論文入選 CCNIS 2020 | 基於知識圖譜的威脅識別詳解

摘要：探微AISecOps

封面：

正文：

12月18日至20日，為期三天的第十三屆中國計算機網路與資訊保安學術會議（CCNIS 2020）在中國海口召開。綠盟科技研究員所提交的論文《AKGAE-基於屬性知識圖譜自編碼器的企業側威脅識別方法》被本屆CCNIS錄用並推薦到《通訊學報》。會上，論文第一作者綠盟科技集團高階安全研究員薛見新博士發表主題演講。

綠盟科技集團高階安全研究員 薛見新博士（下起第二排，右數第二位）

會議背景

CCNIS是由西安電子科技大學、國家計算機網路入侵防範中心、國家計算機病毒應急處理中心、《通訊學報》編委會等單位發起和主辦，旨在探討計算機網路與資訊保安及相關領域最新研究進展和發展趨勢，展示中國計算機網路與資訊保安學術界最重要的學術、技術和成果的學術交流平臺。

當前，“安全裝置告警數量過多，運維人員無法全面排查”已構成企業安全運營現狀的困境。企業需要能夠在海量告警中進行有效篩選的能力。這在以往，嚴重依賴於安全運營人員的個人知識與經驗。如今，基於機器學習的威脅評估，同樣依賴專家知識，且只是孤立的處理告警，無法顧及人與告警的關聯，以及攻擊環境中的上下文資訊。綠盟科技於12月18日釋出了業內首份《AISecOps智慧安全運營技術白皮書》，並提出基於人工智慧的安全運營技術（AISecOps）將大幅提升威脅檢測、風險評估、自動化響應等關鍵運營環節的處理效率，大幅減少對專家經驗的過度依賴，有效降低企業、組織乃至國家級關鍵資訊基礎設施、資料資產的整體安全風險。本次CCNIS入選論文中，基於知識圖譜的攻擊者威脅評估和攻擊行為識別，正是AISecOps的重要組成。

攻擊源威脅評估挑戰

實戰化的攻防對抗，正在成為檢驗企業真實安全運營能力的重要依據。近年國家級攻防演練活動，無論是規模還是來自高層的重視程度都越來越大，越來越強。高烈度的紅藍對抗，讓企業開始加大對攻擊溯源能力的重視。

攻擊源即為攻擊行為的起點，通常指的是機器（這一點和攻擊者有所區分），是溯源的目標或是中間過程。APT攻擊行為已經說明，當前的網路攻擊可以是非常複雜、高技術含量、多路徑的。這點在安全運營側的表現便是海量的告警。所以，對攻擊源有效的威脅評估，已經成為攻擊溯源和安全運營的關鍵。基於屬性知識圖譜自編碼器（AKGAE）的威脅評估，對攻擊，可以更高精度的定位攻擊源甚至是攻擊者；對安全運營，可以從真實風險角度進行更加高效、準確的告警篩選，以更加自動化的方式，減少安全運維壓力以及對真正高風險攻擊的遺漏。這是該研究成果對真實安全運營的重大意義和價值所在。

基於屬性知識圖譜的威脅建模

屬性知識圖譜主要包括三部分：表示結構的鄰接矩陣，頂點屬性特徵和邊特徵表示。在威脅評估中，我們用頂點表示攻擊者或受害者的IP地址。圖的結構特徵通常用鄰接矩陣，表示頂點之間相鄰關係。這裡鄰接矩陣表示攻擊者對受害者執行的攻擊行為，即安全運營人員接收到的告警。

單一的安全告警所能提供的資訊是有限的，這就需要一種有效的關聯告警上下文的方法來輔助安全運營。為了挖掘告警間的因果依賴，需要構建告警因果關聯圖，並利用圖表示學習方法DeepWalk學習告警的向量表示，即將告警序列向量化。

深度學習自編碼實現威脅評估

深度自編器可以透過在編碼解碼過程中應用多層線性單元和啟用函式來捕捉高維輸入資料的非線性資訊。這個特性是深度學習所具有的特性，因此在這方面要明顯優於傳統的淺層學習。但傳統的深度自編碼器只能用於獨立同分布的屬性-值資料，因此不能直接移植到網路安全威脅評估場景。所以，AKGAE是一種改進的自編碼器，編碼解碼誤差是評估攻擊者威脅度和攻擊行為識別的標準。

整體威脅評估框架如下：

在成果驗證方面，該研究主要透過公開資料集NB15以及綠盟科技的真實紅藍對抗資料進行了AKGAE的有效性進行驗證。在真實紅藍對抗且暫不考慮漏報資料的場景下，本方法更多的準確命中真實攻擊，可以更有效的識別真實攻擊源，為攻擊溯源提供有效支撐。

真實紅藍對抗資料驗證效果

 據薛見新介紹，該技術成果已經整合到綠盟科技相關產品中。