RSA 2021大會雖已落幕，但人工智能、機器學習等話題熱度不減。會議期間“機器學習”、“人工智能與自動化”、“贊助商”等專題的多位演講嘉賓從不同層面展開對AI技術的介紹，包含AI與法律政策、AI與組件評估、AI與事件響應、AI與威脅檢測等。通過本次安全盛會，讓我們了解到更多AI技術在前沿領域的應用和價值。

會上Roy Katmor和Udi Yavo兩位演講嘉賓站在AI與事件響應的視角為我們介紹基于人工智能的安全事件響應，提到模型是AI技術的核心、機器學習等是AI模型運用的關鍵技術、調(diào)查分析和自動化處置是安全防護手段。

見解1-AI技術核心之模型

模型是AI技術的核心，通過模型可以模擬感知、學習和決策過程來實現(xiàn)AI技術的威脅預測、識別，這也是AI技術不同于其它計算機技術的地方。AI模型具有數(shù)據(jù)驅動、自主學習的特點，負責實現(xiàn)機器學習理論和對應算法，能夠自動分析輸入數(shù)據(jù)的規(guī)律和特征，根據(jù)訓練反饋自主優(yōu)化模型參數(shù)，最終實現(xiàn)預測輸入樣本的功能。

見解2-模型關鍵技術之機器學習

機器學習用于研究計算機怎樣模擬或實現(xiàn)人類的學習行為，以獲取新的知識或技能，重新組織已有的知識結構使之不斷改善自身的性能，是人工智能技術的核心。根據(jù)學習模式將機器學習分類為監(jiān)督學習、無監(jiān)督學習和強化學習等。

見解3-安全防護手段之AI調(diào)查分析

基于AI的調(diào)查分析主要目標是對安全事件進行分類，判斷哪些是惡意的哪些是誤報的；確認事件的受影響范圍，哪些內(nèi)容是相關的；把事件的源頭進行分類，分析事件是從哪里，怎么開始的；并對事件進行優(yōu)先級排序和計算補救時間。這個階段需要多個數(shù)據(jù)源，包括終端、網(wǎng)絡、情報（文件聲譽，DNS數(shù)據(jù)）、人員因素。

見解4-安全防護手段之AI自動化處置

處置的主要目標是進行補救，清除所有威脅的痕跡，并將業(yè)務恢復。處置的工具和方法有很多，包括端點隔離，終止進程，刪除文件、網(wǎng)絡準入、物理斷開電纜等?；贏I的方式來可以收集真實世界和模擬攻擊數(shù)據(jù)來訓練AI模型、使用人類專家“訓練”機器，在可能的情況下自動化。

融入AI的數(shù)據(jù)中臺安全運營方案

在大數(shù)據(jù)、數(shù)字化的時代背景下，天融信選擇全面擁抱AI技術，以此提升大數(shù)據(jù)安全運營體系，并在構建基于數(shù)據(jù)中臺的安全運營方案的過程中，從采集全域威脅數(shù)據(jù)到分析、研判、響應等全鏈條融入AI技術，融合AI數(shù)據(jù)驅動、自主學習的特點，構建基于AI算法的威脅發(fā)現(xiàn)模型；結合專家審核機制，最小化潛在風險；采用機器學習技術全面梳理用戶與實體行為輪廓，精準構建行為基線，以人工智能賦能網(wǎng)絡安全，有效應對各種復雜攻擊場景，全面提升安全分析和安全運營效率。

基于AI算法的安全分析能力

基于時序分析、回歸、分類、聚類等多類AI算法，構建威脅發(fā)現(xiàn)模型應對不符合簡單邏輯關系規(guī)律的網(wǎng)絡安全威脅行為；采用深度學習方法，對威脅行為進行深度和智能化的挖掘分析；根據(jù)常見的網(wǎng)絡攻擊行為，內(nèi)置多種深度分析檢測模型，包括：基于隱馬爾科夫模型的惡意參數(shù)識別、基于LSTM深度學習的DGA域名檢測、DNS隧道識別、釣魚郵件識別、UDP心跳會話識別、TCP心跳會話識別、DNS心跳會話識別、HTTP心跳會話識別、基于近似周期的低頻會話木馬識別、基于圖算法的孤立頁面檢測等，及時有效的發(fā)現(xiàn)未知威脅。

全面的UEBA行為畫像能力

提供以身份為中心的威脅分析視角，全面梳理用戶與實體行為輪廓，運用機器學習技術，精準構建行為基線；基于機器學習，對樣本數(shù)據(jù)進行長周期學習，從而檢測出行為偏離異常；結合UEBA技術，提供身份中心化的建模視角，幫助客戶快速發(fā)現(xiàn)企業(yè)內(nèi)的風險員工及風險實體；采用“活動數(shù)據(jù)定位到具體員工或實體”的核心模式，同時以員工和實體為視角進行關聯(lián)分析、深度分析以及基于個體歷史、個群行為偏離的行為分析，動態(tài)長周期地計算員工及實體的整體風險評分。

基于劇本的智能響應能力

提供全流程化的劇本管理，可視化的響應編排能力，動態(tài)聯(lián)動網(wǎng)絡中的安全設備，完成智能自動化響應；智能自動化響應流程中提取分析告警中的主體信息，經(jīng)過內(nèi)置腳本、編排腳本或案例腳本的處理，自動生成對應的聯(lián)動響應任務，發(fā)送至執(zhí)行組件完成處置動作的執(zhí)行；不同于傳統(tǒng)的人工處置流程，無需單點登錄每個設備頻繁多次編輯策略，實現(xiàn)一次劇本構建，多次使用，極大的降低了運維成本，增強易用性，提高事件響應效率。

天融信基于數(shù)據(jù)中臺的安全運營方案融入AI算法、機器學習技術，將全面提升分析、研判、響應效率，有效應對各種復雜攻擊場景，實現(xiàn)事件智能響應，提高安全運營效率。未來，天融信將秉持“相融共創(chuàng)，賦能未來”的理念，持續(xù)探索AI技術在大數(shù)據(jù)安全領域的應用，為眾多企業(yè)和組織的網(wǎng)絡安全保駕護航。