面向网络空间安全的威胁情报本体化共享研究*
2018-01-19陈剑锋范航博
陈剑锋,范航博
(1.中国电子科技网络信息安全有限公司,四川 成都 610041;2.中国电科网络空间安全技术重点实验室,四川 成都610041;3.电子科技大学 计算机科学与工程学院,四川 成都 610041)
0 引 言
安全威胁情报(Security Threat Intelligence,STI)源自于情报学﹑网络安全和大数据的重叠领域,能够充分借鉴和吸收各交叉学科在网络空间实践中的独特优势。在网络安全背景和大数据的赋能驱动下,采用情报学的方法来规范﹑提升安全威胁信息的生产﹑分发和使用效率,能够促进企业﹑组织间建立协同防御信任联盟,实现情报信息的多方共享和使用,达到“知已知彼”的有利效果。
安全威胁情报已成为近年各大安全行业研究和产品化的焦点,但网络安全具有涉及要素众多﹑关联复杂﹑瞬息万变和量化困难等特征,对威胁情报的落地带来了极大困难。目前,在STI的标准化交换方面较,有影响力的框架﹑协议和标准包括IODEF﹑CIF﹑STIX﹑OpenIOC和Veris等[1]。所有这些规范的目标多是提供更丰富的描述能力﹑更精确的事件刻画和更易被处理的协议格式。不过,这些优点很难同时获得。在标准泛滥的当前,许多安全从业者和研究人员呼吁通过技术或非技术的综合手段来提升安全威胁情报的标准化﹑规范化和知识化水平,使政府﹑行业与企业间建立更加便捷﹑通用和稳固的安全威胁情报共享体系机制,以发挥集体智慧的合力[2]。
学术界与产业界针对威胁情报的难点共享问题开展了广泛研究,较有代表性的研究包括基于OpenIOC框架的本地攻击指示器自动生成[3]﹑对网络威胁情报的活动模型进行建立与具体应用模式分析[4]﹑通过语义网思想对安全设备进行语义概念提取与数据模型抽象[5]等。但是,纵观这些研究,安全防御与监测预警领域亟需一种表达能力强﹑无歧义﹑高效的威胁情报共享方法,既可以促进威胁情报在使用者间交互的规范化﹑有序化,提高兼容性,又能通过丰富的语义加深使用者对情报内容的深入理解,便于自动化响应策略的执行,实现安全防御主体间的无缝衔接和功能自治。
文章第1部分将介绍威胁情报驱动的网络空间防御这一新型理念,包括概念﹑价值和技术挑战;第2部分引用本体思想,描述威胁情报的本体化建模﹑映射及适配等建模过程;第3部分提出可实用的威胁情报形式化共享方法;最后总结全文。
1 威胁情报驱动的网络空间防御
1.1 威胁情报概念
情报是在一定的空间和时间限制下,将具有所要求时效性﹑相关性﹑格式性和准确性的信息内容传递给需求方,用于解决具体问题所需要的特定知识。威胁情报是情报在网络空间安全对抗领域的存在形式,是针对已经存在或正在显露的威胁或危害资产行为,基于证据知识包含情境﹑机制﹑影响和应对建议,用于帮助解决威胁或危害进行决策的知识。
威胁情报涵盖具有情报价值的网络空间安全信息,包括可能威胁用户的业务﹑网络﹑软件﹑服务器漏洞﹑风险﹑脆弱性和攻击行为等。威胁情报对网络安全的意义,如同商业情报对销售﹑财务﹑市场营销的意义。利用大数据﹑人工智能领域多样化﹑成熟的信息处理及分析手段再现和还原攻击的发生过程,能够推演出对方预期的攻击目标和效果,使防御者能够尽早准备和响应,从而降低损失。
1.2 威胁情报的价值
检测﹑拦截APT(Advanced Persist Threat,Advanced Persist Threat,高级持续性威胁)攻击的严峻挑战,是当前安全从业人员面临的首要困难。APT往往由经验丰富的黑客发起,他们准备的攻击资源﹑流程和策略都是精心选择的,通常被称为TTP(Tactics,Technology & Procedure),即战术﹑技术和行为模式。TTP的准备工作极为费时费力,因而攻击者在入侵一系列系统架构﹑资产类型都相似的目标任务中倾向于重复使用TTP。
攻击者TTP尽管不是始终不变的,但其在短期内的稳定性仍然为安全防护者带来了时间﹑空间窗口余量。非法流量和行为终究无法隐藏,这时较早受到入侵的防御者有可能获取到关于攻击的细节信息,而这些信息对于尚未遭受攻击的其他防御者具备较高的价值。如果情报能够充分共享,处置手段得当,那么这些目标能够免疫未来的同源攻击,避免潜在破坏和损失。此外,情报中关于威胁细节的披露也能使被攻击的企业更快地从故障中恢复。
表1给出了安全威胁情报通常可能包含的8个层级及相关含义。不同层级代表了安全威胁情报内容的详略程度。层次越低的数据,细节越丰富,结构化程度越高,但无法说明攻击的全面情况;层次越高的数据,抽象程度越高,结构化程度越差。使用者虽然可以从情报中得到指导行动的建议并组织处置措施,但这些内容对机器而言往往是不可理解的。
安全威胁情报能够作用于网络空间防御的各个环节。将安全威胁信息情报化,是在新的威胁形式和风险环境下,网络空间防御思路从以往面向漏洞的方法进化成面向威胁方法的必然选择。安全威胁情报可以为态势感知﹑早期预警和应急响应提供支撑。它和大数据安全分析﹑攻击链击破等思想,正在形成新一代防御体系的基石。
表1 安全威胁情报的层级说明
1.3 技术挑战
知识和情报的价值在于传递和共享。因此,未能投递至最终用户的情报没有任何意义,无法理解或内容含混的情报也难以使用。威胁情报体系结构复杂﹑内容丰富﹑用法多样﹑受众广泛。为了最大限度节约使用者的资源和精力,威胁情报的处理过程必须尽可能自动化,从而对机器与机器之间实现情报内容的可读﹑可理解的规范化交换提出了迫切要求。
当前,众多安全厂商已经为系统之间的情报交互设计了多种协议,但主要以格式要求严格﹑缺乏灵活性的专用﹑私有协议为主,无法完成威胁情报共建﹑共享﹑共用的预期目标。另外,情报使用者之间的能力鸿沟差距较大,并不是每一企业都具有正确解读及应用主流格式安全威胁情报的能力。一般来说,企业在信息安全投入越高﹑经验越丰富,就越能在及时﹑准确的安全威胁情报中受益;相反,企业就很难及时对威胁情报做出正确响应,信息无法按照标准方式与网络﹑资产或业务操作活动进行关联。
安全威胁情报应用的挑战主要发生在共享环节。不考虑企业利益﹑策略和形象等方面因素,威胁情报共享的技术难题包括以下三方面。
(1)安全系统间威胁情报共享的可扩展性问题。不同情报交互协议的格式字段均在设计之初就严格限定,灵活性差,难以扩展,表达能力欠缺。
(2)安全系统间威胁情报共享的概念一致性问题。情报交互协议的要素定义不统一,元数据间孤立性强,缺乏语义和联系,不同厂商的设备间难以对安全领域概念﹑术语和取值形成一致的约定和认知。
(3)安全系统间威胁情报共享的接口通用问题。协议主要依托厂商自行开发的专用﹑封闭模块实现,在多个厂商间进行信息的适配与转接工作量巨大。
企业间信息交互智能度的不足,导致一个个情报孤岛的形成。因此,安全界迫切需要构建一种表达能力强﹑格式规范﹑扩展性好﹑易于处理的交互机制来打破威胁情报信息交换的瓶颈,最大化威胁情报应用的潜力。
2 威胁情报的本体化
2.1 本体与威胁情报
Fensel定义本体是对一个特定领域中重要概念共享的形式化描述,实质上是关于概念的一致共享协议。它以规范化﹑无冲突的词汇表达为特征。这种共享协议包括领域知识模型﹑概念框架﹑通信协议和领域知识的表示方法等。本体通过减少概念和术语上的歧义,为使用不同语言﹑具有不同背景和目的的个体提供一致性的框架和语义模型,从而使他们之间的理解和交流成为可能[6]。
本体的这种特性使得它尤其适用于威胁情报这类概念众多﹑关联复杂﹑更新迅速﹑信息共享需求迫切的场景。在表达方面,本体能够将威胁情报领域的有关概念﹑定义和表达方式抽象并规范化为一张多维的语义网络,从而更加系统﹑全面地揭示这些概念以及实例化后的事件间的相互关系,从而合理﹑正确地表达威胁情报中包含的威胁因素﹑威胁活动﹑安全事故等概念特征,进一步可以关联攻击模式﹑身份﹑观察到的数据﹑威胁行为者﹑安全漏洞等细分信息。在共享方面,本体能够消除和填补不同威胁情报来源﹑格式﹑数据类型之间的语义鸿沟,允许通过一致﹑无歧义的语义框架和映射规则,在多个情报个体之间实现信息的泛在理解和沟通。与现有的多格式威胁情报交换语言相比,基于本体的信息共享方式更能顺应现代网络安全领域事件信息和知识组织的需要,实现威胁情报在多个实体间的“一处生成,泛在共享”。
2.2 威胁情报本体建模
本体建模包括需求收集﹑目标分析﹑领域知识提炼﹑概念化﹑形式化﹑评价和编码等相互衔接的过程。其中,领域需求是本体建模过程的输入,指定了领域本体需要达到的目标和应用范围;本体库是本体设计过程的输出,代表了领域概念知识向形式化﹑规范化结构的转变。威胁情报本体设计流程如图1所示。
图1 威胁情报领域本体建模流程
常用的本体模型中的建模元语包括即类/概念﹑关系﹑函数﹑公理和实例五种[7]。类或概念表示的是对象的集合,在威胁情报领域指个体或事务,包括属性﹑功能﹑行为和策略等;关系指代概念之间的交互作用,可以是1维也可以是n维,如防火墙规则中常用的五元组(源地址﹑目的地下载﹑源端口﹑目的端口﹑协议)就是威胁情报中关于策略的关系;函数是一类特殊的关系,该关系的前n-1个元素可以唯一决定第n个元素,在某种程度上可以描述计算相关性;公理指永真断言,是概念体系推理的基础和前提;实例是概念的具象化,代表在网络空间中真实存在的个体,具有概念规定的所有属性,也受概念间的关系影响。
事实上,威胁情报的本体模型定义了威胁情报的数据空间,即所有可能出现的威胁情报类型﹑内容的抽象集合。但是,与传统静态﹑固化的数据结构或规则框架不同,基于知识的本体是一个开放的体系,新概念﹑新关系和新公理等在不与已有知识矛盾的前提下可以动态添加,促进知识体系的自我更新和不断完善。
2.3 威胁情报本体概念映射
本体概念映射是在不同的语言体系间搭建语义桥﹑建立语义联系的过程。在威胁情报语境中,本体映射将原始威胁情报包含的信息基于本体语言进行重构,形成概念化﹑形式化标准描述,便于被其他使用者访问和集成。映射后,威胁情报领域的重要概念如资产﹑威胁﹑信誉﹑脆弱性﹑对策以及概念之间的相互约束关系等被添加至本体中,由此形成的知识模型能够用于实例数据的向本体结构的转换。同时,知识体系中的一致性问题能够得到检测,以避免矛盾或冲突。
威胁情报原始信息通常以无结构的日志﹑半结构化的XML/JSON﹑以及结构化的数据库记录等形式存在。为了达到信息泛在理解和复用的目的,必须在领域本体模型的规范下对信息进行分析﹑整理和加工,利用形式化语言(基于框架的逻辑﹑一阶谓词逻辑﹑描述逻辑等)对结果进行描述,形成领域知识断言。
映射过程中,对原始信息进行基于转换规则的分析,区分内容中蕴含的用于描述实体的﹑描述属性的或描述关系的信息,并将其映射至本体的相应部分中。对于结构化数据,可以通过数据库中定义良好的结构来获取公理,并对数据库的关系模式进行语义分析,从而获取构建本体所需的概念和关系。对于半结构化数据,可以利用隐含的结构信息来建立规则,或者通过预定义﹑自学习的方式来发现映射函数,最终转换为本体;对于非结构化的数据可以利用基于语言学的﹑统计的和混合方法来获取概念,通过基于模板的﹑概念聚类的﹑关联规则或基于词典的方法来获取关系。由于非结构化数据的内容语法相差很大,当前对于未知格式或自然语言描述的威胁情报信息,识别的准确率还较低。图2给出了结构化威胁信息标准(STIX)核心概念经过映射后的一类可视化结果。
图2 STIX威胁情报核心概念的本体可视化
2.4 威胁情报本体适配
安全设备威胁情报本体适配是本体概念映射的对偶过程。威胁情报的使用者通过共享途径接收以本体语言描述的威胁情报,通过对情报内容的解析﹑选择和提取,将通用领域本体转换为本地威胁描述语言,并对设备参数进行相应配置,以有效利用情报内容。在情报内容的解析和选择过程中,使用者可以利用相关的本体查询语言设置关注的威胁对象﹑区域信息或过滤条件,并执行查询,从而快速提取感兴趣的相关信息。
(2)CFD仿真工具,实现对旋流全流场精准优化设计,根据具体需求,优化出最佳入口旋流位置、切向速度、旋流强度,抗来水水质波动性更强,可以适应水质50%的变化。
3 威胁情报的形式化共享方法
3.1 体系框架
设定情报生产者﹑情报传递者和情报使用者三类角色,基于本体思想,在基于领域知识模型的映射引擎﹑适配引擎的驱动下,威胁情报自网络空间生成﹑转换并运用至网络空间。共享方法的框架如图3所示。
情报生产者:一般是专业的安全分析机构,汇集和接收受害者上报的信息,经过处理﹑分析﹑编排后形成情报并发布。
情报传递者:一般由情报服务门户﹑情报知识库及情报传递节点构成,是联结情报使用者与情报生产者的纽带。
情报使用者:情报的最终用户,在获取情报内容后进行及时处置。使用者可以评估情报质量并反馈生产者,帮助其改进情报质量。
图3 威胁情报的形式化共享框架
威胁情报的形式化共享,首先针对安全威胁情报的领域特点建立本体模型,包括对知识体系的定义和描述﹑概念的抽取﹑关系的建立等步骤。其次,将情报生产者使用本地描述语言生成的原始威胁情报,在领域本体模型的规范下,转换为基于本体表示的形式,并发送至本体通信服务。再次,本体通信服务基于映射﹑语义分析和路由等机制,实现威胁情报的正确交付,包括本体的序列化﹑接口的服务化﹑目的地检查等步骤。最后,情报使用者接收威胁情报,将通用领域本体转换适配为本地描述语言,对设备参数进行相应配置以应对威胁,包括威胁本体的本地化﹑本体概念结构的适配和专用策略描述的转换等步骤。
3.2 本体传输
为了在不同的使用者间共享本体化情报,需要可以通过网络承载的序列化数据格式来描述和记录情报知识。RDF(Resource Description Framework,资源描述框架规范)是W3C在XML的基础上推荐的资源表示标准模型,其中的节点用来表示资源,弧用来表示资源的属性关系。RDF的数据模型由资源﹑属性和陈述三元组的语法形式构成,可以作为描述领域本体模型这类复杂关系的基础模型,进而将威胁情报领域本体中包含的知识以三元组的形式完整记录下来。
RDF模型的默认描述语言是XML。通过XML强大的表达能力﹑广泛的网络接口成熟度和精确的查询语言,实现对概念的检索和本体的序列化。但是,实际应用中,XML较为臃肿,在编码较大的本体模型时会耗费额外的存储空间和流量。Turtle﹑N-triples或JSON-LD作为XML RDF的替代方案,在目前的系统中被主流的RDF数据库如Apache Jena和GraphDB等所支持,在传输本体方面具有较好的兼容性和体积效费比。
3.3 知识分发与查询
分发是情报生命周期的重要环节,目标是在有效的时间内通过快速组织与实施,以正确的方式递交正确的信息到需求方手中,实现情报按需﹑顺畅﹑安全地共享。分发方式包括主动﹑被动两类。
第一类,主动情报分发方法。基于安全威胁情报内容与用户需求属性的关系,向用户分发相关数据。在新情报或例行情报产生后,生产者根据安全威胁信息的匹配度,将数据推送到相应的使用者。主动分发方式能够确保时效性,使得最紧急﹑最关键的情报能在第一时间到达接收者,以指导响应工作的进行。
第二类,被动情报分发方法。它是一类需求驱动的情报分发方法。安全威胁情报提供者将可供选择的情报种类以服务方式在门户公开发布,用户根据自己的需求查找相应的内容,随后用系统提供的指定接口进行访问。
以本体结构表达的威胁领域情报采用易于被计算机分析和处理的知识表达和信息组织模式,有利于使用者在接收后使用面向本体结构的查询语言如SPARQL等,完成在传统关系型数据组织方式中难以实现的复杂推理,从而迅速获取在当前场景中最适合自己使用的知识。
3.4 情报使用
使用者接收到的威胁情报可以分为基础威胁情报﹑战术威胁情取和战略威胁情报三个层次。威胁情报可以回答的问题包括归属性问题﹑检测性问题﹑指向性问题和预测性问题四类。
(1)归属性问题:区分特定的行为或者证据,主要回答攻击者是谁﹑来自哪里﹑采用什么手段的问题,是最有价值的情报。但是,由于清晰明确的回答需要通过大量的指标分析印证才能得到,因而这类情报的收集和处理能力不是大多数企业具备的。
(2)检测性问题:指向在互联网上可以观察到的事件,并通过特征匹配将其升级为安全事件。它能够回答在哪里﹑发生了什么的问题。这类威胁情报是在实际传递中占比最广泛的情报内容。
(3)指向性问题:预测哪些网络﹑信息系统或计算机可能成为定向攻击的目标。这类指标虽然非常有价值,但是它和特定的行业或者组织关联更紧密,因此现在很少看到此方面内容的威胁情报提供。
(4)预测性问题:通过已有事件来预测其他事件的发生,基于攻击者行为模式﹑受害者和第三方风险方面的信息做出判断,通知潜在可能受攻击的相关个体。
企业在接收到安全威胁情报后,可以执行的动作包括关闭系统﹑终止服务﹑封堵端口﹑更新规则﹑修改配置﹑安装补丁﹑启动蜜罐﹑隔离网络﹑增添安全设备等。如何响应安全威胁情报取决于企业的安全目标和防御策略。由于情报服务成本较高,企业应充分研究情报服务提供商的优势和局限性,对情报质量和性价比进行评估,依据希望达成的安全目标进行筛选组合,从而定制最适宜自身防护需求的解决方案。
4 结 语
本体是一类整合了知识表示﹑挖掘﹑共享和重用机制的信息模型,在网络安全领域能够较好地适应威胁情报组织﹑管理和交互过程的需要,因而得到了业界安全工作者的高度关注和积极研究。基于本体驱动的威胁情报运用代表了数据驱动安全的发展趋势,为安全信息的泛在共享﹑普适理解和跨域协同注入了新的活力。可以预期,随着威胁情报领域知识描述规范﹑知识交互协议﹑知识推理引擎和知识存储容器的快速发展演化和成熟,网络空间安全防护架构,将实现以知识为中心﹑生态为保障的崭新变革。
[1] Barn um,Sean.Standardizing Cyber Threat Intelligence Information with the Structured Threat Information eXpression(STIX™)[J].MITRE Corporation,2012(11):1-22.
[2] Brown,Sarah,Joep Gommers,et al.From Cyber Security Information Sharing to Threat Management[C].Proceedings of the 2nd ACM Workshop on Information Sharing and Collaborative Security,2015.
[3] 徐文韬,王轶骏,薛质.面向威胁情报的攻击指示器自动生成[J].通信技术,2017,50(01):116-123.
XU Wen-tao,WANG Yi-jun,XUE Zhi.Indicator Autogeneration of Compromise Oriented to Threat Intelligence[J].Communications Technology,2017,50(01):116-123.
[4] 陶昱玮.网络威胁情报活动模型建构与解析[J].保密科学技术,2017(08):21-28.
TAO Yi-wei.Construction and Analysis on Activity Models of Network Threat Intelligence[J].Secrecy Science and Technology,2017(08):21-28.
[5] 黄炜.语义网技术在网络威胁情报分析系统的应用[D].北京:北方工业大学,2017.
HUANG Wei.Applications of Semantic Web Technology in Cyber Threat Intelligence Analyze Systems[D].Beijing:North China University of Technology,2017.
[6] Fensel,Dieter.Ontologies[C].Ontologies,Springer Berlin Heidelberg,2001:11-18.
[7] Gómez-Pérez,Asunción,Oscar C.Ontology Languages for the Semantic Web[J].IEEE Intelligent Systems,2002,17(01):54-60.
