隨著全球數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展,網(wǎng)絡(luò)安全與物聯(lián)網(wǎng)����、工業(yè)互聯(lián)網(wǎng)、云計(jì)算����、5G
等多種場(chǎng)景和技術(shù)的融合極大地改變了網(wǎng)絡(luò)安全防護(hù)體系。如何打造智能化的網(wǎng)絡(luò)安全防護(hù)成為了學(xué)術(shù)界和工業(yè)界的熱點(diǎn)����;谌斯ぶ悄艿陌踩\(yùn)營(yíng)技術(shù)方案(AISecOps)將大幅提升威脅檢測(cè)���、風(fēng)險(xiǎn)評(píng)估����、自動(dòng)化響應(yīng)等關(guān)鍵運(yùn)營(yíng)環(huán)節(jié)的處理效率����,大幅減少對(duì)專家經(jīng)驗(yàn)的依賴,助力網(wǎng)絡(luò)安全運(yùn)營(yíng)產(chǎn)業(yè)的技術(shù)升級(jí)���。近年來(lái)�,知識(shí)圖譜技術(shù)得到了迅速發(fā)展,本文目的在于探討智能的安全運(yùn)營(yíng)技術(shù)中知識(shí)圖譜技術(shù)應(yīng)該發(fā)揮何種作用��。
概述
網(wǎng)絡(luò)環(huán)境本身可以與圖數(shù)據(jù)結(jié)構(gòu)結(jié)合�,因此將知識(shí)圖譜技術(shù)引入到智能安全運(yùn)營(yíng)中具備可行性。知識(shí)圖譜的概念由谷歌提出�����,本質(zhì)上是一種叫做語(yǔ)義網(wǎng)絡(luò)的知識(shí)庫(kù)����。安全運(yùn)營(yíng)知識(shí)圖譜是以安全運(yùn)營(yíng)領(lǐng)域知識(shí)圖譜為核心,面向網(wǎng)絡(luò)環(huán)境數(shù)據(jù)�、威脅行為數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)����、安全運(yùn)營(yíng)知識(shí)庫(kù)等,構(gòu)建本體化�����、標(biāo)準(zhǔn)化�����、全局化的知識(shí)結(jié)構(gòu)。目前圖結(jié)構(gòu)以及圖分析算法的研究發(fā)展迅速��,圖結(jié)構(gòu)及圖算法也已經(jīng)被應(yīng)用到網(wǎng)絡(luò)安全場(chǎng)景中���。國(guó)內(nèi)方面,已有許多產(chǎn)品和研究關(guān)注安全數(shù)據(jù)的圖分析方法���。例如�,研究人員[1]結(jié)合知識(shí)圖譜設(shè)計(jì)了多個(gè)本體對(duì)整個(gè)網(wǎng)絡(luò)威脅進(jìn)行建模分析�,并兼容MITRE
的CAPEC、MAEC 和ATT&CK 等模型的接入與使用��,能夠從多種威脅情報(bào)中提取關(guān)鍵信息并作為知識(shí)對(duì)知識(shí)圖譜進(jìn)行擴(kuò)展�。
盡管不斷有新的技術(shù)和模型引入,但是實(shí)現(xiàn)智能安全運(yùn)營(yíng)依舊存在很多難點(diǎn)��,例如:1�����、網(wǎng)絡(luò)攻擊手段的不斷進(jìn)步導(dǎo)致網(wǎng)絡(luò)威脅評(píng)估難度不斷增大���;2現(xiàn)有安全設(shè)備檢測(cè)網(wǎng)絡(luò)攻擊行為產(chǎn)生的告警數(shù)量龐大�,如何從海量告警中找到真正的網(wǎng)絡(luò)攻擊是一大難題;3�����、由于攻擊手段的多樣性和復(fù)雜性以及數(shù)據(jù)采集等導(dǎo)致的攻擊鏈路斷裂�����,無(wú)法鎖定該攻擊行為的上下文����。目前安全人員需要人工從海量的告警信息中去進(jìn)行威脅評(píng)估,進(jìn)而關(guān)聯(lián)溯源��,分析發(fā)現(xiàn)攻擊路徑�,安全防護(hù)的難度很大。因而提取安全運(yùn)營(yíng)中的專家知識(shí)��,構(gòu)建知識(shí)圖譜引入到安全運(yùn)營(yíng)中�����,通過(guò)層次化的分析使安全運(yùn)營(yíng)更加智能����,具備重要的研究意義和應(yīng)用價(jià)值����。
知識(shí)圖譜賦能智能安全運(yùn)營(yíng)
將知識(shí)圖譜應(yīng)用到智能安全運(yùn)營(yíng)之前�����,首先需要明確的是���,智能安全運(yùn)營(yíng)業(yè)務(wù)是否需要知識(shí)圖譜的加入。在海量的安全數(shù)據(jù)轟炸下�����,智能安全運(yùn)營(yíng)需要強(qiáng)烈的可視化需求�����,當(dāng)發(fā)現(xiàn)攻擊行為的時(shí)候����,需要涉及到各種行為之間因果依賴關(guān)系的深度搜索,綜合多個(gè)方面安全數(shù)據(jù)的關(guān)聯(lián)分析�,該領(lǐng)域十分依賴于安全專家的經(jīng)驗(yàn)。除此之外隨著高級(jí)持續(xù)威脅的不斷發(fā)展���,復(fù)雜的網(wǎng)絡(luò)攻擊往往隱藏在復(fù)雜的關(guān)系網(wǎng)絡(luò)數(shù)據(jù)中����。知識(shí)圖譜就是為此類問(wèn)題所設(shè)計(jì)的,因此知識(shí)圖譜可以推動(dòng)智能安全運(yùn)營(yíng)的發(fā)展��。
知識(shí)表示技術(shù)和知識(shí)獲取技術(shù)是能否成功應(yīng)用知識(shí)圖譜的關(guān)鍵�。知識(shí)表示技術(shù)主要是設(shè)置數(shù)據(jù)處理的粒度,因?yàn)椴煌说恼J(rèn)知是不同的����,這導(dǎo)致粒度的設(shè)置面臨巨大的挑戰(zhàn)。構(gòu)建安全運(yùn)營(yíng)的知識(shí)圖譜時(shí)需要結(jié)合專家知識(shí)來(lái)確定知識(shí)的粒度���。知識(shí)獲取技術(shù)是利用現(xiàn)有自動(dòng)化的技術(shù)完成知識(shí)的獲取�����,知識(shí)的質(zhì)量是知識(shí)圖譜質(zhì)量的關(guān)鍵�����。搜索領(lǐng)域最早應(yīng)用知識(shí)圖譜是為了提供用戶想要的內(nèi)容����,讓用戶找到自己最想要的那種含義,將網(wǎng)頁(yè)搜索升級(jí)為語(yǔ)義搜索[2]���。安全運(yùn)營(yíng)知識(shí)圖譜是為了輔助安全運(yùn)營(yíng)人員分析和解決安全問(wèn)題������!禔ISecOps
智能安全運(yùn)營(yíng)技術(shù)白皮書》[3]中智能安全運(yùn)營(yíng)前沿技術(shù)圖譜就提到了知識(shí)圖譜在安全運(yùn)營(yíng)中的作用���,其指出超融合知識(shí)圖譜是運(yùn)營(yíng)數(shù)據(jù)關(guān)聯(lián)分析�、智能決策��、行動(dòng)響應(yīng)的重要數(shù)據(jù)基礎(chǔ)設(shè)施��。盡管近年來(lái)有諸多研究工作和廠商產(chǎn)品在持續(xù)探索多源數(shù)據(jù)的融合方案與安全領(lǐng)域知識(shí)圖譜的構(gòu)建方法��,在超融合知識(shí)圖譜的設(shè)計(jì)��、技術(shù)實(shí)現(xiàn)等多個(gè)方面�����,仍存在多方面的挑戰(zhàn)�。
圖1:智能安全運(yùn)營(yíng)前沿技術(shù)圖譜[3]
智慧安全知識(shí)圖譜[1](Intelligent Cyber Security Knowledge
Graph)是知識(shí)圖譜在網(wǎng)絡(luò)安全領(lǐng)域的實(shí)際應(yīng)用,包括基于本體論構(gòu)建的安全知識(shí)本體架構(gòu)����,以及通過(guò)威脅建模等方式對(duì)多源異構(gòu)的網(wǎng)絡(luò)安全領(lǐng)域信息(
Heterogeneous Cyber Security
Information)進(jìn)行加工、處理���、整合�,轉(zhuǎn)化成為的結(jié)構(gòu)化的智慧安全領(lǐng)域知識(shí)庫(kù)���。針對(duì)信息安全領(lǐng)域知識(shí)圖譜構(gòu)建的兩個(gè)關(guān)鍵要素�����,構(gòu)建了威脅元語(yǔ)言模型對(duì)威脅知識(shí)的結(jié)構(gòu)化描述�����,包括概念��、實(shí)體����、屬性的定義以及知識(shí)關(guān)系的定義。研究中依據(jù)STIX2.0以及領(lǐng)域?qū)<抑R(shí)����,構(gòu)建三層安全知識(shí)圖譜,如圖2所示�,知識(shí)圖譜輔助安全事件分析、安全合規(guī)標(biāo)準(zhǔn)��、APT追蹤溯源等實(shí)際業(yè)務(wù)場(chǎng)景所需的數(shù)據(jù)表示和語(yǔ)義關(guān)系,其中,信息層為知識(shí)圖譜從外界抽取的知識(shí)實(shí)體��,知識(shí)層和智慧層為信息安全領(lǐng)域關(guān)鍵概念及這些概念之間的邏輯語(yǔ)義關(guān)系[4]�。
圖2:安全知識(shí)圖譜
合理的設(shè)計(jì)本體庫(kù)是圖結(jié)構(gòu)設(shè)計(jì)的關(guān)鍵任務(wù),構(gòu)建安全運(yùn)營(yíng)知識(shí)圖譜的難點(diǎn)也是在于本體的構(gòu)建以及其之間的關(guān)系挖掘���。本體包括圖中實(shí)體(節(jié)點(diǎn))類型��、實(shí)體的屬性類型以及實(shí)體間的關(guān)系類型(即實(shí)體之間邊的類型)����,即表示圖結(jié)構(gòu)的抽象概念結(jié)構(gòu)“類”��。本體庫(kù)的設(shè)計(jì)不僅要遵循一定的規(guī)范標(biāo)準(zhǔn)����,而且符合特定應(yīng)用場(chǎng)景下的指定需求。例如���,ATT&CK(AdversarialTactics,
Techniques, and Common
Knowledge)是一個(gè)攻擊行為知識(shí)庫(kù)和威脅建模模型�����,自發(fā)布以來(lái)已逐漸發(fā)展為網(wǎng)絡(luò)威脅分析語(yǔ)境下的通用元語(yǔ)����,其提供了四個(gè)核心的實(shí)體(戰(zhàn)術(shù)�、技術(shù)、軟件�、組織)及其之間的關(guān)系,而CAPEC
則主要覆蓋TTP����、防護(hù)手段、脆弱性等概念����,如果直接參照STIX
2.0,則需要覆蓋十余種對(duì)象�。因此構(gòu)建可用、可拓展的知識(shí)圖��,需要從具體場(chǎng)景入手逐步擴(kuò)展。除此之外參考已有知識(shí)來(lái)構(gòu)建安全運(yùn)營(yíng)知識(shí)圖譜需注意的是安全運(yùn)營(yíng)的告警規(guī)則與ATT&CK等知識(shí)庫(kù)之間的關(guān)聯(lián)需要非常復(fù)雜的信息抽取能力和非常龐大的抽象先驗(yàn)知識(shí)[5]����,現(xiàn)階段該過(guò)程采用自動(dòng)系統(tǒng)是難以實(shí)現(xiàn)的。鑒于大規(guī)模非結(jié)構(gòu)化文本中包含大量實(shí)體和關(guān)系噪聲���,對(duì)安全運(yùn)營(yíng)領(lǐng)域的知識(shí)抽取�,會(huì)造成統(tǒng)計(jì)層次�����、語(yǔ)義層次的干擾��,因此在知識(shí)抽取的過(guò)程中需進(jìn)行模式和指紋的過(guò)濾�,以提升抽取知識(shí)的質(zhì)量以及知識(shí)拓展的效率。
綜上所述�,在構(gòu)建安全運(yùn)營(yíng)知識(shí)圖譜的過(guò)程面臨著本體庫(kù)設(shè)計(jì),知識(shí)庫(kù)關(guān)聯(lián)��,知識(shí)抽取�,以及知識(shí)拓展等多方面的挑戰(zhàn)。安全運(yùn)營(yíng)知識(shí)圖譜獲取知識(shí)的過(guò)程需要根據(jù)實(shí)際應(yīng)用場(chǎng)景改變或增加來(lái)不斷優(yōu)化和推理完善�。將特定安全運(yùn)營(yíng)場(chǎng)景中真實(shí)網(wǎng)絡(luò)的威脅行為的知識(shí)庫(kù)轉(zhuǎn)化為企業(yè)自身的安全運(yùn)營(yíng)知識(shí)圖�,需要企業(yè)建立自身安全運(yùn)營(yíng)場(chǎng)景的攻擊實(shí)驗(yàn)局��,不斷修正知識(shí)結(jié)構(gòu)����。在特定安全運(yùn)營(yíng)場(chǎng)景下��,由攻防知識(shí)豐富的安全專家對(duì)于告警數(shù)據(jù)及安全運(yùn)營(yíng)知識(shí)進(jìn)行篩選構(gòu)建圖譜�,該過(guò)程不僅需要考慮現(xiàn)有告警、攻擊手法及響應(yīng)操作���,而且需要考慮未來(lái)可能產(chǎn)生的變化�,不斷的細(xì)化數(shù)據(jù)之間的層次關(guān)系����,確定該場(chǎng)景下的知識(shí)粒度,構(gòu)建該場(chǎng)景下的智能安全運(yùn)營(yíng)知識(shí)圖譜��,采用知識(shí)推理模塊預(yù)測(cè)實(shí)體之間潛在的關(guān)系��,從海量告警中找出未被關(guān)注的網(wǎng)絡(luò)攻擊行為�,推理出隱藏在深層次的網(wǎng)絡(luò)攻擊威脅,為安全運(yùn)營(yíng)提供方法和策略�����,以適應(yīng)指定場(chǎng)景下的威脅分析任務(wù)。當(dāng)然未來(lái)是需要探索如何根據(jù)不同的場(chǎng)景來(lái)設(shè)計(jì)一個(gè)完整智能安全運(yùn)營(yíng)領(lǐng)域圖譜的模式����,方便安全專家知識(shí)的不斷融合和完善。
結(jié)束語(yǔ)
知識(shí)圖譜是近年來(lái)新興的技術(shù)����,其應(yīng)用空間很大。目前在智能安全運(yùn)營(yíng)中還沒(méi)有很好的應(yīng)用實(shí)例���,但是知識(shí)圖譜領(lǐng)域一個(gè)重要的研究是知識(shí)推理�����,是人工智能領(lǐng)域發(fā)展的重點(diǎn)之一�����。而AISecOps正是讓AI具備安全運(yùn)營(yíng)的知識(shí)�,具備安全知識(shí)的推理能力����,因此不斷完善知識(shí)圖譜是AISecOps的關(guān)鍵技術(shù)之一。如何讓知識(shí)圖譜更好地賦能智能的安全運(yùn)營(yíng)技術(shù),促進(jìn)AISecOps更好地發(fā)展還有很長(zhǎng)的路要走��,這需要網(wǎng)絡(luò)安全人員共同探索��。
參考文獻(xiàn)
[1] 基于知識(shí)圖譜的APT
組織追蹤治理�����,綠盟科技(300369,股吧)���,https://cloud.tencent.com/developer/article/1556638
[2]
https://baike.baidu.com/item/%E7%9F%A5%E8%AF%86%E5%9B%BE%E8%B0%B1/8120012?fr=aladdin
[3] 《AISecOps 智能安全運(yùn)營(yíng)技術(shù)白皮書》,
http://blog.nsfocus.net/wp-content/uploads/2020/12/AISecOps_White_Paper_NSFOCUS_20201218.pdf
[4]安全知識(shí)圖譜助力內(nèi)部威脅識(shí)別
[5] ATT&CK框架在企業(yè)安全運(yùn)營(yíng)中的局限
本文由【綠盟科技研究通訊】授權(quán)轉(zhuǎn)載,僅代表作者觀點(diǎn)���;內(nèi)容編輯:天樞實(shí)驗(yàn)室
王星凱??責(zé)任編輯:王星凱
?
?
零點(diǎn)有數(shù)(Dataway):中國(guó)前沿的數(shù)據(jù)分析與決策支持服務(wù)機(jī)構(gòu)�����。深耕公共事務(wù)和商業(yè)服務(wù)的諸多領(lǐng)域����,以第三方評(píng)估為驅(qū)動(dòng)����、以解決應(yīng)用場(chǎng)景中的關(guān)鍵問(wèn)題為出發(fā)點(diǎn),梳理和優(yōu)化不同垂直行業(yè)的模型與算法�。在數(shù)據(jù)智能時(shí)代�,公司不斷整合移動(dòng)互聯(lián)網(wǎng)�����、人工智能����、云計(jì)算、物聯(lián)網(wǎng)等領(lǐng)域新技術(shù)����,將多源數(shù)據(jù)與公共和商業(yè)服務(wù)的垂直行業(yè)場(chǎng)景結(jié)合,將20多年積累的專業(yè)知識(shí)實(shí)現(xiàn)"經(jīng)驗(yàn)?zāi)P突��,模型算法化�����,算法軟件?�����,推進(jìn)決策科學(xué)化���、服務(wù)高效化����。
如需獲取更多信息請(qǐng)聯(lián)系:
電話:010-53896000
郵箱:mkt@idataway.com
?
?
本文首發(fā)于微信公眾號(hào):零點(diǎn)有數(shù)科技。文章內(nèi)容屬作者個(gè)人觀點(diǎn)�����,不代表和訊網(wǎng)立場(chǎng)�����。投資者據(jù)此操作����,風(fēng)險(xiǎn)請(qǐng)自擔(dān)�。
(責(zé)任編輯:李瑩 HN016)
最新評(píng)論