本文為安全知識圖譜技術白皮書《踐行安全知識圖譜，攜手邁進認知智慧》精華解讀系列第四篇，介紹瞭如何利用知識圖譜相關技術實現攻擊路徑調查，主要依據圖表示學習與圖譜推理實現攻擊路徑評估與路徑修復。

一、攻擊事件調查面臨的困境

在網路空間中，作為防禦者需要“知彼”，就是回答在網路攻防對抗中誰攻擊了我，攻擊點在哪以及相關攻擊路徑，這便是攻擊事件調查。威脅評估是從海量的資料中找到真正的攻擊者，回答的是誰攻擊了我的問題，除此之外，還需要找到完整的攻擊路徑實現攻擊事件調查。攻擊事件調查技術可以確定攻擊源、攻擊中間介質（中間點），以及其相應的攻擊行為路線，以此制定更有針對性地防護與反制策略，達到主動防禦的效果。可見攻擊事件調查是網路空間防禦體系從被動防禦到主動防禦轉換的重要步驟。

現有的網路攻擊不再侷限於單步攻擊，透過單步攻擊告警往往無法確定攻擊者的真實目的，僅為複雜的多步攻擊的一個步驟。複雜的多步攻擊是攻擊者實施攻擊來達到最終的攻擊目標，安全分析通常需要關聯每一步的攻擊行為才能發現其攻擊意圖。目前遇到真實的網路攻擊時通常需要有經驗的安全專家使用多維度安全產品提供的告警等資訊，並結合其自身的專業知識去調查取證及分析，進而得出攻擊者完整的攻擊路徑，進一步從攻擊路徑的每一環節上進行應急處置。因此，智慧的攻擊路徑調查是網路空間防禦體系不斷髮展的重要基礎。

二、知識圖譜推理

知識圖譜的知識推理就是利用已知的知識推理出新知識的過程。隨著知識圖譜概念的出現與發展，知識推理已成為知識圖譜上層應用的基礎性技術。

知識推理的兩個主要應用是知識補全和知識去噪。知識圖譜通常用(頭實體，關係，尾實體)三元組形式表達事物的屬性以及事物之間的語義關係。其中，事物和屬性值作為三元組中的實體，屬性和關係作為三元組中的關係。知識圖譜補全實際上是給定三元組中任意兩個元素，試圖推理出缺失的另外一個元素。也即，給定頭實體和關係(關係和尾實體)，找出與之形成有效三元組的尾實體(頭實體)，也稱為實體預測；同理，給定頭實體和尾實體，找出與之形成有效三元組的關係，也稱為關係預測。無論實體預測還是關係預測，最後都轉化為選擇與給定元素形成的三元組更可能有效的實體/關係作為推理預測結果。這種有效性可以透過規則的方式推理或透過基於特定假設的得分函式計算。而知識圖譜去噪，實際上是在判斷三元組的正確與否。因此，雖然知識圖譜補全專注於擴充知識圖譜，而知識圖譜去噪專注於知識圖譜內部已有三元組正確性的判斷，但本質上都是基於已有知識透過推理方法來評估其三元組的有效性。

安全知識圖譜是知識圖譜在網路安全領域的實際應用，包括基於本體論構建的安全知識本體架構，以及透過威脅建模等方式對多源異構的網路安全資訊進行加工、處理、整合，轉化成為的結構化的智慧安全領域知識庫，其中代表工作有STUCCO[1]、UCO[2]、MALOnt[3]等。

安全知識圖譜推理面臨著通用知識圖譜所面臨的同樣問題，如知識補全、知識去噪等。安全知識圖譜的構建是集成了與安全相關的異構知識庫如CVE[4]、CCE[5]、CVSS[6]、CAPEC[7]、CYBOX[8]、KillChain和STUCCO等。這些異構資訊的整合主要透過安全專家介入來實現，這些知識之間存在的間接關係或潛在的知識需要透過一定的技術手段來挖掘。

攻擊事件調查是基於已經確定的攻擊事件回溯整個攻擊過程，理想情況是基於知識圖譜輔助實現對整個攻擊路徑的調查。由於告警的資料量過大，相關路徑涉及到的實體數量呈指數倍增加，從大量的路徑中人工排查攻擊路徑是不現實的，另外，由於資料採集和知識提取的不完全性會存在路徑缺失的情況。為解決攻擊路徑調查問題，需要應用有效的安全知識圖譜的關係推理機制。

三、知識圖譜助力攻擊路徑調查

當前，安全知識圖譜與日誌之間的語義鴻溝問題是制約安全知識圖譜應用到攻擊路徑調查的關鍵，主要原因是安全知識圖譜是描述安全事件相關的抽象知識，而日誌資訊記錄的是網路流量和系統行為等，其不僅包含攻擊事件相關的資訊，同時也包含系統正常執行的資訊，只有透過對相關知識補充才可以解決這種語義鴻溝的問題，實現安全知識圖譜與日誌的語義關聯，使知識圖譜與底層日誌資料處於同一層次的語義空間，再透過圖分析方法實現攻擊路徑分析。

圖1 攻擊行為與日誌之間的語義鴻溝

當前的一些方法針對該問題提出了有效的解決方案，如文獻[13]中攻擊行為語義提取。如圖2所示該技術框架使用圖嵌入模型來推理安全知識圖譜中節點的語義，並枚舉出所有的表示行為實體的子圖。

圖2 基於安全知識圖譜的行為提取流程

其中利用NLP相關技術來實現攻擊事件到日誌的描述是可行的。如圖3所示，該技術框架針對攻擊事件報告中攻擊行為的描述進行語義與語法分析，提取有效的實體與關係建立攻擊行為子圖，該攻擊子圖可以直接應用到日誌溯源圖中。

圖3 EXTRACTOR[14]技術框架

攻擊事件調查的另一個問題是路徑依賴爆炸問題。基於圖中路徑的攻擊資訊並不能完全反應攻擊路徑，需要結合威脅評估方法，把溯源圖中的節點看作目標實體，邊看作攻擊行為，透過攻擊威脅評估模型得到溯源圖中每個節點的威脅度，基於節點的威脅度透過貪心演算法找到攻擊路徑。方法如圖4所示。已知IP1為攻擊者，其相鄰節點只有IP2，那麼攻擊路徑為IP1→IP2。IP2的鄰節點有5個，其中威脅度最大的是P1節點，則攻擊路徑變成IP1→IP2→P1。基於貪心演算法可以得到攻擊路徑IP1→IP2→P1→P2→f2。

圖4 溯源圖中的節點威脅度評估

真實的企業安全運營中，攻擊行為是有一定的時序性，因此在調查攻擊路徑時需要考慮攻擊行為的時序特徵。透過對節點和邊的威脅評估結果為節點與邊賦予一個表述威脅度的權重。

在攻擊路徑調查過程中，通常始於已確定的攻擊行為或已攻陷的受害者攻擊路徑，而溯源的終止條件通常為外部IP的網路連線行為，如果無法溯源到網路連線行為則該主機即為最終攻擊者。

這裡路徑溯源演算法採用貪心演算法。初始的溯源點可以是一個頂點也可以是一個被檢測為攻擊的行為。如果為頂點的話直接遍歷該頂點的鄰接節點，然後從鄰居節點選擇一個異常得分大的節點作為下一跳的起點。如果初始溯源是攻擊行為的話，以該攻擊行為的目標節點為初始頂點遍歷該節點的所有發生在該行為之後的鄰居節點，並從中選擇一個異常得分最大的節點作為下一跳的起始節點，重複以上過程直到遍歷過程結束或是頂點是外部IP。

四、總結

網路攻擊事件調查技術透過綜合利用各種手段主動地追蹤網路攻擊發起者、定位攻擊源，結合網路取證和威脅情報，有針對性地減緩或反制網路攻擊，爭取在造成破壞之前消除隱患，在網路安全領域具有非常重要的現實意義。安全知識圖譜相關技術能大大提升攻擊事件調查的自動化，降低對安全運營人員的知識門檻。雖然依然存在巨大挑戰，但不可否認安全知識圖譜將是推動企業安全運營從感知到認知的主要技術途徑。

參考文獻

1. Iannacone, M., et al., Developing an Ontology for Cyber Security Knowledge Graphs, in Proceedings of the 10th Annual Cyber and Information Security Research Conference. 2015, Association for Computing Machinery: Oak Ridge, TN, USA. p. Article 12.

2. https://github.com/stucco/ontology.

3. Rastogi, N., et al., MALOnt: An Ontology for Malware Threat Intelligence. 2020.

4. Mell, P. and T. Grance, Use of the Common Vulnerabilities and Exposures (CVE) Vulnerability Naming Scheme. 2002.

5. Mitre. Common configuration enumeration. Available from: https://cce.mitre.org/about/ index.html.

6. First. Common vulnerability scoring system. Available from: https://www.first.org/cvss/ specification-document.

7. Mitre. Common attack pattern enumeration and classification. Available from: https: //capec.mitre.org/.

8. Mitre. Cyber observable expression. Available from: https://cyboxproject.github.io/.

9. Kipf, T.N. and M. Welling, Variational Graph Auto-Encoders. 2016.

10. King, S.T. and P.M. Chen. Backtracking intrusions. in Proceedings of the 19th ACM Symposium on Operating Systems Principles 2003, SOSP 2003, Bolton Landing, NY, USA, October 19-22, 2003. 2003.

11. Hassan, W.U., et al. OmegaLog: High-Fidelity Attack Investigation via Transparent Multi-layer Log Analysis. in Network and Distributed System Security Symposium. 2020.

12. Haas, S., R. Sommer, and M. Fischer, zeek-osquery: Host-Network Correlation for Advanced Monitoring and Intrusion Detection. 2020.

13. Zeng J , Zheng L C , Chen Y , et al. WATSON: Abstracting Behaviors from Audit Logs via Aggregation of Contextual Semantics[C]// Network and Distributed System Security Symposium. 2021.

14. Satvat K , Gjomemo R , Venkatakrishnan V N . EXTRACTOR: Extracting Attack Behavior from Threat Reports[J]. 2021.