“AISecOps技术是以安全运营目标为导向，以人、流程、技术与数据的融合为基础，面向预防、检测、响应、预测、恢复等网络安全风险管控、攻防对抗的关键环节，构建数据驱动、具有高自动化水平的可信任安全智能技术栈，可实现安全智能范畴下的感知、认知、决策与行动能力，辅助甚至代替人在动态环境下完成各类安全运营服务。”

本文为《AISecOps白皮书精华解读之背景内涵篇》的姊妹篇，基于上述AISecOps的核心内涵，将重点从指标体系、数据体系、技术框架、技术成熟度、技术图谱等层次，介绍AISecOps的技术体系构建。

一、  AISecOps指标体系

网络安全运营能力的提供以目标为导向，从企业、组织、国家的愿景目标出发，进而构建安全运营任务级别的运营指标，进一步指导构建数据与分析层面的技术指标，最终形成图1 所示的层次化指标体系，以评估技术实现的有效性。

愿景目标指企业、组织、国家等主体层面的核心安全、业务、商业目标。例如，维护IT基础设施的稳定运行，保护核心数据资产，维护品牌价值的安全性等。这些愿景目标与主体的发展目标密不可分。

运营指标以愿景目标为基础，针对网络安全相关的业务能力制定安全运营核心指标，以评估安全运营能力水平。在运营指标的导向下，需要有针对性地对数据融合水平和分析技术水平进行评估，以促进技术能力的迭代。

在数据层面，需要考虑包括覆盖率、规范化、存储时效、多样性、交互性等指标；在分析层面，不仅要考虑传统机器学习等技术的评估指标，包括预测精确性、召回率、ROC等，还重点考察场景覆盖率、TOPN召回率/误报率、整体/单点误报率及模型可解释性等面向可运营、易运营的分析指标，以合理促进技术与人、流程的深度融合。

图1   AISecOp指标体系

二、  AISecOps数据体系

当前，大规模多维度网络安全大数据的接入，为通过数据分析发现、处置网络威胁带来了全新机会。但考虑到可用的存储、计算资源有限，对安全数据源的甄选和统一处理就显得尤为重要。从网络攻防的对抗本质出发，以给定的网络空间为战场，以保护资产（包括实体资产和虚拟资产）并打击威胁主体为目的，智能化的威胁分析应该收集并构建以下维度的关键数据图，如图2 所示。

环境数据图。如资产、资产脆弱性、文件信息、用户信息、IT系统架构信息等。

行为数据图。如网络侧检测告警、终端侧检测告警、文件分析日志、应用日志、蜜罐日志、沙箱日志等。

情报数据图。各类外部威胁情报。

知识数据图。各类知识库（如ATT&CK、CAPEC、CWE）等。

图2   AISecOps数据分类

各类安全关联数据（包括但不限于以上四个类别）已在很多大数据分析场景中被采用，但仍然没有成熟、统一的体系描述这些数据的分类和使用模式。故应将这里列举的四类数据，从网络威胁事件分析实践出发，通过图结构组织起来，实现每个类别图内关联和不同类别图间关联，以满足网络空间对抗的基本战术需求，包括对环境的掌握、对威胁主体行动的理解、对外部情报的融合以及储备基本知识。四图分立，又通过指定类型的实体进行关联，在保证不同类型图数据表达能力的同时，实现了全局的连接能力。

三、  AISecOps技术框架

图3 阐述了AISecOps的技术框架，针对安全运营技术中的关键环节，参考人工智能的经典范式“感知-认知-决策-行动”和经典作战决策OODA循环模型的“观测-调整-决策-执行”体系，进行子任务及其阶段划分，每个阶段包括多个不同子任务。

图3   AISecOps技术框架

整体上，AISecOps技术框架包含两个大的循环。一个是图中实线覆盖的机器自循环，这是AISecOps追求的运营关键任务自动化的终极目标。另一个是图上虚线覆盖的人-机协同循环，这一部分重点描绘人需要参与到运营自动化的每个关键环节中，同时充分获取机器的数据反馈。高水平运营自动化实现的要义仍然是对“数据-信息-知识”层次化的分析与挖掘，以应对动态不确定性的网络空间环境与高交互的攻防对抗过程。因此，唯有夯实网络空间数据的多层级任务能力基础，才能避免搭建安全任务自动化的“空中楼阁”。实际上，现阶段的威胁识别、溯源、预测等关键技术能力的智能化水平，仍难以有效支持基于SOAR的精准响应。事件误判、连接误杀、决策黑箱等多种类型的技术瓶颈，使得更高水平的自动化智能化实现在涉及高风险、关键决策的安全场景下难以有效部署。因此在当前阶段下，人-机智能的充分融合，就显得尤为关键了。

四、  AISecOps技术成熟度

如图4 所示，按照安全运营关键任务的自动化程度，参考自动驾驶自动化分级，将AISecOps技术的自动化水平划分为L0~L5六个层次，对应无自动化到完全自动化。

图4   AISecOps技术框架

通过技术框架的横向技术阶段划分，明确了安全运营技术智能化的关键需求与任务；通过基于技术成熟度的纵向分级，能够有效划定现阶段发展层次与未来的发展方向。以上分类、分级方案，形成了AISecOps关键能力成熟度矩阵，以期现有的技术方案能够更快速的找到其在AISecOps技术领域的定位，并与其他技术能力快速融合互动。

通过AISecOps技术成熟度矩阵的构建，能够让技术从业者不囿于技术泡沫造成的困惑。目前来看，在安全运营的智能化技术领域中，我们整体上仍处于L1~L2级别的技术发展阶段，多个单点技术水平已经在更高层次有所突破。同时我们所收集的数据、构建的模型、优化的算法及搭建的系统，在特定场景下还未能有效符合安全运营的指标导向性需求，更不用说跨场景、自适应的更高层级运营自动化能力。总之，我们从实践的经验出发，距离高可用的、高自动化水平的智能安全运营技术仍有较远路程。

五、  AISecOps前沿技术图谱

AISecOps智能安全运营技术尚处于快速演进的阶段，所采用的技术方案迭代非常快。为了充分探究技术的未来发展方向，定位关键能力瓶颈，白皮书总结了面向安全运营自动化、智能化的十六种基础前沿技术，并形成技术图谱，以期为网络安全运营场景构建领域技术“内功心法”图谱，如图5 所示。

图5   AISecOps前沿技术图谱

技术图谱在横向上，按照面向攻击对抗的识别粒度进行技术领域划分，粒度自微观到宏观，包括指纹与特征、技术与行为、战术与意图、战役与组织、战役与态势。在纵向上，按照AISecOps智能化的经典技术阶段进行划分，包括数据层面的融合建模，以及分析层面的风险感知、因果认知、鲁棒决策、负责行动五大阶段。同时，根据技术的核心数据源不同，通过颜色进行区分，涵盖环境数据、情报数据、知识数据、行为数据以及融合多维的综合数据。通过总结并归类十六种关键技术，试图厘清AISecOps的技术分类，以支持技术方案的细粒度抽象与整合，支持安全运营智能技术中台等基础平台能力的构建。

AISecOps技术体系的总结，为智能安全运营技术的进一步发展提出了层次的、系统的、前瞻的研究、应用方法论，为技术路线的制定指明了方向。后续精华解读，将带来AISecOps技术发展趋势，敬请期待。