基于攻击行为动态特征的安全事件发展脉络构建技术

乌吉斯古愣 刘晓影 俞赛赛

（中国电子科技集团公司第三十研究所 四川省成都市 610093）

1 引言

随着计算机技术和互联网技术的飞速发展，网络在促进社会进步的同时，黑客组织以及网络非法分子使用计算机领域相关技术通过非法获取账号密码、控制系统管理权限等手段来谋取私利，严重影响到个人、组织以及国家的信息安全和财产安全。面对日益多样化的网络攻击，如何高效利用威胁信息关联分析技术，以及智能化安全事件感知技术，从海量离散的多源网络告警数据中挖掘有价值的信息进而发现攻击者的真实攻击目的，并把分析结果及时、准确的反馈给网络管理员，是网络安全领域一个热门且非常有意义的研究问题。其中，在对网络告警信息的分析处理过程中，突出待解决的问题主要有三点：

（1）网络告警数据量大，不易处理、分析；

（2）网络告警数据存在误报、冗余等问题；

（3）网络安全事件发生的随机性大，时间跨度不确定，不易直接提取出有价值的事件信息。

因此，网络安全事件的严重后果总是发生后才能被感知发现，甚至在发生后很长一段时间内仍然不能被感知发现。

针对以上问题，对海量离散告警数据进行综合分析，发现告警信息中隐含的逻辑关系，有效识别网络安全事件，还原安全事件发展脉络，对网络攻击的主动防御和网络空间的威胁感知具有重要意义。安全事件发展脉络构建，针对海量离散告警信息，引入安全事件动态特征更新机制，提出一种安全事件动态概率图模型，采用基于神经网络的深度学习模型，优化神经网络结构，聚合告警信息，发现安全事件，实现对安全事件的战术关联分析，解决海量离散告警信息中告警信息缺失、冗余、误报等问题导致的安全事件发展脉络难以构建的问题。

2 相关研究

在一次复杂的网络攻击中存在成千上万的告警事件，将告警事件关联聚合成统一的安全事件，推断网络安全事件的发展演化过程，有助于发现网络攻击手段，追溯网络攻击源头。目前对网络安全事件关联推断方法基本分为三类：基于相似概率的关联推断法、基于情景的关联推断法和基于安全事件前因与后果的关联推断法。

Valdes 等人[1]提出利用概率统计的方法计算攻击事件特征中相关属性之间的相似度。在属性相似度计算中，属性集的选取以及各属性相似度函数的选择至关重要，属性集主要从来源标识、攻击类别、攻击源、攻击目标、攻击时间等中选取，各属性相似度函数根据特征各有不同。Mei 等人[2]基于告警属性中的攻击行为特征相似度统计函数，聚合形成告警序列，识别多步攻击模式，该方法计算效率高，但只能发现统计意义上的告警关联关系，无法有效识别多步攻击的步骤之间的前后序关系。MUN 等人[3]提出一种基于前缀树的利用布隆过滤器查找IP 地址属性的方法。DAIN 等人[4]用概率的方法定义了告警间距离，然后将相近的告警聚成一簇，构成攻击场景。Sayed 等人[5]提出一种基于攻击状态图的告警关联模型，攻击状态图初始为已知告警，通过采用基于告警属性相似性比较的方法关联未知告警，更新攻击状态图，该方法对所有深层关联告警都会在阈值范畴内向上深度搜索，有效解决前件告警漏报的问题，但无法解决后件告警漏报的问题。

基于情景的告警关联推断是将入侵过程关联起来，推断成为连贯的攻击情景。Dain 等人[6]提出了通过机器学习的方法来训练包含已知入侵情景的数据集来“学习”告警关联模型，根据计算一个新告警属于给定情景的概率来自动建立告警关联模型。KRUGEL等人[7]利用ASL 语言描述攻击序列，形成有向图，利用图关联的方式推断下一步的攻击事件。

基于安全事件前因与后果的关联推断法使用攻击前提条件和后续结果来关联事件，王文娟等人[8]提出了一种基于因果知识的时空关联攻击场景还原技术，基于贝叶斯网络建模因果知识，挖掘具有资产属性相关性的告警序列中的具有因果关系的攻击模式。基于该思想衍生出了基于攻击图的关联分析算法，该算法提供了一种表示攻击过程的场景可视化方法。随着网络结构复杂化、攻击手段多样化，许多专家学者提出了自动生成攻击图的方法，刘威歆等人[9]提出了一种基于攻击图的多源告警关联分析算法，结合图论关系和关联阈值的设置进行攻击行为关联预测，对告警漏报和误报数量有一定的改善。攻击网是由攻击图衍生的，能在应对复杂网络攻击中更全面的呈现攻击的状态、攻击过程和攻击进展，攻击网模型针对网络攻击的过程特征，刻画了攻击行为之间的逻辑和时序关系，体现了网络攻击的过程特性。目前主要有基于攻击网的联合建模和基于Petri 网的攻击模型[10]。

综上所述，网络安全事件过程研判的相关研究已经取得了一定进展，其中采用的分析技术虽然不能完美地呈现一个安全事件发展脉络的全过程，但是除去其内在的局限性，仍是应对网络安全事件的一个有效措施，也是真正解决大量告警、攻击活动溯源的切实可行的方法。但，随着网络攻击复杂化、组织化、动态变化、多步骤分布式协同化趋势的发展，当前网络安全事件的过程研判，需要综合考虑事件动态特征的更新，以及事件发展脉络过程信息的及时补全等，从而构建事件发展的整体脉络。

3 技术研究

针对从海量、离散告警日志中安全事件发展脉络还原难的问题，研究如何发现告警事件之间隐藏的关联关系，基于攻击链行为模式智能关联结果，感知安全事件，还原完整的安全事件发展脉络，作为应对复杂多步网络攻击的有效措施。辅助网络安全监管人员对安全事件整体发展状态的监控，为实施有效的网络空间主动防御提供更全面的评估和决策依据。

基于攻击行为动态特征的安全事件发展脉络构建技术主要解决大时间宽度、事件动态发展过程、分布式空间跨度背景下离散告警事件的关联验证问题，引入动态概率攻击图模型的构建与更新算法，对安全事件基于动态模型进行表示；在安全事件动态模型要素的特征向量的基础上，通过ATT&CK 模型库的构建，采用基于循环神经网络深度学习算法的战术关联关系推理识别方法，对告警事件进行战术关联分析推理，关联补充漏报的告警事件，剔除冗余误报的告警事件，感知识别安全事件，还原安全事件发展脉络的全生命周期，解决海量离散告警事件中告警信息缺失、冗余、误报等问题导致的安全事件发展脉络难以还原的问题。

安全事件动态概率攻击图的构建与更新提供安全事件下的告警事件集合的动态概率攻击图模型，是实现基于神经网络的攻击行为关联分析与研判的表示基础。该方法能够通过对事件下攻击行为的定性分析与关联分析相结合，合理地刻画出攻击行为之间的因果推理关系。其中，动态概率攻击图更新算法能够有效迭代更新安全事件随时间推移而产生的动态变化特征，适应复杂多变的网络空间环境，具体包括动态概率攻击图的定义、动态概率攻击图的构建和动态概率攻击图的更新3 个部分[11][12]：

（1）定义动态概率攻击图，需要先定义概率攻击图PAG，概率攻击图包括关联结构和关联参数两部分，具体为PAG=(G,P)。

其中，关联结构G=(V, E)，G 是由告警事件组成的有向无环图，V 代表告警事件节点集合代表前置边和后置边的并集，前置边Eb表示当只有前置条件满足时才能实施某原子告警事件；后置边Ea表示原子告警事件成功实施后能够达到某个新的后置行为状态。

动态概率攻击图的定义，借鉴动态图思想，指会随时间推移而动态更新的概率攻击图。动态概率攻击图指在时间域T=[t0,tn]内随攻击步时Δ t 动态更新的概率攻击图流，可表示为：

其中，PAG0指初始概率攻击图，二元组指在ti时刻的概率攻击图PAGi，GCi指在ti时刻的更新操作，GCi：PAGi-1→PAGi指通过更新操作GCi，ti-1时刻的概率攻击图PAGi-1更新转化为ti时刻的概率攻击图PAGi。

（2）动态概率攻击图的构建，是对初始概率攻击图的构建与更新过程，包括关联结构构建和关联参数设定。关联结构的构建是指生成告警事件节点，识别告警节点之间的因果关联关系，依据告警事件信息，采用攻击图生成工具构建攻击图的关联结构；关联参数的设定指确定告警节点间的因果依赖强度，确定有向边权值以及每个节点的局部关联条件概率。

概率攻击图中的关联结构直观地刻画了攻击行为间的因果关联关系，关联参数量化了具体的因果依赖强度，能够有效支撑概率攻击图的准确合理化地构建。

（3）动态概率攻击图的更新，因为每次攻击图的迭代更新过程中新产生的攻击图相比较于原攻击图，重复部分较多，通过采用局部更新方法，更新攻击图每次的变化内容，具体包括告警节点的增加、关联边的增加、关联参数的调整配置等，实现对攻击图结构的动态局部更新。

基于安全事件动态概率攻击图模型构建事件战术关联信息，采用循环神经网络技术实现告警事件后序关系的研判，还原安全事件发展脉络。将告警事件集合转化为对应的特征向量作为输入，基于ATT&CK 攻击技战法知识框架下的事件动态战术关联信息，通过循环神经网络，从时间线、攻击模式、攻击发起点和攻击作用点的角度，发现潜在攻击路径和攻击目标，实现告警事件深度关联，还原安全事件发展脉络过程。

基于循环神经网络的战术关联分析方法分析研判输入告警事件之间的战术关联关系，即攻击技术之间的关联关系的获取，补全缺失的攻击技术，复现完整的攻击战术路径，如图 1 所示，算法输入为告警事件特征向量，分别是事件战术关联信息中与事件相关的攻击技术部分，以及对应攻击行为的结构化特征向量，输出战术关联矩阵，关联矩阵随后经转换网络处理即可得到量化的战术关联值。

基于关系记忆核心的战术关联关系学习与推理方法通过引入关系记忆核心（Relational Memory Core，RMC）网络架构[13]，融合残差连接[14]和注意力机制[15]，强化网络关系推理能力，解决标准记忆架构难以执行长时间序列关系推理任务的问题[16]，如图2 所示。

综上，安全事件发展脉络还原的目标是在ATT&CK 框架的基础上，通过动态攻击概率图模型的构建，提出基于强化学习的安全事件发展脉络构建方法，采用基于循环神经网络深度学习算法的战术关联关系推理识别方法，通过模型训练优化和神经网络结构的调优，基于其泛化能力支持复杂场景下发现告警事件之间的隐蔽关联关系，复现由告警事件构成的一个完整攻击行动生命周期，对提高同源威胁事件的分析能力有重要支撑作用。

4 结束语

网络安全事件的识别与发展过程的还原作为安全空间威胁感知中的一个核心任务，旨在针对多源渠道获取的大量告警信息，建立高效准确的关联分析方法和事件发展脉络还原模型，对海量告警事件进行验证过滤、聚合，以及安全事件发展脉络重建，从而判断网络环境是否遭受攻击，研判可能造成的损失，并辅助采取对应的处置策略。本文提出的基于攻击行为动态特征的安全事件发展脉络构建技术的研究，可牵引网络空间复杂攻击场景还原方向的研究，挖掘海量离散告警事件中隐含的关联关系，实现针对大时间跨度、长周期、数据缺失的安全事件发展演化过程的还原，并形成基于动态概率攻击图模型的事件表示方法和基于神经网络的事件发展脉络重建方法，实现在掌握少量威胁线索的前提下，提升安全事件全面感知的准确率，对促进网络空间主动防御领域的快速发展具有的关键性作用，是极具前景的研究方向。