四维创智在2019世界物联网博览会上发表AI赋能自动化渗透测试的演讲

9月 9,2019by admin

2019年9月7日-9月10日,备受瞩目的2019世界物联网博览会将在太湖国际会展中心召开。自2016年开始,大会已成功举办三届,四维创智2018年就曾在物联网信息安全高峰论坛上发表关于车联网安全检测的相关演讲。时隔一年,四维创智以AI技术在渗透测试方向中的最新技术成果为契机,发力智能安全,再次受邀发表关于《人工智能在网络攻防对抗中的的应用》演讲,这与本次大会“融合创新·万物智联” 的主题相契合,凸显出人工智能的前沿技术与传统网络安全的相互融合,促进网络安全建设体系的全面升级。
 

 
其中,信息安全高峰论坛暨第十二届信息安全漏洞分析与风险评估大会是世界物联网博览会的重要组成部分。四维创智CEO司红星代表出席攻防与应急保障专题论坛,具体探讨如何让人工智能赋能安全,给传统安全工具带来技术上的变革和全新突破。以下是演讲部分内容摘要。
 

 
网络安全分为事前、事中、事后三个阶段,事前是渗透,即发现漏洞,事中是检测,事后是应急。那么如何做好事前第一波的工作,是我们现在要做的改变,也有一些思路与大家。
 

 
目前网络环境的治理必须要依靠先进的网络技术,这就需要人工智能技术充分发挥其自身的作用。传统意义上,我们会认为网络安全的保障工作主要是实现在“攻击”和防御之间的相互作用和协调,查缺补漏。例如,在安全检测方面,基本上是寻求传统的信息安全服务商以白帽子黑客进行人工渗透测试的方式,这种方式虽然能达到企业短期的检测需求,但是在交付方式、工作效率、标准化程度、行为及数据可控性都有非常多的不足。基于传统防治方式的局限性,而人工智能技术的较多关键技术特征恰恰可以弥补网络信息处理存在的诸多不确定性。
 

 
AI已经广泛应用于攻击检测领域,主要是WEBSHELL检测、恶意流量检测等,Github有很多的优秀开源项目,这里不再赘述。今天主要针对渗透测试方面,向各位业内专家汇报一下我司的研究成果。纵观人工智能技术在目前的安全工具中应用,不外乎我们在三个方面重点突破,一是如何转化和存储特定领域的知识,二是如何获取新知识,即自学习的机制,三是如何调用存储知识进行自动运行的机制。
 

 
例如在存储和新增知识方面,我们知道高手和小白之间的差距其实就在于经验,那经验是什么呢?即遇到什么问题该怎么办这样一个解答。我们需要做的就是量化它,这样无论对于专家摆脱繁复的工作,初级安全人员参照经验进行技能提升,以及企业提升安全等级,降低人才损失都有很大价值。基于这样的思路,我们团队开发了一套黑客语言,即DPL(Decision Plan Language)语言,将黑客的经验存储至决策系统。我们基于自主研发的渗透测试框架,在这种脚本语言中,定义了各种逻辑,比如[when]参数,即指定触发条件,[action]参数即指定了后续的动作,我们基于这种思路,把相应的渗透测试思路进行批量存储,这样子在遇到特定问题的时候,系统就会触发相应的动作,直至完成全自动化渗透。
 
在调用方面,我们赋予他动态规划渗透测试方案,进行漏洞组合利用的能力。其中,专家系统、机器学习、深度学习以及知识图谱等关键技术都不同程度的给自动化渗透的深度、精度、广度提供必要助力。例如在知识图谱技术上,我们将概念上互相独立的系统的页面特征、流量特征与特定漏洞以“实体-关系-实体”或“实体-属性-属性值”的三元组关系进行结构化的存储,建立起页面特征、流量帖子和特定漏洞之间的关联关系,并对实体间的关联关系进行形象化的展示,完成对大规模非固定结构渗透数据的高效存储和快速检索;同时有助于对漏洞进行关联分析,最终实现对渗透路径的预测。再如,用深度学习算法解决验证码识别、指纹识别问题等等。
 

 
我们已在8月进行新品发布,该系统当前阶段,我们一是会通过内部邀请渗透测试工程师来加入内测进行优化。贡献经验、漏洞的工程师,将会获得该产品的商用版一年免费使用权(前提是扫描目标要有授权书);二是我们会在现有客户群中,寻找愿意深度合作的客户。我方将派出一线工程师为其免费做渗透测试,同时在实战中优化渗透经验、渗透脚本,让AI运用于渗透测试当中的优势更加凸显。