九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

知识点，怎样应用“清静知识图谱”识别内部威胁？

2020-03-19

一、配景

内部威胁（Insider Threat）是指内部人使用获得的信托做出对授信组织正当利益不得的行为，这些利益包括企业的经济利益、营业运行、对外服务以及授信主体声誉等。内部威胁不但仅是组织正当成员的有意或无意导致的组织利益损失，还包括一些外部伪装成内部成员的攻击。现在内网威胁检测分为网络侧与终端侧，网络侧检查主要全流量，IPS/IDS, 终端侧主要是EDR、蜜罐等，尚有现在盛行的UEBA，天天会爆发大宗的告警信息，而关于清静职员来说人工处置惩罚这种级别的告警是不现实的，通常一些真实的攻击事务会被淹没在告警中。在一样平常运维中威胁评估就显得尤为主要。

1、清静知识图谱

清静知识图谱（Cyber Security Knowledge Graph）是知识图谱在网络清静领域的现实应用，包括基于本体论构建的清静知识本体架构，以及通过威胁建模等方法对多源异构的网络清静领域信息（ Heterogeneous Cyber Security Information）举行加工、处置惩罚、整合，转化成为的结构化的智慧清静领域知识库。关于内网数据来说，告警数据与流量数据缺少相关的语义，而清静知识图谱融入了已经的清静知识，能大大提高威胁识别与评估的准备性。

2、图嵌入

图嵌入（Graph Embedding，也叫Network Embedding）是一种将图数据（通常为高维浓密的矩阵）映射为卑微浓密向量的历程，能够很好地解决图数据难以高效输入机械学习算法的问题。知识图谱属于异构图数据，即节点与边不止一种类型。使用图嵌入手艺可以高效的实现知识图谱剖析。

古板的威胁评估要领，一样平常是攻击目的构建响应的攻击图来量化，一方面针对大规模数据构建攻击图的重大性较量高，同时攻击图思量维度较量局限。为此针对已构建的清静知识图谱提出一种基于图嵌入的威胁评估要领。首先以清静知识图谱为输入，使用图神经网络（编码器），对图的极点天生嵌入向量，其中融入了却构威胁评估及属性评估。然后使用图神经网络学习每一个节点对某一个节点的威胁度，并聚合获得该节点的威胁度，再通过结构威胁评估（中心度）举行调解，云云迭代最终获得图谱中每个节点的威胁度排序。

二、相关手艺先容

1、智慧清静知识图谱

智慧清静知识图谱[9]（Intelligent Cyber Security Knowledge Graph）是知识图谱在网络清静领域的现实应用，包括基于本体论构建的清静知识本体架构，以及通过威胁建模等方法对多源异构的网络清静领域信息（Heterogeneous Cyber Security Information）举行加工、处置惩罚、整合，转化成为的结构化的智慧清静领域知识库。

针对信息清静领域知识图谱构建的两个要害要素，构建了威胁元语言模子对威胁知识的结构化形貌，包括看法、实体、属性的界说以及知识关系的界说。研究中依据STIX2.0以及领域专家知识，构建三层清静知识图谱，如下图所示。知识图谱辅助清静事务剖析、清静合规标准、APT追踪溯源等现实营业场景所需的数据体现和语义关系。

九游老哥·(中国)俱乐部官方网站

图2.1 清静知识图谱

其中信息层为知识图谱从外界抽取的知识实体，知识层和智慧层为信息清静领域要害看法及这些看法之间的逻辑语义关系。

在威胁元语言模子中，威胁实体构建和实体关系是两个最为要害两个办法。

2、图嵌入

知识图谱最大的特点是具有语义信息，然而构建好的内网清静知识图谱怎样应用到内网威胁识别中。这就需要一些图剖析要领，古板的图剖析要领主要是：路径剖析（可达性，最短路径，k-out），社区发明等。使用图模子做内网威胁识别，一个很直接的要领是使用社区发明[4,5,6]要领对威胁主体举行社区划分，把威胁度高的攻击主体划到一起，从而实现威胁识别。理论上这种要领是可行的，由于构建的实体与实体之间的关联和行为在社区内关系细密，而在社区间关系希罕。

而现有社区发明要领一方面只思量极点的邻人关联，忽略了潜在的近邻关系，同时，社区发明的重漂后较高，不适合大规模图剖析。

为了对这种高维图模子举行降维，图嵌入手艺应运而生，图嵌入的实质是在只管包管图模子的结构特征的情形下把高维图数据映射到低维向量空间。生长到现在图嵌入手艺已经不但仅是一种降维要领，与深度学习相团结后图嵌入手艺可以具有更重大的图盘算与图挖掘功效。

九游老哥·(中国)俱乐部官方网站

图2.2 图嵌入流程

首先图2.2（a）中是用户行为，从知识图谱的角度可以笼统成图2.2（b）中的图模子。在目今推荐系统和清静领域都较量常见，而关于笼统的图模子怎样使用图嵌入手艺处置惩罚呢？首先，DeepWalk[1,2,3]将随机游走获得的节点序列当做句子，从截断的随机游走序列中获得网络的部分信息，再经由部分信息来学习节点的潜在体现。该要领借助语言建模word2vec中的一个模子，Skip-gram来学习节点的向量体现。将网络中的节点模拟为语言模子中的单词，而节点的序列（可由随机游走获得）模拟为语言中的句子，作为Skip-gram的输入�？梢钥闯鲈谔逑滞寄Ｗ又型记度胧忠沼凶匀坏挠攀�，由于它自己把多维图模子映射到统一直量空间，极点之间的关联关系可以通过极点向量的相似度盘算，任一极点与其他极点的潜在关系都可以很快的盘算出来。

目今已有一些针对社区发明的图嵌入手艺[6,7]。社区嵌入可以形貌其成员节点在低维空间中的漫衍情形，以是这次不可简朴的把社区看成一个向量，而是低维空间中的漫衍（高斯混淆漫衍）。

一方面，节点嵌入可以资助刷新社区检测，从而输出优异的社区以顺应更好的社区嵌入，另一方面，社区嵌入可以通过引入A Community-aware 高阶近似性来优化节点嵌入。在这指导下，提出了一个新的社区嵌入框架，如图2.3所示。

九游老哥·(中国)俱乐部官方网站

图2.3 大流量攻击的次数转变

三、基于清静知识图谱的内网威胁识别

基于知识图谱的内网威胁主要包括三部分：图模子构建、图嵌入和威胁评估。针对内网威胁已经有一些检测组件，可是通常这些检测装备之间缺少关联性，需要清静职员组合差别组件的告警使用履历剖析，而图模子自己具有很强的关联性，可以有用关联多源数据，并且易于下钻。

1、图模子构建

图模子的构建主要是确实图中的实体与关系，实体的选择通常较量容易确定，通常以IP、端口、网段、告警、文件、日志等实体为主，而关系通常分为显示关系与隐式关系，显示关系是直接可以获得的关系，而隐式关系是通过数据挖掘要领获得的一些数据中暗含的关联关系。

（1）实体构建

实体的构建凭证场景的差别会有差别选择，可以参照STIX2.0中的十二个工具域的划分，以及当宿天下规模内对清静元素形貌的使用较为普遍的标准来确定实体，本文只先容几个焦点实体类型：

攻击模式：攻击提倡者使用的战略、手艺和程序，参考：通用攻击模式枚举和分类（CAPEC）、MITRE公司的PRE-ATT&CK、ATT&CK、Kill Chain

目的客体：攻击目的资产，参考：通用平台枚举（CPE）

威胁主体：攻击提倡者，可以是小我私家、整体和组织，参考：威胁署理危害评估（TARA）中的威胁署理库

战争：针对详细目的的一系列恶意行为或攻击

威胁指示器：在检测或取证中，具有高置信度的威胁工具或特征信息。

内网情形中的威胁主体是指攻击的提倡者，通常指两类，一类是组织内部职员由于小我私家缘故原由有意或无意的造成的违规行为；一类是外部用户伪装成内部用户举行一些攻击行为。目的客体通常是攻击的目的，通常是网段、端口、终端及文件等。攻击模式包括已有的一些通用攻击战略相关知识，若是攻击链，att&ck等，现在一些威胁检测组件爆发的告警信息已经包括了部分相关知识。

（2）关系构建

关系的构建包括直接关系与间接关系构建。直接关系较量容易获得，内网情形中通常能通过日志、沙箱、原始流量和外部数据直接获得的关系对，例如，文件会见域名，域名剖析IP，文件会见IP等。

间接关系是通过间接关联获得的关系，好比使用统一种攻击工具的攻击者有一定的相似性，文件与文件通过相似度盘算获得的相似性等等都属于间接关系。这样通过直接关系与间接关系的构建就组成了内网清静知识图谱。

2、动态威胁评估

在内网情形中，差别的检测组件天天会爆发大宗的威胁告警，关于清静职员来说人工处置惩罚这么大宗的告警是不现实的，可是真实的告警往往又会被这些大宗的误报所淹没，有用的威胁评估可能给清静职员提供处置惩罚威胁的优先顺序，从大宗的告警中选择最有可能的告警。现在威胁评估的指标较多，并且实体的威胁水平是随着时间动态转变的，好比某个攻击源发明了一个高危误差后，它自己的威胁程序就变大。准确的威胁评估是内网一样平常运维所急需的。

（1）初始威胁度

周期性

周期性指标主要用来对告警数据的爆发缘故原由举行判断，一样平常被蠕虫或者木马熏染的主时机周期性地发送攻击报文，其每隔一段时间发送的攻击报文数目和内容也都相似，这样的攻击报文虽然对网络清静也组成一定的威胁，但由于其发送报文数目一定、内容相似以及具有周期性发送的特点，相关于具有突发性、攻击手段多样性的人为的自动攻击，更容易提防，其造成的威胁也相对较低。为此，我们需要判断告警信息是否具有周期性，并从中减小具有周期性木马等恶意代码爆发的告警威胁，提高对突发事务威胁性的盘算。

思量周期性盘算的庞洪水平，若是要举行较为准确的周期性盘算，破费时间较长，而周期性只是多项指标中的一项；而若是盘算太为简朴，又不可够体现出指标的作用。综合思量其盘算量和指标的准确度，现将攻击周期性的盘算要领界说如下。

对攻击源的差别类型的攻击次数以小时为单位举行分时间的统计，对每一项统计值举行方差值的盘算，若是方差值大于设定阈值，则以为该类攻击手段的攻击不具有周期性，小于设定阈值，则以为该类攻击手段实验的攻击具有周期性。

误差

主要接纳CVSS[8]评价系统（Common Vulnerability Scoring System）中的Temporal Metrics作为评分参考，该评分能够形貌攻击者使用该误差后造成的影响水平和难易水平，误差的Temporal 评分越大，说明使用该误差爆发的威胁就越大；Temporal评分越小，说明使用该误差爆发的威胁就越小。知识图谱实体的威胁值的盘算要领如下公式所示，其中a为图中的节点，TVL(a)代表节点的威胁值，Temporal Score(ra)代表a对应的误差的Temporal评分。行动节点的威胁值界说如下：

九游老哥·(中国)俱乐部官方网站

目的客体主要性

目的客体由于其主要性差别，被攻击后造成的危害水平也差别。例如，一些不主要的FTP服务器、WEB服务器或者蜜罐节点可能被付与1的主要性，而一些主要的数据存储服务器和总控服务器被付与9的主要性；和CVSS的Temporal评分一样，主机的主要性可以设置为0-10区间的分数。目的客体的威胁值界说如下：

九游老哥·(中国)俱乐部官方网站

出于简化剖析思量，暂定每个目的客体的威胁值都为相关主机的主机主要性的平均值，并未思量主机上的细分营业和主机差别权限对威胁值爆发的影响。主机的主要性越高，攻击者所爆发的威胁就越大。

（2）威胁评估

关于已有的这些威胁评估，是从差别维度来解决威胁评估问题，那么差别角度的评估如怎样融合优化成为威胁评估的问题。为此，基于已构构建的知识图谱举行剖析，使用图嵌入把差别维度的威胁评估映射到统一空间中，在思量更多特征及威胁的影响情形下，在统一空间对差别实体举行威胁评估，无论是效率和精度上都比古板要领有很大提升。

九游老哥·(中国)俱乐部官方网站

图3.1 基于知识图谱的威胁评估框架

基于图嵌入手艺，已经可以由知识图谱这种离散模子转换成特征向量这种一连体现。然后基于图的结构特征和相关属性特征举行威胁评估，结构特征好比图的中心性，由于在图模子中，中心节点通常体现图的中心特征，中心节点对其他所有节点的影响最大，尤其是在威胁撒播历程中的影响也最大。

九游老哥·(中国)俱乐部官方网站

图3.2 使用图神经网络盘算主体威胁值

古板的威胁评估要领，一样平常是攻击目的构建响应的攻击图来量化，一方面针对大规模数据构建攻击图的重大性较量高，同时攻击图思量维度较量局限。为此针对已构建的清静知识图谱提出一种基于图嵌入的威胁评估要领。首先以清静知识图谱为输入，使用图神经网络（编码器），对图的极点天生嵌入向量，其中融入了却构威胁评估及属性评估，然后使用图神经网络训练每个节点对某一节点的威胁度权值，经由一直的迭代最终天生返回知识图谱中节点的威胁度排名。

下面先容评估模子的焦点，知识图谱中包括多种实体，实体中的直接与间接关系体现着威胁转达，好比攻击者拥有攻击工具，那么该实体的威胁度就会增添，攻击者距离目的资产的距离近，那么该攻击者的威胁度就会增添等等，中心度是指图中，处置惩罚中心度上的攻击者的威胁度越大。在图神经网络中融合一跳或多跳近似训练知识图谱中差别的实体聚合的权值，然后天生新的威胁值，再使用中心度举行调解，进入下一层学习，直到知足终止条件。

四、总结

现在，知识图谱在推荐，检索领域已经获得了普遍应用，但在清静领域知识图谱的应用还处置惩罚探索阶段。可是图模子已经在清静领域多个场景获得应用并取得了不错的效果，清静知识图谱在原有的图模子中融入了更多的知识，为检测、剖析与响应提供了更多的语义信息。未来知识图谱在清静领域将会有更多的应用。

参考文献：

[1].Perozzi B , Al-Rfou R , Skiena S . DeepWalk: Online Learning of Social Representations[J]. 2014.

[2].Jian T, Meng Q, Wang M, et al. LINE: Large-scale Information Network Embedding[C]// International Conference on World Wide Web. 2015.

[3]. Grover A , Leskovec J . node2vec: Scalable Feature Learning for Networks[J]. 2016.

[4].Newman M E J , Girvan M . Finding and Evaluating Community Structure in Networks[J]. Physical Review E, 2004, 69(2 Pt 2):026113.

[5].https://blog.csdn.net/ztf312/article/details/80680263.

[6]. Wang X , Cui P , Wang J , et al. Community Preserving Network Embedding[C]// The 31st AAAI Conference on Artificial Intelligence. 2017.

[7].Cavallari S , Zheng V W , Cai H , et al. Learning Community Embedding with Community Detection and Node Embedding on Graphs[C]// the 2017 ACM. ACM, 2017.

[8].Pengsu C, Lingyu W, Jajodia S, et al．Aggregating CVSS Base Scores for Semantics-rich Network Security Metrics [A]．// 2012 IEEE 31st Symposium on Reliable Distributed Systems (SRDS) [C], Irvine, CA: IEEE Press, 2012: 31-40．

[9].基于知识图谱的APT组织追踪治理,https://mp.weixin.qq.com/s/CluHeu1oy7DneBuR0cXZSQ

<<上一篇

类比剖析|新冠疫情危急处置惩罚VS信息清静事务响应

>>下一篇

API 接口清静堪忧九游老哥科技教你怎样举行针对性防护

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号