近些年來,隨著網(wǎng)絡(luò)攻防對抗不斷演化升級,人工智能在網(wǎng)絡(luò)空間安全領(lǐng)域的應(yīng)用也逐步展開。人工智能因其智能化與自動化的識別及處理能力、強大的數(shù)據(jù)分析能力,已成為網(wǎng)絡(luò)攻防的核心關(guān)鍵技術(shù)之一,并持續(xù)為自動化網(wǎng)絡(luò)攻防提供助力。
在攻擊面管理中,一些場景已經(jīng)充分應(yīng)用了人工智能技術(shù);同時還有一些人工智能的應(yīng)用場景處于探索發(fā)展階段,例如人工智能在指紋識別、路徑?jīng)Q策、攻擊過程數(shù)據(jù)的分析等,今天我們來對這些尚處于探索階段的應(yīng)用先睹為快。
人工智能在指紋識別方面的應(yīng)用
網(wǎng)絡(luò)資產(chǎn)探測識別指追蹤、掌握網(wǎng)絡(luò)資產(chǎn)情況的過程。從安全攻擊的角度看,網(wǎng)絡(luò)資產(chǎn)探測識別可用于滲透(或攻擊)前的信息收集,了解目標網(wǎng)絡(luò)內(nèi)主機的操作系統(tǒng)類型、開放端口以及所運行的應(yīng)用程序類型與版本信息。準確掌握目標網(wǎng)絡(luò)的安全狀況,有助于選取高效的攻擊方法。
在網(wǎng)絡(luò)資產(chǎn)探測識別的人工智能應(yīng)用方面,華云安引入機器學習、深度學習等方法進行操作系統(tǒng)指紋識別,可以在較短時間,實現(xiàn)基于協(xié)議棧指紋的操作系統(tǒng)被動識別,大幅提高未精確匹配指紋的識別率,從而彌補和提高基于規(guī)則庫的操作系統(tǒng)指紋識別速度和準確性
常用的操作系統(tǒng)指紋識別特征有:IP頭中的總長度(toG tallength)、標志(ID)、是否分片(DF)、生存時間(TTL)字段等,TCP頭中的可選項,TCP 頭部的窗口大小(wsize)、可選項等,以及ICMP、UDP協(xié)議指紋、SYN-ACK 包重傳時延等
在匹配方法上,除了最基礎(chǔ)的精確匹配外,考慮到網(wǎng)絡(luò)延時、動態(tài)配置等現(xiàn)實因素,類似正則表達式的模糊匹配方法也被廣泛應(yīng)用,如目前最新版的 p0fv3指紋庫將操作系統(tǒng)指紋分為兩類(specified,generic),增加了用于模糊匹配的g類,在s類無法精確匹配的情況下,為避免直接給出未知的結(jié)果,對 mss,wsize,scale等字段均允許使用“∗”進行模糊匹配,進而粗略地給出目標操作系統(tǒng)所屬的大類;SinFP中的啟發(fā)式匹配機制也是一種分層次的模糊匹配
使用機器學習模型對操作系統(tǒng)屬性值(端口、IPID、TTL、Do not Fragment、MSS、No operation、Selective Acknowledgement、Window scale 和 Window size等等參數(shù))進行分類訓練,以 94% 的概率正確識別操作系統(tǒng),進而提高指紋識別規(guī)則匹配的檢出率和準確率等。同時還有些其他問題未得到解決,如由于各個操作系統(tǒng)版本使用相同屬性值的問題,無法對版本進行具體分類預(yù)測等。
人工智能在路徑?jīng)Q策方面的應(yīng)用
智能決策技術(shù)主要包含智能路徑?jīng)Q策和智能攻擊決策,采用強化學習等技術(shù),即根據(jù)目標資產(chǎn)的操作系統(tǒng)、資產(chǎn)承載的應(yīng)用,資產(chǎn)與其他資產(chǎn)的互聯(lián)情況,資產(chǎn)所在的網(wǎng)絡(luò)環(huán)境、漏洞、漏洞利用的易用性、漏洞利用的穩(wěn)定性、漏洞利用的隱秘性、攻擊過程產(chǎn)生的可用數(shù)據(jù)以及平臺指令等等參數(shù)通過強化學習模型(Q-learning+其他)和多層多區(qū)域異步的Asynchronous Advantage Actor-Critic強化學習算法進行路徑?jīng)Q策以及攻擊決策
智能模型所需要關(guān)鍵數(shù)據(jù)如下:
主機關(guān)鍵信息:IP地址、開放端口、服務(wù)及版本號、操作系統(tǒng)及版本號、MAC地址、網(wǎng)卡信息
漏洞關(guān)鍵信息:漏洞編號(CVE)、漏洞類型、風險等級、CVSS、漏洞影響、漏洞年份、PoC、Exp、利用難易度、利用的穩(wěn)定性、利用的隱秘性、權(quán)限、是否可以獲取二次利用數(shù)據(jù)等等
操作系統(tǒng)信息:操作系統(tǒng)類型、系統(tǒng)版本
應(yīng)用系統(tǒng)關(guān)鍵信息:應(yīng)用系統(tǒng)、系統(tǒng)版本、系統(tǒng)類型、系統(tǒng)覆蓋面
網(wǎng)絡(luò)關(guān)鍵信息包含:網(wǎng)絡(luò)位置、與其他資產(chǎn)互聯(lián)情況
人工智能在數(shù)據(jù)分析方面的應(yīng)用
在攻擊利用過程中Bot會產(chǎn)生一些數(shù)據(jù),除上述五類數(shù)據(jù)外,還會從目標機器上二次信息收集,例如賬號/密碼、hash、域控相關(guān)、目標機器上存儲的可二次利用的數(shù)據(jù)等等,以上數(shù)據(jù)回傳到靈刃® 智能化滲透攻防系統(tǒng)Ai.Bot上,靈刃平臺的上不同功能的數(shù)據(jù)分析模型引擎對以上類型的數(shù)據(jù)分別進行處理、分析、訓練、再處理、預(yù)測、決策等最后形成指令或者數(shù)據(jù),為Bot進行下一步的攻擊/測試提供決策、信息、數(shù)據(jù)支撐;同時Bot對目標進行下一步行動時獲取的數(shù)據(jù)/信息再次回傳至平臺,如此相輔相成,從而實現(xiàn)Bot漏洞組合智能化或者自動化,自我調(diào)優(yōu)、自適應(yīng)新環(huán)境、智能攻擊決策、智能路徑?jīng)Q策。
