- 1安全工具HTTPX使用注意事项
- 2深入了解SSM框架(案例(SSM+Jsp) + 详细分析 + 思维导图)
- 3常见未授权访问漏洞修复_mongodb未授权访问漏洞
- 4wpf 以管理员权限运行_C#程序 -- 以管理员权限运行
- 5一次较为复杂的maven工程隔离开发和生产环境的处理实践_如何让maven 一来在开发环境不生效,生产环境生效
- 6java入门教程: 如何配置环境变量_jre6环境变量配置
- 7多比特跨时钟域之握手及DMUX
- 8关于Mysql出现1045错误的方法_1045 access denied for user root
- 9JAVA常见面试题整理(长期更新)_java基础面试
- 10Hadoop3 HA高可用集群搭建_3ha
网络空间实体测绘的关键_网络测绘 关键技术
赞
踩
风险感知
感知是智能化技术迈出的第一步。安全运营智能的感知层,主要面向网络空间
各类实体与行为的识 别与检测,主要包括情报要素取、网络实体画像、攻击检测与分类、异常行为分析和团伙行为发现等 前沿关键技术。
情报要素自动化
提取
4.2.1.1 定义内涵
情报要素自动化取的含义是通过数据驱动的模式取方法,从流量、样本、社交网络、情报文本 等多源数据中,自动化取威胁情报要素(攻击者、活动、技战术、特征、防护策略等),支撑网
络防 御的预防、检测、响应、预测等全周期的信息采集。
4.2.1.2 技术背景
网络威胁情报要素的准确提取关系着网络空间防御的时效性、有效性,决定了网络空间已发生威胁、 事件的分析、响应周期,是安全运营流程自动化的重要一环。传统威胁情报的生成依赖事件驱动的专家 分析方法,一方面依赖专家经验,耗时耗力;另一方面情报时效性差,情报滞后导致被动挨打。在威胁 高度组织化、武器化、规模化的背景下,探索智能化
算法与数据驱动的高质量、实时情报要素自动抽取 方法,显得尤为关键。
4.2.1.3 思路方案
情报要素自动化取是一项面向网络安全领域知识构建需求的重要任务,自动化的要素取,关 键技术目标是场景驱动下的模式识别。在攻击特征取场景下,例如根据模拟的、采集的已知恶意样本、 恶意流量,取恶意特征,经典的处理方法一般可通过传统的序列相似性、文本相似性、结构相似性 等手段,快速定位可疑特征信息。此外,基于可解释人工智能方法取模型的知识,已成为知识获取 的重要方法之一,例如通过透明可解释的决策树模型、文本主题模型、图模型、注意力机制等,或黑 盒模型叠加后处理
(Post-hoc)的解释手段 SHAP、LIME等等,抽取安全检测分析模型内的攻击模 式与特征,如图 17 所示,通过聚类与模型推断算法,能够有效取恶意文本中的关键词特征形成检 测规则 [23]。在攻击组织活动、技战术自动化情报生成的场景下,可通过经典的命名实体识别、关系抽 取、知识图谱关系推理等技术手段,取、对齐、关联情报实体要素,实现情报的标准化与可共享性。 自动化的取方案,能够有效作用在大规模数据空间下,从数据的角度升威胁特征的区分性、情报 实体的全局一致性等。
4.2.1.4 关键挑战
威胁情报的准确性、信息粒度、置信度等指标,是安全运营风险预警、威胁检测、事件处置等各个 环节技术实现的关键信息基础。自动化技术的实现需要以情报要素的可用性为核心,升实时性与处理 效率。主要技术挑战包括:
要素特征的语义泛化
传统攻击指纹的取,在专家经验的优化下,能够在保证安全语义的前下,升检测识别的泛化 能力。然而,数据驱动的方案普遍缺乏场景语义的限制,统计驱动的、关联驱动的特征规则可能不符合 网络或安全的语法语义,导致提取结果的失效。
情报噪声干扰
数据驱动的方法依赖数据的质量,在低信噪比的数据上实现知识提取工程,面临统计失效、语义不明、 实体难对齐等多方面的挑战,也对情报数据采集、数据预处理、数据融合等多阶段的情报数据生命周期 管理提出跟高的要求。
要素提取的可解释性 。
透明度与可解释性是数据驱动方案需要重点关注的技术要素之一。特别是面向安全攸关的威胁情报 处理场景,情报的可信度是决定情报源信誉的关键,而情报生成技术的可信任程度,又是情报可信度的 重要组成。采用黑盒模型抽取的情报要素,其潜在隐患,包括算法偏见、数据投毒、模型错误等等,可 导致情报在实用阶段造成样本误杀、响应失效甚至系统破坏的后果。
网络实体测绘画像
4.2.2.1 定义内涵
网络实体测绘画像的含义是通过主动指纹探测、被动的信息采集,收集、分析、整合网络空间资产、 身份、数据等各类实体及其特征信息,形成网络空间的整体画像和实体局部画像,支持网络风险的全面、 深度分析与威胁情报生成。
4.2.2.2 技术背景
随着 IT系统的多元化、复杂化、高联通,以及网络空间对抗的持续升级,对防守方“知己”的能 力出更高的要求。云计算、 5G 移动网络、物联网等跨应用、跨平台、跨基础设施的大规模多样化实 体的接入,直接导致传统登记式的、定点监控式的实体的识别、管控方法失效。企业和组织的网络监控 盲点,将成为 APT等高级威胁的突破口,带来巨大的安全隐患。因此,亟需自动化的、智能化的网络 实体识别和画像方法,来升资产等实体管理的自应性、准确性、实时性,保证安全运营风险管控的 覆盖率与精确度。
4.2.2.3 思路方案
网络空间实体测绘的关键是保证实体实例的覆盖率以及准确的动态画像,核心技术主要包含已知类 型实体的识别和未知类型实体的分类。已知类型实体的召回,在于通过特征指纹匹配与行为模式匹配, 快速召回收录在册的实体类型实例;未知类型实体的分类,需要通过无监督或半监督的特征与行为聚类、 信息流或结构性关联分析、统计频繁项挖掘等方法,识别未知实体数据中的模式信息,寻求与已知类型 实体的相似性与关联性,并向运营人员供数据特征支撑人工分类分组标记。值得注意的是,如图 18 所示,网络实体行为及其所处环境的动态性,决定了实体测绘不是一劳永逸的,而是需要持续迭代演进 的 [24]。实体探测仅仅是测绘流程的一个步骤,分析、跟踪、可视化已成为实体画像的重要组成。例如, 实体画像的准确性决定了基于异常行为分析的 UEBA等技术方案的成败。
4.2.2.4 关键挑战
针对任何一种网络实体,包括用户身份、各类资产、多形式数据、应用服务、资产脆弱性等等,进 行网络空间的测绘都有特定的技术挑战。这其中,测绘画像的共性挑战主要包含:
实体寻址空间爆炸
主动式的实体探测,首先需要按照一定的“寻址”策略来顺序测定实例的网络空间位置。以网络威 胁情报的资产、服务识别为例,IPv6 协议带来的地址空间膨胀,直接导致了传统遍历式扫描的失效。
再以面向企业级数据管控的数据资产测绘为例,面对数据类型、数据存储形式、数据访问权限、数据保 护措施等因素的多样性,传统规则驱动、关键词驱动的匹配方法不再实用。数据驱动的模式发现与自 应寻址策略是未来网络实体测绘需要克服的难题之一。
实体行为不稳定性、隐匿性
如前所述,网络实体测绘需要持续跟踪与更新,保持实体画像的实时有效性。然而,随着容器化、 微服务化等技术的发展,导致资产、服务等实体生命周期剧烈变化;此外,隐私保护等目标驱动下,流 量、服务、身份的隐匿性大幅提升。这些都给实体的精确测绘带来前所未有的技术挑战。
