流量威脅檢測的重要性不言而喻。
回顧發展歷程,交通威脅檢測技術經歷了從常規匹配到句法和語義匹配,再到統計分析與行為分析相結合的機器學習小模型等技術路線。
我們可以窺見一下體現它的攻擊方式的公升級迭代:從一開始特徵明顯,逐漸變成弱特徵,甚至是組合使用系統性的攻擊方法,再到最新的智慧型方法。
《世界網際網絡發展報告2023》顯示,網路攻防進入智慧型對抗時代,低成本自動化的新型網路攻擊形式層出不窮。
攻擊者已經在使用大型AI模型,快速構建攻擊工具,並批量生成混淆攻擊**,並結合全方位的立體攻擊方式(如0day漏洞攻擊、針對性釣魚、C2加密通訊等)。 許多人仍然痴迷於通過不斷堆疊規則(包括整合基於雲的智慧型)來讓傳統檢測引擎響應新的威脅,但這無異於用雞蛋砸石頭。
深信服不走老路,用遊戲規則改變者的思想創造了一種獨特的方式——用大模型賦能流量檢測。
打破傳統檢測引擎
超越通用模型的六大能力
深信服安全GPT可以作為檢測引擎,賦能態勢感知等傳統安全裝置,具備對未知攻擊意圖的理解、異常判定、混淆減少的能力,並完成了檢測模型的標準化。
基於數千萬語料庫、千億級代幣的高質量訓練資料積累,早在今年4月,安全GPT檢測大模型的效果就已經明顯超越了業內眾多基於規則和小模型的流量檢測引擎。 經過5000萬樣本的內部資料檢測,與傳統流量檢測裝置相比,安全GPT的檢測率從平均57提公升4% 至 924%,誤報率增加426% 至 43%。
從實踐到實踐,安全GPT檢測模型一次又一次地證明了它的實力:
1.多方連續驗證檢測效果
8月,在2024年大規模實戰攻防演練中,安全GPT檢測模型在沒有任何先驗知識的情況下,在現場發現了50+0day漏洞利用攻擊。
從9月到11月,深信服藍服根據檢測模型的研究判斷結果,捕獲了32個野外利用的零日漏洞,並向監管機構報告了漏洞詳情。
10-11月,對安全GPT模型進行了多位使用者的驗證,結果顯示,安全GPT對25個高度混淆資料包的檢出率為100%(可以繞過傳統引擎和通用大模型GPT-4),而對於三層混淆樣本,既沒有檢測到傳統引擎,也沒有檢測到通用大模型GPT-4在實際網路環境下,業界傳統SoC和NDR產品的檢出率為125%,安全GPT檢出率高達974%。
2.所有六種能力都超越了一般模型
結合安全專家的經驗,我們認為服從六緯評估安全GPT檢測大模型的效果,哪些是最佳的理解能力、對攻防對抗的理解能力、對模型的推理能力、對安全基礎知識的了解能力、編排任務的能力、 以及消除模型錯覺的能力。
結果表明,安全GPT檢測模型的6種能力均優於通用模型。
我們知道,檢測高度依賴於理解攻擊的能力**。 一般大模型的引數至少為十億,其理解、泛化、表達能力遠遠超過傳統的機器學習小模型,無法與傳統的規則引擎相提並論。
如今,一般的大模型可以高層次、準確地解讀複雜的攻擊,不亞於高階人類專家。 然而,深信服真正將大模型的能力應用於實時流量檢測和判斷,並取得了更好的效果。
安全GPT檢測模型就像乙個流量研究判斷專家,懂攻防,懂得最好,懂協議,不斷檢測分析流量,從而發現傳統檢測引擎無法發現的高對抗、高繞過的流量攻擊。
為什麼安全GPT檢測的大模型會降低維度?
深信服通過知識提煉、模型量化、模型剪枝、注意力機制優化等方式,將安全GPT的推理效能提公升50倍,實現對實際網路環境下實時流量的實時檢測。
因此,在實戰測試面前,安全GPT取得了壓倒性的勝利,從以下三個方面,幾乎到傳統檢測引擎降維攻擊。
1.樣本數量少 無需樣本即可檢測新威脅
傳統的語義分析技術開發成本高,無法應對新語言,導致傳統檢測引擎無法抵禦零日漏洞和高逆向攻擊。
通過學習大量開源特徵,安全GPT檢測模型對首先的語義有了深刻的理解,從傳統的GAP Payload特徵檢測發展到對整個資料包進行綜合分析的維度,可以在弱特徵攻擊中挖掘出真正的攻擊目的, 從而實現精準檢測,減少誤報。
大型安全GPT檢測模型還可以繞過類,實現更強的泛化能力,甚至可以在少量樣本中沒有樣本的情況下,基於Zero Few-Shot技術檢測新威脅,從而大大提高零日漏洞攻擊的檢測率。
2.解決行業在攻擊結果分析中存在的問題
眾所周知,判斷一次攻擊是否成功是業界的難題,也是安全運營工作的主要環節。 傳統的攻擊成功檢測引擎主要面臨三大問題:攻擊成功無回聲、成功特徵不固定、有效載荷難以理解混淆。
安全GPT檢測模型不僅可以還原攻擊中被混淆的負載,還可以動態識別響應報文中是否存在攻擊成功的特徵。 在下圖中,通過將混淆後的有效載荷恢復到最簡單的模式Whoami,安全GPT可以準確識別攻擊意圖,並進一步關聯分析響應的內容,從而判斷攻擊是否成功。
同時,對於成功的攻擊場景,不同的命令有不同的回顯,有些命令回顯不能提及規則(例如whoami回顯zhangsan)。 安全GPT檢測模型在對大量垂直領域資料進行訓練後,可以找出潛在攻擊成功回波的特徵。
3.自然語言助力有效的告警研究與判斷
傳統的檢測引擎只有在提供威脅事件的證據時才能突出顯示惡意點。 然而,安防操作人員的能力參差不齊,該方法無法直接有效地輔助其告警研究和判斷,往往導致對高危事件的漏判和誤判。
安全GPT檢測模型可以利用自然語言對訊息進行多維度分析,輔助運營人員高效研究判斷告警,突破人員能力和精力瓶頸,真正實現“1名普通工程師+安全GPT檢測模型=N名安全專家”。
安全GPT檢測模型是如何製作的?
深信服作為國內最早應用AI的網路安全廠商之一,早在2024年就投入了決策AI技術的研究和應用。 2024年,深信服持續加大AI技術,確立了AI FIRST研發戰略,在網路安全和雲計算領域取得了切實有效的AI技術突破。
因此,深信服積累了完善安全GPT的必要要素:
1.用於 AI 模型訓練的高質量資料和計算能力
持續積累1000億級代幣安全語料庫。
自動化訓練資料生成和質量管理平台。
55W+安全裝置及元件接入雲端。
每天有數千萬個訓練樣本更新。
基於託管雲的分布式計算平台。
2.雲網側智慧型產品架構
在整個實施過程中收集資料、模型訓練和部署安全產品。
中國率先推出了SASE和MSS等基於雲的產品和服務。
Genius AI研發平台的模型訓練速度提公升了35次。
全國100+節點託管雲,支援在使用者附近部署安全GPT。
3.四合一專家團隊
快速打造一支兼顧安全與AI的專業團隊。
深信服認為,“大模型+資料+安全與演算法專家”形成的飛輪效應,將持續為安全GPT在威脅檢測方面的提公升帶來巨大潛力。
天下沒有路“,深信服將踏上獨具特色的安全GPT檢測模式之路,持續引領先鋒體驗,致力於讓每一位使用者在安全面前領先一步。