AISecOps白皮書精華解讀之技術體系篇

“AISecOps技術是以安全運營目標為導向，以人、流程、技術與資料的融合為基礎，面向預防、檢測、響應、預測、恢復等網路安全風險管控、攻防對抗的關鍵環節，構建資料驅動、具有高自動化水平的可信任安全智慧技術棧，可實現安全智慧範疇下的感知、認知、決策與行動能力，輔助甚至代替人在動態環境下完成各類安全運營服務。”

本文為《AISecOps白皮書精華解讀之背景內涵篇》的姊妹篇，基於上述AISecOps的核心內涵，將重點從指標體系、資料體系、技術框架、技術成熟度、技術圖譜等層次，介紹AISecOps的技術體系構建。

一、  AISecOps指標體系

網路安全運營能力的提供以目標為導向，從企業、組織、國家的願景目標出發，進而構建安全運營任務級別的運營指標，進一步指導構建資料與分析層面的技術指標，最終形成圖1 所示的層次化指標體系，以評估技術實現的有效性。

願景目標指企業、組織、國家等主體層面的核心安全、業務、商業目標。例如，維護IT基礎設施的穩定執行，保護核心資料資產，維護品牌價值的安全性等。這些願景目標與主體的發展目標密不可分。

運營指標以願景目標為基礎，針對網路安全相關的業務能力制定安全運營核心指標，以評估安全運營能力水平。在運營指標的導向下，需要有針對性地對資料融合水平和分析技術水平進行評估，以促進技術能力的迭代。

在資料層面，需要考慮包括覆蓋率、規範化、儲存時效、多樣性、互動性等指標；在分析層面，不僅要考慮傳統機器學習等技術的評估指標，包括預測精確性、召回率、ROC等，還重點考察場景覆蓋率、TOPN召回率/誤報率、整體/單點誤報率及模型可解釋性等面向可運營、易運營的分析指標，以合理促進技術與人、流程的深度融合。

圖1   AISecOp指標體系

二、  AISecOps資料體系

當前，大規模多維度網路安全大資料的接入，為透過資料分析發現、處置網路威脅帶來了全新機會。但考慮到可用的儲存、計算資源有限，對安全資料來源的甄選和統一處理就顯得尤為重要。從網路攻防的對抗本質出發，以給定的網路空間為戰場，以保護資產（包括實體資產和虛擬資產）並打擊威脅主體為目的，智慧化的威脅分析應該收集並構建以下維度的關鍵資料圖，如圖2 所示。

環境資料圖。如資產、資產脆弱性、檔案資訊、使用者資訊、IT系統架構資訊等。

行為資料圖。如網路側檢測告警、終端側檢測告警、檔案分析日誌、應用日誌、蜜罐日誌、沙箱日誌等。

情報資料圖。各類外部威脅情報。

知識資料圖。各類知識庫（如ATT&CK、CAPEC、CWE）等。

圖2   AISecOps資料分類

各類安全關聯資料（包括但不限於以上四個類別）已在很多大資料分析場景中被採用，但仍然沒有成熟、統一的體系描述這些資料的分類和使用模式。故應將這裡列舉的四類資料，從網路威脅事件分析實踐出發，透過圖結構組織起來，實現每個類別圖內關聯和不同類別圖間關聯，以滿足網路空間對抗的基本戰術需求，包括對環境的掌握、對威脅主體行動的理解、對外部情報的融合以及儲備基本知識。四圖分立，又透過指定型別的實體進行關聯，在保證不同型別圖資料表達能力的同時，實現了全域性的連線能力。

三、  AISecOps技術框架

圖3 闡述了AISecOps的技術框架，針對安全運營技術中的關鍵環節，參考人工智慧的經典正規化“感知-認知-決策-行動”和經典作戰決策OODA迴圈模型的“觀測-調整-決策-執行”體系，進行子任務及其階段劃分，每個階段包括多個不同子任務。

圖3   AISecOps技術框架

整體上，AISecOps技術框架包含兩個大的迴圈。一個是圖中實線覆蓋的機器自迴圈，這是AISecOps追求的運營關鍵任務自動化的終極目標。另一個是圖上虛線覆蓋的人-機協同迴圈，這一部分重點描繪人需要參與到運營自動化的每個關鍵環節中，同時充分獲取機器的資料反饋。高水平運營自動化實現的要義仍然是對“資料-資訊-知識”層次化的分析與挖掘，以應對動態不確定性的網路空間環境與高互動的攻防對抗過程。因此，唯有夯實網路空間資料的多層級任務能力基礎，才能避免搭建安全任務自動化的“空中樓閣”。實際上，現階段的威脅識別、溯源、預測等關鍵技術能力的智慧化水平，仍難以有效支援基於SOAR的精準響應。事件誤判、連線誤殺、決策黑箱等多種型別的技術瓶頸，使得更高水平的自動化智慧化實現在涉及高風險、關鍵決策的安全場景下難以有效部署。因此在當前階段下，人-機智慧的充分融合，就顯得尤為關鍵了。

四、  AISecOps技術成熟度

如圖4 所示，按照安全運營關鍵任務的自動化程度，參考自動駕駛自動化分級，將AISecOps技術的自動化水平劃分為L0~L5六個層次，對應無自動化到完全自動化。

圖4   AISecOps技術框架

透過技術框架的橫向技術階段劃分，明確了安全運營技術智慧化的關鍵需求與任務；透過基於技術成熟度的縱向分級，能夠有效劃定現階段發展層次與未來的發展方向。以上分類、分級方案，形成了AISecOps關鍵能力成熟度矩陣，以期現有的技術方案能夠更快速的找到其在AISecOps技術領域的定位，並與其他技術能力快速融合互動。

透過AISecOps技術成熟度矩陣的構建，能夠讓技術從業者不囿於技術泡沫造成的困惑。目前來看，在安全運營的智慧化技術領域中，我們整體上仍處於L1~L2級別的技術發展階段，多個單點技術水平已經在更高層次有所突破。同時我們所收集的資料、構建的模型、最佳化的演算法及搭建的系統，在特定場景下還未能有效符合安全運營的指標導向性需求，更不用說跨場景、自適應的更高層級運營自動化能力。總之，我們從實踐的經驗出發，距離高可用的、高自動化水平的智慧安全運營技術仍有較遠路程。

五、  AISecOps前沿技術圖譜

AISecOps智慧安全運營技術尚處於快速演進的階段，所採用的技術方案迭代非常快。為了充分探究技術的未來發展方向，定位關鍵能力瓶頸，白皮書總結了面向安全運營自動化、智慧化的十六種基礎前沿技術，並形成技術圖譜，以期為網路安全運營場景構建領域技術“內功心法”圖譜，如圖5 所示。

圖5   AISecOps前沿技術圖譜

技術圖譜在橫向上，按照面向攻擊對抗的識別粒度進行技術領域劃分，粒度自微觀到宏觀，包括指紋與特徵、技術與行為、戰術與意圖、戰役與組織、戰役與態勢。在縱向上，按照AISecOps智慧化的經典技術階段進行劃分，包括資料層面的融合建模，以及分析層面的風險感知、因果認知、魯棒決策、負責行動五大階段。同時，根據技術的核心資料來源不同，透過顏色進行區分，涵蓋環境資料、情報資料、知識資料、行為資料以及融合多維的綜合資料。透過總結並歸類十六種關鍵技術，試圖釐清AISecOps的技術分類，以支援技術方案的細粒度抽象與整合，支援安全運營智慧技術中臺等基礎平臺能力的構建。

AISecOps技術體系的總結，為智慧安全運營技術的進一步發展提出了層次的、系統的、前瞻的研究、應用方法論，為技術路線的制定指明瞭方向。後續精華解讀，將帶來AISecOps技術發展趨勢，敬請期待。