萬字長文:一起聊聊安全知識圖譜技術
知識圖譜是下一代可信人工智能領域的關鍵技術組成之一。圍繞知識的歸納抽取、演繹推理等處理與分析過程,諸多關鍵問題逐步被攻克,大幅推動了機器認知技術的發展。在網絡空間安全領域,防御技術的智能化升級也亟需成熟、有效的網絡空間安全領域知識圖譜(以下簡稱為安全知識圖譜)技術體系,為應對強對抗、高動態環境下的攻防博弈提供知識要素與推理智能支撐。為了歸納總結安全知識圖譜的關鍵技術研究進展,本文將嘗試通過技術概述的方式,嘗試回答以下幾個問題,期望為讀者形成體系化的安全知識圖譜研究現狀總結。
Q1:什么是安全知識圖譜,有哪些類別的安全知識圖譜?
Q2:安全知識圖譜的技術棧包括什么?
Q3:安全知識圖譜有哪些典型技術研究與應用場景?
Q4:安全知識圖譜應用中的技術挑戰與研究趨勢有哪些?
一、網絡安全智能化發展趨勢
隨著云計算、5G、物聯網、工業互聯網等信息基礎設施關聯技術的發展,網絡空間已串聯起工業物理系統、人類社會系統以及網絡信息系統,成為社會數字經濟發展的基石。與此同時,網絡空間攻擊面隨之延伸和拓展,網絡空間攻防雙方信息的不對稱性現象愈發明顯。伴隨著攻防對抗態勢的升級,自動化、智能化技術與攻防技術的融合已成為網絡安全技術發展的必然趨勢之一。
圖1 網絡安全智能化發展趨勢
回顧網絡空間安全智能化發展歷程,我們可以將智能驅動的安全防御技術發展大致劃分為四個階段,如圖1所示,包括專家系統階段、感知智能階段、認知智能階段以及決策智能階段。以下分別進行簡要介紹:
專家系統階段。在該階段,防護設備與系統的自動化和智能化,主要基于專家經驗與知識驅動的專家系統。面向不同的應用場景,需要專家編寫指定的檢測規則系統、響應規則系統等。這些以列表結構、樹結構、圖結構簡單組織的規則邏輯結構,能夠有效自動化響應特定分析場景下的攻擊行為。從專家系統的外部來看,該系統確實能夠表現出智能分析的效果。然而,隨著攻防技術的快速迭代和升級,攻防場景與流程的更細,此類專家系統一方面,系統分析邏輯的完備性在大數據場景下迎來關鍵挑戰,針對攻擊的誤報率、漏報率和整體準確性性能衰減很快;另一方面難以有效自適應演化,過度依賴專家資源,可維護性低,能夠支撐的場景愈發受限。
感知智能階段。隨著機器學習、深度學習技術的研究開展,網絡安全防御中面臨的諸多檢測和分類問題,也迎來新的解決方案——智能感知,即從大規模數據中,進行識別、檢測和分類,挖掘出異常的、惡意的攻擊行為。例如,識別惡意流量、惡意樣本、惡意郵件、異常業務識別等場景,通過數據驅動的算法能夠實現高效的實現數據統計規律建模,挖掘惡意行為/樣本與正常行為/樣本之間的關鍵區分性特征。雖然在諸多威脅感知場景下,基于統計機器學習的智能分析方法取得了重要的突破,但在面對高度動態復雜的網絡行為分析時,感知層輸入往往缺乏有安全語義的規范化建模,數據層次異常而非真實惡意攻擊的誤報情況難以避免。此外,多維度單點的感知分析結果,仍需要深度的專家參與的研判與關聯分析,才能完整還原攻擊行為全貌,限制了APT等高級復雜攻擊技戰術的分析的自動化水平的提升。
認知智能階段。面向復雜網絡環境、復雜攻擊技戰術組合以及多層次多源異構的數據融合,網絡空間安全防御亟需具有能夠實現深度理解分析能力的認知智能技術方案。不限于感知層的孤立的識別范圍和分析深度,認知層主要負責實現數據、情報、知識、環境等多維度數據的自動關聯、語義消歧,構建更完整、更豐富的數據湖基礎設施,進而基于數據湖,實現威脅溯源歸因、攻擊意圖識別與行動預測等與安全專家相媲美的自動化分析能力。在認知智能階段,自然語言處理技術、知識圖譜、因果推理、意圖理解等認知層次的智能技術與安全場景、安全數據的融合水平,成為認知智能技術發展的關鍵因素。
決策智能階段。網絡安全防御系統的決策效果,將影響到信息業務系統、物理設備甚至社會組織的穩定運行狀態,是經濟、安全、政治攸關的。因此,在感知和認知的基礎上,只有具備決策智能的網絡安全防御系統,才能夠進一步在安全防御策略自主構建、自適應脆弱性修復、攻擊事件響應與緩解等傳統完全依賴系統負責人與安全專家部署的策略制定過程中實現自動化。決策的過程受到諸多方面的影響,包括信息收集的精確性評估、策略知識的完備性識別、系統風險的整體量化以及決策系統的效果預測等等。這些關鍵能力的構建,都依賴于負責、魯棒、透明的可信任安全智能技術基礎設施。
網絡安全智能化的發展,正隨著多維度感知智能技術的演進,向認知智能和決策智能化方向演進。在這個過程中,安全知識圖譜技術,已成為整個技術體系的基礎性核心工作。安全知識圖譜技術,一方面,通過本體建模、實體對齊、鏈接構建等方式,為認知、決策過程提供超融合的數據基礎設施,是大規模異構數據源統一分析的基礎;另一方面,基于知識圖譜的推理,包括表示學習、關聯分析、事件溯源、行為預測等能力,是認知智能的主要組成部分;最后,圍繞知識圖譜構建的逐層推理與分析,為指定場景下決策智能的達成提供了關鍵輸入要素和策略構建框架。
推進網絡空間安全知識圖譜的構建與基于知識圖譜的推理技術成熟,已成為網絡安全智能從專家系統、感知智能,邁向認知智能、決策智能的必由之路,亦是應對網絡空間高級、持續、復雜威脅與風險不可或缺的技術基礎。
二、安全知識圖譜技術內涵
圍繞知識的識別、抽取,圖譜的構建、推理及應用,知識圖譜技術體系能夠在、知識歸納推理知識固化、人機協同等多個方面促進網絡空間安全檢測、溯源、預測、響應等關鍵能力的智能化與自動化水平。本部分將首先介紹網絡空間安全知識圖譜的技術的核心內涵、技術優勢與技術框架。
2.1 概念內涵
知識圖譜是是通用人工智能與專用人工智能領域的關鍵技術組成之一。通過語義化的知識組織結構,知識圖譜將機器算法與領域知識充分融合,極大的促進了知識工程方向智能化的發展速度。在智能推薦、智能搜索、通用認知推理、人機交互問答、智能決策支持等應用場景中,知識圖譜得到的廣泛的應用與實踐。知識圖譜本質是由實體(概念)及實體(概念)間關系,以及關聯屬性組成的一種語義網絡,通過結構化的數據組織結構,以有效地表示實體(概念)之間的語義關聯關系,可形式化表示為:
其中每個三元組代表一個知識單元,表示了源實體Subject與目的實體Object之間,具有關系Relation。一個典型的知識圖譜中,主要可劃分為模式層與數據層。模式層是整個知識圖譜構建的基礎,是數據組織的范式,一般通過本體庫的設計實現。本體,是結構化知識庫的概念模板,描述了數據的元信息與元結構。數據層,是根據模式層本體模板范式生成的實體、關系及屬性的實例集合,這些實例描述某一類或某一個概念的知識事實。
從知識范疇、應用場景來看,知識圖譜可劃分為通用知識圖譜和領域專用知識圖譜。通用知識圖譜,例如Freebase、Wikidata、DBpedia等大規模知識庫,主要應用于普適性的智能搜索、推薦場景中,提供具有廣度的、基本的知識關聯基礎設施。領域專用知識圖譜,則基于某知識子領域,構建具有深度的知識空間,服務于該知識領域內特定的查詢、推理分析需求。
安全知識圖譜是面向網絡安全空間的威脅建模、風險分析、攻擊推理等攻防需求,基于網絡和安全知識庫、情報庫、資產庫、行為日志中關鍵實體(概念)及關系構建的大規模語義網絡,是網絡安全領域專用知識圖譜。
圖2 基于惡意軟件知識圖譜的分類可解釋性示例
安全知識圖譜作為網絡安全的領域知識圖譜,能夠充分發揮安全知識與經驗與數據的融合下,人工智能技術的巨大潛在價值,加速網絡安全技術領域的智能化與自動化。這是因為,網絡環境本身具有典型的圖結構,網絡安全知識、信息、數據依照知識圖譜的形式組織起來,首先,能夠充分發揮圖數據的結構優勢,將基于圖的統計、分析、推理方法融入到知識挖掘的過程當中來。其次,知識圖譜中的各類實體(概念)之間的關系,保留了明確的語義信息,即各類型的上下游信息依賴關系。基于語義信息的關聯與推理技術,是認知智能與決策智能技術的關鍵步驟。此外,網絡安全場景下的推理分析結果將最終指導安全團隊的應急與響應工作,需要推理的過程的透明與可解釋性,來提升人類對機器推理的可信任程度。知識圖譜正是可解釋人工智能技術的重要組成。通過前述結構與語義的關聯網絡,知識圖譜能夠輔助給與運營團隊符合安全領域知識框架的分析結果,支撐威脅的研判、取證與響應任務的開展。例如,通過惡意軟件知識圖譜,來解釋針對惡意文檔的機器學習分類器分類的關鍵特征結果,能夠通過關聯的知識,而非孤立的特征數值,來反映惡意文檔的與正常文檔之間的關鍵特征差別。
2.2 圖譜分類
從學術研究和工業應用語境來看,狹義的安全知識圖譜一般特指基于安全知識庫,如ATT&CK、DE3FEND、CAPEC等構建的圖譜化知識庫及相關分析技術,而廣義的安全知識圖譜泛指通過屬性圖、RDF等類型圖形式組織起來的圖譜化網絡安全數據基礎設施及相關分析技術。本文將以廣義的安全知識圖譜技術作為安全知識圖譜的定義。
在不同的應用場景下、在不同的數據源構成下,安全知識圖譜可以有多種不同的類型。以下介紹幾類較為常見的安全知識圖譜類型及其分類原則。值得注意的是,以下劃分方法從知識的采集源、知識的應用目標出發,不同類型知識圖譜之間可能存在數據層次的交叉。
2.2.1 環境知識圖譜
“環境”可以定義為防護網絡空間內的各類實體和實體的屬性(基本信息、脆弱性、合規信息等),以及實體之間的關聯關系。環境數據圖的構建,需要資產管理、脆弱性管理、風險評估等工具和服務的支撐,也需要類似企業組織信息、IT系統架構信息、人力資源信息等業務數據來支持環境實體的豐富和關系建立。環境知識圖譜是高度動態的知識圖譜。
圖3 Cauldron基于圖的漏洞分析[1]
安全防護不僅僅是構建更厚的防火墻,制定更多預算抵御可能隨時發生的DDoS攻擊,對資產、資產脆弱性、用戶信息、IT架構信息等自身攻擊面信息的掌控程度,往往決定了網絡空間防御能力的上限。特別是在云、物聯網、移動互聯網迅速發展的時代背景下,資產數量劇增,類型更加豐富,脆弱性暴露的形勢也更加嚴峻。“知己”比“知彼”顯得更加關鍵,無論是暴露在公網的資產還是邊界內未納入管理的“黑資產”,都將大幅增加安全防護風險。為應對無孔不入的威脅,需要發現安全防護的關鍵實體、關鍵關系,在威脅事件發生的前后,對威脅的潛在影響范圍、影響深度進行全面的評估,以保證攻擊面的準確識別。
2.2.2 行為知識圖譜
“行為”可以定義為可收集的、可檢測的所防護網絡空間內實體的動作,可以是DIKW數據層的各類原始日志,也可以是信息層的各類檢測告警日志、聚合的推斷告警日志。UEBA和SIEM的綜合方案能夠滿足行為數據收集的需求。
圖4 終端溯源圖譜[2]
行為數據圖的重要性不言而喻,從端點到網絡,從主動到被動,從邊界到內部,從規則到統計機器學習,等等多維度的行為收集,能夠全面刻畫網絡空間實體的行動蹤跡,是識別、歸類、響應、溯源任務的基本前提。通過多行為序列的聚合規則,生成新的告警事件的推理方法已在多種場景中應用起來。不過,行為的關聯不應止于針對單個實體的行為聚合,多實體長時間區間的行為關聯,才是行為數據分析的目標。從處理和存儲效率上來看,將多實體的行為向量組織成圖模型結構是行為關聯的必由之路。行為采集的粒度很大程度上由已有的采集和檢測能力決定,在這一點上,在保證歸一化和體系化的基礎上,“來者不拒”應該是行為收集的一個特點。行為知識圖譜與環境知識圖譜和知識情報知識圖譜的主要特性差異,是行為知識圖譜的時效性更短,更新和新增頻率更高。合理的構造行為數據的本體模型、實體關系,設計行為與環境、情報、知識的互動能力,并管理行為知識圖譜數據的生命周期,是行為知識圖譜發揮最大價值的關鍵所在。
2.2.3 情報知識圖譜
不同類型的“威脅情報”,可能會造成對情報概念的不同解讀。在此,對情報的定義可參考2014年Gartner的《安全威脅情報服務市場指南》:“威脅情報是一種基于證據的知識,包括情境、機制、指標、影響和操作建議。威脅情報描述了現存的或者是即將出現的針對資產的威脅或危險,并可以用于通知主體針對相關威脅或危險采取某種響應。”以此定義為基礎,可以說威脅情報與各類知識庫各有側重又相互交叉。一個典型的安全知識圖譜模式層本體結構如圖5所示。STIX(Exchange Cyber Threat Intelligence)是網絡空間威脅情報的一種描述語言與信息組織結構。STIX 2.0版本的本體(在STIX中稱為STIX Domain Objects, SDO)主要包括如圖所示的多種實體(概念)及其之間的語義交互關系。該本體結構,即給定了描述威脅情報信息與知識的一種語義結構范本。
圖5 STIX2.0的模式層
威脅情報,能夠擴展安全團隊的威脅視野,通過更多威脅上下文提升安全事件研判能力。現階段,威脅情報已經成為重要的戰略和商業資源,廣泛地應用于安全運營、態勢感知、威脅分析、風險評估、攻擊溯源等多個領域。值得注意的是,不同的威脅情報提供商本身對威脅情報理解的維度和深度不同,構建可用的情報數據圖,威脅情報勝在豐富、準確和時效性,選擇符合特定業務場景的威脅情報源構建專用的情報知識圖譜,是提升效率和可用性的關鍵。
2.2.4 知識庫知識圖譜
知識與情報在不同的情景內常常出現概念的交叉。在這里,我們將歸納的、可用于推理的、與時間弱相關的安全數據稱為知識數據,包括各類知識庫,如ATT&CK[3]、CAPEC[4],以及各類枚舉庫,如CWE[5]、CNNVD等等。知識庫的構建往往依賴于專家經驗、威脅情報的收集、驗證和凝練,所抽象的概念和關系是通用的建模基礎。當前,知識庫的構建和共享已成為安全行業的共識,知識數據圖能夠提供特定環境和場景下威脅行為的關聯知識,評估威脅行為的影響范圍和深度,對潛在威脅做出預警,并給出合理的應對方案。
圖6 ATT&CK與CAPEC的知識關聯
知識庫知識圖譜賦能下的威脅事件分析,能夠拓展行為、環境、情報知識圖譜關聯實體的概念和數據上下文,以支持推理的語義富化關聯。相對于更商業化的威脅情報,知識庫可以基于公開或開源的項目數據,國內外許多機構也正致力于建設更廣泛、更專業的威脅關聯知識庫,如CAPEC、CWE、CNNVD、ATT&CK等等,也可以通過知識圖譜、自然語言處理技術,從多源數據中自動化抽取和構建知識圖,并通過關系推理等方式對知識圖進行拓展。
三、 安全知識圖譜技術框架
基于安全知識圖譜,構建具有感知、認知、決策智能的安全應用,需要解決數據的統一建模、實體抽取與關系構建、復雜語義的推理分析和場景化的應用適配等不同層次關鍵問題。對應這些主要問題,本文將網絡安全知識圖譜自底向上的劃分為三個核心層次,分別為:圖譜構建層、推理分析層、應用能力層,一個安全可信層,整體框架如圖7所示,概括了每個技術層次的主要技術能力。以下分別對各個層次做簡要介紹。
圖7 安全知識圖譜技術框架
3.1 圖譜構建層
圖譜構建層,主要實現安全知識圖譜的數據基礎設施的構建。主要需實現包括本體設計、實體識別、關系識別、知識消歧、圖譜構建、圖譜存儲、圖譜計算等基礎能力。
知識圖譜的核心在于對數據的語義化組織模式的設計。通常來講,知識圖譜將各類格式的原始數據,如結構化數據、半結構化數據、非結構化數據,抽取為形如(Subject, Relation, Object)的三元組形式。在該形式下,實體Subject與實體Object之間,自然形成具有關系Relation的語義子結構。通過大規模語義子結構的串聯組織,即構成完整的知識圖譜結構。其中,Subject與Object實體的類型、兩者之間Relation的類型,以及兩者的屬性類型的規范等,構成的完整模式,即構成了知識圖譜的模式層本體范式。
圖8 安全知識圖譜本體模式設計樣例
安全知識圖譜的數據模式層,即針對網絡空間安全領域的知識庫、情報庫、數據日志的領域知識進行本體建模,以給出歸一化、抽象、可推理的安全本體范式。本體建模的過程,是整個安全知識圖譜的構建與應用的基石——本體范式決定了知識圖譜覆蓋的知識/情報/數據范疇、數據抽象的粒度以及語義關聯模板,進而決定了圍繞知識圖譜開展的相關推理應用的可用性、覆蓋度以及使用價值。因此,構建知識完備、粒度適中、語義豐富的數據模式層本體庫,是安全知識圖譜技術中最關鍵的設計工作之一。
知識圖譜的構建工作,即基于知識/情報/數據資料庫,在數據模式層本體模式的規范下,抽取實例實體、關系及屬性信息形成知識圖譜數據層語義網絡的過程。通常來講,知識圖譜的構建過程主要包括知識抽取、知識融合、知識存儲、知識更新等主要步驟。在知識抽取環節,實體、關系、屬性等要素按需從各類結構化、本結構化、非結構化數據中提取出來。在知識融合階段,需完成各類實體的對齊,關系語義的消歧,知識的映射等工作,以將提供滿足知識圖譜質量要求、設計規范的數據資料。知識存儲階段,主要是將結構化語義網絡數據存儲到數據庫中,一般的存儲介質是各種類型的圖數據庫。在知識更新階段,將根據數據層信息的實時性、置信度、語義明確性等維度和更新策略,剔除失效數據,更新最新狀態,保證知識圖譜信息的高價值屬性。
安全知識圖譜的圖譜構建,需要特別注意的是,一方面,需構建更細粒度的數據質量評估方法,以保證安全圖數據的高置信度與高安全性,否則將可能影響基于知識圖譜的安全應用的魯棒性。另一方面,在知識/情報/數據的時效性管理方面,需要更靈活的更新機制,以保證圖譜數據的時效性。
3.2 推理分析層
知識圖譜的推理分析,主要面向高層次應用提供關聯查詢、知識壓縮表示、知識歸因預測等自動化、智能化推理能力支撐。主要的推理分析方法,包括圖關聯檢索、基本的圖數據挖掘算法、圖的表示學習、圖的推理學習等。圖關聯檢索,即通過最短路徑、相似性分析等方法,提供指定實體、關系、屬性特征查詢的響應。基本的圖數據挖掘算法,包括圖上的節點聚類、社團行為發現、重要節點發現、路徑挖掘等等,為知識圖譜提供深入的數據洞見。圖的表示學習,通過結構、屬性等維度的學習方法,如Trans模型(TransE、TransH等),習得知識圖譜關鍵要素的向量化壓縮表示,可用于支持知識檢索、知識推理等類型的技術實現。圖的推理學習,則基于表示學習結果或通過端到端的圖神經網絡模型設計,如圖神經網絡,提供知識語義推導、關系鏈路預測等核心推理結果。
圖9 典型的行為知識圖譜推理分析
安全知識圖譜的推理環節,需要重點解決多層次數據、情報、知識之間的語義鴻溝問題、大規模網絡實體信息關聯的依賴爆炸問題等多種基礎性難題。語義鴻溝問題,主要是由不同來源、不同采集尺度的數據融合導致的高層語義難以對齊的問題。知識圖譜構建的語義消歧技術,只能在特定的標尺下完成粗略的數據融合,但要實現跨源、跨維度的知識推理,仍需要有效的語義學習機制。依賴爆炸問題則是由于現有的數據采集技術、跟蹤技術、知識建模技術的限制,安全知識圖譜實體之間的信息流無法精確的刻畫,上下游實體之間的信息依賴隨著圖上跳數的增加呈現指數級爆炸的現象,將導致知識圖譜信息傳播的消散。
3.3 應用能力層
本層次主要基于圖譜的數據和分析基礎設施,提供面向特定場景需求的安全知識圖譜服務能力,抽象的可概括為建模、識別、富化、畫像、測繪、溯源、歸因、決策及預警等能力單元。場景需求+數據基礎+分析能力的組合,可以形成基于安全知識圖譜的技術棧。包括在安全運營中的XDR技術、威脅情報中的組織團伙分析技術、網絡空間測繪中的攻擊面觀測技術、攻擊模擬中的智能決策技術等等,都可以通過一種或多種圖譜推理分析能力的組合,實現面向場景化需求的知識抽取與知識演繹推理以達成目標。具體技術應用場景,將在第四節介紹。
圖10 安全知識圖譜服務能力
3.4 安全可信層
除了安全知識圖譜的核心技術能力基礎外,還需再多個方面提供安全知識圖譜得自身安全可信機制,主要包括數據質量評估、敏感數據防護、分析效果監測等。在數據質量評估方面,需通過量化的圖譜質量評估指標,實現自動化的數據異常、缺失、錯誤等問題的識別,以保證安全知識圖譜數據流程轉過程中的多階段數據輸入可信。在敏感數據防護方面,通過對企業、個人、組織等多級別敏感數據的自動識別與脫敏,支持知識圖譜在不暴露敏感信息的情況下,完成從圖譜構建到推理分析再到應用服務的整個知識建模過程。在分析效果監測方面,需提供可供反饋的人機接口,收集用戶在不同場景知識服務中的細粒度反饋,并通過自動化的閉環機制,跟蹤和持續優化相關參數、流程,向圖譜管理組件提供關鍵指標的監測接口。
四、 安全知識圖譜技術應用
安全知識圖譜可以作為網絡安全大數據分析的關鍵基礎設施,以獨立部署的模式或者融合服務的方式,提供數據、分析等多個層面的支撐。本節,將介紹四個典型安全知識圖譜的應用場景,分別是利用知識圖譜支持攻擊研判信息富化、運營事件知識抽取、終端攻擊檢測調查以及威脅情報模式識別。
4.1 攻擊研判信息富化
攻擊事件研判依賴準確、豐富的事件上下文信息。上下文可涉及前述環境知識、行為知識、情報知識和知識庫等多維度信息源。通過自動化的采集與構建方法,可構建類似圖11所示可支撐研判的知識圖譜數據庫。該圖譜數據庫,基于威脅情報STIX2.0架構,融合了經典事件研判過程中,所依賴的脆弱性、緩解措施、應用案例等基礎信息。通過基于指定類型線索的檢索,能夠高效的召回關聯知識庫信息,形成對待研判事件的增強,可提升事件的整體信息量,并提升大規模事件的歸類、歸并分析的效率。
圖11 支持事件富化的安全知識圖譜[6]
4.2 運營事件知識抽取
安全運營中心的集中式分析平臺,匯聚了大規模的動態事件數據。這些事件數據,可通過IP、域名、郵箱等實體實現直接關聯,也可通過事件的屬性特征相似性實現潛在關聯。通過這些關系的識別和提取,能夠將時序事件數據,轉化為動態事件關聯的知識圖譜結構,并可通過該結構觀測和自動化抽取其中的子圖模式與規律。例如,可以抽取指定類型實體的行為規律信息,形成包括行為基線、交互基線等;可以抽取事件之間的轉移規律信息,形成包括事件交互基線等。相對于自頂向下的、基于靜態知識庫的知識富化,自底向上的、高度動態的事件知識抽取,能夠實現事件知識的生產與事件行為的自驗證,為攻擊的研判、事件的分析提供具有環境自適應的動態知識結構。
圖12 動態事件關聯知識圖譜
4.3 終端攻擊檢測調查
終端側的數據采集與分析,能夠提供細粒度的行為上下文,一直以來都是網絡安全數據的重要組成部分。其中,溯源數據(Provenance)是終端側數據的關鍵組成,當前操作系統(如Linux、Windows等)已具備高線溯源數采集的能力。有效的溯源數據挖掘方法,能夠支撐威脅狩獵的多種任務場景。Provenance能夠忠實記錄終端上實體的行為邏輯依賴關系,自然形成溯源數據圖(Provenance Graph,簡稱溯源圖)。所記錄的實體,包括文件(菱形)、網絡(橢圓)、進程(矩形)等維度;根據實體對的類型,實體間關系又包括文件讀寫、進程創建、網絡連接等等。在溯源數據完整有效采集的情況下,通過溯源圖的后向追溯(backward-trace)和前向追溯(forward-trace),能夠有效彌補網絡側的數據盲點,實現攻擊事件的溯源與取證。在已知威脅分析方面,主要涵蓋威脅模式匹配和事件重構溯源兩方面主要工作。威脅模式匹配一般建模為圖上的子圖模式匹配問題,需要解決圖數據建模、查詢子圖的生成及查詢優化等多個子問題。在未知威脅分析方面,目前主要有策略啟發、頻率建模、機器學習等幾類方法。
圖13 基于溯源數據的行為知識圖譜[7-9]
4.4 威脅情報模式識別
通過知識圖譜技術,能夠從多個方面全面實現分析能力增強:針對突發性事件與常態化事件,情報關聯圖譜能夠洞察攻擊發展態勢,通過跨域攻擊行為識別,實現攻擊團伙的快速定位,能夠提供明確的攻擊行為數據支持,可用于增強情報證據鏈,以及生產高質量、高可信的團伙威脅情報。能夠通過全局視角,觀測攻擊者、攻擊團伙的跨域攻擊行為,觀測整體的行為模式演化。圖12給出了云端情報采樣數據中,部署在不同位置的監測設備(紫色節點)監控下的攻擊者(源IP)的關聯圖譜。可以看出,攻擊事件出現了較為明顯的團簇現象。一方面,少量受害者站點受到大規模攻擊源的集中攻擊;另一方面,攻擊團伙利用大規模攻擊基礎設施,對指定的受害者群體發起了大規模的掃描與攻擊行為。
圖14 Log4j2攻擊事件圖譜跨域行為觀測
五、安全知識圖譜技術趨勢
可以預見,安全知識圖譜技術的發展,將全面提升網絡安全關鍵應用場景下的知識推理技術水平,推動安全智能從感知智能,向認知智能和決策智能驅動安全自動化的演進。當然,當前安全知識圖譜仍處于蓬勃發展階段,技術演進仍需要諸多問題需要解決。在此,我們從關鍵問題著手,展望安全知識圖譜技術發展的關鍵趨勢。
圖15 安全知識圖譜技術發展趨勢
知識獲取層面:大規模多源信息自動化抽取與信息融合。網絡安全知識圖譜涵蓋了網絡與安全領域的核心概念原型與關聯結構,涉及跨數據、情報、知識多層次的信息資料。一方面,需要基于自然語言處理技術、知識工程技術,實現更自動化的實體、關系、屬性抽取方法,滿足信息抽取的高實時性、高覆蓋率、高容錯性。另一方面,需要在質量評估、語義對齊、信息壓縮等方面,提升數據信息的融合質量,提出信息冗余、信息失效、信息歧義等問題給后續建模推理帶來的錯誤引導。
知識表示層面:異構完備的知識統一表示。安全“大數據”不僅僅指數據規模龐大,還體現在數據結構的復雜性。包括文本類數據、時序數據、序列數據、圖數據、時序圖數據等等異構信息,需要在安全知識圖譜中以統一、規范的表示形式進行組織,并提供一致的表示形式。探索基于神經網絡的圖表示學習方法,將時序維度與圖關聯維度進行完整的建模,是實現異構知識統一表示的關鍵方法之一。
知識推理層面:魯棒、準實時的因果推理。無論是攻擊與威脅的關聯,還是資產數據風險的識別,網絡安全領域對行為、事件、意圖的歸因與溯源技術效果有較高的質量追求。因此,亟需探索具有精確信息流依賴能力的因果推理方法,以保證基于安全知識圖譜的推理結果過程的魯棒性,提升推理結果的準確性與置信度水平。此外,在大規模知識圖譜上進行知識推理,仍需通過圖分割技術、分布式學習技術等方式提升推理流程的并行度,以滿足安全領域諸多應用場景的準實時需求。
知識遷移層面:跨場景知識遷移與人機智能融合。基于安全知識圖譜的應用,具有多個細分領域,如威脅情報計算、安全運營輔助、威脅動態建模等等。在多個細分領域應用中,將涉及不同范疇的知識本體與實例。可通過探索跨場景的知識遷移方法,將不同場景下的推理模式進行推廣,實現推理分析能力的延展。此外,通過人機工程、推薦搜索等不同機制的人機協同方法,提供持續的人類知識經驗與機器知識數據的信息融合接口,能夠進一步加速安全知識圖譜的的知識固化與知識拓展,提升相關應用的動態環境適應性。
參考文獻
Jajodia S, Noel S, Kalapa P, et al. Cauldron mission-centric cyber situational awareness with defense in depth[C]. MILCOM 2011 Military Communications Conference, 2011.
Xu Z, Fang P, Liu C, et al. DEPCOMM: Graph Summarization on System Audit Logs for Attack Investigation[C]. IEEE Symposium on Security and Privacy (SP), San Francisco, CA, 2021: 22-26.
The MITRE Corporation. MITRE ATT&CK Matrix for Enterprise[EB/OL]. https://attack.mitre.org/, 2020-10-27/2022-07-07.
The MITRE Corporation. Common Attack Pattern Enumeration and Classification (CAPEC)[EB/OL]. https://capec.mitre.org/, 2021-02-25/2022-07-07.
The MITRE Corporation.Common Weakness Enumeration (CWE)[EB/OL]. https://cwe.mitre.org/,
肖巖軍,王津,賴智全. 基于知識圖譜的APT組織追蹤治理. 綠盟科技研究通訊
Milajerdi S, Gjomemo R, Eshete B, et al. HOLMES: Real-Time APT Detection through Correlation of Suspicious Information Flows[M]. 2019: 1137-1152.
Hossain M N, Sheikhi S, Sekar R. Combating Dependence Explosion in Forensic Analysis Using Alternative Tag Propagation Semantics[C]. 2020 IEEE Symposium on Security and Privacy (SP), 2020: 1139-1155.[17] Pei K, Gu Z, Saltaformaggio B, et al.
HERCULE: attack story reconstruction via community discovery on correlated log graph[C]. Proceedings of the 32nd Annual Conference on Computer Security Applications, 2016: 583–595.
