2019年11月7日，騰訊Techo開發(fā)者大會在京舉辦，云安全技術與應用分論壇上，來自騰訊安全平臺部的安全策略專家聶利權分享了對企業(yè)安全運營現(xiàn)狀的思考，并介紹了騰訊安全治理平臺通過智能威脅研判，助力網(wǎng)絡安全運營提效的探索和實踐。

圖：騰訊安全平臺部安全策略專家 聶利權

企業(yè)安全運營效能難題：威脅感知與運營處置

產(chǎn)業(yè)互聯(lián)網(wǎng)時代，近幾年各行各業(yè)都在不斷升級自己的信息基礎設施，傳統(tǒng)企業(yè)對安全的投入也日益增加。而在黑客手法持續(xù)升級和業(yè)務發(fā)展效益至上的背景下，企業(yè)也面臨著安全運營效能與運維成本的難題。

“傳統(tǒng)安全策略難以平衡覆蓋率，和準確率和告警量過大導致運營效率低下的問題尤為突出。”聶利權提到，在企業(yè)日常安全運營，尤其是大型重點活動安全保障期間，“寧肯錯殺，不可漏過”的防護策略逐漸成為常態(tài)，容易對業(yè)務造成誤傷。另外，重保時期系統(tǒng)平臺可能在短時間內(nèi)涌現(xiàn)大量安全告警，為此企業(yè)通常需要花費大量安全運維成本來進行響應處置。

針對企業(yè)安全運營的兩大難題，騰訊安全治理平臺(以下簡稱“天幕”)基于自研實時全流量分析平臺及內(nèi)部沉淀的海量告警樣本，訓練部署了智能威脅研判引擎，從“智能感知”和“智能運營”兩方面入手，借助深度學習、異常檢測以及無監(jiān)督聚類等方法，輔助企業(yè)整體提升安全運營效能，真正實現(xiàn)降本增效。

智能感知：自動捕獲細微異常行為，協(xié)助業(yè)務及時止損

高級攻擊手法往往缺乏顯著的黑特征，傳統(tǒng)攻擊檢測方案對此類惡意行為難以識別和防御，或僅能針對特定服務作風險特征適配。而騰訊天幕基于海量且多維的威脅樣本庫，結合無監(jiān)督異常檢測算法，有效增強了對細微行為異常的感知能力。

“正常的用戶總是相似的，而異常的用戶各有各的異常。”據(jù)聶利權介紹，通過AI算法的深度應用，天幕智能威脅研判引擎把細微的訪問行為聚類在一起，從而顯現(xiàn)和放大攻擊者的作惡意圖。此外，借助實時和離線結合的多維深度學習模型，平臺能夠從零散的弱威脅告警中關聯(lián)挖掘出高階安全事件，如識別異常流量中的Web攻擊變種繞過等，從而發(fā)現(xiàn)潛在高風險行為。

基于智能感知能力，天幕在某客戶的版權內(nèi)容盜版、多源低頻密碼暴破等實踐案例上都第一時間捕獲了作惡者的異常行為，成功幫助客戶業(yè)務及時止損，并獲得客戶致謝。

智能運營：AI自動化聚類處置，幫助企業(yè)提效創(chuàng)益

在智能運營方面，聶利權認為，有效的威脅運營是企業(yè)安全防護的關鍵一環(huán)。當前企業(yè)每日安全告警中大約有98%的無效告警，對無效告警或低價值威脅告警的人力投入，是對企業(yè)運維成本的巨大虛耗。而傳統(tǒng)的告警歸并方案，對于關鍵字段存在持續(xù)變換的參數(shù)值時無能為力，且隨著威脅檢測策略的增多，歸并規(guī)則的維護成本也不斷增加。

為更好地解決當前相似告警重復判斷的問題，天幕通過智能聚類算法將相似告警聚合，不但能達到遠優(yōu)于傳統(tǒng)方案的歸并效果，還能有效挖掘出同類攻擊者行為，便于更高層的安全事件抽象和分析。

當前，天幕已結合AI+可視化技術升級了產(chǎn)品形態(tài)，提供威脅等級區(qū)分、批量告警一鍵處置等功能，便于運維人員高效開展威脅處置工作。此外，天幕將核心威脅管控能力API化，支持第三方檢測設備協(xié)同聯(lián)動，能夠在企業(yè)網(wǎng)絡架構中與已有安全產(chǎn)品無縫銜接，整體提升企業(yè)的安全運營效率，幫助客戶節(jié)流增效。

騰訊安全AI深度應用，為企業(yè)智能化運營“打輔助”

安全運營的科技化、精細化、智能化升級已成為行業(yè)共識。作為騰訊原生安全的底層基礎架構，天幕的自研智能威脅研判能力，已經(jīng)深度應用在泛金融、汽車、泛互聯(lián)網(wǎng)等的企業(yè)網(wǎng)絡安全架構中，持續(xù)輸出智能化的網(wǎng)絡數(shù)據(jù)實時分析和阻斷能力，為外部客戶和內(nèi)部自研業(yè)務提供日常運營及重點保障安全服務。騰訊天幕將持續(xù)打磨和升級安全AI能力，為企業(yè)網(wǎng)絡安全運營提效打好輔助，繼續(xù)攜手合作伙伴共建產(chǎn)業(yè)互聯(lián)網(wǎng)安全生態(tài)。