应用方案
不同于规则引擎,AI 模型本身具备自主学习和自我更新的能力,AI 模型能够根据当前数
据的变化,不断学习调整模型参数,实现自我更新进化。
为了减少 AI 安全分析引擎运营过程中的繁琐流程,实现分析引擎的自动化
运营,提高运营效率,SecXOps 平台打通 AI 安全分析引擎的开发、测试、部署及后续运营流程,尤其对
于 AI 安全分析引擎的运营维护,SecXOps 平台基于 AI 模型的自主学习特性,通过采用 AI 模
型增量学习及重新训练等措施,实行 AI 模型自动迭代升级,形成 AI 安全分析引擎的运营闭
环。既解决现有 AI 模型性能退化问题,也减少 AI 模型优化升级过程中繁琐的人力沟通过程,
降低人力沟通成本,提升 AI 安全分析引擎的运营效率。AI 安全分析引擎运营的具体应用方案
如下图所示
- AI 安全分析引擎开发
SecXOps 平台提供 AI 安全分析引擎的开发环境,AI 安全分析引擎的开发遵循一般应用
中 AI 模型的开发流程。针对常见的 SQL 注入、XSS 攻击、远程命令执行等 Web 攻击的检测,
属于监督学习任务,AI 安全分析引擎开发人员针对分析引擎的实际业务场景,收集需要检测
的 Web 攻击数据以及业务场景中的正常业务数据,构建丰富的数据集,完成数据集清洗、数
据集打标签等前期工作。依据选择 AI 模型的不同,进行适配的数据预处理进行特征提取,如
原始数据统计特征提取、利用神经网络进行数据高维特征提取、利用注意力机制提取数据注
059
SecXOps 典型应用场景
意力分布等。基于提取的数据特征,构建初始 AI 模型,并进行 AI 模型训练,对于收敛的 AI
模型,开发人员采集测试数据,利用 SecXOps 提供的测试功能进行 AI 模型的性能测试,生
成鲁棒的 AI 模型。针对未知类型 Web 攻击的检测,常采用自编码器、聚类等算法,对于聚
类算法,前期不需要对 Web 攻击数据集打标签,利用 SecXOps 平台训练聚类模型并进行模
型测试,生成鲁棒的聚类模型,实现未知类别 Web 攻击的检测。 - AI 安全分析引擎部署
SecXOps 平台提供模型发布功能,模型开发者
将训练好的成熟 AI 模型及其数据预处理模块、模型推理服务模块共同打包发布,WAF 等设备的开发人员将发布的 AI 安全分析引擎嵌
入到 WAF 等 Web 安全防护设备中,与其他规则引擎、语义引擎融合,形成联合防御系统,
降低 WAF 等设备的误报及漏报情况,提升防护设备抵御各种类型 Web 攻击的能力。
目前的 AI 安全分析引擎与规则引擎、语义引擎的融合有多种方式,目前常用的融合方式
为串接融合。串接融合将 AI 安全分析引擎、规则引擎、语义引擎以串联的方式进行部署,每
个分析引擎的部署位置由各分析引擎的防护重点及实际业务场景的特点决定,后接的分析引
擎对前一个分析引擎的告警结果进行分析,在尽可能低耗时的情况下,保证整个联合防御系
统对于 Web 攻击的防御能力。除了串接融合,分析引擎还可采用并接融合的方式,流量数据
将分别经过三个分析引擎进行检测,经过多分析引擎的共同研判,确定该条数据为正常业务
数据还是 Web 攻击数据,并接融合可以提高 WAF 设备检测准确率,但会增加时间开销。 - AI 安全分析引擎运营
对于嵌入 WAF 等安全防护设备的 AI 安全分析引擎,需要安全运营
人员对其进行持续的运营维护。SecXOps 平台提供 AI 模型参数自动更新功能,当 AI 安全分析引擎在生产环境中
出现大量正常业务误报,影响 Web 站点正常使用,或者出现大量 Web 攻击数据漏报情况,
检测能力下降时,安全运营人员通过 AI 模型参数自动更新功能进行 AI 安全分析引擎的优化
升级。在生产环境中安全运营人员采集疑似 Web 攻击误报漏报的数据,利用 SecXOps 内置
的聚类模型进行数据的初步打标签,并通过专家知识的辅助对聚类结果进行分析验证、清洗
数据、生成数据的准确标签,以及构建数据集。基于构建的数据集与 AI 模型,在 SecXOps
平台创建 AI 模型参数更新任务,配置数据集、模型及运行参数,即可进行 AI 模型的参数更
新。对于训练表现好的模型,需要通过模型测试才能进行模型发布。模型测试目前有两种方
式:第一种,在生产环境中采集数据,利用 SecXOps 平台的模型测试功能进行测试;第二种,
对于训练好的模型,在生产环境中进行旁路部署,在不影响业务环境的情况下进行模型检测
SecXOps 安全智能分析技术白皮书
060
能力的测试。对于通过模型测试的 AI 模型进行模型发布,并对设备中的原 AI 模型进行替换,
完成 AI 安全分析引擎的迭代升级