升級。在生產環境中安全運營人員采集疑似Web攻擊誤報漏報的數據，利用SecXOps內置的聚類模型進行數據的初步打標簽，并通過專家知識的輔助對聚類結果進行分析驗證、清洗數據、生成數據的準確標簽，以及構建數據集。基于構建的數據集與AI模型，在SecXOps平臺創建AI模型參數更新任務，如下圖所示，配置數據集、模型及運行參數，即可進行AI模型的參數更新。對于訓練表現好的模型，需要通過模型測試才能進行模型發布。模型測試包括兩種方式：第一種，在生產環境中采集數據，利用SecXOps平臺的模型測試功能進行測試；第二種，對于訓練好的模型，在生產環境中進行旁路部署，在不影響業務環境的情況下進行模型檢測能力的測試。對于通過模型測試的AI模型進行模型發布，并對設備中的原AI模型進行替換，完成AI安全分析引擎的迭代升級。

圖4 參數更新任務

三

總結

本技術白皮書描述了安全智能分析背景和趨勢，以及面臨的挑戰，提出了SecXOps概念內涵、技術優勢以及核心能力，從安全分析的實踐出發，重點總結了SecXOps關鍵技術在五個安全分析場景中的應用實踐。目前，SecXOps 技術的研究和攻防場景應用實踐仍然具備較大的上升空間，在理論方法、標準制定和模型運營等方面需要進一步的研究與探索，期望白皮書能夠促進SecXOps 技術體系的成熟，以構建智能分析的良好技術生態，這需要網絡安全人員共同探索。