DeepSeek赋能启明星辰XDR:从狩猎先知到战术推演
发布时间 2025-02-27“让每一句人机对话都安全可信,让每一次智能交互都风险可控——这是属于AI时代的安全承诺。 —— 启明星辰”
前言:
据Gartner统计,2023年企业安全团队平均需处理3.2万条/日告警,其中72%为噪音数据。面对APT攻击平均潜伏期长达56天的严峻现实,传统依赖人工的攻击事件处理模式已显疲态。启明星辰安星威胁检测智能体接入推理型大模型DeepSeek,推动XDR系统实现威胁狩猎-攻击链还原-攻击预测三大核心能力的范式跃迁。
在网络安全检测领域,对于攻击事件的全生命周期管理一直被视为是一项需要高端安全专家才能完成的工作:安全专家通常在发现攻击线索后先进行攻击链还原,再对还原结果的缺失攻击步骤进行威胁狩猎,最后还要对攻击者的下一步攻击做出预判,防止影响面进一步扩大。这种贯穿“事前-事中-事后”的对抗推演,长期以来高度依赖安全专家的经验积累,其过程费时费力。
面对越来越多的高级持续性威胁(APT)等复杂攻击,单纯依靠人力的方式已经难以满足实际需求,而推理型大模型(如DeepSeek R1)的出现,为这项复杂工作的自动化提供了可能。
技术突破:大模型重构安全推理范式
1.更擅长演绎与归纳推理
推理型大模型擅长解决谜题、数学证明等需要逻辑推理的任务,能够通过已知规则或数据模式推导出结论,推理型大模型的出现使得大模型从一个更擅长作诗的“文科生”变为能处理复杂计算任务的“理科生”。
2.擅长对复杂任务进行分步推理
推理型大模型能够将复杂问题分解为多步骤求解,逐步解决,适合需要系统性分析的场景。
3.更擅长复杂决策任务
推理型大模型在权衡多因素、多目标的场景中表现优异,能够模拟人类深度思考过程。
通过集成DeepSeek R1等推理型大模型,XDR实现了从威胁狩猎、攻击链还原到攻击预测的全链路“智能化”升级,将安全专家的经验沉淀为可复用的逻辑推理框架,显著提升对抗APT等复杂攻击的效率。
实战进化:从被动响应到预见性防御
1.威胁狩猎能力:分步骤引导安全人员验证攻击假设
在威胁狩猎环节,推理型大模型通过分步演绎与假设验证机制,将传统依赖专家经验的非结构化狩猎过程转化为可交互的引导式流程。例如:
✦ 假设生成:基于ATT&CK战术库和实时告警,模型自动生成可能存在的攻击步骤假设。
✦ 线索验证:结合XDR聚合的网络、端点、云日志数据,模型对假设进行多维度交叉验证。
✦ 动态修正:当部分假设被证伪时,继续动态调整搜索方向,循环往复。
2.攻击链还原能力:基于演绎推理去除噪音告警
面对多源告警中存在的碎片化与误报问题,推理型大模型通过因果逻辑演算实现XDR攻击链的精准重构:
✦ 时序推理:建立ATT&CK技术间的因果依赖模型,自动过滤违反攻击逻辑的告警。
✦ 上下文增强:将孤立告警与MITRE战术标签、漏洞利用条件、主机资产关键性等维度进行逻辑关联,生成带置信度评分的攻击链图谱。
✦ 去除噪音能力:针对攻击者故意插入的干扰行为,通过分析操作序列的统计学异常特征,有效剥离噪音数据。
3.攻击预测能力:多路径推演防御优先级
在攻击预测阶段,推理型大模型模拟攻击者可能的后续路径,为XDR联动其他防御产品提供依据:
✦ 战术推演:基于当前攻击阶段,推理型大模型遍历ATT&CK战术库中所有可达路径,自动生成后续攻击步骤的可能性分布。
✦ 影响面评估:结合资产指纹库与业务拓扑图,预测不同攻击路径对关键系统的影响范围。
✦ 动态防御策略调整:借助推理型大模型的策略生成能力,XDR能够智能调动防火墙、入侵防御系统(IPS)、主动欺骗防御系统等产品,实现动态防御策略的智能化调整。
启明星辰XDR可自动还原攻击故事线,实现完整路径呈现、全攻击阶段覆盖、完整攻击历史复盘、网端关联分析。基于攻击时序关联,还原完整攻击时间线,攻击开始和结束时间一目了然。随着DeepSeek推理型大模型能力的进一步进化,启明星辰XDR通过客户局点实战化部署,将逐步实现攻击行为模式自动化推演、动态防御策略自动调整等高阶能力,从而构建具备自主攻防推演能力的下一代智能防御体系。
京公网安备11010802024551号