知道创宇基于AI的威胁检测分析技术实践 .docxVIP

基于AI的威胁检测分析技术实践

胡文友电话微信：whoyidao

北京知道创宇信息技术股份有限公司2019.10

01

每一个时代的终结，都是另一个时代的开始

2016年3月9日韩国首尔四季酒店，在谷歌发起的“人机大战”第一局中，手握14个世界冠军头衔的韩国围棋天王李世石轰然倒下，最终AlphaGo以4：1赢得这场比赛。

2017年5月24日尽管世界排名第一的柯洁拼劲全力,但仍未在升

级版的AlphaGo那里讨到便宜,力战4个小时后,以1/4子的劣势输掉比赛，最终AlphaGo以3：0赢得比赛。

2017年10月19日DeepMind今天发布新版本AlphaGo程序，经过三天的训练，该系统能够击败AlphaGoLee，后者是去年击败了韩国选手李世石，胜率是100比0。经过大约40天的训练后，AlphaGoZero完胜AlphaGoMaster。

人工智能的发展历程

恶意邮件、钓鱼邮件及WEB攻击层出不穷

? 2017年，约每400封邮件，就有一

封邮件含有恶意代码

? 2017年，每1975封邮件，就有一

封邮件涉及钓鱼攻击

? 2017年，每天至少有40万次Web

攻击被阻断

每天新增恶意代码及其变种数十万

? 2016年AVTEST新登记恶意代码超过1.2亿，每天新登 ? 2017年2月新增恶意代码变种9千4百万，平均每天新记恶意代码超过39万增恶意代码变种超过30万

病毒高级持续性威胁（APT）越来越多

病毒

AdvancedPersistentThreat：高级持续性威胁

链：利益，偷窃/破坏

有组织/国家背景：商业/政治诉求，监听/窃取/破坏

HackingasOrganizedCrime

APT

0-Day

极少数派：

扬名/炫耀，恶搞 HackingasBusiness

社工、0day漏洞：有针对性的APT攻击

HackingasDisplay WEB脆弱性：主动的WEB攻击、拒绝服务攻击

Advanced移动威胁 CyberAttack

互联网接入：随机的病毒/木马感染

Motiveless 木马CyberAttack

Web威胁

蠕虫 僵尸网络OrdinaryTargetedCyberAttack

APT给传统安全带来前所未有的挑战

黑客组织化/国家化；攻击手段高级化，组合化，长期化；目标明确

APT防不胜防：不怕贼偷，就怕贼惦记！

传统安全 客户痛点无法检测未

对人的依赖太高产品起不到应有的作用

单点实时检测不足以发现APT

IDS误报率居高不下“狼来了”的故事重复上演

海量数据分析系统性能出现瓶颈

原始数据缺失事后追溯取证困难

02

安全检测技术发展历程

特征检测 行为检测 机器学习 深度学习 集成学习 强化学习

检测技术 技术描述

特征检测 将待检测代码同已知恶意代码进行特征代码比对，如FW，AV，IDS，IPS，WAF，DPI等传统安全设备

行为检测 在虚拟环境下执行代码，观察其行为，如沙箱检测

机器学习算法基于人工提供的恶意特征向量，将待检测数据片段分类为是否恶意，安全分析专家决策机器学习

如何应对

深度学习 深度学习算法能够自学习恶意特征，高精确及实时的判断待检测数据片段是否恶意

人工智能擅长的领域

Image

NLP

Speech

恶意代码映射为基因图谱

流量会话映射成基因图谱

其他的安全数据

1.Web攻击载荷

?/law/list.asp?keywords=8Releasetime1=8PageNo=8tz= \xe8 \xb7 \xb3 \xe8 \xbd

\xac1##/textarea/scriptscriptalert(42873)/scriptReleasetime2=8title=\xe6\x94\xbf\xe7\xad\x96\xe6\xb3\x95\xe8\xa7\x84

2.网络钓鱼

?/boa/login.php?cmd=login_submitid=9556e16c8d8c092ff7f7402d4e016b899556e16c8d8c092ff7f7402d4e016b89session=9556e16c8

d8c092ff7f7402d4e016b899556e16c8d8c092ff7f7402d4e016b89

3.沙箱日志

?{I:59,C:2088965442,R:4233826,P:4250031,T:1696,t:3422,