AI技术在威胁情报运营的应用实践.docx

AI技术在威胁情报运营的应用实践

一、AI的进展回顾及在网络安全的应用

1,人工智能关键事件的回顾与展望

首先回顾一下笔者眼中人工智能史上重要的的事件。

◆20世纪50年代，人工智能和图灵测试就已经提出，但可能受限于计算能力似乎一直进展缓慢。直到1997年，IBM深蓝战胜卡斯帕罗夫，标志着AI在复杂策略游戏领域的进展，其实从现在来看，算法也并没有多复杂。

◆2010年开始，深度学习技术兴起。2012年AlexNet首次应用于图像分类任务ImageNet竞赛中，取得了显著的成功，并且以极大的优势领先，进步远超前几年的比赛。标志着深度学习在图像处理领域的一个重要转折点，开启了深度学习热潮。训练AlexNet只使用了几个GPU，效果远不如的Google系统则用了上万个CPU。从此也开启了英伟达的泼天富贵之路。

◆2016年，DeepMindAlphaGo击败围棋世界冠军李世石，展示了强化学习在解决复杂策略问题上的潜力。从此，电脑成为围棋最高水平的尺度，人类上千年的积累比不上程序几个月的训练。

◆2017年，Google提出Transformer，其注意力机制成为NLP领域的新标准。2020年

后，Transformer架构不仅限于文本处理，还被应用于图像识别、语音处理等多个领域，对于以后惊艳的GPT出现形成了核心而又深远的影响。

◆2020年，OpenAI发布GPT3，展示了惊人的生成能力和跨任务适应性，无需针对特定任务进行微调即可完成多种NLP任务，但在2020年的当时还未出圈，形成全社会的影响。

◆2022年，11月ChatGPT发布，真正开始破圈。人工智能的热潮开始汹涌，从此以后各种商业和开源模型如雨后春笋，相关的应用方兴未艾。

至于未来会怎么样，人工智能会不会产生意识，面对超级人工智能，我们和它会是什么样的关系？笔者推荐一本书《生命3.0》。

从最乐观的人类超级智能伙伴，就象电影《HER》里面的那样，不仅能支持物质生产，还能提供情绪价值，照顾到生活的方方面面。

但这种超级智能的出现也隐藏着巨大的风险，目标上没有有效对齐的超级智能也极可能成为人类的终结者。

《生命3.0》这本书在第5章设想了几种可能性，但实话说，这几种设想也可能都是错的。另外说一句，这本书出版于2018年，里面写的事情最早发生于2015年，那个时候远没有到人

工智能的iPhone时刻，可在那个时间点泰格马克那些人已经从深度学习神经网络的进展中意识到了人工智能的发展潜力。

2.人工智能在网络安全方面的应用

(1)前大模型时代

再说回网络安全，以下是一个国外研究机构的总结报告中的结论，对大模型前的机器学习/AI技术在网络安全领域的一些应用成果做了评估。

MachineLearningandCybersecurity-HYPEANDREALITY

/wp-content/uploads/Machine-Learning-and-Cybersecurity.pdf

目前主要在恶意代码检测、入侵检测和垃圾邮件检测三方面，这些应用在2010年代已经比较成熟，也展现出了较好的效果。

在网络防御的各主要环节中，包括深度学习、自然语言处理、强化学习、生成对抗网络等技术都被尝试过了，但从实际的影响来看，大都是中低级别的相对传统方法效果改进型的，并没有产生颠覆性的影响。

(2)大模型时代

在大模型出来之前，基于机器学习的处理系统也经常被描绘成一个大脑的样子，但那些系统其实只能完成非常特定的任务，不具备通用性，只有真正结合了通用知识和推理能力的模型才有资格以大脑的样子呈现。这里我们列了一些大模型在网络安全方面可以有所作为的方向：

◆威胁检测与分类，涉及恶意代码的检测和分析、钓鱼邮件的识别、访问异常行为的判断，可以得到比传统机器学习及AI更好的效果。

◆威胁响应与决策支持，规则生成，自动化脚本与分派任务，告警降嗓，交互式操作支持，大模型具备各类安全工具平台相关的脚本和规则知识，比如IDS系统Snort、文件扫描引擎

Yara，可以根据来自各种报告的相对高层次的自然语言的技术性描述生成各类检测规则和脚

本，以及可加载处置设备的策略文本，对于信心度高的规划可以自动使能，有些关键操作可能还需要人的审核。

◆威胁情报收集、处理及输出，关于威胁行为体、攻击手法及IOC信息的产出，用于构建问答式知识库的核心技术。

◆漏洞信息整合，利用大模型强大的代码理解和构建能力挖掘和分析软件中的漏洞，协助开发漏洞利用POC也是可能的