上海交通大学医学院附属瑞金医院:AI之钥,解码信息安全运营密码

发布时间:2024-08-23
浏览次数:

  2024年医院新兴技术创新应用典型案例征集活动经行业专家背靠背盲审以及终审,共选出20篇典型案例,将陆续刊登出来,以飨读者。

1 项目简介

  随着信息技术的不断进步和深入应用,网络和计算设备的数量急剧增加,带来了更为严峻和复杂的网络安全挑战。在全球范围内,网络安全事件的频发已经引起了广泛关注,促使国家显著提高了对网络安全问题的关注度。这种趋势不仅要求关键基础设施行业加强其安全防护机制,同时也给安全运营带来了前所未有的压力。在传统的安全运营模式下,面临着处理能力有限、响应时间较长等运营困境,亟须创新和改进以适应日益增长的安全需求。

  瑞金医院作为一家现代化的医院,具备完善的计算机网络,除了要满足高效的内部自动化医疗需求以外,还同时连接着医保局和卫生健康委等,访问人员比较复杂。当前已经建设了边界安全、流量安全、审计安全、终端安全等产品,并结合安全管理制度实现安全运营体系的初步落地,但在常态化的安全运营工作中,海量的安全告警和事件影响着安全运营工作的效率,增加安全运营压力,导致威胁告警疲劳,大量的安全告警、安全事件不断增加着日常的安全运营工作。

  伴随人工智能技术的加速演进,AI大模型已成为全球科技竞争的新高地、未来产业的新赛道、经济发展的新引擎,发展潜力大、应用前景广。基于AI技术发展,当下的安全运营模式正逐渐向自动化、智能化转型,比如采用人工智能和机器学习技术来提高安全事件的检测效率和准确性,以更好地适应当前的网络安全挑战。

2 关键技术和产品描述

  AI智能安全运营平台面向瑞金总院,采集全网安全要素,通过语义分析、机器学习和智能算法等技术手段,明显降低安全告警数量,确保全网业务系统安全运营。

  鉴于海量的威胁事件、复杂的攻击类型,依靠传统的单点静态检测与防护手段无法完全满足安全分析和管理的要求。因此,需要一种能够打破安全数据孤岛的高效安全分析与管理手段,采用网络安全智能分析平台对海量元数据进行采集、存储与关联分析,整合现有安全能力,同时引入AI推理引擎对网络安全告警进行智能分析和研判,从多个视角全面感知网络安全风险和威胁,综合分析网络安全态势,高效处置安全事件,形成集感知、分析、研判、处置于一体的综合安全分析与管理解决方案,提升安全运维效率,协助用户解决安全问题并实现安全管理闭环。

  AI智能安全运营平台采用平台+探针的部署模式,通过运用规则模型、聚类统计、关联分析、情报碰撞等技术,实现对网络安全事件的发现和处置。在发现、分析环节利用AI技术的智能降噪引擎,实现人机互动,有效减少安全告警误报率、提高安全告警的准确性。将安全运营工程师从繁琐、重复和单调的告警研判任务中解脱出来,显著提升安全团队在处理告警方面的效率。

  智能降噪引擎能够通过语义分析、机器学习和智能算法等技术手段,提取告警数据中的复杂特征,并结合安全专家的经验,辨别噪声告警,以提高网络安全威胁告警的准确性和可信度,使安全运营团队能够更好地识别和应对真正的安全威胁。通过数据接入、数据特征提取、模型训练、告警预测、RHLF迭代优化,不断优化安全告警降噪效果,优化告警准确度。

  (1)数据接入

  收集总院全流量数据、WAF的告警数据集(包含真实告警和噪声告警的标签、告警对应原始日志),然后对这部分数据进行清洗和标准化。

  ● 清洗数据:去除数据集中冗余和错乱信息。

  ● 标准化:使数据维度统一,便于AI模型处理。

  (2)数据特征提取

  将标准化后的告警数据进行样本均衡、有效数据提取、构建词集映射,然后输入到语义模型中提取语义特征,以便用于模型训练。

  ● 样本均衡:均衡数据集中标签比例,避免模型产生偏性。

  ● 语义特征:提取单词或短语的语义信息。

6.jpg

图1 攻击热力图

  (3)模型训练

  对于所提取的语义特征使用一组分类模型进行训练和验证,得到能区分真实告警和噪声告警的降噪模型,用于告警的真实性预测。

  ● 对于一组分类模型中,会选取效果最好的模型作为预测模型,对于不同环境下性能可能有所不同,可根据实际情况选用性能较好的模型。

  (4)告警预测

  将降噪模型部署到现场,并单条或批量地输入告警数据,模型会对接入的告警数据给出标签结果,区分该条告警是真实告警还是噪声告警。

  ● 经过一段时间的运营后,理论上降噪模型研判为噪声的对应告警,是可以直接进行忽略处置的。

  (5)迭代优化

  对于降噪模型给出的标签,安全分析人员认为不准确,手动修改标签结果,这部分专家再修正的告警数据会在非高峰期定时或定阈值进行再训练,使降噪模型迭代优化,更精准研判现场告警。

  ● RHLF:基于人类反馈(Human Feedback)对语言模型进行强化学习

  同时基于大模型的自定义报告,带来飞跃式的运营体验,以打字聊天的方式发送指令,实现生成完整报告、生成各类图表及相应的文字分析,并且可以切换图表格式,如柱状图、折线图、饼图等;将生成的内容任意自动插入至报告的某个章节;解析各类资产的威胁分析情况等,以及订阅生成日报、周报、月报,自动导出报告。

3 应用效果

  利用AI技术辅助安全运营提效,智能降噪引擎在实际现场应用中,实现安全告警智能降噪、定级和建议,以高水平安全护航高质量发展。

  (1)智能降噪:长短期记忆人工神经网络(LSTM)、多层感知器(MLP)对海量告警进行分析,在保证漏报率低的前提下,提高告警准确度。

  (2)智能定级:应用递归神经网络(RNN)、BERT等模型,对告警的风险级别进行智能判定、调整,提高告警定级准确率。

  (3)智能建议:应用自然语言处理(NLP)、卷积神经网络(CNN)智能生成告警的处置建议,提高告警。

  在海量安全日志、安全告警的运营场景下,提供效果显著的降噪效果,减少27%的安全告警数据量,帮助安全运营人员过滤了大量噪音事件的干扰,提升运维管理效率;采用RHLF机制不断迭代优化,使模型更加适配真实场景,不断提高降噪比例;并且针对长周期的误报或攻击,有效提升关注重点,避免长期误报的运营工作消耗,也能使长期真实攻击的风险,更加准确地暴露在运营人员的视野下。以7*24小时的全天候自动持续运营,显著提升运营人员的工作效率。

  以最新告警数据为例,4月一周的安全日志数量有6635064条,告警数量有21099条,每个月产生近10万条安全告警。在实际降噪场景中,训练完成的AI模型面对逐步增长的告警量级,所学习到的特征也越来越丰富,能过滤的噪声比例也逐步增长,更便于提升人效。

7.jpg

8.jpg

9.jpg

10.jpg

图2 AI辅助降噪

4 总结

  在网络环境复杂,网络流量较大的场景下,AI技术的应用,效果能够更加显著和快速地体现价值。同时大流量环境场景下,对于流量的全面采集和分析,对性能设计和网络部署也提出了挑战。

  AI智能安全运营平台采用平台+探针的架构,探针对于大流量的采集,一方面需要对于流量中的重复数据进行去重,从源头减少资源消耗,同时保障大流量的数据采集和解析。

  AI智能安全运营平台采用大数据技术和微服务架构,能够满足大流量场景下,将数据标准化、特征提取、模型训练等步骤拆分有序运行的同时,也需要庞大的运算资源支撑。平台使用多台物力资源分布式计算模式,确保AI智能的运行效率。

5 下一步发展规划

  目前AI智能安全运营平台已经接入流量数据、WAF日志,并呈现显著效果,后续需要从纵向横向两个维度推广AI技术使用。在纵向上,不断优化智能分析模型,提升降噪比例,提升告警准确度;在横向上,提升采集分析的覆盖范围,将防火墙、终端安全、主机安全等全维度安全要素接入AI智能安全运营平台,提升全维度安全要素的准确度。医院通过两个维度不断深入,提升安全运营效率。

  申报单位:

  上海交通大学医学院附属瑞金医院

  联合申报单位:

  亚信科技(成都)有限公司

  案例赛道:

  网络安全创新

  案例业务领域:

  医疗信息安全