綠盟科技與廣州大學的合作研究成果在國際頂級學術期刊上發表

近日，綠盟科技平行實驗室研究團隊與中國廣州大學網路空間先進技術研究院合作的成果——《CSKG4APT-A Cybersecurity Knowledge Graph for Advanced Persistent Threat Organization Attribution》（基於網路安全知識圖譜的APT組織歸因），在國際頂級學術期刊IEEE Transactions on Knowledge and Data Engineering上發表，該期刊也是《中國計算機學會推薦國際學術會議和期刊目錄》A類收錄的期刊之一，論文主要作者均為綠盟科技和廣州大學網路空間先進技術研究院聯合培養的研究生。
由於計算機資料的快速增長和人工智慧技術的發展，網路攻擊特別是APT攻擊變得越來越複雜和多樣化，而網路安全也變得更具挑戰性。在過去的一年中，APT的攻擊風格和威脅程度都在不斷的演變之中。安全供應商無法全面瞭解所有威脅攻擊者的活動。
傳統的網路安全防禦手段逐漸力不從心。造成這種情況的根本原因在於攻守雙方的資訊不對等，攻擊者可以輕易獲取防禦者的身份相關資訊，而攻擊者在真正實施攻擊之前，防禦者往往很難獲得任何有關攻擊者的資訊。為了解決攻守雙方資訊不均衡的問題，以及對當前快速演變的威脅及時做出防範，積極收集網路威脅的相關資訊成為免受網路攻擊的主要方式之一。隨著威脅資料飛速增長，在利用公開網路威脅情報（OSCTI）對APT進行防禦的同時，OSCTI報告資料來源頭多，質量參差不齊，應用場景複雜，行文使用自由化程度高的自然語言，使得資訊抽取的問題面臨挑戰。並且在攻擊資訊抽取及建模後，如何在真實場景中應用這些資訊更少有研究。

為解決上述問題，綠盟科技平行實驗室聯合廣州大學網路空間先進技術研究院，以“主動防禦、攻擊溯源、戰略威懾”為理念，建立一款基於知識圖譜的網路空間威脅建模平臺——CSKG4APT。
CSKG4APT以本體論為理論基礎，透過收集和分析開源威脅情報中APT組織資訊，結合STIX[1]、CYBOX[2]等威脅情報資料標準，構建了一個面向APT組織歸因的安全知識圖譜模型。融合了戰術庫（攻擊特徵、攻擊模型）、工具庫（攻擊工具、漏洞）以及資產庫（高危資產、關鍵資產）等資訊，合規合理地表現了完備的APT威脅要素。
為了持續更新APT威脅知識圖譜，我們提出了一種演算法來識別威脅知識，該演算法使用來自轉換器 (BERT) 的雙向編碼器表示從雙語威脅情報文字中提取實體。該演算法被證明可以準確識別中英雙語威脅情報報告中的相關實體，且其相關效能優於相比較的其他演算法。
此外，基於知識圖譜實現了一套APT組織威脅追蹤的方法。在部署過程中應用CSKG4APT和網路空間安全大資料設計分析引擎，並改進利用Diamond模型[3]對攻擊組織進行剖析。實驗表明，該方案有利於基於威脅知識進行APT攻擊組織的歸因，並有利於網路安全防禦能力建設。

綠盟科技集團與廣州大學的合作始於2019年，雙方在推動威脅情報的研究和產業化上進行了全方位的合作，併成立了廣州大學-綠盟科技“網路安全威脅情報分析聯合實驗室”和“廣東省聯合培養研究生示範基地”，圍繞網路安全、大資料安全以及威脅情報等領域發揮各自的優勢，強化創新，推動產學研深度融合，持續構建開放協作的網路安全人才培養體系，至今已取得豐碩成果，未來將持續為我國網安產業的發展貢獻自己的力量。

[1]STIX https://oasis-open.github.io/cti-documentation/stix/intro
[2]CYBOX http://cyboxproject.github.io/samples/
[3]Caltagirone S, Pendergast A, Betz C. The diamond model of intrusion analysis[R]. Center For Cyber Intelligence Analysis and Threat Research Hanover Md, 2013.