国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于知識圖譜的網(wǎng)絡(luò)靶場武器庫構(gòu)建

2022-07-26 03:04葉陽王運鵬何俊江
關(guān)鍵詞:靶場知識庫開源

◆葉陽 王運鵬 何俊江

基于知識圖譜的網(wǎng)絡(luò)靶場武器庫構(gòu)建

◆葉陽 王運鵬 何俊江

(四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 四川 610065)

網(wǎng)絡(luò)靶場攻防演練需要網(wǎng)絡(luò)靶場武器庫提供大數(shù)據(jù)分析支持,而知識圖譜能有效整合多源異構(gòu)數(shù)據(jù)。本文從網(wǎng)絡(luò)安全開源情報出發(fā),基于其數(shù)據(jù)特征與格式,提出了一種自頂而下的網(wǎng)絡(luò)靶場武器庫構(gòu)建方法。從開源情報識別抽取網(wǎng)絡(luò)靶場武器庫相關(guān)實例和屬性,并通過文章提出的本體規(guī)范化知識組織結(jié)構(gòu),最后使用Neo4j圖數(shù)據(jù)庫進行知識的存儲和可視化實現(xiàn)。實驗證明,該武器庫構(gòu)建方法能有效提高信息檢索效率,為網(wǎng)絡(luò)靶場攻防演練知識共享提供新范式。

網(wǎng)絡(luò)靶場;網(wǎng)絡(luò)靶場武器庫;知識圖譜;開源情報分析

物聯(lián)網(wǎng)、云計算、5G通信等信息技術(shù)的蓬勃發(fā)展及其基礎(chǔ)設(shè)施設(shè)備的不斷完善豐富了網(wǎng)絡(luò)空間的內(nèi)在組成,使其已然成為繼陸、海、空、天以后的第五作戰(zhàn)域[1]。近年來,全球范圍內(nèi)的網(wǎng)絡(luò)安全事件呈現(xiàn)復(fù)雜化趨勢,新式的網(wǎng)絡(luò)攻擊技術(shù)和工具不斷涌現(xiàn)。提高公眾的網(wǎng)絡(luò)安全意識并培訓(xùn)從業(yè)人員的專業(yè)技能,科普最新的攻擊技術(shù)工具及其伴生的潛在威脅是應(yīng)對網(wǎng)絡(luò)攻擊的第一道防線[2]。

網(wǎng)絡(luò)靶場支持構(gòu)建虛擬或物理的演習(xí)環(huán)境,進行網(wǎng)絡(luò)武器裝備試驗和攻防對抗演練。網(wǎng)絡(luò)安全演練對參與的團隊使用不同的顏色進行標(biāo)識,其中與攻防演練密切相關(guān)的團隊主要包括白方、紅方和藍(lán)方[3]。白方負(fù)責(zé)構(gòu)建演練模擬環(huán)境并部署靶標(biāo),紅方負(fù)責(zé)利用網(wǎng)絡(luò)攻擊武器對靶標(biāo)中的漏洞進行利用,藍(lán)方負(fù)責(zé)保護靶標(biāo)免遭攻擊侵害。三者是網(wǎng)絡(luò)靶場演練過程中的重要組成部分,特別是紅方與藍(lán)方,他們的工作對新興攻擊手段的復(fù)盤與應(yīng)對具有啟發(fā)式的作用。

目前網(wǎng)絡(luò)攻擊武器及其描述主要以附件或代碼的形式隨著漏洞披露發(fā)布至安全社區(qū)論壇、漏洞庫等,而這些信息大多呈半結(jié)構(gòu)化或非結(jié)構(gòu)化的文本形式孤立存在。紅方人員需要耗費大量的精力和時間閱讀文本數(shù)據(jù)進行收集、整理和維護網(wǎng)絡(luò)靶場武器庫。這種方法效率低下,后期維護困難,很難利用實體關(guān)系輔助決斷。知識圖譜采用模式層框架規(guī)范化實體和關(guān)系的組成形式,擁有整合多源異構(gòu)數(shù)據(jù)的優(yōu)勢,為數(shù)據(jù)分析和知識挖掘提供支持[4]。

為了解決網(wǎng)絡(luò)攻擊武器數(shù)據(jù)量大、分布范圍廣、數(shù)據(jù)樣式不一的問題,本文從紅方角度出發(fā),提出了基于知識圖譜的網(wǎng)絡(luò)靶場武器庫構(gòu)建方法,按照模式層構(gòu)建、數(shù)據(jù)層知識抽取、數(shù)據(jù)層存儲的流程自頂向下構(gòu)建網(wǎng)絡(luò)靶場武器庫。

1 相關(guān)研究

專業(yè)領(lǐng)域知識圖譜構(gòu)建依賴于相關(guān)領(lǐng)域的知識體系和專家經(jīng)驗,通常采用自頂向下的方式構(gòu)建知識圖譜。這種方式從模式層出發(fā),構(gòu)建專業(yè)領(lǐng)域本體,并用其捕獲該領(lǐng)域的知識[5]。大部分國內(nèi)外學(xué)者都采用基于本體的方法構(gòu)建網(wǎng)絡(luò)安全知識圖譜:Syed等人整合了來自不同網(wǎng)絡(luò)安全系統(tǒng)的異構(gòu)數(shù)據(jù)和本體模式,構(gòu)建了統(tǒng)一網(wǎng)絡(luò)安全本體(UCO)[6]。隨后Pingle等人結(jié)合STIX對UCO進行了改進,提出UCO2.0[7]。Jia等人定義了漏洞、資產(chǎn)、軟件、操作系統(tǒng)、攻擊五種實體類型,用于從網(wǎng)絡(luò)安全知識庫構(gòu)建知識圖譜[8]。高見等人定義了六類威脅情報領(lǐng)域本體,并額外定義了36種原子本體,用于直接實例化知識圖譜中的實體[9],對網(wǎng)絡(luò)威脅情報進行分析。但是他們提出的本體細(xì)粒度高,過度依賴專家經(jīng)驗,難以對大數(shù)據(jù)進行應(yīng)用分析。

開源情報(OSINT)是網(wǎng)絡(luò)安全威脅情報的重要來源,也是網(wǎng)絡(luò)靶場武器庫的首要知識來源。雖然網(wǎng)絡(luò)安全方面已經(jīng)提出了相關(guān)的開源情報共享標(biāo)準(zhǔn),例如STIX2.1,但是基于該標(biāo)準(zhǔn)的文本信息數(shù)量匱乏,大多是自然語言文本。再加上網(wǎng)絡(luò)安全方面的語料庫質(zhì)量很低且數(shù)據(jù)匱乏,使得基于自然語言分析抽取知識十分困難。因此,本文檢索了其他定義良好的知識庫用于構(gòu)建網(wǎng)絡(luò)靶場武器庫,例如常見漏洞披露(CVE)、常見弱點枚舉(CWE)、NVD以及開源漏洞披露。CVE用于識別、定義、編碼每一個已經(jīng)披露的安全漏洞,并提供每個漏洞的一致性描述。NVD在CVE編號的基礎(chǔ)上提供了更多外部信息的關(guān)聯(lián),例如涉及弱點、受影響的軟件、超鏈接等。CWE是基于社群開發(fā)創(chuàng)建的基礎(chǔ)設(shè)施弱點列表,由相關(guān)的軟件和硬件開發(fā)公司或組織提交與修改。

上述的知識圖譜在漏洞、威脅情報等方面定義了良好的領(lǐng)域本體,但尚未有人從紅方的角度基于知識圖譜構(gòu)建網(wǎng)絡(luò)靶場武器庫。本文提出了網(wǎng)絡(luò)靶場武器庫模式層本體結(jié)構(gòu),用于形式化規(guī)范網(wǎng)絡(luò)攻擊工具的描述、屬性和關(guān)系。在數(shù)據(jù)層方面,從網(wǎng)絡(luò)安全開源情報知識庫獲取攻擊工具、惡意代碼及其相關(guān)的漏洞、基礎(chǔ)設(shè)施等描述。最后依照模式層本體結(jié)構(gòu)實例化數(shù)據(jù),進行數(shù)據(jù)存儲和可視化實現(xiàn)。

2 網(wǎng)絡(luò)靶場武器庫知識圖譜構(gòu)建

網(wǎng)絡(luò)靶場武器庫知識圖譜屬于專業(yè)領(lǐng)域知識圖譜,構(gòu)建方法自頂而下主要分為三步:首先進行開源情報知識收集;然后融入專家知識,構(gòu)建領(lǐng)域本體;最后使用該本體中抽取知識庫實體,初步構(gòu)建知識圖譜。專家對預(yù)構(gòu)建的知識圖譜進行分析,評估知識圖譜是否完整表述了知識庫現(xiàn)有的實體類型、屬性及關(guān)系。評估通過則投入使用,若存在瑕疵則重復(fù)本體建模及后續(xù)工作。主要流程如圖1所示。本章將按照該順序介紹網(wǎng)絡(luò)靶場武器庫知識圖譜構(gòu)建流程。

圖1 自頂而下知識圖譜構(gòu)建方法

2.1 開源情報收集與分析

如圖2所示,本文利用的開源情報知識庫主要有5個:NVD、CVE、通用平臺枚舉(CPE)、CWE和exploit-db。NVD、CVE是漏洞實例的來源,NVD中還記錄了漏洞的屬性和相關(guān)的實例信息,例如該漏洞影響的基礎(chǔ)設(shè)施、該漏洞擁有的弱點等。CPE和NVD中使用URI對基礎(chǔ)設(shè)施進行編碼用于唯一標(biāo)識。CWE包含了弱點的屬性信息,以及潛在的緩解措施。exploit-db是一個專業(yè)的漏洞披露知識庫,其中包含了大量可以漏洞利用的惡意軟件和惡意代碼。利用上述知識庫足以構(gòu)建一個信息完備準(zhǔn)確的網(wǎng)絡(luò)靶場武器庫知識圖譜。

圖2 網(wǎng)絡(luò)靶場武器庫相關(guān)開源情報知識庫

2.2 網(wǎng)絡(luò)靶場武器庫本體建模

本體作為規(guī)范化的框架與語義模型,擁有精簡領(lǐng)域概念和減少術(shù)語分歧的作用。通過本體可以定義與描述網(wǎng)絡(luò)靶場武器庫中的實體概念、關(guān)系和屬性。通過分析網(wǎng)絡(luò)安全開源情報的信息,結(jié)合網(wǎng)絡(luò)攻擊工具的屬性,本文提出了面向網(wǎng)絡(luò)靶場的武器庫模式層本體信息。其中共包含五類本體:

1) 惡意軟件(Malware):惡意軟件指代可被用以執(zhí)行網(wǎng)絡(luò)攻擊的工具或代碼,會對基礎(chǔ)設(shè)施的保密性、完整性或可用性造成破壞。

2) 漏洞(Vulnerability):漏洞指代存在于基礎(chǔ)設(shè)施中,因設(shè)計或?qū)崿F(xiàn)的不完善而形成的缺陷,可使用惡意軟件對其進行利用。

3) 基礎(chǔ)設(shè)施(Infrastructure):基礎(chǔ)設(shè)施指代軟件、操作系統(tǒng)等受漏洞和惡意軟件影響的資源。

4) 弱點(Weakness):由CWE定義,用于對基礎(chǔ)設(shè)施存在的漏洞進行基于弱點的標(biāo)識和分類。

5) 行動方針(Course of Action):行動方針包括對潛在的攻擊行為的預(yù)防方案,以及對正在進行的攻擊行為的應(yīng)對方案。

本文受STIX2.1啟發(fā),將行動方針單獨羅列成為一類本體。最終構(gòu)建的網(wǎng)絡(luò)靶場武器庫本體信息與本體之間的關(guān)系如圖3所示。表1 展示了每種本體的實例擁有的屬性。

圖3 網(wǎng)絡(luò)靶場武器庫本體

表1 網(wǎng)絡(luò)靶場武器庫知識圖譜實例屬性

實例類型屬性 惡意軟件名字、測試平臺、超鏈接、本地儲存地址、發(fā)布日期 漏洞名字、描述、超鏈接、發(fā)布日期 基礎(chǔ)設(shè)施名字、描述、超鏈接、版本、產(chǎn)品、經(jīng)銷商、目標(biāo)軟件、目標(biāo)軟件、目標(biāo)硬件 弱點名字、描述、常見后果、別名、結(jié)構(gòu)、利用可能性 行動方針名字、階段、描述、有效性、有效性描述

2.3 網(wǎng)絡(luò)靶場武器庫知識圖譜構(gòu)建

知識圖譜的概念由谷歌在2012年首次提出,使用圖形的形式存儲實體和它們之間的關(guān)系。相較于傳統(tǒng)的關(guān)系型數(shù)據(jù)庫,其查詢的手段更加便捷、查詢效率更高。依賴于其靈活的圖存儲結(jié)構(gòu),圖譜中的數(shù)據(jù)也便于修改更新。網(wǎng)絡(luò)靶場武器庫知識圖譜采用自頂向下的模式進行構(gòu)建。根據(jù)前文所述的本體與屬性,對開源情報中的實體規(guī)范化抽取,完成知識圖譜實體填充。圖4選取了具有代表性的三類本體,展示了網(wǎng)絡(luò)靶場武器庫知識圖譜的框架。

圖4 網(wǎng)絡(luò)靶場武器庫知識圖譜框架

本文從NVD、CVE、CWE、CPE、exploit-db獲取半結(jié)構(gòu)化文本文件。通過編寫python腳本,對多源異構(gòu)開源情報遍歷分析,實現(xiàn)實體抽取和關(guān)系獲取。以圖5展示的NVD文本為例,編寫相關(guān)函數(shù)對實例進行模式抽取,最終從半結(jié)構(gòu)化文本中獲得名字(name)、描述(description)等屬性值。通過遞歸方法對json字典對象problem type、cpe_match等項目的遍歷,抽取基礎(chǔ)設(shè)施(CPE)、弱點(CWE)實例。由于2.2節(jié)中定義的本體兩兩之間由唯一關(guān)系進行配對,獲取到與當(dāng)前實例相關(guān)的實例,等同于獲取到兩者的關(guān)系,以便嵌入知識圖譜。利用相同的方式對上述開源情報解析,即可獲得所有實體。

圖5 NVD漏洞文本分析示例

Neo4J是一個功能強大且便于編程實現(xiàn)知識圖譜的圖數(shù)據(jù)庫平臺,其Python庫neomodel提供了便捷的本體實現(xiàn)手段,其服務(wù)器引擎也開放了端口,可以利用Cypher進行圖數(shù)據(jù)庫查詢和可視化分析。因此,本文通過編寫Python代碼定義了本體規(guī)范,在Neo4J平臺實現(xiàn)本體規(guī)范到圖數(shù)據(jù)庫實例的映射。本文收集了2016年至2021年NVD的漏洞數(shù)據(jù)庫信息,以及exploit-db、CWE、CPE等開源情報知識庫,用于抽取實體,實體數(shù)量如表2所示。

表2 網(wǎng)絡(luò)靶場武器庫實體數(shù)量

實體類型數(shù)量 惡意軟件44693 漏洞95050 基礎(chǔ)設(shè)施190132 弱點947 行動方針1597

2.4 網(wǎng)絡(luò)靶場武器庫知識圖譜用例分析

本文以Log4J(CVE-2021-44228)漏洞為例,以四川大學(xué)網(wǎng)絡(luò)靶場為基礎(chǔ),實現(xiàn)對網(wǎng)絡(luò)靶場武器庫的應(yīng)用、展示與分析,該用例在圖2-5中展示。測試平臺操作系統(tǒng)為Windows 10,CPU為Intel i7-11700k,內(nèi)存大小32GB。

圖5 網(wǎng)絡(luò)靶場武器庫知識圖譜用例

當(dāng)前需要對近期影響頗深的Log4J(CVE-2021-44228)漏洞(棕色節(jié)點)進行攻防演練,則紅方可以從圖中獲取到可利用該漏洞的惡意軟件和相關(guān)信息。工具和代碼通過local(本體儲存地址)獲得。紅方還可以獲取受影響的基礎(chǔ)設(shè)施列表,以篩選靶標(biāo)實施攻防演練。除了為紅方提供知識外,白方和藍(lán)方也可以從知識圖譜中獲益。白方可以從擁有該漏洞的基礎(chǔ)設(shè)施的列表中選取搭建靶標(biāo)環(huán)境,藍(lán)方也可以分析相關(guān)弱點和行動方針來確定應(yīng)對方案。

3 實驗

在信息查詢效率方面,本文設(shè)計了三個比對實驗:①利用本文采用的方法對武器庫相關(guān)信息進行檢索;②使用官網(wǎng)搜索引擎檢索信息;③通過編寫python函數(shù)對下載的半結(jié)構(gòu)化數(shù)據(jù)進行檢索。

圖7 網(wǎng)絡(luò)靶場武器庫信息查詢實驗結(jié)果圖

實驗結(jié)果如圖7所示。由于方法②采用HTTP請求對遠(yuǎn)程數(shù)據(jù)庫進行檢索,影響的主要因素是網(wǎng)絡(luò)延遲,在沒有網(wǎng)絡(luò)的情況下難以實施。方法③可以離線進行,但是效率受限于文件解析速率和檢索速率。本文提出的網(wǎng)絡(luò)靶場武器庫構(gòu)建方法(方法①)不僅在查詢效率上優(yōu)于人工檢索方法,還提供了可視化能力和關(guān)聯(lián)分析能力,為攻防演練提供大數(shù)據(jù)分析支持。

自底而上是開放型知識圖譜的主要構(gòu)建方法。該方法采用命名實體識別(NER)和開放信息提?。∣IE)技術(shù)從非結(jié)構(gòu)化文本中抽取關(guān)系三元組,用于構(gòu)成知識圖譜。文獻(xiàn)[10]采用該方法從高級持續(xù)威脅(APT)報告中提取知識,構(gòu)建開放網(wǎng)絡(luò)威脅報告知識圖譜Open-CyKG。本文以O(shè)pen-CyKG為對照,進行定性分析,如表3所示。

表3 網(wǎng)絡(luò)安全知識圖譜分析結(jié)果

語料庫依賴知識準(zhǔn)確率屬性值數(shù)據(jù)多樣性可視化實現(xiàn) 本文方法無高豐富中已實現(xiàn) Open-CyKG[10]強中無高已實現(xiàn)

Open-CyKG雖然利用了大量的APT報告非結(jié)構(gòu)化文本信息,大幅度提升了知識圖譜內(nèi)容的豐富程度,也擁有良好的可視化實現(xiàn)手段,但其適用范圍被語料庫所約束;知識圖譜的質(zhì)量,即知識準(zhǔn)確率,也被待分析文本所限制。本文利用的知識庫由專業(yè)機構(gòu)提交,同時受社區(qū)專業(yè)人員監(jiān)督和修改,知識準(zhǔn)確率高,實例屬性值豐富,能有效利用其構(gòu)建網(wǎng)絡(luò)靶場武器庫,并采用知識圖譜技術(shù)提供數(shù)據(jù)應(yīng)用支持。

4 結(jié)論

本文提出了一種利用開源情報構(gòu)建網(wǎng)絡(luò)靶場武器庫的方案,首先引入知識圖譜技術(shù),從本體構(gòu)建出發(fā),結(jié)合相關(guān)開源情報,構(gòu)建了面向網(wǎng)絡(luò)靶場武器庫的知識圖譜本體;然后從開源情報網(wǎng)站收集半結(jié)構(gòu)化文本信息,利用本體規(guī)范知識結(jié)構(gòu),構(gòu)建網(wǎng)絡(luò)靶場武器庫;最后使用Neo4j圖數(shù)據(jù)庫進行數(shù)據(jù)存儲與可視化展示。

雖然該知識圖譜能夠利用開源情報數(shù)據(jù)庫獲取大量知識,但是如此構(gòu)建方法也加深了知識圖譜對知識庫數(shù)據(jù)依賴。下一步可以結(jié)合自然語言處理技術(shù),從開源情報識別命名實體和抽取知識三元組,以利用更廣泛的數(shù)據(jù)來源填充知識庫。

[1]楊靜言. 網(wǎng)絡(luò)靶場的建設(shè)與發(fā)展[J]. 通訊世界,2020,27(9):2.

[2]Yamin M M,Katt B,Gkioulos V. Cyber ranges and security testbeds:Scenarios,functions,tools and architecture[J]. Computers & Security,2020(88):101636.

[3]Vykopal J,Vizváry M,Oslejsek R,et al. Lessons learned from complex hands-on defence exercises in a cyber range[C]//2017 IEEE Frontiers in Education Conference(FIE).IEEE,2017:1-8.

[4]丁兆云,劉凱,劉斌,等. 網(wǎng)絡(luò)安全知識圖譜研究綜述[J]. 華中科技大學(xué)學(xué)報:自然科學(xué)版,2021.

[5]Kiesling E,Ekelhart A,Kurniawan K,et al. The SEPSES knowledge graph:an integrated resource for cybersecurity[C]//International Semantic Web Conference. Springer,Cham,2019:198-214.

[6]Syed Z,Padia A,F(xiàn)inin T,et al. UCO:A unified cybersecurity ontology[C]//Workshops at the thirtieth AAAI conference on artificial intelligence. 2016.

[7]Pingle A,Piplai A,Mittal S,et al. Relext:Relationextraction using deep learning approaches for cybersecurity knowledge graph improvement[C]//Proceedings of the 2019 IEEE/ACM.

[8]Jia Y,Qi Y,Shang H,et al.A practical approach to constructing a knowledge graph for cybersecurity[J]. Engineering,2018,4(1):53-60.

[9]高見,王安. 基于本體的網(wǎng)絡(luò)威脅情報分析技術(shù)研究[J].計算機工程與應(yīng)用,2020:112-117.

[10]Sarhan I,Spruit M. Open-CyKG: An Open Cyber Threat Intelligence Knowledge Graph[J]. Knowledge-Based Systems,2021(233):107524.

國家重點研發(fā)計劃(2020YFB1805400);國家自然科學(xué)基金(U1736212、U19A2068、62002248、62032002);四川省重點研發(fā)(20ZDYF3145)

猜你喜歡
靶場知識庫開源
精細(xì)化理念推動靶場總裝管理體系的構(gòu)建與實施
漢語近義詞辨析知識庫構(gòu)建研究
2021年6月18日,一架F-16戰(zhàn)隼在聯(lián)合太平洋阿拉斯加靶場上空
五毛錢能買多少頭牛
2019開源杰出貢獻(xiàn)獎
貴陽建首個“大數(shù)據(jù)安全綜合靶場”
大家說:開源、人工智能及創(chuàng)新
開源中國開源世界高峰論壇圓桌會議縱論開源與互聯(lián)網(wǎng)+創(chuàng)新2.0
機構(gòu)知識庫建設(shè)的動力研究
我國聯(lián)合虛擬參考咨詢系統(tǒng)知識庫現(xiàn)狀研究*
——基于與QuestionPoint的對比
延寿县| 呈贡县| 闸北区| 南雄市| 凌海市| 留坝县| 南充市| 土默特右旗| 克山县| 竹北市| 民县| 陇西县| 嫩江县| 桂东县| 四会市| 曲松县| 景谷| 东海县| 锦屏县| 岑溪市| 四会市| 建阳市| 响水县| 敖汉旗| 中超| 洪雅县| 扶沟县| 定州市| 黄梅县| 芮城县| 塔城市| 安顺市| 扎鲁特旗| 孟连| 上虞市| 象州县| 娱乐| 五原县| 桦甸市| 多伦县| 道真|