融合安全知識庫的攻擊鏈識別研究

【摘 要】 多種安全運營產(chǎn)品被應(yīng)用在本地或云端，傳統(tǒng)的安全檢測方式在大數(shù)據(jù)和云計算的環(huán)境中逐漸顯露出局限性，基于行為分析的安全檢測方法迅速發(fā)展，但仍存在誤報率高、缺乏上下文關(guān)聯(lián)、大量依靠人工評判等缺陷。本文針對上述問題提出了一種利用外部知識庫、自身安全數(shù)據(jù)和智能算法深度結(jié)合的威脅識別、評價體系。該體系融合了高速發(fā)展的知識圖譜有關(guān)技術(shù)和圖神經(jīng)網(wǎng)絡(luò)技術(shù)，兼具實用性和創(chuàng)新性。

【關(guān)鍵詞】 威脅知識庫 知識圖譜 圖神經(jīng)網(wǎng)絡(luò) 風(fēng)險評估

1 引言

目前，安全信息事件管理（SIEM）系統(tǒng)、用戶實體行為分析（UEBA）系統(tǒng)，以及擴展檢測和響應(yīng)（XDR）系統(tǒng)被越來越多的組織應(yīng)用在本地或云端。大量實踐表明，基于行為分析的安全檢測方法在大數(shù)據(jù)和與云計算環(huán)境中越來越有優(yōu)勢。隨之而來產(chǎn)生了一系列重要問題：行為的異常就等于安全威脅嗎？海量日志中的威脅如何檢測？識別出攻擊行為風(fēng)險級別如何評判？

由于缺乏對異常行為的進一步研判、潛在威脅的挖掘、合理的威脅攻擊評判方式，造成了現(xiàn)有安全產(chǎn)品棘手的通病誤報率高、結(jié)果缺乏上下文邏輯關(guān)聯(lián)、分析大量依靠人工。這些問題會嚴(yán)重影響用戶的實際體驗，大幅降低安全系統(tǒng)的可用性，并增加組織安全運營中心（SOC）安全人員的工作負擔(dān)。如何提高安全系統(tǒng)的報警準(zhǔn)確率，已經(jīng)成為行為分析關(guān)聯(lián)安全檢測系統(tǒng)迫切需要解決的問題，一般的解決方法包括以下3種。

（1）行為基線調(diào)整：采用動態(tài)行為基線，根據(jù)用戶和實體近期行為數(shù)據(jù)對其基線定期更新。

（2）關(guān)聯(lián)分析結(jié)合專家人工研判：根據(jù)預(yù)先設(shè)定好的規(guī)則，關(guān)聯(lián)安全事件信息，輔助安全專家人工分析，對系統(tǒng)產(chǎn)生的異常行為進行研判。

（3）風(fēng)險打分排序：對異常行為進行風(fēng)險評估，累加其風(fēng)險評分并進行排序，分析人員優(yōu)先關(guān)注排名較高的用戶或?qū)嶓w行為。

上述方法雖然在一定程度上緩解了誤報率高、結(jié)果缺乏上下文邏輯關(guān)聯(lián)、過度依靠人工等問題，但都只是在某一維度上的片面優(yōu)化或是以犧牲系統(tǒng)邏輯性、實時性等性能為代價的。

本文提出了一種利用外部知識庫、自身安全數(shù)據(jù)和智能算法深度結(jié)合的威脅識別、評價體系，解決誤報率高、人工分析成本高且及時性差、風(fēng)險評估缺乏聯(lián)動等關(guān)鍵問題。利用本文研究的體系可采用多種智能算法，助力網(wǎng)絡(luò)安全智能化。

2 研究內(nèi)容和價值

2.1 研究內(nèi)容

本文對網(wǎng)絡(luò)安全智能化技術(shù)深入研究，首先根據(jù)對抗戰(zhàn)術(shù)技術(shù)通用知識庫（ATT&CK）、結(jié)構(gòu)化威脅信息表達（STIX）等多種安全知識框架，研究用于威脅檢測和攻擊鏈識別的知識庫，即威脅知識庫。其中包括威脅攻擊基本映射策略、威脅攻擊場景與模式。在威脅知識庫的輔助下研究網(wǎng)絡(luò)安全智能化實踐，探索基于圖神經(jīng)網(wǎng)絡(luò)技術(shù)的威脅攻擊鏈智能識別；有機結(jié)合威脅模式、攻擊事件研究并設(shè)計風(fēng)險場景，構(gòu)造用于風(fēng)險評估分析的風(fēng)險因素模型，利用蒙特卡洛或其他隨機方法進行評估計算。

2.1.1 威脅知識庫

威脅知識庫中包含基于安全知識框架的映射策略和威脅攻擊模式，如圖1所示。通過對ATT&CK安全知識框架中網(wǎng)絡(luò)攻擊技戰(zhàn)術(shù)的研究，基于用戶和實體行為構(gòu)建關(guān)聯(lián)的“行為到攻擊技戰(zhàn)法（TTP）”的映射關(guān)系。將ATT&CK安全知識框架引入并應(yīng)用到多種產(chǎn)品威脅識別、威脅情報方面，歸納基于ATT&CK安全知識框架的映射策略：

（1）內(nèi)部威脅與ATT&CK安全知識框架映射策略；

（2）外部威脅與ATT&CK安全知識框架映射策略。

通過對現(xiàn)有威脅攻擊日志數(shù)據(jù)和多方威脅情報的分析，提煉出攻擊模式的本體模型：

（1）研究關(guān)聯(lián)多方日志數(shù)據(jù)歸一化，同時分析日志中與本體模式對應(yīng)成分，形成語義連貫、符合邏輯的攻擊示例；

（2）從眾多攻擊示例中提取關(guān)鍵攻擊步驟與威脅上下文，形成譜圖化攻擊模式和威脅場景。

圖1 威脅知識庫的作用

2.1.2 威脅智能化識別

利用專家預(yù)置的威脅攻擊鏈模式，實現(xiàn)基于知識圖譜和圖神經(jīng)網(wǎng)絡(luò)技術(shù)的威脅攻擊鏈智能識別，重點研究內(nèi)容如下：

（1）基于威脅知識庫的本體模型構(gòu)建，從多方日志中構(gòu)建用戶知識圖譜，現(xiàn)有的日志多為結(jié)構(gòu)化或半結(jié)構(gòu)化，因此研究中采用知識融合的方式構(gòu)建圖譜，并利用知識加工迭代完善圖譜數(shù)據(jù)內(nèi)容；

（2）基于圖神經(jīng)網(wǎng)絡(luò)的子圖匹配技術(shù)，采用已有帶標(biāo)注數(shù)據(jù)訓(xùn)練深度學(xué)習(xí)模型，訓(xùn)練后的模型可智能識別威脅攻擊鏈。

2.1.3 風(fēng)險因素評估模型

多種威脅場景下多樣攻擊鏈會造成不同的損失和影響，評估威脅往往會消耗安全人員大量時間和精力，且人工評估包含較多的非量化的結(jié)論。為了有效管理風(fēng)險，需對風(fēng)險進行量化評估。

根據(jù)對現(xiàn)有風(fēng)險因素模型和風(fēng)險評估方法的調(diào)研，本研究內(nèi)容和待解決問題包括以下3點。

（1）構(gòu)建適用于本研究的信息系統(tǒng)風(fēng)險因子的分類法與本體模型。參考常用的標(biāo)準(zhǔn)，如《ISO 31000：2018 風(fēng)險管理指南》，《美國標(biāo)準(zhǔn)技術(shù)研究院特別出版物 800-37》，《OpenFAIR風(fēng)險分類學(xué)》[7]等。

（2）設(shè)置風(fēng)險場景。研究內(nèi)容主要為利用威脅場景、攻擊鏈和風(fēng)險因子本體模型，識別風(fēng)險場景。從現(xiàn)有資產(chǎn)的主要利益相關(guān)者視角出發(fā)，研究并設(shè)計包含威脅事件和攻擊行為的風(fēng)險場景，場景的關(guān)注點落在損失和影響。

（3）明確基于統(tǒng)計和隨機方法的風(fēng)險分析方法論和流程。研究在給定風(fēng)險因子本體模型和風(fēng)險場景后，通用的風(fēng)險分析評估流程包括場景和風(fēng)險因素分解、風(fēng)險因素評價策略、基于隨機方法的量化估算、緩解措施（控制項）評價等一系列步驟。

2.2 研究價值

本文研究如何利用ATT&CK安全框架，挖掘數(shù)據(jù)中的威脅線索，對抗愈發(fā)隱匿和嚴(yán)重的內(nèi)外部威脅行為，達到持續(xù)降低組織的數(shù)字化運營風(fēng)險的目的。

目前，雖然在諸多威脅感知場景下，學(xué)界和產(chǎn)業(yè)界利用統(tǒng)計機器學(xué)習(xí)的威脅分析方法取得了重要的突破，但在面對高度動態(tài)復(fù)雜的網(wǎng)絡(luò)行為分析時，感知層輸入往往缺乏有安全語義的規(guī)范化建模，數(shù)據(jù)層異常而非真實惡意攻擊的誤報情況難以避免。此外，多維度單點的感知分析結(jié)果，仍需要專家深度參與研判與關(guān)聯(lián)分析，才能完整還原攻擊行為全貌，限制了高級持續(xù)攻擊（APT）、內(nèi)部威脅等高級復(fù)雜攻擊技戰(zhàn)術(shù)的分析自動化水平的提升。本研究通過構(gòu)建威脅知識圖譜，將語義孤立的多元異構(gòu)信息聯(lián)系起來，并利用圖神經(jīng)網(wǎng)絡(luò)嵌入技術(shù)發(fā)現(xiàn)海量日志中的潛在攻擊鏈。

攻擊鏈的識別可為安全人員提供重點關(guān)注對象和相關(guān)上下文信息，同一類型場景下的不同攻擊鏈和不同場景下的相似攻擊鏈都需要評估，以便優(yōu)先處理更加緊急的安全事件。本研究提出風(fēng)險因素模型，即選取定義一致的風(fēng)險詞匯表及各風(fēng)險因子的關(guān)系，可以幫助組織的安全人員進行威脅處理優(yōu)先級排序、后續(xù)運維和風(fēng)險管理工作，并有效地向決策層傳遞和對比風(fēng)險評估結(jié)果。

3 研究方案與說明

本研究利用ATT&CK安全框架中的戰(zhàn)術(shù)、技術(shù)等方面的知識庫對異常行為進行研判，并使用深度學(xué)習(xí)和機器學(xué)習(xí)等多種手段檢測并擴充威脅攻擊行為，最后通過風(fēng)險因素模型給予量化評估，最終達到對威脅識別、評判的目的。大體流程如下：

（1）將安全系統(tǒng)產(chǎn)生的異常、警報與ATT&CK安全框架中的戰(zhàn)術(shù)、技術(shù)進行映射匹配，對系統(tǒng)所產(chǎn)生的異常和警報作進一步研判，緩解安全系統(tǒng)高誤報率的問題；

（2）通過時間維度審視被關(guān)注對象的所有離散行為、結(jié)合每個離散的異常行為與ATT&CK安全框架中的技戰(zhàn)術(shù)的映射匹配情況，以及相關(guān)聯(lián)的一系列連續(xù)上下文行為，識別威脅攻擊鏈，調(diào)查隱藏在異常和警報背后的安全威脅；

（3）根據(jù)風(fēng)險因素模型和風(fēng)險評估算法，量化威脅攻擊鏈帶來的影響，以便安全人員優(yōu)先處理高優(yōu)先級事件。

首先使用威脅知識庫把異常行為映射到ATT&CK安全框架中的戰(zhàn)術(shù)、技術(shù)，安全人員可以從海量異常報警中進一步識別出真正的安全威脅，顯著降低安全系統(tǒng)的誤報率，如圖2所示。但是，網(wǎng)絡(luò)攻擊往往是一系列行為組成的，只判斷離散的惡意行為并不能真正阻止攻擊者，從根本上消除安全威脅。為了更好地應(yīng)對網(wǎng)絡(luò)攻擊，實現(xiàn)對安全威脅由檢測分析、編排響應(yīng)到取證溯源的全生命周期的管控，需要結(jié)合多種安全框架建立威脅攻擊鏈模型，并在其基礎(chǔ)上利用人工智能、知識圖譜與知識推理的關(guān)聯(lián)技術(shù)，擴展當(dāng)前威脅知識庫。

圖2 異常行為到ATT&CK安全框架的映射

建立威脅知識庫之后，無法利用其中知識直接識別日志中的攻擊鏈，需要利用數(shù)據(jù)融合、實體對齊、知識推理、質(zhì)量評估等技術(shù)把多方安全日志轉(zhuǎn)換為用戶行為圖譜。該圖譜作為本體模式指導(dǎo)下的數(shù)據(jù)層，與知識庫中威脅攻擊模式進行匹配，用于探查攻擊者的攻擊技術(shù)和過程。

在用戶和實體的一系列時序行為中查找隱藏威脅攻擊鏈，難點在于行為中混合了正常行為和異常行為，很難將其與一系列的攻擊鏈模式、模型完全精確地匹配。所以采用近似求解的子圖匹配方法更為合適，如基于深度學(xué)習(xí)的一系列圖嵌入算法和圖匹配算法，包括圖神經(jīng)網(wǎng)絡(luò)（GNN）嵌入模型、圖卷積網(wǎng)絡(luò)（GCN）嵌入模型、子圖匹配網(wǎng)絡(luò)模型等，可以將圖譜中的節(jié)點連同語義信息一同轉(zhuǎn)換到低維的向量空間，并通過多種相似度學(xué)習(xí)算法達成攻擊鏈的智能學(xué)習(xí)，如圖3所示。

圖3 基于圖神經(jīng)網(wǎng)絡(luò)的子圖匹配方案（NTN：神經(jīng)張量網(wǎng)絡(luò)；ATT：注意力矩陣；conv：卷積）

最后，通過建立風(fēng)險因素模型并評估威脅攻擊鏈，達到威脅優(yōu)先級排序的目的：

（1）識別風(fēng)險場景，在其內(nèi)定義并描述資產(chǎn)、威脅、控制項、影響/損失等；

（2）設(shè)計明確定義的風(fēng)險因素分類法，如圖4所示，該步驟可以使風(fēng)險評估信息有效地傳遞、對比并輸出報告，具體可參考知名機構(gòu)所出版的標(biāo)準(zhǔn)；

（3）構(gòu)建風(fēng)險因素模型，該模型利用上一步定義風(fēng)險因素分類法，設(shè)置一系列風(fēng)險因素和子因素；為了提升評估精度，研究中選取不同子因素聚合到上級風(fēng)險因素的函數(shù)，聚合函數(shù)會采用概率分布、鏈?zhǔn)骄酆�、層級聚合等多種形式；

（4）測量并對風(fēng)險因素估值，研究中采用蒙特卡洛或其他隨機方法；利用統(tǒng)計的原理進行輔助分析的技術(shù)還需在實驗中進一步選型。

圖4 風(fēng)險因素分類法示例

4研究特色與創(chuàng)新點

4.1 威脅知識庫的特色與優(yōu)勢

本研究所構(gòu)建的威脅知識庫具有以下4個方面的特色與優(yōu)勢。

（1）成熟的安全框架理念：將ATT&CK安全框架應(yīng)用于威脅檢測、分析及響應(yīng)。

（2）威脅輔助分析與智能識別：把異常行為與ATT&CK安全知識框架中的技戰(zhàn)術(shù)進行匹配映射，精準(zhǔn)識別威脅，并利用ATT&CK安全框架中的知識輔助分析。關(guān)聯(lián)各個異常行為，挖掘隱藏在其背后的完整攻擊意圖，并利用人工智能領(lǐng)域的相關(guān)算法，智能識別安全威脅攻擊鏈。

（3）降低誤報率：與傳統(tǒng)威脅檢測系統(tǒng)相比，基于ATT&CK安全知識庫中的技戰(zhàn)法（TTP）對系統(tǒng)異常和警報進行映射，可大幅度降低系統(tǒng)異常行為報警的誤報率。

（4）已有經(jīng)驗知識再利用：預(yù)置各種攻擊鏈模式、模型，智能化匹配識別系統(tǒng)行為數(shù)據(jù)中隱藏的威脅攻擊鏈，挖掘攻擊者的真正攻擊意圖。

4.2 圖神經(jīng)網(wǎng)絡(luò)的子圖匹配算法特色與優(yōu)勢

圖神經(jīng)網(wǎng)絡(luò)的子圖匹配算法特色與優(yōu)勢主要體現(xiàn)在以下2個方面。

（1）結(jié)合新知識、新理念、新技術(shù)：構(gòu)造以日志數(shù)據(jù)為基礎(chǔ)，引入專家知識的本體模型；將用戶行為與威脅攻擊模式圖（譜）化，再利用基于圖神經(jīng)網(wǎng)絡(luò)子圖匹配技術(shù)，把復(fù)雜多樣攻擊鏈識別過程轉(zhuǎn)化為深度學(xué)習(xí)過程。

（2）節(jié)點特征向量嵌入不同抽象層級的特征空間：通過把日志數(shù)據(jù)和威脅模型中部分實體映射到更高抽象層級的ATT&CK威脅框架內(nèi)，可給圖譜中節(jié)點的特征向量提供額外維度且不同抽象層級的信息，結(jié)合日志中已有的實體特征信息，可加速節(jié)點匹配過程，提升子圖匹配模型的性能和匹配成功率。

4.3 風(fēng)險因素模型特色和創(chuàng)新

本研究所采用的風(fēng)險因素模型具有以下2個方面的特色和創(chuàng)新。

（1）從風(fēng)險的角度度量攻擊事件和行為：威脅與攻擊鏈識別從網(wǎng)絡(luò)空間安全的角度出發(fā)，注重攻擊者的行為序列及攻擊產(chǎn)生的前因后果。而風(fēng)險因素模型從風(fēng)險管理的角度考慮多種安全域和控制項，結(jié)合威脅頻率、攻擊強度、資產(chǎn)損失等因素綜合且全面評價攻擊事件，把攻擊知識領(lǐng)域和風(fēng)險管理領(lǐng)域有機結(jié)合。

（2）采用概率和統(tǒng)計結(jié)合的量化評估流程：建立風(fēng)險因素關(guān)聯(lián)的概率模型，再結(jié)合攻擊鏈識別技術(shù)，風(fēng)險因素模型由靜態(tài)轉(zhuǎn)為動態(tài)，不但可根據(jù)實際識別結(jié)果有效區(qū)分高頻低損失威脅和低頻高損失威脅，還可根據(jù)實際業(yè)務(wù)集成于多種風(fēng)險場景中。研究采用蒙特卡洛模擬算法模擬統(tǒng)計分析過程，可解決因子關(guān)聯(lián)的復(fù)雜概率模型抽樣困難的問題。

5 結(jié)語

利用基于ATT&CK和STIX安全框架構(gòu)建威脅知識庫可以在很大程度上提升各類基于行為的安全系統(tǒng)的檢測精度，并且可以深入挖掘隱藏在一連串異常行為背后的威脅攻擊鏈，從而分析攻擊者的真正意圖。威脅知識庫構(gòu)建的難點在于如何更好地構(gòu)建基于ATT&CK安全框架的映射策略、識別威脅攻擊鏈這兩方面。對于映射策略而言，需要安全人員對ATT&CK安全框架具有較深入的理解，并且了解自身所掌握的數(shù)據(jù)和具體需求。根據(jù)實際使用效果不斷調(diào)整映射策略中不合理的映射關(guān)系。風(fēng)險因素模型對攻擊鏈的風(fēng)險評估，讓智能算法的應(yīng)用更加可行。攻擊鏈可能造成風(fēng)險在不同場景中有很大不同，結(jié)合威脅場景、風(fēng)險因素模型，可有效度量攻擊鏈的風(fēng)險，幫助安全人員優(yōu)先響應(yīng)重要事件。

（原載于《保密科學(xué)技術(shù)》雜志2023年1月刊）