2024年醫(yī)院新興技術(shù)創(chuàng)新應(yīng)用典型案例征集活動(dòng)經(jīng)行業(yè)專家背靠背盲審以及終審，共選出20篇典型案例，將陸續(xù)刊登出來，以饗讀者。

1 項(xiàng)目簡介

　　隨著信息技術(shù)的不斷進(jìn)步和深入應(yīng)用，網(wǎng)絡(luò)和計(jì)算設(shè)備的數(shù)量急劇增加，帶來了更為嚴(yán)峻和復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)。在全球范圍內(nèi)，網(wǎng)絡(luò)安全事件的頻發(fā)已經(jīng)引起了廣泛關(guān)注，促使國家顯著提高了對網(wǎng)絡(luò)安全問題的關(guān)注度。這種趨勢不僅要求關(guān)鍵基礎(chǔ)設(shè)施行業(yè)加強(qiáng)其安全防護(hù)機(jī)制，同時(shí)也給安全運(yùn)營帶來了前所未有的壓力。在傳統(tǒng)的安全運(yùn)營模式下，面臨著處理能力有限、響應(yīng)時(shí)間較長等運(yùn)營困境，亟須創(chuàng)新和改進(jìn)以適應(yīng)日益增長的安全需求。

　　瑞金醫(yī)院作為一家現(xiàn)代化的醫(yī)院，具備完善的計(jì)算機(jī)網(wǎng)絡(luò)，除了要滿足高效的內(nèi)部自動(dòng)化醫(yī)療需求以外，還同時(shí)連接著醫(yī)保局和衛(wèi)生健康委等，訪問人員比較復(fù)雜。當(dāng)前已經(jīng)建設(shè)了邊界安全、流量安全、審計(jì)安全、終端安全等產(chǎn)品，并結(jié)合安全管理制度實(shí)現(xiàn)安全運(yùn)營體系的初步落地，但在常態(tài)化的安全運(yùn)營工作中，海量的安全告警和事件影響著安全運(yùn)營工作的效率，增加安全運(yùn)營壓力，導(dǎo)致威脅告警疲勞，大量的安全告警、安全事件不斷增加著日常的安全運(yùn)營工作。

　　伴隨人工智能技術(shù)的加速演進(jìn)，AI大模型已成為全球科技競爭的新高地、未來產(chǎn)業(yè)的新賽道、經(jīng)濟(jì)發(fā)展的新引擎，發(fā)展?jié)摿Υ蟆?yīng)用前景廣?；贏I技術(shù)發(fā)展，當(dāng)下的安全運(yùn)營模式正逐漸向自動(dòng)化、智能化轉(zhuǎn)型，比如采用人工智能和機(jī)器學(xué)習(xí)技術(shù)來提高安全事件的檢測效率和準(zhǔn)確性，以更好地適應(yīng)當(dāng)前的網(wǎng)絡(luò)安全挑戰(zhàn)。

2 關(guān)鍵技術(shù)和產(chǎn)品描述

　　AI智能安全運(yùn)營平臺(tái)面向瑞金總院，采集全網(wǎng)安全要素，通過語義分析、機(jī)器學(xué)習(xí)和智能算法等技術(shù)手段，明顯降低安全告警數(shù)量，確保全網(wǎng)業(yè)務(wù)系統(tǒng)安全運(yùn)營。

　　鑒于海量的威脅事件、復(fù)雜的攻擊類型，依靠傳統(tǒng)的單點(diǎn)靜態(tài)檢測與防護(hù)手段無法完全滿足安全分析和管理的要求。因此，需要一種能夠打破安全數(shù)據(jù)孤島的高效安全分析與管理手段，采用網(wǎng)絡(luò)安全智能分析平臺(tái)對海量元數(shù)據(jù)進(jìn)行采集、存儲(chǔ)與關(guān)聯(lián)分析，整合現(xiàn)有安全能力，同時(shí)引入AI推理引擎對網(wǎng)絡(luò)安全告警進(jìn)行智能分析和研判，從多個(gè)視角全面感知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，綜合分析網(wǎng)絡(luò)安全態(tài)勢，高效處置安全事件，形成集感知、分析、研判、處置于一體的綜合安全分析與管理解決方案，提升安全運(yùn)維效率，協(xié)助用戶解決安全問題并實(shí)現(xiàn)安全管理閉環(huán)。

　　AI智能安全運(yùn)營平臺(tái)采用平臺(tái)+探針的部署模式，通過運(yùn)用規(guī)則模型、聚類統(tǒng)計(jì)、關(guān)聯(lián)分析、情報(bào)碰撞等技術(shù)，實(shí)現(xiàn)對網(wǎng)絡(luò)安全事件的發(fā)現(xiàn)和處置。在發(fā)現(xiàn)、分析環(huán)節(jié)利用AI技術(shù)的智能降噪引擎，實(shí)現(xiàn)人機(jī)互動(dòng)，有效減少安全告警誤報(bào)率、提高安全告警的準(zhǔn)確性。將安全運(yùn)營工程師從繁瑣、重復(fù)和單調(diào)的告警研判任務(wù)中解脫出來，顯著提升安全團(tuán)隊(duì)在處理告警方面的效率。

　　智能降噪引擎能夠通過語義分析、機(jī)器學(xué)習(xí)和智能算法等技術(shù)手段，提取告警數(shù)據(jù)中的復(fù)雜特征，并結(jié)合安全專家的經(jīng)驗(yàn)，辨別噪聲告警，以提高網(wǎng)絡(luò)安全威脅告警的準(zhǔn)確性和可信度，使安全運(yùn)營團(tuán)隊(duì)能夠更好地識別和應(yīng)對真正的安全威脅。通過數(shù)據(jù)接入、數(shù)據(jù)特征提取、模型訓(xùn)練、告警預(yù)測、RHLF迭代優(yōu)化，不斷優(yōu)化安全告警降噪效果，優(yōu)化告警準(zhǔn)確度。

　　(1)數(shù)據(jù)接入

　　收集總院全流量數(shù)據(jù)、WAF的告警數(shù)據(jù)集(包含真實(shí)告警和噪聲告警的標(biāo)簽、告警對應(yīng)原始日志)，然后對這部分?jǐn)?shù)據(jù)進(jìn)行清洗和標(biāo)準(zhǔn)化。

　　● 清洗數(shù)據(jù)：去除數(shù)據(jù)集中冗余和錯(cuò)亂信息。

　　● 標(biāo)準(zhǔn)化：使數(shù)據(jù)維度統(tǒng)一，便于AI模型處理。

　　(2)數(shù)據(jù)特征提取

　　將標(biāo)準(zhǔn)化后的告警數(shù)據(jù)進(jìn)行樣本均衡、有效數(shù)據(jù)提取、構(gòu)建詞集映射，然后輸入到語義模型中提取語義特征，以便用于模型訓(xùn)練。

　　● 樣本均衡：均衡數(shù)據(jù)集中標(biāo)簽比例，避免模型產(chǎn)生偏性。

　　● 語義特征：提取單詞或短語的語義信息。

圖1 攻擊熱力圖

　　(3)模型訓(xùn)練

　　對于所提取的語義特征使用一組分類模型進(jìn)行訓(xùn)練和驗(yàn)證，得到能區(qū)分真實(shí)告警和噪聲告警的降噪模型，用于告警的真實(shí)性預(yù)測。

　　● 對于一組分類模型中，會(huì)選取效果最好的模型作為預(yù)測模型，對于不同環(huán)境下性能可能有所不同，可根據(jù)實(shí)際情況選用性能較好的模型。

　　(4)告警預(yù)測

　　將降噪模型部署到現(xiàn)場，并單條或批量地輸入告警數(shù)據(jù)，模型會(huì)對接入的告警數(shù)據(jù)給出標(biāo)簽結(jié)果，區(qū)分該條告警是真實(shí)告警還是噪聲告警。

　　● 經(jīng)過一段時(shí)間的運(yùn)營后，理論上降噪模型研判為噪聲的對應(yīng)告警，是可以直接進(jìn)行忽略處置的。

　　(5)迭代優(yōu)化

　　對于降噪模型給出的標(biāo)簽，安全分析人員認(rèn)為不準(zhǔn)確，手動(dòng)修改標(biāo)簽結(jié)果，這部分專家再修正的告警數(shù)據(jù)會(huì)在非高峰期定時(shí)或定閾值進(jìn)行再訓(xùn)練，使降噪模型迭代優(yōu)化，更精準(zhǔn)研判現(xiàn)場告警。

　　● RHLF：基于人類反饋(Human Feedback)對語言模型進(jìn)行強(qiáng)化學(xué)習(xí)

　　同時(shí)基于大模型的自定義報(bào)告，帶來飛躍式的運(yùn)營體驗(yàn)，以打字聊天的方式發(fā)送指令，實(shí)現(xiàn)生成完整報(bào)告、生成各類圖表及相應(yīng)的文字分析，并且可以切換圖表格式，如柱狀圖、折線圖、餅圖等;將生成的內(nèi)容任意自動(dòng)插入至報(bào)告的某個(gè)章節(jié);解析各類資產(chǎn)的威脅分析情況等，以及訂閱生成日報(bào)、周報(bào)、月報(bào)，自動(dòng)導(dǎo)出報(bào)告。

3 應(yīng)用效果

　　利用AI技術(shù)輔助安全運(yùn)營提效，智能降噪引擎在實(shí)際現(xiàn)場應(yīng)用中，實(shí)現(xiàn)安全告警智能降噪、定級和建議，以高水平安全護(hù)航高質(zhì)量發(fā)展。

　　(1)智能降噪：長短期記憶人工神經(jīng)網(wǎng)絡(luò)(LSTM)、多層感知器(MLP)對海量告警進(jìn)行分析，在保證漏報(bào)率低的前提下，提高告警準(zhǔn)確度。

　　(2)智能定級：應(yīng)用遞歸神經(jīng)網(wǎng)絡(luò)(RNN)、BERT等模型，對告警的風(fēng)險(xiǎn)級別進(jìn)行智能判定、調(diào)整，提高告警定級準(zhǔn)確率。

　　(3)智能建議：應(yīng)用自然語言處理(NLP)、卷積神經(jīng)網(wǎng)絡(luò)(CNN)智能生成告警的處置建議，提高告警。

　　在海量安全日志、安全告警的運(yùn)營場景下，提供效果顯著的降噪效果，減少27%的安全告警數(shù)據(jù)量，幫助安全運(yùn)營人員過濾了大量噪音事件的干擾，提升運(yùn)維管理效率;采用RHLF機(jī)制不斷迭代優(yōu)化，使模型更加適配真實(shí)場景，不斷提高降噪比例;并且針對長周期的誤報(bào)或攻擊，有效提升關(guān)注重點(diǎn)，避免長期誤報(bào)的運(yùn)營工作消耗，也能使長期真實(shí)攻擊的風(fēng)險(xiǎn)，更加準(zhǔn)確地暴露在運(yùn)營人員的視野下。以7*24小時(shí)的全天候自動(dòng)持續(xù)運(yùn)營，顯著提升運(yùn)營人員的工作效率。

　　以最新告警數(shù)據(jù)為例，4月一周的安全日志數(shù)量有6635064條，告警數(shù)量有21099條，每個(gè)月產(chǎn)生近10萬條安全告警。在實(shí)際降噪場景中，訓(xùn)練完成的AI模型面對逐步增長的告警量級，所學(xué)習(xí)到的特征也越來越豐富，能過濾的噪聲比例也逐步增長，更便于提升人效。

圖2 AI輔助降噪

4 總結(jié)

　　在網(wǎng)絡(luò)環(huán)境復(fù)雜，網(wǎng)絡(luò)流量較大的場景下，AI技術(shù)的應(yīng)用，效果能夠更加顯著和快速地體現(xiàn)價(jià)值。同時(shí)大流量環(huán)境場景下，對于流量的全面采集和分析，對性能設(shè)計(jì)和網(wǎng)絡(luò)部署也提出了挑戰(zhàn)。

　　AI智能安全運(yùn)營平臺(tái)采用平臺(tái)+探針的架構(gòu)，探針對于大流量的采集，一方面需要對于流量中的重復(fù)數(shù)據(jù)進(jìn)行去重，從源頭減少資源消耗，同時(shí)保障大流量的數(shù)據(jù)采集和解析。

　　AI智能安全運(yùn)營平臺(tái)采用大數(shù)據(jù)技術(shù)和微服務(wù)架構(gòu)，能夠滿足大流量場景下，將數(shù)據(jù)標(biāo)準(zhǔn)化、特征提取、模型訓(xùn)練等步驟拆分有序運(yùn)行的同時(shí)，也需要龐大的運(yùn)算資源支撐。平臺(tái)使用多臺(tái)物力資源分布式計(jì)算模式，確保AI智能的運(yùn)行效率。

5 下一步發(fā)展規(guī)劃

　　目前AI智能安全運(yùn)營平臺(tái)已經(jīng)接入流量數(shù)據(jù)、WAF日志，并呈現(xiàn)顯著效果，后續(xù)需要從縱向橫向兩個(gè)維度推廣AI技術(shù)使用。在縱向上，不斷優(yōu)化智能分析模型，提升降噪比例，提升告警準(zhǔn)確度;在橫向上，提升采集分析的覆蓋范圍，將防火墻、終端安全、主機(jī)安全等全維度安全要素接入AI智能安全運(yùn)營平臺(tái)，提升全維度安全要素的準(zhǔn)確度。醫(yī)院通過兩個(gè)維度不斷深入，提升安全運(yùn)營效率。

　　申報(bào)單位：

　　上海交通大學(xué)醫(yī)學(xué)院附屬瑞金醫(yī)院

　　聯(lián)合申報(bào)單位：

　　亞信科技(成都)有限公司

　　案例賽道：

　　網(wǎng)絡(luò)安全創(chuàng)新

　　案例業(yè)務(wù)領(lǐng)域：

　　醫(yī)療信息安全