華云安·ASM技術(shù)篇:人工智能在ASM方面的應(yīng)用
概述
近些年來,隨著網(wǎng)絡(luò)攻防對(duì)抗不斷演化升級(jí),人工智能在網(wǎng)絡(luò)空間安全領(lǐng)域的應(yīng)用也逐步展開。人工智能因其智能化與自動(dòng)化的識(shí)別及處理能力、強(qiáng)大的數(shù)據(jù)分析能力,已成為網(wǎng)絡(luò)攻防的核心關(guān)鍵技術(shù)之一,并持續(xù)為自動(dòng)化網(wǎng)絡(luò)攻防提供助力。
在攻擊面管理中,一些場(chǎng)景已經(jīng)充分應(yīng)用了人工智能技術(shù);同時(shí)還有一些人工智能的應(yīng)用場(chǎng)景處于探索發(fā)展階段,例如人工智能在指紋識(shí)別、路徑?jīng)Q策、攻擊過程數(shù)據(jù)的分析等,今天我們來對(duì)這些尚處于探索階段的應(yīng)用先睹為快。
人工智能在指紋識(shí)別方面的應(yīng)用
網(wǎng)絡(luò)資產(chǎn)探測(cè)識(shí)別指追蹤、掌握網(wǎng)絡(luò)資產(chǎn)情況的過程。從安全攻擊的角度看,網(wǎng)絡(luò)資產(chǎn)探測(cè)識(shí)別可用于滲透(或攻擊)前的信息收集,了解目標(biāo)網(wǎng)絡(luò)內(nèi)主機(jī)的操作系統(tǒng)類型、開放端口以及所運(yùn)行的應(yīng)用程序類型與版本信息。準(zhǔn)確掌握目標(biāo)網(wǎng)絡(luò)的安全狀況,有助于選取高效的攻擊方法。
在網(wǎng)絡(luò)資產(chǎn)探測(cè)識(shí)別的人工智能應(yīng)用方面,華云安引入機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等方法進(jìn)行操作系統(tǒng)指紋識(shí)別,可以在較短時(shí)間,實(shí)現(xiàn)基于協(xié)議棧指紋的操作系統(tǒng)被動(dòng)識(shí)別,大幅提高未精確匹配指紋的識(shí)別率,從而彌補(bǔ)和提高基于規(guī)則庫(kù)的操作系統(tǒng)指紋識(shí)別速度和準(zhǔn)確性
常用的操作系統(tǒng)指紋識(shí)別特征有:IP頭中的總長(zhǎng)度(toG tallength)、標(biāo)志(ID)、是否分片(DF)、生存時(shí)間(TTL)字段等,TCP頭中的可選項(xiàng),TCP 頭部的窗口大小(wsize)、可選項(xiàng)等,以及ICMP、UDP協(xié)議指紋、SYN-ACK 包重傳時(shí)延等
在匹配方法上,除了最基礎(chǔ)的精確匹配外,考慮到網(wǎng)絡(luò)延時(shí)、動(dòng)態(tài)配置等現(xiàn)實(shí)因素,類似正則表達(dá)式的模糊匹配方法也被廣泛應(yīng)用,如目前最新版的 p0fv3指紋庫(kù)將操作系統(tǒng)指紋分為兩類(specified,generic),增加了用于模糊匹配的g類,在s類無(wú)法精確匹配的情況下,為避免直接給出未知的結(jié)果,對(duì) mss,wsize,scale等字段均允許使用“∗”進(jìn)行模糊匹配,進(jìn)而粗略地給出目標(biāo)操作系統(tǒng)所屬的大類;SinFP中的啟發(fā)式匹配機(jī)制也是一種分層次的模糊匹配
使用機(jī)器學(xué)習(xí)模型對(duì)操作系統(tǒng)屬性值(端口、IPID、TTL、Do not Fragment、MSS、No operation、Selective Acknowledgement、Window scale 和 Window size等等參數(shù))進(jìn)行分類訓(xùn)練,以 94% 的概率正確識(shí)別操作系統(tǒng),進(jìn)而提高指紋識(shí)別規(guī)則匹配的檢出率和準(zhǔn)確率等。同時(shí)還有些其他問題未得到解決,如由于各個(gè)操作系統(tǒng)版本使用相同屬性值的問題,無(wú)法對(duì)版本進(jìn)行具體分類預(yù)測(cè)等。
人工智能在路徑?jīng)Q策方面的應(yīng)用
智能決策技術(shù)主要包含智能路徑?jīng)Q策和智能攻擊決策,采用強(qiáng)化學(xué)習(xí)等技術(shù),即根據(jù)目標(biāo)資產(chǎn)的操作系統(tǒng)、資產(chǎn)承載的應(yīng)用,資產(chǎn)與其他資產(chǎn)的互聯(lián)情況,資產(chǎn)所在的網(wǎng)絡(luò)環(huán)境、漏洞、漏洞利用的易用性、漏洞利用的穩(wěn)定性、漏洞利用的隱秘性、攻擊過程產(chǎn)生的可用數(shù)據(jù)以及平臺(tái)指令等等參數(shù)通過強(qiáng)化學(xué)習(xí)模型(Q-learning+其他)和多層多區(qū)域異步的Asynchronous Advantage Actor-Critic強(qiáng)化學(xué)習(xí)算法進(jìn)行路徑?jīng)Q策以及攻擊決策
智能模型所需要關(guān)鍵數(shù)據(jù)如下:
主機(jī)關(guān)鍵信息:IP地址、開放端口、服務(wù)及版本號(hào)、操作系統(tǒng)及版本號(hào)、MAC地址、網(wǎng)卡信息
漏洞關(guān)鍵信息:漏洞編號(hào)(CVE)、漏洞類型、風(fēng)險(xiǎn)等級(jí)、CVSS、漏洞影響、漏洞年份、PoC、Exp、利用難易度、利用的穩(wěn)定性、利用的隱秘性、權(quán)限、是否可以獲取二次利用數(shù)據(jù)等等
操作系統(tǒng)信息:操作系統(tǒng)類型、系統(tǒng)版本
應(yīng)用系統(tǒng)關(guān)鍵信息:應(yīng)用系統(tǒng)、系統(tǒng)版本、系統(tǒng)類型、系統(tǒng)覆蓋面
網(wǎng)絡(luò)關(guān)鍵信息包含:網(wǎng)絡(luò)位置、與其他資產(chǎn)互聯(lián)情況
人工智能在數(shù)據(jù)分析方面的應(yīng)用
在攻擊利用過程中Bot會(huì)產(chǎn)生一些數(shù)據(jù),除上述五類數(shù)據(jù)外,還會(huì)從目標(biāo)機(jī)器上二次信息收集,例如賬號(hào)/密碼、hash、域控相關(guān)、目標(biāo)機(jī)器上存儲(chǔ)的可二次利用的數(shù)據(jù)等等,以上數(shù)據(jù)回傳到靈刃® 智能化滲透攻防系統(tǒng)Ai.Bot上,靈刃平臺(tái)的上不同功能的數(shù)據(jù)分析模型引擎對(duì)以上類型的數(shù)據(jù)分別進(jìn)行處理、分析、訓(xùn)練、再處理、預(yù)測(cè)、決策等最后形成指令或者數(shù)據(jù),為Bot進(jìn)行下一步的攻擊/測(cè)試提供決策、信息、數(shù)據(jù)支撐;同時(shí)Bot對(duì)目標(biāo)進(jìn)行下一步行動(dòng)時(shí)獲取的數(shù)據(jù)/信息再次回傳至平臺(tái),如此相輔相成,從而實(shí)現(xiàn)Bot漏洞組合智能化或者自動(dòng)化,自我調(diào)優(yōu)、自適應(yīng)新環(huán)境、智能攻擊決策、智能路徑?jīng)Q策。
相關(guān)閱讀
-
華云安·ASM技術(shù)篇:人工智能在ASM方面的應(yīng)用
概述近些年來,隨著網(wǎng)絡(luò)攻防對(duì)抗不斷演化升級(jí),人工智能在網(wǎng)絡(luò)空間... -
杰出|思特奇榮獲TM Forum 2021年度行...
近日,TM Forum Accelerator week正式揭曉2021年度行業(yè)杰出貢獻(xiàn)... -
倍思氮化鎵30W充電器:替代原裝手機(jī)充電...
隨著蘋果以環(huán)保為借口開了不再附送手機(jī)充電器的先例,不少的手機(jī)廠... -
聚通達(dá)數(shù)智賦能,讓企業(yè)更高效、更智能...
據(jù)IDC數(shù)據(jù)顯示,2020年全球數(shù)字化轉(zhuǎn)型相關(guān)的增加值高達(dá)18億美元,全... -
斯圖飛騰Stratifyd獲愛分析推薦,躋身營(yíng)...
近日,國(guó)內(nèi)知名數(shù)字化市場(chǎng)研究咨詢機(jī)構(gòu)愛分析發(fā)布了《2022愛分析·... -
柏克體育榮登廣東衛(wèi)視,打響虎年?duì)I銷“...
新的一年,柏克體育以虎氣沖天之勢(shì),先聲奪人,強(qiáng)勢(shì)打響虎年?duì)I銷第一槍...