專題 | 實時進化的 AI 網絡安全,安全大數據是關鍵
在網絡安全領域,將人工智能技術融入安全產品已成為數字時代下安全發展的新趨勢,兩者的有效結合能夠加強網絡風險的自動化預測、識別、響應、處置能力。但人工智能技術需有效融入安全產品,對網絡風險進行自動化的預測、識別、響應、處置,AI 算法和模型必須獲取到海量且多維的安全大數據,不斷地進行“訓練”和“驗證”,才能進行有效的“思考”和作出最優的“決策”,得以實時進化,方能具備真正的智能安全。
一、安全大數據的特點
網絡安全領域的大數據不同于普通大數據,它的獲取渠道、獲取難度、數據關注維度都有自己鮮明的特點。傳統的消費領域大數據,關注的更多是企業、個體的商業和生活行為,透過交易特征、消費偏好、行動軌跡等,去判斷背后的交易喜好、生活和消費習慣,從而變現商業價值。這涉及很多個人隱私,也成為“大數據之殤”,成為監管的重點。
1. 不同于普通大數據,不涉及用戶隱私
安全大數據不關注上述商業行為和個人隱私,而更關注那些網絡“作惡者”在網絡上的行為,更關注安全風險和異常。如關注哪些數據是惡意攻擊行為,是否在做黑產交易,是否為分布式拒絕服務攻擊(DDoS)攻擊,是否為爬蟲行為等。
2. 關注“安全治理、安全風險”
安全大數據更加關注與網絡空間安全治理、網絡安全風險相關的大數據,關注黑客、行為、資產。涉及網絡安全風險相關的數據,對于運營主體的數據安全、合規性、資產安全、業務安全都是非常重要的參考和響應處置的依據。
3. 安全大數據關注的細分維度
在實際中,安全大數據可分為以下三個方面。攻擊行為數據,如攻擊的具體類型,攻擊者習慣使用的平臺、工具,語言等,從而對攻擊者的攻擊行為進行相應判斷。攻擊者畫像數據,主要是攻擊留下的痕跡等多維數據信息,據此判斷攻擊者的類型,對攻擊者進行畫像,這需要多維數據作為參考,進行綜合分析,輔助一定時間的數據積累。資產數據,通過網絡空間測繪或漏洞掃描可以獲取到互聯網的資產數據,也可以獲得企業內部的已知或未知的網絡資產數據。
二、安全大數據的獲取渠道
安全大數據從哪里獲取?對于本地化部署的網絡安全解決方案,由于安全設備部署在用戶現場,只能在用戶本地根據客戶需求和許可,對數據進行采集、分析,無法獲取到真正的安全大數據。而且,僅僅單個用戶的安全數據,量級較小、維度單一,不利于機器學習算法和模型的優化和調優。
對于互聯網企業和 SaaS 部署的安全企業,由于安全產品部署在云上,所有部署其 SaaS 安全產品的用戶,其安全數據(如攻擊行為、活動軌跡、IP 信息、資產信息等)都會直接同步到云端數據中心,形成海量安全大數據,并不斷投喂給機器學習算法模型進行實時分析,從而進一步自動調整算法,讓安全能力實時進化提升。
目前,能夠獲取安全大數據的主要渠道有:云測繪、云監測、云防御和安全探針類的云端設備和平臺。
1. 云測繪:全球網絡空間測繪獲取的大量 IP資產數據
網絡空間資產測繪對象主要集中在 IPv4、IPv6、域名、暗網等方面,以知道創宇的網絡空間資產測繪項目 ZoomEye (鐘馗之眼)為例,迄今為止收集了超 30 個億的 IPv6 地址并進行測繪。
獲取數據的核心能力包括很多細節,如此多的數據需要部署大量的探測節點,那么就存在各種“對抗”的問題,節點會被“禁止”等,而解決這些問題正是獲取數據能力的體現。ZoomEye 通過全球部署的 1000+ 節點對全球網絡空間資產進行 7×24 小時不間斷資產測繪,通過十幾年的積累,目前擁有100 億網絡空間測繪數據。
2. 云監測:覆蓋全球的安全風險監測數據
云監測可以理解為全球黑客信息的搬運工,通過軟件即服務(SaaS)的部署方式,云監測可持續不斷監測到全球最新的網絡攻擊、漏洞數據、黑客指紋數據、威脅情報等數據信息。以知道創宇的云監測產品圖譜為例,其中有對網絡流量數據進行監測的 NDR 流量監測產品;對網絡空間的威脅監測及收集威脅數據的產品;監測收集黑客指紋數據的全球黑客追蹤系統;監測漏洞數據的 ScanV Max、WebSOC 等,這些產品形成了具有大覆蓋范圍的云監測矩陣,產生了源源不斷的安全數據。
3. 云防御:在線防護業務系統產生的真實攻防大數據
通過 SaaS 形式為客戶部署 Web 應用防火墻(云WAF),不僅可對客戶實施貼身防護,同時安全廠商自然獲得了大量真實的攻防數據,這些數據進入到云端大數據平臺進行融合,攻防信息可同時分發給所有的云端客戶,當受到同樣類型攻擊時,可有效進行阻斷和防護,做到“一網攻擊、全網防御”。
從云測繪、云監測、云防御系列組合得到的攻防大數據,與 AI 算法和模型相結合,可被用于對異常風險的發現和自動化處置。通過數據生產引擎、AI 智能分析引擎,基于場景優化的深度學習的神經網絡技術和算法,可對異常行為進行特征分析,如異常的登錄、偏離度較大的異常行為等。同時,針對不同業務場景收集網絡攻擊情報,根據安全大數據生成不同的風險策略模型,將其同步到實時攻擊行為特征的策略模型中,當識別到遭遇同一特征模型的風險時,可做到即時識別并攔截。
在安全大數據 +AI 技術的互相促進下,源源不斷的安全大數據可讓網絡安全體系更具“彈性”。越來越智能的網絡安全體系,可更加靈敏的感知異常、自動化響應和快速處置,讓網絡具備較強的運營連續性、組織韌性和良好的業務彈性。
(本文刊登于《中國信息安全》雜志2021年第6期)
