安全智能分析系列（一） | 智能突围，绿盟科技推出SecXOps技术体系 - 新鲜讯息

全文共2389字，阅读大约需5分钟。

随着网络空间的攻击面的延伸和拓展，网络空间攻防双方信息不对称的现象愈发明显。伴随着攻防对抗态势的升级，自动化技术、智能化技术与安全分析技术融合的安全智能分析技术已成为网络安全技术发展的必然趋势之一。绿盟科技于近日推出安全智能分析技术白皮书《智能基座，开启安全分析新时代》，旨在对SecXOps概念内涵、技术优势、核心能力、关键技术和应用实践进行全面地总结与介绍，期望为读者带来全新的技术思考，助力网络安全智能分析实现自动化、智能化进阶。本文为安全智能分析白皮书精华解读第一篇，将重点介绍安全智能分析的发展背景、关键技术挑战以及SecXOps技术体系。

一

安全分析的发展背景与趋势

随着APT攻击等高隐蔽未知威胁的出现和演进，传统安全分析技术难以满足APT攻击检测的要求，亟需融合多手段的检测技术来应对种类日益多样化的安全威胁攻击。在安全威胁具有更强的杀伤力与隐蔽性的形势下，结合大数据和人工智能技术的安全智能分析成为新一代安全能力的关键，是网络空间安全的重要发展方向之一。

由于APT攻击等网络威胁利用大数据分析、自动化工具等先进技术来提升恶意攻击的效率和隐蔽性，倒逼网络安全分析突破依赖安全专家的传统“人工”阶段，进入安全智能分析阶段。安全智能分析运用人工智能技术从安全大数据中进行威胁检测分析，直接或间接地提高安全分析效率，在实际攻防实战中充当智能化助手的角色，帮安全分析员更加快速地定位威胁攻击，提升安全分析的自动化、智能化水平。回顾网络安全分析发展历程，可以将安全分析技术发展大致划分为三个阶段，包括基础级、领先级、卓越级，如图1所示

图1 网络安全分析发展阶段

二

安全智能分析面临的挑战

随着各个国家的重视和布局，大数据技术和人工智能技术发展迅速，相关自动化与智能化的识别和处理能力、数据分析能力逐渐与网络安全技术进行了深度协同，对网络安全的技术、方法、应用产生了重要影响，促进了网络安全技术的变革性的进步[1]。可以预见的是安全数据采集和智能安全数据分析技术的成熟将会大幅提升网络安全威胁检测、网络安全风险评估等关键安全防御环节的效率，大幅减少对网络安全专家的依赖，有效地降低企业、组织乃至国家级关键信息基础设施、数据资产的整体安全风险[2]。因此，安全智能分析能力的提升已经成为安全能力落地、发挥网络安全防御有效性和对抗APT等高级威胁最直接、最关键的环节之一。面对日趋白热化、持续化的网络攻防对抗环境，安全智能分析也在多个方面面临着诸多挑战。

数据治理

企业数字化转型浪潮的来临，多源异构数据的爆发式增长，使数据治理得到了企业的普遍关注和重视。大规模数据蕴藏的巨大潜在价值吸引着攻击者对集中存储的数据进行窃取，因此，对海量数据的管理是企业亟待解决的一项艰巨任务。

模型开发

在很多场景下，不同领域的模型针对某一特定场景的任务在准确率、查准率、查全率和时间复杂度等很多指标上都有明显的鸿沟，无法将其他领域的模型直接应用到一个新的领域。

模型交付

由于实验室中的算法模型的分类结果依赖收集到和标定好的数据集合，在实际应用场景下，数据分布的变化、数据复杂度的提升等因素可能会导致大部分实验室中表现良好的模型面临失效的困境。

模型运营

针对不同的场景、不同的数据、不同的算法需要采用不同的数据处理方式，模型更新完成后又需要与产品开发人员对接，导致运营、研究、开发多个部门之间耦合程度过高，造成人力和时间的浪费。

AI工程化

基于AI的网络安全分析模型在真实场景的工程化需要考虑诸多因素，包括真实场景中算法效果的局限性，上下游数据是否具备可用性，算力是否能够支撑安全分析算法的运行实现，以及性能的消耗等。

三

SecXOps技术体系

运维（Ops）发展至今在企业中的重要性越来越高，随着各行各业数字化规模越来越大，组件监控粒度越来越细，不断有新技术和组件被引入运维体系。运维体系不断向着多元化方向发展，XOps即其他技术与Ops的融合，随着不同的Ops发展，XOps已成为定义DevOps、DataOps、MLOps、ModelOps、Platform Ops for AI等组合的总称。Gartner指出XOps的目标是使用DevOps的最佳实践实现效率和规模经济，在确保可靠性、可用性和可重复性的前提下，减少技术和流程的重复，实现进阶自动化[3]。总的来说，XOps技术促进企业组织通过数据和分析的运营技术赋能业务，推动提升业务价值。

SecXOps即XOps for security，以XOps与安全场景的融合为基础，由安全数据资产高质可信、安全模型全生命周期管理、安全模型高精度定制、安全模型自动化运营、AI工程化持续保障五大核心技术能力组成，在保证安全性的同时，减少技术和流程的重复，实现网络安全分析自动化、智能化进阶，是未来应对网络空间高级、持续、复杂威胁与风险不可或缺的关键技术之一。

图2 SecXOps核心技术能力拆解

SecXOps将XOps实践扩展到网络安全领域，从安全数据治理、ML模型管理、AI模型管理和底层基础设施建设等各个阶段建立强大的DevOps实践，以支撑安全数据治理与安全模型训练、管理和监控，发挥Ops技术在安全领域的巨大潜在价值，为网络安全的数据分析人员、ML工程团队、应用开发团队和安全运营团队的协作搭建安全、兼容和经济高效的平台，从而实现基于AI的安全系统的持续交付。其技术优势如下图3所示：

图3 SecXOps技术优势

四

总结

本技术白皮书描述了安全智能分析背景和趋势，以及面临的挑战，提出了SecXOps概念内涵、技术优势以及核心能力，从安全分析的实践出发，重点总结了SecXOps关键技术在五个安全分析场景中的应用实践。

后续精华解读，将介绍SecXOps技术在网络安全的实际场景中的应用，敬请期待。

参考文献

1. 方滨兴, 时金桥, 王忠儒,等. 人工智能赋能网络攻击的安全威胁及应对策略[J]. 中国工程科学, 2021, 23(3):7

2. 《AISecOps 智能安全运营技术白皮书》. Available from: http://blog.nsfocus.net/wp-content/uploads/2020/12/AISecOps_White_Paper_NSFOCUS_20201218.pdf.

3. Gartner Top 10 Data and Analytics Trends for 2021. 2021; Available from: https://www.gartner.com/smarterwithgartner/gartner-top-10-data-and-analytics-trends-for-2021.

白皮书全文链接：

https://book.yunzhan365.com/tkgd/pkqz/mobile/index.html

内容编辑：创新研究院王星凯

责任编辑：创新研究院陈佛忠

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新研究院负责运营，绿盟科技创新研究院是绿盟科技的前沿技术研究部门，包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一，与清华大学进行博士后联合培养，科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向，从实践出发，结合公司资源和先进技术，实现概念级的原型系统，进而交付产品线孵化产品并创造巨大的经济价值。

长按上方二维码，即可关注我