楊沛安,劉寶旭,杜翔宇

(1.中國科學(xué)院大學(xué),北京 100049; 2.中國科學(xué)院高能物理研究所,北京 100049; 3.中國科學(xué)院信息工程研究所,北京 100093)

0 概述

隨著威脅情報的發(fā)展,安全分析領(lǐng)域開始使用威脅情報數(shù)據(jù)對各類網(wǎng)絡(luò)攻擊進(jìn)行畫像分析,包括行業(yè)畫像、用戶畫像、資產(chǎn)畫像、威脅畫像以及黑客畫像等。目前該領(lǐng)域的研究和應(yīng)用還處于起步階段,研究內(nèi)容分散,缺乏系統(tǒng)性。一方面,因?yàn)橛糜诰W(wǎng)絡(luò)安全分析的威脅情報數(shù)據(jù)在數(shù)據(jù)結(jié)構(gòu)、處理方法上與傳統(tǒng)互聯(lián)網(wǎng)用戶數(shù)據(jù)有所不同,現(xiàn)有數(shù)據(jù)分析方法不能完全適用。另一方面,業(yè)界對威脅情報數(shù)據(jù)在攻擊畫像分析中的應(yīng)用場景、分析需求還不明確,沒有統(tǒng)一的威脅情報數(shù)據(jù)表達(dá)規(guī)范,不能為畫像分析提供數(shù)據(jù)基礎(chǔ)。

關(guān)聯(lián)關(guān)系豐富是威脅情報最重要的特征,威脅情報的分析人員基于在網(wǎng)絡(luò)安全分析領(lǐng)域多年積累的分析經(jīng)驗(yàn),通過多角度網(wǎng)絡(luò)安全分析需要的知識進(jìn)行關(guān)聯(lián)融合實(shí)現(xiàn)了威脅情報的重要價值。所以關(guān)聯(lián)分析在威脅情報分析領(lǐng)域具有十分重要的地位。目前,網(wǎng)絡(luò)安全分析人員主要針對特定的安全分析需求,使用關(guān)聯(lián)分析對低級安全數(shù)據(jù)進(jìn)行融合,產(chǎn)生威脅情報。但是隨著網(wǎng)絡(luò)安全態(tài)勢的急劇惡化,針對越來越多的攻擊難以進(jìn)行準(zhǔn)確高效識別的問題,攻擊分析人員對質(zhì)量更高、適用性更強(qiáng)的威脅情報及更準(zhǔn)確、全面、容易使用的攻擊識別建模方法的需求越來越大。所以研究合適的關(guān)聯(lián)分析方法對不同類別的威脅情報進(jìn)行關(guān)聯(lián),為攻擊識別提供包含更全面準(zhǔn)確攻擊特征的威脅情報具有重要的研究意義。

本文利用威脅情報在數(shù)據(jù)準(zhǔn)確性和關(guān)聯(lián)性上的優(yōu)勢,將威脅情報自動化分析得到的威脅要素作為畫像輪廓,以威脅屬性為畫像內(nèi)容進(jìn)行畫像分析,構(gòu)建攻擊識別模型,并從威脅畫像數(shù)據(jù)表達(dá)規(guī)范、屬性轉(zhuǎn)移關(guān)系挖掘模型、屬性關(guān)聯(lián)分析和要素關(guān)聯(lián)融合方面對面向攻擊識別的威脅情報畫像分析方法進(jìn)行描述。

1 相關(guān)研究

1.1 畫像分析技術(shù)

攻擊畫像分析是基于攻擊畫像模型和攻擊畫像數(shù)據(jù)表達(dá)規(guī)范,利用攻擊要素數(shù)據(jù)進(jìn)行攻擊圖繪制,形成基于攻擊要素的攻擊圖攻擊畫像,提高識別準(zhǔn)確率。畫像分析技術(shù)早期出現(xiàn)于刑偵行業(yè),用于對人物進(jìn)行描述和分析,包括文獻(xiàn)[1]利用多文檔摘要技術(shù)實(shí)現(xiàn)人物傳記的提取,文獻(xiàn)[2]利用分類思想,實(shí)現(xiàn)多文檔人物傳記摘要系統(tǒng),文獻(xiàn)[3]提出“元事件”的概念,并將其應(yīng)用到人物信息抽取領(lǐng)域。這一階段的研究重點(diǎn)集中在人物實(shí)體屬性的識別中,缺少對實(shí)體關(guān)系挖掘的研究。

隨著信息技術(shù)的發(fā)展,開始出現(xiàn)面向抽象人物和人物群體的畫像分析研究,如面向網(wǎng)絡(luò)罪犯分析的計算機(jī)取證技術(shù),用于將罪犯各項(xiàng)特征進(jìn)行挖掘和關(guān)聯(lián),形成罪犯畫像。當(dāng)大數(shù)據(jù)技術(shù)逐漸成熟之后,開始出現(xiàn)基于大數(shù)據(jù)的用戶畫像分析,并通過這項(xiàng)技術(shù)對用戶本身的各類社會屬性以及用戶上網(wǎng)偏好、購買力等信息進(jìn)行分析,再結(jié)合用戶分析框架將這些信息進(jìn)行有機(jī)融合,實(shí)現(xiàn)對用戶特征和輪廓的勾畫。文獻(xiàn)[4]面向移動互聯(lián)網(wǎng)中的用戶,對其行為和偏好進(jìn)行研究和分類,并在用戶行為分析方面展開重點(diǎn)討論。文獻(xiàn)[5]提出一種面向客戶的安卓商品推薦軟件,有效降低了客戶進(jìn)入商場后從海量產(chǎn)品中了解產(chǎn)品信息完成商品挑選的時間成本。文獻(xiàn)[6]給出一種基于特征值的用戶行為分析方法,并結(jié)合SVM模型對搜索與排序算法進(jìn)行優(yōu)化。文獻(xiàn)[7]提出一種對互聯(lián)網(wǎng)用戶的需求和使用偏好等進(jìn)行挖掘與分析的算法,并對包括個性推薦、定點(diǎn)營銷與廣告投放等內(nèi)容進(jìn)行深入介紹。該階段的研究主要是基于用戶的網(wǎng)絡(luò)行為和屬性,對其關(guān)系進(jìn)行挖掘,分析用戶行為模式特征,但還局限在單一的“人物行為-模式”分析中,缺少針對分析對象的更全面、深層次的綜合分析。

1.2 基于圖的關(guān)聯(lián)分析方法

圖論被廣泛應(yīng)用于計算機(jī)領(lǐng)域,計算和分析各類數(shù)據(jù)、狀態(tài)和模式等。早期攻擊圖在網(wǎng)絡(luò)安全分析領(lǐng)域的應(yīng)用主要是利用攻擊圖的網(wǎng)絡(luò)安全性和脆弱性進(jìn)行分析與評估,后來出現(xiàn)應(yīng)用攻擊圖進(jìn)行漏洞分析和告警關(guān)聯(lián)分析,接著出現(xiàn)基于攻擊圖的異常行為發(fā)現(xiàn)和網(wǎng)絡(luò)攻擊檢測的相關(guān)研究。目前基于攻擊圖的關(guān)聯(lián)分析在網(wǎng)絡(luò)安全分析中的應(yīng)用主要集中在風(fēng)險評估與脆弱性分析、漏洞分析與告警關(guān)聯(lián)、異常發(fā)現(xiàn)與攻擊檢測方面。

1.2.1 風(fēng)險評估與脆弱性分析

該方面的研究從早期單一基于攻擊圖的脆弱性發(fā)現(xiàn)和風(fēng)險評估,向脆弱性與安全評估相結(jié)合的方法發(fā)展,以實(shí)現(xiàn)對網(wǎng)絡(luò)安全狀態(tài)和相關(guān)安全威脅更準(zhǔn)確有效的分析與發(fā)現(xiàn)。文獻(xiàn)[8]針對網(wǎng)絡(luò)弱點(diǎn)關(guān)聯(lián)分析提出滲透圖的概念,并基于滲透圖設(shè)計一種網(wǎng)絡(luò)風(fēng)險評估模型。文獻(xiàn)[9]提出一種基于攻擊圖的網(wǎng)絡(luò)安全分析方法,該方法解決了由路徑循環(huán)導(dǎo)致的攻擊路徑不可達(dá)及威脅概率計算錯誤問題,提高了攻擊路徑最大可達(dá)概率算法在復(fù)雜網(wǎng)絡(luò)脆弱性分析中的適用性。文獻(xiàn)[10]基于對大量脆弱性利用行為的研究,設(shè)計一種警報關(guān)聯(lián)圖用于網(wǎng)絡(luò)脆弱性分析,并依此從屬性分析角度給出一種網(wǎng)絡(luò)脆弱性分析方法。文獻(xiàn)[11]基于網(wǎng)絡(luò)風(fēng)險評估中,難以對全面安全性與局部脆弱性進(jìn)行有效綜合評估的問題,將層次化分析方法引入風(fēng)險評估中。通過分析原子攻擊和攻擊證據(jù)的關(guān)聯(lián)性得到攻擊因果關(guān)系,以此因果關(guān)系構(gòu)建貝葉斯攻擊圖,再通過對攻擊圖中脆弱點(diǎn)設(shè)計威脅度劃分標(biāo)準(zhǔn),實(shí)現(xiàn)對脆弱點(diǎn)嚴(yán)重程度和系統(tǒng)整體安全性的統(tǒng)一分析。文獻(xiàn)[12]針對漏洞分析中對脆弱性進(jìn)行有效量化困難的問題,給出一種基于攻擊圖的安全脆弱性量化評估方法。先通過脆弱性分析構(gòu)建貝葉斯網(wǎng)絡(luò)攻擊圖,然后對圖中節(jié)點(diǎn)進(jìn)行基于概率值的可利用性分析,最后結(jié)合漏洞評分系統(tǒng)和貝葉斯網(wǎng)絡(luò)攻擊圖實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)脆弱性的量化評估。文獻(xiàn)[13]針對當(dāng)前系統(tǒng)安全管理中無法對系統(tǒng)整體態(tài)勢進(jìn)行評估的同時,對具體脆弱性和隱患進(jìn)行識別和與發(fā)現(xiàn)這一問題,利用顏色Petri網(wǎng)(Colored Petri Net,CPN)構(gòu)建系統(tǒng)脆弱性攻擊圖進(jìn)行脆弱性分析和發(fā)現(xiàn),取得了較好的效果。

1.2.2 漏洞分析與告警關(guān)聯(lián)

該方面的研究在早期利用圖的相似性分析方法進(jìn)行告警關(guān)聯(lián)融合的基礎(chǔ)上,逐漸向利用對漏洞、報警等局部顯性威脅信息的分析結(jié)果,對網(wǎng)絡(luò)整體安全性進(jìn)行分析評估和對隱形威脅要素進(jìn)行識別的方向發(fā)展。文獻(xiàn)[14]針對IDS系統(tǒng)無法對具有復(fù)合模式的攻擊進(jìn)行有效識別和預(yù)測的問題,給出了一種告警預(yù)測圖?；诰W(wǎng)絡(luò)脆弱性分析結(jié)果構(gòu)建攻擊圖,并利用告警信息對攻擊圖進(jìn)行優(yōu)化。設(shè)計告警關(guān)聯(lián)預(yù)測算法,利用該攻擊圖將脆弱性和告警信息進(jìn)行融合,對可能的攻擊位置進(jìn)行預(yù)測。文獻(xiàn)[15]通過多漏洞組合利用對攻擊者可能采取的攻擊路徑進(jìn)行分析。通過漏洞檢測器確定本地漏洞信息,然后在對這些信息進(jìn)行分析的基礎(chǔ)上,基于權(quán)限提升的攻擊/漏洞關(guān)聯(lián)分析方法,對漏洞利用路徑進(jìn)行挖掘,并通過自動化的方法生成漏洞利用攻擊圖。文獻(xiàn)[16]針對以主機(jī)為中心的漏洞分析方法對網(wǎng)絡(luò)鏈路本身不確定性分析欠缺考慮的問題,提出一種基于不確定圖的漏洞分析方法,采用不確定度準(zhǔn)確地描述網(wǎng)絡(luò)狀態(tài),并以此得到漏洞的最佳利用鏈路,實(shí)現(xiàn)對不確定網(wǎng)絡(luò)中漏洞利用方法的有效分析。

1.2.3 異常發(fā)現(xiàn)與攻擊檢測

該方面的研究主要是從攻擊性、脆弱性、漏洞利用率等角度,通過最優(yōu)路徑、最大脆弱性節(jié)點(diǎn)的發(fā)現(xiàn)對系統(tǒng)安全性進(jìn)行研究,實(shí)現(xiàn)對系統(tǒng)安全狀態(tài)的分析。文獻(xiàn)[17]通過從告警數(shù)據(jù)中挖掘告警屬性間的規(guī)律,構(gòu)建基于擴(kuò)展有向圖的復(fù)合攻擊模型,從而對攻擊行為之間的邏輯關(guān)系進(jìn)行表達(dá)。基于該模型通過向后匹配和缺項(xiàng)匹配的方式對新告警與已知告警進(jìn)行關(guān)聯(lián),確定新告警屬于已知攻擊及其處于已知攻擊的何種階段。文獻(xiàn)[18]面向入侵意圖檢測和漏洞發(fā)現(xiàn)困難的問題,通過對告警進(jìn)行分析設(shè)計一種三層攻擊圖結(jié)構(gòu),并結(jié)合入侵意圖的概率分析確定攻擊意圖概率圖。然后通過分析圖中可能的關(guān)鍵點(diǎn)實(shí)現(xiàn)對脆弱性較高主機(jī)的發(fā)現(xiàn),進(jìn)而提高分析人員的分析和檢測效率。文獻(xiàn)[19]定義了一種SAGML語言,基于該語言對攻擊狀態(tài)、行為和關(guān)系進(jìn)行描述。然后對攻擊圖的狀態(tài)和行為鏈結(jié)構(gòu)進(jìn)行深入研究,提出基于XML的攻擊圖繪制與分析方法。最后建立適合攻擊圖的檢索和匹配方法,提高攻擊圖的利用率。文獻(xiàn)[20]面對APT攻擊不易識別、持續(xù)時間長等特點(diǎn),將基于圖的評估方法引入APT檢測過程中。通過對APT攻擊在行為、過程方面的特征進(jìn)行分析,構(gòu)建網(wǎng)絡(luò)風(fēng)險屬性攻擊圖。然后對系統(tǒng)中各節(jié)點(diǎn)的行為和聯(lián)通脆弱性進(jìn)行評估,再結(jié)合兩方面評估方法實(shí)現(xiàn)系統(tǒng)脆弱性的有效分析。文獻(xiàn)[21]針對攻擊過程中的攻擊識別與發(fā)現(xiàn)問題,建立基于Petri網(wǎng)的攻擊成本圖,然后對其可承受的最大攻擊力度進(jìn)行分析和預(yù)測,并依此選擇最優(yōu)攻擊路徑。

2 威脅情報畫像分析

為得到更準(zhǔn)確全面的攻擊識別模型,本文提出一種基于威脅情報的網(wǎng)絡(luò)攻擊畫像分析方法。以威脅情報中的威脅要素作為畫像骨架,以威脅屬性作為畫像要素。根據(jù)從威脅情報中提取的威脅屬性與威脅情報庫中的相關(guān)屬性進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)“屬性-屬性”的關(guān)聯(lián),并利用CPN網(wǎng)在因果關(guān)系表達(dá)與分析上的優(yōu)勢,將要素與屬性轉(zhuǎn)換為要素原子圖。而后通過融合要素原子圖,實(shí)現(xiàn)“要素-要素”的關(guān)聯(lián),完成畫像分析,形成更全面準(zhǔn)確的威脅要素和屬性的攻擊識別模型,即網(wǎng)絡(luò)攻擊威脅情報畫像。畫像分析流程如圖1所示。

圖1 威脅情報畫像分析流程

2.1 威脅畫像數(shù)據(jù)表達(dá)規(guī)范

威脅情報在安全分析中的優(yōu)勢在于其高度結(jié)構(gòu)化的數(shù)據(jù)框架和具有豐富關(guān)聯(lián)關(guān)系的數(shù)據(jù)內(nèi)容。但這些特性也使得現(xiàn)有數(shù)據(jù)表達(dá)規(guī)范和通信傳輸協(xié)議在威脅情報數(shù)據(jù)表達(dá)的有效性與完整性、傳輸?shù)臏?zhǔn)確性與安全性等方面存在問題,無法有效進(jìn)行威脅情報的表達(dá)和傳輸。本文旨在設(shè)計一種滿足攻擊畫像分析的情報數(shù)據(jù)表達(dá)規(guī)范。

目前攻擊畫像分析通常只以攻擊的某一指定要素為重點(diǎn)對象展開畫像分析,如僅針對工具函數(shù)序列、網(wǎng)絡(luò)行為特征等。這直接導(dǎo)致當(dāng)面對多步的復(fù)雜攻擊時,無法進(jìn)行有效的檢測和識別。根據(jù)相關(guān)研究可知,利用威脅情報作為攻擊識別分析的數(shù)據(jù)進(jìn)行攻擊畫像分析,目的是對攻擊主體和主體行為進(jìn)行挖掘和關(guān)聯(lián)。通過從多要素、富關(guān)聯(lián)的數(shù)據(jù)中提取攻擊者、攻擊目標(biāo)、攻擊工具等關(guān)鍵特征及相關(guān)屬性,再對特征和屬性進(jìn)行關(guān)聯(lián)關(guān)系挖掘,形成“特征-屬性-關(guān)系”結(jié)構(gòu)的攻擊識別知識。

為滿足以上對畫像分析數(shù)據(jù)結(jié)構(gòu)和內(nèi)容上的要求,本文參考STIX情報表達(dá)規(guī)范的12個要素和Cybox規(guī)范的88個屬性,對攻擊畫像數(shù)據(jù)表達(dá)模型進(jìn)行設(shè)計。模型中包含威脅要素9類,威脅屬性56種,具體如下:

1)攻擊工具Tool,使用實(shí)施攻擊過程的合法工具,如遠(yuǎn)控工具和網(wǎng)絡(luò)掃描工具等。威脅屬性:id表示代碼,description表示描述,kill_chain_phase表示位于殺傷鏈階段,tool_version表示工具版本,behavior表示工具功能。

2)惡意軟件Malware,攻擊過程中植入到目標(biāo)系統(tǒng)的惡意代碼或者惡意軟件。威脅屬性:id表示代碼,description表示描述,kill_chain_phase表示位于殺傷鏈階段,behavior表示軟件效果,release表示釋放內(nèi)容,root表示權(quán)限,reachable表示目標(biāo)可達(dá)性,exploit表示利用脆弱性。

3)攻擊模式Attack_Pattern,用于表達(dá)攻擊者嘗試攻擊的方法,用于攻擊分類、生成攻擊的固定模式及對攻擊實(shí)施過程的詳細(xì)描述。威脅屬性:id表示代碼,description表示描述,kill_chain_phase表示位于殺傷鏈階段。

4)觀測線索Observation,從系統(tǒng)或者網(wǎng)絡(luò)中可觀測到的數(shù)據(jù),如日志信息或網(wǎng)絡(luò)流量。威脅屬性:first_observed表示首次觀測時間,last_observed表示最后觀測時間,number_observed表示觀測數(shù)量。

5)攻擊指標(biāo)Indicator,用于表達(dá)可疑或者惡意的網(wǎng)絡(luò)空間安全行為的指標(biāo)。威脅屬性:id表示代碼,description表示描述,pattern表示模式,pattern_lang表示模式定義語言,pattern_lang_version表示模式定義版本,valid_from表示有效起始時間,valid_from_Reliability表示有效起始可信度,valid_until表示有效截止時間,valid_until_percison表示有效截止精度,kill_chain_phase表示位于殺傷鏈階段。

6)攻擊者Threat_Actor,實(shí)施有惡意意圖攻擊的個體、團(tuán)體和組織。威脅屬性:id表示代碼,description表示描述,aka表示代號,name表示姓名,roles表示角色,goals表示目標(biāo)偏好,sophistication表示復(fù)雜度,resource_level表示資源級別,primary_motivation表示初始動機(jī),secondary_motivations表示第二動機(jī),private表示偏好。

7)識別信息Identity,用于代表并區(qū)分的個體、組織或者團(tuán)體。威脅屬性:id表示代碼,description表示描述,identity_class表示識別等級,group表示小組,activitiyRegion表示活動區(qū)域,country表示國籍,contact_Info表示聯(lián)系信息。

8)入侵集合Intrusion_Set,由一個組織精心組織的一系列行為和資源集合。威脅屬性:id表示代碼,description表示描述,aliases表示身份類別,first_noticed表示首次發(fā)現(xiàn)時間,first_noticed_Reliability表示可信度,goals表示目標(biāo)偏好,resources_level表示資源級別,primary_motivation表示初始動機(jī),region表示地區(qū),country表示國籍。

9)組織戰(zhàn)役Campaign,描述一系列的針對特殊目標(biāo)集合的惡意行動或攻擊的敵對行為,經(jīng)常被定義成目標(biāo)或入侵集合的一部分。威脅屬性:id表示代碼,description表示描述,aliases表示別名,first_seen表示首次發(fā)現(xiàn)時間,first_seen_precision表示首次發(fā)現(xiàn)精確度,objective表示目的。

2.2 屬性轉(zhuǎn)移關(guān)系挖掘模型

根據(jù)Killchain模型中對7個階段的描述,網(wǎng)絡(luò)攻擊行為由一系列分階段的依據(jù)因果順序發(fā)生的子攻擊行為共同組成。而這一由多個依序發(fā)生子攻擊組成網(wǎng)絡(luò)攻擊的特點(diǎn)反映其威脅情報中,多個威脅要素依據(jù)因果關(guān)系順序出現(xiàn)。所以本文可以參考該思路設(shè)計威脅情報中威脅屬性關(guān)系挖掘模型。假設(shè)該模型是一個屬性轉(zhuǎn)移圖,該圖為有向圖,圖中的頂點(diǎn)是威脅屬性,邊則表示屬性的轉(zhuǎn)移關(guān)系(主要是因果關(guān)系)。圖中各點(diǎn)間的路徑表示各屬性間的因果關(guān)系,包括直接相關(guān)和間接相關(guān),直接相關(guān)的屬性間存在唯一路徑,間接相關(guān)屬性間存在多條路徑。

定義1威脅屬性集合A,其中p、q表示具有關(guān)聯(lián)關(guān)系的兩個威脅屬性。

定義2屬性轉(zhuǎn)移關(guān)系集合T,表示威脅情報中所有屬性轉(zhuǎn)移關(guān)聯(lián)的集合。

定義3屬性轉(zhuǎn)移關(guān)系t,表示兩點(diǎn)間路徑,即兩屬性間的轉(zhuǎn)移關(guān)系,由一個五元組表示,其中,f表示該轉(zhuǎn)移關(guān)系起點(diǎn)屬性,t表示該轉(zhuǎn)移關(guān)系終點(diǎn)屬性,c表示該轉(zhuǎn)移關(guān)系的置信度,p表示關(guān)聯(lián)轉(zhuǎn)移關(guān)系屬性,若該轉(zhuǎn)移是直接轉(zhuǎn)移,則用0表示,否則用1表示,E表示該屬性所屬的威脅要素,即該屬性包含在哪個要素中。

2.3 威脅屬性關(guān)聯(lián)

從威脅情報中得到的威脅屬性可能只是所屬威脅要素包含的眾多威脅屬性之一,需要通過以該屬性為關(guān)聯(lián)特征,與威脅情報庫中的威脅要素進(jìn)行關(guān)聯(lián)。本文中借助CPN在因果關(guān)系表達(dá)與處理上的優(yōu)勢,結(jié)合威脅屬性狀態(tài)轉(zhuǎn)移序列對威脅屬性進(jìn)行關(guān)聯(lián),并實(shí)現(xiàn)表達(dá)轉(zhuǎn)換,構(gòu)建要素原子圖。威脅屬性關(guān)聯(lián)過程如圖2所示。

圖2 威脅屬性關(guān)聯(lián)過程

在CPN中每一個原子攻擊包括3類要素:原子攻擊發(fā)生的條件,原子攻擊本身和原子攻擊產(chǎn)生的影響。攻擊條件和攻擊本身是從屬關(guān)系,攻擊本身和攻擊影響是因果關(guān)系,以此來實(shí)現(xiàn)攻擊條件向攻擊影響的因果關(guān)系轉(zhuǎn)移,如圖3所示。

在威脅情報中,威脅要素與威脅屬性屬于從屬關(guān)系,而威脅要素與另一要素的屬性為因果關(guān)系。例如攻擊者和攻擊工具分別是威脅要素,名字和代碼分別是它們的屬性之一,兩者為從屬關(guān)系。而攻擊者因?yàn)橐l(fā)動攻擊,所以使用攻擊工具,此為因果關(guān)系,得到的攻擊者屬性和攻擊工具的關(guān)系如圖4所示。

圖4 威脅情報要素與屬性的關(guān)系

Fig.4 Relationship between elements and attributes of threat intelligence

在圖4中,橢圓形節(jié)點(diǎn)用于表示威脅要素從屬屬性和因果屬性,等同于CPN結(jié)構(gòu)中的庫所;矩形節(jié)點(diǎn)用于表示威脅要素,等同于CPN結(jié)構(gòu)中的變遷,左邊的橢圓節(jié)點(diǎn)為要素原子圖的輸入庫所E0,右邊的橢圓節(jié)點(diǎn)要素原子圖的輸出庫所Ed。E0-t由威脅情報庫中各類要素情報提供,t-Ed由屬性轉(zhuǎn)移序列得到。

下文基于CPN給出要素原子圖的形式化定義。要素原子圖(Element Atom Grapic,EAG)是一個CPN結(jié)構(gòu),記為EEAG=〈EAo,t,EAd〉,其中,EEAG為要素原子圖的輸入屬性集合,t為變遷,表示一個威脅要素,EAo為威脅要素原子圖的輸出屬性集合,EAd表示與該威脅要素存在因果關(guān)系的另一個威脅要素的要素屬性(稱為目標(biāo)屬性)。需要說明的是,在通常應(yīng)用CPN進(jìn)行網(wǎng)絡(luò)攻擊關(guān)聯(lián)分析時,確定攻擊的輸入庫最困難,即“攻擊發(fā)生的條件”,而在威脅情報數(shù)據(jù)中,由于威脅情報本來就經(jīng)過分析加工后得到,因此直接給出了明確的攻擊條件,可以大幅提高分析效率,這是威脅情報的優(yōu)勢所在。

2.4 基于圖關(guān)聯(lián)的威脅要素融合

通過“屬性-屬性”的關(guān)聯(lián),實(shí)現(xiàn)了對威脅屬性的擴(kuò)展和表達(dá),但是攻擊識別模型還需包含各個要素與屬性間的關(guān)聯(lián)關(guān)系,這就需要通過要素原子圖的關(guān)聯(lián)融合實(shí)現(xiàn)。下文對要素融合圖進(jìn)行定義。

威脅要素融合圖(Element Atom Grapic,EFG),記為EEFG=〈PEo∪PEd,TEo∪TEd,E〉,其中,PEo代表原始庫所集合,包含所有要素原子圖中的輸入庫所,即從屬屬性的集合,PEd代表目標(biāo)庫所集合,包含所有要素原子圖中輸出庫所,即目標(biāo)屬性的集合,TEo代表唯一變遷集合,表示所有不包含因果關(guān)系的威脅要素的集合,這些威脅要素的屬性都包含在PEd中,TEd代表關(guān)聯(lián)變遷集合,代表所有處于因果關(guān)系中的威脅要素的集合,這些威脅要素至少有一個屬性包含在PEd中。因此TEd中各威脅要素的出現(xiàn)需要依賴于TEo中各從屬關(guān)系的威脅要素,E為EFG中所有要素、屬性之間有向邊的集合。

該要素融合圖具有以下約束條件:

1)要素融合圖中的有向連接只能用于威脅要素與屬性相連,即E?((PEo∪PEd)×(TEo∪TEd))∪((TEo∪TEd)×(PEo∪PEd))。

2)初始要素集合TEd中變遷to,ppre(to)表示該要素包含的所有屬性的集合,ppost(to)表示與要素有因果關(guān)系的所有屬性的集合,即(ppre(t)?PEo)∧(ppost(t)?PEd)。

3)最終要素集合TEd中變遷to,ppre(td)表示該要素包含的所有屬性的集合,ppost(td)表示與要素有因果關(guān)系的所有屬性的集合,即(?p∈ppre(t):p∈PEd)∧(ppost(t)?PEd)。

在得到要素融合圖的定義后,通過要素融合算法對要素原子圖進(jìn)行融合,融合過程如下:

1)將EFG初始設(shè)置為空,調(diào)用Build過程創(chuàng)建一個表示存在AT類要素中name類屬性的庫所。

2)以新創(chuàng)建的庫所創(chuàng)建初始EFG。

3)循環(huán)添加EAG到EFG中,迭代EFG:

(1)對要素轉(zhuǎn)移序列ElementTransfer中的每個EAG進(jìn)行分解,確定其包含的屬性tl。

(2)根據(jù)要素的鍵值對(rk,rn),在威脅情報庫TIDB中定位到該要素的位置,然后返回該要素所包含的所有屬性內(nèi)容TIret。

(3)根據(jù)tl和TIret作為輸入,構(gòu)造相應(yīng)的EAG。

(4)將新構(gòu)造的EAG追加到EFG中。

(5)當(dāng)追加完成ElementTransfer中所有要素后,結(jié)束循環(huán)。

4)返回最終狀態(tài)的EFG。

3 實(shí)例分析

下文結(jié)合實(shí)際案例對基于屬性的威脅要素融合方法進(jìn)行介紹。從一份“海蓮花”APT分析報告中得到了包括“OceanLotus”“KVDropper”“SKI”“HUAWEI”“魚叉攻擊”“CVE-2010-20318”“網(wǎng)絡(luò)通訊中斷”“殺毒軟件”“通過水坑攻擊……后進(jìn)行魚叉攻擊……”等在內(nèi)的8類威脅要素和10個威脅屬性。這些威脅屬性構(gòu)成了原始威脅情報,如圖5所示。原始威脅情報知識對各攻擊特征(威脅屬性)進(jìn)行簡單羅列,不包含任何關(guān)系(從屬或因果)。

圖5 原始威脅情報

通過對威脅屬性的轉(zhuǎn)移關(guān)系進(jìn)行挖掘,得到威脅屬性到威脅要素的轉(zhuǎn)移關(guān)系序列,如“攻擊源(OceanLotus)-->攻擊工具(KVDropper)”“攻擊工具(SKI)-->惡意代碼(CVE-2010-20318)”。屬性狀態(tài)轉(zhuǎn)移序列如圖6所示。本文通過威脅屬性關(guān)聯(lián)方法,得到包含威脅要素與威脅屬性及其關(guān)聯(lián)關(guān)系的要素原子圖如圖7所示。

圖6 威脅要素關(guān)聯(lián)關(guān)系挖掘后的威脅情報

圖7 要素原子圖

以識別出的威脅要素與屬性為畫像輪廓,通過“屬性-屬性”關(guān)聯(lián)和“要素-要素”融合,形成針對本次攻擊的威脅情報畫像如圖8所示?？梢园l(fā)現(xiàn),通過使用該畫像分析方法對原始情報進(jìn)行分析和處理,不僅實(shí)現(xiàn)了對原始情報中屬性和要素的準(zhǔn)確和全面表達(dá),而且對屬性隱藏關(guān)系進(jìn)行挖掘,實(shí)現(xiàn)了對原始情報的豐富和補(bǔ)充,形成了完整、準(zhǔn)確的攻擊識別模型。相比原始情報,威脅情報畫像分析方法得到的攻擊畫像對攻擊的描述更加完整準(zhǔn)確。以威脅情報畫像作為相關(guān)攻擊事件識別和跟蹤的分析模型,可以有效提高分析準(zhǔn)確率和效率。在后續(xù)針對APT攻擊的追蹤分析中,該畫像將幫助分析人員定位多個同源攻擊事件。

圖8 要素融合關(guān)聯(lián)后的威脅情報畫像

4 結(jié)束語

為得到更準(zhǔn)確全面的攻擊識別模型,本文提出威脅情報畫像分析方法。以威脅情報中提取的威脅屬性轉(zhuǎn)移序列為畫像骨架,將威脅情報庫中存儲的相關(guān)要素及屬性關(guān)聯(lián),實(shí)現(xiàn)基于屬性的威脅情報融合,形成更豐富和完善的攻擊特征,從而完成威脅情報畫像的繪制。通過實(shí)際分析案例驗(yàn)證了本文畫像分析方法的正確性和有效性。由于基于專家知識與分析經(jīng)驗(yàn)得到的威脅要素與屬性因果關(guān)系,可能會對畫像分析結(jié)構(gòu)產(chǎn)生影響,因此后續(xù)將在關(guān)聯(lián)屬性挖掘階段引入置信度機(jī)制,并優(yōu)化威脅屬性關(guān)系轉(zhuǎn)移序列的挖掘方法,進(jìn)一步提高網(wǎng)絡(luò)攻擊識別準(zhǔn)確度。