ASM技术篇:人工智能在攻击面管理中的应用
概述
近些年来,随着网络攻防对抗不断演化升级,人工智能在网络空间安全领域的应用也逐步展开。人工智能因其智能化与自动化的识别及处理能力、强大的数据分析能力,已成为网络攻防的核心关键技术之一,并持续为自动化网络攻防提供助力。
在攻击面管理中,一些场景已经充分应用了人工智能技术;同时还有一些人工智能的应用场景处于探索发展阶段,例如人工智能在指纹识别、路径决策、攻击过程数据的分析等,今天我们来对这些尚处于探索阶段的应用先睹为快。
人工智能在指纹识别方面的应用
网络资产探测识别指追踪、掌握网络资产情况的过程。从安全攻击的角度看,网络资产探测识别可用于渗透(或攻击)前的信息收集,了解目标网络内主机的操作系统类型、开放端口以及所运行的应用程序类型与版本信息。准确掌握目标网络的安全状况,有助于选取高效的攻击方法。
在网络资产探测识别的人工智能应用方面,华云安引入机器学习、深度学习等方法进行操作系统指纹识别,可以在较短时间,实现基于协议栈指纹的操作系统被动识别,大幅提高未精确匹配指纹的识别率,从而弥补和提高基于规则库的操作系统指纹识别速度和准确性。
常用的操作系统指纹识别特征有:IP头中的总长度(toG tallength)、标志(ID)、是否分片(DF)、生存时间(TTL)字段等,TCP头中的可选项,TCP 头部的窗口大小(wsize)、可选项等,以及ICMP、UDP协议指纹、SYN-ACK 包重传时延等。
在匹配方法上,除了最基础的精确匹配外,考虑到网络延时、动态配置等现实因素,类似正则表达式的模糊匹配方法也被广泛应用,如目前最新版的 p0fv3指纹库将操作系统指纹分为两类(specified,generic),增加了用于模糊匹配的g类,在s类无法精确匹配的情况下,为避免直接给出未知的结果,对 mss,wsize,scale等字段均允许使用“∗”进行模糊匹配,进而粗略地给出目标操作系统所属的大类;SinFP中的启发式匹配机制也是一种分层次的模糊匹配。
使用机器学习模型对操作系统属性值(端口、IPID、TTL、Do not Fragment、MSS、No operation、Selective Acknowledgement、Window scale 和 Window size等等参数)进行分类训练,以 94% 的概率正确识别操作系统,进而提高指纹识别规则匹配的检出率和准确率等。同时还有些其他问题未得到解决,如由于各个操作系统版本使用相同属性值的问题,无法对版本进行具体分类预测等。
人工智能在路径决策方面的应用
智能决策技术主要包含智能路径决策和智能攻击决策,采用强化学习等技术,即根据目标资产的操作系统、资产承载的应用,资产与其他资产的互联情况,资产所在的网络环境、漏洞、漏洞利用的易用性、漏洞利用的稳定性、漏洞利用的隐秘性、攻击过程产生的可用数据以及平台指令等等参数通过强化学习模型(Q-learning+其他)和多层多区域异步的Asynchronous Advantage Actor-Critic强化学习算法进行路径决策以及攻击决策。
智能模型所需要关键数据如下:
主机关键信息:IP地址、开放端口、服务及版本号、操作系统及版本号、MAC地址、网卡信息
漏洞关键信息:漏洞编号(CVE)、漏洞类型、风险等级、CVSS、漏洞影响、漏洞年份、PoC、Exp、利用难易度、利用的稳定性、利用的隐秘性、权限、是否可以获取二次利用数据等等
操作系统信息:操作系统类型、系统版本
应用系统关键信息:应用系统、系统版本、系统类型、系统覆盖面
网络关键信息:网络位置、与其他资产互联情况
人工智能在数据分析方面的应用
在攻击利用过程中Bot会产生一些数据,除上述五类数据外,还会从目标机器上二次信息收集,例如账号/密码、hash、域控相关、目标机器上存储的可二次利用的数据等等,以上数据回传到灵刃®Ai.Bot 智能化渗透攻防系统上,灵刃平台的上不同功能的数据分析模型引擎对以上类型的数据分别进行处理、分析、训练、再处理、预测、决策等最后形成指令或者数据,为Bot进行下一步的攻击/测试提供决策、信息、数据支撑;同时Bot对目标进行下一步行动时获取的数据/信息再次回传至平台,如此相辅相成,从而实现Bot漏洞组合智能化或者自动化,自我调优、自适应新环境、智能攻击决策、智能路径决策。
