微步安全AI实践.docx

防线无声沙龙

微步安全AI实践

嘉宾：陈杰

个人介绍/Introduction

陈杰

微步在线AILab负责人

微步在线技术运营合伙人

华盛顿大学人工智能博士

微软Exchange邮箱服务器主机安全微软Azure公有云基础安全

PARTONE

AI简

AI简介

PARTTWO

AI+网络安

AI+网络安全

PARTTHREE

AI落地挑战

AI落地挑战

PARTFOUR

微步AI实

微步AI实践

01

01

AI简介

AI简介

什么是机器学习-检测模型从开发到应用

开发

应用

?人工线性增加

?开发时效性差

?不能覆盖所有分析

50条规则，比如：10000恶意样本500条规则分析师x10分析师

50条规则，比如：

10000

恶意样本

500条规则

分析师x10

分析师

未知样本告警Webshell引擎

未知样本

告警

Webshell引擎

什么是机器学习-检测模型从开发到应用

开发

应用

?自动化学习恶意样本特征

?快速学习新变种样本

10万恶意样本?处理海量数据

10万

恶意样本

机器学习模型

未知样本告警检测引擎

未知样本

告警

检测引擎

机器学习简单分类

成熟曲线

知识图谱

知识图谱

自然语言处理

自动驾驶汽车

图像识别人脸识别

02

02

AI+网络安全

AI+网络安全

Gartner报告（1）：AI在安全行业的使用

?AI被使用在6个方向

1.欺诈

2.身份认证，UEBA

3.恶意软件检测

4.分析可视化

5.威胁检测

6.威胁防御

?

?AI被使用在

1.欺诈2.

3.恶意软件检测

4.分析可视化

5.威胁检测

6.威胁防御

Gartner报告(

Gartner报告(

1）：AI在安全行业的使用

红框为Gartner指出在安全行业有应用的分支

Gartner报告（2）：AI在威胁检测中的使用

?AI被使用在4个检测方向

1.网络检测

2.AI检测模型

3.异常检测

4.钓鱼检测

Gartner报告（3）：AI在安全行业的落地情况

3

1

其他应用场景

CrowdStrike对AI的定位

M

MLIsaBetterDefenseAgainstMalware

LookfortheRightMLtoprotectyourEndpointsMLIsanIndicatorofsecurityEffectiveness

6

案例（1）：微软失陷主机检测、失窃用户权限检测

恶意特征

?机器学习+UEBA

?2017年微软开始使用机器学习识别失陷主机，应用在Exchange服务器安全检测

?2018年开始使用机器学习识别失窃用户检测

?在公司内部红蓝对抗中效果显著

1

案例（2）：AzureSentinelFusionDetection

?2018开始，微软使用机器学习识别公有云上多步骤攻击过程

?2021推出基于多步骤聚合的勒索检测

爆破

爆破

加密软件

勒索团伙

加密软件

加密软件

黑客工具

失陷主机通信

异常网络连接

可疑PowerShell命令

窃密软件不阻止连接暗网

其他成功案例

?恶意样本检测

微软WindowsDefenderATP使用端+云的恶意软件检测，云上建模，端上检测

?攻击链路检测

CrowdStrike使用威胁图技术，聚合攻击动作

?情报生产

微步在线使用机器学习+威胁图进行病毒家族识别、攻击手法分类等

?Webshell

微步在线使用深度学习检测Webshell

?行为分析

腾讯使用UEBA对用户安全、失陷主机、横向移动

?其他成功方向

异常登录/DGA识别/弱密码检测/垃圾邮件识别/钓鱼页面识别/加密流量

检测

03

03

AI落地挑战

AI落地挑战

机器学习AI的问题1

机