首頁 > 關于我們 > 新聞動態 > 深度解讀

天闐AI智能體:智檢測,慧守護

發布時間 2024-05-14

自從ChatGPT發布以來,圍繞大模型的討論愈演愈烈,個人、企業乃至國家都陷入了深刻的變革中。它的影響力已經遠超技術范疇,成為全球技術、產業和國際競爭的綜合戰場。然而,大模型的實際落地并非一帆風順,從行業數據的收集到實際應用場景的結合,每一步推進都面臨著諸多挑戰。本文介紹啟明星辰基于L1安全大模型構建的L2威脅檢測應用場景(天闐AI智能體)。


大語言模型(LLM)通過提示工程,如零樣本學習、少樣本學習、思維鏈等方法展示了不錯的生成和推理能力。


然而,上述方法一方面是靜態的黑箱模式,模型使用預訓練的自身內部知識產生思維過程,并未立足于外部真實世界;另一方面,大部分開源LLM在垂直領域(如網絡安全)的專業能力有限,使得其在解決行業復雜問題的時候能力不足。因此,基于LLM的AI智能體(AI Agent)應運而生。



AI智能體框架介紹



LLM-based Agent framework


根據OpenAI AI應用研究主管Weng Lilian的介紹,基于LLM構建的AI智能體應該包含記憶(Memory)、規劃(Planning)、工具使用(Tools and Action)三大關鍵能力。


① 記憶能力:包括短期記憶和長期記憶兩種。例如,上下文學習(In-Context Learning)可以被視為短期記憶,外部知識庫可以被視為長期記憶,Agent可以利用記憶模塊來緩解幻覺現象。


② 推理規劃能力:包括任務拆解和自我反思兩類。例如,Agent可以利用思維鏈等方法將復雜困難的任務拆分為多個簡單的子任務,一步一步解決;同時,Agent也能夠根據過程反饋、記憶反饋、環境反饋,通過自我反思等方式吸取錯誤教訓,改進最終的輸出質量。自我反思不需要通過有監督微調(SFT)或者增量預訓練的方式更新LLM的權重網絡,讓LLM本身或者其他的LLM審視并修正自己生成的輸出。


③ 工具使用能力:Agent能夠根據prompt理解意圖,按照需要調用不同工具(例如:搜索引擎、代碼執行、科學計算等外部工具的API接口),擴展和補充其應用能力。工具使用不僅是人類智能的體現,也是純LLM和AI Agent的重要區別,因為純LLM更擅長“動腦”,而AI Agent不僅能“動腦”也能“動手”。


斯坦福大學的吳恩達教授也在研究中發現基于GPT-3.5構建的智能體在應用中表現比純GPT-4更優。因此,基于AI智能體的設計模式對于工業界的行業應用非常有啟發,可以利用開源LLM實現“以小博大”的效果。


同時,他在研究中提出反思(Reflection)、工具使用(Tool Use)、規劃(Planning)多智能體協作(Multi-agent Collaboration)四種AI智能體的應用設計模式,并指出目前Reflection模式和Tool Use模式已經被廣泛接受和應用了。 



天闐AI智能體



天闐AI智能體是以“智檢測,慧守護”為理念,基于啟明星辰安全大模型構建的一個立體感知、全域協同、精準判斷、持續進化、開放的智能檢測防御能力實體。


天闐AI智能體由安全大模型和各種專用小模型組成,智能調度各類檢測單元,同時結合結構化或非結構化知識數據,對各類攻擊事件進行提煉總結,推理生成檢測規則、專殺工具、欺騙誘捕等動態防御策略,為安全檢測和響應產品注入了一顆“AI芯”。




三大應用場景



天闐AI智能體應用在“智能威脅檢測、智能威脅分析、智能威脅防御”三大場景中。

智能威脅檢測場景


依據不同檢測場景智能化調度各種檢測工具和算法,天闐AI智能體可大幅度提高檢測精準度和整體檢測性能。


1、Web攻擊威脅檢測


規則匹配、詞法語法檢測、機器學習模型檢測是當前Web攻擊檢測的三個重要手段,然而每種手段都有其獨特的優勢和不足。


天闐AI智能體可對用戶側業務流量進行智能感知,避免用戶業務流量的誤報,靈活采用最新Web攻擊檢測模型進行檢測。同時不斷從海量的攻擊數據中學習和優化模型,提高對高對抗Web攻擊流量的檢測能力。


2、加密流量檢測


針對加密流量的檢測一直是業界關注的重點和難點之一。


天闐AI智能體利用業界先進的AI多模型綜合決策技術,能有效檢測ICMP、DNS、HTTP、HTTPS、SSH、TCP等多種協議的200余種攻擊工具,對于魔改變形的工具檢測率也能達到90%以上,并能結合用戶業務環境進行流量自學習,最大限度降低對用戶自有加密業務的誤報;在加密流量告警后,還能依據報警上下文智能關聯是否有其他已知告警,結合攻擊者或C2的富化情報信息,給出告警精準度判斷。


3、惡意文件檢測


沙箱檢測是一種基于虛擬機的惡意代碼分析技術,但由于硬件條件限制、樣本量大等原因,沙箱產品往往會存在樣本執行不完全,高級威脅樣本繞過等問題。


天闐AI智能體通過學習用戶環境的樣本來源、樣本基礎信息等判斷樣本包含惡意代碼的可能性,實現對于無危害來源樣本的自動放過。還可對疑似APT攻擊樣本進行深度養殖,解決高對抗樣本的繞過問題。在產生告警后,再結合端側日志、樣本來源等智能推薦出用戶需要關注的高價值樣本,讓用戶面對專業的樣本檢測報告不再束手無策。


4、異常行為檢測


近年來,越來越多的攻擊正在朝著“APT化”發展,攻擊者100%會突破防線進入受害者網絡,“守不住”逐漸成為正?,F象。但再高級的攻擊都會產生網絡流量和終端日志,基于歷史流量和日志的異常行為檢測成為發現未知攻擊的重要手段。但現有的異常行為檢測普遍面臨著誤報高無法研判,面對新攻擊模式無法檢出等問題。


天闐AI智能體通過對內部業務環境的立體感知,利用機器學習、統計模型等工具構建正常業務行為的模型,及時發現與之不符的異常行為。同時,智能體基于LLM構建,不僅具備出色的上下文理解和語義分析能力,還能針對新攻擊模式無法檢出的難題,結合云邊端引入多維度特征,提高檢測準確性,以應對不斷變化的新威脅。


智能威脅分析場景


在各種檢測工具、算法生成告警結果后,天闐AI智能體會利用LLM的推理總結能力對這些檢測結果進行“深加工”,幫助安全人員更好地了解攻擊事件的本質、來源和潛在影響。


1、攻擊過程還原與攻擊事件提煉


安全告警的數量和復雜性不斷增長,對檢測結果的分析構成了巨大的挑戰。如何從海量告警中挖掘出需要用戶關注的有效事件是當前安全行業探索的重要技術方向。


天闐AI智能體基于檢測告警的周期性、攻擊相關性,告警載荷的相似性等智能聚類相似告警,最大限度降低業務造成的反復誤報。同時還會基于ATT&CK攻擊框架,利用大模型的邏輯推理能力將不同階段的有效告警關聯起來,還原攻擊過程,并最終提煉出可直接用自然語言描述的攻擊事件。


2、檢測報告生成


在提煉出攻擊事件以后,天闐AI智能體可基于大模型的總結能力,串聯分析整個攻擊過程,進行根因精準定位,提供完整的攻擊入口分析、影響范圍、攻擊者、受害者分析以及處置建議等報告內容。


同時還可對數據包中的關鍵載荷和上下文進行深度分析,分析結果不僅以圖形化的方式清晰展示分析邏輯,還支持通過自然語言進行連續追問,提供詳細的解釋和更多的信息,使得安全人員能夠更深入地了解告警的詳細情況和背后的原因。


3、未知威脅自動化狩獵


任何安全產品都不可能100%檢測出所有攻擊,基于網、端數據的威脅狩獵是解決這一問題的有效途徑。然而威脅狩獵工作一般需要有若干年經驗的高級安全工程師費時費力進行,最后往往還一無所獲。


天闐AI智能體有效解決了這一難題,當用戶輸入一個攻擊線索時,智能體可以利用大模型的思維鏈以及推理能力,結合langchain框架和自定義取證工具自動向前向后查找與該線索有時間關系、攻擊上下文關系的其他網絡流量或終端進程文件信息,并將這些信息按照時間線形式統一呈現給用戶。查找到的數據還可以進一步上傳到云端進行威脅鑒定,完成從威脅狩獵到結果鑒定的全自動化。通過自動化威脅狩獵,即使是小白用戶也能找到0day漏洞。


智能威脅防御場景


在對檢測結果進行“深加工”后,天闐AI智能體能對確定性攻擊事件中的攻擊者、受害者智能生成防御策略,對發現的未知威脅自動生成檢測策略,完成檢測與響應的自動化閉環。


1、檢測與防御策略生成


借助大模型的代碼生成能力,天闐AI智能體可自動生成流量檢測規則、文件檢測規則以及終端行為檢測規則,基于樣本報告自動生成樣本專殺等。除了被動檢測以外,主動誘捕也是威脅防御的重要一環。智能體可根據用戶資產自動化生成仿真環境,并在仿真環境中自動化生成偽造響應,同時還能根據用戶輸入自動化生成釣魚誘餌。


2、檢測與防御策略下發


在生成了檢測和防御策略之后,天闐AI智能體還能自動化調用各類能力,如訪問控制、黑白名單、終端隔離、應用層規則等,防止攻擊進一步發展。


天闐AI智能體依托大模型的記憶、推理規劃、工具調用等能力,實現了對各種小模型的協同調用,把AI能力融入到威脅檢測與響應的各個環節,實現了威脅檢測產品的自動駕駛。

上一篇 下一篇