首 頁上海市肺科醫(yī)院:人工智能賦能網(wǎng)絡(luò)安全自主值守
2024年醫(yī)院新興技術(shù)創(chuàng)新應(yīng)用典型案例征集活動(dòng)經(jīng)行業(yè)專家背靠背盲審以及終審,共選出20篇典型案例,將陸續(xù)刊登出來,以饗讀者。
1 網(wǎng)絡(luò)安全現(xiàn)狀
2022年底,以ChatGPT為代表的的生成式人工智能取得了長(zhǎng)足進(jìn)展。相比傳統(tǒng)機(jī)器學(xué)習(xí)、深度學(xué)習(xí)算法,生成式人工智能一般具備算法模型參數(shù)大(數(shù)十億以上)、訓(xùn)練數(shù)據(jù)量級(jí)大、訓(xùn)練推理算力大三方面的特點(diǎn)。
網(wǎng)絡(luò)安全領(lǐng)域的各類威脅、樣本、日志、事件,同樣可以通過生成式人工智能進(jìn)行學(xué)習(xí)訓(xùn)練、推理研判,并且微軟、OpenAI、谷歌、CrowdStrike、斯坦福大學(xué)、清華大學(xué)等機(jī)構(gòu)的大量學(xué)術(shù)研究和工程實(shí)踐證實(shí),生成式人工智能相比傳統(tǒng)機(jī)器學(xué)習(xí)和深度學(xué)習(xí)算法,具有更高的威脅檢出率,更低的誤報(bào)率,更強(qiáng)的意圖理解和內(nèi)容生成能力,甚至具備自主聯(lián)動(dòng)情報(bào)、沙箱、安全設(shè)備等能力。生成式人工智能在網(wǎng)絡(luò)安全中的應(yīng)用,為網(wǎng)絡(luò)安全的威脅檢測(cè)、事件研判、溯源處置,甚至應(yīng)用開發(fā)安全、數(shù)據(jù)安全,都具有巨大助力。
當(dāng)前,上海市肺科醫(yī)院網(wǎng)絡(luò)安全已完成云網(wǎng)端體系的安全建設(shè),但在面對(duì)黑客基于ChatGPT等工具的攻擊時(shí)現(xiàn)有安全體系仍然有些力不從心。為了應(yīng)對(duì)這種挑戰(zhàn),上海市肺科醫(yī)院引入網(wǎng)絡(luò)安全垂直領(lǐng)域的生成式人工智能大模型,提升網(wǎng)絡(luò)安全運(yùn)營處置能力。
2 醫(yī)院網(wǎng)絡(luò)安全自主值守體系搭建
上海市肺科醫(yī)院在原有云網(wǎng)端安全運(yùn)營體系之上再次構(gòu)建GPT能力,通過XDR(可擴(kuò)展的檢測(cè)與響應(yīng)平臺(tái))接入現(xiàn)有網(wǎng)絡(luò)側(cè)和終端側(cè)的安全流量日志,做網(wǎng)端告警的聚合分析。同時(shí)通過“安全GPT”賦能XDR安全平臺(tái),提供深度威脅檢測(cè)框架、自然語音交互的安全運(yùn)營和基于思維鏈的自主值守,并針對(duì)自主運(yùn)營值守和研判處置在醫(yī)院深入落地實(shí)踐。
網(wǎng)絡(luò)安全領(lǐng)域的生成式人工智能“安全GPT”基于面向安全行業(yè)的垂直領(lǐng)域應(yīng)用,構(gòu)建具備網(wǎng)絡(luò)安全常見知識(shí)和最佳實(shí)踐流程的專用大模型。基于自然語言的交互式安全運(yùn)營,依托于云端強(qiáng)大的算力、架構(gòu)、安全實(shí)踐的能力,結(jié)合實(shí)際場(chǎng)景和安全數(shù)據(jù)進(jìn)行預(yù)訓(xùn)練,構(gòu)建安全大模型基座。通過采集來自端、網(wǎng)端的海量網(wǎng)絡(luò)安全威脅數(shù)據(jù),以及其他合法來源的網(wǎng)絡(luò)安全百科知識(shí)等,進(jìn)行數(shù)據(jù)清洗、數(shù)據(jù)擴(kuò)充、數(shù)據(jù)配比融合,形成高質(zhì)量完備的安全行業(yè)數(shù)據(jù)。經(jīng)過行業(yè)數(shù)據(jù)進(jìn)行增量預(yù)訓(xùn)練和指令微調(diào),打造具備安全問答、上下文理解、產(chǎn)品數(shù)據(jù)聯(lián)動(dòng)、服從合規(guī)原則的安全原始大模型。
圖1 整體架構(gòu)圖
3 技術(shù)亮點(diǎn)
自主運(yùn)營值守基于場(chǎng)景化運(yùn)營工作實(shí)踐經(jīng)驗(yàn),將資產(chǎn)梳理、加固預(yù)防、監(jiān)測(cè)研判、調(diào)查處置、聯(lián)動(dòng)處置、情報(bào)查詢及溯源總結(jié)等方面的工作能力流程化,并能使安全專員可以通過自然語言與安全大模型進(jìn)行交互,通過快速問答的方式,調(diào)動(dòng)對(duì)應(yīng)的工具、人員和流程完成安全運(yùn)營的輔助駕駛,提升安全運(yùn)營效率,將安全響應(yīng)單安全事件的處置時(shí)間壓縮到1分鐘以內(nèi),提升網(wǎng)絡(luò)空間安全對(duì)抗響應(yīng)和處置效能。安全GPT可以提供基于思維鏈的運(yùn)營值守和研判處置能力,進(jìn)行托管式值守,支持7x24小時(shí)實(shí)時(shí)在線自動(dòng)研判,代替安全運(yùn)營人員做資產(chǎn)、漏洞的排查和管理等工作。
具體應(yīng)用技術(shù)如下:
(1)大模型自主值守研判技術(shù)
值守總覽提供當(dāng)前自主值守的研判處置結(jié)果統(tǒng)計(jì)信息,包括自有設(shè)備與第三方設(shè)備產(chǎn)品接入數(shù)量展示,可點(diǎn)擊跳轉(zhuǎn)具體展示界面進(jìn)行查看與配置,同時(shí)可顯示離線&告警設(shè)備情況、系統(tǒng)資源狀態(tài)。同時(shí),值守總覽還包括值守狀態(tài)整體監(jiān)控,可基于時(shí)間自定義篩選,支持展示各類組件的告警數(shù)量、GPT告警消減后的有效告警數(shù)量與自動(dòng)處置告警數(shù)、人工決策告警數(shù),點(diǎn)擊后可跳轉(zhuǎn)告警值守中心查看詳情。同時(shí)可查看告警效應(yīng)率、累計(jì)處置威脅實(shí)體數(shù)、待決策告警數(shù)、GPT告警消減率和累計(jì)節(jié)省研判用時(shí)等。
(2)基于思維鏈的大模型自主告警研判技術(shù)
告警值守中心支持實(shí)時(shí)告警分析,可實(shí)現(xiàn)思維鏈處置過程追溯,24小時(shí)不間斷自動(dòng)分析、實(shí)時(shí)值守,可結(jié)合數(shù)據(jù)包解讀、周期檢測(cè)、資產(chǎn)分析、威脅情報(bào)分析和基礎(chǔ)信息分析等維度輸出研判處置思考過程,針對(duì)人工決策告警支持自動(dòng)給出具體處置建議,針對(duì)自動(dòng)處置告警支持直接實(shí)現(xiàn)自動(dòng)處置并展示處置狀態(tài)。
(3)攻擊行為分析和威脅定性技術(shù)
在面對(duì)海量告警的時(shí)候,運(yùn)維人員無法對(duì)告警進(jìn)行一一研判,可能導(dǎo)致關(guān)鍵告警被忽略,這其中大部分告警屬于低價(jià)值的業(yè)務(wù)誤報(bào)、自動(dòng)化掃描,這些告警量大、價(jià)值低,嚴(yán)重拖累處置效率,真正需要關(guān)注的病毒類、手動(dòng)攻擊告警量反而占比少。威脅定性就是通過業(yè)務(wù)誤報(bào)識(shí)別、病毒行為識(shí)別、人機(jī)行為識(shí)別及結(jié)合云端強(qiáng)大的威脅情報(bào)庫,對(duì)告警進(jìn)行類型定性,以達(dá)到更高的處置效率。
(4)基于威脅圖譜的攻擊過程還原技術(shù)
首先通過Provenance Graph溯源圖對(duì)海量數(shù)據(jù)中時(shí)間、資產(chǎn)、網(wǎng)絡(luò)、情報(bào)等多因子進(jìn)行關(guān)聯(lián),形成初始的攻擊故事鏈——威脅圖譜。
其次基于告警統(tǒng)計(jì)、時(shí)序、語義、情報(bào)、關(guān)聯(lián)等維度上下文,結(jié)合攻擊成功檢測(cè),精準(zhǔn)判斷攻擊是否已經(jīng)成功。對(duì)告警進(jìn)行自動(dòng)化分類,并評(píng)估其威脅等級(jí),降低誤報(bào)對(duì)安全運(yùn)營人員的干擾。針對(duì)不同場(chǎng)景,靈活采用了強(qiáng)關(guān)聯(lián)或弱關(guān)聯(lián),通過ATT&CK技戰(zhàn)術(shù)因果關(guān)系、時(shí)間順序、威脅場(chǎng)景等關(guān)聯(lián),發(fā)現(xiàn)最合理的數(shù)據(jù)關(guān)聯(lián)關(guān)系,幫助安全運(yùn)營人員高效快速的研判威脅。
(5)自動(dòng)化響應(yīng)處置技術(shù)
應(yīng)用SOAR技術(shù)架構(gòu),根據(jù)不同的安全事件可自行靈活地編排不同的處置流程,將安全運(yùn)營相關(guān)的技術(shù)、流程和人員等各種能力整合在一起工作。
當(dāng)安全組件中產(chǎn)生安全事件并同步到安全事件編排與響應(yīng)組件之后,會(huì)在響應(yīng)中心的安全事件列表產(chǎn)生對(duì)應(yīng)的數(shù)據(jù),此時(shí)可觸發(fā)劇本的執(zhí)行,并將待執(zhí)行任務(wù)同步到應(yīng)用管理中,應(yīng)用管理通過劇本中具體的動(dòng)作以及應(yīng)用資源,通過對(duì)應(yīng)的調(diào)用方式,例如API、SSH、命令行等,調(diào)用具體的實(shí)例執(zhí)行動(dòng)作,并最終由任務(wù)管理將動(dòng)作執(zhí)行的情況同步到事件列表中完成事件狀態(tài)的更新。
(6)基于大模型的值守研判報(bào)告生成技術(shù)
安全GPT自主值守過程產(chǎn)生的安全報(bào)告將集中展示在報(bào)告中心中,支持按照自定義時(shí)間生成報(bào)告,可基于日?qǐng)?bào)、周報(bào)、月報(bào)、自定義等維度篩選查詢報(bào)告。報(bào)告列表展示上,屬性內(nèi)容包括按照?qǐng)?bào)告名稱、報(bào)告創(chuàng)建時(shí)間、時(shí)間范圍、報(bào)告類型、操作等維度展示報(bào)告詳情。報(bào)告內(nèi)容上,包含資產(chǎn)總覽、威脅總覽(含安全事件分析、影響資產(chǎn)分析與調(diào)查、安全告警值守等內(nèi)容)。
4 應(yīng)用效果
截至本文編纂時(shí)間,現(xiàn)有自助值守系統(tǒng)已為上海市肺科醫(yī)院守護(hù)超過245天,分析網(wǎng)絡(luò)側(cè)及終端側(cè)各類告警超72178條,有效告警超426條,其中已自動(dòng)處置341條,需人工決策告警85條。GPT告警消減率99.41%,累計(jì)節(jié)省研判用時(shí)1203小時(shí)以上。
圖2 值守總覽
告警危害等級(jí)分布如下圖所示,其中嚴(yán)重告警占比1.22%,高危告警占比21.81%,中危告警占比23.96%。
圖3 危害等級(jí)分布
告警攻擊類型分布排名前五的分別為:遠(yuǎn)程執(zhí)行、違規(guī)訪問、釣魚網(wǎng)站、遠(yuǎn)程控制行為以及隱秘隧道,攻擊類型分布較多,呈分散態(tài)勢(shì)。
圖4 攻擊類型分布TOP5
5 總結(jié)
本院人工智能技術(shù)在賦能網(wǎng)絡(luò)安全并實(shí)現(xiàn)自主值守方面的實(shí)踐效果顯著,通過運(yùn)用機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析技術(shù),AI可以實(shí)時(shí)監(jiān)控和深度挖掘網(wǎng)絡(luò)流量、系統(tǒng)日志等海量數(shù)據(jù),模擬專家的決策思維鏈,對(duì)潛在的安全威脅進(jìn)行智能研判。AI能自動(dòng)識(shí)別異常行為模式,如未經(jīng)授權(quán)的數(shù)據(jù)訪問、非正常時(shí)間段的操作行為等,并根據(jù)預(yù)設(shè)的風(fēng)險(xiǎn)評(píng)估模型,快速準(zhǔn)確地判斷出可能的安全風(fēng)險(xiǎn)等級(jí),及時(shí)預(yù)警。同時(shí)在自動(dòng)處置層面,一旦發(fā)現(xiàn)外網(wǎng)安全威脅或事件,AI系統(tǒng)能夠立即啟動(dòng)自動(dòng)化響應(yīng)機(jī)制。通過自我學(xué)習(xí)和訓(xùn)練,不斷提升對(duì)新型攻擊手段的識(shí)別能力,實(shí)現(xiàn)對(duì)外網(wǎng)攻擊的精準(zhǔn)定位與攔截。同時(shí),對(duì)于已知類型的威脅,AI可以基于策略自動(dòng)隔離受影響的系統(tǒng),阻斷病毒傳播路徑,或封堵外網(wǎng)惡意IP,保障業(yè)務(wù)正常運(yùn)行。
整體來看,人工智能在醫(yī)院網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用,不僅減輕了醫(yī)院運(yùn)維人員的工作壓力,提升了工作效率,也極大增強(qiáng)了醫(yī)院網(wǎng)絡(luò)環(huán)境的整體安全性,為醫(yī)療信息化建設(shè)提供了堅(jiān)實(shí)保障。
申報(bào)單位:上海市肺科醫(yī)院
聯(lián)合申報(bào)單位:深信服科技股份有限公司
案例賽道:網(wǎng)絡(luò)安全創(chuàng)新
案例業(yè)務(wù)領(lǐng)域:其他
