摘要
随着全球数字经济的蓬勃发展,网络安全与物联网、工业互联网、云计算、5G 等多种场景和技术的融合极大地改变了网络安全防护体系。如何打造智能化的网络安全防护成为了学术界和工业界的热点。基于人工智能的安全运营技术方案(AISecOps)将大幅提升威胁检测、风险评估、自动化响应等关键运营环节的处理效率,大幅减少对专家经验的依赖,助力网络安全运营产业的技术升级。近年来,知识图谱技术得到了迅速发展,本文目的在于探讨智能的安全运营技术中知识图谱技术应该发挥何种作用。
一、概述
网络环境本身可以与图数据结构结合,因此将知识图谱技术引入到智能安全运营中具备可行性。知识图谱的概念由谷歌提出,本质上是一种叫做语义网络的知识库。安全运营知识图谱是以安全运营领域知识图谱为核心,面向网络环境数据、威胁行为数据、威胁情报数据、安全运营知识库等,构建本体化、标准化、全局化的知识结构。目前图结构以及图分析算法的研究发展迅速,图结构及图算法也已经被应用到网络安全场景中。国内方面,已有许多产品和研究关注安全数据的图分析方法。例如,研究人员[1]结合知识图谱设计了多个本体对整个网络威胁进行建模分析,并兼容MITRE 的CAPEC、MAEC 和ATT&CK 等模型的接入与使用,能够从多种威胁情报中提取关键信息并作为知识对知识图谱进行扩展。
尽管不断有新的技术和模型引入,但是实现智能安全运营依旧存在很多难点,例如:1、网络攻击手段的不断进步导致网络威胁评估难度不断增大;2现有安全设备检测网络攻击行为产生的告警数量庞大,如何从海量告警中找到真正的网络攻击是一大难题;3、由于攻击手段的多样性和复杂性以及数据采集等导致的攻击链路断裂,无法锁定该攻击行为的上下文。目前安全人员需要人工从海量的告警信息中去进行威胁评估,进而关联溯源,分析发现攻击路径,安全防护的难度很大。因而提取安全运营中的专家知识,构建知识图谱引入到安全运营中,通过层次化的分析使安全运营更加智能,具备重要的研究意义和应用价值。
二、知识图谱赋能智能安全运营
将知识图谱应用到智能安全运营之前,首先需要明确的是,智能安全运营业务是否需要知识图谱的加入。在海量的安全数据轰炸下,智能安全运营需要强烈的可视化需求,当发现攻击行为的时候,需要涉及到各种行为之间因果依赖关系的深度搜索,综合多个方面安全数据的关联分析,该领域十分依赖于安全专家的经验。除此之外随着高级持续威胁的不断发展,复杂的网络攻击往往隐藏在复杂的关系网络数据中。知识图谱就是为此类问题所设计的,因此知识图谱可以推动智能安全运营的发展。
知识表示技术和知识获取技术是能否成功应用知识图谱的关键。知识表示技术主要是设置数据处理的粒度,因为不同人的认知是不同的,这导致粒度的设置面临巨大的挑战。构建安全运营的知识图谱时需要结合专家知识来确定知识的粒度。知识获取技术是利用现有自动化的技术完成知识的获取,知识的质量是知识图谱质量的关键。搜索领域最早应用知识图谱是为了提供用户想要的内容,让用户找到自己最想要的那种含义,将网页搜索升级为语义搜索[2]。安全运营知识图谱是为了辅助安全运营人员分析和解决安全问题。《AISecOps 智能安全运营技术白皮书》[3]中智能安全运营前沿技术图谱就提到了知识图谱在安全运营中的作用,其指出超融合知识图谱是运营数据关联分析、智能决策、行动响应的重要数据基础设施。尽管近年来有诸多研究工作和厂商产品在持续探索多源数据的融合方案与安全领域知识图谱的构建方法,在超融合知识图谱的设计、技术实现等多个方面,仍存在多方面的挑战。
图1智能安全运营前沿技术图谱[3]
智慧安全知识图谱[1](Intelligent Cyber Security Knowledge Graph)是知识图谱在网络安全领域的实际应用,包括基于本体论构建的安全知识本体架构,以及通过威胁建模等方式对多源异构的网络安全领域信息( Heterogeneous Cyber Security Information)进行加工、处理、整合,转化成为的结构化的智慧安全领域知识库。针对信息安全领域知识图谱构建的两个关键要素,构建了威胁元语言模型对威胁知识的结构化描述,包括概念、实体、属性的定义以及知识关系的定义。研究中依据STIX2.0以及领域专家知识,构建三层安全知识图谱,如图2所示,知识图谱辅助安全事件分析、安全合规标准、APT追踪溯源等实际业务场景所需的数据表示和语义关系,其中,信息层为知识图谱从外界抽取的知识实体,知识层和智慧层为信息安全领域关键概念及这些概念之间的逻辑语义关系[4]。
图2 安全知识图谱
合理的设计本体库是图结构设计的关键任务,构建安全运营知识图谱的难点也是在于本体的构建以及其之间的关系挖掘。本体包括图中实体(节点)类型、实体的属性类型以及实体间的关系类型(即实体之间边的类型),即表示图结构的抽象概念结构“类”。本体库的设计不仅要遵循一定的规范标准,而且符合特定应用场景下的指定需求。例如,ATT&CK(AdversarialTactics, Techniques, and Common Knowledge)是一个攻击行为知识库和威胁建模模型,自发布以来已逐渐发展为网络威胁分析语境下的通用元语,其提供了四个核心的实体(战术, 技术, 软件, 组织)及其之间的关系,而CAPEC 则主要覆盖TTP、防护手段、脆弱性等概念,如果直接参照STIX 2.0,则需要覆盖十余种对象。因此构建可用、可拓展的知识图,需要从具体场景入手逐步扩展。除此之外参考已有知识来构建安全运营知识图谱需注意的是安全运营的告警规则与ATT&CK等知识库之间的关联需要非常复杂的信息抽取能力和非常庞大的抽象先验知识[5],现阶段该过程采用自动系统是难以实现的。鉴于大规模非结构化文本中包含大量实体和关系噪声,对安全运营领域的知识抽取,会造成统计层次、语义层次的干扰,因此在知识抽取的过程中需进行模式和指纹的过滤,以提升抽取知识的质量以及知识拓展的效率。
综上所述,在构建安全运营知识图谱的过程面临着本体库设计,知识库关联,知识抽取,以及知识拓展等多方面的挑战。安全运营知识图谱获取知识的过程需要根据实际应用场景改变或增加来不断优化和推理完善。将特定安全运营场景中真实网络的威胁行为的知识库转化为企业自身的安全运营知识图,需要企业建立自身安全运营场景的攻击实验局,不断修正知识结构。在特定安全运营场景下,由攻防知识丰富的安全专家对于告警数据及安全运营知识进行筛选构建图谱,该过程不仅需要考虑现有告警、攻击手法及响应操作,而且需要考虑未来可能产生的变化,不断的细化数据之间的层次关系,确定该场景下的知识粒度,构建该场景下的智能安全运营知识图谱,采用知识推理模块预测实体之间潜在的关系,从海量告警中找出未被关注的网络攻击行为,推理出隐藏在深层次的网络攻击威胁,为安全运营提供方法和策略,以适应指定场景下的威胁分析任务。当然未来是需要探索如何根据不同的场景来设计一个完整智能安全运营领域图谱的模式,方便安全专家知识的不断融合和完善。
三、结束语
知识图谱是近年来新兴的技术,其应用空间很大。目前在智能安全运营中还没有很好的应用实例,但是知识图谱领域一个重要的研究是知识推理,是人工智能领域发展的重点之一。而AISecOps正是让AI具备安全运营的知识,具备安全知识的推理能力,因此不断完善知识图谱是AISecOps的关键技术之一。如何让知识图谱更好地赋能智能的安全运营技术,促进AISecOps更好地发展还有很长的路要走,这需要网络安全人员共同探索。
如果您发现文中描述有不当之处,还请留言指出。在此致以真诚的感谢~
欢迎点击阅读AISecOps系列相关文章。
能力框架篇:
《AISecOps:打造可信任安全智能》数据建模篇:
《智能威胁分析之图数据构建》《以ATT&CK为例构建网络安全知识图》
算法分析篇:
《Provenance Mining:终端溯源数据挖掘与威胁狩猎》
参考文献
[1] 基于知识图谱的APT 组织追踪治理,绿盟科技,https://cloud.tencent.com/developer/article/1556638
[2] https://baike.baidu.com/item/%E7%9F%A5%E8%AF%86%E5%9B%BE%E8%B0%B1/8120012?fr=aladdin
[3] 《AISecOps 智能安全运营技术白皮书》, http://blog.nsfocus.net/wp-content/uploads/2020/12/AISecOps_White_Paper_NSFOCUS_20201218.pdf
[4]安全知识图谱助力内部威胁识别
[5] ATT&CK框架在企业安全运营中的局限
关于天枢实验室
天枢实验室聚焦安全数据、AI攻防等方面研究,以期在“数据智能”领域获得突破。
内容编辑:天枢实验室 王星凯 责任编辑:王星凯
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。