聚焦前线|天融信带您洞见RSA大会之AI在大数据安全领域的应用

2021-06-01 20:00 电商 liangkone

RSA 2021大会虽已落幕,但人工智能、机器学习等话题热度不减。会议期间“机器学习”、“人工智能与自动化”、“赞助商”等专题的多位演讲嘉宾从不同层面展开对AI技术的介绍,包含AI与法律政策、AI与组件评估、AI与事件响应、AI与威胁检测等。通过本次安全盛会,让我们了解到更多AI技术在前沿领域的应用和价值。

会上Roy Katmor和Udi Yavo两位演讲嘉宾站在AI与事件响应的视角为我们介绍基于人工智能的安全事件响应,提到模型是AI技术的核心、机器学习等是AI模型运用的关键技术、调查分析和自动化处置是安全防护手段。

见解1-AI技术核心之模型

模型是AI技术的核心,通过模型可以模拟感知、学习和决策过程来实现AI技术的威胁预测、识别,这也是AI技术不同于其它计算机技术的地方。AI模型具有数据驱动、自主学习的特点,负责实现机器学习理论和对应算法,能够自动分析输入数据的规律和特征,根据训练反馈自主优化模型参数,最终实现预测输入样本的功能。

见解2-模型关键技术之机器学习

机器学习用于研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的性能,是人工智能技术的核心。根据学习模式将机器学习分类为监督学习、无监督学习和强化学习等。

见解3-安全防护手段之AI调查分析

基于AI的调查分析主要目标是对安全事件进行分类,判断哪些是恶意的哪些是误报的;确认事件的受影响范围,哪些内容是相关的;把事件的源头进行分类,分析事件是从哪里,怎么开始的;并对事件进行优先级排序和计算补救时间。这个阶段需要多个数据源,包括终端、网络、情报(文件声誉,DNS数据)、人员因素。

见解4-安全防护手段之AI自动化处置

处置的主要目标是进行补救,清除所有威胁的痕迹,并将业务恢复。处置的工具和方法有很多,包括端点隔离,终止进程,删除文件、网络准入、物理断开电缆等。基于AI的方式来可以收集真实世界和模拟攻击数据来训练AI模型、使用人类专家“训练”机器,在可能的情况下自动化。

融入AI的数据中台安全运营方案

在大数据、数字化的时代背景下,天融信选择全面拥抱AI技术,以此提升大数据安全运营体系,并在构建基于数据中台的安全运营方案的过程中,从采集全域威胁数据到分析、研判、响应等全链条融入AI技术,融合AI数据驱动、自主学习的特点,构建基于AI算法的威胁发现模型;结合专家审核机制,最小化潜在风险;采用机器学习技术全面梳理用户与实体行为轮廓,精准构建行为基线,以人工智能赋能网络安全,有效应对各种复杂攻击场景,全面提升安全分析和安全运营效率。

聚焦前线|天融信带您洞见RSA大会之AI在大数据安全领域的应用

基于AI算法的安全分析能力

基于时序分析、回归、分类、聚类等多类AI算法,构建威胁发现模型应对不符合简单逻辑关系规律的网络安全威胁行为;采用深度学习方法,对威胁行为进行深度和智能化的挖掘分析;根据常见的网络攻击行为,内置多种深度分析检测模型,包括:基于隐马尔科夫模型的恶意参数识别、基于LSTM深度学习的DGA域名检测、DNS隧道识别、钓鱼邮件识别、UDP心跳会话识别、TCP心跳会话识别、DNS心跳会话识别、HTTP心跳会话识别、基于近似周期的低频会话木马识别、基于图算法的孤立页面检测等,及时有效的发现未知威胁。

全面的UEBA行为画像能力

提供以身份为中心的威胁分析视角,全面梳理用户与实体行为轮廓,运用机器学习技术,精准构建行为基线;基于机器学习,对样本数据进行长周期学习,从而检测出行为偏离异常;结合UEBA技术,提供身份中心化的建模视角,帮助客户快速发现企业内的风险员工及风险实体;采用“活动数据定位到具体员工或实体”的核心模式,同时以员工和实体为视角进行关联分析、深度分析以及基于个体历史、个群行为偏离的行为分析,动态长周期地计算员工及实体的整体风险评分。

基于剧本的智能响应能力

提供全流程化的剧本管理,可视化的响应编排能力,动态联动网络中的安全设备,完成智能自动化响应;智能自动化响应流程中提取分析告警中的主体信息,经过内置脚本、编排脚本或案例脚本的处理,自动生成对应的联动响应任务,发送至执行组件完成处置动作的执行;不同于传统的人工处置流程,无需单点登录每个设备频繁多次编辑策略,实现一次剧本构建,多次使用,极大的降低了运维成本,增强易用性,提高事件响应效率。

天融信基于数据中台的安全运营方案融入AI算法、机器学习技术,将全面提升分析、研判、响应效率,有效应对各种复杂攻击场景,实现事件智能响应,提高安全运营效率。未来,天融信将秉持“相融共创,赋能未来”的理念,持续探索AI技术在大数据安全领域的应用,为众多企业和组织的网络安全保驾护航。

发表评论: