天下苦「高級(jí)威脅」久矣，深信服安全GPT如何走出新路？

流量威脅檢測(cè)的重要性無(wú)需多言。

回顧發(fā)展歷程,流量威脅檢測(cè)技術(shù)經(jīng)歷了從正則匹配到語(yǔ)法語(yǔ)義匹配,再到結(jié)合統(tǒng)計(jì)分析、行為分析的機(jī)器學(xué)習(xí)小模型等技術(shù)路線。

我們可以窺探其反映出攻擊手段的升級(jí)迭代:從最開(kāi)始帶有明顯特征,逐漸變成弱特征,甚至是組合利用的體系化攻擊手法,再到最新的智能化手段運(yùn)用。

《世界互聯(lián)網(wǎng)發(fā)展報(bào)告2023》中提到,網(wǎng)絡(luò)攻防進(jìn)入智能化對(duì)抗時(shí)代,低成本自動(dòng)化的新形式網(wǎng)絡(luò)攻擊層出不窮。

攻擊者已經(jīng)在利用AI大模型批量快速構(gòu)建攻擊工具、生成混淆攻擊代碼,并結(jié)合全方位立體攻擊手法(如:0day 漏洞攻擊、定向釣魚(yú)、C2加密通信等)。很多人依然執(zhí)著于通過(guò)持續(xù)疊加規(guī)則,包括結(jié)合云端情報(bào)等手段,讓傳統(tǒng)檢測(cè)引擎應(yīng)對(duì)新威脅,但這無(wú)異于以卵擊石。

深信服不沿襲老路,以Game Changer的思路獨(dú)辟蹊徑——利用大模型賦能流量檢測(cè)。

完爆傳統(tǒng)檢測(cè)引擎

六項(xiàng)能力超越通用大模型

深信服安全GPT可以作為檢測(cè)引擎,賦能態(tài)勢(shì)感知等傳統(tǒng)安全設(shè)備,具備對(duì)未知攻擊的意圖理解、異常判定、混淆還原能力,當(dāng)前已完成檢測(cè)大模型的標(biāo)準(zhǔn)化落地。

基于積累的千萬(wàn)條語(yǔ)料、千億級(jí)Token的高質(zhì)量訓(xùn)練數(shù)據(jù),早在今年4月,安全GPT檢測(cè)大模型的效果已顯著超越了業(yè)界多家基于規(guī)則和小模型的流量檢測(cè)引擎。經(jīng)內(nèi)部5000萬(wàn)樣本數(shù)據(jù)測(cè)試,相比傳統(tǒng)流量檢測(cè)設(shè)備,安全GPT檢出率由平均57.4%提升至92.4%,誤報(bào)率由42.6%降低至僅4.3%。

從實(shí)踐中來(lái)到實(shí)踐中去,安全GPT檢測(cè)大模型一次次證明了自身實(shí)力:

1.多方持續(xù)驗(yàn)證檢測(cè)效果

8月,在2023年大型實(shí)戰(zhàn)攻防演練中,安全GPT檢測(cè)大模型在沒(méi)有任何先驗(yàn)知識(shí)的前提下,發(fā)現(xiàn)50+在野0day漏洞利用攻擊。

9-11月,深信服藍(lán)軍基于檢測(cè)大模型的研判結(jié)果,捕獲到了32個(gè)在野利用的0day漏洞,并將漏洞詳情報(bào)送監(jiān)管機(jī)構(gòu)。

10-11月,經(jīng)多家用戶驗(yàn)證安全GPT大模型,結(jié)果顯示:針對(duì)25個(gè)高混淆數(shù)據(jù)包(可繞過(guò)傳統(tǒng)引擎及通用大模型GPT-4),安全GPT檢出率100%,其中針對(duì)三層混淆樣本,傳統(tǒng)引擎和通用大模型GPT-4均未檢出;在實(shí)際網(wǎng)絡(luò)環(huán)境中,與業(yè)界傳統(tǒng)SOC、NDR產(chǎn)品進(jìn)行對(duì)測(cè),傳統(tǒng)產(chǎn)品檢出率平均12.5%,安全GPT檢出率高達(dá)97.4%。

2.六項(xiàng)能力均超越通用大模型

結(jié)合安全專家經(jīng)驗(yàn),深信服從六個(gè)緯度評(píng)估安全GPT檢測(cè)大模型效果,分別是代碼理解能力、攻防對(duì)抗理解能力、模型推理能力、安全基礎(chǔ)知識(shí)能力、任務(wù)編排能力、模型幻覺(jué)對(duì)抗能力。

結(jié)果顯示,安全GPT檢測(cè)大模型六項(xiàng)能力均超越通用大模型。

我們知道,檢測(cè)效果高度取決于對(duì)攻擊代碼的理解能力。通用大模型的參數(shù)至少十億級(jí)別,其具有的理解、泛化、表達(dá)能力遠(yuǎn)超傳統(tǒng)機(jī)器學(xué)習(xí)小模型,更非傳統(tǒng)規(guī)則引擎可比擬。

如今通用大模型已經(jīng)可以對(duì)一段復(fù)雜的攻擊代碼進(jìn)行高水平、準(zhǔn)確地解讀,不亞于人類高級(jí)專家。但深信服真正做到了把大模型能力運(yùn)用到流量實(shí)時(shí)檢測(cè)與研判中,并取得了更優(yōu)異的效果。

安全GPT檢測(cè)大模型就像一個(gè)懂攻防、懂代碼、懂協(xié)議的流量研判專家,對(duì)流量進(jìn)行持續(xù)檢測(cè)分析,從而發(fā)現(xiàn)傳統(tǒng)檢測(cè)引擎發(fā)現(xiàn)不了的高對(duì)抗、高繞過(guò)流量攻擊。

安全GPT檢測(cè)大模型為何能降維打擊?

深信服通過(guò)知識(shí)蒸餾、模型量化、模型剪枝、Attention機(jī)制優(yōu)化等,將安全GPT推理性能提升50倍,實(shí)現(xiàn)了在實(shí)際網(wǎng)絡(luò)環(huán)境中,針對(duì)實(shí)時(shí)流量的實(shí)時(shí)檢測(cè)。

因而在實(shí)戰(zhàn)考驗(yàn)面前,安全GPT取得了碾壓式的優(yōu)勝,從以下三個(gè)方面,幾乎是對(duì)傳統(tǒng)檢測(cè)引擎的降維打擊。

1.少量樣本/無(wú)樣本前提下檢出新型威脅

傳統(tǒng)語(yǔ)義分析技術(shù)開(kāi)發(fā)成本高昂,且無(wú)法應(yīng)對(duì)新型語(yǔ)言,導(dǎo)致傳統(tǒng)檢測(cè)引擎無(wú)法防御0day漏洞、高對(duì)抗攻擊。

安全GPT檢測(cè)大模型通過(guò)學(xué)習(xí)大量開(kāi)源的代碼,先天性地對(duì)代碼語(yǔ)義有深入理解,從傳統(tǒng)代碼片段Payload特征檢測(cè),進(jìn)化到全報(bào)文綜合分析的維度,能夠挖掘弱特征攻擊中的真實(shí)攻擊目的,從而實(shí)現(xiàn)精準(zhǔn)檢測(cè)并減少誤報(bào)。

安全GPT 檢測(cè)大模型還能觸類旁通,實(shí)現(xiàn)更強(qiáng)的泛化能力,甚至能在少量樣本/無(wú)樣本的情況下,基于Zero/Few-Shot技術(shù)檢測(cè)出新型威脅,因此大幅提升對(duì)0day漏洞攻擊的檢出率。

2.破解攻擊結(jié)果研判的業(yè)界難題

眾所周知,判定一個(gè)攻擊是否成功是業(yè)界難題,也是安全運(yùn)營(yíng)工作中消耗大量人力精力的重頭戲。傳統(tǒng)的攻擊成功檢測(cè)引擎主要面臨三大問(wèn)題:攻擊成功無(wú)回顯、成功特征不固定、Payload混淆難理解的問(wèn)題。

安全GPT檢測(cè)大模型不僅能還原攻擊中的混淆Payload,還能從響應(yīng)報(bào)文中動(dòng)態(tài)識(shí)別其中是否存在攻擊成功的特征。如下圖中,通過(guò)將混淆的Payload還原成最簡(jiǎn)模式whoami,安全GPT能夠準(zhǔn)確識(shí)別攻擊意圖,進(jìn)一步會(huì)關(guān)聯(lián)分析響應(yīng)的內(nèi)容,從而判定攻擊結(jié)果為成功。

同時(shí),針對(duì)攻擊成功場(chǎng)景,不同的命令有不同的回顯,有的命令回顯無(wú)法提規(guī)則(比如whoami回顯zhangsan)。安全GPT檢測(cè)大模型在經(jīng)過(guò)大量垂直領(lǐng)域數(shù)據(jù)訓(xùn)練后,能夠找出潛在的攻擊成功回顯特征。

3.自然語(yǔ)言輔助有效告警研判

傳統(tǒng)檢測(cè)引擎在對(duì)威脅事件舉證時(shí),僅能通過(guò)高亮的方式展示惡意點(diǎn)。然而安全運(yùn)營(yíng)人員能力參差不齊,這種方式無(wú)法直接有效輔助其告警研判,時(shí)常導(dǎo)致高危事件的漏判誤判。

安全GPT檢測(cè)大模型能夠用自然語(yǔ)言對(duì)報(bào)文進(jìn)行多維度剖析,輔助運(yùn)營(yíng)人員高效研判告警,突破人員能力和精力的瓶頸,真正實(shí)現(xiàn)“1個(gè)普通工程師+安全GPT檢測(cè)大模型=N個(gè)安全專家”。

安全GPT檢測(cè)大模型是怎樣煉成的?

作為國(guó)內(nèi)最早應(yīng)用AI的網(wǎng)絡(luò)安全廠商之一,早在2015年,深信服投入決策式AI技術(shù)的研究和應(yīng)用。2016年,深信服不斷加碼AI技術(shù)并確立了AI First研發(fā)戰(zhàn)略,在網(wǎng)絡(luò)安全和云計(jì)算領(lǐng)域都有可落地、有效果的AI技術(shù)突破。

由此,深信服積累了煉成安全GPT的必備要素:

1.面向AI模型訓(xùn)練的高質(zhì)量數(shù)據(jù)和算力

持續(xù)累計(jì)的千億級(jí)Token安全語(yǔ)料。

自動(dòng)化的訓(xùn)練數(shù)據(jù)生成和質(zhì)量管理平臺(tái)。

55w+安全設(shè)備和組件接入云端。

每日更新數(shù)千萬(wàn)訓(xùn)練樣本。

基于托管云的分布式算力平臺(tái)。

2.云網(wǎng)端智能產(chǎn)品架構(gòu)

數(shù)據(jù)采集/模型訓(xùn)練/部署落地全流程的安全產(chǎn)品。

國(guó)內(nèi)率先推出SASE、MSS等云化產(chǎn)品和服務(wù)。

Genius AI研發(fā)平臺(tái)模型訓(xùn)練速度提升3.5倍。

全國(guó)100+節(jié)點(diǎn)托管云,支撐安全GPT貼近用戶部署。

3.四位一體的專家隊(duì)伍

快速組建既懂安全、又懂AI的專業(yè)團(tuán)隊(duì)。

深信服相信,由“大模型+數(shù)據(jù)+安全和算法專家”形成的飛輪效應(yīng),將為安全GPT在威脅檢測(cè)效果的提升持續(xù)帶來(lái)巨大潛力。

“世界上本沒(méi)有路”,深信服將走出一條獨(dú)特的安全GPT檢測(cè)大模型之路,持續(xù)引領(lǐng)先鋒體驗(yàn),致力于每一位用戶「安全領(lǐng)先一步」。