基于“AI+网络安全检测”的智能自动化渗透测试机器人(让安全更有价值)

8月 27,2019by admin

一、产品概述

 
“小智“是国内率先实现“AI+信息安全攻防”的智能白帽子机器人。他能够将现有的白帽子经验转化为机器可存储、识别、处理的固化经验,并且借助人工智能算法不断进行“智力”成长和逻辑推理决策,从深度和广度两方面更有效的挖掘目标存在的风险点。他基于专家系统,将处理逻辑数字化,实现自主探测、利用和决策、关联分析,自动输出实时处理结果,通过将黑客渗透信息系统的思路转化为人工智能的模型进行自动化的能力输出,打破传统自动化渗透检测平台针对威胁利用的单一性和不连贯性,以贴近实际人工渗透过程的方式主动发现信息化系统的风险点,提供提前预警、辅助渗透测试过程和风险解决建议的服务,是主动型的监测方式。该产品突破传统人工检测的固有局限性,是可以作为一个不眠不休的工程师对企业进行7*24的安全检测,降低人工成本。

 
同时,“小智”可以对每一个目标自动绘制攻击路径,把攻击流程可视化,用户可以直观看到我们的产品是如何进行安全检测和处理,可以帮助初级安全人员清晰的了解整个过程,提升自身技能。

 
二、现状分析

 
1.市场现状
目前,传统安全检测大部分过于依赖人工方式,基本上是寻求传统的信息安全服务商以白帽子黑客进行人工渗透测试的方式,这种方式虽然能达到企业短期的检测需求,但是在交付方式、工作效率、标准化程度、行为及数据可控性都有非常多的不足。再者,目前市面上大多安全检测产品采用的网络信息系统安全检测技术,主要是采用模糊测试方法对目标系统进行全量漏洞探测,再加上POC(漏洞验证)做一些指纹和漏洞的关联,但这些还算不上智能。同时,传统安全检测工具,不管是Fuzz型还是基于Poc的精准型,都存在误报和漏报的情况,有自身的局限性和弊端。如何实现智能、简化流程、降低操作门槛甚至解放人力,并达到高于人工作业的效果预期是我们产品的攻克方向。

 
2.企业现状
目前企业存在以下问题:
①业务快速发展,资产数量庞大、种类繁多、变更频繁,需要持续性漏洞挖掘。

 
②海量电力web系统点多面广、广泛互联,基于红队的手工漏洞隐患排查、监督检查效率低下,导致公司业务系统运行时漏洞隐患快速排查和处置能力不足,需要智能自动化漏洞挖掘、监督检查。

 
③传统漏洞隐患主动探测扫描技术对网络和业务连续性干扰大,漏洞判定结果不准,导致公司业务系统安全隐患掌握不及时、防御水平掌握不准确,需要低干扰、精准漏洞扫描挖掘工具。

 
④现有渗透测试人才孵化机制,孵化效率低,人员技术水平差距大,缺乏持续性真实业务渗透测试经验输出。

 

 
传统测试流程,受限于渗透测试人员技术水平,选取的渗透测试路线的选择无法做到最优,存在大量不可确定因素,影响整体渗透测试结果输出。

 

三、实现基础

 
研发团队拥有十余年的网络攻防经验,在国家重点行业和单位的项目检测经验为产品提供了实践基础和测试环境。同时,四维创智一直在对“智能”方向潜心专研,目前在该领域已拥有成熟的自动化渗透测试产品——天象综合渗透测试平台2.3版本,是国内首款实现了安全检测工具智能模块化的应用型检测工具。从开始的自动化渗透测试的探索和企业实践,到最终形成这样一套具备“逻辑思维”的安全检测工具。我们遵循现有的智能安全发展思路,下一步将在威胁特征多样性处理上、多环节跨平台自动流程化、跨领域知识库自我学习系统化方向上进行实践,让他成为更聪明的小智。

 
四、实现路径

 
该产品的核心思路是处理逻辑的数字化,打造一款可实现从发现、决策到漏洞利用可自主完成,达到理想化的智能安全检测。首先要构建一个决策树,即专家推理系统,依托于庞大的特征库和知识图谱,例如已有系统的页面特征、流量特征与特定漏洞的关联关系等,以及我们把“遇到某个问题应当采用或调用某个工具来验证和利用”诸如此类问题的处理经验,以数字化的形式进行转换,以此来赋予它决策和判断的能力,最终形成一个专家推理系统。在无需人工辅助的情况下,清楚的知道每一步要做怎样的处理。同时,我们研发了一套决策经验转化语言,方便有经验的安全工程师往里面输入各种攻击检测经验,随着时间积累,小智的脑容量会更大,也会更“聪明”,处理方式会更精准和系统。

 
还有一个很重要的是联动决策。其意义在于可以组合多个漏洞进行利用,即当两个或多个漏洞同时存在时,我们可以把多个漏洞的结果进行组合进行深一步的利用。这个相较于其他检测工具是有核心区别的,这其实也是资深渗透测试工程师和刚入门新手的差距体现,处理效率会越来越高,处理结果会更具价值。

 
五、技术核心

 
一是通过知识图谱技术,将概念上互相独立的系统的页面特征、流量特征与特定漏洞以“实体-关系-实体”或“实体-属性-属性值”的三元组关系进行结构化的存储,建立起页面特征、流量帖子和特定漏洞之间的关联关系,并对实体间的关联关系进行形象化的展示,完成对大规模非固定结构渗透数据的高效存储和快速检索;同时有助于对漏洞进行关联分析,最终实现对渗透路径的预测。

 
二是通过机器学习手段,大量训练特定漏洞(如上传漏洞、验证码识别)的探测与利用方法,解决这些漏洞无法通过传统手段检测的问题。

 
三是基于网络安全专业技术人员在信息收集、工具选择、单一漏洞扫描、逻辑漏洞检测、组合漏洞利用等漏洞挖掘方面的技术经验,构建“专家系统”,建立多个漏洞组合利用模型,达到中高级专业黑客水平的自动化渗透测试,并能根据推理系统组合多种漏洞进行深度漏洞探测。

 

 
知识图谱:数据关系、专家经验通过知识图谱三元组进行存储。
专家系统:用于分析渗透路径规划、动态决策。
机器学习:(部分工具不支持或者误报率高)
文件上传漏洞
验证码识别
流量分析
Webshell检测
漏洞特征分析
Web指纹识别

 
六、产品优势

 
1、独创“黑客语言”,海量渗透逻辑数字化存储
独创“黑客语言”即DPL(决策规划语言),作为专家渗透经验与自动化渗透模块的桥梁,把“遇到什么问题该怎么办“进行数字化描述,渗透人员可根据“黑客语言”语法进行经验编写,将抽象的经验化的渗透思路结构化,作为自动化渗透的依据。除经验转化之外,“黑客语言”还可以进行脚本输入和知识图谱生成。

 
2、具备逻辑推理能力,依环境变化动态规划渗透测试方案
可根据当前网络安全环境的变动,动态规划新的渗透测试策略和方案。当一个资产弱点被修复后,平台将会自动根据加固后的资产状态进行新的渗透方案制定,加载新的渗透思路,保证渗透工作持久性。

 
3、多位面漏洞联动利用,达到1+1>2的发散式漏洞利用效果
通过漏洞联动系统中的漏洞联动经验,可以对不同类型的漏洞进行联动利用。当针对同一个目标出现多个资产弱点时,平台将根据弱点详情进行组合漏洞攻击,触发新的漏洞。

 
4、渗透测试过程可视化,快速提升队员能力和经验
针对每一个渗透任务,绘制渗透知识图谱,清晰展示渗透过程、渗透思路;平台还将融合所有渗透经验,绘制当前所具备的全景知识图谱。

 
5.经验积累型阶梯式成长,提升渗透测试效果
系统中的专家渗透经验可以不间断更新和录入,使得小智可以利用最新的渗透经验,并达到不断累积和成长的目的。

 
6.智能渗透测试,精准、快速、低误报
AI赋能漏洞检测技术,弥补企业安全人员水平参差不齐,漏洞检出率和漏洞覆盖率低和误报等问题。以AI技术为实现基础,结合专家经验,真正实现业务逻辑漏洞的精准检测。

 
七、产品目标

 
产品计划是一个核心,三大基本点。

 
核心:赋予产品逻辑思维,实现智能自动化,即自学习、自成长、自决策。

 
三大基本点:
一是工具,一款易用、好用的工具。解放人力,解决传统安全检测产品的误报、漏报问题,并通过漏洞组合利用,对发现的特定问题继续深度分析、利用和关联分析。使对安全有需求的企业不再拥有一个工具,而是一个不眠不休的安全管家;

 
二是人才,致力人才培养。小智特有的基于知识图谱的渗透测试路径绘制,将渗透过程清晰的展现出来,变成教科书式案例供初级安全人员学习,大大降低人员培养的时间成本,人才孵化更有效率;

 
三是经验,注重经验转化。通常,经验是难以具象化的,小智特有的DPL语言,将安全专家经验得以存储和转化,随着经验增加,小智也共同成长,成为具象化的可储存的经验库,并作用于渗透测试精准结果。

 
八、业务价值

 
漏洞威胁定级

威胁等级不再单独依赖于漏洞类型,根据最终渗透深度、风险影响范围界定漏洞威胁等级。

 
减轻业务干扰
平台会针对目标安全防护所要求的访问基线进行扫描探测,降低传统扫描对业务带来的影响,并且降低安全检测设备封禁风险。
 
持续漏洞挖掘
通过任务控制,平台可进行持续性、常态化资产漏洞渗透挖掘工作,实现网络安全隐患的源头消控。

 
降低管控成本
可联合我司猎鹰安全运维管理平台、天象综合渗透测试工具库,形成对全网安全漏洞的闭环管控和智能管控体系,降低企业漏洞安全隐患管控成本。

 
渗透经验输入
通过将高水平渗透工作人员的经验导入,所有用户均可进行访问学习,提高高级渗透工程师渗透经验的转化效率。

 
渗透经验输出
针对低水平渗透工作者,平台针对每一个目标的渗透经验输出,即是一起实战学习案例,通过平台常态化运行,提升组织人才孵化效率。