【摘 要】 多種安全運(yùn)營(yíng)產(chǎn)品被應(yīng)用在本地或云端,傳統(tǒng)的安全檢測(cè)方式在大數(shù)據(jù)和云計(jì)算的環(huán)境中逐漸顯露出局限性,基于行為分析的安全檢測(cè)方法迅速發(fā)展,但仍存在誤報(bào)率高、缺乏上下文關(guān)聯(lián)、大量依靠人工評(píng)判等缺陷。本文針對(duì)上述問(wèn)題提出了一種利用外部知識(shí)庫(kù)、自身安全數(shù)據(jù)和智能算法深度結(jié)合的威脅識(shí)別、評(píng)價(jià)體系。該體系融合了高速發(fā)展的知識(shí)圖譜有關(guān)技術(shù)和圖神經(jīng)網(wǎng)絡(luò)技術(shù),兼具實(shí)用性和創(chuàng)新性。
【關(guān)鍵詞】 威脅知識(shí)庫(kù) 知識(shí)圖譜 圖神經(jīng)網(wǎng)絡(luò) 風(fēng)險(xiǎn)評(píng)估
1 引言
目前,安全信息事件管理(SIEM)系統(tǒng)、用戶實(shí)體行為分析(UEBA)系統(tǒng),以及擴(kuò)展檢測(cè)和響應(yīng)(XDR)系統(tǒng)被越來(lái)越多的組織應(yīng)用在本地或云端。大量實(shí)踐表明,基于行為分析的安全檢測(cè)方法在大數(shù)據(jù)和與云計(jì)算環(huán)境中越來(lái)越有優(yōu)勢(shì)。隨之而來(lái)產(chǎn)生了一系列重要問(wèn)題:行為的異常就等于安全威脅嗎?海量日志中的威脅如何檢測(cè)?識(shí)別出攻擊行為風(fēng)險(xiǎn)級(jí)別如何評(píng)判?
由于缺乏對(duì)異常行為的進(jìn)一步研判、潛在威脅的挖掘、合理的威脅攻擊評(píng)判方式,造成了現(xiàn)有安全產(chǎn)品棘手的通病誤報(bào)率高、結(jié)果缺乏上下文邏輯關(guān)聯(lián)、分析大量依靠人工。這些問(wèn)題會(huì)嚴(yán)重影響用戶的實(shí)際體驗(yàn),大幅降低安全系統(tǒng)的可用性,并增加組織安全運(yùn)營(yíng)中心(SOC)安全人員的工作負(fù)擔(dān)。如何提高安全系統(tǒng)的報(bào)警準(zhǔn)確率,已經(jīng)成為行為分析關(guān)聯(lián)安全檢測(cè)系統(tǒng)迫切需要解決的問(wèn)題,一般的解決方法包括以下3種。
(1)行為基線調(diào)整:采用動(dòng)態(tài)行為基線,根據(jù)用戶和實(shí)體近期行為數(shù)據(jù)對(duì)其基線定期更新。
(2)關(guān)聯(lián)分析結(jié)合專家人工研判:根據(jù)預(yù)先設(shè)定好的規(guī)則,關(guān)聯(lián)安全事件信息,輔助安全專家人工分析,對(duì)系統(tǒng)產(chǎn)生的異常行為進(jìn)行研判。
(3)風(fēng)險(xiǎn)打分排序:對(duì)異常行為進(jìn)行風(fēng)險(xiǎn)評(píng)估,累加其風(fēng)險(xiǎn)評(píng)分并進(jìn)行排序,分析人員優(yōu)先關(guān)注排名較高的用戶或?qū)嶓w行為。
上述方法雖然在一定程度上緩解了誤報(bào)率高、結(jié)果缺乏上下文邏輯關(guān)聯(lián)、過(guò)度依靠人工等問(wèn)題,但都只是在某一維度上的片面優(yōu)化或是以犧牲系統(tǒng)邏輯性、實(shí)時(shí)性等性能為代價(jià)的。
本文提出了一種利用外部知識(shí)庫(kù)、自身安全數(shù)據(jù)和智能算法深度結(jié)合的威脅識(shí)別、評(píng)價(jià)體系,解決誤報(bào)率高、人工分析成本高且及時(shí)性差、風(fēng)險(xiǎn)評(píng)估缺乏聯(lián)動(dòng)等關(guān)鍵問(wèn)題。利用本文研究的體系可采用多種智能算法,助力網(wǎng)絡(luò)安全智能化。
2 研究?jī)?nèi)容和價(jià)值
2.1 研究?jī)?nèi)容
本文對(duì)網(wǎng)絡(luò)安全智能化技術(shù)深入研究,首先根據(jù)對(duì)抗戰(zhàn)術(shù)技術(shù)通用知識(shí)庫(kù)(ATT&CK)、結(jié)構(gòu)化威脅信息表達(dá)(STIX)等多種安全知識(shí)框架,研究用于威脅檢測(cè)和攻擊鏈識(shí)別的知識(shí)庫(kù),即威脅知識(shí)庫(kù)。其中包括威脅攻擊基本映射策略、威脅攻擊場(chǎng)景與模式。在威脅知識(shí)庫(kù)的輔助下研究網(wǎng)絡(luò)安全智能化實(shí)踐,探索基于圖神經(jīng)網(wǎng)絡(luò)技術(shù)的威脅攻擊鏈智能識(shí)別;有機(jī)結(jié)合威脅模式、攻擊事件研究并設(shè)計(jì)風(fēng)險(xiǎn)場(chǎng)景,構(gòu)造用于風(fēng)險(xiǎn)評(píng)估分析的風(fēng)險(xiǎn)因素模型,利用蒙特卡洛或其他隨機(jī)方法進(jìn)行評(píng)估計(jì)算。
2.1.1 威脅知識(shí)庫(kù)
威脅知識(shí)庫(kù)中包含基于安全知識(shí)框架的映射策略和威脅攻擊模式,如圖1所示。通過(guò)對(duì)ATT&CK安全知識(shí)框架中網(wǎng)絡(luò)攻擊技戰(zhàn)術(shù)的研究,基于用戶和實(shí)體行為構(gòu)建關(guān)聯(lián)的“行為到攻擊技戰(zhàn)法(TTP)”的映射關(guān)系。將ATT&CK安全知識(shí)框架引入并應(yīng)用到多種產(chǎn)品威脅識(shí)別、威脅情報(bào)方面,歸納基于ATT&CK安全知識(shí)框架的映射策略:
(1)內(nèi)部威脅與ATT&CK安全知識(shí)框架映射策略;
(2)外部威脅與ATT&CK安全知識(shí)框架映射策略。
通過(guò)對(duì)現(xiàn)有威脅攻擊日志數(shù)據(jù)和多方威脅情報(bào)的分析,提煉出攻擊模式的本體模型:
(1)研究關(guān)聯(lián)多方日志數(shù)據(jù)歸一化,同時(shí)分析日志中與本體模式對(duì)應(yīng)成分,形成語(yǔ)義連貫、符合邏輯的攻擊示例;
(2)從眾多攻擊示例中提取關(guān)鍵攻擊步驟與威脅上下文,形成譜圖化攻擊模式和威脅場(chǎng)景。
圖1 威脅知識(shí)庫(kù)的作用
2.1.2 威脅智能化識(shí)別
利用專家預(yù)置的威脅攻擊鏈模式,實(shí)現(xiàn)基于知識(shí)圖譜和圖神經(jīng)網(wǎng)絡(luò)技術(shù)的威脅攻擊鏈智能識(shí)別,重點(diǎn)研究?jī)?nèi)容如下:
(1)基于威脅知識(shí)庫(kù)的本體模型構(gòu)建,從多方日志中構(gòu)建用戶知識(shí)圖譜,現(xiàn)有的日志多為結(jié)構(gòu)化或半結(jié)構(gòu)化,因此研究中采用知識(shí)融合的方式構(gòu)建圖譜,并利用知識(shí)加工迭代完善圖譜數(shù)據(jù)內(nèi)容;
(2)基于圖神經(jīng)網(wǎng)絡(luò)的子圖匹配技術(shù),采用已有帶標(biāo)注數(shù)據(jù)訓(xùn)練深度學(xué)習(xí)模型,訓(xùn)練后的模型可智能識(shí)別威脅攻擊鏈。
2.1.3 風(fēng)險(xiǎn)因素評(píng)估模型
多種威脅場(chǎng)景下多樣攻擊鏈會(huì)造成不同的損失和影響,評(píng)估威脅往往會(huì)消耗安全人員大量時(shí)間和精力,且人工評(píng)估包含較多的非量化的結(jié)論。為了有效管理風(fēng)險(xiǎn),需對(duì)風(fēng)險(xiǎn)進(jìn)行量化評(píng)估。
根據(jù)對(duì)現(xiàn)有風(fēng)險(xiǎn)因素模型和風(fēng)險(xiǎn)評(píng)估方法的調(diào)研,本研究?jī)?nèi)容和待解決問(wèn)題包括以下3點(diǎn)。
(1)構(gòu)建適用于本研究的信息系統(tǒng)風(fēng)險(xiǎn)因子的分類法與本體模型。參考常用的標(biāo)準(zhǔn),如《ISO 31000:2018 風(fēng)險(xiǎn)管理指南》,《美國(guó)標(biāo)準(zhǔn)技術(shù)研究院特別出版物 800-37》,《OpenFAIR風(fēng)險(xiǎn)分類學(xué)》[7]等。
(2)設(shè)置風(fēng)險(xiǎn)場(chǎng)景。研究?jī)?nèi)容主要為利用威脅場(chǎng)景、攻擊鏈和風(fēng)險(xiǎn)因子本體模型,識(shí)別風(fēng)險(xiǎn)場(chǎng)景。從現(xiàn)有資產(chǎn)的主要利益相關(guān)者視角出發(fā),研究并設(shè)計(jì)包含威脅事件和攻擊行為的風(fēng)險(xiǎn)場(chǎng)景,場(chǎng)景的關(guān)注點(diǎn)落在損失和影響。
(3)明確基于統(tǒng)計(jì)和隨機(jī)方法的風(fēng)險(xiǎn)分析方法論和流程。研究在給定風(fēng)險(xiǎn)因子本體模型和風(fēng)險(xiǎn)場(chǎng)景后,通用的風(fēng)險(xiǎn)分析評(píng)估流程包括場(chǎng)景和風(fēng)險(xiǎn)因素分解、風(fēng)險(xiǎn)因素評(píng)價(jià)策略、基于隨機(jī)方法的量化估算、緩解措施(控制項(xiàng))評(píng)價(jià)等一系列步驟。
2.2 研究?jī)r(jià)值
本文研究如何利用ATT&CK安全框架,挖掘數(shù)據(jù)中的威脅線索,對(duì)抗愈發(fā)隱匿和嚴(yán)重的內(nèi)外部威脅行為,達(dá)到持續(xù)降低組織的數(shù)字化運(yùn)營(yíng)風(fēng)險(xiǎn)的目的。
目前,雖然在諸多威脅感知場(chǎng)景下,學(xué)界和產(chǎn)業(yè)界利用統(tǒng)計(jì)機(jī)器學(xué)習(xí)的威脅分析方法取得了重要的突破,但在面對(duì)高度動(dòng)態(tài)復(fù)雜的網(wǎng)絡(luò)行為分析時(shí),感知層輸入往往缺乏有安全語(yǔ)義的規(guī)范化建模,數(shù)據(jù)層異常而非真實(shí)惡意攻擊的誤報(bào)情況難以避免。此外,多維度單點(diǎn)的感知分析結(jié)果,仍需要專家深度參與研判與關(guān)聯(lián)分析,才能完整還原攻擊行為全貌,限制了高級(jí)持續(xù)攻擊(APT)、內(nèi)部威脅等高級(jí)復(fù)雜攻擊技戰(zhàn)術(shù)的分析自動(dòng)化水平的提升。本研究通過(guò)構(gòu)建威脅知識(shí)圖譜,將語(yǔ)義孤立的多元異構(gòu)信息聯(lián)系起來(lái),并利用圖神經(jīng)網(wǎng)絡(luò)嵌入技術(shù)發(fā)現(xiàn)海量日志中的潛在攻擊鏈。
攻擊鏈的識(shí)別可為安全人員提供重點(diǎn)關(guān)注對(duì)象和相關(guān)上下文信息,同一類型場(chǎng)景下的不同攻擊鏈和不同場(chǎng)景下的相似攻擊鏈都需要評(píng)估,以便優(yōu)先處理更加緊急的安全事件。本研究提出風(fēng)險(xiǎn)因素模型,即選取定義一致的風(fēng)險(xiǎn)詞匯表及各風(fēng)險(xiǎn)因子的關(guān)系,可以幫助組織的安全人員進(jìn)行威脅處理優(yōu)先級(jí)排序、后續(xù)運(yùn)維和風(fēng)險(xiǎn)管理工作,并有效地向決策層傳遞和對(duì)比風(fēng)險(xiǎn)評(píng)估結(jié)果。
3 研究方案與說(shuō)明
本研究利用ATT&CK安全框架中的戰(zhàn)術(shù)、技術(shù)等方面的知識(shí)庫(kù)對(duì)異常行為進(jìn)行研判,并使用深度學(xué)習(xí)和機(jī)器學(xué)習(xí)等多種手段檢測(cè)并擴(kuò)充威脅攻擊行為,最后通過(guò)風(fēng)險(xiǎn)因素模型給予量化評(píng)估,最終達(dá)到對(duì)威脅識(shí)別、評(píng)判的目的。大體流程如下:
(1)將安全系統(tǒng)產(chǎn)生的異常、警報(bào)與ATT&CK安全框架中的戰(zhàn)術(shù)、技術(shù)進(jìn)行映射匹配,對(duì)系統(tǒng)所產(chǎn)生的異常和警報(bào)作進(jìn)一步研判,緩解安全系統(tǒng)高誤報(bào)率的問(wèn)題;
(2)通過(guò)時(shí)間維度審視被關(guān)注對(duì)象的所有離散行為、結(jié)合每個(gè)離散的異常行為與ATT&CK安全框架中的技戰(zhàn)術(shù)的映射匹配情況,以及相關(guān)聯(lián)的一系列連續(xù)上下文行為,識(shí)別威脅攻擊鏈,調(diào)查隱藏在異常和警報(bào)背后的安全威脅;
(3)根據(jù)風(fēng)險(xiǎn)因素模型和風(fēng)險(xiǎn)評(píng)估算法,量化威脅攻擊鏈帶來(lái)的影響,以便安全人員優(yōu)先處理高優(yōu)先級(jí)事件。
首先使用威脅知識(shí)庫(kù)把異常行為映射到ATT&CK安全框架中的戰(zhàn)術(shù)、技術(shù),安全人員可以從海量異常報(bào)警中進(jìn)一步識(shí)別出真正的安全威脅,顯著降低安全系統(tǒng)的誤報(bào)率,如圖2所示。但是,網(wǎng)絡(luò)攻擊往往是一系列行為組成的,只判斷離散的惡意行為并不能真正阻止攻擊者,從根本上消除安全威脅。為了更好地應(yīng)對(duì)網(wǎng)絡(luò)攻擊,實(shí)現(xiàn)對(duì)安全威脅由檢測(cè)分析、編排響應(yīng)到取證溯源的全生命周期的管控,需要結(jié)合多種安全框架建立威脅攻擊鏈模型,并在其基礎(chǔ)上利用人工智能、知識(shí)圖譜與知識(shí)推理的關(guān)聯(lián)技術(shù),擴(kuò)展當(dāng)前威脅知識(shí)庫(kù)。
圖2 異常行為到ATT&CK安全框架的映射
建立威脅知識(shí)庫(kù)之后,無(wú)法利用其中知識(shí)直接識(shí)別日志中的攻擊鏈,需要利用數(shù)據(jù)融合、實(shí)體對(duì)齊、知識(shí)推理、質(zhì)量評(píng)估等技術(shù)把多方安全日志轉(zhuǎn)換為用戶行為圖譜。該圖譜作為本體模式指導(dǎo)下的數(shù)據(jù)層,與知識(shí)庫(kù)中威脅攻擊模式進(jìn)行匹配,用于探查攻擊者的攻擊技術(shù)和過(guò)程。
在用戶和實(shí)體的一系列時(shí)序行為中查找隱藏威脅攻擊鏈,難點(diǎn)在于行為中混合了正常行為和異常行為,很難將其與一系列的攻擊鏈模式、模型完全精確地匹配。所以采用近似求解的子圖匹配方法更為合適,如基于深度學(xué)習(xí)的一系列圖嵌入算法和圖匹配算法,包括圖神經(jīng)網(wǎng)絡(luò)(GNN)嵌入模型、圖卷積網(wǎng)絡(luò)(GCN)嵌入模型、子圖匹配網(wǎng)絡(luò)模型等,可以將圖譜中的節(jié)點(diǎn)連同語(yǔ)義信息一同轉(zhuǎn)換到低維的向量空間,并通過(guò)多種相似度學(xué)習(xí)算法達(dá)成攻擊鏈的智能學(xué)習(xí),如圖3所示。
圖3 基于圖神經(jīng)網(wǎng)絡(luò)的子圖匹配方案(NTN:神經(jīng)張量網(wǎng)絡(luò);ATT:注意力矩陣;conv:卷積)
最后,通過(guò)建立風(fēng)險(xiǎn)因素模型并評(píng)估威脅攻擊鏈,達(dá)到威脅優(yōu)先級(jí)排序的目的:
(1)識(shí)別風(fēng)險(xiǎn)場(chǎng)景,在其內(nèi)定義并描述資產(chǎn)、威脅、控制項(xiàng)、影響/損失等;
(2)設(shè)計(jì)明確定義的風(fēng)險(xiǎn)因素分類法,如圖4所示,該步驟可以使風(fēng)險(xiǎn)評(píng)估信息有效地傳遞、對(duì)比并輸出報(bào)告,具體可參考知名機(jī)構(gòu)所出版的標(biāo)準(zhǔn);
(3)構(gòu)建風(fēng)險(xiǎn)因素模型,該模型利用上一步定義風(fēng)險(xiǎn)因素分類法,設(shè)置一系列風(fēng)險(xiǎn)因素和子因素;為了提升評(píng)估精度,研究中選取不同子因素聚合到上級(jí)風(fēng)險(xiǎn)因素的函數(shù),聚合函數(shù)會(huì)采用概率分布、鏈?zhǔn)骄酆稀蛹?jí)聚合等多種形式;
(4)測(cè)量并對(duì)風(fēng)險(xiǎn)因素估值,研究中采用蒙特卡洛或其他隨機(jī)方法;利用統(tǒng)計(jì)的原理進(jìn)行輔助分析的技術(shù)還需在實(shí)驗(yàn)中進(jìn)一步選型。
圖4 風(fēng)險(xiǎn)因素分類法示例
4研究特色與創(chuàng)新點(diǎn)
4.1 威脅知識(shí)庫(kù)的特色與優(yōu)勢(shì)
本研究所構(gòu)建的威脅知識(shí)庫(kù)具有以下4個(gè)方面的特色與優(yōu)勢(shì)。
(1)成熟的安全框架理念:將ATT&CK安全框架應(yīng)用于威脅檢測(cè)、分析及響應(yīng)。
(2)威脅輔助分析與智能識(shí)別:把異常行為與ATT&CK安全知識(shí)框架中的技戰(zhàn)術(shù)進(jìn)行匹配映射,精準(zhǔn)識(shí)別威脅,并利用ATT&CK安全框架中的知識(shí)輔助分析。關(guān)聯(lián)各個(gè)異常行為,挖掘隱藏在其背后的完整攻擊意圖,并利用人工智能領(lǐng)域的相關(guān)算法,智能識(shí)別安全威脅攻擊鏈。
(3)降低誤報(bào)率:與傳統(tǒng)威脅檢測(cè)系統(tǒng)相比,基于ATT&CK安全知識(shí)庫(kù)中的技戰(zhàn)法(TTP)對(duì)系統(tǒng)異常和警報(bào)進(jìn)行映射,可大幅度降低系統(tǒng)異常行為報(bào)警的誤報(bào)率。
(4)已有經(jīng)驗(yàn)知識(shí)再利用:預(yù)置各種攻擊鏈模式、模型,智能化匹配識(shí)別系統(tǒng)行為數(shù)據(jù)中隱藏的威脅攻擊鏈,挖掘攻擊者的真正攻擊意圖。
4.2 圖神經(jīng)網(wǎng)絡(luò)的子圖匹配算法特色與優(yōu)勢(shì)
圖神經(jīng)網(wǎng)絡(luò)的子圖匹配算法特色與優(yōu)勢(shì)主要體現(xiàn)在以下2個(gè)方面。
(1)結(jié)合新知識(shí)、新理念、新技術(shù):構(gòu)造以日志數(shù)據(jù)為基礎(chǔ),引入專家知識(shí)的本體模型;將用戶行為與威脅攻擊模式圖(譜)化,再利用基于圖神經(jīng)網(wǎng)絡(luò)子圖匹配技術(shù),把復(fù)雜多樣攻擊鏈識(shí)別過(guò)程轉(zhuǎn)化為深度學(xué)習(xí)過(guò)程。
(2)節(jié)點(diǎn)特征向量嵌入不同抽象層級(jí)的特征空間:通過(guò)把日志數(shù)據(jù)和威脅模型中部分實(shí)體映射到更高抽象層級(jí)的ATT&CK威脅框架內(nèi),可給圖譜中節(jié)點(diǎn)的特征向量提供額外維度且不同抽象層級(jí)的信息,結(jié)合日志中已有的實(shí)體特征信息,可加速節(jié)點(diǎn)匹配過(guò)程,提升子圖匹配模型的性能和匹配成功率。
4.3 風(fēng)險(xiǎn)因素模型特色和創(chuàng)新
本研究所采用的風(fēng)險(xiǎn)因素模型具有以下2個(gè)方面的特色和創(chuàng)新。
(1)從風(fēng)險(xiǎn)的角度度量攻擊事件和行為:威脅與攻擊鏈識(shí)別從網(wǎng)絡(luò)空間安全的角度出發(fā),注重攻擊者的行為序列及攻擊產(chǎn)生的前因后果。而風(fēng)險(xiǎn)因素模型從風(fēng)險(xiǎn)管理的角度考慮多種安全域和控制項(xiàng),結(jié)合威脅頻率、攻擊強(qiáng)度、資產(chǎn)損失等因素綜合且全面評(píng)價(jià)攻擊事件,把攻擊知識(shí)領(lǐng)域和風(fēng)險(xiǎn)管理領(lǐng)域有機(jī)結(jié)合。
(2)采用概率和統(tǒng)計(jì)結(jié)合的量化評(píng)估流程:建立風(fēng)險(xiǎn)因素關(guān)聯(lián)的概率模型,再結(jié)合攻擊鏈識(shí)別技術(shù),風(fēng)險(xiǎn)因素模型由靜態(tài)轉(zhuǎn)為動(dòng)態(tài),不但可根據(jù)實(shí)際識(shí)別結(jié)果有效區(qū)分高頻低損失威脅和低頻高損失威脅,還可根據(jù)實(shí)際業(yè)務(wù)集成于多種風(fēng)險(xiǎn)場(chǎng)景中。研究采用蒙特卡洛模擬算法模擬統(tǒng)計(jì)分析過(guò)程,可解決因子關(guān)聯(lián)的復(fù)雜概率模型抽樣困難的問(wèn)題。
5 結(jié)語(yǔ)
利用基于ATT&CK和STIX安全框架構(gòu)建威脅知識(shí)庫(kù)可以在很大程度上提升各類基于行為的安全系統(tǒng)的檢測(cè)精度,并且可以深入挖掘隱藏在一連串異常行為背后的威脅攻擊鏈,從而分析攻擊者的真正意圖。威脅知識(shí)庫(kù)構(gòu)建的難點(diǎn)在于如何更好地構(gòu)建基于ATT&CK安全框架的映射策略、識(shí)別威脅攻擊鏈這兩方面。對(duì)于映射策略而言,需要安全人員對(duì)ATT&CK安全框架具有較深入的理解,并且了解自身所掌握的數(shù)據(jù)和具體需求。根據(jù)實(shí)際使用效果不斷調(diào)整映射策略中不合理的映射關(guān)系。風(fēng)險(xiǎn)因素模型對(duì)攻擊鏈的風(fēng)險(xiǎn)評(píng)估,讓智能算法的應(yīng)用更加可行。攻擊鏈可能造成風(fēng)險(xiǎn)在不同場(chǎng)景中有很大不同,結(jié)合威脅場(chǎng)景、風(fēng)險(xiǎn)因素模型,可有效度量攻擊鏈的風(fēng)險(xiǎn),幫助安全人員優(yōu)先響應(yīng)重要事件。
(原載于《保密科學(xué)技術(shù)》雜志2023年1月刊)