攻击推理-安全知识图谱在自动化攻击行为提取上 - 机械工程与自动化杂志社投稿_期刊论文发表|版面费|电话|编辑部|论文发表- 机械工程与自动化

一、来稿必须是作者独立取得的原创性学术研究成果，来稿的文字复制比（相似度或重复率）必须低于用稿标准，引用部分文字的要在参考文献中注明；署名和作者单位无误，未曾以任何形式用任何文种在国内外公开发表过；未一稿多投。二、来稿除文中特别加以标注和致谢之外，不侵犯任何版权或损害第三方的任何其他权利。如果20天后未收到本刊的录用通知，可自行处理(双方另有约定的除外)。三、来稿经审阅通过，编辑部会将修改意见反馈给您，您应在收到通知7天内提交修改稿。作者享有引用和复制该文的权利及著作权法的其它权利。四、一般来说，4500字（电脑WORD统计，图表另计）以下的文章，不能说清问题，很难保证学术质量，本刊恕不受理。五、论文格式及要素：标题、作者、工作单位全称(院系处室)、摘要、关键词、正文、注释、参考文献(遵从国家标准：GB\T7714-2005，点击查看参考文献格式示例)、作者简介(100字内)、联系方式(通信地址、邮编、电话、电子信箱)。六、处理流程：（1）通过电子邮件将稿件发到我刊唯一投稿信箱（2）我刊初审周期为2－3个工作日，请在投稿3天后查看您的邮箱，收阅我们的审稿回复或用稿通知；若30天内没有收到我们的回复，稿件可自行处理。（3）按用稿通知上的要求办理相关手续后，稿件将进入出版程序。（4）杂志出刊后，我们会按照您提供的地址免费奉寄样刊。七、凡向文教资料杂志社投稿者均被视为接受如下声明：（1）稿件必须是作者本人独立完成的，属原创作品（包括翻译），杜绝抄袭行为，严禁学术腐败现象，严格学术不端检测，如发现系抄袭作品并由此引起的一切责任均由作者本人承担，本刊不承担任何民事连带责任。（2）本刊发表的所有文章，除另有说明外，只代表作者本人的观点，不代表本刊观点。由此引发的任何纠纷和争议本刊不受任何牵连。（3）本刊拥有自主编辑权，但仅限于不违背作者原意的技术性调整。如必须进行重大改动的，编辑部有义务告知作者，或由作者授权编辑修改，或提出意见由作者自己修改。（4）作品在《文教资料》发表后，作者同意其电子版同时发布在文教资料杂志社官方网上。（5）作者同意将其拥有的对其论文的汇编权、翻译权、印刷版和电子版的复制权、网络传播权、发行权等权利在世界范围内无限期转让给《文教资料》杂志社。本刊在与国内外文献数据库或检索系统进行交流合作时，不再征询作者意见，并且不再支付稿酬。九、特别欢迎用电子文档投稿，或邮寄编辑部,勿邮寄私人，以免延误稿件处理时间。

攻击推理-安全知识图谱在自动化攻击行为提取上

作者:

关键词:

摘要：

摘要

当前企业安全运营实现自动化的难点在于低水平日志与高水平行为之间的语义鸿沟。本文提出了一种安全知识图谱表示方法，并提出了一种自动化的行为识别方法。

一. 背景

当前企业环境面临的攻击越来越趋于隐蔽、长期性，为了更好的针对这些攻击进行有效的检测、溯源和响应，企业通常会部署大量的终端设备。安全运营人员需要通过分析这些日志来用来实现攻击检测、溯源等。利用安全知识图谱与攻击推理进行评估溯源，在相关专题文章[1,2,3]中都有介绍，其中[1]是通过挖掘日志之间的因果关系来提高威胁评估的结果，[2]利用图表示学习关联上下文提高检测与溯源的准确率，[3]主要是介绍了知识图谱在内网威胁评估中的应用。但这些工作把均是把异常日志当作攻击行为来处理。基于异常检测方法无论是在学术领域还是工业上都有了一些经典的应用如异常流量检测、UEBA（用户与实体行为分析）等。Sec2graph[4]主要是对网络流量进行建模，构建了安全对象图并利用图自编码器实现对安全对象图中的异常检测，并把异常作为可能的攻击行为进行进一步分析。Log2vec[5]通过分析终端日志的时序关系构建了异构图模型，利用图嵌入算法学习每个节点的向量表示，并利用异常检测算法检测异常行为。UNICORN[6]方法是基于终端溯源图[9]为基础提取图的概要信息，利用异常检测方法对图概要信息进行分析检测。之前的攻击推理专题中的文章[9]也是利用图异常检测算法进行攻击者威胁评估和攻击溯源。但是这些方法本质上都是基于这么一个假设：攻击行为与正常用户行为是有区别的。这些方法检测出来的结果只能是异常，异常行为与攻击行为本身有很大的语义鸿沟，同时这些异常缺少可解释性。

在安全运营的整个过程中，网络分析人员需要根据日志之间因果关系来对攻击者以及其破坏范围进行溯源分析。当前已有的技术通常是事先构建溯源图并利用之前提到的异常检测方法对溯源图进行分析，最终找到的仅仅是异常用户或是异常行为路径，这种方法的误报通常会很高。本质上当前的方法缺少一种系统日志到用户行为之间的语义映射，针对该挑战文献[8]通过安全专家构建的威胁子图作为知识图，利用图匹配算法从系统溯源图中找到相匹配的攻击。这些方法主要是事先设计一些规则库，基于这些规则检测审计日志中的相关行为[7,8]。然后，这些规则的设计严重依赖于安全专家的经验。知识图谱本身就是致力于解决这种语义鸿沟的问题，但是在安全领域知识图谱相关应用进展比较缓慢。这里借鉴了知识图谱在推荐系统上的应用方式，首先基于终端日志设计了有效的知识图谱表示形式；然后，以上下文为语义基于图表示学习方法自动的提取行为信息。

二. 终端安全运营的现状

当前企业安全所面临的挑战不再是检测设备检测的准确性问题，而是涉及到更上层的攻击者的战术、技术以及过程等不同层面的分析。当前安全检测设备面临的主要问题是底层的日志与上层抽象之间的语义鸿沟问题。知识图谱的提出就是致力于解决这种语义鸿沟问题，但是在威胁检测与识别方面安全知识图谱的应用还较少，还有一段很长的路要走。

针对这种情况，本文主要探索一种可行的安全知识图谱在安全运营中的应用方法。当前安全运营面临的最大难题就是低层日志信息与高层行为之间的语义鸿沟问题。我们首先提出一种有效的知识图谱表示方法，该方法区别与当前的溯源图结构。相比较溯源图，知识图谱的表示形式能支持更复杂的异常图，同时还能包含更多实体与边的属性。然后，使用自动化的方法从审计日志中抽象出高层系统行为，并利用语义相似度聚类方法把语义上相似的行为聚合到一起，即使并不能给出合理的解释标签，其实这种聚类也是有意义的。理论上来说，相关的系统行为已经根据语义进行了聚类，安全分析人员只需要从聚类中标记有代表性的系统行为，就可以分析这些代表性系统行为来快速进行调查取证。除了能有效减少行为分析的工作量外，自动的行为抽取可以为内部或外部攻击行为模式提供前瞻性的分析。

我们把从日志信息提取行为语义的过程称为行为提取。行为提取可以完成从日志到行为的直接映射，可以看出行为提取是当前安全运营挑战的有一个有效解决方法，但它依然面临了两个挑战：事件语义的差异性和行为识别。语义差异性是指相同的日志在不同的上下文中具有不同的语义，这个语义的差异性跟自然语言中的语义差异性相似；而行为提取挑战更明显，因为终端日志的规模与高度交织性导致对其进行事件或行为划分变的异常困难。说了这么多，所谓的知识、语义在本文中是如何表示的，知识图谱技术通常是利用其实体与或边在图中的上下文来表示其语义。本文也借鉴这种表示以日志相关实体在图中的上下文表示日志的行为语义。可以通过聚合多个相关的日志来表示系统行为。基于这种表示，相似的行为可以被聚到一起。此外，可以看到通过聚类之后安全知识图谱可以提供一个关于高水平行为的边界，这种边界可以作为一种参考来通过关联多日志生成相应具有语义的行为信息。

文章来源：《机械工程与自动化》网址: http://www.jxgcyzdhzz.cn/zonghexinwen/2022/0225/1306.html

上一篇：濉溪供电公司开展自动化系统应急演练提升应急
下一篇：机械设计制造及其自动化，机械工程，机械电子