首頁 > 關于我們 > 新聞動態 > 產品動態

DeepSeek賦能啟明星辰XDR:從狩獵先知到戰術推演

發布時間 2025-02-27

“讓每一句人機對話都安全可信,讓每一次智能交互都風險可控——這是屬于AI時代的安全承諾。 —— 啟明星辰”



前言:


據Gartner統計,2023年企業安全團隊平均需處理3.2萬條/日告警,其中72%為噪音數據。面對APT攻擊平均潛伏期長達56天的嚴峻現實,傳統依賴人工的攻擊事件處理模式已顯疲態。啟明星辰安星威脅檢測智能體接入推理型大模型DeepSeek,推動XDR系統實現威脅狩獵-攻擊鏈還原-攻擊預測三大核心能力的范式躍遷。


在網絡安全檢測領域,對于攻擊事件的全生命周期管理一直被視為是一項需要高端安全專家才能完成的工作:安全專家通常在發現攻擊線索后先進行攻擊鏈還原,再對還原結果的缺失攻擊步驟進行威脅狩獵,最后還要對攻擊者的下一步攻擊做出預判,防止影響面進一步擴大。這種貫穿“事前-事中-事后”的對抗推演,長期以來高度依賴安全專家的經驗積累,其過程費時費力。


面對越來越多的高級持續性威脅(APT)等復雜攻擊,單純依靠人力的方式已經難以滿足實際需求,而推理型大模型(如DeepSeek R1)的出現,為這項復雜工作的自動化提供了可能。


技術突破:大模型重構安全推理范式


1.更擅長演繹與歸納推理


推理型大模型擅長解決謎題、數學證明等需要邏輯推理的任務,能夠通過已知規則或數據模式推導出結論,推理型大模型的出現使得大模型從一個更擅長作詩的“文科生”變為能處理復雜計算任務的“理科生”。


2.擅長對復雜任務進行分步推理


推理型大模型能夠將復雜問題分解為多步驟求解,逐步解決,適合需要系統性分析的場景。


3.更擅長復雜決策任務


推理型大模型在權衡多因素、多目標的場景中表現優異,能夠模擬人類深度思考過程。


通過集成DeepSeek R1等推理型大模型,XDR實現了從威脅狩獵、攻擊鏈還原到攻擊預測的全鏈路“智能化”升級,將安全專家的經驗沉淀為可復用的邏輯推理框架,顯著提升對抗APT等復雜攻擊的效率。


實戰進化:從被動響應到預見性防御


1.威脅狩獵能力:分步驟引導安全人員驗證攻擊假設


在威脅狩獵環節,推理型大模型通過分步演繹與假設驗證機制,將傳統依賴專家經驗的非結構化狩獵過程轉化為可交互的引導式流程。例如:


    ? 假設生成:基于ATT&CK戰術庫和實時告警,模型自動生成可能存在的攻擊步驟假設。


    ? 線索驗證:結合XDR聚合的網絡、端點、云日志數據,模型對假設進行多維度交叉驗證。


    ? 動態修正:當部分假設被證偽時,繼續動態調整搜索方向,循環往復。


2.攻擊鏈還原能力:基于演繹推理去除噪音告警


面對多源告警中存在的碎片化與誤報問題,推理型大模型通過因果邏輯演算實現XDR攻擊鏈的精準重構:


    ? 時序推理:建立ATT&CK技術間的因果依賴模型,自動過濾違反攻擊邏輯的告警。


    ? 上下文增強:將孤立告警與MITRE戰術標簽、漏洞利用條件、主機資產關鍵性等維度進行邏輯關聯,生成帶置信度評分的攻擊鏈圖譜。


    ? 去除噪音能力:針對攻擊者故意插入的干擾行為,通過分析操作序列的統計學異常特征,有效剝離噪音數據。


3.攻擊預測能力:多路徑推演防御優先級


在攻擊預測階段,推理型大模型模擬攻擊者可能的后續路徑,為XDR聯動其他防御產品提供依據:


    ? 戰術推演:基于當前攻擊階段,推理型大模型遍歷ATT&CK戰術庫中所有可達路徑,自動生成后續攻擊步驟的可能性分布。


    ? 影響面評估:結合資產指紋庫與業務拓撲圖,預測不同攻擊路徑對關鍵系統的影響范圍。


    ? 動態防御策略調整:借助推理型大模型的策略生成能力,XDR能夠智能調動防火墻、入侵防御系統(IPS)、主動欺騙防御系統等產品,實現動態防御策略的智能化調整。


自主狩獵過程如下:


圖片1.png

啟明星辰XDR可自動還原攻擊故事線,實現完整路徑呈現、全攻擊階段覆蓋、完整攻擊歷史復盤、網端關聯分析?;诠魰r序關聯,還原完整攻擊時間線,攻擊開始和結束時間一目了然。隨著DeepSeek推理型大模型能力的進一步進化,啟明星辰XDR通過客戶局點實戰化部署,將逐步實現攻擊行為模式自動化推演、動態防御策略自動調整等高階能力,從而構建具備自主攻防推演能力的下一代智能防御體系。

上一篇 下一篇