图谱实战 | 安全领域知识图谱建设与典型应用场景总结
轉(zhuǎn)載公眾號 | 老劉說NLP?
安全知識圖譜是網(wǎng)絡(luò)安全領(lǐng)域?qū)S弥R圖譜,也是知識圖譜應用于安全業(yè)務的重要工業(yè)嘗試。當前,安全領(lǐng)域中存在大量的業(yè)務數(shù)據(jù),建模需求以及應用需求,了解安全領(lǐng)域知識圖譜的建設(shè)方法以及典型應用場景,具有重要意義。
本文主要對《安全知識圖譜技術(shù)白皮書》一文進行解讀和總結(jié)介紹,對于安全領(lǐng)域的朋友可以重點關(guān)注。
一、安全知識圖譜概述
安全知識圖譜作為一種實體和概念等安全知識的高效組織形式,能夠發(fā)揮其知識整合的優(yōu)勢,將零散分布的多源異構(gòu)的安全數(shù)據(jù)組織起來,為網(wǎng)絡(luò)安全空間的威脅建模、風險分析、攻擊推理等提供數(shù)據(jù)分析和知識推理方面的支持。
例如,上圖展示了一個典型的安全知識圖譜,由網(wǎng)絡(luò)和安全知識庫、情報庫、資產(chǎn)庫、行為日志中關(guān)鍵實體(概念)及關(guān)系構(gòu)建而成。
二、安全知識圖譜的數(shù)據(jù)類型與開放本體
一個典型的安全知識圖譜構(gòu)建流程主要包括以下幾個步驟,包括數(shù)據(jù)來源、本體設(shè)計、圖譜構(gòu)建以及圖譜應用等環(huán)節(jié),下圖展示了技術(shù)流程圖。
1、主要數(shù)據(jù)來源
安全知識圖譜的數(shù)據(jù)為多源異構(gòu)數(shù)據(jù),不僅來自多個不同來源,而且有混合型數(shù)據(jù)(包括結(jié)構(gòu)化和非結(jié)構(gòu)化)和離散性數(shù)據(jù)(分布在不同的系統(tǒng)或平臺的數(shù)據(jù))。
數(shù)據(jù)來源包括企業(yè)內(nèi)部和互聯(lián)網(wǎng)數(shù)據(jù),其中:
企業(yè)內(nèi)部信息系統(tǒng)本身每天產(chǎn)生海量的檢測數(shù)據(jù),而攻擊者的操作行為也隱藏在系統(tǒng)自身記錄的審計日志和網(wǎng)絡(luò)流量數(shù)據(jù)中。
互聯(lián)網(wǎng)數(shù)據(jù)包括開源情報、安全論壇發(fā)布的信息和網(wǎng)絡(luò)公布的安全報告等。
2、主要數(shù)據(jù)形式
從數(shù)據(jù)結(jié)構(gòu)上看,安全數(shù)據(jù)包括結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)以及結(jié)構(gòu)化數(shù)據(jù)。
首先,常見的結(jié)構(gòu)化數(shù)據(jù)包括漏洞(CVE)、攻擊模式(CAPEC)、知識數(shù)據(jù)庫等知識以及從傳感器收集的網(wǎng)絡(luò)資產(chǎn)和終端日志等數(shù)據(jù)。通常存儲在關(guān)系型數(shù)據(jù)庫中,授權(quán)后可以直接獲取。
其次,半結(jié)構(gòu)化數(shù)據(jù)包含日志文件、 XML 文檔、 JSON 文檔、 Email ,權(quán)威機構(gòu)發(fā)布的威脅情報 (STIX)、開源威脅指標 OpenIOC。
最后,非結(jié)構(gòu)化數(shù)據(jù)包括文本數(shù)據(jù),如漏洞描述、惡意軟件分析報告、攻擊組織分析報告, 安全熱點事件等信息,來自于網(wǎng)絡(luò)安全機構(gòu)研究報告、社交媒體、安全社區(qū)博客及供應商公告、APT 報告、威脅分析報告、博客、推特和文檔數(shù)據(jù)。主要依賴于手工收集和自動化爬蟲,在獲取開源數(shù)據(jù)時盡量選擇可靠的數(shù)據(jù)源,例如權(quán)威安全研究機構(gòu)來保證信息可信度,然后利用爬蟲技術(shù)采集威脅情 報網(wǎng)站上特定格式的 IOC 描述,安全研究機構(gòu)發(fā)布的威脅組織分析報告等。
3、常用安全本體
安全本體是本體概念在信息安全領(lǐng)域的應用,主要從安全角度出發(fā),包含了資產(chǎn)、威脅、 脆弱性、惡意軟件、攻擊模式、防護對策、事件等概念知識抽象化后的安全領(lǐng)域模型,即給 出歸一化、抽象、可推理的安全本體范式。
該本體模型其主要用于提供安全領(lǐng)域形式化統(tǒng)一 的術(shù)語及術(shù)語間關(guān)系,同時具備本體推理和查詢的功能。例如,下圖展示了攻擊模式類的本體定義
在安全行業(yè)內(nèi),大量研究成果的也證實了本體在安全領(lǐng)域的應用的可行性,如:
Tsoumass 等人創(chuàng)建了一個安全本體(Security Ontology, SO)來對信息系統(tǒng)的資產(chǎn)、對策和風險管理的概念進行分類。
Vorobiev 等人開發(fā)了一個安全資產(chǎn)漏洞本體(Security Asset Vulnerability Ontology, SAVO),以對網(wǎng)絡(luò)威脅、風險、拒絕服務攻擊、非法訪問和漏洞的概念、屬性以及關(guān)系進行建模。
Syed 等人開發(fā)了統(tǒng)一網(wǎng)絡(luò)安全本體(Unified Cybersecurity Ontology, UCO),以集成各種網(wǎng)絡(luò)安全本體、異構(gòu)數(shù)據(jù)方案以及用于網(wǎng)絡(luò)威脅情報共享和交換的常用網(wǎng)絡(luò)安全標準。
當前,網(wǎng)絡(luò)安全還存在細分領(lǐng)域本體,其旨在解決某些具體維度上特定的網(wǎng)絡(luò)安全問題,劃分粒度更為細致,包括:
入侵檢測本體(Intrusion Detection Ontology, IDO)
惡意軟件分類本體(Malware Classification Ontology, MCO)
惡意軟件行為本體(Malware Behavior Ontology, MBO)
網(wǎng)絡(luò)威脅情報本體(Cyber Threat IntelligenceOntology, CTIO)
數(shù)字取證本體(Digital Forensics Ontology, DFO)
安全運維處理本體(Secure Operations and Processes Ontology, SOPO)
網(wǎng)絡(luò)攻擊和影響本體(Cyber Attack and Impact Ontology, CAIO)
網(wǎng)絡(luò)安全對策技術(shù)本體(MITRE D3FEND Ontology)。
三、典型安全領(lǐng)域知識圖譜概述
當前,已經(jīng)陸續(xù)出現(xiàn)一些典型的安全領(lǐng)域知識圖譜,例如D3FEND 網(wǎng)絡(luò)安全對策知識圖譜、Cygraph 網(wǎng)絡(luò)安全態(tài)勢分析圖譜、攻擊組織知識圖譜等,惡意軟件知識圖譜等。
其中:
D3FEND 網(wǎng)絡(luò)安全對策知識圖譜針對 ATT&CK 攻擊技術(shù)、數(shù)字工件和防御技術(shù)三 種概念進行建模 ,可以幫助網(wǎng)絡(luò)安全分析師理解進攻性技術(shù)和防御性技術(shù)的關(guān)系以及如何應對 攻擊威脅;
CyGraph 可以用于建立可能的攻擊路徑的預測模型,識別關(guān)鍵的漏洞,將警報與攻擊路徑關(guān)聯(lián)起來,并允許在任務保證的上下文中進行基于圖的數(shù)據(jù)分析。將網(wǎng)絡(luò)安全知識圖譜對概念的劃分粒度提高可以有利于解決領(lǐng)域內(nèi)特定維度或固定場景 上的應用問題;
惡意軟件知識圖譜可以對惡意軟件、系統(tǒng)進程、 網(wǎng)絡(luò)通信、源代碼、漏洞利用 payload 和攻擊行為等概念、屬性和關(guān)系建模,輔助惡意軟件家族分類。
1、Cygraph 網(wǎng)絡(luò)安全態(tài)勢分析圖譜
由MITRE 公司推出的 Cygraph 網(wǎng)絡(luò)安全態(tài)勢分析圖譜,從網(wǎng)絡(luò)架構(gòu)(Network Infrastructure)、安全狀態(tài)(Security Posture)、網(wǎng)絡(luò)威脅(Cyber Threats)、任務準備(Mission Readiness)四個層次構(gòu)建知識圖譜,用于支持針對關(guān)鍵資產(chǎn)保護的攻擊面識別和攻擊態(tài)勢理解等任務。
1)Network infrastructure:網(wǎng)絡(luò)拓撲信息,如主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、組織等。
2)Cyber posture:網(wǎng)絡(luò)基礎(chǔ)設(shè)施中影響網(wǎng)絡(luò)攻擊 / 防御的元素,如主機配置、漏洞、 服務、共享資源、防火墻策略等。
3)Cyber threats:潛在的網(wǎng)絡(luò)威脅,如攻擊告警、 CAPEC 攻擊模式、 ATT&CK 攻擊 技術(shù)等。
4)Mission readiness:任務準備包含任務目標、任務、信息之間的關(guān)系以及他們對網(wǎng) 絡(luò)資產(chǎn)的依賴關(guān)系。
2、攻擊組織知識圖譜
上圖展示了由綠盟科技攻擊組織知識圖譜,對于攻擊組織涉及的各類安全實體主要參考上述的安全要素規(guī)范,實體關(guān)系的 設(shè)計則主要參考STIX2.0 描述語言以及 MITRE 公司定義的 CAPEC、MAEC、CWE、CPE 等標準, 構(gòu)建威脅元語體系,涵蓋 4 個層次,11 個主要實體類型,以及百萬級別的知識節(jié)點。
四、基于安全知識圖譜的ATT&CK 威脅建模
威脅建模是網(wǎng)絡(luò)安全威脅分析的一個重要環(huán)節(jié),是一種分析和解決安全問題的結(jié)構(gòu)化方 法,用來識別、量化并應對威脅,利用抽象的方法來幫助思考風險。
可以基于 ATT&CK 對各個攻擊生命周期的攻擊行為建模,利用基礎(chǔ)的威脅建模知識與威脅攻擊數(shù)據(jù),可根據(jù)威脅相關(guān)知識的融合抽象,提供更細粒度、更動態(tài)的建模理論框架,在構(gòu)建上,威脅建模主要含有資產(chǎn)、威脅(攻擊行為)、漏洞幾個主要元素,通過識別威脅和制定 保護策略來保證信息 CIA( 機密性 / 完整性 / 可用性 ) 三要素。
如上圖資所示,資產(chǎn)(Assets) 受到各種威脅(Threats)影響,這些威脅可能是黑客等人為因素,也可能是火災地震等自然 因素。威脅通過利用系統(tǒng)的脆弱性(Vulnerabilities)可導致暴露(Exposure),形成風險(Risk)。適當?shù)膶Σ呤鞘褂梅雷o措施(Safeguards),緩解風險使資產(chǎn)得到安全保障。五、基于安全知識圖譜的APT威脅追蹤
由于高級持續(xù)性威脅(APT)攻擊往往具有明確的攻擊意圖,并且其攻擊手段具備極高的隱蔽性和潛伏性, APT 正日益成為針對政府和企業(yè)重要資產(chǎn)的不可忽視的網(wǎng)絡(luò)空間重大威脅。
因此,可以通過威脅情報關(guān)鍵要素的抽取與動態(tài)行為推理,實現(xiàn) APT 攻擊者團伙的威脅主體畫像與自動歸因,輔助攻擊事件的研判與取證。
1、APT 組織畫像歸因
DARPA通過增強歸因項目進行攻擊組織的行為監(jiān)控和追蹤。
增強歸因項目主要分為三個部分,先進行活動的監(jiān)測和歸納,從海量數(shù)據(jù)中抽取能夠代表確切事實的元數(shù)據(jù);
再對元數(shù)據(jù)進行多源數(shù)據(jù)融合和模糊性數(shù)據(jù)的時序關(guān)聯(lián);最后對數(shù)據(jù)進驗證和擴充,以提供可信的攻擊者情報。
2、基于上下文感知計算的網(wǎng)絡(luò)APT攻擊組織追蹤
為了有效解決海量多模態(tài)數(shù)據(jù)場景下攻擊組織相關(guān)的高危安全事件的快速發(fā)現(xiàn)問題,構(gòu)建基于攻擊組織本體的上下文感知計算總體的框架。利用攻擊組織知識庫進行事件威脅上下文語義的富化、攻擊鏈關(guān)聯(lián)和攻擊組織特征關(guān)聯(lián)計算,最終發(fā)現(xiàn)攻擊組織相關(guān)的高危事件。
3、基于特征圖聚類的未知攻擊組織發(fā)現(xiàn)
目前單純依靠人工研判或者依賴安全專家基于離線的數(shù)據(jù)進行特征模型構(gòu)建和分析已經(jīng)很難有效滿足大部分單位和組織對 APT 組織安全事件實時分析的要求。業(yè)界進行包括 APT 組織在內(nèi)的攻擊團伙的追蹤和發(fā)現(xiàn)的方法主要包括直接基于網(wǎng)絡(luò)流量進行特征建模和基于樣本代碼特征進行建模來進行攻擊團伙發(fā)現(xiàn)。
但是由于原始流量數(shù)據(jù)量級往往過于巨大,其中 的噪聲特征往往占據(jù)非常大的比例,直接基于原始流量構(gòu)建的特征模型的魯棒性往往不太好, 并且這一類方法通常需要耗費較多的人工分析成本,某些情況下只能基于離線保存的歷史數(shù) 據(jù)進行分析,無法滿足實時分析和追蹤的需求。
具體的,基于實時生成的包含多條攻擊鏈的攻擊源數(shù)據(jù),以攻擊源 IP 為核心,抽取其中的特征生 成特征點,并連接特征點和核心點。
抽取的特征包括攻擊源數(shù)據(jù)中所有相關(guān)的特征,也包括通過威脅情報關(guān)聯(lián)補充的部分信息,特征點與核心點之間的連接邊為帶權(quán)邊,利用社區(qū)聚類發(fā)現(xiàn)算法進行處理,可以發(fā)展犯罪團伙等信息。
六、基于安全知識圖譜的企業(yè)智能安全運營
目前圖結(jié)構(gòu)以及圖分析算法的研究發(fā)展迅速,圖 結(jié)構(gòu)及圖算法也已經(jīng)被應用到網(wǎng)絡(luò)安全場景中。國內(nèi)方面,已有許多產(chǎn)品和研究關(guān)注安全數(shù) 據(jù)的圖分析方法。
基于安全知識圖譜的事件風險畫像、攻擊路徑調(diào)查、響應策略推薦,能夠提供豐富的、具有安全語義的上下文,有效支撐動態(tài)事件的研判和策略部署,降低安全運營對專家經(jīng)驗與知識的依賴。
1、攻擊畫像及威脅評估
企業(yè)為了應對網(wǎng)絡(luò)威脅,通常會部署多個檢測設(shè)備(如網(wǎng)絡(luò)入侵檢測設(shè)備 IDS/IPS、全流 量檢測和網(wǎng)絡(luò)應用防護系統(tǒng) WAF 等)。由于檢測設(shè)備規(guī)則的敏感性,導致企業(yè)安全運營人 員每天要面對海量的告警,海量告警的篩選問題多年來一直困擾著安全行業(yè)。企業(yè)安全設(shè)備 產(chǎn)生的告警遠遠超出了安全運營人員的排查能力。安全知識圖譜應用到企業(yè)智能 安全運營中,對提升安全運營的自動化水平,減少對人力投入與專家經(jīng)驗的依賴,降低威脅分析與響應的周期。
因此,攻擊畫像及風險評估是針對復雜的企業(yè)環(huán)境,利用采集到的日志或是設(shè)備告警構(gòu)建相關(guān)的威脅圖譜,以屬性圖的形式來刻畫攻擊和攻擊源。然后利用圖的相關(guān)方法對攻擊源和攻擊行為進行風險與威脅評估。
2、攻擊路徑調(diào)查
攻擊路徑調(diào)查是指在網(wǎng)絡(luò)攻擊事件發(fā)生時,找到攻擊路徑以及相關(guān)的攻擊過程。在網(wǎng)絡(luò)空間中,作為防御者需要“知彼”,就是回答在網(wǎng)絡(luò)攻防對抗中誰攻擊了我,攻 擊點在哪以及相關(guān)攻擊路徑,這便是攻擊事件調(diào)查 。
攻擊源威脅評估是從海量的數(shù)據(jù)中找 到真正的攻擊者,回答的是誰攻擊了我的問題。除此之外,還需要找到相關(guān)的攻擊路徑實現(xiàn) 攻擊事件的完整調(diào)查。通過攻擊事件調(diào)查技術(shù)可以確定攻擊源或攻擊的中間介質(zhì),以及其相 應的攻擊路徑,以此制定更有針對性的防護與反制策略,實現(xiàn)主動防御。
安全知識圖譜是描述安全事件相關(guān)的 抽象知識,而日志信息記錄的是網(wǎng)絡(luò)流量和系統(tǒng)行為等,其不僅包含攻擊事件相關(guān)的信息, 同時也包含系統(tǒng)正常運行的相關(guān)信息,構(gòu)建統(tǒng)一的基于知識圖譜的模型, 通過對動態(tài)圖模型的上下文分析,發(fā)現(xiàn)并還原攻擊者的攻擊路徑,進而打破現(xiàn)有攻擊路徑調(diào) 查過程極度依賴安全專家的瓶頸。
3、響應緩解策略推薦
智能安全策略推薦是一種通過集成多個系統(tǒng)和平臺來調(diào)整不同的安全工具和技術(shù)的方法, 以簡化安全流程,增強安全自動化以及加速事件響應。它有助于將復雜的事件響應過程和任 務轉(zhuǎn)換為一致的、可重復的、可度量的和有效的工作流。與人工協(xié)作相結(jié)合,安全編排將人員、 流程和技術(shù)集合在一起,以提高安全操作團隊的整體效率。
上圖展示了一個典型流程,其中:
安全智能決策模塊首先對待處理的告警或事件進行攻擊理解,借助已有的知識庫了解當 前攻擊的階段、嚴重程度等等,借助原始日志和全流量等數(shù)據(jù)進行攻擊事件調(diào)查,得到更多 被感染的機器,并且利用提前建立的預測模型,預測下一次攻擊事件的類型和嚴重程度,通 過攻擊理解模塊,可以獲取對當前攻擊事件的完整刻畫,包括當前事件、由當前事件引起的 其他事件以及將來可能發(fā)生的事件,即得到戰(zhàn)略層面的信息。
七、基于安全知識圖譜的網(wǎng)絡(luò)空間測繪
實現(xiàn)面向網(wǎng)絡(luò)空間測繪領(lǐng)域知識圖譜的語義搜索、查詢,智能問答和知識推理等任務,將資產(chǎn)、漏洞、安全機制、攻擊模式等信息進行關(guān)聯(lián)分析和數(shù)據(jù)融合匯聚,充分掌握網(wǎng)絡(luò)空間資產(chǎn)及其狀況。
1、網(wǎng)絡(luò)空間資產(chǎn)風險分析
網(wǎng)絡(luò)空間資產(chǎn)風險分析主要是對資產(chǎn)的風險態(tài)勢進行評估,通過主動指紋探測、被動的 信息采集、收集,分析已知資產(chǎn)現(xiàn)狀和發(fā)現(xiàn)未知資產(chǎn),評估易被攻陷的高危主機、存在惡意 行為的主機、重點關(guān)注的 IP/ 域名、域名備案情況等,整合成為網(wǎng)絡(luò)空間資產(chǎn)、身份、數(shù)據(jù) 等各類實體及其特征信息,以此輸入到安全知識圖譜中,進而形成網(wǎng)絡(luò)空間資產(chǎn)的整體畫像 和實體局部畫像,支持網(wǎng)絡(luò)空間資產(chǎn)風險的全面、深度分析。
2、團伙關(guān)系分析
攻擊團伙往往已經(jīng) 形成了一個密切協(xié)作的網(wǎng)絡(luò),嚴重威脅網(wǎng)絡(luò)空間安全。攻擊團伙發(fā)現(xiàn)的關(guān)鍵是基于網(wǎng)絡(luò)空間 數(shù)據(jù)生成關(guān)聯(lián)圖與圖上社區(qū)發(fā)現(xiàn)。
因此利用知識圖譜關(guān)聯(lián)分析的技術(shù)對海量的大數(shù)據(jù)進行挖掘,通過人工智能 算法實現(xiàn)對網(wǎng)絡(luò)空間數(shù)據(jù)隱含關(guān)系的挖掘,及時有效分析團伙行為,實現(xiàn)定位、識別攻擊組團伙行為發(fā)現(xiàn)是網(wǎng)絡(luò)空間測繪領(lǐng)域中知識圖譜應用的一個典型場景。
八、基于安全知識圖譜的軟件供應鏈安全
構(gòu)建軟件供應鏈知識圖譜,通過知識圖譜的關(guān)聯(lián)與推理,完成軟件供應鏈的風險識別、高風險推薦、影響范圍分析和緩解措施決策等。
相比傳統(tǒng)軟件安全,軟件供應鏈面臨的安全風險不斷加大,遭受破壞而引發(fā)的網(wǎng)絡(luò)安全 事件數(shù)量逐步上升。
第一,軟件供應鏈攻擊面從軟件產(chǎn)品本身的漏洞擴大為上游供應商的軟件、組件和服務的漏洞,任何一個上游階段的漏洞都會影響下游所有軟件,這就導致軟件供應鏈的受攻擊面不斷擴大。
第二,攻擊面的擴大顯著降低了攻擊者攻擊的難度,一旦對軟件供應鏈中的任意環(huán)節(jié)進行攻擊或篡改,都將會引起安全風險的連鎖反應,產(chǎn)生巨大的安全危害。
最后,軟件供應鏈開源化趨勢增加,導致影響軟件供應鏈的各個環(huán)節(jié)都不可避免受到開 源環(huán)境的影響。為了有效保障軟件供應鏈的安全,關(guān)鍵需求如下:
其一,需要全面梳理軟件供應鏈中涉及到的供應商、軟件、信息、工具、服務、上下游交付 環(huán)節(jié),保證供應鏈流程不會存在遺漏。?
其二, 需要識別哪些代碼、工具存在安全風險,重點是明確哪些組件引用了哪些高危組件, 又有哪些系統(tǒng)引用了這些組件。?
其三,上游的漏洞如被引入當前環(huán)節(jié),需追蹤當前環(huán)節(jié)的產(chǎn)出會被哪些下游所使用,跟蹤信 息流,確保問題發(fā)生時的影響范圍是可知、可控和可追溯的。
其四,針對安全風險需要決策方案,通過替換、升級、修復進行解決,或者通過防護、封堵 等方式進行規(guī)避。
為了滿足上述供應鏈安全的關(guān)鍵需求,利用安全知識圖譜中的關(guān)系,可以表示為軟件供 應鏈中的“引用”關(guān)系。基于知識圖譜相關(guān)的圖分析方法,識別軟件供應鏈中的高風險點和 影響范圍,給出相應的措施進行緩解,從而有效解決軟件供應鏈安全的問題。構(gòu)建軟件供應鏈知識圖譜,通過知識圖譜的關(guān)聯(lián)與推理,完成軟件供應鏈的風險識別、高風險推薦、影響范圍分析和緩解措施決策等。
1、開源組件風險識別?
結(jié)合軟件供應鏈安全知識圖譜,采用不一致性進行判斷。也就是通過設(shè)定規(guī)則,找出在 知識圖譜中本應相同卻不同、本應不同卻相同的對象。如上圖所示,開源組件 A 和 B,本 應是兩個不同的開源組件,但若發(fā)現(xiàn)他們的 md5 相同,則可能存在冒用的風險。而若開源組 件 A,存在兩個不同的 md5,則有可能是其他的惡意軟件進行了偽裝。
2、高風險軟件推薦
軟件供應鏈有一個很明顯的特征,即引用關(guān)系鏈特別長。那么一旦某個節(jié)點被爆出存在 安全隱患,可根據(jù)知識圖譜快速梳理出受影響的對象。如下圖示例,用戶 A 安裝了 APP-I, 而 APP-I 引用了開源組件 A 和開源組件 B。若開源組件 A 存在安全漏洞,則會影響用戶 A。而知識圖譜的邊,正好可以體現(xiàn)出這種引用關(guān)系,適合于軟件供應鏈安全中的多級依賴場景。通過深度搜索,提取特征,可作為風險模型的輸入。
3、影響范圍分析?
基于圖譜中所有存儲歷史信息對潛在的威脅進行建模,包括開發(fā)工具污染、預留后門、 源代碼污染、捆綁下載、升級劫持等 ,對于可識別威脅,通過圖譜直接進行影響范圍分析。
如下圖所示, office2007、 2013 和 2016 都有 CVE-2017-111882 漏洞,被 Sidwinder 組織 在某次 APT 攻擊戰(zhàn)役中使用。通過組件的引用關(guān)系,就可以識別受到影響的終端。
九、基于知識圖譜的兩安融合的工業(yè)系統(tǒng)防護
未來安全防護的趨勢是將功能安全與信息安全相結(jié)合,以業(yè)務系統(tǒng)功能安全(Safety)的可用 性為目標和約束,再考慮信息安全(Security),通過對兩類安全防護能力的優(yōu)化設(shè)計,消除沖突,實現(xiàn)工業(yè)系統(tǒng)的兩安融合,降低信息物理融合帶來的信息安全風險。
工業(yè)環(huán)境下,信息安全和功能安全分別針對不同的系統(tǒng)風險來源,各自建立了基于 IEC 62443 和 IEC 61508 的安全防護體系,兩者并未形成有效的知識聯(lián)系, 并沒有打破“信息孤島”的狀態(tài),難以全面分析工業(yè)系統(tǒng)在攻擊過程中受到的影響。
在工業(yè)控制系統(tǒng)的信息層和物理層,各類安全系統(tǒng)每天產(chǎn)生海量的監(jiān)測 數(shù)據(jù),這些數(shù)據(jù)來源分散、語義多樣、格式異構(gòu)、相互關(guān)聯(lián),而攻擊者的操作行為 隱藏在其中,目前還缺乏對攻擊事件關(guān)聯(lián)數(shù)據(jù)的挖掘和展現(xiàn),不利于采取正確合理的 安全策略。
1、基于安全知識圖譜的安全風險預判
基于知識圖譜挖掘潛在安全風險,對潛在風險進行規(guī)則判定、圖譜驗證、 風險判定等識別過程,進而對可能發(fā)生的安全事故做出及時而迅速的預防。
如上圖所示,風險層通過功能安全和信息安全融合的知識圖譜,從安全告警信息中識別潛在的安 全風險,評估系統(tǒng)安全風險對系統(tǒng)業(yè)務的影響,根據(jù)系統(tǒng)具體業(yè)務給出響應處理的優(yōu)先級。
策略層為應對特定系統(tǒng)安全風險,從功能安全和信息安全策略池中選擇適當策略手 段進行組合,給予正確合理的安全防護。
基于知識圖譜的工業(yè)系統(tǒng)安全風險預判通過構(gòu)建主要風險要素(包括拓撲結(jié)構(gòu)、漏洞狀況、 運行數(shù)據(jù)等)的關(guān)系圖譜,全方位了解系統(tǒng)安全風險狀況,并利用信息層和物理層的監(jiān)測告警數(shù)據(jù)。
總結(jié)
本文主要圍繞著知識圖譜在安全領(lǐng)域的結(jié)合和應用進行了介紹,主要是對領(lǐng)域?qū)I(yè)機構(gòu)綠盟科技發(fā)布的安全知識圖譜技術(shù)白皮書一文進行了閱讀和總結(jié)。對于更為詳盡的內(nèi)容,讀者可以查看報告,做更為深入的了解。
OpenKG
OpenKG(中文開放知識圖譜)旨在推動以中文為核心的知識圖譜數(shù)據(jù)的開放、互聯(lián)及眾包,并促進知識圖譜算法、工具及平臺的開源開放。
點擊閱讀原文,進入 OpenKG 網(wǎng)站。
總結(jié)
以上是生活随笔為你收集整理的图谱实战 | 安全领域知识图谱建设与典型应用场景总结的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 论文浅尝 | emrKBQA: 一个面
- 下一篇: 评测征集 | 2021全国知识图谱与语义