引言
随着通信技术的发展, *** 的规模也在迅速增长, *** 攻击也不可避免地增长。中本聪发明的比特币开启了匿名 *** 交易的帷幕,导致了大量的黑色行业,伴随着挖掘、勒索病毒等与黑色生产相关的 *** 攻击。随着人与 *** 的关系越来越密切, *** 安全问题将对我们每个人产生更深远的影响。
面对许多 *** 攻击,更先进的防御技术是一种有效的防护措施。这些防御技术可分为被动防御和主动防御。我们所知道的防火墙是更具代表性的被动防御措施。防火墙规则的配置可以在很大程度上阻断攻击行为,但其缺点也很明显,无法区分这些行为是否是真正的攻击,也无法为防御改进提供新的知识。入侵检测和防御技术可以补充防火墙被动防御的积极识别攻击行为, *** 攻击事件可以更详细地分析攻击行为,发现系统中的漏洞和弱点,及时升级被动防御系统,提高系统的安全性。
入侵检测[1]是识别试图入侵、正在进行或已经发生的入侵的过程[2]。入侵防御技术不同于入侵检测技术。它不仅能识别 *** 威胁,还能进一步分析和响应 *** 威胁,是对防火墙和防病毒技术的有力补充。对于入侵防御系统,检测威胁事件只是之一步。其次,需要分析威胁事件,掌握威胁事件,追溯威胁源的定位,以实施有效的响应处理手段。
近年来, *** 攻击逐渐呈现出大规模、协调、多阶段的特点, *** 攻击不再是孤立事件。根据国家互联网应急中心CNCERT(National Internet Emergency Center)2017年度 *** 安全工作报告,攻击事件按类型进行统计的结果,大部分攻击(尤其是危害巨大的攻击)几乎都是多步攻击。针对多步攻击,传统的被动防御模式能够起到的作用十分有限,而主动防御技术则具有一定的防御能力。入侵防御系统通过分析安全设备产生的告警事件,挖掘这些事件背后所隐藏的 *** 威胁事件,识别 *** 中存在的多步攻击行为,并且对其进行精准清除。入侵防御系统为了抵御更加复杂多步攻击,需要在事件分析环节能够准确地关联到事件发生的源头,串联起事件的上下文信息。由于多步攻击中的每一步攻击的成功都是下一步攻击成功的某种先决条件,研究人员利用语言模型逻辑性来描述攻击模型。本文将从 *** 威胁事件分析中的事件要素提取和事件关联分析两方面展开讨论。
利用深度学习提取事件要素
入侵防御系统收到的数据通常是多源异构的,格式非常复杂,不适合直接人类阅读,不能直接用于事件的相关分析,需要确定能够涵盖事件显著特征的元素字段,并提取这些元素特征。深度学习是近年来兴起的一种基于表征学习思想的机器学习技术,通常采用深度神经 *** 来实现。它通过由神经元组成的多层神经 *** 逐渐学习,以获得原始数据的高层特征,并进一步用于分析。
深度学习通常采用端到端的方式,即不再需要手动处理数据特征,而是直接处理原始数据,自动学习和输出高级特征,不再依赖特定领域的专家知识。这一优势使深度学习广泛应用于许多特征设计困难的领域,并取得了很好的效果。
图1
深度学习可以用来将 *** 威胁事件的低维数据信息提取成高质量的高维数据信息。结合事件关联分析技术,可以冗余合并 *** 威胁事件和因果关联,方便系统管理员及时有效地响应和处理 *** 威胁事件。根据深度学习的端到端学习特点,只需将入侵防御系统中的 *** 威胁事件输入到模型中,如图1所示,模型可以将输入的底层日志信息处理成与攻击高度相关的高级抽象信息。这些高维信息包含了低维信息的重要因素。如果采用非深度学习的 *** ,需要经验丰富的 *** 运维人员参与事件要素提取工作,不可避免人为因素造成的错误。大量的事件训练模型,最终可以快速、无需人为干预地提取事件的关键要素信息。
基于深度学习的事件要素提取主要是从文本分类的思想中学习,识别事件要素,然后将其提取,将事件要素的识别转化为分类问题。图2显示了事件要素的具体提取过程,在特征获取阶段获得了原始报警事件的所有特征,进一步处理了机器不易处理的文本信息,并获得了模型训练可以识别的向量特征。预处理后,可获得模型训练中可用的数值类型、枚举类型、文本向量类型等特征数据。在事件要素识别任务中,Chieu更大熵模型[8]首次引入事件要素识别任务,实现人事管理事件要素的提取。H. Lorens等通过CRF语义标注[9]并应用于模型TimeML事件提取提高了系统的性能。为了提高识别效果,有时混合使用各种深度学习算法或将深度学习与模型匹配[10,11]。D.Ahn结合 Megam和 TIMBL这两种深度学习 *** 分别实现了提取事件元素的任务。实验结果表明,综合 *** 优于单一算法。由于深度学习与领域知识无关,不需要太多领域专家的指导,具有良好的可移植性。随着相关技术的发展,深度学习逐渐努力提取事件元素。
事件关联分析
在大量的 *** 威胁事件中,相关分析旨在发现事件之间有意义的隐藏联系,挖掘攻击意图,重建攻击场景。经调查,相关分析 *** 广泛应用于入侵检测系统的结果分析,其中相关规则和频繁模式挖掘是 *** 威胁事件相关分析中常用的 *** 。
*** 威胁事件之间的关系可以抽象为两种类型:冗余关系和因果关系。如图3所示,事件分析过程,根据事件属性结合类似事件,然后进行因果关联分析,获得事件的完整发展过程,了解 *** 威胁事件的全貌,发现 *** 中的多步攻击,消除威胁事件对系统的影响。
图3 事件分析过程
冗余关系关联分析是基于事件攻击特征中相关属性的相似性和概率统计。报警聚合是事件关联分析的重要应用场景。报警聚合的目的是将具有一定相似性的报警聚合成一组,作为一个整体进行处理,从而减少系统运维人员的处理数据量。H.Debar [4] 通过计算两个警报之间不同属性的相似性,提出了一个抽象 *** 框架。Maggif [5]等人根据时间属性,提出了使用模糊集理论聚合的 *** ,即通过建立数学模型来描述时间距离,根据数学模型将两个报警之间的不同时间差转换为聚合概率,通过比较这个概率和阈值来确定两个报警是否聚合。
因果关系分析是基于攻击行为的原因和后果。在攻击者突破系统之前,会有一系列的攻击,每一步的成功都是下一步攻击的前提。S.Cheung [6]和其他人提出了一个语言模型来描述攻击模型。该模型描述语言包含两个概念,即先决条件和后置条件。当一个警报的后置条件与另一个警报的前置条件匹配时,两个警报相关,以澄清警报之间的逻辑关系。Cuppens和Miege[7]还提出了一种攻击模型描述语言LAMDA,它还提到了先决条件和后置条件的概念。通过对原因和后果的相关分析,我们可以在 *** 威胁事件发生时找到当前事件的原因,不再孤立地看待 *** 威胁事件,并将事件的原因和后果合并为一个有机的整体。通过处理这个整体,不仅“治标”还能“治本”。
结束语
深度学习将不易使用的 *** 威胁事件的低维数据信息提取到高质量的高维数据信息中。结合事件关联分析技术,可以对 *** 威胁事件进行冗余合并和因果关联,方便系统管理员及时有效地响应和处理 *** 威胁事件。虽然 *** 的规模和现有的 *** 攻击越来越复杂和多样化,但随着深入学习的发展,它也将提高攻击和防御双方的地位。在新兴人工智能技术的支持下, *** 威胁事件的分析将从人员密集型转变为技术密集型,减少人力参与,提高工作效率。我相信,随着更多新技术的出现,入侵防御技术也将面临更多的机遇和挑战。
参考文献
1. Denning D E. An intrusion-detection model[J]. IEEE Transactions on software engineering,1987 (2): 222-232.
2. 唐正军. 入侵检测技术导论[M]. 机械工业出版社,2004.
3. 仲思超、朱磊、蔡冰. 以深度学习为基础Web 安全事件分析系统及其实现[J]. 江苏通信,2019 (2)13.
4. Debar H,Dacier M,Wespi A. Towards a taxonomy of intrusion-detection systems[J]. Computer networks,1999,31(8): 805-822.
5. Ussath M,Jaeger D,Cheng F,et al. Advanced persistent threats: Behind the scenes[C]//2016 Annual Conference on Information Science and Systems (CISS). IEEE,2016: 181-186.
6. Smith R,Japkowicz N,Dondo M,et al. Using unsupervised learning for network alert correlation[C]//Conference of the Canadian Society for Computational Studies of Intelligence. Springer,Berlin,Heidelberg,2008: 308-319.
7. Cuppens F,Ortalo R. Lambda: A language to model a database for detection of attacks[C]//International Workshop on Recent Advances in Intrusion Detection. Springer,Berlin,Heidelberg,2000: 197-216.
8. Chieu H L,Ng H T. A maximum entropy approach to information extraction from semi-structured and free text[J]. Aaai/iaai,2002,2002: 786-791.
9. Llorens H,Saquete E,Navarro B. TimeML events recognition and classification: learning CRF models with semantic roles[C]//Proceedings of the 23rd International Conference on Computational Linguistics (Coling 2010). 2010: 725-733.
10. Ahn D. The stages of event extraction[C]//Proceedings of the Workshop on Annotating and Reasoning about Time and Events. 2006: 1-8.
11. 丁效、宋凡、秦兵等. 研究音乐领域典型事件提取 *** [J]. 中文信息学报,2011,25(2)15-21.