sponsored links

安全知識圖譜 | 按圖索“跡”追蹤溯源

本文為安全知識圖譜技術白皮書《踐行安全知識圖譜,攜手邁進認知智慧》精華解讀系列第四篇,介紹瞭如何利用知識圖譜相關技術實現攻擊路徑調查,主要依據圖表示學習與圖譜推理實現攻擊路徑評估與路徑修復。

一、攻擊事件調查面臨的困境

在網路空間中,作為防禦者需要“知彼”,就是回答在網路攻防對抗中誰攻擊了我,攻擊點在哪以及相關攻擊路徑,這便是攻擊事件調查。威脅評估是從海量的資料中找到真正的攻擊者,回答的是誰攻擊了我的問題,除此之外,還需要找到完整的攻擊路徑實現攻擊事件調查。攻擊事件調查技術可以確定攻擊源、攻擊中間介質(中間點),以及其相應的攻擊行為路線,以此制定更有針對性地防護與反制策略,達到主動防禦的效果。可見攻擊事件調查是網路空間防禦體系從被動防禦到主動防禦轉換的重要步驟。

現有的網路攻擊不再侷限於單步攻擊,透過單步攻擊告警往往無法確定攻擊者的真實目的,僅為複雜的多步攻擊的一個步驟。複雜的多步攻擊是攻擊者實施攻擊來達到最終的攻擊目標,安全分析通常需要關聯每一步的攻擊行為才能發現其攻擊意圖。目前遇到真實的網路攻擊時通常需要有經驗的安全專家使用多維度安全產品提供的告警等資訊,並結合其自身的專業知識去調查取證及分析,進而得出攻擊者完整的攻擊路徑,進一步從攻擊路徑的每一環節上進行應急處置。因此,智慧的攻擊路徑調查是網路空間防禦體系不斷髮展的重要基礎。

二、知識圖譜推理

知識圖譜的知識推理就是利用已知的知識推理出新知識的過程。隨著知識圖譜概念的出現與發展,知識推理已成為知識圖譜上層應用的基礎性技術。

知識推理的兩個主要應用是知識補全和知識去噪。知識圖譜通常用(頭實體,關係,尾實體)三元組形式表達事物的屬性以及事物之間的語義關係。其中,事物和屬性值作為三元組中的實體,屬性和關係作為三元組中的關係。知識圖譜補全實際上是給定三元組中任意兩個元素,試圖推理出缺失的另外一個元素。也即,給定頭實體和關係(關係和尾實體),找出與之形成有效三元組的尾實體(頭實體),也稱為實體預測;同理,給定頭實體和尾實體,找出與之形成有效三元組的關係,也稱為關係預測。無論實體預測還是關係預測,最後都轉化為選擇與給定元素形成的三元組更可能有效的實體/關係作為推理預測結果。這種有效性可以透過規則的方式推理或透過基於特定假設的得分函式計算。而知識圖譜去噪,實際上是在判斷三元組的正確與否。因此,雖然知識圖譜補全專注於擴充知識圖譜,而知識圖譜去噪專注於知識圖譜內部已有三元組正確性的判斷,但本質上都是基於已有知識透過推理方法來評估其三元組的有效性。

安全知識圖譜是知識圖譜在網路安全領域的實際應用,包括基於本體論構建的安全知識本體架構,以及透過威脅建模等方式對多源異構的網路安全資訊進行加工、處理、整合,轉化成為的結構化的智慧安全領域知識庫,其中代表工作有STUCCO[1]、UCO[2]、MALOnt[3]等。

安全知識圖譜推理面臨著通用知識圖譜所面臨的同樣問題,如知識補全、知識去噪等。安全知識圖譜的構建是集成了與安全相關的異構知識庫如CVE[4]、CCE[5]、CVSS[6]、CAPEC[7]、CYBOX[8]、KillChain和STUCCO等。這些異構資訊的整合主要透過安全專家介入來實現,這些知識之間存在的間接關係或潛在的知識需要透過一定的技術手段來挖掘。

攻擊事件調查是基於已經確定的攻擊事件回溯整個攻擊過程,理想情況是基於知識圖譜輔助實現對整個攻擊路徑的調查。由於告警的資料量過大,相關路徑涉及到的實體數量呈指數倍增加,從大量的路徑中人工排查攻擊路徑是不現實的,另外,由於資料採集和知識提取的不完全性會存在路徑缺失的情況。為解決攻擊路徑調查問題,需要應用有效的安全知識圖譜的關係推理機制。

三、知識圖譜助力攻擊路徑調查

當前,安全知識圖譜與日誌之間的語義鴻溝問題是制約安全知識圖譜應用到攻擊路徑調查的關鍵,主要原因是安全知識圖譜是描述安全事件相關的抽象知識,而日誌資訊記錄的是網路流量和系統行為等,其不僅包含攻擊事件相關的資訊,同時也包含系統正常執行的資訊,只有透過對相關知識補充才可以解決這種語義鴻溝的問題,實現安全知識圖譜與日誌的語義關聯,使知識圖譜與底層日誌資料處於同一層次的語義空間,再透過圖分析方法實現攻擊路徑分析。

圖1 攻擊行為與日誌之間的語義鴻溝

當前的一些方法針對該問題提出了有效的解決方案,如文獻[13]中攻擊行為語義提取。如圖2所示該技術框架使用圖嵌入模型來推理安全知識圖譜中節點的語義,並枚舉出所有的表示行為實體的子圖。

圖2 基於安全知識圖譜的行為提取流程

其中利用NLP相關技術來實現攻擊事件到日誌的描述是可行的。如圖3所示,該技術框架針對攻擊事件報告中攻擊行為的描述進行語義與語法分析,提取有效的實體與關係建立攻擊行為子圖,該攻擊子圖可以直接應用到日誌溯源圖中。

圖3 EXTRACTOR[14]技術框架

攻擊事件調查的另一個問題是路徑依賴爆炸問題。基於圖中路徑的攻擊資訊並不能完全反應攻擊路徑,需要結合威脅評估方法,把溯源圖中的節點看作目標實體,邊看作攻擊行為,透過攻擊威脅評估模型得到溯源圖中每個節點的威脅度,基於節點的威脅度透過貪心演算法找到攻擊路徑。方法如圖4所示。已知IP1為攻擊者,其相鄰節點只有IP2,那麼攻擊路徑為IP1→IP2。IP2的鄰節點有5個,其中威脅度最大的是P1節點,則攻擊路徑變成IP1→IP2→P1。基於貪心演算法可以得到攻擊路徑IP1→IP2→P1→P2→f2。

圖4 溯源圖中的節點威脅度評估

真實的企業安全運營中,攻擊行為是有一定的時序性,因此在調查攻擊路徑時需要考慮攻擊行為的時序特徵。透過對節點和邊的威脅評估結果為節點與邊賦予一個表述威脅度的權重。

在攻擊路徑調查過程中,通常始於已確定的攻擊行為或已攻陷的受害者攻擊路徑,而溯源的終止條件通常為外部IP的網路連線行為,如果無法溯源到網路連線行為則該主機即為最終攻擊者。

這裡路徑溯源演算法採用貪心演算法。初始的溯源點可以是一個頂點也可以是一個被檢測為攻擊的行為。如果為頂點的話直接遍歷該頂點的鄰接節點,然後從鄰居節點選擇一個異常得分大的節點作為下一跳的起點。如果初始溯源是攻擊行為的話,以該攻擊行為的目標節點為初始頂點遍歷該節點的所有發生在該行為之後的鄰居節點,並從中選擇一個異常得分最大的節點作為下一跳的起始節點,重複以上過程直到遍歷過程結束或是頂點是外部IP。

四、總結

網路攻擊事件調查技術透過綜合利用各種手段主動地追蹤網路攻擊發起者、定位攻擊源,結合網路取證和威脅情報,有針對性地減緩或反制網路攻擊,爭取在造成破壞之前消除隱患,在網路安全領域具有非常重要的現實意義。安全知識圖譜相關技術能大大提升攻擊事件調查的自動化,降低對安全運營人員的知識門檻。雖然依然存在巨大挑戰,但不可否認安全知識圖譜將是推動企業安全運營從感知到認知的主要技術途徑。

參考文獻

1. Iannacone, M., et al., Developing an Ontology for Cyber Security Knowledge Graphs, in Proceedings of the 10th Annual Cyber and Information Security Research Conference. 2015, Association for Computing Machinery: Oak Ridge, TN, USA. p. Article 12.

2. https://github.com/stucco/ontology.

3. Rastogi, N., et al., MALOnt: An Ontology for Malware Threat Intelligence. 2020.

4. Mell, P. and T. Grance, Use of the Common Vulnerabilities and Exposures (CVE) Vulnerability Naming Scheme. 2002.

5. Mitre. Common configuration enumeration. Available from: https://cce.mitre.org/about/ index.html.

6. First. Common vulnerability scoring system. Available from: https://www.first.org/cvss/ specification-document.

7. Mitre. Common attack pattern enumeration and classification. Available from: https: //capec.mitre.org/.

8. Mitre. Cyber observable expression. Available from: https://cyboxproject.github.io/.

9. Kipf, T.N. and M. Welling, Variational Graph Auto-Encoders. 2016.

10. King, S.T. and P.M. Chen. Backtracking intrusions. in Proceedings of the 19th ACM Symposium on Operating Systems Principles 2003, SOSP 2003, Bolton Landing, NY, USA, October 19-22, 2003. 2003.

11. Hassan, W.U., et al. OmegaLog: High-Fidelity Attack Investigation via Transparent Multi-layer Log Analysis. in Network and Distributed System Security Symposium. 2020.

12. Haas, S., R. Sommer, and M. Fischer, zeek-osquery: Host-Network Correlation for Advanced Monitoring and Intrusion Detection. 2020.

13. Zeng J , Zheng L C , Chen Y , et al. WATSON: Abstracting Behaviors from Audit Logs via Aggregation of Contextual Semantics[C]// Network and Distributed System Security Symposium. 2021.

14. Satvat K , Gjomemo R , Venkatakrishnan V N . EXTRACTOR: Extracting Attack Behavior from Threat Reports[J]. 2021.

分類: 旅遊
時間: 2021-12-06

相關文章

含“寄生蟲”最多的3種海鮮,沒營養還貴,很多人還天天吃

含“寄生蟲”最多的3種海鮮,沒營養還貴,很多人還天天吃
如果你也喜歡美食,點選關注,每天不斷更新精彩內容! 導語:含"寄生蟲"最多的3種海鮮,沒營養還貴,很多人還天天吃! 相信大家也知道,每年到了當下這個季節的時候,天氣比較燥熱,晝夜溫 ...

飯館裡“寄生蟲”最多的4道菜,沒營養還貴,老闆自己從不吃
如果你也喜歡美食,點選關注,每天不斷更新精彩內容! 導語:飯館裡"最髒"的4道菜,沒營養還貴,老闆自己從不吃! 相信大家也知道,每年到了當下這個季節的時候,天氣比較燥熱,晝夜溫差又 ...

6種“合成肉”少吃,沒營養還費錢,家長:糟糕,全是孩子愛吃的

6種“合成肉”少吃,沒營養還費錢,家長:糟糕,全是孩子愛吃的
這6種"合成肉"少吃,沒營養不健康,家長:糟糕,全是孩子愛吃的.現在的人生活條件好了,小朋友的零花錢也變多了,孩子長身體正是嘴饞的時候,每次放學都會偷偷在外邊買各種"垃圾 ...

含“寄生蟲”最多的3種蔬菜,沒營養還貴,商家自己都不吃

含“寄生蟲”最多的3種蔬菜,沒營養還貴,商家自己都不吃
如果你也喜歡美食,點選關注,每天不斷更新精彩內容! 導語:含"寄生蟲"最多的3種蔬菜,沒營養還貴,商家自己都不吃! 相信大家也知道,每年到了當下這個季節的時候,天氣比較燥熱,晝夜溫 ...

含“寄生蟲”最多的3種海鮮,沒營養還貴,老闆自己從不吃

含“寄生蟲”最多的3種海鮮,沒營養還貴,老闆自己從不吃
如果你也喜歡美食,點選關注,每天不斷更新精彩內容! 導語:含"寄生蟲"最多的3種海鮮,沒營養還貴,很多人還天天吃! 相信大家也知道,每年到了當下這個季節的時候,天氣比較燥熱,晝夜溫 ...

含“寄生蟲”最多的3種蔬菜,沒營養還貴,菜販子自己也很少吃

含“寄生蟲”最多的3種蔬菜,沒營養還貴,菜販子自己也很少吃
如果你也喜歡美食,點選關注,每天不斷更新精彩內容! 導語:含"寄生蟲"最多的3種蔬菜,沒營養還貴,菜販子自己也很少吃! 相信大家也知道,每年到了當下這個季節的時候,天氣比較燥熱,晝 ...

提前返鄉的農民工,千萬不要亂投資,鄉村振興創業商機在哪?

提前返鄉的農民工,千萬不要亂投資,鄉村振興創業商機在哪?
儘管共同富裕的號角已經吹響, 但由於近兩年經濟不景氣,加上限電停工的影響,大批農民工提前返鄉並暗下決心不再出來,打算借鄉村振興的東風,在老家和縣城投資創業.創業是好事,一旦創業成功,不僅可以實現財務自 ...

又一年金九銀十,該如何選擇賣房,買房,做好準備沒?

又一年金九銀十,該如何選擇賣房,買房,做好準備沒?
前兩天和一位叔叔聊天,談起今年二手房市場趨勢,在這裡簡單和大家分享,希望對有買房意願或者持續關注房產的人們有所幫助. 一.從二月份到八月份的市場變化 二月份,三月份可以說是有購房需求的人一個觀望試探階 ...

別總去西遞宏村,安徽黃山下藏2個好地方,冷門有特色還沒門票

別總去西遞宏村,安徽黃山下藏2個好地方,冷門有特色還沒門票
小夥伴們,國慶長假要到了,真正的金秋也要來臨了,想好了去哪裡嗎? 如果你選擇了去安徽,別總去知名景點黃山.西遞宏村啊,黃山腳下有2個不一樣的古村落,有特色,更不要門票,還可串聯成一條自駕路線,滿足你的 ...

吃一口就中毒?釣到這種魚千萬別亂吃,它是淡水“毒王”

吃一口就中毒?釣到這種魚千萬別亂吃,它是淡水“毒王”
#光威垂釣季# 有一種魚,它外表呆萌,"生氣"或遇到危險時,它肚子會鼓得像個"氣球",圓鼓鼓的,簡直萌翻了,不少人釣到它們會把它帶回家當寵物養著,精心照顧它,把 ...

千萬別亂戴銀飾,裡面的水有點深

千萬別亂戴銀飾,裡面的水有點深
在我們的生活中,能見到很多銀飾.不論是愛美女士的項鍊.耳環.戒指,老人家愛戴的手鐲,或是給寶寶戴的長命鎖.手鐲腳鐲,許多都是銀飾. 這些銀飾除了美觀外,往往還有美好的寓意,例如保平安.富貴.健康等.但 ...

別再亂買房了!那些關於買房的新規,你都知道嗎?

別再亂買房了!那些關於買房的新規,你都知道嗎?
過去買房時能說"閉上眼睛買"那真不是什麼大問題,但現在不一樣了.隨著經濟的迅猛發展,針對現階段的市場經濟,國家出臺了很多新政策,而相關變得最為顯目的就是房產這方面,針對新政策衍生出 ...

有種魚很好吃可是魚籽有毒千萬別亂吃

有種魚很好吃可是魚籽有毒千萬別亂吃
現在釣魚的越來越多了河裡什麼魚都有我這裡河裡有一種魚魚籽是有毒的,吃了會上吐下瀉就是這種魚 我們當地叫石頭魚,石斑魚 溪水石斑魚,又叫光唇魚,石堅子,生長在南方山區的山澗小溪的石縫中,或者是深水譚的底 ...

活久見,雪鐵龍C6新車才開一個月賣了16萬,不僅沒虧還賺了

活久見,雪鐵龍C6新車才開一個月賣了16萬,不僅沒虧還賺了
哈嘍,大家好,檢車家老司機又和大家見面了,我是二手車檢測師東子.我曾經是一名汽車修理工,自認為還算優秀,無奈修車這個行業幹了7~8年始終找不到女朋友.於是毅然轉行來到了檢車家,現在是一名二手車檢測師. ...

1.5L油耗2.0T豪華轎車,沒購置稅還便宜,帶你看寶馬5系新能源

1.5L油耗2.0T豪華轎車,沒購置稅還便宜,帶你看寶馬5系新能源
1.5L油耗2.0T豪華行政級轎車,沒購置稅價格還便宜,帶你看寶馬5系新能源 插電式混合動力車作為從燃油時代向電動時代轉變的銜接車型,很多人可能不會考慮,要麼買普通燃油版要麼買純電車,但是如果在考慮燃 ...

給廚房添置了4個新用品,原以為是“假精緻”,沒想到還挺實用

給廚房添置了4個新用品,原以為是“假精緻”,沒想到還挺實用
一個家庭的門面,廚房代表的是一個家庭勤奮與否,而廚房作為一個打掃"重災區",東西多得數不勝數,各種瓶瓶罐罐.各種蔬菜水果.各種家用電器,應有盡有,用的時候方便打掃起來真的是太難了! ...

鬥破特3定檔10月9號?官方操作惹怒粉絲,耍人沒下線還覺得很幽默

鬥破特3定檔10月9號?官方操作惹怒粉絲,耍人沒下線還覺得很幽默
鬥破蒼穹第四季已經完結有一段時間了,然而粉絲們最期待的還是三年之約到底什麼時候定檔,三年之約似乎已經成了粉絲們的一種執念,無論的新粉還是老粉,相信對於這段劇情都充滿了無限的期待,然而官方始終還是玩起了 ...

亂用機油不僅拉爆缸,還會堵排氣管

亂用機油不僅拉爆缸,還會堵排氣管
隨著國六時代的到來,不少廠商先後推出所謂的"國六機油",讓很多車友思考 - 到底什麼是國六?什麼又是"國六機油"? 小酷哥整理了一些關於國六法規下,對機油的使用 ...

自泡藥酒成毒酒?這些藥酒喝了不但沒好處還傷身體

自泡藥酒成毒酒?這些藥酒喝了不但沒好處還傷身體
你還記得鴻茅藥酒的事件嗎?曾經鼓吹能"包治百病"的酒,在一位醫生的打假下,轟然走下神壇.與它類似的,還有前段事件被嚴打的萬源普眾藥酒. 現在在民間,看到最多的,應該就是吹以&quo ...

二胎房間別再做上下鋪,這樣去擺放,錢沒白花還能多出3㎡收納

二胎房間別再做上下鋪,這樣去擺放,錢沒白花還能多出3㎡收納
小戶型的房子裝修講究的是佈局,講究的是收納,要想錢不白花,那就在設計上下點功夫-- 對於小戶型的房子,生二胎的話,裝修第一反應就是做上下床.說實話並不建議這麼幹,孩子小不安全,還會相互影響,還不如直接 ...