楊沛安,劉寶旭,杜翔宇

(1.中國科學(xué)院大學(xué),北京 100049; 2.中國科學(xué)院高能物理研究所,北京 100049; 3.中國科學(xué)院信息工程研究所,北京 100093)

0 概述

隨著威脅情報(bào)的發(fā)展,安全分析領(lǐng)域開始使用威脅情報(bào)數(shù)據(jù)對(duì)各類網(wǎng)絡(luò)攻擊進(jìn)行畫像分析,包括行業(yè)畫像、用戶畫像、資產(chǎn)畫像、威脅畫像以及黑客畫像等。目前該領(lǐng)域的研究和應(yīng)用還處于起步階段,研究內(nèi)容分散,缺乏系統(tǒng)性。一方面,因?yàn)橛糜诰W(wǎng)絡(luò)安全分析的威脅情報(bào)數(shù)據(jù)在數(shù)據(jù)結(jié)構(gòu)、處理方法上與傳統(tǒng)互聯(lián)網(wǎng)用戶數(shù)據(jù)有所不同,現(xiàn)有數(shù)據(jù)分析方法不能完全適用。另一方面,業(yè)界對(duì)威脅情報(bào)數(shù)據(jù)在攻擊畫像分析中的應(yīng)用場景、分析需求還不明確,沒有統(tǒng)一的威脅情報(bào)數(shù)據(jù)表達(dá)規(guī)范,不能為畫像分析提供數(shù)據(jù)基礎(chǔ)。

關(guān)聯(lián)關(guān)系豐富是威脅情報(bào)最重要的特征,威脅情報(bào)的分析人員基于在網(wǎng)絡(luò)安全分析領(lǐng)域多年積累的分析經(jīng)驗(yàn),通過多角度網(wǎng)絡(luò)安全分析需要的知識(shí)進(jìn)行關(guān)聯(lián)融合實(shí)現(xiàn)了威脅情報(bào)的重要價(jià)值。所以關(guān)聯(lián)分析在威脅情報(bào)分析領(lǐng)域具有十分重要的地位。目前,網(wǎng)絡(luò)安全分析人員主要針對(duì)特定的安全分析需求,使用關(guān)聯(lián)分析對(duì)低級(jí)安全數(shù)據(jù)進(jìn)行融合,產(chǎn)生威脅情報(bào)。但是隨著網(wǎng)絡(luò)安全態(tài)勢的急劇惡化,針對(duì)越來越多的攻擊難以進(jìn)行準(zhǔn)確高效識(shí)別的問題,攻擊分析人員對(duì)質(zhì)量更高、適用性更強(qiáng)的威脅情報(bào)及更準(zhǔn)確、全面、容易使用的攻擊識(shí)別建模方法的需求越來越大。所以研究合適的關(guān)聯(lián)分析方法對(duì)不同類別的威脅情報(bào)進(jìn)行關(guān)聯(lián),為攻擊識(shí)別提供包含更全面準(zhǔn)確攻擊特征的威脅情報(bào)具有重要的研究意義。

本文利用威脅情報(bào)在數(shù)據(jù)準(zhǔn)確性和關(guān)聯(lián)性上的優(yōu)勢,將威脅情報(bào)自動(dòng)化分析得到的威脅要素作為畫像輪廓,以威脅屬性為畫像內(nèi)容進(jìn)行畫像分析,構(gòu)建攻擊識(shí)別模型,并從威脅畫像數(shù)據(jù)表達(dá)規(guī)范、屬性轉(zhuǎn)移關(guān)系挖掘模型、屬性關(guān)聯(lián)分析和要素關(guān)聯(lián)融合方面對(duì)面向攻擊識(shí)別的威脅情報(bào)畫像分析方法進(jìn)行描述。

1 相關(guān)研究

1.1 畫像分析技術(shù)

攻擊畫像分析是基于攻擊畫像模型和攻擊畫像數(shù)據(jù)表達(dá)規(guī)范,利用攻擊要素?cái)?shù)據(jù)進(jìn)行攻擊圖繪制,形成基于攻擊要素的攻擊圖攻擊畫像,提高識(shí)別準(zhǔn)確率。畫像分析技術(shù)早期出現(xiàn)于刑偵行業(yè),用于對(duì)人物進(jìn)行描述和分析,包括文獻(xiàn)[1]利用多文檔摘要技術(shù)實(shí)現(xiàn)人物傳記的提取,文獻(xiàn)[2]利用分類思想,實(shí)現(xiàn)多文檔人物傳記摘要系統(tǒng),文獻(xiàn)[3]提出“元事件”的概念,并將其應(yīng)用到人物信息抽取領(lǐng)域。這一階段的研究重點(diǎn)集中在人物實(shí)體屬性的識(shí)別中,缺少對(duì)實(shí)體關(guān)系挖掘的研究。

隨著信息技術(shù)的發(fā)展,開始出現(xiàn)面向抽象人物和人物群體的畫像分析研究,如面向網(wǎng)絡(luò)罪犯分析的計(jì)算機(jī)取證技術(shù),用于將罪犯各項(xiàng)特征進(jìn)行挖掘和關(guān)聯(lián),形成罪犯畫像。當(dāng)大數(shù)據(jù)技術(shù)逐漸成熟之后,開始出現(xiàn)基于大數(shù)據(jù)的用戶畫像分析,并通過這項(xiàng)技術(shù)對(duì)用戶本身的各類社會(huì)屬性以及用戶上網(wǎng)偏好、購買力等信息進(jìn)行分析,再結(jié)合用戶分析框架將這些信息進(jìn)行有機(jī)融合,實(shí)現(xiàn)對(duì)用戶特征和輪廓的勾畫。文獻(xiàn)[4]面向移動(dòng)互聯(lián)網(wǎng)中的用戶,對(duì)其行為和偏好進(jìn)行研究和分類,并在用戶行為分析方面展開重點(diǎn)討論。文獻(xiàn)[5]提出一種面向客戶的安卓商品推薦軟件,有效降低了客戶進(jìn)入商場后從海量產(chǎn)品中了解產(chǎn)品信息完成商品挑選的時(shí)間成本。文獻(xiàn)[6]給出一種基于特征值的用戶行為分析方法,并結(jié)合SVM模型對(duì)搜索與排序算法進(jìn)行優(yōu)化。文獻(xiàn)[7]提出一種對(duì)互聯(lián)網(wǎng)用戶的需求和使用偏好等進(jìn)行挖掘與分析的算法,并對(duì)包括個(gè)性推薦、定點(diǎn)營銷與廣告投放等內(nèi)容進(jìn)行深入介紹。該階段的研究主要是基于用戶的網(wǎng)絡(luò)行為和屬性,對(duì)其關(guān)系進(jìn)行挖掘,分析用戶行為模式特征,但還局限在單一的“人物行為-模式”分析中,缺少針對(duì)分析對(duì)象的更全面、深層次的綜合分析。

1.2 基于圖的關(guān)聯(lián)分析方法

圖論被廣泛應(yīng)用于計(jì)算機(jī)領(lǐng)域,計(jì)算和分析各類數(shù)據(jù)、狀態(tài)和模式等。早期攻擊圖在網(wǎng)絡(luò)安全分析領(lǐng)域的應(yīng)用主要是利用攻擊圖的網(wǎng)絡(luò)安全性和脆弱性進(jìn)行分析與評(píng)估,后來出現(xiàn)應(yīng)用攻擊圖進(jìn)行漏洞分析和告警關(guān)聯(lián)分析,接著出現(xiàn)基于攻擊圖的異常行為發(fā)現(xiàn)和網(wǎng)絡(luò)攻擊檢測的相關(guān)研究。目前基于攻擊圖的關(guān)聯(lián)分析在網(wǎng)絡(luò)安全分析中的應(yīng)用主要集中在風(fēng)險(xiǎn)評(píng)估與脆弱性分析、漏洞分析與告警關(guān)聯(lián)、異常發(fā)現(xiàn)與攻擊檢測方面。

1.2.1 風(fēng)險(xiǎn)評(píng)估與脆弱性分析

該方面的研究從早期單一基于攻擊圖的脆弱性發(fā)現(xiàn)和風(fēng)險(xiǎn)評(píng)估,向脆弱性與安全評(píng)估相結(jié)合的方法發(fā)展,以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全狀態(tài)和相關(guān)安全威脅更準(zhǔn)確有效的分析與發(fā)現(xiàn)。文獻(xiàn)[8]針對(duì)網(wǎng)絡(luò)弱點(diǎn)關(guān)聯(lián)分析提出滲透圖的概念,并基于滲透圖設(shè)計(jì)一種網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型。文獻(xiàn)[9]提出一種基于攻擊圖的網(wǎng)絡(luò)安全分析方法,該方法解決了由路徑循環(huán)導(dǎo)致的攻擊路徑不可達(dá)及威脅概率計(jì)算錯(cuò)誤問題,提高了攻擊路徑最大可達(dá)概率算法在復(fù)雜網(wǎng)絡(luò)脆弱性分析中的適用性。文獻(xiàn)[10]基于對(duì)大量脆弱性利用行為的研究,設(shè)計(jì)一種警報(bào)關(guān)聯(lián)圖用于網(wǎng)絡(luò)脆弱性分析,并依此從屬性分析角度給出一種網(wǎng)絡(luò)脆弱性分析方法。文獻(xiàn)[11]基于網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中,難以對(duì)全面安全性與局部脆弱性進(jìn)行有效綜合評(píng)估的問題,將層次化分析方法引入風(fēng)險(xiǎn)評(píng)估中。通過分析原子攻擊和攻擊證據(jù)的關(guān)聯(lián)性得到攻擊因果關(guān)系,以此因果關(guān)系構(gòu)建貝葉斯攻擊圖,再通過對(duì)攻擊圖中脆弱點(diǎn)設(shè)計(jì)威脅度劃分標(biāo)準(zhǔn),實(shí)現(xiàn)對(duì)脆弱點(diǎn)嚴(yán)重程度和系統(tǒng)整體安全性的統(tǒng)一分析。文獻(xiàn)[12]針對(duì)漏洞分析中對(duì)脆弱性進(jìn)行有效量化困難的問題,給出一種基于攻擊圖的安全脆弱性量化評(píng)估方法。先通過脆弱性分析構(gòu)建貝葉斯網(wǎng)絡(luò)攻擊圖,然后對(duì)圖中節(jié)點(diǎn)進(jìn)行基于概率值的可利用性分析,最后結(jié)合漏洞評(píng)分系統(tǒng)和貝葉斯網(wǎng)絡(luò)攻擊圖實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)脆弱性的量化評(píng)估。文獻(xiàn)[13]針對(duì)當(dāng)前系統(tǒng)安全管理中無法對(duì)系統(tǒng)整體態(tài)勢進(jìn)行評(píng)估的同時(shí),對(duì)具體脆弱性和隱患進(jìn)行識(shí)別和與發(fā)現(xiàn)這一問題,利用顏色Petri網(wǎng)(Colored Petri Net,CPN)構(gòu)建系統(tǒng)脆弱性攻擊圖進(jìn)行脆弱性分析和發(fā)現(xiàn),取得了較好的效果。

1.2.2 漏洞分析與告警關(guān)聯(lián)

該方面的研究在早期利用圖的相似性分析方法進(jìn)行告警關(guān)聯(lián)融合的基礎(chǔ)上,逐漸向利用對(duì)漏洞、報(bào)警等局部顯性威脅信息的分析結(jié)果,對(duì)網(wǎng)絡(luò)整體安全性進(jìn)行分析評(píng)估和對(duì)隱形威脅要素進(jìn)行識(shí)別的方向發(fā)展。文獻(xiàn)[14]針對(duì)IDS系統(tǒng)無法對(duì)具有復(fù)合模式的攻擊進(jìn)行有效識(shí)別和預(yù)測的問題,給出了一種告警預(yù)測圖?；诰W(wǎng)絡(luò)脆弱性分析結(jié)果構(gòu)建攻擊圖,并利用告警信息對(duì)攻擊圖進(jìn)行優(yōu)化。設(shè)計(jì)告警關(guān)聯(lián)預(yù)測算法,利用該攻擊圖將脆弱性和告警信息進(jìn)行融合,對(duì)可能的攻擊位置進(jìn)行預(yù)測。文獻(xiàn)[15]通過多漏洞組合利用對(duì)攻擊者可能采取的攻擊路徑進(jìn)行分析。通過漏洞檢測器確定本地漏洞信息,然后在對(duì)這些信息進(jìn)行分析的基礎(chǔ)上,基于權(quán)限提升的攻擊/漏洞關(guān)聯(lián)分析方法,對(duì)漏洞利用路徑進(jìn)行挖掘,并通過自動(dòng)化的方法生成漏洞利用攻擊圖。文獻(xiàn)[16]針對(duì)以主機(jī)為中心的漏洞分析方法對(duì)網(wǎng)絡(luò)鏈路本身不確定性分析欠缺考慮的問題,提出一種基于不確定圖的漏洞分析方法,采用不確定度準(zhǔn)確地描述網(wǎng)絡(luò)狀態(tài),并以此得到漏洞的最佳利用鏈路,實(shí)現(xiàn)對(duì)不確定網(wǎng)絡(luò)中漏洞利用方法的有效分析。

1.2.3 異常發(fā)現(xiàn)與攻擊檢測

該方面的研究主要是從攻擊性、脆弱性、漏洞利用率等角度,通過最優(yōu)路徑、最大脆弱性節(jié)點(diǎn)的發(fā)現(xiàn)對(duì)系統(tǒng)安全性進(jìn)行研究,實(shí)現(xiàn)對(duì)系統(tǒng)安全狀態(tài)的分析。文獻(xiàn)[17]通過從告警數(shù)據(jù)中挖掘告警屬性間的規(guī)律,構(gòu)建基于擴(kuò)展有向圖的復(fù)合攻擊模型,從而對(duì)攻擊行為之間的邏輯關(guān)系進(jìn)行表達(dá)?；谠撃Ｐ屯ㄟ^向后匹配和缺項(xiàng)匹配的方式對(duì)新告警與已知告警進(jìn)行關(guān)聯(lián),確定新告警屬于已知攻擊及其處于已知攻擊的何種階段。文獻(xiàn)[18]面向入侵意圖檢測和漏洞發(fā)現(xiàn)困難的問題,通過對(duì)告警進(jìn)行分析設(shè)計(jì)一種三層攻擊圖結(jié)構(gòu),并結(jié)合入侵意圖的概率分析確定攻擊意圖概率圖。然后通過分析圖中可能的關(guān)鍵點(diǎn)實(shí)現(xiàn)對(duì)脆弱性較高主機(jī)的發(fā)現(xiàn),進(jìn)而提高分析人員的分析和檢測效率。文獻(xiàn)[19]定義了一種SAGML語言,基于該語言對(duì)攻擊狀態(tài)、行為和關(guān)系進(jìn)行描述。然后對(duì)攻擊圖的狀態(tài)和行為鏈結(jié)構(gòu)進(jìn)行深入研究,提出基于XML的攻擊圖繪制與分析方法。最后建立適合攻擊圖的檢索和匹配方法,提高攻擊圖的利用率。文獻(xiàn)[20]面對(duì)APT攻擊不易識(shí)別、持續(xù)時(shí)間長等特點(diǎn),將基于圖的評(píng)估方法引入APT檢測過程中。通過對(duì)APT攻擊在行為、過程方面的特征進(jìn)行分析,構(gòu)建網(wǎng)絡(luò)風(fēng)險(xiǎn)屬性攻擊圖。然后對(duì)系統(tǒng)中各節(jié)點(diǎn)的行為和聯(lián)通脆弱性進(jìn)行評(píng)估,再結(jié)合兩方面評(píng)估方法實(shí)現(xiàn)系統(tǒng)脆弱性的有效分析。文獻(xiàn)[21]針對(duì)攻擊過程中的攻擊識(shí)別與發(fā)現(xiàn)問題,建立基于Petri網(wǎng)的攻擊成本圖,然后對(duì)其可承受的最大攻擊力度進(jìn)行分析和預(yù)測,并依此選擇最優(yōu)攻擊路徑。

2 威脅情報(bào)畫像分析

為得到更準(zhǔn)確全面的攻擊識(shí)別模型,本文提出一種基于威脅情報(bào)的網(wǎng)絡(luò)攻擊畫像分析方法。以威脅情報(bào)中的威脅要素作為畫像骨架,以威脅屬性作為畫像要素。根據(jù)從威脅情報(bào)中提取的威脅屬性與威脅情報(bào)庫中的相關(guān)屬性進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)“屬性-屬性”的關(guān)聯(lián),并利用CPN網(wǎng)在因果關(guān)系表達(dá)與分析上的優(yōu)勢,將要素與屬性轉(zhuǎn)換為要素原子圖。而后通過融合要素原子圖,實(shí)現(xiàn)“要素-要素”的關(guān)聯(lián),完成畫像分析,形成更全面準(zhǔn)確的威脅要素和屬性的攻擊識(shí)別模型,即網(wǎng)絡(luò)攻擊威脅情報(bào)畫像。畫像分析流程如圖1所示。

圖1 威脅情報(bào)畫像分析流程

2.1 威脅畫像數(shù)據(jù)表達(dá)規(guī)范

威脅情報(bào)在安全分析中的優(yōu)勢在于其高度結(jié)構(gòu)化的數(shù)據(jù)框架和具有豐富關(guān)聯(lián)關(guān)系的數(shù)據(jù)內(nèi)容。但這些特性也使得現(xiàn)有數(shù)據(jù)表達(dá)規(guī)范和通信傳輸協(xié)議在威脅情報(bào)數(shù)據(jù)表達(dá)的有效性與完整性、傳輸?shù)臏?zhǔn)確性與安全性等方面存在問題,無法有效進(jìn)行威脅情報(bào)的表達(dá)和傳輸。本文旨在設(shè)計(jì)一種滿足攻擊畫像分析的情報(bào)數(shù)據(jù)表達(dá)規(guī)范。

目前攻擊畫像分析通常只以攻擊的某一指定要素為重點(diǎn)對(duì)象展開畫像分析,如僅針對(duì)工具函數(shù)序列、網(wǎng)絡(luò)行為特征等。這直接導(dǎo)致當(dāng)面對(duì)多步的復(fù)雜攻擊時(shí),無法進(jìn)行有效的檢測和識(shí)別。根據(jù)相關(guān)研究可知,利用威脅情報(bào)作為攻擊識(shí)別分析的數(shù)據(jù)進(jìn)行攻擊畫像分析,目的是對(duì)攻擊主體和主體行為進(jìn)行挖掘和關(guān)聯(lián)。通過從多要素、富關(guān)聯(lián)的數(shù)據(jù)中提取攻擊者、攻擊目標(biāo)、攻擊工具等關(guān)鍵特征及相關(guān)屬性,再對(duì)特征和屬性進(jìn)行關(guān)聯(lián)關(guān)系挖掘,形成“特征-屬性-關(guān)系”結(jié)構(gòu)的攻擊識(shí)別知識(shí)。

為滿足以上對(duì)畫像分析數(shù)據(jù)結(jié)構(gòu)和內(nèi)容上的要求,本文參考STIX情報(bào)表達(dá)規(guī)范的12個(gè)要素和Cybox規(guī)范的88個(gè)屬性,對(duì)攻擊畫像數(shù)據(jù)表達(dá)模型進(jìn)行設(shè)計(jì)。模型中包含威脅要素9類,威脅屬性56種,具體如下:

1)攻擊工具Tool,使用實(shí)施攻擊過程的合法工具,如遠(yuǎn)控工具和網(wǎng)絡(luò)掃描工具等。威脅屬性:id表示代碼,description表示描述,kill_chain_phase表示位于殺傷鏈階段,tool_version表示工具版本,behavior表示工具功能。

2)惡意軟件Malware,攻擊過程中植入到目標(biāo)系統(tǒng)的惡意代碼或者惡意軟件。威脅屬性:id表示代碼,description表示描述,kill_chain_phase表示位于殺傷鏈階段,behavior表示軟件效果,release表示釋放內(nèi)容,root表示權(quán)限,reachable表示目標(biāo)可達(dá)性,exploit表示利用脆弱性。

3)攻擊模式Attack_Pattern,用于表達(dá)攻擊者嘗試攻擊的方法,用于攻擊分類、生成攻擊的固定模式及對(duì)攻擊實(shí)施過程的詳細(xì)描述。威脅屬性:id表示代碼,description表示描述,kill_chain_phase表示位于殺傷鏈階段。

4)觀測線索Observation,從系統(tǒng)或者網(wǎng)絡(luò)中可觀測到的數(shù)據(jù),如日志信息或網(wǎng)絡(luò)流量。威脅屬性:first_observed表示首次觀測時(shí)間,last_observed表示最后觀測時(shí)間,number_observed表示觀測數(shù)量。

5)攻擊指標(biāo)Indicator,用于表達(dá)可疑或者惡意的網(wǎng)絡(luò)空間安全行為的指標(biāo)。威脅屬性:id表示代碼,description表示描述,pattern表示模式,pattern_lang表示模式定義語言,pattern_lang_version表示模式定義版本,valid_from表示有效起始時(shí)間,valid_from_Reliability表示有效起始可信度,valid_until表示有效截止時(shí)間,valid_until_percison表示有效截止精度,kill_chain_phase表示位于殺傷鏈階段。

6)攻擊者Threat_Actor,實(shí)施有惡意意圖攻擊的個(gè)體、團(tuán)體和組織。威脅屬性:id表示代碼,description表示描述,aka表示代號(hào),name表示姓名,roles表示角色,goals表示目標(biāo)偏好,sophistication表示復(fù)雜度,resource_level表示資源級(jí)別,primary_motivation表示初始動(dòng)機(jī),secondary_motivations表示第二動(dòng)機(jī),private表示偏好。

7)識(shí)別信息Identity,用于代表并區(qū)分的個(gè)體、組織或者團(tuán)體。威脅屬性:id表示代碼,description表示描述,identity_class表示識(shí)別等級(jí),group表示小組,activitiyRegion表示活動(dòng)區(qū)域,country表示國籍,contact_Info表示聯(lián)系信息。

8)入侵集合Intrusion_Set,由一個(gè)組織精心組織的一系列行為和資源集合。威脅屬性:id表示代碼,description表示描述,aliases表示身份類別,first_noticed表示首次發(fā)現(xiàn)時(shí)間,first_noticed_Reliability表示可信度,goals表示目標(biāo)偏好,resources_level表示資源級(jí)別,primary_motivation表示初始動(dòng)機(jī),region表示地區(qū),country表示國籍。

9)組織戰(zhàn)役Campaign,描述一系列的針對(duì)特殊目標(biāo)集合的惡意行動(dòng)或攻擊的敵對(duì)行為,經(jīng)常被定義成目標(biāo)或入侵集合的一部分。威脅屬性:id表示代碼,description表示描述,aliases表示別名,first_seen表示首次發(fā)現(xiàn)時(shí)間,first_seen_precision表示首次發(fā)現(xiàn)精確度,objective表示目的。

2.2 屬性轉(zhuǎn)移關(guān)系挖掘模型

根據(jù)Killchain模型中對(duì)7個(gè)階段的描述,網(wǎng)絡(luò)攻擊行為由一系列分階段的依據(jù)因果順序發(fā)生的子攻擊行為共同組成。而這一由多個(gè)依序發(fā)生子攻擊組成網(wǎng)絡(luò)攻擊的特點(diǎn)反映其威脅情報(bào)中,多個(gè)威脅要素依據(jù)因果關(guān)系順序出現(xiàn)。所以本文可以參考該思路設(shè)計(jì)威脅情報(bào)中威脅屬性關(guān)系挖掘模型。假設(shè)該模型是一個(gè)屬性轉(zhuǎn)移圖,該圖為有向圖,圖中的頂點(diǎn)是威脅屬性,邊則表示屬性的轉(zhuǎn)移關(guān)系(主要是因果關(guān)系)。圖中各點(diǎn)間的路徑表示各屬性間的因果關(guān)系,包括直接相關(guān)和間接相關(guān),直接相關(guān)的屬性間存在唯一路徑,間接相關(guān)屬性間存在多條路徑。

定義1威脅屬性集合A,其中p、q表示具有關(guān)聯(lián)關(guān)系的兩個(gè)威脅屬性。

定義2屬性轉(zhuǎn)移關(guān)系集合T,表示威脅情報(bào)中所有屬性轉(zhuǎn)移關(guān)聯(lián)的集合。

定義3屬性轉(zhuǎn)移關(guān)系t,表示兩點(diǎn)間路徑,即兩屬性間的轉(zhuǎn)移關(guān)系,由一個(gè)五元組表示,其中,f表示該轉(zhuǎn)移關(guān)系起點(diǎn)屬性,t表示該轉(zhuǎn)移關(guān)系終點(diǎn)屬性,c表示該轉(zhuǎn)移關(guān)系的置信度,p表示關(guān)聯(lián)轉(zhuǎn)移關(guān)系屬性,若該轉(zhuǎn)移是直接轉(zhuǎn)移,則用0表示,否則用1表示,E表示該屬性所屬的威脅要素,即該屬性包含在哪個(gè)要素中。

2.3 威脅屬性關(guān)聯(lián)

從威脅情報(bào)中得到的威脅屬性可能只是所屬威脅要素包含的眾多威脅屬性之一,需要通過以該屬性為關(guān)聯(lián)特征,與威脅情報(bào)庫中的威脅要素進(jìn)行關(guān)聯(lián)。本文中借助CPN在因果關(guān)系表達(dá)與處理上的優(yōu)勢,結(jié)合威脅屬性狀態(tài)轉(zhuǎn)移序列對(duì)威脅屬性進(jìn)行關(guān)聯(lián),并實(shí)現(xiàn)表達(dá)轉(zhuǎn)換,構(gòu)建要素原子圖。威脅屬性關(guān)聯(lián)過程如圖2所示。

圖2 威脅屬性關(guān)聯(lián)過程

在CPN中每一個(gè)原子攻擊包括3類要素:原子攻擊發(fā)生的條件,原子攻擊本身和原子攻擊產(chǎn)生的影響。攻擊條件和攻擊本身是從屬關(guān)系,攻擊本身和攻擊影響是因果關(guān)系,以此來實(shí)現(xiàn)攻擊條件向攻擊影響的因果關(guān)系轉(zhuǎn)移,如圖3所示。

在威脅情報(bào)中,威脅要素與威脅屬性屬于從屬關(guān)系,而威脅要素與另一要素的屬性為因果關(guān)系。例如攻擊者和攻擊工具分別是威脅要素,名字和代碼分別是它們的屬性之一,兩者為從屬關(guān)系。而攻擊者因?yàn)橐l(fā)動(dòng)攻擊,所以使用攻擊工具,此為因果關(guān)系,得到的攻擊者屬性和攻擊工具的關(guān)系如圖4所示。

圖4 威脅情報(bào)要素與屬性的關(guān)系

Fig.4 Relationship between elements and attributes of threat intelligence

在圖4中,橢圓形節(jié)點(diǎn)用于表示威脅要素從屬屬性和因果屬性,等同于CPN結(jié)構(gòu)中的庫所;矩形節(jié)點(diǎn)用于表示威脅要素,等同于CPN結(jié)構(gòu)中的變遷,左邊的橢圓節(jié)點(diǎn)為要素原子圖的輸入庫所E0,右邊的橢圓節(jié)點(diǎn)要素原子圖的輸出庫所Ed。E0-t由威脅情報(bào)庫中各類要素情報(bào)提供,t-Ed由屬性轉(zhuǎn)移序列得到。

下文基于CPN給出要素原子圖的形式化定義。要素原子圖(Element Atom Grapic,EAG)是一個(gè)CPN結(jié)構(gòu),記為EEAG=〈EAo,t,EAd〉,其中,EEAG為要素原子圖的輸入屬性集合,t為變遷,表示一個(gè)威脅要素,EAo為威脅要素原子圖的輸出屬性集合,EAd表示與該威脅要素存在因果關(guān)系的另一個(gè)威脅要素的要素屬性(稱為目標(biāo)屬性)。需要說明的是,在通常應(yīng)用CPN進(jìn)行網(wǎng)絡(luò)攻擊關(guān)聯(lián)分析時(shí),確定攻擊的輸入庫最困難,即“攻擊發(fā)生的條件”,而在威脅情報(bào)數(shù)據(jù)中,由于威脅情報(bào)本來就經(jīng)過分析加工后得到,因此直接給出了明確的攻擊條件,可以大幅提高分析效率,這是威脅情報(bào)的優(yōu)勢所在。

2.4 基于圖關(guān)聯(lián)的威脅要素融合

通過“屬性-屬性”的關(guān)聯(lián),實(shí)現(xiàn)了對(duì)威脅屬性的擴(kuò)展和表達(dá),但是攻擊識(shí)別模型還需包含各個(gè)要素與屬性間的關(guān)聯(lián)關(guān)系,這就需要通過要素原子圖的關(guān)聯(lián)融合實(shí)現(xiàn)。下文對(duì)要素融合圖進(jìn)行定義。

威脅要素融合圖(Element Atom Grapic,EFG),記為EEFG=〈PEo∪PEd,TEo∪TEd,E〉,其中,PEo代表原始庫所集合,包含所有要素原子圖中的輸入庫所,即從屬屬性的集合,PEd代表目標(biāo)庫所集合,包含所有要素原子圖中輸出庫所,即目標(biāo)屬性的集合,TEo代表唯一變遷集合,表示所有不包含因果關(guān)系的威脅要素的集合,這些威脅要素的屬性都包含在PEd中,TEd代表關(guān)聯(lián)變遷集合,代表所有處于因果關(guān)系中的威脅要素的集合,這些威脅要素至少有一個(gè)屬性包含在PEd中。因此TEd中各威脅要素的出現(xiàn)需要依賴于TEo中各從屬關(guān)系的威脅要素,E為EFG中所有要素、屬性之間有向邊的集合。

該要素融合圖具有以下約束條件:

1)要素融合圖中的有向連接只能用于威脅要素與屬性相連,即E?((PEo∪PEd)×(TEo∪TEd))∪((TEo∪TEd)×(PEo∪PEd))。

2)初始要素集合TEd中變遷to,ppre(to)表示該要素包含的所有屬性的集合,ppost(to)表示與要素有因果關(guān)系的所有屬性的集合,即(ppre(t)?PEo)∧(ppost(t)?PEd)。

3)最終要素集合TEd中變遷to,ppre(td)表示該要素包含的所有屬性的集合,ppost(td)表示與要素有因果關(guān)系的所有屬性的集合,即(?p∈ppre(t):p∈PEd)∧(ppost(t)?PEd)。

在得到要素融合圖的定義后,通過要素融合算法對(duì)要素原子圖進(jìn)行融合,融合過程如下:

1)將EFG初始設(shè)置為空,調(diào)用Build過程創(chuàng)建一個(gè)表示存在AT類要素中name類屬性的庫所。

2)以新創(chuàng)建的庫所創(chuàng)建初始EFG。

3)循環(huán)添加EAG到EFG中,迭代EFG:

(1)對(duì)要素轉(zhuǎn)移序列ElementTransfer中的每個(gè)EAG進(jìn)行分解,確定其包含的屬性tl。

(2)根據(jù)要素的鍵值對(duì)(rk,rn),在威脅情報(bào)庫TIDB中定位到該要素的位置,然后返回該要素所包含的所有屬性內(nèi)容TIret。

(3)根據(jù)tl和TIret作為輸入,構(gòu)造相應(yīng)的EAG。

(4)將新構(gòu)造的EAG追加到EFG中。

(5)當(dāng)追加完成ElementTransfer中所有要素后,結(jié)束循環(huán)。

4)返回最終狀態(tài)的EFG。

3 實(shí)例分析

下文結(jié)合實(shí)際案例對(duì)基于屬性的威脅要素融合方法進(jìn)行介紹。從一份“海蓮花”APT分析報(bào)告中得到了包括“OceanLotus”“KVDropper”“SKI”“HUAWEI”“魚叉攻擊”“CVE-2010-20318”“網(wǎng)絡(luò)通訊中斷”“殺毒軟件”“通過水坑攻擊……后進(jìn)行魚叉攻擊……”等在內(nèi)的8類威脅要素和10個(gè)威脅屬性。這些威脅屬性構(gòu)成了原始威脅情報(bào),如圖5所示。原始威脅情報(bào)知識(shí)對(duì)各攻擊特征(威脅屬性)進(jìn)行簡單羅列,不包含任何關(guān)系(從屬或因果)。

圖5 原始威脅情報(bào)

通過對(duì)威脅屬性的轉(zhuǎn)移關(guān)系進(jìn)行挖掘,得到威脅屬性到威脅要素的轉(zhuǎn)移關(guān)系序列,如“攻擊源(OceanLotus)-->攻擊工具(KVDropper)”“攻擊工具(SKI)-->惡意代碼(CVE-2010-20318)”。屬性狀態(tài)轉(zhuǎn)移序列如圖6所示。本文通過威脅屬性關(guān)聯(lián)方法,得到包含威脅要素與威脅屬性及其關(guān)聯(lián)關(guān)系的要素原子圖如圖7所示。

圖6 威脅要素關(guān)聯(lián)關(guān)系挖掘后的威脅情報(bào)

圖7 要素原子圖

以識(shí)別出的威脅要素與屬性為畫像輪廓,通過“屬性-屬性”關(guān)聯(lián)和“要素-要素”融合,形成針對(duì)本次攻擊的威脅情報(bào)畫像如圖8所示?？梢园l(fā)現(xiàn),通過使用該畫像分析方法對(duì)原始情報(bào)進(jìn)行分析和處理,不僅實(shí)現(xiàn)了對(duì)原始情報(bào)中屬性和要素的準(zhǔn)確和全面表達(dá),而且對(duì)屬性隱藏關(guān)系進(jìn)行挖掘,實(shí)現(xiàn)了對(duì)原始情報(bào)的豐富和補(bǔ)充,形成了完整、準(zhǔn)確的攻擊識(shí)別模型。相比原始情報(bào),威脅情報(bào)畫像分析方法得到的攻擊畫像對(duì)攻擊的描述更加完整準(zhǔn)確。以威脅情報(bào)畫像作為相關(guān)攻擊事件識(shí)別和跟蹤的分析模型,可以有效提高分析準(zhǔn)確率和效率。在后續(xù)針對(duì)APT攻擊的追蹤分析中,該畫像將幫助分析人員定位多個(gè)同源攻擊事件。

圖8 要素融合關(guān)聯(lián)后的威脅情報(bào)畫像

4 結(jié)束語

為得到更準(zhǔn)確全面的攻擊識(shí)別模型,本文提出威脅情報(bào)畫像分析方法。以威脅情報(bào)中提取的威脅屬性轉(zhuǎn)移序列為畫像骨架,將威脅情報(bào)庫中存儲(chǔ)的相關(guān)要素及屬性關(guān)聯(lián),實(shí)現(xiàn)基于屬性的威脅情報(bào)融合,形成更豐富和完善的攻擊特征,從而完成威脅情報(bào)畫像的繪制。通過實(shí)際分析案例驗(yàn)證了本文畫像分析方法的正確性和有效性。由于基于專家知識(shí)與分析經(jīng)驗(yàn)得到的威脅要素與屬性因果關(guān)系,可能會(huì)對(duì)畫像分析結(jié)構(gòu)產(chǎn)生影響,因此后續(xù)將在關(guān)聯(lián)屬性挖掘階段引入置信度機(jī)制,并優(yōu)化威脅屬性關(guān)系轉(zhuǎn)移序列的挖掘方法,進(jìn)一步提高網(wǎng)絡(luò)攻擊識(shí)別準(zhǔn)確度。