人工智能賦能安全應(yīng)用案例集

1 11.1全球人工智能技術(shù)與產(chǎn)業(yè)發(fā)展 1.2全球人工智能戰(zhàn)略法規(guī)布局 21.3人工智能相關(guān)標(biāo)準(zhǔn)規(guī)范 52.1人工智能時(shí)代網(wǎng)絡(luò)空間安全新特點(diǎn) 2.2人工智能時(shí)代網(wǎng)絡(luò)空間安全新挑戰(zhàn) 2.3人工智能賦能安全的新需求 83.1通信網(wǎng)絡(luò)安全篇 3.1.1身份認(rèn)證 3.1.2惡意代碼分析 3.1.3惡意域名檢測(cè) 213.1.4惡意流量識(shí)別 293.1.5智能安全運(yùn)維 303.1.6異常檢測(cè) 333.1.7威脅情報(bào) 513.1.8態(tài)勢(shì)感知 593.2內(nèi)容安全篇 683.2.1騷擾詐騙電話檢測(cè) 683.2.2惡意網(wǎng)頁識(shí)別 763.2.3手機(jī)惡意軟件檢測(cè) 3.2.4視頻行為安全 3.3數(shù)據(jù)安全篇 3.3.1數(shù)據(jù)分級(jí)分類 3.3.2數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估 963.3.3數(shù)據(jù)防泄漏 993.4業(yè)務(wù)安全篇 3.4.1物聯(lián)網(wǎng) 3.4.2工業(yè)互聯(lián)網(wǎng) 3.5終端安全篇 1111前言式變革。特別是在網(wǎng)絡(luò)空間安全防護(hù)領(lǐng)域，信息治理、騷擾詐騙電話檢測(cè)、灰黑產(chǎn)識(shí)別生了顯著的溢出效應(yīng)。為探索解決行業(yè)安全應(yīng)用前沿問題，打造AIinSecurity（人工智能賦能安全）最佳提升網(wǎng)絡(luò)空間智能安全防護(hù)水平，特編制本本案例集以“人工智能賦能安全，共筑智慧網(wǎng)絡(luò)新未來”為核心思想，首先從技術(shù)發(fā)展、戰(zhàn)略布局、標(biāo)準(zhǔn)制定等方面，闡釋了人工智能技術(shù)和產(chǎn)業(yè)的能新優(yōu)勢(shì)兩個(gè)維度，分析了人工智能賦能安全踐，分為通信網(wǎng)絡(luò)安全、內(nèi)容安全、數(shù)據(jù)安全、網(wǎng)絡(luò)空間安全的具體應(yīng)用模式和工作案例；最望，倡議產(chǎn)業(yè)各方開放合作，積極推動(dòng)人工智1人工智能技術(shù)發(fā)展現(xiàn)狀與趨勢(shì)學(xué)，通過對(duì)數(shù)據(jù)的采集、分析和挖掘，形成有價(jià)值用場(chǎng)景等要素，并涉及機(jī)器學(xué)習(xí)、知識(shí)圖譜、語音算能力的進(jìn)步使許多計(jì)算資源消耗型機(jī)器學(xué)大豐富可以讓機(jī)器學(xué)習(xí)模型泛化能力更強(qiáng)。智能模型，讓機(jī)器發(fā)揮更大的潛力，也讓各種任務(wù)取得更好的結(jié)果。深度學(xué)習(xí)極大地改變了人們的生活，并重塑了傳統(tǒng)的人工智能技術(shù)，人工智能理論建模、技術(shù)創(chuàng)新、軟硬件發(fā)展等各方面要素整體視覺、聽覺、觸覺智能會(huì)在個(gè)人穿戴、家居設(shè)備中2面，“可靠連接+專用智能”將催生智能制造新業(yè)態(tài)。憑借高可靠、低時(shí)延特征，5G經(jīng)濟(jì)建設(shè)，推動(dòng)社會(huì)各領(lǐng)域從數(shù)字化、網(wǎng)絡(luò)化勢(shì)頭良好，與行業(yè)融合應(yīng)用不斷深入，發(fā)展前景智能安全相關(guān)標(biāo)準(zhǔn)規(guī)范體系，人工智能已經(jīng)成為全球各作方法，解決人工智能的安全，道德，法律和社基準(zhǔn)評(píng)估人工智能技術(shù)，首次將人工智能上能計(jì)劃”，是前期國(guó)家人工智能研發(fā)戰(zhàn)略的延伸億歐元，同時(shí)建立歐洲人工智能聯(lián)盟，并設(shè)立“人工智能、物聯(lián)網(wǎng)、機(jī)器人對(duì)安全和責(zé)任的影響合的戰(zhàn)略高度作為實(shí)現(xiàn)第四次產(chǎn)業(yè)革命的具體建成人工智能技術(shù)標(biāo)準(zhǔn)體系，其中包括人工智人工智能網(wǎng)絡(luò)安全產(chǎn)業(yè)布局，形成人工智能安動(dòng)計(jì)劃》中提出，以信息技術(shù)與制造技術(shù)深度融3系統(tǒng)計(jì)算方法和計(jì)算特征工作組（WG5），以及人工詢組（AG2）等。其中主要標(biāo)準(zhǔn)項(xiàng)目包括：ISO/IECTR24027《信息技術(shù)人與人工智能輔助決策》、TR24028《信息技術(shù)人工智能人工智能可信度概述》、TR24029-1《人ITU-T一直致力于解決智慧醫(yī)療、智能汽車、垃圾內(nèi)容治理、生物特征識(shí)IEEE持續(xù)開展多項(xiàng)人工智能倫理道德研究，發(fā)布了IEEEP7000系列等多項(xiàng)人工智能倫理標(biāo)準(zhǔn)和研究4分析技術(shù)的收錄與應(yīng)用標(biāo)準(zhǔn)》等。準(zhǔn)，也建議在監(jiān)管或采購中引用的人工智能標(biāo)準(zhǔn)保持靈活有助于美國(guó)政府推動(dòng)負(fù)責(zé)任地使用人工智能的舉措，并列“可信任人工智能”應(yīng)當(dāng)滿足的7個(gè)原則1）人類的力量和監(jiān)督2）技術(shù)的可靠性和安全性3）隱私和數(shù)據(jù)管理4）透明性5）多樣性、非歧視性和公平性6）社會(huì)和環(huán)境福祉7）可追責(zé)性。移動(dòng)網(wǎng)絡(luò)的關(guān)鍵應(yīng)用，共同構(gòu)筑智能自治網(wǎng)絡(luò)時(shí)代。四個(gè)月后，特別工作組完成發(fā)布了《AIinNetwork智能自治網(wǎng)絡(luò)案例報(bào)告》白皮書，該報(bào)告集中展示了5中國(guó)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）的人工智能安全相關(guān)標(biāo)準(zhǔn)主要集中在生物特征識(shí)智慧家居等人工智能賦能安全領(lǐng)域，以及與數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)的支撐領(lǐng)域。主要包括：基礎(chǔ)共性標(biāo)準(zhǔn)方面有《人工智能安全標(biāo)準(zhǔn)研究》、《人工智能應(yīng)用安全指南》等；生物特征識(shí)別安全標(biāo)準(zhǔn)方面有智慧家居安全標(biāo)準(zhǔn)方面有《信息安全技術(shù)智能家居安全通用技術(shù)要求》、《信息安全技術(shù)智能門鎖安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》等在研標(biāo)準(zhǔn)；數(shù)據(jù)安全和個(gè)人信息保護(hù)標(biāo)準(zhǔn)方面有GB/T35273-2020《信息安能在具體應(yīng)用場(chǎng)景為主，已開展汽車電子、智能2020《智能家居終端設(shè)備安全能力測(cè)試方法》等標(biāo)準(zhǔn)；在研標(biāo)準(zhǔn)包括《人工智能產(chǎn)品、應(yīng)用及服務(wù)安全評(píng)估指南》、《人工智能終端產(chǎn)品標(biāo)準(zhǔn)體系研究》、《移動(dòng)智能終端人工智能能力及應(yīng)用個(gè)人信息保護(hù)技術(shù)要求及評(píng)估方法》等。2人工智能賦能安全內(nèi)涵與意義能時(shí)代的安全問題呈現(xiàn)出新的趨勢(shì)，有了新的如基于人工智能的高級(jí)持久威脅；二是出現(xiàn)了結(jié)果不正確；三是人工智能開始賦能安全，也用人工智能來自動(dòng)識(shí)別和/或響應(yīng)潛在網(wǎng)絡(luò)威脅（包括前兩個(gè)動(dòng)向中的新威脅）的工具和如上所述，網(wǎng)絡(luò)安全領(lǐng)域不斷涌現(xiàn)出與人工智能相關(guān)的新應(yīng)用，例如惡意代碼分析、惡意域名檢測(cè)、展浪潮中，機(jī)器學(xué)習(xí)技術(shù)在應(yīng)對(duì)網(wǎng)絡(luò)空間威脅方6全模型。例如，為了使機(jī)器學(xué)習(xí)模型能夠識(shí)別惡意軟件，我們必須手動(dòng)編排與惡意軟件相關(guān)的各種功能，這無疑限制了威脅檢測(cè)的效率和準(zhǔn)確性。由于機(jī)義的特征將逃避檢測(cè)，因此可以得出結(jié)論，大多數(shù)機(jī)器學(xué)習(xí)算法的性能取決于特征提取的準(zhǔn)確性。和深度學(xué)習(xí)之間在概念上的巨大差異在于，深度學(xué)學(xué)習(xí)可以發(fā)現(xiàn)數(shù)據(jù)之間的非線性相關(guān)性。由于具有未知攻擊的檢測(cè)，這在網(wǎng)絡(luò)安全防御中是非是在防止APT攻擊方面取得了長(zhǎng)足的進(jìn)步。很多研究成果表明，深度神經(jīng)網(wǎng)絡(luò)可以學(xué)習(xí)APT攻擊的高級(jí)運(yùn)營(yíng)分析師提前發(fā)現(xiàn)威脅。通過從數(shù)以百萬計(jì)的以輔助提供決策，幫助安全分析師應(yīng)對(duì)每日數(shù)以以相當(dāng)迅速地部署新攻擊。這就是所謂的不對(duì)未知的對(duì)手（其攻擊方法和時(shí)機(jī)也未知）的所有發(fā)防御技術(shù)與實(shí)際部署防御技術(shù)之間存在較長(zhǎng)的滯后時(shí)間，并且通常缺乏評(píng)估其績(jī)效的指標(biāo)。另一方面，防御者也有一些手段來化解這種不對(duì)稱。例如，可以通過解決操作、透明度和數(shù)據(jù)訪問權(quán)限等可能會(huì)代替網(wǎng)絡(luò)安全防御者，通過承擔(dān)枯燥、的防護(hù)體系讓人工智能成為網(wǎng)絡(luò)安全防御者的近年來人工智能給網(wǎng)絡(luò)安全帶來巨大挑戰(zhàn)。從在網(wǎng)絡(luò)技術(shù)方面，基于機(jī)器學(xué)習(xí)的僵尸攻擊者象的。總體而言，僵尸網(wǎng)絡(luò)攻擊的機(jī)器學(xué)習(xí)算擊時(shí)，可以自我更新讓下次攻擊變得更加巧妙。網(wǎng)絡(luò)7在應(yīng)用層，比較受關(guān)注的領(lǐng)域是使用人工智能社交網(wǎng)絡(luò)中經(jīng)過訓(xùn)練的機(jī)器人可以自動(dòng)生成和傳播力行為獲取利益。在很多國(guó)家，很多這類行為的目為了說明Deepfake，我們可以和對(duì)抗樣本之間進(jìn)行比較，后者是旨在對(duì)機(jī)器感知系統(tǒng)本身施加影響的輸?shù)姆诸惢蝾A(yù)測(cè)結(jié)果。例如，在對(duì)抗性環(huán)境中本修改將導(dǎo)致所謂的“逃避攻擊”。對(duì)抗環(huán)境并通過采用對(duì)抗性樣本誤導(dǎo)神經(jīng)網(wǎng)絡(luò)，從而導(dǎo)致應(yīng)對(duì)對(duì)抗攻擊。隨著機(jī)器學(xué)習(xí)模型變得越來越復(fù)要求。諸如Google發(fā)起的聯(lián)合學(xué)習(xí)之類的分布式學(xué)習(xí)模式已經(jīng)出現(xiàn)，使許習(xí)共享模型。但是，所有訓(xùn)練數(shù)據(jù)都存儲(chǔ)在取，以及如何構(gòu)建具有隱私保護(hù)功能的分布式機(jī)器學(xué)習(xí)系統(tǒng)是一個(gè)主要的研究熱點(diǎn)。日益復(fù)雜、花樣頻多的風(fēng)險(xiǎn)和威脅。在這一背景智能重塑安全已經(jīng)成為大勢(shì)所趨。網(wǎng)絡(luò)空間在應(yīng)歷史記錄和當(dāng)前安全狀態(tài)數(shù)據(jù)后，通過人工智能8文本等信息呈現(xiàn)出爆炸式增長(zhǎng)趨勢(shì)。傳統(tǒng)的安提升需要的一個(gè)周期。在此周期中，依靠人工調(diào)整，導(dǎo)致在日益復(fù)雜的安全環(huán)境中實(shí)現(xiàn)主動(dòng)防御成為巨大挑戰(zhàn)，需要引入人工智能進(jìn)行自適應(yīng)防護(hù)。能構(gòu)成了嚴(yán)峻的挑戰(zhàn)。純粹依靠人工的方式對(duì)日趨復(fù)雜的攻擊行為進(jìn)行分析，已成為不可能完成的任務(wù)，3人工智能賦能安全應(yīng)用案例基于零信任架構(gòu)的身份認(rèn)證【場(chǎng)景描述】積極的作用，但是在高級(jí)網(wǎng)絡(luò)攻擊肆虐，內(nèi)部惡意事件頻發(fā)的今天，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)需要迭代升級(jí)。網(wǎng)絡(luò)面臨大量新增的IOT設(shè)備及其可穿戴設(shè)備，傳統(tǒng)的用戶管理機(jī)制在開戶，認(rèn)證等方面成本高昂，已使用戶可以在不同接入網(wǎng)間實(shí)現(xiàn)無縫切換，5G網(wǎng)絡(luò)亟需采用一種統(tǒng)一的認(rèn)證框架，實(shí)現(xiàn)靈活并且高效地9【技術(shù)方案】予信任，需要基于持續(xù)的驗(yàn)證和授權(quán)建立動(dòng)部網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性不斷增加，通過正洞察威脅本質(zhì)，更有效的阻止未知風(fēng)險(xiǎn)，入訪問網(wǎng)關(guān)。其中統(tǒng)一身份管理系統(tǒng)是零信任架構(gòu)中管理以及基礎(chǔ)權(quán)限構(gòu)建模型?；诮y(tǒng)一身份管理間建立可信的基礎(chǔ)權(quán)限，來實(shí)現(xiàn)對(duì)資產(chǎn)設(shè)備的可信對(duì)訪問主體的全部訪問過程進(jìn)行智能化行為分析，戶和資產(chǎn)設(shè)備的可信度進(jìn)行持續(xù)的信任評(píng)估，根據(jù)零信任架構(gòu)的支撐系統(tǒng)稱為控制平面，其他部分都稱為數(shù)據(jù)平面，數(shù)據(jù)平面由控制平面指揮和配置，訪問受保護(hù)的訪問客體首先需要經(jīng)過控制平面處理，訪問安全等級(jí)更高的設(shè)備，那么需要執(zhí)行更高強(qiáng)度的行了分離，其中統(tǒng)一身份管理系統(tǒng)和可信接入訪問網(wǎng)動(dòng)認(rèn)證機(jī)制則主要充當(dāng)控制平面，接收來自動(dòng)態(tài)信任任評(píng)估和動(dòng)態(tài)策略調(diào)整，以達(dá)到無邊界的最基線管理、持續(xù)風(fēng)險(xiǎn)及信任積分評(píng)估模型、訪問控制證，重建信任。用戶中心是為企業(yè)構(gòu)建的一套用戶程中由于業(yè)務(wù)系統(tǒng)繁多導(dǎo)致的人員賬號(hào)孤立維安全運(yùn)維和管理工作困難的問題。用戶中心通過構(gòu)用戶全生命周期管理機(jī)制，對(duì)企業(yè)各信息系統(tǒng)用戶全運(yùn)維和管理工作困難的問題。用戶中心通過構(gòu)生命周期管理機(jī)制，對(duì)企業(yè)各業(yè)務(wù)系統(tǒng)內(nèi)的數(shù)據(jù)源，并對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一治理，提供資產(chǎn)數(shù)據(jù)對(duì)外共享任和對(duì)設(shè)備的信任兩個(gè)主要緯度進(jìn)行基礎(chǔ)信息構(gòu)建，訪問設(shè)備的鑒權(quán)過程依賴動(dòng)態(tài)風(fēng)險(xiǎn)值和信任積分的評(píng)估結(jié)果，且評(píng)估行為是持續(xù)的，伴隨整個(gè)訪問過程。一旦訪問過程發(fā)生行為異?；颦h(huán)境異常，就下發(fā)至訪塊對(duì)接，信用基線管理模塊為持續(xù)風(fēng)險(xiǎn)及信任積結(jié)果；向下則為訪問控制策略動(dòng)態(tài)調(diào)整引擎輸入戶身份的持續(xù)積分評(píng)估，實(shí)現(xiàn)對(duì)訪問主體的訪問訪問主體的基礎(chǔ)認(rèn)證行為、環(huán)境因素、歷史于用戶的異常時(shí)間、異常地點(diǎn)登錄等場(chǎng)景的址、ip地址、用戶id、登錄時(shí)間等等采用了基于人工智能技術(shù)的主成分分析算法（PCA）。l設(shè)備風(fēng)險(xiǎn)評(píng)估模型：對(duì)所有訪問客體進(jìn)行周期性的信任評(píng)估。對(duì)設(shè)備的訪問請(qǐng)求進(jìn)行信任評(píng)估，根據(jù)設(shè)備的基礎(chǔ)行為特征，結(jié)合動(dòng)態(tài)調(diào)整模4.訪問控制策略動(dòng)態(tài)調(diào)整引擎訪問控制策略動(dòng)態(tài)調(diào)整引擎從持續(xù)風(fēng)險(xiǎn)及信任積任積分，系統(tǒng)風(fēng)險(xiǎn)值等，然后基于這些動(dòng)態(tài)策略可基于多種認(rèn)證策略，包括認(rèn)證級(jí)別升級(jí)策略擁有因素、生物因素在內(nèi)的各種認(rèn)證方式，同時(shí)于知識(shí)因素的認(rèn)證機(jī)制，如密碼、口令、問題等；支持基于擁有因素的認(rèn)證機(jī)制，如令牌、手機(jī)號(hào)短信、郵箱賬戶、身份證號(hào)碼；支持基于生物因素的認(rèn)的對(duì)接，例如微信、釘釘?shù)??；诙喾N認(rèn)證因素維護(hù)管理人員和第三方代維管理人員提供統(tǒng)一的接權(quán)、控制和審計(jì)等功能，可實(shí)現(xiàn)針對(duì)來源、人【應(yīng)用效果】驗(yàn)證等高頻運(yùn)維場(chǎng)景有顯著的效率提升和安全通過安全客戶端快速打開所需資源。同時(shí)根據(jù)用案選型保證開放化，選擇新建業(yè)務(wù)優(yōu)先推廣。首景優(yōu)化認(rèn)證以及遠(yuǎn)程接入方案，并實(shí)現(xiàn)安全加固擎和智能分析能力的身份治理平臺(tái)；再然后絡(luò)及流量的高級(jí)零信任網(wǎng)絡(luò)；最后結(jié)合系統(tǒng)運(yùn)營(yíng)信任網(wǎng)絡(luò)的持續(xù)完善和演化，從而推動(dòng)企業(yè)安基于多機(jī)器學(xué)習(xí)模型的惡意代碼智能分析檢測(cè)【場(chǎng)景描述】附件或鏈接，從而觸發(fā)后續(xù)的一系列攻擊行為，惡意代碼的識(shí)別準(zhǔn)確率高，但是通常無法識(shí)別新針對(duì)以上問題，啟明星辰發(fā)揮創(chuàng)新、研發(fā)優(yōu)分析檢測(cè)系統(tǒng)。該系統(tǒng)能夠從樣本中自動(dòng)提取水平，并對(duì)未知惡意代碼有一定的檢測(cè)識(shí)別能可以通過持續(xù)使用新樣本進(jìn)行迭代訓(xùn)練的方式實(shí)現(xiàn)模型檢測(cè)能力的自【技術(shù)方案】在惡意代碼分析檢測(cè)中引入機(jī)器學(xué)習(xí)技術(shù)符合所得的特征向量作為機(jī)器學(xué)習(xí)模型的輸入，基于大應(yīng)用于實(shí)際的惡意代碼檢測(cè)與分類中。其中，使用集成學(xué)習(xí)的方法對(duì)多個(gè)子模型結(jié)果進(jìn)行再學(xué)習(xí)以輸出最終標(biāo)注數(shù)據(jù)機(jī)器學(xué)習(xí)訓(xùn)練模塊特征工程模塊數(shù)據(jù)產(chǎn)生及機(jī)器學(xué)習(xí)訓(xùn)練模塊特征工程模塊數(shù)據(jù)產(chǎn)生及收集器數(shù)據(jù)預(yù)處理模塊數(shù)據(jù)預(yù)處理模塊分類器數(shù)據(jù)樣本分類器數(shù)據(jù)樣本未標(biāo)注數(shù)據(jù)下面以PE二進(jìn)制惡意代碼類型為例，給出首先，將待檢測(cè)的PE二進(jìn)制格式可執(zhí)行代碼在虛擬機(jī)或沙序列轉(zhuǎn)換為數(shù)值向量（稱為特征向量接下來將特征向同的模型，分別是基于提升樹的傳統(tǒng)機(jī)器學(xué)習(xí)分類器XGBoost和基于卷積神經(jīng)網(wǎng)絡(luò)的深度學(xué)習(xí)分類器TextCNN，均需要使用大量標(biāo)注數(shù)據(jù)進(jìn)行離線的訓(xùn)練；獲得兩個(gè)分類器的輸【應(yīng)用效果】效提升惡意代碼的分析檢測(cè)自動(dòng)化水平及檢測(cè)準(zhǔn)確據(jù)模型的實(shí)際表現(xiàn)確定模型重新訓(xùn)練的頻率。另外一種層次化的機(jī)器學(xué)習(xí)引擎惡意代碼檢測(cè)方案【場(chǎng)景描述】擎基于規(guī)則匹配進(jìn)行威脅檢測(cè)，其能力依賴于息和深入分析文件，通過提取文件的常用特征的進(jìn)程進(jìn)行行為分析，以確定是否有新出現(xiàn)次化的識(shí)別體系，將亞信安全已有的惡意代碼析與后置過濾，可以有效的提高惡意代碼檢測(cè)率，減小誤報(bào)率，從而更好的實(shí)現(xiàn)終端環(huán)境的全方位保護(hù)?！炯夹g(shù)方案】1.待檢測(cè)文件先經(jīng)過已有的傳統(tǒng)引擎進(jìn)行掃描，傳統(tǒng)引擎會(huì)將已知正常文件與已知惡意文件濾除，2.未知文件由機(jī)器學(xué)習(xí)引擎進(jìn)行識(shí)別，在未執(zhí)行的件特征，并結(jié)合相應(yīng)的靜態(tài)模型與識(shí)別算法判斷未知3.當(dāng)未知文件被用戶運(yùn)行起來后，機(jī)器學(xué)4.用戶同樣可以將未知文件放入自定義的沙箱中，在運(yùn)行時(shí)行為與結(jié)果的全面記錄與分析，可以最終判定該文件是否是惡意文2.特征提?。横槍?duì)未知文件，引擎對(duì)文件進(jìn)行特征提取并進(jìn)行進(jìn)一步處理。2.噪聲消除引擎可以通過給定文件的成熟度與流行消除引擎與機(jī)器學(xué)習(xí)引擎，可以有效的降低誤報(bào)率，從而減小文件誤報(bào)3.機(jī)器學(xué)習(xí)引擎從靜態(tài)與動(dòng)態(tài)兩個(gè)方面對(duì)【應(yīng)用效果】病毒并在第一時(shí)間阻斷了其對(duì)用戶文件的加密，避免了未知惡意軟件對(duì)客戶的系統(tǒng)造成進(jìn)一步的傷害。對(duì)于機(jī)器學(xué)習(xí)引擎，可以進(jìn)一步優(yōu)化算法模型，同時(shí)持續(xù)更新訓(xùn)練樣本集，使其具有更高的識(shí)別率。另一方面，可以進(jìn)行橫向擴(kuò)展，使得該引擎體系可以根據(jù)實(shí)際用戶場(chǎng)景進(jìn)一步細(xì)化，通過加入基于機(jī)器學(xué)習(xí)的未知惡意代碼檢測(cè)【場(chǎng)景描述】傳統(tǒng)的APT防護(hù)技術(shù)專注于從企業(yè)客戶自意文件檢測(cè)模型，大幅提升對(duì)0Day漏洞【技術(shù)方案】基于人工智能的殺毒引擎，依靠海量數(shù)據(jù)挖建立機(jī)器學(xué)習(xí)模型，使用機(jī)器學(xué)習(xí)算法，得到惡判斷，即可獲得軟件的惡意概率，從而在可控的20樣本管理平臺(tái)正常樣本惡意樣本樣本管理平臺(tái)正常樣本惡意樣本數(shù)據(jù)挖掘樣本特征加入正加入正常樣本加入惡意樣本特征向量機(jī)器學(xué)習(xí)識(shí)別模型識(shí)別模型模型測(cè)試精度檢查精度檢查否誤報(bào)樣本漏報(bào)樣本否誤報(bào)樣本漏報(bào)樣本是提交模型提交模型挖掘，找到海量PE文件特征。應(yīng)用特征選取算客戶端1客戶端N未知樣本1秒云鑒定▲特征向量鑒定結(jié)果2小時(shí)一輪訓(xùn)練樣本篩選特征向量集模型2小時(shí)一輪訓(xùn)練樣本篩選特征向量集模型樣本云存儲(chǔ)中心學(xué)習(xí)樣本存儲(chǔ)服務(wù)器機(jī)器學(xué)習(xí)服務(wù)器云端QVM運(yùn)算服務(wù)器21機(jī)器學(xué)習(xí)有效的解決了大部分未知惡意程序的和病毒分析師的能力，基本只能處理已知問題，限性。本技術(shù)對(duì)海量樣本進(jìn)行挖掘，能夠找到惡做出前瞻性預(yù)測(cè)，實(shí)現(xiàn)不更新即可識(shí)別大量新型惡意機(jī)器學(xué)習(xí)使得對(duì)樣本分析人員的要求相對(duì)較低工分析惡意軟件實(shí)現(xiàn)方法和識(shí)別方法，降低了人員參與門檻，大大節(jié)約了人【應(yīng)用效果】無法有效應(yīng)對(duì)0Day漏洞惡意樣本、免殺惡意樣本。而黑客在生成攻文件的方式，使得每時(shí)每刻都會(huì)有大量全新的具備人工智能特性的APT檢測(cè)技術(shù)是新一代安全威脅檢測(cè)的必備方案，能夠?qū)⑵髽I(yè)基于已知規(guī)則、依賴人工分析的水平提升到自動(dòng)引入數(shù)據(jù)增強(qiáng)技術(shù)的智能DGA域名檢測(cè)【場(chǎng)景描述】通過相關(guān)信息定時(shí)訪問C&C主機(jī)獲取命令。但算法產(chǎn)生大量備選域名，使得無法通過靜態(tài)規(guī)則來進(jìn)行檢測(cè)，因此基于機(jī)提出。但是現(xiàn)有的基于機(jī)器學(xué)習(xí)的DGA域名檢測(cè)系統(tǒng)仍存在兩方面的不足22針對(duì)以上問題，啟明星辰設(shè)計(jì)研發(fā)了一種新的智能DGA域名檢測(cè)系統(tǒng)【技術(shù)方案】訓(xùn)練基于注意力機(jī)制的雙向GRU神經(jīng)網(wǎng)絡(luò)模型；數(shù)據(jù)預(yù)處理，包括主域名提取、數(shù)據(jù)清洗等操作。其中數(shù)據(jù)清洗主Augmentation）技術(shù)，通過選取已有的正常域名并對(duì)其進(jìn)行少量的隨機(jī)字符添加、刪除或替換操作以制造23），模型在對(duì)一些DGA算法產(chǎn)生的低隨機(jī)性域名檢測(cè)上有更好的表現(xiàn)。同時(shí)，為），通信方式（RESTfulAPI）將待檢測(cè)數(shù)據(jù)發(fā)送至后臺(tái)服務(wù)，?！緫?yīng)用效果】加。因此，為了兼顧效果和性能，在未來將嘗試使用模型蒸餾和模型量化等技術(shù)，對(duì)已有模型進(jìn)行壓縮，24兼容拼音域名的多層自適應(yīng)DGA域名檢測(cè)方法【場(chǎng)景描述】在攻擊活動(dòng)中，當(dāng)感染了惡意代碼的宿主機(jī)要與C&C服務(wù)器聯(lián)絡(luò)，以獲得進(jìn)在此背景下，攻擊者會(huì)利用DGA（domaingenerationalgorithms）域名生成算法，使用法和約定好的隨機(jī)種子生成一系列的域名，攻擊者一般只注冊(cè)域名列表中的一小部分，被感染的挨個(gè)嘗試請(qǐng)求這些域名，直到可以解析出IP，連接C&C服務(wù)器?，F(xiàn)l若使用傳統(tǒng)的黑名單方法，由于DGA域針對(duì)以上問題：本方案提供的檢測(cè)算法是針對(duì)DGA域名的多樣性、多語言性的一套算法，其中N-gram模型針對(duì)隨機(jī)字符型DGA域名，LSTM模型針對(duì)單詞組合型DGA拼音加強(qiáng)數(shù)據(jù)集是針對(duì)中文語境下的加強(qiáng)，最后將多模型組合起來綜合評(píng)【技術(shù)方案】25本方案針對(duì)不同的DGA家族生成機(jī)制，設(shè)計(jì)了不同的特征提取方字符型DGA域名提取的n-gram特征，針對(duì)單詞組合型在測(cè)試中，我們發(fā)現(xiàn)原有的方法和特征對(duì)于中的誤報(bào)，原因可能在于基于英文域名、英文的加強(qiáng)，再綜合相應(yīng)的特征指標(biāo)和模型判定，得到最終分析結(jié)果。該方案對(duì)名有較強(qiáng)的覆蓋能力，相比于基礎(chǔ)模型，對(duì)單詞組合型DGA域名檢出的準(zhǔn)確動(dòng)態(tài)選擇所需模型（是否需要引入消耗資源26會(huì)定期收集線上判定的反饋數(shù)據(jù)，重新訓(xùn)練模型，并【應(yīng)用效果】針對(duì)DGA隱蔽域名的人工智能發(fā)現(xiàn)機(jī)制【場(chǎng)景描述】在控制層面，攻擊者會(huì)控制僵尸網(wǎng)絡(luò)發(fā)起攻擊過命令控制信道（C&CChannel）實(shí)現(xiàn)。在早期中心結(jié)構(gòu)的僵尸網(wǎng)絡(luò)中，僵尸主機(jī)通常采用輪詢的方法訪數(shù)量有限，安全防護(hù)人員通過逆向分析木馬文件的樣本即可掌握這部分域名和IP地址，利用威脅情報(bào)手控制者就失去了對(duì)整個(gè)僵尸網(wǎng)絡(luò)的控制能力，因此C&C為了克服可能被批量屏蔽的情況，攻擊者使用DomainFlux協(xié)議機(jī)訪問的C&C域名不再是靜態(tài)硬編碼，而是根據(jù)一定算法動(dòng)態(tài)生成的、【技術(shù)方案】奇安信在APT檢測(cè)系統(tǒng)中實(shí)現(xiàn)了多種基于行為、數(shù)據(jù)分析的異常檢測(cè)DGA27基于流量的方法，主要針對(duì)于DGA算法，通常表現(xiàn)為生成海量域名的識(shí)別。以及在給定時(shí)間內(nèi)某域名被多個(gè)感染主檢測(cè)系統(tǒng)可以在本地網(wǎng)絡(luò)內(nèi)檢測(cè)到感染主機(jī)，但是它們不能針對(duì)大相比于其上傳統(tǒng)方法，機(jī)器學(xué)習(xí)可更高效的方數(shù)據(jù)，來完成DGA域名的檢測(cè)任務(wù)。如基于分類、回歸等算法，均可高效準(zhǔn)確DGA域名庫數(shù)據(jù)文本向量化云端LSTM神經(jīng)網(wǎng)絡(luò)云端LSTM神經(jīng)網(wǎng)絡(luò)DGA檢測(cè)模型平臺(tái)輸入提取輸出告警逆向映射儀表板流量/日志獲取所有域名數(shù)據(jù)更新平臺(tái)輸入提取輸出告警逆向映射儀表板流量/日志獲取所有域名數(shù)據(jù)DGA檢測(cè)模型2.把人類的經(jīng)驗(yàn)表示為特征把數(shù)據(jù)集3.利用這些數(shù)據(jù)集和他們的特征4.評(píng)價(jià)算法效果，比如精度、召回率等等，并交叉檢驗(yàn)5.將生成的DGA檢測(cè)模型從云端下發(fā)至部在算法特征處理階段主要模擬了網(wǎng)絡(luò)安全專家人工判28計(jì)算方法檢測(cè)效果隨機(jī)森林經(jīng)典隨機(jī)森林分類結(jié)果按分類樹投票多少形成的分?jǐn)?shù)而定。在隨機(jī)森林中單棵樹的分類能力可能很小，但在隨機(jī)產(chǎn)生大量的決策樹后，一個(gè)測(cè)試樣品可以通過每一棵樹的分類結(jié)果經(jīng)統(tǒng)計(jì)后選擇最可能的分類。馬爾科夫鏈在DGA檢測(cè)中，馬爾科夫鏈主要應(yīng)用于域名在n-gram切分后的n-gram常見性計(jì)算上，尋找發(fā)現(xiàn)可疑域名。深度學(xué)習(xí)深度學(xué)習(xí)即深度神經(jīng)網(wǎng)絡(luò)，在此主要應(yīng)用的方法為RNN，由于其特殊的算法特點(diǎn)，在眾多自然語言處理中取得了巨大成功以及廣泛應(yīng)用。其算法特點(diǎn)也與DGA判別任務(wù)極為契合。k近鄰分類(KNN)算法基于KNN算法，通過調(diào)整各特征維度權(quán)重，在特征空間區(qū)將正常域名與DGA區(qū)分下，可實(shí)現(xiàn)對(duì)于新域名的有效劃分，完成DGA識(shí)別?！緫?yīng)用效果】本項(xiàng)目應(yīng)用于國(guó)內(nèi)外大量重要客戶的網(wǎng)絡(luò)邊界和重要系統(tǒng)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)，包括運(yùn)營(yíng)商、金融、醫(yī)療、教育、能源、電力、國(guó)家機(jī)關(guān)等。黑客在針對(duì)這些客具備人工智能特性的APT檢測(cè)技術(shù)是新一代安全威脅檢測(cè)的必備方案，能夠?qū)⑵髽I(yè)基于已知規(guī)則、依賴人工分析的水平提升到自動(dòng)29Webshell通信流量智能檢測(cè)與規(guī)則自動(dòng)化提取【場(chǎng)景描述】瀏覽器訪問的方式實(shí)現(xiàn)對(duì)網(wǎng)站服務(wù)器的控制及數(shù)據(jù)的竊取。傳統(tǒng)的基于網(wǎng)絡(luò)流要是通過對(duì)報(bào)文中出現(xiàn)的一些特征字符串進(jìn)行對(duì)于以上問題，啟明星辰發(fā)揮創(chuàng)新、研發(fā)優(yōu)勢(shì)【技術(shù)方案】采集與特征提取，構(gòu)建精準(zhǔn)的檢測(cè)模型并支持自動(dòng)化規(guī)則抽取。技術(shù)方案的具體流程示意圖如下。30而且可以基于決策樹導(dǎo)出檢測(cè)規(guī)則，進(jìn)行歸并與篩【應(yīng)用效果】證中可達(dá)到平均99.9%的檢測(cè)準(zhǔn)確率。對(duì)從決策樹模型中自動(dòng)提取的檢測(cè)規(guī)Webshell類型的準(zhǔn)確識(shí)別，為攻擊同源性分析提供情報(bào)信息。另外，可將本方案中的自構(gòu)建模型及提取規(guī)則的方法擴(kuò)展，應(yīng)用于其他網(wǎng)絡(luò)攻擊、惡意的惡意流量樣本并生成檢測(cè)規(guī)則，為安全研究人員提供參考，以減輕其工作基于人工智能的自動(dòng)化響應(yīng)與處置系統(tǒng)【場(chǎng)景描述】傳統(tǒng)SIEM存在告警過多，客戶關(guān)注的、有效的告警被淹沒，無法對(duì)幫助等問題；同時(shí)企業(yè)缺乏專業(yè)的安全攻防、分析、處置人員，且員工在安全分析研判上的經(jīng)驗(yàn)難固化；針對(duì)上述挑戰(zhàn)，綠盟科技將人工智能技術(shù)與現(xiàn)從安全分析到響應(yīng)處置全流程閉環(huán)，人工智與專家經(jīng)驗(yàn)進(jìn)行有機(jī)整合，推出智能安全運(yùn)【技術(shù)方案】3132件處置的工作流，自動(dòng)化觸發(fā)不同安全設(shè)備執(zhí)行響應(yīng)動(dòng)2.基于對(duì)安全事件上下文更全面、端到端的理解，3.案例管理功能將安全運(yùn)維工程師經(jīng)驗(yàn)固【應(yīng)用效果】該項(xiàng)系統(tǒng)在部分運(yùn)營(yíng)商已投入使用，助力運(yùn)營(yíng)聯(lián)動(dòng)處置設(shè)備自動(dòng)33登錄設(shè)備進(jìn)行郵件通知相關(guān)N/AN/A化響應(yīng)處置，提高了企業(yè)安全運(yùn)維效率，降低了企基于UEBA技術(shù)的用戶異常行為監(jiān)測(cè)【場(chǎng)景描述】量誤報(bào)和噪音。安全人員往往從追逐大量誤報(bào)開常事件，以此來降低誤報(bào)數(shù)量。但另一方面，一在完整的組織安全視角，用戶視角是非常核心為進(jìn)行有效分析，對(duì)于網(wǎng)絡(luò)中活躍的各類用34定用戶的活動(dòng)上，通過多種統(tǒng)計(jì)及機(jī)器學(xué)習(xí)算法建立詢能力感到絕望。今天的調(diào)查要求工具擁有足），網(wǎng)絡(luò)安全領(lǐng)域里發(fā)現(xiàn)異常行為是一種重要的能力。很對(duì)這類事件的精準(zhǔn)度要求高，長(zhǎng)期以來缺乏有效的檢則是從數(shù)據(jù)分析的視角去發(fā)現(xiàn)關(guān)鍵問題，從聚焦數(shù)據(jù)篡改活動(dòng)日志，從而偽裝成其他用戶，來掩蓋自己的痕35某省政府公眾服務(wù)類網(wǎng)站，攻擊者其主要目從請(qǐng)求數(shù)、GET請(qǐng)求數(shù)占比、HTML請(qǐng)求占比標(biāo)準(zhǔn)差術(shù)確認(rèn)攻擊源為多源低頻團(tuán)伙爬蟲。針對(duì)多析的時(shí)間軸，往往可以找到攻擊團(tuán)伙深層次的異常行為。36【技術(shù)方案】AiThink采用多種人工智能算法，通過與過去的行為基線或同行群體進(jìn)行對(duì)比，以查看用戶或資產(chǎn)行第一是客觀采集人員訪問行為，從審計(jì)的角度進(jìn)行統(tǒng)計(jì)、戶情況，可以先通過咨詢、人工溯源等手段，AiThink采用的UEBA技術(shù)，把安全運(yùn)維從事件管理轉(zhuǎn)換到用戶、實(shí)體風(fēng)險(xiǎn)，極大的降低工迭代評(píng)估機(jī)制。風(fēng)險(xiǎn)評(píng)分的好壞，會(huì)直接影響到AiThink實(shí)施的成效，直接影響到安全運(yùn)營(yíng)37學(xué)習(xí)技術(shù)（ActiveLearning）、自學(xué)習(xí)（SelfLearning），充分發(fā)掘標(biāo)記數(shù)據(jù)和無標(biāo)記數(shù)據(jù)的價(jià)值。這部分38知識(shí)圖譜已經(jīng)成為人工智能領(lǐng)域的熱門領(lǐng)域，在網(wǎng)絡(luò)安全中也有巨大的應(yīng)用潛力。安恒AiTh安全知識(shí)圖譜能力，可以把從事件、告警、異常、訪問中抽取出實(shí)體及實(shí)體間關(guān)系，構(gòu)建一張網(wǎng)絡(luò)圖譜。任何一個(gè)事件、告警、異常，都可以放到這個(gè)39【應(yīng)用效果】AiThink可以用于行為分析覆蓋的多個(gè)應(yīng)用領(lǐng)域，可以幫助用戶應(yīng)對(duì)內(nèi)部威脅、賬號(hào)失陷、惡意內(nèi)部某上市企業(yè)雖然已部署了流量分析和審計(jì)類系統(tǒng)，或嵌入U(xiǎn)EBA功能的其他工具。SIEM在分析方面變得更好，可以提供更復(fù)雜的用例，同時(shí)，數(shù)據(jù)庫安全訪問【場(chǎng)景描述】40單，有時(shí)甚至不太關(guān)注是否能夠做到全面審計(jì)。產(chǎn)品都未經(jīng)改造只是概念包裝后就推向市場(chǎng)的產(chǎn)三代數(shù)據(jù)庫安全審計(jì)產(chǎn)品統(tǒng)計(jì)和追蹤按照業(yè)成一個(gè)業(yè)務(wù)操作后，不僅僅是審計(jì)記錄的展現(xiàn)，包新的數(shù)據(jù)庫審計(jì)視角。借此更加智能化的滿足合規(guī)運(yùn)營(yíng)口令猜測(cè)、數(shù)據(jù)泄露、第三方違規(guī)操作、不明訪問的策略規(guī)則配置，準(zhǔn)確的規(guī)則觸發(fā)與及時(shí)告警的能41訪問來源和訪問行為等的“學(xué)習(xí)”，建立起訪問來源訪問了什么數(shù)據(jù)、同一類型的用戶訪問行為是不是一舉例來說，一些客戶核心業(yè)務(wù)系統(tǒng)中防止數(shù)認(rèn)為會(huì)涉及到數(shù)據(jù)泄露風(fēng)險(xiǎn)。但是每個(gè)公司下面各個(gè)營(yíng)業(yè)點(diǎn)或者各個(gè)子公司的業(yè)務(wù)量是不一樣的，業(yè)務(wù)有繁忙和空閑周期，這里面就沒辦法有效的查出真正的“有數(shù)據(jù)泄漏”的點(diǎn)，反而有很多誤報(bào)。AiThink可以基于動(dòng)態(tài)基線，結(jié)合每個(gè)人的操作歷史行為、登錄地等特征，再結(jié)合歷史操作的量來對(duì)今日的操作行為進(jìn)行判斷，這樣的一個(gè)檢測(cè)效果就會(huì)比原語句模板，或者產(chǎn)生的語句模板出現(xiàn)了新的應(yīng)用請(qǐng)求來源，都可能成為可疑的訪問行為。請(qǐng)求中出現(xiàn)了新的語句，產(chǎn)生疑似非法操作的告警，從根42基于PeerGroupAnalysis進(jìn)行異常行為識(shí)別。異常用戶一般占少數(shù)，可以通行建模，找出少數(shù)的高危用戶，再匹配威脅或攻擊43），某電商公司對(duì)客戶實(shí)行積分制，客戶在公司分兌換人民幣，并用綁定的銀行卡提現(xiàn)。程序A某進(jìn)入公司后臺(tái)服務(wù)器后，利用B某提供的黑卡進(jìn)入網(wǎng)站數(shù)據(jù)庫更改了客戶本身綁定的銀行卡，又更改了該客戶對(duì)應(yīng)的積分，然后申請(qǐng)?zhí)岈F(xiàn)，AiThink通過敏感表監(jiān)控，發(fā)現(xiàn)該客戶積分?jǐn)?shù)據(jù)表中出現(xiàn)了新的update操作（正常情況下新增購物記），以前舊購物記錄行進(jìn)行了update積分值操作，即表對(duì)象出現(xiàn)了新的訪問類型，AiThink對(duì)敏感44【技術(shù)方案】AiThink數(shù)據(jù)庫訪問安全解決方案，能夠?qū)M(jìn)出核心數(shù)據(jù)庫的訪問流量進(jìn)行數(shù)據(jù)報(bào)文字段級(jí)的解析操從客戶的時(shí)間維度來看，數(shù)據(jù)庫的訪問是有規(guī)律的，客戶的業(yè)務(wù)時(shí)間也是有規(guī)律的。AiThink據(jù)用戶歷史訪問活動(dòng)的信息刻畫出一個(gè)數(shù)據(jù)的訪問舉例來說，他能夠識(shí)別在非工作時(shí)間訪問敏用戶賬戶。他將這類特征場(chǎng)景與現(xiàn)有策略及其他合風(fēng)險(xiǎn)評(píng)分。如此一來，安全分析師便可調(diào)查特基于數(shù)據(jù)庫和數(shù)據(jù)庫賬號(hào)的鉗形可視化視角，安AiThink數(shù)據(jù)庫訪問安全解決方案具備自動(dòng)化、智能化的學(xué)習(xí)能力，通過對(duì)重要數(shù)據(jù)資產(chǎn)訪問來源和訪問行為等的“學(xué)習(xí)”，建立起訪問來源和訪問行為45獲得企業(yè)范圍內(nèi)所有數(shù)據(jù)庫事務(wù)的可見性，包括本地特權(quán)用戶訪問和服務(wù)賬戶活動(dòng)。AiThink度的審計(jì)跟蹤，為每個(gè)數(shù)據(jù)庫指明“誰，何時(shí)，何地以及如何，做了什么”。請(qǐng)求，最終訪問了哪些數(shù)據(jù)，用戶行為審計(jì)視角是非常關(guān)鍵核心的分析視角。針對(duì)已定位出的特定風(fēng)險(xiǎn)用戶或者數(shù)據(jù)庫，局畫像信息，特征對(duì)應(yīng)事件快速自適應(yīng)排序通過數(shù)據(jù)庫活動(dòng)信息分析特定用戶的數(shù)據(jù)訪46通過構(gòu)建群組分析，可以跨越單個(gè)用戶、實(shí)檢測(cè)出異常，更重要的是，通過綜合研判，可以降低誤報(bào)，提升信單的語言解釋緊急事件。您不必是數(shù)據(jù)庫專家就可以進(jìn)行成功的調(diào)查。AiThink提供的用戶），通過預(yù)置的安全策略快速部署，以阻止數(shù)據(jù)47【應(yīng)用效果】通過長(zhǎng)時(shí)間、持續(xù)性地對(duì)用戶的行為進(jìn)行記存在異常，這樣就能大大削減告警的數(shù)量，能夠迅密碼字段值”和“新出現(xiàn)用戶通過已有數(shù)據(jù)據(jù)的重要性空前提升且不斷發(fā)展，處理數(shù)據(jù)天要花費(fèi)多少時(shí)間用手機(jī)瀏覽各種圖文和視頻信息可熱、野蠻生長(zhǎng)的區(qū)塊鏈和比特幣等等…不難發(fā)現(xiàn)，人類社會(huì)的知識(shí)、財(cái)富乃至歷史正在經(jīng)由數(shù)據(jù)承載，而由此產(chǎn)生的、源源不斷的數(shù)據(jù)，又進(jìn)一步推動(dòng)著5G網(wǎng)絡(luò)終端異常檢測(cè)【場(chǎng)景描述】化、大數(shù)據(jù)、IoT等業(yè)務(wù)的發(fā)展，被管對(duì)象成指數(shù)級(jí)增加，對(duì)于海量的監(jiān)助，分析歷史數(shù)據(jù)，擬合指標(biāo)趨勢(shì)，從而實(shí)現(xiàn)指下面，以華為針對(duì)海量終端可能引起的信令風(fēng)暴的威脅檢測(cè)方案為例來說明信令風(fēng)暴威脅檢測(cè)功能。異常檢測(cè)區(qū)分不同場(chǎng)景，例如，針對(duì)網(wǎng)元狀態(tài)異常檢測(cè)，漫游信令異常檢測(cè)，及信令風(fēng)暴異常檢測(cè)等。，大量合法終端被黑客控制周期性發(fā)送信令，單個(gè)UE慢速48【技術(shù)方案】準(zhǔn)判定異常UE和惡意UE，并且可以提供閉環(huán)處置的手段，整個(gè)流程如下圖所示：UE協(xié)議狀態(tài)機(jī)變化事件總數(shù)UE協(xié)議狀態(tài)機(jī)變化單項(xiàng)事件計(jì)數(shù)（RRC建聯(lián)和UE協(xié)議狀態(tài)機(jī)變化序列UE接入時(shí)間段UE在制定時(shí)間段的狀態(tài)機(jī)變化次數(shù)UE協(xié)議狀態(tài)機(jī)事件單項(xiàng)事件計(jì)數(shù)（附著和去附著等）UE協(xié)議狀態(tài)機(jī)變化序列UE數(shù)據(jù)面數(shù)據(jù)總量，速度，包長(zhǎng)等特征49基于在線和離線的數(shù)據(jù)和日志提取關(guān)鍵特征5G安全檢測(cè)引擎可收集大量實(shí)時(shí)數(shù)據(jù)或者離線數(shù)據(jù)，提取關(guān)鍵特征作為正常業(yè)務(wù)的行為模型，并作為正常向量；或者通過已知攻擊的流量樣本中提取5G安全檢測(cè)引擎可以從實(shí)時(shí)數(shù)據(jù)源中提取當(dāng)前時(shí)刻的行為向量，通過與已知的正常向量和異常向量50僅僅憑借單維度信令面人工智能分析，在模型積累初期可能會(huì)遇到檢測(cè)率不準(zhǔn)的情況，5G安全檢測(cè)【應(yīng)用效果】5G智能安全檢測(cè)引擎，可以通過人工智能和機(jī)器學(xué)習(xí)等技術(shù)的幫助，發(fā)現(xiàn)人力無法感知的異常行為和攻擊特征，預(yù)判預(yù)防網(wǎng)絡(luò)攻擊的發(fā)生，減少因網(wǎng)信令風(fēng)暴的異常檢測(cè)只是智能安全檢測(cè)引擎高人工智能模型分析判斷的準(zhǔn)確率和效率，提高在有對(duì)抗樣本攻擊環(huán)51基于實(shí)體命名識(shí)別技術(shù)構(gòu)建漏洞知識(shí)圖譜【場(chǎng)景描述】在信息安全領(lǐng)域，由各國(guó)官方收集維護(hù)的缺陷/漏洞數(shù)據(jù)庫是十分權(quán)威并準(zhǔn)確的威脅情報(bào)來源。國(guó)政府維護(hù)的NVD（NationalVulnerabilityDatabase）和中國(guó)的CNNVD（ChinaNationalVulnerabilityDatabaseofInformationSecurity）。但單個(gè)的漏洞報(bào)告信息是零碎的，片面的。對(duì)此我們可以利用人在漏洞知識(shí)圖譜中，我們以漏洞報(bào)告中提及的各類實(shí)體作為圖中的點(diǎn)，實(shí)體間的各類關(guān)系作為圖中的邊。用戶可以從某一個(gè)實(shí)體出發(fā)，例如某一個(gè)APT組織，便可得知該組織慣用的攻具。這些信息往往是從單個(gè)報(bào)告中無法獲得的，而知在此基礎(chǔ)上，我們還可以利用缺陷/漏洞知識(shí)圖譜對(duì)其他類型的威脅情報(bào)進(jìn)行【技術(shù)方案】52通過輸入半結(jié)構(gòu)化的NVD數(shù)據(jù)及其他相關(guān)威脅情報(bào)，利用實(shí)體識(shí)別算法和角威脅客體：受到攻擊的目標(biāo)客體/資產(chǎn)，具體可細(xì)分為系統(tǒng)、提供商、產(chǎn)53箱、原始流量和外部數(shù)據(jù)直接得到的關(guān)系對(duì)，件通過相似度計(jì)算得到的相似性等等都屬于間接關(guān)針對(duì)信息安全領(lǐng)域知識(shí)圖譜構(gòu)建的兩個(gè)關(guān)鍵要素，構(gòu)建了威脅元語言模型對(duì)威脅知識(shí)的結(jié)構(gòu)化描述，54【應(yīng)用效果】3.通過威脅圖譜提升了對(duì)APT組織的分析追蹤2.支持分析其它類型的威脅情報(bào)4.持續(xù)利用威脅圖譜進(jìn)行APT組織追蹤，利用各類圖算法挖掘更多潛在的威脅樣本篩選、標(biāo)注與相似樣本自動(dòng)識(shí)別【場(chǎng)景描述】以自建或者使用肉雞構(gòu)建郵件服務(wù)器，只需要得知單位/機(jī)構(gòu)的負(fù)責(zé)人或者相關(guān)人員的郵箱就可以發(fā)動(dòng)攻55擊，同時(shí)只要主題選取的好，攻擊成功的幾率較高。動(dòng)態(tài)沙箱運(yùn)行，結(jié)合沙箱規(guī)則進(jìn)行告警，并根據(jù)的系統(tǒng)。該系統(tǒng)通過使用不同來源的數(shù)據(jù)和不同維度的算法，能夠篩選出APT組織投放的高價(jià)值樣本?！炯夹g(shù)方案概述】（2）特征提取，基于數(shù)據(jù)解析后得到的樣本相關(guān)數(shù)據(jù)對(duì)56果文檔含有漏洞，會(huì)抽取漏洞部分的二進(jìn)制特征會(huì)在后續(xù)的黑白識(shí)別、特殊性識(shí)別與類APT識(shí)別中分別投入到不同的機(jī)器學(xué)習(xí)模型進(jìn)行分析判斷。通過模型判斷出來的樣本在經(jīng)過后續(xù)的證據(jù)計(jì)算相關(guān)算法、語義抽象相關(guān)算法等多種算法來分析中針對(duì)不同階段和不同類型的樣本側(cè)重點(diǎn)方面57【應(yīng)用效果】本系統(tǒng)架設(shè)在公司內(nèi)部，每天處理近50萬樣本，且在一定程度上識(shí)別一些使用新技術(shù)的攻擊樣本，同時(shí)能快速標(biāo)定一些黑產(chǎn)及僵木蠕對(duì)應(yīng)的組織及家族。彌補(bǔ)單一同源哈希造成的漏報(bào)現(xiàn)象，在后續(xù)會(huì)引入特征組的方式進(jìn)行多特征相似計(jì)算，來進(jìn)一步歸基于威脅情報(bào)的多維惡意域名自學(xué)習(xí)檢測(cè)技術(shù)【場(chǎng)景描述】續(xù)增長(zhǎng)。然而傳統(tǒng)的惡意域名檢測(cè)算法主要針對(duì)傳統(tǒng)方法在特性選取不足、無自學(xué)習(xí)能技術(shù)對(duì)海量威脅情報(bào)數(shù)據(jù)進(jìn)行智能分析，從繁雜的海的多方位情報(bào)進(jìn)行橫向、縱向關(guān)聯(lián)，深度挖掘多維線【技術(shù)方案】58算算算 的全特征綜合檢測(cè)，可解決現(xiàn)有方法中的對(duì)惡意域名建立新的惡意域名特征自主學(xué)習(xí)算法模型，檢惡意域名檢測(cè)技術(shù)實(shí)現(xiàn)檢測(cè)過程全自動(dòng)化，有59【應(yīng)用效果】基于威脅情報(bào)的多維惡意域名自學(xué)習(xí)檢測(cè)技作將聚焦于如下方面：擴(kuò)展互聯(lián)網(wǎng)層面的情報(bào)和理解算法、情報(bào)數(shù)據(jù)隱含的威脅行為和發(fā)展基于人工智能的惡意軟件攻擊態(tài)勢(shì)感知系統(tǒng)【場(chǎng)景描述】進(jìn)行趨勢(shì)和影響分析，達(dá)到預(yù)測(cè)的進(jìn)一步高階惡意軟件，利用0Day漏洞發(fā)起攻擊。傳統(tǒng)基于特征的檢測(cè)手段從有效性、時(shí)效針對(duì)新型攻擊難以識(shí)別、判定的問題，中興通訊創(chuàng)新性的研究出基于人工智能的惡意軟件判定方法，可以對(duì)網(wǎng)絡(luò)中傳播的惡意軟件進(jìn)行有效識(shí)別，快速【技術(shù)方案】6061征等使得描述文件、資產(chǎn)和攻擊的維度更豐富。本方案克服了傳統(tǒng)基于規(guī)則的惡意軟件檢測(cè)與應(yīng)對(duì)方法的以基于固定某個(gè)特征或者特征組合的判定方法誤判率比無法對(duì)可能被攻陷的資產(chǎn)進(jìn)行態(tài)勢(shì)感知，無法指導(dǎo)安全管理人員進(jìn)行優(yōu)先級(jí)排序與對(duì)檢測(cè)出的惡意軟件進(jìn)行非實(shí)用全面的態(tài)勢(shì)呈現(xiàn)，0惡意文件數(shù)影響資產(chǎn)數(shù)對(duì)于某個(gè)具體的惡意軟件，方案提供診斷工具攻擊的資產(chǎn)以及核心業(yè)務(wù)高危資產(chǎn)與人員，從微觀件為惡意文件后，可獲知所有被投放方信息，并判62【應(yīng)用效果】件判別準(zhǔn)確率的前提下，進(jìn)行應(yīng)用場(chǎng)景下的態(tài)勢(shì)預(yù)發(fā)現(xiàn)針對(duì)電信企業(yè)地域性定向攻擊事件；進(jìn)行內(nèi)外適配性不好、判別準(zhǔn)確率下降。需要人工參與，測(cè)方面，仍需不斷探測(cè)新的算法模型，隨著訓(xùn)練數(shù)智能大數(shù)據(jù)分析及態(tài)勢(shì)感知【場(chǎng)景描述】63【技術(shù)方案】情報(bào)數(shù)據(jù)等，由于獨(dú)立建設(shè)、分析、輸出及管理安全分析準(zhǔn)確性和可信度較低，嚴(yán)重影響安全風(fēng)險(xiǎn)處置及管控工l安全數(shù)據(jù)來源多、數(shù)據(jù)結(jié)構(gòu)復(fù)雜，難以通過統(tǒng)一維度視角進(jìn)行分析，缺乏自動(dòng)化數(shù)據(jù)融合手段，l安全防護(hù)能力依賴安全防護(hù)規(guī)則或特征庫，而防護(hù)規(guī)則或特征庫的更新滯后于攻擊手段的變化；最大程度的將企業(yè)信息安全管理工作通過數(shù)據(jù)實(shí)現(xiàn)可視化，支撐上層風(fēng)險(xiǎn)分平臺(tái)基于匯聚多源數(shù)據(jù)的優(yōu)勢(shì)，基于自動(dòng)化異構(gòu)數(shù)據(jù)融合手段，針對(duì)某大類安全數(shù)據(jù)，通過對(duì)多源、異構(gòu)安全數(shù)據(jù)進(jìn)行數(shù)據(jù)融合，解決多來源數(shù)數(shù)據(jù)實(shí)現(xiàn)過濾篩選、補(bǔ)全、轉(zhuǎn)換、聚合歸并、解析抽取等數(shù)據(jù)處理過程，綜合構(gòu)建基礎(chǔ)的安全數(shù)據(jù)中心。64了各種資產(chǎn)管理系統(tǒng)，但不同資管系統(tǒng)由于基于融合企業(yè)安全數(shù)據(jù)，在匯聚各類安全系統(tǒng)、安全設(shè)備、安全檢測(cè)工具等輸出安全事件的基礎(chǔ)上，站在企業(yè)整體安全視角綜合分析安全事件數(shù)據(jù)，實(shí)時(shí)輸出更精準(zhǔn)、更可信的安全告警據(jù)，快速定位風(fēng)險(xiǎn)資產(chǎn)、責(zé)任人。底層支持面65核心的分析能力及專題分析場(chǎng)景之一，結(jié)合對(duì)內(nèi)外部威脅情報(bào)進(jìn)行有效整合，持續(xù)性提升安全感知與處置能力；基于威脅信息的模型自主更新能力，包括安全監(jiān)控組、專家研判組、風(fēng)險(xiǎn)處置組等組成的安全風(fēng)險(xiǎn)處置架構(gòu)，針對(duì)不同風(fēng)險(xiǎn)類型、風(fēng)險(xiǎn)級(jí)別，支持多種一鍵處置能力，包括：處置工單派發(fā)、快速險(xiǎn)處置、安全保障階段的串聯(lián)的快速的安全安全應(yīng)急處置方式，提升安全應(yīng)急處置效率，通過統(tǒng)一管理安全告警處置任務(wù)，集中安全風(fēng)險(xiǎn)處置入口，66【應(yīng)用效果】多智能分析引擎的態(tài)勢(shì)感知【場(chǎng)景描述】有的困難和挑戰(zhàn)。目前傳統(tǒng)態(tài)勢(shì)感知設(shè)備仍存針對(duì)以上問題，綠盟發(fā)揮在態(tài)勢(shì)感知領(lǐng)域多系統(tǒng)。系統(tǒng)利用大數(shù)據(jù)技術(shù)結(jié)合威脅情報(bào)進(jìn)行【技術(shù)方案】67在上述態(tài)勢(shì)感知系統(tǒng)中通過各類安全設(shè)備或探NetFlow機(jī)器學(xué)習(xí)引擎：經(jīng)由分析Netflow收集到的資訊，網(wǎng)絡(luò)管理人目的地，網(wǎng)絡(luò)服務(wù)的種類，以及造成網(wǎng)絡(luò)壅塞的原作安全類溯源和機(jī)器學(xué)習(xí)研究，從而實(shí)現(xiàn)流量拼接、密度聚類、爆破檢測(cè)、蠕蟲檢測(cè)68圍繞安全攻防本質(zhì)，聚焦安全攻防場(chǎng)景、機(jī)器學(xué)習(xí)御體系，提升針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知、監(jiān)測(cè)響【應(yīng)用效果】擊溯源、全流量數(shù)據(jù)分析、一鍵封堵處置等實(shí)戰(zhàn)化事件監(jiān)測(cè)預(yù)警和快速響應(yīng)能力；更加聚焦未知安全威脅，不斷提升針對(duì)高級(jí)持續(xù)性威脅事件的態(tài)勢(shì)感知。騷擾電話機(jī)器人自動(dòng)應(yīng)答技術(shù)應(yīng)用與實(shí)踐探索【案例簡(jiǎn)介】69成的影響；另一方面，音頻可進(jìn)一步提升騷擾電話治理的精準(zhǔn)性，促進(jìn)提升產(chǎn)品競(jìng)爭(zhēng)力，增強(qiáng)用戶黏性。“騷擾電話人自動(dòng)應(yīng)答應(yīng)用”實(shí)踐是人工智能賦能各行各業(yè)形勢(shì)下的一種創(chuàng)新安全服務(wù)，通過智能網(wǎng)攔截代接技術(shù)，實(shí)現(xiàn)人工智能應(yīng)答技術(shù)在騷擾電話防護(hù)方案、關(guān)鍵應(yīng)答技術(shù)等方面實(shí)現(xiàn)重大突破，為全球運(yùn)營(yíng)商和互聯(lián)網(wǎng)公司分享一種人工智能安全治理思路，【場(chǎng)景描述】新，采用機(jī)器人群呼等新型手段傳播騷擾電話，成任，保障廣大用戶通信權(quán)益，中國(guó)移動(dòng)持續(xù)開展騷的特點(diǎn)，安全治理團(tuán)隊(duì)顛覆傳統(tǒng)治理模式，創(chuàng)新提與此同時(shí)，人工智能技術(shù)發(fā)展迅速，中國(guó)移動(dòng)九技術(shù)積累，輸出智能客服系統(tǒng)、會(huì)議語音轉(zhuǎn)寫系營(yíng)銷電話這一行業(yè)難題，在高頻騷擾電話防護(hù)中引【技術(shù)方案】基于上述背景，中國(guó)移動(dòng)迅速展開機(jī)器人自供給用戶一個(gè)可代接高頻呼叫的人工智能助手。通過該技術(shù)應(yīng)用，一方面，可有效提升高頻騷擾響；另一方面，音頻可進(jìn)一步提升騷擾電話治理的精準(zhǔn)性，進(jìn)70工智能助手的用戶，高頻防護(hù)服務(wù)于原有流中黑名單的呼叫，與來電方進(jìn)行數(shù)輪簡(jiǎn)單對(duì)話等技術(shù)模塊，針對(duì)廣告營(yíng)銷類電話，由平臺(tái)將呼NLP模塊接收文本及停頓信息，進(jìn)行標(biāo)簽分類及語義理解，并返回話術(shù)編號(hào)及交互狀態(tài)標(biāo)識(shí)。71“九天”人工智能平臺(tái)賦能安全中臺(tái)，助力構(gòu)筑中臺(tái)的安全云腦引擎，面向防騷擾機(jī)器人等內(nèi)容安全管控場(chǎng)景，從能力引擎到創(chuàng)新應(yīng)用開展深度合作，護(hù)航“5G+AICDE”安全。本次主要涉及機(jī)器人自動(dòng)應(yīng)答場(chǎng)景識(shí)別、語音識(shí)別、對(duì)話管理、斷句識(shí)別等關(guān)鍵技術(shù)。語言理解狀態(tài)追蹤語言生成策略優(yōu)化語言理解狀態(tài)追蹤語言生成策略優(yōu)化對(duì)話管理（騷擾-房產(chǎn)銷售/騷擾-理財(cái)推薦等）。系統(tǒng)使用多模式匹配和基于深度學(xué)習(xí)的文本分類相結(jié)合的算法對(duì)文本輸入進(jìn)行多級(jí)標(biāo)簽分類。擇系統(tǒng)動(dòng)作，在交互過程中，根據(jù)外界返回的獎(jiǎng)勵(lì)值不斷進(jìn)行策4)語言生成主要根據(jù)系統(tǒng)動(dòng)作返回對(duì)應(yīng)的系統(tǒng)回復(fù)話術(shù)，傳遞到后續(xù)語音合成模塊。72【應(yīng)用效果】攔截代接占比7.5%，個(gè)人黑名單攔截代接占比3.0%。經(jīng)錄音，有效提升用戶感知，將進(jìn)一步提升用戶黏性對(duì)于違法、涉黃等號(hào)碼，本網(wǎng)號(hào)碼轉(zhuǎn)交由騷73“騷擾電話人自動(dòng)應(yīng)答應(yīng)用”通過智能網(wǎng)攔截代接技術(shù)，實(shí)現(xiàn)人工智能應(yīng)答技術(shù)在騷擾電話防護(hù)領(lǐng)域的應(yīng)用，在整體方案、關(guān)鍵應(yīng)答技術(shù)等方面實(shí)現(xiàn)重大突營(yíng)商通信網(wǎng)絡(luò)，使用人工智能應(yīng)答技術(shù)，并提供給用+互聯(lián)網(wǎng)”的安全防護(hù)升級(jí)服務(wù)，為騷擾電話治理和運(yùn)營(yíng)人工智能反欺詐系統(tǒng)【場(chǎng)景描述】傳統(tǒng)騷擾、欺詐識(shí)別模型的設(shè)計(jì)思路是通過研究同時(shí)隨著不法分子利用人工智能技術(shù)撥打“機(jī)器人騷繞過固定的識(shí)別策略，給傳統(tǒng)通信欺詐識(shí)別方案已識(shí)別的號(hào)碼設(shè)為種子，然后對(duì)全量數(shù)據(jù)與種針對(duì)以上問題，中國(guó)聯(lián)通發(fā)揮創(chuàng)新、研發(fā)優(yōu)勢(shì)，研發(fā)基于分布式計(jì)算的智能信息通信欺詐治理系統(tǒng)，在各分子公司實(shí)現(xiàn)產(chǎn)業(yè)落地。同時(shí)響應(yīng)國(guó)家和社會(huì)【技術(shù)方案】74對(duì)模型；將模型輸入現(xiàn)網(wǎng)數(shù)據(jù)中心，建立信息通信欺詐號(hào)碼庫；通過短信、75），利用人工智能+前期防欺詐成果，初步實(shí)現(xiàn)人工智能欺詐識(shí)別模型，并提高原有機(jī)器學(xué)習(xí)技術(shù)的識(shí)別通過結(jié)合開源工具與自主研發(fā)，基于電信反欺詐模型，打造成熟人工智能通用能力產(chǎn)品?！緫?yīng)用效果】實(shí)時(shí)話單欺詐行為分析，經(jīng)過自學(xué)習(xí)過程，不斷優(yōu)2.加強(qiáng)數(shù)據(jù)融合能力，強(qiáng)化多元、多模型數(shù)據(jù)融3.加強(qiáng)對(duì)省分的支持，一方面開放安全大一方面加強(qiáng)信安部對(duì)全國(guó)欺詐治理的掌控力度，結(jié)合新建能力實(shí)現(xiàn)全國(guó)異常號(hào)碼的一鍵76向詐騙特征，批量抓捕詐騙群體。研究院電信反欺作，發(fā)揮創(chuàng)新能力，及時(shí)應(yīng)對(duì)層出不窮的通信詐騙基于人工智能的詐騙網(wǎng)站識(shí)別方案實(shí)踐【場(chǎng)景描述】不局限于通過釣魚網(wǎng)站盜取用戶的隱私數(shù)據(jù)，色情直播、騙、網(wǎng)絡(luò)賭博詐騙等，詐騙網(wǎng)站成為實(shí)施上述詐騙的重要應(yīng)用，詐騙網(wǎng)站的內(nèi)容迅速變異、數(shù)量持續(xù)攀升、行為愈針對(duì)以上嚴(yán)峻形勢(shì)，中國(guó)移動(dòng)積極踐行企業(yè)社會(huì)責(zé)任，利用自身創(chuàng)新和研發(fā)能力，基于“主動(dòng)排雷”的思路，探索了一種基于人工智能的詐騙網(wǎng)站【技術(shù)方案】整體系統(tǒng)可以分為數(shù)據(jù)源、域名發(fā)現(xiàn)與拓展、內(nèi)容取證分析、人工審核、域名封堵五個(gè)部分。77域名發(fā)現(xiàn)模塊對(duì)網(wǎng)絡(luò)中存在訪問行為的域名進(jìn)行搜集，并將這些域名信息作為全網(wǎng)的活躍域名全集。活躍域名全集的數(shù)據(jù)來源包括但不限于用戶的上網(wǎng)的域名信息等。進(jìn)而通過消息智能分類、域名智78網(wǎng)站域名拓展模塊能夠基于已知的詐騙域名信息進(jìn)行拓的潛在詐騙域名，由網(wǎng)站外鏈拓展、備案信息拓展、域名者在網(wǎng)站中跳轉(zhuǎn)。網(wǎng)站外鏈拓展模塊利用這一特征對(duì)已知詐騙網(wǎng)站中的外鏈信息進(jìn)行迭代爬取取詐騙網(wǎng)站中存在的友情鏈接、廣告鏈接，從而發(fā)現(xiàn)更多潛在詐注冊(cè)信息拓展：詐騙網(wǎng)站制作者往往批量注冊(cè)大量域名，可以利用域現(xiàn)域名拓展。注冊(cè)信息拓展模塊通過已知詐騙域名的備案聯(lián)系人信息反查該聯(lián)系人注冊(cè)的其它詐騙域名嘗試改變數(shù)字取值來拓展域名，后續(xù)通過爬蟲爬取驗(yàn)證可訪問后得到潛在詐騙相似風(fēng)格拓展：詐騙網(wǎng)站創(chuàng)建者選擇域名時(shí)會(huì)傾向于特定域名風(fēng)格。能技術(shù)學(xué)習(xí)已知詐騙域名的組成風(fēng)格，利用人工智能的創(chuàng)作能力生成更多與已知詐騙域名構(gòu)成風(fēng)的潛在詐騙域名。由于通過人工智能技術(shù)生成的域名可能并不真實(shí)存在，需要結(jié)合爬蟲技術(shù)來排將相關(guān)爬取內(nèi)容作為判斷依據(jù)提交人工審核。在爬取網(wǎng)站的過程中，需要爬取網(wǎng)站的文本信息、源碼信息、圖片信息，另外需要對(duì)網(wǎng)站的最終渲染效果進(jìn)行截圖。在得到網(wǎng)站內(nèi)容信息后，內(nèi)容取證與分析模塊分別從文本、源碼、圖片、視覺等多個(gè)維度對(duì)網(wǎng)站進(jìn)行詐騙分析，并將高度疑似的詐騙網(wǎng)站提交到人79正常的域名信息會(huì)反哺給域名發(fā)現(xiàn)與拓展模塊和內(nèi)容分析取證模塊中的相關(guān)人工智能模塊進(jìn)行更新和矯在整個(gè)詐騙網(wǎng)站識(shí)別方案中，涉及到大量人工并支持加載外部算法，持續(xù)提升監(jiān)測(cè)分析能力，以實(shí)現(xiàn)對(duì)詐騙網(wǎng)站的新類型、新情況的快速響應(yīng)能【應(yīng)用效果】可能會(huì)使用對(duì)抗性的人工智能技術(shù)生成詐騙外，隨著深度偽造技術(shù)成熟，詐騙分子可以在網(wǎng)站中嵌入偽造的圖片、音頻、視頻來騙取受害者金蹤移動(dòng)互聯(lián)網(wǎng)APP病毒檢測(cè)引擎【場(chǎng)景描述】繼涌現(xiàn)了豐富的手機(jī)軟件，這些手機(jī)軟件在為曝光了50多款安卓手機(jī)軟件可能在用戶不知情的驗(yàn)證碼等行為。無論是關(guān)乎到個(gè)人隱私信息安全、經(jīng)濟(jì)財(cái)產(chǎn)安全、還是關(guān)系到國(guó)家網(wǎng)絡(luò)空間安全的建設(shè)，都需要我們更深層次的認(rèn)識(shí)到手機(jī)惡意軟件檢測(cè)的重要?jiǎng)t的效果嚴(yán)重依賴于分析人員的技術(shù)水平，對(duì)新增段遇到的問題，提高手機(jī)惡意軟件檢測(cè)的自動(dòng)化、病毒檢測(cè)引擎，廣泛應(yīng)用于運(yùn)營(yíng)商防治手機(jī)惡意軟【技術(shù)方案】金蹤移動(dòng)互聯(lián)網(wǎng)APP病毒檢測(cè)引擎主要依賴特征，通過使用XGBOOST、深度神經(jīng)網(wǎng)絡(luò)等算法對(duì)組成，共458個(gè)維度。動(dòng)態(tài)特征共77個(gè)，反映了APP運(yùn)行中的隱私行為、網(wǎng)絡(luò)行為、文件操作、短信操來海量的黑白樣本，和最新的人工智能算法，形隨著整個(gè)移動(dòng)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，受網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈利益驅(qū)使件的防治，手機(jī)惡意軟件往往生命周期較短，更新較快，特征變化較大，離線訓(xùn)練的模型存在失效較快的問題。為了解決這一問題，金蹤移動(dòng)互聯(lián)網(wǎng)APP病毒檢測(cè)引擎引入模型自更新功能，基于本引三方檢測(cè)引擎反饋的最新檢測(cè)結(jié)果對(duì)模型的各項(xiàng)指標(biāo)進(jìn)行評(píng)估，當(dāng)模型偏效果差達(dá)到一定閾值，則會(huì)觸發(fā)模型的自動(dòng)更新功能，使用最新的標(biāo)注樣本在線重新【應(yīng)用效果】依據(jù)《移動(dòng)互聯(lián)網(wǎng)惡意程序描述格式》的八類分類標(biāo)準(zhǔn)，按照移動(dòng)互聯(lián)網(wǎng)惡意程序按照分類算法優(yōu)化：嘗試使用LightGBM和深度學(xué)習(xí)領(lǐng)域最新的人歷了飛速發(fā)展，各類手機(jī)軟件安全問題不斷涌現(xiàn)，需要整個(gè)安全行業(yè)持續(xù)更新手機(jī)惡意軟件相基于人工智能與機(jī)器視覺的視頻行為分析系統(tǒng)【場(chǎng)景描述】面大量采用了視頻監(jiān)控手段，但基于傳統(tǒng)手段的【技術(shù)方案概述】基于人工智能與機(jī)器視覺的視頻行為分析系相關(guān)的行為安全應(yīng)用。其主要組件包括高清攝像機(jī)系統(tǒng)的實(shí)施內(nèi)容包括了在機(jī)房出入口、主要通道部署高清攝像機(jī)；打通內(nèi)部HR系統(tǒng)實(shí)時(shí)同步；定制化設(shè)計(jì)平面圖，支持軌跡跟蹤回放；根據(jù)巡檢要求靈活設(shè)定，針對(duì)不同機(jī)房、樓層、通道進(jìn)行設(shè)置。規(guī)劃巡檢人員、線路、地點(diǎn)、時(shí)間，制定工作計(jì)劃，設(shè)置巡檢地點(diǎn)，安排巡檢任務(wù)。實(shí)時(shí)查看工作人員所處的地理位置，檢查人員到崗情況。份，一旦發(fā)現(xiàn)未登記人員，觸發(fā)報(bào)警，有效幫助客戶管理外來根據(jù)人員的各種屬性特征，將人群歸類，如男/女性群體、各年齡段群體。利用人臉+人體特征信息生成個(gè)人檔案，比單純基于人臉的識(shí)別結(jié)果更加通過機(jī)器視覺技術(shù)識(shí)別圖像中目標(biāo)的行為，如人奔跑、人對(duì)指定人員（包括未知身份和已知身份人員）時(shí)間基于歷史數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)對(duì)行為建模根據(jù)目標(biāo)人物某段時(shí)間內(nèi)在視頻中出現(xiàn)的時(shí)間、空間信息，在地圖或者區(qū)域平面圖上繪制行動(dòng)軌跡。根據(jù)目標(biāo)人物最近時(shí)間，在最后一個(gè)攝像頭內(nèi)出現(xiàn)的位置，在地圖或平面圖上定位目標(biāo)。【應(yīng)用效果】在北京順誠(chéng)云計(jì)算數(shù)據(jù)中心和奇安信辦公場(chǎng)所管理、部隊(duì)管理、學(xué)生公寓、醫(yī)院等人員數(shù)量較數(shù)據(jù)分級(jí)分類【場(chǎng)景描述】在大數(shù)據(jù)應(yīng)用日益廣泛的今天，數(shù)據(jù)資源共享據(jù)的敏感性，加之各行業(yè)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)法進(jìn)行自動(dòng)化數(shù)據(jù)分級(jí)分類，有利于穩(wěn)步推進(jìn)數(shù)據(jù)數(shù)據(jù)資產(chǎn)梳理是數(shù)據(jù)安全的基礎(chǔ)。知道企業(yè)究竟有多少數(shù)據(jù)、這些數(shù)據(jù)在哪里、有哪些類型的數(shù)據(jù)、有哪些是敏感數(shù)據(jù)，這些數(shù)據(jù)的敏感等級(jí)分別是政務(wù)數(shù)據(jù)共享交換這項(xiàng)業(yè)務(wù)中，各類單位與組對(duì)于大數(shù)據(jù)局來說，首先要做的一項(xiàng)工作就是進(jìn)行產(chǎn)地圖，知道自己手里有什么之后，才能有針對(duì)性的保護(hù)數(shù)據(jù)資產(chǎn)安AiGuard能夠充分掃描出數(shù)據(jù)庫系統(tǒng)的安全漏洞和威脅并提供智能的修數(shù)據(jù)庫及其數(shù)量、表數(shù)量、敏感表數(shù)量、敏感字段數(shù)量、敏90例如在醫(yī)療行業(yè)，由于好奇產(chǎn)生的越權(quán)操作種疾病感興趣，進(jìn)而查詢和閱讀非授權(quán)病歷，DBA會(huì)因并規(guī)定只有訪問權(quán)限達(dá)到L2的運(yùn)營(yíng)部門才能訪問mo在系統(tǒng)開發(fā)測(cè)試過程中，由于要高度模擬生產(chǎn)需要通過數(shù)據(jù)分級(jí)分類識(shí)別出需做安全保護(hù)的敏感通過建立數(shù)據(jù)脫敏機(jī)制，對(duì)發(fā)放到開發(fā)測(cè)試現(xiàn)象，并形成了一個(gè)新興的產(chǎn)業(yè)。比如，個(gè)91例如火車票、網(wǎng)購訂單中根據(jù)數(shù)據(jù)分級(jí)分類情況加以不同策略的脫【中文姓名】只顯示第一個(gè)漢字，其他隱藏為2個(gè)星號(hào)，比如：李**【地址】只顯示到地區(qū)，不顯示詳細(xì)地址，比如：上海徐匯區(qū)漕河涇開發(fā)區(qū)***創(chuàng)建它，誰創(chuàng)建的，誰應(yīng)該能看到它誰不應(yīng)該等等，這一批不小的信息決定了數(shù)據(jù)該如何被處理和存放。如果它是公司的重要信息，你可能需要多次備份，加密并設(shè)置訪問權(quán)限。如果它是公司團(tuán)建活動(dòng)的計(jì)劃，建立授權(quán)和最小權(quán)限機(jī)制，建立實(shí)時(shí)備份機(jī)制，備份策略和規(guī)程，恢復(fù)范圍和目標(biāo)、切換規(guī)程、教育與培訓(xùn)，確災(zāi)難性情況下數(shù)據(jù)可提取，制度，明確銷毀數(shù)據(jù)范圍和流程，記錄數(shù)據(jù)刪除的操作時(shí)間、操作人、操作方式、數(shù)據(jù)內(nèi)容等相關(guān)信息。92政府?dāng)?shù)據(jù)的分級(jí)由數(shù)據(jù)的敏感程度劃分。政府確定該類型政府?dāng)?shù)據(jù)是否適合開放和共享、數(shù)據(jù)開【共享屬性】【開放屬性】【技術(shù)方案】93類系統(tǒng)內(nèi)置多種分類標(biāo)準(zhǔn)的分類分級(jí)包，滿足不），94規(guī)則算法，訓(xùn)練出推薦模型，給出分類分級(jí)推薦度【應(yīng)用效果】），級(jí)分類、為滿足網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法等法規(guī)提出數(shù)據(jù)保護(hù)要求打下堅(jiān)敏感數(shù)據(jù)智能識(shí)別及分級(jí)分類【場(chǎng)景描述】過去20年間，經(jīng)濟(jì)形態(tài)發(fā)生了很大的變有的還會(huì)損害企業(yè)甚至國(guó)家的信譽(yù)和利益。因【技術(shù)方案】務(wù)知識(shí)，分類過程需要企業(yè)調(diào)配相應(yīng)的業(yè)務(wù)資源進(jìn)行持續(xù)的配合，需要大量的時(shí)間和溝通成本。95變更，還需要企業(yè)花大量的人力物力進(jìn)行安全策略的更新，同樣給企業(yè)帶來更多的資源消耗?；趶?fù)合型指紋技術(shù)，對(duì)結(jié)構(gòu)化數(shù)據(jù)和非結(jié)安全檢查時(shí)做到相似度匹配。自動(dòng)化持續(xù)指紋任務(wù)可以做到對(duì)目標(biāo)數(shù)據(jù)的持續(xù)分析，目標(biāo)數(shù)據(jù)發(fā)生變化，時(shí)，智能學(xué)習(xí)和可以按照要求進(jìn)行定時(shí)、定量的【應(yīng)用效果】是常態(tài)。作為安全管理者，在資源有限的情況下必須實(shí)現(xiàn)針對(duì)數(shù)據(jù)的持續(xù)、智能的變成了數(shù)據(jù)資產(chǎn)。不依賴于數(shù)據(jù)的表面屬性，根和安全管理者從數(shù)據(jù)的業(yè)務(wù)屬性進(jìn)行分析，并通過96業(yè)形成了初期的數(shù)據(jù)安全基線后，保證數(shù)據(jù)安全基線全工作有效性的重要指標(biāo)。智能學(xué)習(xí)功能，能夠?qū)Σ⒃诖嘶A(chǔ)上不斷的更新智能分析的結(jié)果。接下來安傳輸中的數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，保證安全策略的持續(xù)有效性。對(duì)于一些特別重要的核心數(shù)據(jù)資產(chǎn)，如紅頭全部和部分都必須納入監(jiān)控范圍。智能指紋學(xué)習(xí)功能，能夠?qū)⒑诵臄?shù)據(jù)資產(chǎn)已數(shù)據(jù)指紋的方式進(jìn)行存儲(chǔ)。在不影響保密等級(jí)和范圍的情況下，完整的進(jìn)學(xué)習(xí)，形成數(shù)據(jù)指紋庫。策略通過調(diào)用指紋庫，對(duì)送檢數(shù)據(jù)進(jìn)行持續(xù)豐富整體智能分類分級(jí)策略，并構(gòu)建多維分類分級(jí)維度，提供交互式靈活數(shù)據(jù)運(yùn)營(yíng)、管控功能，基于用戶行為的數(shù)據(jù)安全異常檢測(cè)【場(chǎng)景描述】傳統(tǒng)網(wǎng)絡(luò)安全、存儲(chǔ)冗余、備份及集中化管理、桌核心數(shù)據(jù)資產(chǎn)的使用、傳輸、保管、銷毀的過難度，所面臨的關(guān)鍵問題及風(fēng)險(xiǎn)統(tǒng)計(jì)如下1）數(shù)據(jù)資產(chǎn)不清，梳理難度大2）數(shù)據(jù)共享缺乏統(tǒng)一管理，泄露風(fēng)險(xiǎn)大3）數(shù)據(jù)合規(guī)性風(fēng)險(xiǎn)4）數(shù)據(jù)安全管理風(fēng)險(xiǎn)。針對(duì)上述關(guān)鍵問題，綠盟提出基于用戶行為上，通過多種統(tǒng)計(jì)及機(jī)器學(xué)習(xí)算法建立用戶97【技術(shù)方案】有效發(fā)現(xiàn)內(nèi)網(wǎng)用戶橫向攻擊和違規(guī)操作、以業(yè)務(wù)用戶者身份入侵到內(nèi)網(wǎng)，利用內(nèi)部人員身份盜取基于機(jī)器學(xué)習(xí)技術(shù)，采用以用戶/實(shí)體為中心的分析方法，運(yùn)用數(shù)據(jù)模型和規(guī)則，對(duì)用戶和實(shí)體的行為的行為基線算法，訓(xùn)練生成動(dòng)態(tài)的數(shù)據(jù)行為基線模型；利用動(dòng)態(tài)行為基線做檢測(cè)，當(dāng)數(shù)據(jù)行為發(fā)98時(shí)間序列模型：基于時(shí)間序列分解的異常行為分析發(fā)現(xiàn)和提取行為中序列突發(fā)成分;然后基于向成可劃分的訪問行為簇，從訪問者的角度提取出可訪問基線，從被訪者角度提取被訪99【應(yīng)用效果】基于語義的敏感文檔識(shí)別【場(chǎng)景描述】息過載、網(wǎng)絡(luò)內(nèi)容安全、信息泄露等問題日感數(shù)據(jù)的外泄對(duì)企事業(yè)單位、甚至國(guó)家安全和何有效、快速識(shí)別敏感數(shù)據(jù)就成了需要解決的重要據(jù)外泄與增強(qiáng)泄密隱患的發(fā)現(xiàn)能力具有重要的意義頻、音頻等。本案例關(guān)注的是最常見的一種傳統(tǒng)的敏感文檔識(shí)別技術(shù)主要基于關(guān)鍵詞表與敏感文檔識(shí)別的主要依據(jù)。然而，現(xiàn)實(shí)中有中，會(huì)預(yù)先指定一些文檔為敏感文檔，需要檢測(cè)識(shí)比如內(nèi)部會(huì)議紀(jì)要等。針對(duì)這種需求，核心問題是高頻詞表作為判斷依據(jù)。但是這一方法不能準(zhǔn)確捕系統(tǒng)使用語義層次分析技術(shù)，能夠識(shí)別出與指定敏感【技術(shù)方案】?jī)?nèi)容并進(jìn)行分詞，再應(yīng)用詞嵌入模型將其轉(zhuǎn)換為詞也可以通過使用具體領(lǐng)域的相關(guān)語料進(jìn)行預(yù)訓(xùn)練得這一技術(shù)方案的核心是在文檔相似度計(jì)算中采用了基于語料庫算法中的無監(jiān)督學(xué)習(xí)方法——詞移距一段中的每一個(gè)詞都能移動(dòng)到另一段中的某的距離，所有詞對(duì)的距離之和就是這兩段文詞嵌入向量的權(quán)重，兩段文字的加權(quán)詞移距離【應(yīng)用效果】相比于前述的傳統(tǒng)方法，采用本方案的敏感督學(xué)習(xí)的方法，其總體準(zhǔn)確率仍有改善提升的空間。人工智能賦能物聯(lián)網(wǎng)安全防護(hù)【場(chǎng)景描述】物聯(lián)網(wǎng)系統(tǒng)是一種虛擬網(wǎng)絡(luò)與現(xiàn)實(shí)世界實(shí)時(shí)暴露的危險(xiǎn)。隨著物聯(lián)網(wǎng)的迅猛發(fā)展，安全問題為：對(duì)感知層的攻擊、對(duì)網(wǎng)絡(luò)層的攻擊、對(duì)應(yīng)用層的和繁瑣的工作。在此種情況下，物聯(lián)網(wǎng)中設(shè)備就能接觸到這些設(shè)備，從而對(duì)設(shè)備或其嵌入其的軟硬件，對(duì)它們進(jìn)行非法或者破壞性操控。輸往往需要在異構(gòu)的網(wǎng)絡(luò)之間進(jìn)行，物聯(lián)網(wǎng)在信息線信號(hào)很容易成為攻擊者竊取和干擾的對(duì)象。大量也可以在物聯(lián)網(wǎng)無線信號(hào)覆蓋的區(qū)域內(nèi)，通過發(fā)射工作，甚至癱瘓。網(wǎng)絡(luò)層主要面臨的威脅有：DDoS攻擊、物聯(lián)網(wǎng)使得人們隨時(shí)隨地都可以方便快捷地將會(huì)不受控制地被掃描、定位及追蹤。應(yīng)用層主要面臨的威脅有：DDoS攻擊、針對(duì)上述問題，恒安嘉新研發(fā)基于人工智能的物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)，包括數(shù)據(jù)采集層、數(shù)據(jù)處理層、【技術(shù)方案】人工智能技術(shù)等技術(shù)相結(jié)合，構(gòu)建沙箱研判深度實(shí)時(shí)分析為基礎(chǔ)，形成物聯(lián)網(wǎng)安全事件的全物聯(lián)網(wǎng)安全檢測(cè)與態(tài)勢(shì)感知平臺(tái)：集成了物聯(lián)網(wǎng)卡人工智能安全模型技術(shù)，基于機(jī)器學(xué)習(xí)的實(shí)時(shí)流量識(shí)別技術(shù)，基于人工智能技術(shù)的高級(jí)持續(xù)基于機(jī)器學(xué)習(xí)的實(shí)時(shí)流量識(shí)別技術(shù)：實(shí)現(xiàn)“5°空間畫像”，即：攻擊軌跡、網(wǎng)絡(luò)資產(chǎn)、流量占比、文件、失陷資產(chǎn)。系統(tǒng)通過5°空間畫像實(shí)現(xiàn)有和虛擬機(jī)有關(guān)的指紋、模擬網(wǎng)絡(luò)、模擬用戶對(duì)系統(tǒng)的使用痕基于海量接入的安全威脅溯源技術(shù):物聯(lián)網(wǎng)萬物互聯(lián)海量接入的設(shè)備，引入海量的數(shù)據(jù)和安全問題?；谌斯ぶ悄艿奈锫?lián)網(wǎng)安全防護(hù)系統(tǒng)功能架構(gòu)圖如下物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)主要由業(yè)務(wù)采集層、數(shù)據(jù)處理層、業(yè)務(wù)支撐&數(shù)據(jù)服務(wù)層、展示層四大部分建設(shè)美安全檢測(cè)和感知系統(tǒng)，及時(shí)發(fā)現(xiàn)系統(tǒng)的已知威脅和潛在威脅，提供準(zhǔn)確及時(shí)的安全威脅信息和應(yīng)對(duì)策2)可擴(kuò)展的物聯(lián)網(wǎng)安全數(shù)據(jù)中心：采用多樣的、可適配數(shù)據(jù)源的方式對(duì)物聯(lián)網(wǎng)安全相關(guān)數(shù)據(jù)進(jìn)行采集、清洗、標(biāo)準(zhǔn)化、存儲(chǔ)，提供離線、實(shí)時(shí)、全3)開放式物聯(lián)網(wǎng)安全分析架構(gòu)：基于高質(zhì)量的安全數(shù)據(jù)，物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)提供數(shù)據(jù)開放，各應(yīng)用可向物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)訂閱數(shù)據(jù)用于自身的分4)可視化物聯(lián)網(wǎng)安全態(tài)勢(shì)：實(shí)現(xiàn)物聯(lián)網(wǎng)綜合安全態(tài)勢(shì)，并對(duì)物聯(lián)網(wǎng)安全態(tài)勢(shì)、威脅預(yù)警和風(fēng)險(xiǎn)通告以圖形化展示，可為各類用戶分配賬號(hào)，提供直觀、強(qiáng)大、清晰的安全風(fēng)控和預(yù)警能力，以及重大問題、【應(yīng)用效果】1)分析研判的效果與監(jiān)測(cè)的覆蓋率密切相關(guān)，需逐步推進(jìn)監(jiān)測(cè)分析的覆蓋范圍；2)異常訪問的特征和識(shí)別方式還需要不斷升級(jí)，雖然當(dāng)前識(shí)別算法已可就常見的主要物聯(lián)網(wǎng)異常進(jìn)行識(shí)別，但仍有與行業(yè)和特色物聯(lián)網(wǎng)服務(wù)的異人工智能賦能工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)服務(wù)平臺(tái)【場(chǎng)景描述】生了工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與安全服務(wù)訴求。工業(yè)互聯(lián)的工業(yè)控制系統(tǒng)在引入了工業(yè)以太網(wǎng)和TCP/IP等開傳統(tǒng)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)攻擊通過互聯(lián)網(wǎng)侵入到工控系中安全攻擊事件屢見不鮮。在整個(gè)數(shù)字化轉(zhuǎn)型建設(shè)中針對(duì)上述問題，恒安嘉新借助人工智能技術(shù)助威脅識(shí)別和風(fēng)險(xiǎn)研判、輔助安全事件處置，賦能工業(yè)互聯(lián)網(wǎng)監(jiān)測(cè)和威脅處置服務(wù)，適用于工業(yè)制造、能源工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)服務(wù)平臺(tái)可部署在企業(yè)出入口，為工業(yè)企業(yè)提供暴露資產(chǎn)監(jiān)測(cè)、安全事件監(jiān)測(cè)、數(shù)據(jù)泄露監(jiān)測(cè)、異常流量監(jiān)測(cè)等服務(wù)，并提供本單位整體安全態(tài)勢(shì)，適用于工業(yè)企業(yè)自建防護(hù)手段場(chǎng)景，【技術(shù)方案】不同部署環(huán)境的流量識(shí)別和分析，通過松耦合架構(gòu)建模等技術(shù)手段實(shí)現(xiàn)性能優(yōu)化。采用基于網(wǎng)絡(luò)、協(xié)下，從數(shù)據(jù)流中提取的特征屬性，構(gòu)建工業(yè)互聯(lián)網(wǎng)安性主要包括數(shù)據(jù)包特征和數(shù)據(jù)流特征，數(shù)據(jù)包特征主及數(shù)據(jù)包