智能安全运营的技术现状概览

安全运营是一项复杂的系统化工程，人工智能技术的应用不是一蹴而就的。中心化的安全运营平台吸纳的流量、日志、标签、指标、事件、规则等多源数据规模如今已膨胀百倍千倍不止，智能化、自动化的数据挖掘方法已经得到规模化应用。然而，在数据挖掘与智能分析的应用与实践过程中，研究员、开发者、运营人员普遍遇到了包括数据质量受限，算法拟合粗暴，模型产出易误报、难解释、难维护等多方面的问题。

在实践效果难以匹配安全运营迫切需求的背景下，分阶段、分层次的AISecOps自动化能力分级矩阵构建方法是一种有效的解决手段。

按照安全运营关键任务的自动化程度，参考自 动驾驶自动化分级，AISecOps技术的自动化水平可以划分为L0~L5六个层次，对应无自动化到完全自动化。同时，针对安全运营技术中的关键环节，按照人工智能的经典范式“感知-认知-决策-行动” 进行概念划分，并基本对应经典作战决策OODA循环模型的“观测（Observe）-调整（Orient）-决策（Decide）-执行（Act）”体系。其中感知层执行识别（如各类实体识别与分类）和检测（如威胁检测） 任务，认知层执行关联（如多源数据集成分析等）、溯源（如回溯攻击路径）和预测（如预判攻击行为） 任务，决策层执行评估（如风险综合评估）和制定（如策略、方案生成）任务，行动层执行响应（如部署策略）和反馈（如主动报告）任务。每个任务层次的有效性依赖于上一层次的成熟度。

L0（无自动化），安全运营的所有任务都由安全运营人员完成。尽管AI等分析技术能够提供一定层级的识别和检测能力，但该层次下识别 与检测不对任何安全运营任务负责，属于较高层级的数据采集能力。

L1（运营辅助），面向安全运 营的运营指标，自动化运营系统有针对性地参与环境感知、信息加工认知及风险评估等部分子任务。在该自动化层级下，系统例行数据分析的辅助功能不参与任何自动化行动子任务。

L2（部分自动化），针对部分单一环境场景，自动化运营系统参与感知、认知、决策、行动的全流程子任务，与运营人员进行持续的数据交互和知识交互。

L3（有条件自动化），针对所有任务场景，自动化运营系统完成包括行动子任务在内的所有子任务，但在必要阶段需要安全运营人员提供应答与系统接管。

L4（高度自动化），在限定的复杂场景下，自动化运营系统按照预定的运营指标完全自动化执行，无需安全运营人员介入。

L5（完全自动化），在所有复杂场景下，自动化运营系统按照预定的运营指标完全自动化执行，无需安全运营人员介入。

横向的技术能力阶段划分明确了安全运营技术智能化的关键需求与任务；基于成熟度的纵向分级能够有效划定现阶段发展层次与未来的发展方向。以上分类、分级方案形成了关键能力发展矩阵。现有的技术方案能够更快速地找到其在AISecOps技术领域的定位，并与其他技术能力快速融合互动。

安全编排和自动化响应（Security Orchestration，Automation and Response，SOAR）技术的落地，似乎猛然提升了安全运营等任务的自动化水平。SOAR技术为上述矩阵中的行动阶段提供了响应与反馈的关键能力，提供了数据、流程、技术集成的框架与接口，是AISecOps技术实现运营自动化过程中的架构基础。然而，高水平运营自动化实现的要义仍然是对“数据-信息-知识”层次化的分析与挖掘，以应对动态不确定性的网络空间环境与高 交互的攻防对抗过程。因此，唯有夯实网络空间数 据的多层级任务能力基础，才能避免搭建安全任务自动化的“空中楼阁”。

实际上，现阶段的威胁识别、溯源、预测等 关键技术能力的智能化水平，仍难以有效支持基于SOAR的精准响应。事件误判、连接误杀、决策黑箱等多种类型的技术瓶颈，使得更高水平的自动化智能化实现在涉及高风险、关键决策的安全场景下难以有效部署。

AISecOps技术能力矩阵构建的重要目的之一，就是让技术从业者不囿于技术泡沫造成的困惑。从目前来看，安全运营的智能化技术领域整体上基本处于L1~L2级别的技术发展阶段，多个单点技术水平已经在更高层次上有所突破。但是也要看到，现有的数据、构建的模型、优化的算法及搭建的系统，在特定场景下还未能有效符合安全运营的指标导向性需求，更不用说跨场景、自适应的更高层级运营自动化能力。总之，从实践经验出发，距离高可用、高自动化水平的智能安全运营能力仍有较远路程。