數(shù)據(jù)驅(qū)動的威脅狩獵語言模型研究進展

張潤滋，康彬

1.綠盟科技集團股份有限公司，北京 100089

2.解放軍96941部隊，北京 100085

引言

在數(shù)據(jù)過載的時代背景下，基于安全大數(shù)據(jù)進行威脅狩獵，給經(jīng)驗驅(qū)動的傳統(tǒng)安全防護模式提出了挑戰(zhàn)，專家規(guī)則的泛化能力、適應(yīng)性、覆蓋率等指標提升速度已經(jīng)難以跟上數(shù)據(jù)、場景、攻擊技戰(zhàn)術(shù)的演進速度。

此時，機器學(xué)習(xí)、深度學(xué)習(xí)、圖算法等數(shù)據(jù)驅(qū)動的方法的優(yōu)越性就體現(xiàn)出來了。數(shù)據(jù)中蘊含的規(guī)律和模式，是可以通過數(shù)據(jù)挖掘的方法呈現(xiàn)出來的。流量、樣本等數(shù)據(jù)的編碼特征、序列特征、關(guān)聯(lián)特征、時序特征等，這些關(guān)鍵的數(shù)字維度能夠在沒有專家參與的情況下，在限定條件下輔助實現(xiàn)檢測、溯源、評估等任務(wù)。這里的“限定條件”是一個關(guān)鍵的問題。諸多實驗性模型與算法，在實戰(zhàn)化的安全運營中難以有效發(fā)揮作用。

面對快速演進的攻防技戰(zhàn)術(shù)，通過數(shù)據(jù)與分析加速威脅狩獵的流程運轉(zhuǎn)，降低狩獵技術(shù)門檻，固化狩獵經(jīng)驗知識，已成為安全運營中流程、技術(shù)、人、數(shù)據(jù)深度融合的重要研究與實戰(zhàn)課題。因此，為構(gòu)建數(shù)據(jù)驅(qū)動的威脅狩獵技術(shù)體系，需要從指標完善、數(shù)據(jù)融合、數(shù)據(jù)增強優(yōu)化、多維多源多模分析、語言模型構(gòu)建等維度，為復(fù)雜并且面向語義的分析技術(shù)奠定基礎(chǔ)。以下，將結(jié)合工業(yè)、學(xué)術(shù)前沿安全研究和網(wǎng)絡(luò)安全攻防實踐，介紹相關(guān)領(lǐng)域的技術(shù)研究進展與趨勢。

1 構(gòu)建更細粒度的指標

安全運營工作的有效開展，依賴于合理的指標體系，以評估技術(shù)的有效性、流程的合理性、人的投入產(chǎn)出比、數(shù)據(jù)的規(guī)范性等等。威脅狩獵作為安全運營預(yù)測、預(yù)防、檢測與響應(yīng)的關(guān)鍵環(huán)節(jié)，目前仍然是經(jīng)驗驅(qū)動為主的一種技術(shù)方案。隨著終端、網(wǎng)絡(luò)、情報、蜜罐、沙箱等各類安全日志的接入，給輔助威脅狩獵團隊的工具和技術(shù)升級迭代帶來了全新的機會。威脅狩獵基于持續(xù)的觀測、假設(shè)、調(diào)查和驗證，在這個循環(huán)過程中，數(shù)據(jù)分析方法可以提供更精準、更具時效性的觀測線索，更快速、更全面的調(diào)查平臺，以輔助專家做出假設(shè)和完成驗證。

為了有效跟蹤安全運營的過程和效率提升情況，2021年的RSA 大會上，F(xiàn)ireEye 及Palo Alto Networks 的專家給出了多個維度的優(yōu)化指標參考[1]，如表1 所示，主要包括分析活動（主要覆蓋分析效率監(jiān)控）、運營衛(wèi)生（主要覆蓋規(guī)則運營）、實現(xiàn)價值（主要覆蓋技術(shù)應(yīng)用情況監(jiān)控）、過程偏離（主要覆蓋運營流程監(jiān)控）、分析負載分布（主要覆蓋數(shù)據(jù)輸入輸出監(jiān)控）五個方面。這些指標可以認為是對經(jīng)典的分析、運營、響應(yīng)效率指標，如MTTR、MTTD 的有效補充和細節(jié)描述。

表1 安全運營指標的優(yōu)化設(shè)計Table 1 Metric optimization designs for security operations

這些指標中，針對分析的部分同樣適用于評估威脅狩獵工具集以及平臺技術(shù)的自動化和賦能水平。例如分析活動中的“EPAH”和“Handling time per alert per stage per analyst”兩個指標，雖然針對不同的攻擊場景、威脅隱匿程度等，指標實測值有較大的波動，但是通過長周期的刻畫，能夠有效反應(yīng)運營和分析專家在同類別事件、告警上的平均處理時長，進而側(cè)面反映相關(guān)支撐工具所能夠提供的信息量多少。高自動化、關(guān)聯(lián)更豐富的分析結(jié)論，能夠提供快速且有效的威脅上下文；與此同時，高交互的、可理解的數(shù)字化結(jié)論展示與反饋機制，同樣是專家與機器智能融合的關(guān)鍵要素。另外，運營衛(wèi)生中的#of tunes per technology 指標，是監(jiān)控規(guī)則和模型等技術(shù)維度迭代優(yōu)化的一個維度。威脅狩獵這種專家與技術(shù)高交互的場景中，技術(shù)的迭代與調(diào)整就顯得尤為關(guān)鍵了。威脅狩獵技術(shù)平臺，需要提供根據(jù)專家反饋和數(shù)據(jù)模式自適應(yīng)調(diào)節(jié)參數(shù)的接口，以實現(xiàn)自動化性能優(yōu)化效果監(jiān)控方法。

數(shù)據(jù)驅(qū)動的威脅狩獵技術(shù)演進，離不開合理、有效評估指標體系的構(gòu)建。現(xiàn)階段，威脅狩獵的流程與技術(shù)仍然缺乏規(guī)范性的業(yè)界共識。因此，需要從細粒度的指標體系入手，探索衡量技術(shù)有效性的基礎(chǔ)，以支持相關(guān)技術(shù)發(fā)展與演進。

2 融合多源的數(shù)據(jù)

端點的可視性一直以來是威脅狩獵的關(guān)鍵數(shù)據(jù)源。隨著SIEM、SOAR 等平臺技術(shù)的應(yīng)用，XDR，即拓展的檢測與響應(yīng)技術(shù)被廣泛的提及，也被列入了Gartner 2020 安全運營Hype Cycle 中技術(shù)爬升期的技術(shù)之一[2]。

XDR 技術(shù)的核心在于數(shù)據(jù)融合分析，其中最基礎(chǔ)的正是數(shù)據(jù)的融合。2021 RSA 大會上，Trend Micro 專家給出了面向零信任的XDR 架構(gòu)[3]。該架構(gòu)中的數(shù)據(jù)湖主要采集4 種數(shù)據(jù)源，分別是終端、網(wǎng)絡(luò)、郵件和云上端點。實際上，數(shù)據(jù)采集和匯聚只是基本，融合才是關(guān)鍵。終端溯源圖包含了細粒度的進程、文件、命名管道、注冊表等數(shù)據(jù)流、控制流因果依賴關(guān)系，是構(gòu)建完整威脅行為完整上下文的核心數(shù)據(jù)要素。圍繞終端的溯源圖，需要將網(wǎng)絡(luò)中的用戶、主機、IP、服務(wù)、載荷等，郵件中的用戶、地址、內(nèi)容、附件等，以及云端的虛擬機、容器、微服務(wù)、API、賬戶等維度，進行多層次的自動化關(guān)聯(lián)。構(gòu)建關(guān)聯(lián)一方面需要做好數(shù)據(jù)的規(guī)范化，以降低多源數(shù)據(jù)關(guān)聯(lián)信息字段消歧的門檻；另一方面，需要統(tǒng)一的圖結(jié)構(gòu)視圖設(shè)計，即圖中實體節(jié)點及實體關(guān)聯(lián)邊，及相關(guān)屬性的類型。這兩個方面對跨廠商的數(shù)據(jù)融合提出了較高的要求。

威脅狩獵是主動式網(wǎng)絡(luò)空間防御的關(guān)鍵技術(shù)。融合多源異構(gòu)的數(shù)據(jù)，構(gòu)建統(tǒng)一的、完備的、多視角的威脅、資產(chǎn)、脆弱性視圖，是威脅狩獵工作開展的最關(guān)鍵的數(shù)據(jù)基礎(chǔ)設(shè)施。盡管工業(yè)界與學(xué)術(shù)界在數(shù)據(jù)的融合層次做出了相關(guān)探索，但是在多源數(shù)據(jù)的統(tǒng)一本體建模、語義消歧、模式分層等方面，仍然缺乏成熟的研究成果。

3 數(shù)據(jù)依賴爆炸緩解

高級持續(xù)性威脅（Advanced Persistent Threat，APT）具有對抗性、隱匿性、低頻性、持續(xù)性，再配合復(fù)雜、定制化的技戰(zhàn)術(shù)手段，給傳統(tǒng)防護檢測方案帶來了挑戰(zhàn)。為提升高級威脅分析的時效性，降低狩獵門檻，探索通過數(shù)據(jù)驅(qū)動的方式提升關(guān)鍵線索定位、攻擊路徑補齊的自動水平，有著重要的意義。

當前，大規(guī)模異構(gòu)網(wǎng)絡(luò)、終端、情報數(shù)據(jù)融合分析場景中，存在信息依賴爆炸、安全語義模糊等問題，亟待解決。特別是溯源數(shù)據(jù)的依賴爆炸（Dependency Explosion）問題，是基于終端的APT檢測溯源關(guān)鍵挑戰(zhàn)。依賴爆炸的數(shù)據(jù)線索將包含大量噪聲數(shù)據(jù)，將大幅度降低通過威脅狩獵檢測、查詢語言進行線索分析的可行性。

溯源數(shù)據(jù)（Provenance）能夠忠實記錄終端上實體的行為邏輯依賴關(guān)系，自然形成溯源數(shù)據(jù)圖（Provenance Graph）。通過溯源圖的后向追溯和前向追溯，可實現(xiàn)攻擊事件的溯源與取證。一個有效還原的溯源圖如圖1 所示。該圖給出了一個基于CVE-2017-0199 的APT 攻擊模擬與溯源數(shù)據(jù)重構(gòu)，除了攻擊行為，主機上還模擬了日常操作行為，以生成背景行為日志[4]。在該場景中，攻擊者向受害主機1投遞了包含漏洞利用腳本的文檔，進而收集敏感信息，并通過受害主機1 的門戶網(wǎng)頁服務(wù)端特性完成橫向移動攻陷受害主機2。

圖1 CVE-2017-0199 攻擊行為溯源數(shù)據(jù)重構(gòu)Fig.1 CVE-2017-0199 attack behavior reconstruction based on provenance

圖中的節(jié)點包括文件、進程、域名、連接等實體點，以及文件讀寫、進程創(chuàng)建、域名解析等行為邊。該攻擊子圖是經(jīng)分析算法提純后的攻擊行為還原，即該圖中只包含了與關(guān)鍵攻擊行為相關(guān)聯(lián)的部分點和邊，已剔除了大量的背景行為信息。通過溯源圖的分析，專家可以以細粒度的系統(tǒng)行為視角觀測攻擊者的行為，為攻擊行為取證提供了關(guān)鍵素材。

圖2 展示了在整個仿真周期內(nèi)的完整溯源圖。該圖記錄了兩個主機終端（分別標識為綠色與深灰色）的進程、文件、連接以及域名解析等日志中多種類型實體之間的，讀寫、創(chuàng)建、解析等多種類型信息流關(guān)系。值得注意的是，該圖只體現(xiàn)了信息流的結(jié)構(gòu)信息，未包含時序依賴。由于較為長時間的觀測周期，受害者主機1、2 上的系統(tǒng)進程、動態(tài)鏈接庫、瀏覽器等產(chǎn)生了大量的信息流交互操作，形成了下圖中密集的團。

圖2 基于CVE-2017-0199 跨主機APT 攻擊模擬的溯源圖（完整）Fig.2 Complete provenance graph for APT attack simulation based on CVE-2017-0199

如果以關(guān)鍵的線索文檔msf.doc（惡意軟件檢測或情報）或C&C 服務(wù)端IP（惡意IP 情報）為出發(fā)點，可以看到局部惡意信息流覆蓋，如圖3(a)和3(b)中紅色邊所示。該圖中，以msf.doc創(chuàng)建時間為界，過濾掉了該時間戳之前發(fā)生的所有行為邊，以盡量屏蔽實際不存在的信息層結(jié)構(gòu)關(guān)聯(lián)。從關(guān)鍵線索出發(fā)，能夠快速定位到被攻陷的異常winword.exe 進程——該進程讀寫了惡意腳本文件或異常外聯(lián)C&C服務(wù)端IP。然而，由于winword.exe 是模擬的常駐程序，該進程或文件在指定時間范疇內(nèi)，與大量的上下游文件或程序發(fā)生信息流傳遞，如圖3（c）紅色邊所示，信息流依賴關(guān)系呈現(xiàn)數(shù)量指數(shù)級別的爆炸式增長，這無疑給進一步的攻擊路徑調(diào)查取證增加了難度。

圖3 APT 攻擊模擬的溯源圖（msf.doc 或C&C Server IP為線索的信息流傳染）Fig.3 Provenance graph for APT attack simulation (msf.doc or C&C server IP driven information flow spreading)

由前述APT 漏洞利用溯源數(shù)據(jù)實例分析看出，在現(xiàn)有的粗粒度溯源數(shù)據(jù)采集技術(shù)基礎(chǔ)上，終端關(guān)鍵實體之間，特別是進程、文件、連接等實體，存在自然的信息流傳染效應(yīng)。在沒有先驗知識或基線數(shù)據(jù)的情況下，任何惡意信息流經(jīng)過中間實體的中轉(zhuǎn)，將以一定的概率向上下游實體擴散。隨著信息流在關(guān)聯(lián)實體各自鄰域的傳播，特別是通過常駐實體的傳播，進一步導(dǎo)致了終端溯源數(shù)據(jù)中的信息流依賴爆炸問題。

依賴爆炸問題覆蓋終端溯源數(shù)據(jù)、威脅情報數(shù)據(jù)、網(wǎng)絡(luò)日志數(shù)據(jù)等多源多類型場景，給自動化的攻擊檢測、攻擊路徑分析帶來巨大挑戰(zhàn)。一方面，直接大幅度提升了專家人工分析的難度。如果說線索定位是大海撈針，那攻擊路徑還原在該問題下猶如走迷宮。另一方面，自動化的分析方案同樣面臨由大量無效信息依賴帶來的分析誤判、性能瓶頸等問題。

學(xué)術(shù)界與工業(yè)界針對依賴爆炸問題，從多個維度進行了探索。主要有以下幾類緩解方法：（1）通過語義模板的方式，對具有高度信息流依賴關(guān)系的融合數(shù)據(jù)集進行抽象化的壓縮提取。該類方法一方面將所處理的實體進行類似自然語義處理任務(wù)中的“詞干提取”與“詞形還原”，將大規(guī)模、不同粒度的實體壓縮到有限維度的詞匯空間中，實現(xiàn)對實體類型的有效壓縮。另一方面，采用關(guān)系模板，定義泛化且具有明確語義的實體關(guān)系，來提取滿足指定關(guān)系屬性的實體關(guān)聯(lián)，過濾無效的、缺乏語義的關(guān)聯(lián)。例如，可定義（用戶進程，讀取，敏感系統(tǒng)文件）這樣的關(guān)系模板，來提取所有用戶態(tài)程序訪問讀取敏感系統(tǒng)文件的操作關(guān)系邊。這一類緩解措施優(yōu)勢在于能夠大幅消減信息流依賴關(guān)系，提取出最值得關(guān)注的且具有安全語義的關(guān)系集合。其劣勢在于，模板的制定過度依賴專家經(jīng)驗與知識，同時，一旦模板制定完成，在已有的模板下將無法處理未知但合理的關(guān)聯(lián)關(guān)系。（2）通過構(gòu)建歷史關(guān)系基線，通過統(tǒng)計模式剔除無效的關(guān)聯(lián)信息，以緩解依賴爆炸。例如構(gòu)建關(guān)聯(lián)性頻率統(tǒng)計庫，或構(gòu)造實體序列模板并生成實體嵌入向量，來估計實體信息流關(guān)聯(lián)流動方向的概率值。該類方法具有較強的環(huán)境泛化性，能夠根據(jù)指定的數(shù)據(jù)和系統(tǒng)環(huán)境，自動地學(xué)習(xí)歷史數(shù)據(jù)的信息流傳播規(guī)律，從而評估當前信息流傳播的趨勢。然而，基于統(tǒng)計的方式一般缺乏安全語義先驗知識的規(guī)范性，習(xí)得的數(shù)據(jù)規(guī)律中存在大量的由數(shù)據(jù)不穩(wěn)定與業(yè)務(wù)行為噪聲導(dǎo)致的虛假模式或無實際安全語義的模式。這些模式在應(yīng)用過程中將產(chǎn)生誤報或人類難以理解和處理的結(jié)果，影響專家的深入研判。

4 多維多源多模分析

為了應(yīng)對依賴爆炸、語義失焦等問題，以XDR為代表的多源數(shù)據(jù)深度分析技術(shù)受到業(yè)界的廣泛關(guān)注。XDR 作為單獨的技術(shù)方案，不能簡單看作是EDR 和NDR 在數(shù)據(jù)層面的拓展。數(shù)據(jù)融合帶來的不止是量變，同時帶來技術(shù)演進的質(zhì)變與全新機遇。如圖4 所示，基于融合數(shù)據(jù)做檢測，需要從多維、多源、多模的大數(shù)據(jù)中，有效地識別和挖掘行為模式與規(guī)律；基于檢測結(jié)果或者線索做響應(yīng)，需要更細粒度的告警分診與風(fēng)險評估，以及自動化的響應(yīng)策略推薦與制定，才能保證策略實施的精確度。

圖4 XDR 的多步技術(shù)依賴Fig.4 Multiple step technique dependencies for XDR

網(wǎng)絡(luò)安全中的數(shù)據(jù)分析本質(zhì)是基于數(shù)據(jù)標簽化與模式聚合的數(shù)據(jù)漏斗模型——通過過濾、抽象、凝練風(fēng)險相關(guān)信息，將高信息量的視圖呈現(xiàn)給威脅分析人員。威脅狩獵則對這種數(shù)據(jù)漏洞模型提出了更高的要求，即如何快速、精準地召回行為線索及上下文。從XDR 技術(shù)趨勢來看，可以總結(jié)為圖5 中的幾點趨勢，分別是：

圖5 XDR 中的數(shù)據(jù)分析演進趨勢Fig.5 Evolution trends for XDR data analysis

● 從單點到多點，即從單一數(shù)據(jù)源單一維度到融合多源多維的數(shù)據(jù)；

● 從靜態(tài)到動態(tài)，即從靜態(tài)的規(guī)則驅(qū)動到自適應(yīng)的數(shù)據(jù)驅(qū)動；

● 從無交互到高交互，即從可視、反饋、調(diào)節(jié)等方面提升人機智能融合與交互的水平；

● 從單一模式到多模式，即從傳統(tǒng)的基于特征的識別升級為特征、時序、圖、統(tǒng)計模型融合的模式識別；

● 從經(jīng)驗驅(qū)動到知識驅(qū)動，即通過將經(jīng)驗轉(zhuǎn)化為知識圖譜等結(jié)構(gòu)化、數(shù)字化形式來加速威脅分析經(jīng)驗與知識的固化與應(yīng)用；

● 從無狀態(tài)到有狀態(tài)，即從僅僅關(guān)注檢測分析的結(jié)果轉(zhuǎn)變?yōu)榫_監(jiān)控實體及行為的連續(xù)風(fēng)險變化。

整體來說，XDR 技術(shù)方案的提出，是機器學(xué)習(xí)、威脅狩獵等網(wǎng)絡(luò)安全運營前沿技術(shù)的融合技術(shù)場景驅(qū)動的，是業(yè)界通過數(shù)據(jù)驅(qū)動的方法對抗高級威脅的關(guān)鍵技術(shù)形態(tài)。

多模式事件分析的重點，在于通過統(tǒng)一的接口和規(guī)范，對底層多源多維數(shù)據(jù)進行統(tǒng)一的查詢與分析。從以上總結(jié)的技術(shù)趨勢來看，在多模式分析、動態(tài)特征抽取、人機交互性、知識固化與分享、分析狀態(tài)持續(xù)維護等方面，仍然需要從數(shù)據(jù)、技術(shù)、流程等維度，探索能夠支持數(shù)據(jù)驅(qū)動威脅狩獵工作開展的防護基礎(chǔ)設(shè)施的構(gòu)建方法。

5 威脅狩獵分析語言

在多源異構(gòu)數(shù)據(jù)中進行威脅分析，需要通過靈活的規(guī)則撰寫方法，來快速、準確定位關(guān)鍵線索。規(guī)則撰寫的靈活性，決定于威脅狩獵分析、查詢語言的設(shè)計與實現(xiàn)。

語言的設(shè)計源于科學(xué)的認知，也更依賴對事物理解的藝術(shù)。標準語言，類似普通話，能夠促進信息的交換與傳播，減少信息孤島效應(yīng)。在安全領(lǐng)域，除了上述提到的檢測語言，威脅情報規(guī)范STIX[5]、惡意軟件描述語言MAEC[6]、威脅檢測框架ATT&CK[7]等，都是具有廣泛影響力的領(lǐng)域信息交換與描述語言，雖然不一定稱為標準，但其影響力被行業(yè)廣泛認可。標準語言的成功普及一方面依賴于產(chǎn)業(yè)技術(shù)的成熟，另一方面需要強有力的行業(yè)領(lǐng)導(dǎo)者來推動。除了標準語言，定制語言也很重要，類似方言，能夠提升局部信息的高效流轉(zhuǎn)與決策實施。定制語言就是為了效率而生，一千個成熟廠商就可能有一千個定制的檢測規(guī)則引擎系統(tǒng)。

我們已經(jīng)看到，在威脅檢測領(lǐng)域，即定位威脅的方法論上，已經(jīng)有較為成熟的語言系統(tǒng)，包括用于流量攻擊檢測的Snort 規(guī)則，用于惡意文件檢測的YARA 規(guī)則，用于日志威脅檢測的Sigma 規(guī)則等。這些規(guī)則系統(tǒng)都自成體系，形成領(lǐng)域?qū)Ｓ玫恼Z言系統(tǒng)。但隨著高級攻擊技戰(zhàn)術(shù)的演進與攻擊面的拓展，威脅分析已經(jīng)不僅限于初級的威脅定位。主動的威脅狩獵，對靈活的威脅定位、高效的上下文拓展、精準的路徑溯源提出了更高的要求。傳統(tǒng)流量、樣本、情報、日志分立的“語言模型”與規(guī)則系統(tǒng)，已經(jīng)難以適應(yīng)跨多源、多類型日志的威脅調(diào)查與分析需求。

以IBM 的開源威脅狩獵語言Kestrel 為例[8]，該語言正是面向多源數(shù)據(jù)、高交互、多模式分析的數(shù)據(jù)查詢語言。跟其他相關(guān)威脅狩獵調(diào)查分析語言一起，本文將Kestrel 的數(shù)據(jù)覆蓋和核心功能總結(jié)在表2 中[8-16]。我們主要從該語言模型針對的數(shù)據(jù)類型、支持的模式類型、實時性三個角度來初步標定各技術(shù)方案主要的應(yīng)用領(lǐng)域與方式。數(shù)據(jù)類型方面，行為、環(huán)境、情報、知識四種類型的數(shù)據(jù)可覆蓋安全運營中心所接入的不同類型數(shù)據(jù)。實時性方面，主要包括流式的分析模式和批量的調(diào)查模式。

表2 威脅狩獵分析語言分類Table 2 Classification for threat hunting analysis languages

在模式類型中，“單點”指的是以特征或指紋匹配為主的單個事件模式；“集合”表示多個事件的無序組合；“序列”表示有序的事件組合；“靜態(tài)圖”表示信息流或結(jié)構(gòu)相關(guān)的事件組合；“時序圖”表示有序并且存在信息關(guān)聯(lián)的事件組合；“模型”表示基于機器學(xué)習(xí)等模型方法，在統(tǒng)計特征上可關(guān)聯(lián)起來的事件組合。圖6給出了主要模式類型的說明示意圖。圖6(a)為“單點”的特征或指紋匹配，即在序列的事件中，通過指定的指紋，例如數(shù)據(jù)包載荷關(guān)鍵詞等，來召回具有該指紋的攻擊事件。如圖6(b)所示，是基于組合或者序列的威脅狩獵模式。在該模式下，多個具有指定特征的事件，被組合或者串聯(lián)起來。例如圖中所示，一個完整的事件模式，包括首先觸發(fā)的Redis 未授權(quán)訪問攻擊事件，同時該Redis 服務(wù)端被攻擊者上傳了用于SSH 訪問的公鑰。進而觸發(fā)SSH 異常登錄事件，即發(fā)現(xiàn)SSH 登錄訪問關(guān)系基線之外的SSH 訪問關(guān)系。圖6(c)給出了基于圖的模式示例。多個事件的關(guān)聯(lián)，是通過各個事件中的關(guān)鍵字段和信息要素在圖譜中的關(guān)聯(lián)關(guān)系構(gòu)建的。例如，某事件1 的IP 字段關(guān)聯(lián)到其他事件2 的IP，而事件2 的文件、進程信息又關(guān)聯(lián)到某事件3。通過這種圖上的信息延伸，多個事件被組裝成一個統(tǒng)一的圖模式。顯然，在圖模式之上，可以通過對各個事件發(fā)生時間的前后依賴關(guān)系的限制，自然地形成時序圖模式。最后，圖6(d)給出了基于統(tǒng)計事件關(guān)聯(lián)模式。在該模式下，通過抽取多個事件的統(tǒng)計特征，例如載荷文本相似性、上下文告警相似性、告警發(fā)生時頻特征等，進而基于聚類、社團分析等方法，將相似的事件進行關(guān)聯(lián)聚合。通過這種統(tǒng)計機器學(xué)習(xí)的方法，能夠突破傳統(tǒng)事件分析依賴精確信息流或時序依賴的限制，從更寬泛的特征中挖掘未知威脅事件，是威脅狩獵環(huán)節(jié)中不可或缺的一種關(guān)聯(lián)模式。

圖6 威脅狩獵語言模型的主要模式示意圖Fig.6 Schematic diagram of the primary patterns of the threat hunting language model

威脅調(diào)查分析語言，核心在于“表達力”，即能否靈活地支持威脅狩獵過程中的持續(xù)驗證過程。為此，數(shù)據(jù)類型覆蓋越全面，支持的事件模式類型越豐富，語言的表達能力越強，越能夠有效地降低調(diào)查過程中的跨數(shù)據(jù)開銷和復(fù)雜事件關(guān)聯(lián)分析開銷。威脅調(diào)查分析語言不限于表中總結(jié)的幾種實現(xiàn)方案。

如前文所述，當前針對威脅調(diào)查領(lǐng)域語言的設(shè)計，業(yè)界尚處于探索之中，是安全學(xué)術(shù)與工業(yè)研究中的重要課題之一。本文根據(jù)威脅狩獵實踐在靈活性、魯棒性、安全性方面的需求，在此重點總結(jié)三個威脅調(diào)查語言領(lǐng)域的重要的研究趨勢。

● 異構(gòu)多源數(shù)據(jù)的統(tǒng)一靈活表示方法。如前文所示，威脅狩獵語言的設(shè)計需要支撐多種類型模式的靈活檢索。然而，語言模式的靈活性依賴于底層數(shù)據(jù)的統(tǒng)一組織與表示形式。通過知識、情報、數(shù)據(jù)圖譜的本體設(shè)計與圖結(jié)構(gòu)構(gòu)建，進而實現(xiàn)異構(gòu)圖數(shù)據(jù)的表示學(xué)習(xí)，以提供圖中實體、關(guān)系的統(tǒng)一的、壓縮的向量化表示結(jié)果，能夠支撐下游狩獵查詢語言在數(shù)據(jù)中的表達靈活性。

● 支持模糊語義匹配的魯棒查詢方法?，F(xiàn)有的各類語言模型，主要集中于模式的精確匹配。盡管基于統(tǒng)計關(guān)聯(lián)模式的查詢匹配方法在未知威脅的分析方面具有靈活性，但是對特征、時序、圖模式的匹配中，仍需實現(xiàn)對模式“變異”事件的識別，即支持模糊語義的匹配，以保證相關(guān)模式規(guī)則在不同環(huán)境下的自適應(yīng)性與容錯性，并平衡識別的準確率與變異覆蓋率。

● 面向隱私防護的分布式查詢方法。威脅狩獵愈發(fā)依賴各層次細粒度的日志收集，包括網(wǎng)絡(luò)日志、終端行為日志等。然而，隨著數(shù)據(jù)資產(chǎn)安全性的日益凸顯，越來越多的重要數(shù)據(jù)資產(chǎn)被加密、脫敏和就地保護，探索在數(shù)據(jù)加密、數(shù)據(jù)不出境情形下的威脅狩獵查詢語言設(shè)計已被提上日程。

6 總結(jié)

與語言的建模與分析相關(guān)，安全知識庫、知識圖譜、語義分析、可解釋智能、因果挖掘等，這些技術(shù)名詞已經(jīng)逐漸融入安全技術(shù)發(fā)展的視野中。打造XDR 技術(shù)棧，支撐威脅狩獵任務(wù)的開展，已逐漸成為安全運營中的常態(tài)化工作之一。本文以數(shù)據(jù)驅(qū)動的威脅狩獵中的語言模型構(gòu)建為目標，結(jié)合前沿議題與學(xué)術(shù)研究成果，分析總結(jié)了技術(shù)相關(guān)的指標優(yōu)化、數(shù)據(jù)融合與分析方法?；诙嘣磾?shù)據(jù)進行威脅狩獵，仍然是一個開放性的、有挑戰(zhàn)的技術(shù)方向，值得我們深入地跟蹤與研究。