天下苦「高级威胁」久矣,安全GPT如何走出新路?
分类:行业动态 发布时间:2023-12-26 17:34:10
AI新之所向 引领先锋体验

      流量威胁检测的重要性无需多言。

      回顾发展历程,流量威胁检测技术经历了从正则匹配到语法语义匹配,再到结合统计分析、行为分析的机器学习小模型等技术路线。

      我们可以窥探其反映出攻击手段的升级迭代:从最开始带有明显特征,逐渐变成弱特征,甚至是组合利用的体系化攻击手法,再到最新的智能化手段运用。

     《世界互联网发展报告2023》中提到,网络攻防进入智能化对抗时代,低成本自动化的新形式网络攻击层出不穷。

      攻击者已经在利用AI大模型批量快速构建攻击工具、生成混淆攻击代码,并结合全方位立体攻击手法(如:0day 漏洞攻击、定向钓鱼、C2加密通信等)。很多人依然执着于通过持续叠加规则,包括结合云端情报等手段,让传统检测引擎应对高级威胁,但这无异于以卵击石。

      深信服不沿袭老路,以Game Changer的思路独辟蹊径——利用大模型赋能流量检测。

图片 (50).png

完爆传统检测引擎

六项能力超越通用大模型

      深信服安全GPT可以作为检测引擎,赋能态势感知等传统安全设备,具备对未知攻击的意图理解、异常判定、混淆还原能力,当前已完成检测大模型的标准化落地

      基于积累的千万条语料、千亿级Token的高质量训练数据,早在今年4月,安全GPT检测大模型的效果已显著超越了业界多家基于规则和小模型的流量检测引擎。经内部5000万样本数据测试,相比传统流量检测设备,安全GPT检出率由平均57.4%提升至92.4%,误报率由42.6%降低至仅4.3%

      从实践中来到实践中去,安全GPT检测大模型一次次证明了自身实力:

图片 (53).png  超80+ 0day漏洞持续检出

      在2023年国家级实战攻防演练中,安全GPT检测大模型在没有任何先验知识的前提下,发现50+在野0day漏洞利用攻击。

     其中,某央企集团旗下约有100+二级单位、1000+三级单位,网络拓扑极其复杂,防御体系部署了多家厂商安全设备。在多家厂商参与值守的情况下,安全GPT第一时间独家检出某产品远程命令执行0day漏洞攻击。

11.jpg

      9-11月,深信服蓝军基于检测大模型的研判结果,捕获到了32个在野利用的0day漏洞,并将漏洞详情报送监管机构。

图片 (54).png  顶住四轮实测考验

     今年10-11月,某政府单位对于安全GPT检测大模型进行了四轮实测,从怀疑到认可,经历了180度的态度转变:

第一轮:样本检测强于传统检测引擎和GPT-4

      通过回放25个数据包,主要覆盖Web通用攻击、通用组件漏洞攻击、混淆绕过攻击等,安全GPT检出率为100%,其中针对三层混淆样本,传统检测引擎和通用大模型GPT-4均未检出。

第二轮:真实生产环境检测独报强于友商

      部署在真实生产环境测试期间,安全GPT总共产生告警1885条,相比友商独报430条,新增独报率22.8%,正报精准率为97.1%

第三轮:独报复测强于某SOC

      将安全GPT独报的430条数据在某知名厂商SOC回放,结果显示SOC平台检出率仅10.2%。

第四轮:厂商样本互测检出率高达97.4%

      深信服和某SOC厂商各出40个样本互测,SOC检出率仅12.5%,而安全GPT检出率高达97.4%

图片 (63).png  六项能力均超越通用大模型

      结合安全专家经验,深信服从六个纬度评估安全GPT检测大模型效果,分别是代码理解能力、攻防对抗理解能力、模型推理能力、安全基础知识能力、任务编排能力、模型幻觉对抗能力。

      结果显示,安全GPT检测大模型六项能力均超越通用大模型。

22.jpg

      我们知道,检测效果高度取决于对攻击代码的理解能力。通用大模型的参数至少十亿级别,其具有的理解、泛化、表达能力远超传统机器学习小模型,更非传统规则引擎可比拟。

      如今通用大模型已经可以对一段复杂的攻击代码进行高水平、准确地解读,不亚于人类高级专家。但深信服真正做到了把大模型能力运用到流量实时检测与研判中,并取得了更优异的效果。

      安全GPT检测大模型就像一个懂攻防、懂代码、懂协议的流量研判专家,对流量进行持续检测分析,从而发现传统检测引擎发现不了的高对抗、高绕过流量攻击。

图片 (55).png

安全GPT检测大模型

为何能降维打击?

      深信服通过知识蒸馏、模型量化、模型剪枝、Attention机制优化等,将安全GPT推理性能提升50倍,实现了在实际网络环境中,针对实时流量的实时检测。

      因而在实战考验面前,安全GPT取得了碾压式的优胜,从以下三个方面,几乎是对传统检测引擎的降维打击。

图片 (56).png  少量样本/无样本前提下检出新型威胁

     传统语义分析技术开发成本高昂,且无法应对新型语言,导致传统检测引擎无法防御0day漏洞、高对抗攻击。

     安全GPT检测大模型通过学习大量开源的代码,先天性地对代码语义有深入理解,从传统代码片段Payload特征检测,进化到全报文综合分析的维度,能够挖掘弱 特征攻击中的真实攻击目的,从而实现精准检测并减少误报

     安全GPT 检测大模型还能触类旁通,实现更强的泛化能力,甚至能在少量样本/无样本的情况下,基于Zero/Few-Shot技术检测出新型威胁,因此大幅提升对0day漏洞攻击的检出率

33.jpg

图片 (64).png  破解攻击结果研判的业界难题

      众所周知,判定一个攻击是否成功是业界难题,也是安全运营工作中消耗大量人力精力的重头戏。传统的攻击成功检测引擎主要面临三大问题:攻击成功无回显、成功特征不固定、Payload混淆难理解的问题。

      安全GPT检测大模型不仅能还原攻击中的混淆Payload,还能从响应报文中动态识别其中是否存在攻击成功的特征。如下图中,通过将混淆的Payload还原成最简模式whoami,安全GPT能够准确识别攻击意图,进一步会关联分析响应的内容,从而判定攻击结果为成功。

44.jpg

      同时,针对攻击成功场景,不同的命令有不同的回显,有的命令回显无法提规则(比如whoami回显zhangsan)。安全GPT检测大模型在经过大量垂直领域数据训练后,能够找出潜在的攻击成功回显特征。

图片 (65).png  自然语言辅助有效告警研判

      传统检测引擎在对威胁事件举证时,仅能通过高亮的方式展示恶意点。然而安全运营人员能力参差不齐,这种方式无法直接有效辅助其告警研判,时常导致高危事件的漏判误判。

      安全GPT检测大模型能够用自然语言对报文进行多维度剖析,辅助运营人员高效研判告警,突破人员能力和精力的瓶颈,真正实现“1个普通工程师+安全GPT检测大模型=N个安全专家”

640.png

安全GPT检测大模型是怎样炼成的?

作为国内最早应用AI的网络安全厂商之一,早在2015年,深信服投入决策式AI技术的研究和应用。2016年,深信服不断加码AI技术并确立了AI First研发战略,在网络安全和云计算领域都有可落地、有效果的AI技术突破。

由此,深信服积累了炼成安全GPT的必备要素:

图片 (66).png  面向AI模型训练的高质量数据和算力

持续累计的千亿级Token安全语料。

自动化的训练数据生成和质量管理平台。

55w+安全设备和组件接入云端。

每日更新数千万训练样本。

基于托管云的分布式算力平台。

图片 (67).png  云网端智能产品架构

数据采集/模型训练/部署落地全流程的安全产品。

国内率先推出SASE、MSS等云化产品和服务。

Genius AI研发平台模型训练速度提升3.5倍。

全国100+节点托管云,支撑安全GPT贴近用户部署。

图片 (68).png  四位一体的专家队伍

快速组建既懂安全、又懂AI的专业团队。

55.png

      深信服相信,由“大模型+数据+安全和算法专家”形成的飞轮效应,将为安全GPT在威胁检测效果的提升持续带来巨大潜力。

      “世界上本没有路”,深信服将走出一条独特的安全GPT检测大模型之路,持续引领先锋体验,致力于每一位用户「安全领先一步」。

专栏焦点

      当我们第一次看到路上疾驰的无人驾驶汽车,我们是何等的惊讶——停留在PPT里面的无人驾驶技术,已经悄悄来到我们的身边。

      当我们第一次看到GPT替代人类进行写作、制作图像与视频时,我们是何等的诧异——存在于科幻电影里面的幕幕场景,已经慢慢融入我们的工作生活。

      这是个技术颠覆式创新的年代,无论身处怎样的时代、怎样的变革,技术创新,永远都是颠覆生产力的决定性因素,重新定义人类固有认知的事物。

      着眼当下网络安全领域,类似这样的Game Changer到底是什么?

      你是否敢想:

      高级持续威胁检测率可以实现成倍的跃升,而非在POC环节以毫厘之差,争个你高我低?

      昼夜不停的安全运营工作,可以放心交给机器来处理,可以释放成倍投入的运营人员精力,可以提升成倍的效果?

     深信服安全GPT的诞生,用事实、用数据、用用户的真实感受告诉你:未来已来。