12月18日至20日,为期三天的第十三届中国计算机网络与信息安全学术会议(CCNIS 2020)在中国海口召开。绿盟科技研究员所提交的论文《AKGAE-基于属性知识图谱自编码器的企业侧威胁识别方法》被本届CCNIS录用并推荐到《通信学报》。会上,论文第一作者绿盟科技集团高级安全研究员薛见新博士发表主题演讲。
绿盟科技集团高级安全研究员 薛见新博士
(下起第二排,右数第二位)
会议背景
CCNIS是由西安电子科技大学、国家计算机网络入侵防范中心、国家计算机病毒应急处理中心、《通信学报》编委会等单位发起和主办,旨在探讨计算机网络与信息安全及相关领域最新研究进展和发展趋势,展示中国计算机网络与信息安全学术界最重要的学术、技术和成果的学术交流平台。
当前,“安全设备告警数量过多,运维人员无法全面排查”已构成企业安全运营现状的困境。企业需要能够在海量告警中进行有效筛选的能力。这在以往,严重依赖于安全运营人员的个人知识与经验。如今,基于机器学习的威胁评估,同样依赖专家知识,且只是孤立的处理告警,无法顾及人与告警的关联,以及攻击环境中的上下文信息。
绿盟科技于12月18日发布了业内首份《AISecOps智能安全运营技术白皮书》,并提出基于人工智能的安全运营技术(AISecOps)将大幅提升威胁检测、风险评估、自动化响应等关键运营环节的处理效率,大幅减少对专家经验的过度依赖,有效降低企业、组织乃至国家级关键信息基础设施、数据资产的整体安全风险。本次CCNIS入选论文中基于知识图谱的攻击者威胁评估和攻击行为识别,正是AISecOps的重要组成。
攻击源威胁评估挑战
实战化的攻防对抗,正在成为检验企业真实安全运营能力的重要依据。近年国家级攻防演练活动,无论是规模还是来自高层的重视程度都越来越大,越来越强。高烈度的红蓝对抗,让企业开始加大对攻击溯源能力的重视。
攻击源即为攻击行为的起点,通常指的是机器(这一点和攻击者有所区分),是溯源的目标或是中间过程。APT攻击行为已经说明,当前的网络攻击可以是非常复杂、高技术含量、多路径的。这点在安全运营侧的表现便是海量的告警。所以,对攻击源有效的威胁评估,已经成为攻击溯源和安全运营的关键。基于属性知识图谱自编码器(AKGAE)的威胁评估,对攻击,可以更高精度的定位攻击源甚至是攻击者;对安全运营,可以从真实风险角度进行更加高效、准确的告警筛选,以更加自动化的方式,减少安全运维压力以及对真正高风险攻击的遗漏。这是该研究成果对真实安全运营的重大意义和价值所在。
基于属性知识图谱的威胁建模
属性知识图谱主要包括三部分:表示结构的邻接矩阵,顶点属性特征和边特征表示。在威胁评估中,我们用顶点表示攻击者或受害者的IP地址。图的结构特征通常用邻接矩阵,表示顶点之间相邻关系。这里邻接矩阵表示攻击者对受害者执行的攻击行为,即安全运营人员接收到的告警。
单一的安全告警所能提供的信息是有限的,这就需要一种有效的关联告警上下文的方法来辅助安全运营。为了挖掘告警间的因果依赖,需要构建告警因果关联图,并利用图表示学习方法DeepWalk学习告警的向量表示,即将告警序列向量化。
深度学习自编码实现威胁评估
深度自编器可以通过在编码解码过程中应用多层线性单元和激活函数来捕捉高维输入数据的非线性信息。这个特性是深度学习所具有的特性,因此在这方面要明显优于传统的浅层学习。但传统的深度自编码器只能用于独立同分布的属性-值数据,因此不能直接移植到网络安全威胁评估场景。所以,AKGAE是一种改进的自编码器,编码解码误差是评估攻击者威胁度和攻击行为识别的标准。
整体威胁评估框架如下:
在成果验证方面,该研究主要通过公开数据集NB15以及绿盟科技的真实红蓝对抗数据进行了AKGAE的有效性进行验证。在真实红蓝对抗且暂不考虑漏报数据的场景下,本方法更多的准确命中真实攻击,可以更有效的识别真实攻击源,为攻击溯源提供有效支撑。
真实红蓝对抗数据验证效果
据薛见新介绍,该技术成果已经集成到绿盟科技相关产品中。