AI技术应用实践——基于机器学习的APT攻击检测

俄乌冲突爆发以来，一场发生在网络空间的平行战争正愈演愈烈，据乌克兰当局披露的数据，来自多个国家超40万的黑客投入了这场网络战争。乌克兰IT军、美国网络司令部、俄罗斯GRU组织等境外APT组织及网络特战部队纷纷浮出水面，各类民间APT组织也日渐活跃。俄乌双方在网络空间展开的网络战争，造成了运营商、金融、能源等关键基础设施系统的大面积破坏。随着APT组织的活跃以及0day漏洞的大量披露，APT攻击方式愈发变化多端，难以防范。

 

●

迪普科技针对当前复杂的国际局势以及网络空间安全威胁加剧的背景，提出了应用AI技术的威胁检测手段，用以预测APT攻击。

●

传统的攻击检测技术

 

传统网络攻击检测技术普遍基于流量协议，同时匹配网络五元组和报文的详情字段，从而对网络攻击进行研判。这种检测手段存在以下3种弊端：

① 基于特征检测效率高，但检测手段相对单一，仅在主机失陷时或者失陷后才能检出攻击；

② 对于变种攻击和伪装成普通访问行为的分散攻击等情况漏报率较高；

③ 威胁检出率和漏报误报率往往受到规则库规模影响较大，“规则多误报多，规则少漏报多”。

 

基于机器学习的APT攻击检测技术

 

迪普科技APT高级威胁检测平台以AI智能分析技术为核心，构建了针对APT组织的威胁检测引擎，并基于多年的安全服务经验，深入分析APT组织攻击事件全过程，通过海量真实攻击流量训练模型，最终实现对APT组织攻击的精准预警。

在一些典型行业场景，由于业务网络和业务系统的相似性，往往采用类似的开源框架、技术栈和网络架构，一旦目标被攻破，相同的攻击手段很容易在其他类似的场景下复现，因此更容易成为APT攻击的对象。

迪普科技针对APT攻击过程中的信息进行记录和统计分析，根据不同APT组织攻击习惯以及大量实际应用中的使用数据进行数据抽象，进而形成结构化和半结构化的样本特征。进一步基于大量实际攻击事件建模，根据模型反复调参验证，最终形成基于机器学习的APT攻击检测引擎。

通过对已知威胁的攻击行为模型进行大量训练，基于机器学习的APT攻击检测引擎在未知威胁场景下，可以实现较高精准度的攻击预测以及APT试探预警。

 

迪普科技应用实践

 

目前，上述基于机器学习的APT攻击检测引擎已通过内部测试，并在客户实际使用场景下的试用和攻防实战中检测效果良好。通过AI引擎的智能化分析，在典型场景下，网络威胁的研判效率和精准度均有了大幅的提升，威胁误报率显著下降。

 

 

迪普科技APT高级威胁检测平台

迪普新一代APT高级威胁检测平台是迪普科技自主研发的基于AI检测技术的智能威胁检测产品。产品基于智能化的语义分析引擎、行为分析引擎，结合高效的沙箱动态分析技术、丰富的特征规则库、全面的检测策略库，深度检测APT攻击行为，发现其中暗藏的高级恶意代码，帮助用户将新型网络攻击行为遏制在攻击初期，在满足合规性要求的同时，为客户提供应对APT攻击的手段，极大地提高了客户网络空间的安全等级。

 

AI赋能安全展望

在网络安全攻防技术不断升级、网络安全建设要求不断加强的背景下，AI技术必将是未来网络安全防御不可或缺的一环。迪普科技未来也将持续加大在AI安全检测、安全分析等领域的技术投入，推动AI与网络安全技术两者不断融合、优化、提升，将AI安全由“单场景”向“全局化”演进，使得未来的网络安全技术手段更为简单、智能、安全。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！