智能安全运营技术内涵和大数据挖掘挑战之讨论

智能安全运营（AISecOps）由 AISec、SecOps、AIOps三大核心技术能力组成。人工智能与网络安全（AISec）的技术融合给行业带来了新的期盼。无论是安全的AI，还是AI的安全应用，都已成为学术界和工业界的热点话题。AI技术在诸多单点安全技术和指定场景中，如恶意软件分类、恶意流量识别、入侵检测等，已取得不错的应用效果。IT智能运维（AIOps）亦是整个互联网、智能计算领域的研究热点。该技术方向重点关注复杂IT系统环境的异常检测、根因定位、告警分诊等关键技术。不过，IT运维不同于安全运营，缺乏对网络威胁、脆弱性、资产等核心风险要素的系统化建模，相关技术经验难以直接复用到安全运营场景中。

安全运营大数据挖掘的挑战

从本质上来讲，大规模安全运营数据分析的困难来自于攻守的不平衡性。常态化安全运营的目标是在合理的投入产出比下，持续地监控并降低企业和组织的系统化安全风险。能够在态势大屏上展现出来的威胁趋势，很难适用于高隐匿性、低频的高级威胁的狩猎任务。从网络安全运营关键实用性的角度，总结如下安全运营大数据带来的关键技术挑战。

数据接入：数据膨胀与系统瓶颈。数据的采集、传输、存储等，给算力、网络、数据库等各个系统环节带来了巨大的压力。其衍生后果就是，许多采集能力被禁用，大量数据在预设的价值判断策略下被提前丢弃，这可能导致威胁线索和证据链的时效。

数据融合：多源异构与本体建模。现阶段欠设计、低耦合、低交互的数据集成所造成的的数据爆炸的现状，难以提供高质量的融合数据基础。多源多维数据规范化、本体化、体系化，数据始终是智能分析技术的基石。当前，各类不同厂商的网络安全设备执行不同的数据命名、标注策略，亟须在统一的语义下实现数据接口的统一规范化，以实现低成本的数据集成与交互。

线索发现：召回模型与高误报率。数据驱动的威胁线索识别，仍然逃不出误报率高的数据魔咒。以ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）驱动的行为分析为例，该矩阵中的大部分攻击技术抽象都是召回策略驱动的。ATT&CK的关键目标在于覆盖和召回，而从安全运营的视角来看，在事件规模膨胀的现状下，误报率是一个非常关键的有效性衡量指标。一项针对赛门铁克终端告警的分析表明，由34台机器触发的58096条告警中，与检测目标APT29行为相关的真实告警只有1104条，告警的精度只有1.9%。大规模误报告警带来的误报疲劳，会持续降低整个安全运营团队的运转效率。

智能安全运营的技术内涵

安全运营（SecOps）作为场景与目标，主要由流程、人和技术三个核心要素构成。传统安全运营的技术能力主要由安全专家提供，例如告警分类分级、威胁狩猎、样本分析、威胁溯源等。然而，基于安全专家的运营能力与快速膨胀的防护需求之间，已逐渐形成巨大的“剪刀差”，安全人才的缺 口与瓶颈日趋严峻。因此，探索智能安全运营技术方案迫在眉睫。

AISecOps并不是简单的AISec、SecOps 和 AIOps 技术能力的加和。人工智能赋能应用场景的有效性，一方面取决于人工智能技术自身的发展水平，另一方面更决定于人工智能技术与相关应用场景在核心目标、体系架构、功能需求、数据模型等多方面的融合程度，即智能化是手段，而不是目标。

AISecOps技术是以安全运营目标为导向，以人、流程、技术与数据的融合为基础，面向预防、检测、响应、预测、恢复等网络安全风险控制、攻防对抗的关键环节，构建数据驱动的、具有高自动化水平的可信任安全智能技术栈，实现安全智能范畴下的感知、认知、决策、行动能力，辅助甚至代替人在动态环境下完成各类安全运营服务。

不同于AISec实践中智能化技术与安全领域的单点结合，智能安全运营是在核心运营指标的导向下，系统、深入、多维地融合智能化技术方案，以适应安全运营不同阶段、不同任务场景的应用需求。这对传统人工智能技术的鲁棒性、可信性、安全性提出了全新的要求。