基于攻擊行為動態(tài)特征的安全事件發(fā)展脈絡構建技術

烏吉斯古愣 劉曉影 俞賽賽

（中國電子科技集團公司第三十研究所 四川省成都市 610093）

1 引言

隨著計算機技術和互聯(lián)網(wǎng)技術的飛速發(fā)展，網(wǎng)絡在促進社會進步的同時，黑客組織以及網(wǎng)絡非法分子使用計算機領域相關技術通過非法獲取賬號密碼、控制系統(tǒng)管理權限等手段來謀取私利，嚴重影響到個人、組織以及國家的信息安全和財產(chǎn)安全。面對日益多樣化的網(wǎng)絡攻擊，如何高效利用威脅信息關聯(lián)分析技術，以及智能化安全事件感知技術，從海量離散的多源網(wǎng)絡告警數(shù)據(jù)中挖掘有價值的信息進而發(fā)現(xiàn)攻擊者的真實攻擊目的，并把分析結果及時、準確的反饋給網(wǎng)絡管理員，是網(wǎng)絡安全領域一個熱門且非常有意義的研究問題。其中，在對網(wǎng)絡告警信息的分析處理過程中，突出待解決的問題主要有三點：

（1）網(wǎng)絡告警數(shù)據(jù)量大，不易處理、分析；

（2）網(wǎng)絡告警數(shù)據(jù)存在誤報、冗余等問題；

（3）網(wǎng)絡安全事件發(fā)生的隨機性大，時間跨度不確定，不易直接提取出有價值的事件信息。

因此，網(wǎng)絡安全事件的嚴重后果總是發(fā)生后才能被感知發(fā)現(xiàn)，甚至在發(fā)生后很長一段時間內仍然不能被感知發(fā)現(xiàn)。

針對以上問題，對海量離散告警數(shù)據(jù)進行綜合分析，發(fā)現(xiàn)告警信息中隱含的邏輯關系，有效識別網(wǎng)絡安全事件，還原安全事件發(fā)展脈絡，對網(wǎng)絡攻擊的主動防御和網(wǎng)絡空間的威脅感知具有重要意義。安全事件發(fā)展脈絡構建，針對海量離散告警信息，引入安全事件動態(tài)特征更新機制，提出一種安全事件動態(tài)概率圖模型，采用基于神經(jīng)網(wǎng)絡的深度學習模型，優(yōu)化神經(jīng)網(wǎng)絡結構，聚合告警信息，發(fā)現(xiàn)安全事件，實現(xiàn)對安全事件的戰(zhàn)術關聯(lián)分析，解決海量離散告警信息中告警信息缺失、冗余、誤報等問題導致的安全事件發(fā)展脈絡難以構建的問題。

2 相關研究

在一次復雜的網(wǎng)絡攻擊中存在成千上萬的告警事件，將告警事件關聯(lián)聚合成統(tǒng)一的安全事件，推斷網(wǎng)絡安全事件的發(fā)展演化過程，有助于發(fā)現(xiàn)網(wǎng)絡攻擊手段，追溯網(wǎng)絡攻擊源頭。目前對網(wǎng)絡安全事件關聯(lián)推斷方法基本分為三類：基于相似概率的關聯(lián)推斷法、基于情景的關聯(lián)推斷法和基于安全事件前因與后果的關聯(lián)推斷法。

Valdes 等人[1]提出利用概率統(tǒng)計的方法計算攻擊事件特征中相關屬性之間的相似度。在屬性相似度計算中，屬性集的選取以及各屬性相似度函數(shù)的選擇至關重要，屬性集主要從來源標識、攻擊類別、攻擊源、攻擊目標、攻擊時間等中選取，各屬性相似度函數(shù)根據(jù)特征各有不同。Mei 等人[2]基于告警屬性中的攻擊行為特征相似度統(tǒng)計函數(shù)，聚合形成告警序列，識別多步攻擊模式，該方法計算效率高，但只能發(fā)現(xiàn)統(tǒng)計意義上的告警關聯(lián)關系，無法有效識別多步攻擊的步驟之間的前后序關系。MUN 等人[3]提出一種基于前綴樹的利用布隆過濾器查找IP 地址屬性的方法。DAIN 等人[4]用概率的方法定義了告警間距離，然后將相近的告警聚成一簇，構成攻擊場景。Sayed 等人[5]提出一種基于攻擊狀態(tài)圖的告警關聯(lián)模型，攻擊狀態(tài)圖初始為已知告警，通過采用基于告警屬性相似性比較的方法關聯(lián)未知告警，更新攻擊狀態(tài)圖，該方法對所有深層關聯(lián)告警都會在閾值范疇內向上深度搜索，有效解決前件告警漏報的問題，但無法解決后件告警漏報的問題。

基于情景的告警關聯(lián)推斷是將入侵過程關聯(lián)起來，推斷成為連貫的攻擊情景。Dain 等人[6]提出了通過機器學習的方法來訓練包含已知入侵情景的數(shù)據(jù)集來“學習”告警關聯(lián)模型，根據(jù)計算一個新告警屬于給定情景的概率來自動建立告警關聯(lián)模型。KRUGEL等人[7]利用ASL 語言描述攻擊序列，形成有向圖，利用圖關聯(lián)的方式推斷下一步的攻擊事件。

基于安全事件前因與后果的關聯(lián)推斷法使用攻擊前提條件和后續(xù)結果來關聯(lián)事件，王文娟等人[8]提出了一種基于因果知識的時空關聯(lián)攻擊場景還原技術，基于貝葉斯網(wǎng)絡建模因果知識，挖掘具有資產(chǎn)屬性相關性的告警序列中的具有因果關系的攻擊模式?；谠撍枷胙苌隽嘶诠魣D的關聯(lián)分析算法，該算法提供了一種表示攻擊過程的場景可視化方法。隨著網(wǎng)絡結構復雜化、攻擊手段多樣化，許多專家學者提出了自動生成攻擊圖的方法，劉威歆等人[9]提出了一種基于攻擊圖的多源告警關聯(lián)分析算法，結合圖論關系和關聯(lián)閾值的設置進行攻擊行為關聯(lián)預測，對告警漏報和誤報數(shù)量有一定的改善。攻擊網(wǎng)是由攻擊圖衍生的，能在應對復雜網(wǎng)絡攻擊中更全面的呈現(xiàn)攻擊的狀態(tài)、攻擊過程和攻擊進展，攻擊網(wǎng)模型針對網(wǎng)絡攻擊的過程特征，刻畫了攻擊行為之間的邏輯和時序關系，體現(xiàn)了網(wǎng)絡攻擊的過程特性。目前主要有基于攻擊網(wǎng)的聯(lián)合建模和基于Petri 網(wǎng)的攻擊模型[10]。

綜上所述，網(wǎng)絡安全事件過程研判的相關研究已經(jīng)取得了一定進展，其中采用的分析技術雖然不能完美地呈現(xiàn)一個安全事件發(fā)展脈絡的全過程，但是除去其內在的局限性，仍是應對網(wǎng)絡安全事件的一個有效措施，也是真正解決大量告警、攻擊活動溯源的切實可行的方法。但，隨著網(wǎng)絡攻擊復雜化、組織化、動態(tài)變化、多步驟分布式協(xié)同化趨勢的發(fā)展，當前網(wǎng)絡安全事件的過程研判，需要綜合考慮事件動態(tài)特征的更新，以及事件發(fā)展脈絡過程信息的及時補全等，從而構建事件發(fā)展的整體脈絡。

3 技術研究

針對從海量、離散告警日志中安全事件發(fā)展脈絡還原難的問題，研究如何發(fā)現(xiàn)告警事件之間隱藏的關聯(lián)關系，基于攻擊鏈行為模式智能關聯(lián)結果，感知安全事件，還原完整的安全事件發(fā)展脈絡，作為應對復雜多步網(wǎng)絡攻擊的有效措施。輔助網(wǎng)絡安全監(jiān)管人員對安全事件整體發(fā)展狀態(tài)的監(jiān)控，為實施有效的網(wǎng)絡空間主動防御提供更全面的評估和決策依據(jù)。

基于攻擊行為動態(tài)特征的安全事件發(fā)展脈絡構建技術主要解決大時間寬度、事件動態(tài)發(fā)展過程、分布式空間跨度背景下離散告警事件的關聯(lián)驗證問題，引入動態(tài)概率攻擊圖模型的構建與更新算法，對安全事件基于動態(tài)模型進行表示；在安全事件動態(tài)模型要素的特征向量的基礎上，通過ATT&CK 模型庫的構建，采用基于循環(huán)神經(jīng)網(wǎng)絡深度學習算法的戰(zhàn)術關聯(lián)關系推理識別方法，對告警事件進行戰(zhàn)術關聯(lián)分析推理，關聯(lián)補充漏報的告警事件，剔除冗余誤報的告警事件，感知識別安全事件，還原安全事件發(fā)展脈絡的全生命周期，解決海量離散告警事件中告警信息缺失、冗余、誤報等問題導致的安全事件發(fā)展脈絡難以還原的問題。

安全事件動態(tài)概率攻擊圖的構建與更新提供安全事件下的告警事件集合的動態(tài)概率攻擊圖模型，是實現(xiàn)基于神經(jīng)網(wǎng)絡的攻擊行為關聯(lián)分析與研判的表示基礎。該方法能夠通過對事件下攻擊行為的定性分析與關聯(lián)分析相結合，合理地刻畫出攻擊行為之間的因果推理關系。其中，動態(tài)概率攻擊圖更新算法能夠有效迭代更新安全事件隨時間推移而產(chǎn)生的動態(tài)變化特征，適應復雜多變的網(wǎng)絡空間環(huán)境，具體包括動態(tài)概率攻擊圖的定義、動態(tài)概率攻擊圖的構建和動態(tài)概率攻擊圖的更新3 個部分[11][12]：

（1）定義動態(tài)概率攻擊圖，需要先定義概率攻擊圖PAG，概率攻擊圖包括關聯(lián)結構和關聯(lián)參數(shù)兩部分，具體為PAG=(G,P)。

其中，關聯(lián)結構G=(V, E)，G 是由告警事件組成的有向無環(huán)圖，V 代表告警事件節(jié)點集合代表前置邊和后置邊的并集，前置邊Eb表示當只有前置條件滿足時才能實施某原子告警事件；后置邊Ea表示原子告警事件成功實施后能夠達到某個新的后置行為狀態(tài)。

動態(tài)概率攻擊圖的定義，借鑒動態(tài)圖思想，指會隨時間推移而動態(tài)更新的概率攻擊圖。動態(tài)概率攻擊圖指在時間域T=[t0,tn]內隨攻擊步時Δ t 動態(tài)更新的概率攻擊圖流，可表示為：

其中，PAG0指初始概率攻擊圖，二元組指在ti時刻的概率攻擊圖PAGi，GCi指在ti時刻的更新操作，GCi：PAGi-1→PAGi指通過更新操作GCi，ti-1時刻的概率攻擊圖PAGi-1更新轉化為ti時刻的概率攻擊圖PAGi。

（2）動態(tài)概率攻擊圖的構建，是對初始概率攻擊圖的構建與更新過程，包括關聯(lián)結構構建和關聯(lián)參數(shù)設定。關聯(lián)結構的構建是指生成告警事件節(jié)點，識別告警節(jié)點之間的因果關聯(lián)關系，依據(jù)告警事件信息，采用攻擊圖生成工具構建攻擊圖的關聯(lián)結構；關聯(lián)參數(shù)的設定指確定告警節(jié)點間的因果依賴強度，確定有向邊權值以及每個節(jié)點的局部關聯(lián)條件概率。

概率攻擊圖中的關聯(lián)結構直觀地刻畫了攻擊行為間的因果關聯(lián)關系，關聯(lián)參數(shù)量化了具體的因果依賴強度，能夠有效支撐概率攻擊圖的準確合理化地構建。

（3）動態(tài)概率攻擊圖的更新，因為每次攻擊圖的迭代更新過程中新產(chǎn)生的攻擊圖相比較于原攻擊圖，重復部分較多，通過采用局部更新方法，更新攻擊圖每次的變化內容，具體包括告警節(jié)點的增加、關聯(lián)邊的增加、關聯(lián)參數(shù)的調整配置等，實現(xiàn)對攻擊圖結構的動態(tài)局部更新。

基于安全事件動態(tài)概率攻擊圖模型構建事件戰(zhàn)術關聯(lián)信息，采用循環(huán)神經(jīng)網(wǎng)絡技術實現(xiàn)告警事件后序關系的研判，還原安全事件發(fā)展脈絡。將告警事件集合轉化為對應的特征向量作為輸入，基于ATT&CK 攻擊技戰(zhàn)法知識框架下的事件動態(tài)戰(zhàn)術關聯(lián)信息，通過循環(huán)神經(jīng)網(wǎng)絡，從時間線、攻擊模式、攻擊發(fā)起點和攻擊作用點的角度，發(fā)現(xiàn)潛在攻擊路徑和攻擊目標，實現(xiàn)告警事件深度關聯(lián)，還原安全事件發(fā)展脈絡過程。

基于循環(huán)神經(jīng)網(wǎng)絡的戰(zhàn)術關聯(lián)分析方法分析研判輸入告警事件之間的戰(zhàn)術關聯(lián)關系，即攻擊技術之間的關聯(lián)關系的獲取，補全缺失的攻擊技術，復現(xiàn)完整的攻擊戰(zhàn)術路徑，如圖 1 所示，算法輸入為告警事件特征向量，分別是事件戰(zhàn)術關聯(lián)信息中與事件相關的攻擊技術部分，以及對應攻擊行為的結構化特征向量，輸出戰(zhàn)術關聯(lián)矩陣，關聯(lián)矩陣隨后經(jīng)轉換網(wǎng)絡處理即可得到量化的戰(zhàn)術關聯(lián)值。

基于關系記憶核心的戰(zhàn)術關聯(lián)關系學習與推理方法通過引入關系記憶核心（Relational Memory Core，RMC）網(wǎng)絡架構[13]，融合殘差連接[14]和注意力機制[15]，強化網(wǎng)絡關系推理能力，解決標準記憶架構難以執(zhí)行長時間序列關系推理任務的問題[16]，如圖2 所示。

綜上，安全事件發(fā)展脈絡還原的目標是在ATT&CK 框架的基礎上，通過動態(tài)攻擊概率圖模型的構建，提出基于強化學習的安全事件發(fā)展脈絡構建方法，采用基于循環(huán)神經(jīng)網(wǎng)絡深度學習算法的戰(zhàn)術關聯(lián)關系推理識別方法，通過模型訓練優(yōu)化和神經(jīng)網(wǎng)絡結構的調優(yōu)，基于其泛化能力支持復雜場景下發(fā)現(xiàn)告警事件之間的隱蔽關聯(lián)關系，復現(xiàn)由告警事件構成的一個完整攻擊行動生命周期，對提高同源威脅事件的分析能力有重要支撐作用。

4 結束語

網(wǎng)絡安全事件的識別與發(fā)展過程的還原作為安全空間威脅感知中的一個核心任務，旨在針對多源渠道獲取的大量告警信息，建立高效準確的關聯(lián)分析方法和事件發(fā)展脈絡還原模型，對海量告警事件進行驗證過濾、聚合，以及安全事件發(fā)展脈絡重建，從而判斷網(wǎng)絡環(huán)境是否遭受攻擊，研判可能造成的損失，并輔助采取對應的處置策略。本文提出的基于攻擊行為動態(tài)特征的安全事件發(fā)展脈絡構建技術的研究，可牽引網(wǎng)絡空間復雜攻擊場景還原方向的研究，挖掘海量離散告警事件中隱含的關聯(lián)關系，實現(xiàn)針對大時間跨度、長周期、數(shù)據(jù)缺失的安全事件發(fā)展演化過程的還原，并形成基于動態(tài)概率攻擊圖模型的事件表示方法和基于神經(jīng)網(wǎng)絡的事件發(fā)展脈絡重建方法，實現(xiàn)在掌握少量威脅線索的前提下，提升安全事件全面感知的準確率，對促進網(wǎng)絡空間主動防御領域的快速發(fā)展具有的關鍵性作用，是極具前景的研究方向。