流量威脅檢測的重要性無需多言。
回顧發(fā)展歷程,流量威脅檢測技術(shù)經(jīng)歷了從正則匹配到語法語義匹配,再到結(jié)合統(tǒng)計分析、行為分析的機器學(xué)習(xí)小模型等技術(shù)路線。
我們可以窺探其反映出攻擊手段的升級迭代:從最開始帶有明顯特征,逐漸變成弱特征,甚至是組合利用的體系化攻擊手法,再到最新的智能化手段運用。
《世界互聯(lián)網(wǎng)發(fā)展報告2023》中提到,網(wǎng)絡(luò)攻防進入智能化對抗時代,低成本自動化的新形式網(wǎng)絡(luò)攻擊層出不窮。
攻擊者已經(jīng)在利用AI大模型批量快速構(gòu)建攻擊工具、生成混淆攻擊代碼,并結(jié)合全方位立體攻擊手法(如:0day 漏洞攻擊、定向釣魚、C2加密通信等)。很多人依然執(zhí)著于通過持續(xù)疊加規(guī)則,包括結(jié)合云端情報等手段,讓傳統(tǒng)檢測引擎應(yīng)對新威脅,但這無異于以卵擊石。
深信服不沿襲老路,以Game Changer的思路獨辟蹊徑——利用大模型賦能流量檢測。
完爆傳統(tǒng)檢測引擎
六項能力超越通用大模型
深信服安全GPT可以作為檢測引擎,賦能態(tài)勢感知等傳統(tǒng)安全設(shè)備,具備對未知攻擊的意圖理解、異常判定、混淆還原能力,當前已完成檢測大模型的標準化落地。
基于積累的千萬條語料、千億級Token的高質(zhì)量訓(xùn)練數(shù)據(jù),早在今年4月,安全GPT檢測大模型的效果已顯著超越了業(yè)界多家基于規(guī)則和小模型的流量檢測引擎。經(jīng)內(nèi)部5000萬樣本數(shù)據(jù)測試,相比傳統(tǒng)流量檢測設(shè)備,安全GPT檢出率由平均57.4%提升至92.4%,誤報率由42.6%降低至僅4.3%。
從實踐中來到實踐中去,安全GPT檢測大模型一次次證明了自身實力:
1.多方持續(xù)驗證檢測效果
8月,在2023年大型實戰(zhàn)攻防演練中,安全GPT檢測大模型在沒有任何先驗知識的前提下,發(fā)現(xiàn)50+在野0day漏洞利用攻擊。
9-11月,深信服藍軍基于檢測大模型的研判結(jié)果,捕獲到了32個在野利用的0day漏洞,并將漏洞詳情報送監(jiān)管機構(gòu)。
10-11月,經(jīng)多家用戶驗證安全GPT大模型,結(jié)果顯示:針對25個高混淆數(shù)據(jù)包(可繞過傳統(tǒng)引擎及通用大模型GPT-4),安全GPT檢出率100%,其中針對三層混淆樣本,傳統(tǒng)引擎和通用大模型GPT-4均未檢出;在實際網(wǎng)絡(luò)環(huán)境中,與業(yè)界傳統(tǒng)SOC、NDR產(chǎn)品進行對測,傳統(tǒng)產(chǎn)品檢出率平均12.5%,安全GPT檢出率高達97.4%。
2.六項能力均超越通用大模型
結(jié)合安全專家經(jīng)驗,深信服從六個緯度評估安全GPT檢測大模型效果,分別是代碼理解能力、攻防對抗理解能力、模型推理能力、安全基礎(chǔ)知識能力、任務(wù)編排能力、模型幻覺對抗能力。
結(jié)果顯示,安全GPT檢測大模型六項能力均超越通用大模型。
我們知道,檢測效果高度取決于對攻擊代碼的理解能力。通用大模型的參數(shù)至少十億級別,其具有的理解、泛化、表達能力遠超傳統(tǒng)機器學(xué)習(xí)小模型,更非傳統(tǒng)規(guī)則引擎可比擬。
如今通用大模型已經(jīng)可以對一段復(fù)雜的攻擊代碼進行高水平、準確地解讀,不亞于人類高級專家。但深信服真正做到了把大模型能力運用到流量實時檢測與研判中,并取得了更優(yōu)異的效果。
安全GPT檢測大模型就像一個懂攻防、懂代碼、懂協(xié)議的流量研判專家,對流量進行持續(xù)檢測分析,從而發(fā)現(xiàn)傳統(tǒng)檢測引擎發(fā)現(xiàn)不了的高對抗、高繞過流量攻擊。
安全GPT檢測大模型為何能降維打擊?
深信服通過知識蒸餾、模型量化、模型剪枝、Attention機制優(yōu)化等,將安全GPT推理性能提升50倍,實現(xiàn)了在實際網(wǎng)絡(luò)環(huán)境中,針對實時流量的實時檢測。
因而在實戰(zhàn)考驗面前,安全GPT取得了碾壓式的優(yōu)勝,從以下三個方面,幾乎是對傳統(tǒng)檢測引擎的降維打擊。
1.少量樣本/無樣本前提下檢出新型威脅
傳統(tǒng)語義分析技術(shù)開發(fā)成本高昂,且無法應(yīng)對新型語言,導(dǎo)致傳統(tǒng)檢測引擎無法防御0day漏洞、高對抗攻擊。
安全GPT檢測大模型通過學(xué)習(xí)大量開源的代碼,先天性地對代碼語義有深入理解,從傳統(tǒng)代碼片段Payload特征檢測,進化到全報文綜合分析的維度,能夠挖掘弱特征攻擊中的真實攻擊目的,從而實現(xiàn)精準檢測并減少誤報。
安全GPT 檢測大模型還能觸類旁通,實現(xiàn)更強的泛化能力,甚至能在少量樣本/無樣本的情況下,基于Zero/Few-Shot技術(shù)檢測出新型威脅,因此大幅提升對0day漏洞攻擊的檢出率。
2.破解攻擊結(jié)果研判的業(yè)界難題
眾所周知,判定一個攻擊是否成功是業(yè)界難題,也是安全運營工作中消耗大量人力精力的重頭戲。傳統(tǒng)的攻擊成功檢測引擎主要面臨三大問題:攻擊成功無回顯、成功特征不固定、Payload混淆難理解的問題。
安全GPT檢測大模型不僅能還原攻擊中的混淆Payload,還能從響應(yīng)報文中動態(tài)識別其中是否存在攻擊成功的特征。如下圖中,通過將混淆的Payload還原成最簡模式whoami,安全GPT能夠準確識別攻擊意圖,進一步會關(guān)聯(lián)分析響應(yīng)的內(nèi)容,從而判定攻擊結(jié)果為成功。
同時,針對攻擊成功場景,不同的命令有不同的回顯,有的命令回顯無法提規(guī)則(比如whoami回顯zhangsan)。安全GPT檢測大模型在經(jīng)過大量垂直領(lǐng)域數(shù)據(jù)訓(xùn)練后,能夠找出潛在的攻擊成功回顯特征。
3.自然語言輔助有效告警研判
傳統(tǒng)檢測引擎在對威脅事件舉證時,僅能通過高亮的方式展示惡意點。然而安全運營人員能力參差不齊,這種方式無法直接有效輔助其告警研判,時常導(dǎo)致高危事件的漏判誤判。
安全GPT檢測大模型能夠用自然語言對報文進行多維度剖析,輔助運營人員高效研判告警,突破人員能力和精力的瓶頸,真正實現(xiàn)“1個普通工程師+安全GPT檢測大模型=N個安全專家”。
安全GPT檢測大模型是怎樣煉成的?
作為國內(nèi)最早應(yīng)用AI的網(wǎng)絡(luò)安全廠商之一,早在2015年,深信服投入決策式AI技術(shù)的研究和應(yīng)用。2016年,深信服不斷加碼AI技術(shù)并確立了AI First研發(fā)戰(zhàn)略,在網(wǎng)絡(luò)安全和云計算領(lǐng)域都有可落地、有效果的AI技術(shù)突破。
由此,深信服積累了煉成安全GPT的必備要素:
1.面向AI模型訓(xùn)練的高質(zhì)量數(shù)據(jù)和算力
持續(xù)累計的千億級Token安全語料。
自動化的訓(xùn)練數(shù)據(jù)生成和質(zhì)量管理平臺。
55w+安全設(shè)備和組件接入云端。
每日更新數(shù)千萬訓(xùn)練樣本。
基于托管云的分布式算力平臺。
2.云網(wǎng)端智能產(chǎn)品架構(gòu)
數(shù)據(jù)采集/模型訓(xùn)練/部署落地全流程的安全產(chǎn)品。
國內(nèi)率先推出SASE、MSS等云化產(chǎn)品和服務(wù)。
Genius AI研發(fā)平臺模型訓(xùn)練速度提升3.5倍。
全國100+節(jié)點托管云,支撐安全GPT貼近用戶部署。
3.四位一體的專家隊伍
快速組建既懂安全、又懂AI的專業(yè)團隊。
深信服相信,由“大模型+數(shù)據(jù)+安全和算法專家”形成的飛輪效應(yīng),將為安全GPT在威脅檢測效果的提升持續(xù)帶來巨大潛力。
“世界上本沒有路”,深信服將走出一條獨特的安全GPT檢測大模型之路,持續(xù)引領(lǐng)先鋒體驗,致力于每一位用戶「安全領(lǐng)先一步」。
