一.  背景

内部威胁（Insider Threat）是指内部人利用获得的信任做出对授信组织合法利益不得的行为，这些利益包括企业的经济利益、业务运行、对外服务以及授信主体声誉等。内部威胁不仅仅是组织合法成员的有意或无意导致的组织利益损失，还包括一些外部伪装成内部成员的攻击。（内网威胁检测现有的情况），现在内网威胁检测分为网络侧与终端侧，网络侧检查主要全流量，IPS/IDS, 终端侧主要是EDR,蜜罐等，还有现在流行的UEBA，每天会产生大量的告警信息，而对于安全人员来说人工处理这种级别的告警是不现实的，通常一些真实的攻击事件会被淹没在告警中。在日常运维中威胁评估就显得尤为重要。

安全知识图谱（Cyber Security Knowledge Graph）是知识图谱在网络安全领域的实际应用，包括基于本体论构建的安全知识本体架构，以及通过威胁建模等方式对多源异构的网络安全领域信息（ Heterogeneous Cyber Security Information）进行加工、处理、整合，转化成为的结构化的智慧安全领域知识库。对于内网数据来说，告警数据与流量数据缺少相关的语义，而安全知识图谱融入了已经的安全知识，能大大提高威胁识别与评估的准备性。

图嵌入（Graph Embedding，也叫Network Embedding）是一种将图数据（通常为高维稠密的矩阵）映射为低微稠密向量的过程，能够很好地解决图数据难以高效输入机器学习算法的问题。知识图谱属于异构图数据，即节点与边不只一种类型。利用图嵌入技术可以高效的实现知识图谱分析。

传统的威胁评估方法，一般是攻击目标构建相应的攻击图来量化，一方面针对大规模数据构建攻击图的复杂性比较高，同时攻击图考虑维度比较局限。为此针对已构建的安全知识图谱提出一种基于图嵌入的威胁评估方法。首先以安全知识图谱为输入，利用图神经网络（编码器），对图的顶点生成嵌入向量，其中融入了结构威胁评估及属性评估。然后利用图神经网络学习每一个节点对某一个节点的威胁度，并聚合得到该节点的威胁度，再通过结构威胁评估（中心度）进行调整，如此迭代最终得到图谱中每个节点的威胁度排序。

二.  相关技术介绍

2.1  安全知识图谱

智慧安全知识图谱[9]（Intelligent Cyber Security Knowledge Graph）是知识图谱在网络安全领域的实际应用，包括基于本体论构建的安全知识本体架构，以及通过威胁建模等方式对多源异构的网络安全领域信息（ Heterogeneous Cyber Security Information）进行加工、处理、整合，转化成为的结构化的智慧安全领域知识库。

针对信息安全领域知识图谱构建的两个关键要素，构建了威胁元语言模型对威胁知识的结构化描述，包括概念、实体、属性的定义以及知识关系的定义。研究中依据STIX2.0以及领域专家知识，构建三层安全知识图谱，如下图所示。知识图谱辅助安全事件分析、安全合规标准、APT追踪溯源等实际业务场景所需的数据表示和语义关系。

图2.1 安全知识图谱

其中信息层为知识图谱从外界抽取的知识实体，知识层和智慧层为信息安全领域关键概念及这些概念之间的逻辑语义关系。

在威胁元语言模型中，威胁实体构建和实体关系是两个最为关键两个步骤。

2.2  图嵌入

知识图谱最大的特点是具有语义信息，然而构建好的内网安全知识图谱如何应用到内网威胁识别中。这就需要一些图分析方法，传统的图分析方法主要是路径分析（可达性，最短路径，k-out），社区发现等。利用图模型做内网威胁识别，一个很直接的方法是利用社区发现[4,5,6]方法对威胁主体进行社区划分，把威胁度高的攻击主体划到一起，从而实现威胁识别。理论上这种方法是可行的，因为构建的实体与实体之间的关联和行为在社区内关系紧密，而在社区间关系稀疏。

而现有社区发现方法一方面只考虑顶点的邻居关联，忽略了潜在的近邻关系，同时，社区发现的复杂度较高，不适合大规模图分析。

为了对这种高维图模型进行降维，图嵌入技术应运面生，图嵌入的本质是在尽量保证图模型的结构特性的情况下把高维图数据映射到低维向量空间。发展到现在图嵌入技术已经不仅仅是一种降维方法，与深度学习相结合后图嵌入技术可以具有更复杂的图计算与图挖掘功能。

图2.2 图嵌入流程

首先图2.2（a）中是用户行为，从知识图谱的角度可以抽象成图2.2（b）中的图模型。在当前推荐系统和安全领域都比较常见，而对于抽象的图模型如何利用图嵌入技术处理呢？首先，DeepWalk[1,2,3]将随机游走得到的节点序列当做句子，从截断的随机游走序列中得到网络的部分信息，再经过部分信息来学习节点的潜在表示。该方法借助语言建模word2vec中的一个模型，skip-gram来学习节点的向量表示。将网络中的节点模拟为语言模型中的单词，而节点的序列（可由随机游走得到）模拟为语言中的句子，作为skip-gram的输入。可以看出在表示图模型中图嵌入技术有天然的优势，因为它本身把多维图模型映射到同一向量空间，顶点之间的关联关系可以通过顶点向量的相似度计算，任一顶点与其他顶点的潜在关系都可以很快的计算出来。

当前已有一些针对社区发现的图嵌入技术[6,7]。社区嵌入可以描述其成员节点在低维空间中的分布情况，所以这次不能简单的把社区看成一个向量，而是低维空间中的分布（高斯混合分布）。

一方面，节点嵌入可以帮助改进社区检测，从而输出良好的社区以适应更好的社区嵌入，另一方面，社区嵌入可以通过引入a community-aware 高阶近似性来优化节点嵌入。在这指导下，提出了一个新的社区嵌入框架，如图2.3所示。

图2.3 社区感知的图表示框架

三.  基于安全知识图谱的内网威胁识别

（介绍利用安全知识图谱做内网威胁识别的总体框架）

基于知识图谱的内网威胁主要包括三部分：图模型构建、图嵌入和威胁评估。针对内网威胁已经有一些检测组件，但是通常这些检测设备之间缺少关联性，需要安全人员组合不同组件的告警利用经验分析，而图模型本身具有很强的关联性，可以有效关联多源数据，并且易于下钻。

3.1  图模型构建

图模型的构建主要是确实图中的实体与关系，实体的选择通常比较容易确定，通常以ip、端口、网段、告警、文件、日志等实体为主，而关系通常分为显示关系与隐式关系，显示关系是直接可以得到的关系，而隐式关系是通过数据挖掘方法得到的一些数据中暗含的关联关系。

3.1.1  实体构建

实体的构建根据场景的不同会有不同选择，可以参照STIX2.0中的十二个对象域的划分，以及当前世界范围内对安全元素描述的使用较为广泛的标准来确定实体，本文只介绍几个核心实体类型：

攻击模式：攻击发起者使用的策略、技术和程序，参考：通用攻击模式枚举和分类（CAPEC）、MITRE公司的PRE-ATTtext-align:center">

长按上方二维码，即可关注我

转载请注明来自网盾网络安全培训，本文标题：《安全知识图谱助力内部威胁识别》

标签：内部威胁