图谱实战 | 安全领域知识图谱建设与典型应用场景总结
轉(zhuǎn)載公眾號 | 老劉說NLP?
安全知識圖譜是網(wǎng)絡(luò)安全領(lǐng)域?qū)S弥R圖譜,也是知識圖譜應(yīng)用于安全業(yè)務(wù)的重要工業(yè)嘗試。當(dāng)前,安全領(lǐng)域中存在大量的業(yè)務(wù)數(shù)據(jù),建模需求以及應(yīng)用需求,了解安全領(lǐng)域知識圖譜的建設(shè)方法以及典型應(yīng)用場景,具有重要意義。
本文主要對《安全知識圖譜技術(shù)白皮書》一文進(jìn)行解讀和總結(jié)介紹,對于安全領(lǐng)域的朋友可以重點(diǎn)關(guān)注。
一、安全知識圖譜概述
安全知識圖譜作為一種實(shí)體和概念等安全知識的高效組織形式,能夠發(fā)揮其知識整合的優(yōu)勢,將零散分布的多源異構(gòu)的安全數(shù)據(jù)組織起來,為網(wǎng)絡(luò)安全空間的威脅建模、風(fēng)險(xiǎn)分析、攻擊推理等提供數(shù)據(jù)分析和知識推理方面的支持。
例如,上圖展示了一個(gè)典型的安全知識圖譜,由網(wǎng)絡(luò)和安全知識庫、情報(bào)庫、資產(chǎn)庫、行為日志中關(guān)鍵實(shí)體(概念)及關(guān)系構(gòu)建而成。
二、安全知識圖譜的數(shù)據(jù)類型與開放本體
一個(gè)典型的安全知識圖譜構(gòu)建流程主要包括以下幾個(gè)步驟,包括數(shù)據(jù)來源、本體設(shè)計(jì)、圖譜構(gòu)建以及圖譜應(yīng)用等環(huán)節(jié),下圖展示了技術(shù)流程圖。
1、主要數(shù)據(jù)來源
安全知識圖譜的數(shù)據(jù)為多源異構(gòu)數(shù)據(jù),不僅來自多個(gè)不同來源,而且有混合型數(shù)據(jù)(包括結(jié)構(gòu)化和非結(jié)構(gòu)化)和離散性數(shù)據(jù)(分布在不同的系統(tǒng)或平臺的數(shù)據(jù))。
數(shù)據(jù)來源包括企業(yè)內(nèi)部和互聯(lián)網(wǎng)數(shù)據(jù),其中:
企業(yè)內(nèi)部信息系統(tǒng)本身每天產(chǎn)生海量的檢測數(shù)據(jù),而攻擊者的操作行為也隱藏在系統(tǒng)自身記錄的審計(jì)日志和網(wǎng)絡(luò)流量數(shù)據(jù)中。
互聯(lián)網(wǎng)數(shù)據(jù)包括開源情報(bào)、安全論壇發(fā)布的信息和網(wǎng)絡(luò)公布的安全報(bào)告等。
2、主要數(shù)據(jù)形式
從數(shù)據(jù)結(jié)構(gòu)上看,安全數(shù)據(jù)包括結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)以及結(jié)構(gòu)化數(shù)據(jù)。
首先,常見的結(jié)構(gòu)化數(shù)據(jù)包括漏洞(CVE)、攻擊模式(CAPEC)、知識數(shù)據(jù)庫等知識以及從傳感器收集的網(wǎng)絡(luò)資產(chǎn)和終端日志等數(shù)據(jù)。通常存儲在關(guān)系型數(shù)據(jù)庫中,授權(quán)后可以直接獲取。
其次,半結(jié)構(gòu)化數(shù)據(jù)包含日志文件、 XML 文檔、 JSON 文檔、 Email ,權(quán)威機(jī)構(gòu)發(fā)布的威脅情報(bào) (STIX)、開源威脅指標(biāo) OpenIOC。
最后,非結(jié)構(gòu)化數(shù)據(jù)包括文本數(shù)據(jù),如漏洞描述、惡意軟件分析報(bào)告、攻擊組織分析報(bào)告, 安全熱點(diǎn)事件等信息,來自于網(wǎng)絡(luò)安全機(jī)構(gòu)研究報(bào)告、社交媒體、安全社區(qū)博客及供應(yīng)商公告、APT 報(bào)告、威脅分析報(bào)告、博客、推特和文檔數(shù)據(jù)。主要依賴于手工收集和自動化爬蟲,在獲取開源數(shù)據(jù)時(shí)盡量選擇可靠的數(shù)據(jù)源,例如權(quán)威安全研究機(jī)構(gòu)來保證信息可信度,然后利用爬蟲技術(shù)采集威脅情 報(bào)網(wǎng)站上特定格式的 IOC 描述,安全研究機(jī)構(gòu)發(fā)布的威脅組織分析報(bào)告等。
3、常用安全本體
安全本體是本體概念在信息安全領(lǐng)域的應(yīng)用,主要從安全角度出發(fā),包含了資產(chǎn)、威脅、 脆弱性、惡意軟件、攻擊模式、防護(hù)對策、事件等概念知識抽象化后的安全領(lǐng)域模型,即給 出歸一化、抽象、可推理的安全本體范式。
該本體模型其主要用于提供安全領(lǐng)域形式化統(tǒng)一 的術(shù)語及術(shù)語間關(guān)系,同時(shí)具備本體推理和查詢的功能。例如,下圖展示了攻擊模式類的本體定義
在安全行業(yè)內(nèi),大量研究成果的也證實(shí)了本體在安全領(lǐng)域的應(yīng)用的可行性,如:
Tsoumass 等人創(chuàng)建了一個(gè)安全本體(Security Ontology, SO)來對信息系統(tǒng)的資產(chǎn)、對策和風(fēng)險(xiǎn)管理的概念進(jìn)行分類。
Vorobiev 等人開發(fā)了一個(gè)安全資產(chǎn)漏洞本體(Security Asset Vulnerability Ontology, SAVO),以對網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)、拒絕服務(wù)攻擊、非法訪問和漏洞的概念、屬性以及關(guān)系進(jìn)行建模。
Syed 等人開發(fā)了統(tǒng)一網(wǎng)絡(luò)安全本體(Unified Cybersecurity Ontology, UCO),以集成各種網(wǎng)絡(luò)安全本體、異構(gòu)數(shù)據(jù)方案以及用于網(wǎng)絡(luò)威脅情報(bào)共享和交換的常用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
當(dāng)前,網(wǎng)絡(luò)安全還存在細(xì)分領(lǐng)域本體,其旨在解決某些具體維度上特定的網(wǎng)絡(luò)安全問題,劃分粒度更為細(xì)致,包括:
入侵檢測本體(Intrusion Detection Ontology, IDO)
惡意軟件分類本體(Malware Classification Ontology, MCO)
惡意軟件行為本體(Malware Behavior Ontology, MBO)
網(wǎng)絡(luò)威脅情報(bào)本體(Cyber Threat IntelligenceOntology, CTIO)
數(shù)字取證本體(Digital Forensics Ontology, DFO)
安全運(yùn)維處理本體(Secure Operations and Processes Ontology, SOPO)
網(wǎng)絡(luò)攻擊和影響本體(Cyber Attack and Impact Ontology, CAIO)
網(wǎng)絡(luò)安全對策技術(shù)本體(MITRE D3FEND Ontology)。
三、典型安全領(lǐng)域知識圖譜概述
當(dāng)前,已經(jīng)陸續(xù)出現(xiàn)一些典型的安全領(lǐng)域知識圖譜,例如D3FEND 網(wǎng)絡(luò)安全對策知識圖譜、Cygraph 網(wǎng)絡(luò)安全態(tài)勢分析圖譜、攻擊組織知識圖譜等,惡意軟件知識圖譜等。
其中:
D3FEND 網(wǎng)絡(luò)安全對策知識圖譜針對 ATT&CK 攻擊技術(shù)、數(shù)字工件和防御技術(shù)三 種概念進(jìn)行建模 ,可以幫助網(wǎng)絡(luò)安全分析師理解進(jìn)攻性技術(shù)和防御性技術(shù)的關(guān)系以及如何應(yīng)對 攻擊威脅;
CyGraph 可以用于建立可能的攻擊路徑的預(yù)測模型,識別關(guān)鍵的漏洞,將警報(bào)與攻擊路徑關(guān)聯(lián)起來,并允許在任務(wù)保證的上下文中進(jìn)行基于圖的數(shù)據(jù)分析。將網(wǎng)絡(luò)安全知識圖譜對概念的劃分粒度提高可以有利于解決領(lǐng)域內(nèi)特定維度或固定場景 上的應(yīng)用問題;
惡意軟件知識圖譜可以對惡意軟件、系統(tǒng)進(jìn)程、 網(wǎng)絡(luò)通信、源代碼、漏洞利用 payload 和攻擊行為等概念、屬性和關(guān)系建模,輔助惡意軟件家族分類。
1、Cygraph 網(wǎng)絡(luò)安全態(tài)勢分析圖譜
由MITRE 公司推出的 Cygraph 網(wǎng)絡(luò)安全態(tài)勢分析圖譜,從網(wǎng)絡(luò)架構(gòu)(Network Infrastructure)、安全狀態(tài)(Security Posture)、網(wǎng)絡(luò)威脅(Cyber Threats)、任務(wù)準(zhǔn)備(Mission Readiness)四個(gè)層次構(gòu)建知識圖譜,用于支持針對關(guān)鍵資產(chǎn)保護(hù)的攻擊面識別和攻擊態(tài)勢理解等任務(wù)。
1)Network infrastructure:網(wǎng)絡(luò)拓?fù)湫畔?#xff0c;如主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、組織等。
2)Cyber posture:網(wǎng)絡(luò)基礎(chǔ)設(shè)施中影響網(wǎng)絡(luò)攻擊 / 防御的元素,如主機(jī)配置、漏洞、 服務(wù)、共享資源、防火墻策略等。
3)Cyber threats:潛在的網(wǎng)絡(luò)威脅,如攻擊告警、 CAPEC 攻擊模式、 ATT&CK 攻擊 技術(shù)等。
4)Mission readiness:任務(wù)準(zhǔn)備包含任務(wù)目標(biāo)、任務(wù)、信息之間的關(guān)系以及他們對網(wǎng) 絡(luò)資產(chǎn)的依賴關(guān)系。
2、攻擊組織知識圖譜
上圖展示了由綠盟科技攻擊組織知識圖譜,對于攻擊組織涉及的各類安全實(shí)體主要參考上述的安全要素規(guī)范,實(shí)體關(guān)系的 設(shè)計(jì)則主要參考STIX2.0 描述語言以及 MITRE 公司定義的 CAPEC、MAEC、CWE、CPE 等標(biāo)準(zhǔn), 構(gòu)建威脅元語體系,涵蓋 4 個(gè)層次,11 個(gè)主要實(shí)體類型,以及百萬級別的知識節(jié)點(diǎn)。
四、基于安全知識圖譜的ATT&CK 威脅建模
威脅建模是網(wǎng)絡(luò)安全威脅分析的一個(gè)重要環(huán)節(jié),是一種分析和解決安全問題的結(jié)構(gòu)化方 法,用來識別、量化并應(yīng)對威脅,利用抽象的方法來幫助思考風(fēng)險(xiǎn)。
可以基于 ATT&CK 對各個(gè)攻擊生命周期的攻擊行為建模,利用基礎(chǔ)的威脅建模知識與威脅攻擊數(shù)據(jù),可根據(jù)威脅相關(guān)知識的融合抽象,提供更細(xì)粒度、更動態(tài)的建模理論框架,在構(gòu)建上,威脅建模主要含有資產(chǎn)、威脅(攻擊行為)、漏洞幾個(gè)主要元素,通過識別威脅和制定 保護(hù)策略來保證信息 CIA( 機(jī)密性 / 完整性 / 可用性 ) 三要素。
如上圖資所示,資產(chǎn)(Assets) 受到各種威脅(Threats)影響,這些威脅可能是黑客等人為因素,也可能是火災(zāi)地震等自然 因素。威脅通過利用系統(tǒng)的脆弱性(Vulnerabilities)可導(dǎo)致暴露(Exposure),形成風(fēng)險(xiǎn)(Risk)。適當(dāng)?shù)膶Σ呤鞘褂梅雷o(hù)措施(Safeguards),緩解風(fēng)險(xiǎn)使資產(chǎn)得到安全保障。五、基于安全知識圖譜的APT威脅追蹤
由于高級持續(xù)性威脅(APT)攻擊往往具有明確的攻擊意圖,并且其攻擊手段具備極高的隱蔽性和潛伏性, APT 正日益成為針對政府和企業(yè)重要資產(chǎn)的不可忽視的網(wǎng)絡(luò)空間重大威脅。
因此,可以通過威脅情報(bào)關(guān)鍵要素的抽取與動態(tài)行為推理,實(shí)現(xiàn) APT 攻擊者團(tuán)伙的威脅主體畫像與自動歸因,輔助攻擊事件的研判與取證。
1、APT 組織畫像歸因
DARPA通過增強(qiáng)歸因項(xiàng)目進(jìn)行攻擊組織的行為監(jiān)控和追蹤。
增強(qiáng)歸因項(xiàng)目主要分為三個(gè)部分,先進(jìn)行活動的監(jiān)測和歸納,從海量數(shù)據(jù)中抽取能夠代表確切事實(shí)的元數(shù)據(jù);
再對元數(shù)據(jù)進(jìn)行多源數(shù)據(jù)融合和模糊性數(shù)據(jù)的時(shí)序關(guān)聯(lián);最后對數(shù)據(jù)進(jìn)驗(yàn)證和擴(kuò)充,以提供可信的攻擊者情報(bào)。
2、基于上下文感知計(jì)算的網(wǎng)絡(luò)APT攻擊組織追蹤
為了有效解決海量多模態(tài)數(shù)據(jù)場景下攻擊組織相關(guān)的高危安全事件的快速發(fā)現(xiàn)問題,構(gòu)建基于攻擊組織本體的上下文感知計(jì)算總體的框架。利用攻擊組織知識庫進(jìn)行事件威脅上下文語義的富化、攻擊鏈關(guān)聯(lián)和攻擊組織特征關(guān)聯(lián)計(jì)算,最終發(fā)現(xiàn)攻擊組織相關(guān)的高危事件。
3、基于特征圖聚類的未知攻擊組織發(fā)現(xiàn)
目前單純依靠人工研判或者依賴安全專家基于離線的數(shù)據(jù)進(jìn)行特征模型構(gòu)建和分析已經(jīng)很難有效滿足大部分單位和組織對 APT 組織安全事件實(shí)時(shí)分析的要求。業(yè)界進(jìn)行包括 APT 組織在內(nèi)的攻擊團(tuán)伙的追蹤和發(fā)現(xiàn)的方法主要包括直接基于網(wǎng)絡(luò)流量進(jìn)行特征建模和基于樣本代碼特征進(jìn)行建模來進(jìn)行攻擊團(tuán)伙發(fā)現(xiàn)。
但是由于原始流量數(shù)據(jù)量級往往過于巨大,其中 的噪聲特征往往占據(jù)非常大的比例,直接基于原始流量構(gòu)建的特征模型的魯棒性往往不太好, 并且這一類方法通常需要耗費(fèi)較多的人工分析成本,某些情況下只能基于離線保存的歷史數(shù) 據(jù)進(jìn)行分析,無法滿足實(shí)時(shí)分析和追蹤的需求。
具體的,基于實(shí)時(shí)生成的包含多條攻擊鏈的攻擊源數(shù)據(jù),以攻擊源 IP 為核心,抽取其中的特征生 成特征點(diǎn),并連接特征點(diǎn)和核心點(diǎn)。
抽取的特征包括攻擊源數(shù)據(jù)中所有相關(guān)的特征,也包括通過威脅情報(bào)關(guān)聯(lián)補(bǔ)充的部分信息,特征點(diǎn)與核心點(diǎn)之間的連接邊為帶權(quán)邊,利用社區(qū)聚類發(fā)現(xiàn)算法進(jìn)行處理,可以發(fā)展犯罪團(tuán)伙等信息。
六、基于安全知識圖譜的企業(yè)智能安全運(yùn)營
目前圖結(jié)構(gòu)以及圖分析算法的研究發(fā)展迅速,圖 結(jié)構(gòu)及圖算法也已經(jīng)被應(yīng)用到網(wǎng)絡(luò)安全場景中。國內(nèi)方面,已有許多產(chǎn)品和研究關(guān)注安全數(shù) 據(jù)的圖分析方法。
基于安全知識圖譜的事件風(fēng)險(xiǎn)畫像、攻擊路徑調(diào)查、響應(yīng)策略推薦,能夠提供豐富的、具有安全語義的上下文,有效支撐動態(tài)事件的研判和策略部署,降低安全運(yùn)營對專家經(jīng)驗(yàn)與知識的依賴。
1、攻擊畫像及威脅評估
企業(yè)為了應(yīng)對網(wǎng)絡(luò)威脅,通常會部署多個(gè)檢測設(shè)備(如網(wǎng)絡(luò)入侵檢測設(shè)備 IDS/IPS、全流 量檢測和網(wǎng)絡(luò)應(yīng)用防護(hù)系統(tǒng) WAF 等)。由于檢測設(shè)備規(guī)則的敏感性,導(dǎo)致企業(yè)安全運(yùn)營人 員每天要面對海量的告警,海量告警的篩選問題多年來一直困擾著安全行業(yè)。企業(yè)安全設(shè)備 產(chǎn)生的告警遠(yuǎn)遠(yuǎn)超出了安全運(yùn)營人員的排查能力。安全知識圖譜應(yīng)用到企業(yè)智能 安全運(yùn)營中,對提升安全運(yùn)營的自動化水平,減少對人力投入與專家經(jīng)驗(yàn)的依賴,降低威脅分析與響應(yīng)的周期。
因此,攻擊畫像及風(fēng)險(xiǎn)評估是針對復(fù)雜的企業(yè)環(huán)境,利用采集到的日志或是設(shè)備告警構(gòu)建相關(guān)的威脅圖譜,以屬性圖的形式來刻畫攻擊和攻擊源。然后利用圖的相關(guān)方法對攻擊源和攻擊行為進(jìn)行風(fēng)險(xiǎn)與威脅評估。
2、攻擊路徑調(diào)查
攻擊路徑調(diào)查是指在網(wǎng)絡(luò)攻擊事件發(fā)生時(shí),找到攻擊路徑以及相關(guān)的攻擊過程。在網(wǎng)絡(luò)空間中,作為防御者需要“知彼”,就是回答在網(wǎng)絡(luò)攻防對抗中誰攻擊了我,攻 擊點(diǎn)在哪以及相關(guān)攻擊路徑,這便是攻擊事件調(diào)查 。
攻擊源威脅評估是從海量的數(shù)據(jù)中找 到真正的攻擊者,回答的是誰攻擊了我的問題。除此之外,還需要找到相關(guān)的攻擊路徑實(shí)現(xiàn) 攻擊事件的完整調(diào)查。通過攻擊事件調(diào)查技術(shù)可以確定攻擊源或攻擊的中間介質(zhì),以及其相 應(yīng)的攻擊路徑,以此制定更有針對性的防護(hù)與反制策略,實(shí)現(xiàn)主動防御。
安全知識圖譜是描述安全事件相關(guān)的 抽象知識,而日志信息記錄的是網(wǎng)絡(luò)流量和系統(tǒng)行為等,其不僅包含攻擊事件相關(guān)的信息, 同時(shí)也包含系統(tǒng)正常運(yùn)行的相關(guān)信息,構(gòu)建統(tǒng)一的基于知識圖譜的模型, 通過對動態(tài)圖模型的上下文分析,發(fā)現(xiàn)并還原攻擊者的攻擊路徑,進(jìn)而打破現(xiàn)有攻擊路徑調(diào) 查過程極度依賴安全專家的瓶頸。
3、響應(yīng)緩解策略推薦
智能安全策略推薦是一種通過集成多個(gè)系統(tǒng)和平臺來調(diào)整不同的安全工具和技術(shù)的方法, 以簡化安全流程,增強(qiáng)安全自動化以及加速事件響應(yīng)。它有助于將復(fù)雜的事件響應(yīng)過程和任 務(wù)轉(zhuǎn)換為一致的、可重復(fù)的、可度量的和有效的工作流。與人工協(xié)作相結(jié)合,安全編排將人員、 流程和技術(shù)集合在一起,以提高安全操作團(tuán)隊(duì)的整體效率。
上圖展示了一個(gè)典型流程,其中:
安全智能決策模塊首先對待處理的告警或事件進(jìn)行攻擊理解,借助已有的知識庫了解當(dāng) 前攻擊的階段、嚴(yán)重程度等等,借助原始日志和全流量等數(shù)據(jù)進(jìn)行攻擊事件調(diào)查,得到更多 被感染的機(jī)器,并且利用提前建立的預(yù)測模型,預(yù)測下一次攻擊事件的類型和嚴(yán)重程度,通 過攻擊理解模塊,可以獲取對當(dāng)前攻擊事件的完整刻畫,包括當(dāng)前事件、由當(dāng)前事件引起的 其他事件以及將來可能發(fā)生的事件,即得到戰(zhàn)略層面的信息。
七、基于安全知識圖譜的網(wǎng)絡(luò)空間測繪
實(shí)現(xiàn)面向網(wǎng)絡(luò)空間測繪領(lǐng)域知識圖譜的語義搜索、查詢,智能問答和知識推理等任務(wù),將資產(chǎn)、漏洞、安全機(jī)制、攻擊模式等信息進(jìn)行關(guān)聯(lián)分析和數(shù)據(jù)融合匯聚,充分掌握網(wǎng)絡(luò)空間資產(chǎn)及其狀況。
1、網(wǎng)絡(luò)空間資產(chǎn)風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)空間資產(chǎn)風(fēng)險(xiǎn)分析主要是對資產(chǎn)的風(fēng)險(xiǎn)態(tài)勢進(jìn)行評估,通過主動指紋探測、被動的 信息采集、收集,分析已知資產(chǎn)現(xiàn)狀和發(fā)現(xiàn)未知資產(chǎn),評估易被攻陷的高危主機(jī)、存在惡意 行為的主機(jī)、重點(diǎn)關(guān)注的 IP/ 域名、域名備案情況等,整合成為網(wǎng)絡(luò)空間資產(chǎn)、身份、數(shù)據(jù) 等各類實(shí)體及其特征信息,以此輸入到安全知識圖譜中,進(jìn)而形成網(wǎng)絡(luò)空間資產(chǎn)的整體畫像 和實(shí)體局部畫像,支持網(wǎng)絡(luò)空間資產(chǎn)風(fēng)險(xiǎn)的全面、深度分析。
2、團(tuán)伙關(guān)系分析
攻擊團(tuán)伙往往已經(jīng) 形成了一個(gè)密切協(xié)作的網(wǎng)絡(luò),嚴(yán)重威脅網(wǎng)絡(luò)空間安全。攻擊團(tuán)伙發(fā)現(xiàn)的關(guān)鍵是基于網(wǎng)絡(luò)空間 數(shù)據(jù)生成關(guān)聯(lián)圖與圖上社區(qū)發(fā)現(xiàn)。
因此利用知識圖譜關(guān)聯(lián)分析的技術(shù)對海量的大數(shù)據(jù)進(jìn)行挖掘,通過人工智能 算法實(shí)現(xiàn)對網(wǎng)絡(luò)空間數(shù)據(jù)隱含關(guān)系的挖掘,及時(shí)有效分析團(tuán)伙行為,實(shí)現(xiàn)定位、識別攻擊組團(tuán)伙行為發(fā)現(xiàn)是網(wǎng)絡(luò)空間測繪領(lǐng)域中知識圖譜應(yīng)用的一個(gè)典型場景。
八、基于安全知識圖譜的軟件供應(yīng)鏈安全
構(gòu)建軟件供應(yīng)鏈知識圖譜,通過知識圖譜的關(guān)聯(lián)與推理,完成軟件供應(yīng)鏈的風(fēng)險(xiǎn)識別、高風(fēng)險(xiǎn)推薦、影響范圍分析和緩解措施決策等。
相比傳統(tǒng)軟件安全,軟件供應(yīng)鏈面臨的安全風(fēng)險(xiǎn)不斷加大,遭受破壞而引發(fā)的網(wǎng)絡(luò)安全 事件數(shù)量逐步上升。
第一,軟件供應(yīng)鏈攻擊面從軟件產(chǎn)品本身的漏洞擴(kuò)大為上游供應(yīng)商的軟件、組件和服務(wù)的漏洞,任何一個(gè)上游階段的漏洞都會影響下游所有軟件,這就導(dǎo)致軟件供應(yīng)鏈的受攻擊面不斷擴(kuò)大。
第二,攻擊面的擴(kuò)大顯著降低了攻擊者攻擊的難度,一旦對軟件供應(yīng)鏈中的任意環(huán)節(jié)進(jìn)行攻擊或篡改,都將會引起安全風(fēng)險(xiǎn)的連鎖反應(yīng),產(chǎn)生巨大的安全危害。
最后,軟件供應(yīng)鏈開源化趨勢增加,導(dǎo)致影響軟件供應(yīng)鏈的各個(gè)環(huán)節(jié)都不可避免受到開 源環(huán)境的影響。為了有效保障軟件供應(yīng)鏈的安全,關(guān)鍵需求如下:
其一,需要全面梳理軟件供應(yīng)鏈中涉及到的供應(yīng)商、軟件、信息、工具、服務(wù)、上下游交付 環(huán)節(jié),保證供應(yīng)鏈流程不會存在遺漏。?
其二, 需要識別哪些代碼、工具存在安全風(fēng)險(xiǎn),重點(diǎn)是明確哪些組件引用了哪些高危組件, 又有哪些系統(tǒng)引用了這些組件。?
其三,上游的漏洞如被引入當(dāng)前環(huán)節(jié),需追蹤當(dāng)前環(huán)節(jié)的產(chǎn)出會被哪些下游所使用,跟蹤信 息流,確保問題發(fā)生時(shí)的影響范圍是可知、可控和可追溯的。
其四,針對安全風(fēng)險(xiǎn)需要決策方案,通過替換、升級、修復(fù)進(jìn)行解決,或者通過防護(hù)、封堵 等方式進(jìn)行規(guī)避。
為了滿足上述供應(yīng)鏈安全的關(guān)鍵需求,利用安全知識圖譜中的關(guān)系,可以表示為軟件供 應(yīng)鏈中的“引用”關(guān)系。基于知識圖譜相關(guān)的圖分析方法,識別軟件供應(yīng)鏈中的高風(fēng)險(xiǎn)點(diǎn)和 影響范圍,給出相應(yīng)的措施進(jìn)行緩解,從而有效解決軟件供應(yīng)鏈安全的問題。構(gòu)建軟件供應(yīng)鏈知識圖譜,通過知識圖譜的關(guān)聯(lián)與推理,完成軟件供應(yīng)鏈的風(fēng)險(xiǎn)識別、高風(fēng)險(xiǎn)推薦、影響范圍分析和緩解措施決策等。
1、開源組件風(fēng)險(xiǎn)識別?
結(jié)合軟件供應(yīng)鏈安全知識圖譜,采用不一致性進(jìn)行判斷。也就是通過設(shè)定規(guī)則,找出在 知識圖譜中本應(yīng)相同卻不同、本應(yīng)不同卻相同的對象。如上圖所示,開源組件 A 和 B,本 應(yīng)是兩個(gè)不同的開源組件,但若發(fā)現(xiàn)他們的 md5 相同,則可能存在冒用的風(fēng)險(xiǎn)。而若開源組 件 A,存在兩個(gè)不同的 md5,則有可能是其他的惡意軟件進(jìn)行了偽裝。
2、高風(fēng)險(xiǎn)軟件推薦
軟件供應(yīng)鏈有一個(gè)很明顯的特征,即引用關(guān)系鏈特別長。那么一旦某個(gè)節(jié)點(diǎn)被爆出存在 安全隱患,可根據(jù)知識圖譜快速梳理出受影響的對象。如下圖示例,用戶 A 安裝了 APP-I, 而 APP-I 引用了開源組件 A 和開源組件 B。若開源組件 A 存在安全漏洞,則會影響用戶 A。而知識圖譜的邊,正好可以體現(xiàn)出這種引用關(guān)系,適合于軟件供應(yīng)鏈安全中的多級依賴場景。通過深度搜索,提取特征,可作為風(fēng)險(xiǎn)模型的輸入。
3、影響范圍分析?
基于圖譜中所有存儲歷史信息對潛在的威脅進(jìn)行建模,包括開發(fā)工具污染、預(yù)留后門、 源代碼污染、捆綁下載、升級劫持等 ,對于可識別威脅,通過圖譜直接進(jìn)行影響范圍分析。
如下圖所示, office2007、 2013 和 2016 都有 CVE-2017-111882 漏洞,被 Sidwinder 組織 在某次 APT 攻擊戰(zhàn)役中使用。通過組件的引用關(guān)系,就可以識別受到影響的終端。
九、基于知識圖譜的兩安融合的工業(yè)系統(tǒng)防護(hù)
未來安全防護(hù)的趨勢是將功能安全與信息安全相結(jié)合,以業(yè)務(wù)系統(tǒng)功能安全(Safety)的可用 性為目標(biāo)和約束,再考慮信息安全(Security),通過對兩類安全防護(hù)能力的優(yōu)化設(shè)計(jì),消除沖突,實(shí)現(xiàn)工業(yè)系統(tǒng)的兩安融合,降低信息物理融合帶來的信息安全風(fēng)險(xiǎn)。
工業(yè)環(huán)境下,信息安全和功能安全分別針對不同的系統(tǒng)風(fēng)險(xiǎn)來源,各自建立了基于 IEC 62443 和 IEC 61508 的安全防護(hù)體系,兩者并未形成有效的知識聯(lián)系, 并沒有打破“信息孤島”的狀態(tài),難以全面分析工業(yè)系統(tǒng)在攻擊過程中受到的影響。
在工業(yè)控制系統(tǒng)的信息層和物理層,各類安全系統(tǒng)每天產(chǎn)生海量的監(jiān)測 數(shù)據(jù),這些數(shù)據(jù)來源分散、語義多樣、格式異構(gòu)、相互關(guān)聯(lián),而攻擊者的操作行為 隱藏在其中,目前還缺乏對攻擊事件關(guān)聯(lián)數(shù)據(jù)的挖掘和展現(xiàn),不利于采取正確合理的 安全策略。
1、基于安全知識圖譜的安全風(fēng)險(xiǎn)預(yù)判
基于知識圖譜挖掘潛在安全風(fēng)險(xiǎn),對潛在風(fēng)險(xiǎn)進(jìn)行規(guī)則判定、圖譜驗(yàn)證、 風(fēng)險(xiǎn)判定等識別過程,進(jìn)而對可能發(fā)生的安全事故做出及時(shí)而迅速的預(yù)防。
如上圖所示,風(fēng)險(xiǎn)層通過功能安全和信息安全融合的知識圖譜,從安全告警信息中識別潛在的安 全風(fēng)險(xiǎn),評估系統(tǒng)安全風(fēng)險(xiǎn)對系統(tǒng)業(yè)務(wù)的影響,根據(jù)系統(tǒng)具體業(yè)務(wù)給出響應(yīng)處理的優(yōu)先級。
策略層為應(yīng)對特定系統(tǒng)安全風(fēng)險(xiǎn),從功能安全和信息安全策略池中選擇適當(dāng)策略手 段進(jìn)行組合,給予正確合理的安全防護(hù)。
基于知識圖譜的工業(yè)系統(tǒng)安全風(fēng)險(xiǎn)預(yù)判通過構(gòu)建主要風(fēng)險(xiǎn)要素(包括拓?fù)浣Y(jié)構(gòu)、漏洞狀況、 運(yùn)行數(shù)據(jù)等)的關(guān)系圖譜,全方位了解系統(tǒng)安全風(fēng)險(xiǎn)狀況,并利用信息層和物理層的監(jiān)測告警數(shù)據(jù)。
總結(jié)
本文主要圍繞著知識圖譜在安全領(lǐng)域的結(jié)合和應(yīng)用進(jìn)行了介紹,主要是對領(lǐng)域?qū)I(yè)機(jī)構(gòu)綠盟科技發(fā)布的安全知識圖譜技術(shù)白皮書一文進(jìn)行了閱讀和總結(jié)。對于更為詳盡的內(nèi)容,讀者可以查看報(bào)告,做更為深入的了解。
OpenKG
OpenKG(中文開放知識圖譜)旨在推動以中文為核心的知識圖譜數(shù)據(jù)的開放、互聯(lián)及眾包,并促進(jìn)知識圖譜算法、工具及平臺的開源開放。
點(diǎn)擊閱讀原文,進(jìn)入 OpenKG 網(wǎng)站。
總結(jié)
以上是生活随笔為你收集整理的图谱实战 | 安全领域知识图谱建设与典型应用场景总结的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 论文浅尝 | emrKBQA: 一个面
- 下一篇: 评测征集 | 2021全国知识图谱与语义