Attack Behavior Extraction Based on Heterogeneous Cyberthreat Intelligence and Graph Convolutional Networks

The continuous improvement of the cyber threat intelligence sharing mechanism provides new ideas to deal with Advanced Persistent Threats(APT).Extracting attack behaviors,i.e.,Tactics,Techniques,Procedures(TTP)from Cyber Threat Intelligence(CTI)can facilitate APT actors’profiling for an immediate response.However,it is difficult for traditional manual methods to analyze attack behaviors from cyber threat intelligence due to its heterogeneous nature.Based on the Adversarial Tactics,Techniques and Common Knowledge(ATT&CK)of threat behavior description,this paper proposes a threat behavioral knowledge extraction framework that integrates Heterogeneous Text Network(HTN)and Graph Convolutional Network(GCN)to solve this issue.It leverages the hierarchical correlation relationships of attack techniques and tactics in the ATT&CK to construct a text network of heterogeneous cyber threat intelligence.With the help of the Bidirectional EncoderRepresentation fromTransformers(BERT)pretraining model to analyze the contextual semantics of cyber threat intelligence,the task of threat behavior identification is transformed into a text classification task,which automatically extracts attack behavior in CTI,then identifies the malware and advanced threat actors.The experimental results show that F1 achieve 94.86%and 92.15%for the multi-label classification tasks of tactics and techniques.Extend the experiment to verify the method’s effectiveness in identifying the malware and threat actors in APT attacks.The F1 for malware and advanced threat actors identification task reached 98.45%and 99.48%,which are better than the benchmark model in the experiment and achieve state of the art.The model can effectivelymodel threat intelligence text data and acquire knowledge and experience migration by correlating implied features with a priori knowledge to compensate for insufficient sample data and improve the classification performance and recognition ability of threat behavior in text.

A Novel Attack Graph Posterior Inference Model Based on Bayesian Network

Network attack graphs are originally used to evaluate what the worst security state is when a concerned net-work is under attack. Combined with intrusion evidence such like IDS alerts, attack graphs can be further used to perform security state posterior inference (i.e. inference based on observation experience). In this area, Bayesian network is an ideal mathematic tool, however it can not be directly applied for the following three reasons: 1) in a network attack graph, there may exist directed cycles which are never permitted in a Bayesian network, 2) there may exist temporal partial ordering relations among intrusion evidence that can-not be easily modeled in a Bayesian network, and 3) just one Bayesian network cannot be used to infer both the current and the future security state of a network. In this work, we improve an approximate Bayesian posterior inference algorithm–the likelihood-weighting algorithm to resolve the above obstacles. We give out all the pseudocodes of the algorithm and use several examples to demonstrate its benefit. Based on this, we further propose a network security assessment and enhancement method along with a small network scenario to exemplify its usage.

A graph based system for multi-stage attacks recognition

Building attack scenario is one of the most important aspects in network security.This paper pro-posed a system which collects intrusion alerts,clusters them as sub-attacks using alerts abstraction,ag-gregates the similar sub-attacks,and then correlates and generates correlation graphs.The scenarios wererepresented by alert classes instead of alerts themselves so as to reduce the required rules and have the a-bility of detecting new variations of attacks.The proposed system is capable of passing some of the missedattacks.To evaluate system effectiveness,it was tested with different datasets which contain multi-stepattacks.Compressed and easily understandable Correlation graphs which reflect attack scenarios were gen-erated.The proposed system can correlate related alerts,uncover the attack strategies,and detect newvariations of attacks.

结合图卷积神经网络和集成方法的推荐系统恶意攻击检测

推荐系统已被广泛应用于电子商务、社交媒体、信息分享等大多数互联网平台中,有效解决了信息过载问题。然而,这些平台面向所有互联网用户开放,导致不法用户利用系统设计缺陷通过恶意干扰、蓄意攻击等行为非法操纵评分数据,进而影响推荐结果,严重危害推荐服务的安全性。现有的检测方法大多都是基于从评级数据中提取的人工构建特征进行的托攻击检测,难以适应更复杂的共同访问注入攻击,并且人工构建特征费时且区分能力不足,同时攻击行为规模远远小于正常行为,给传统检测方法带来了不平衡数据问题。因此,文中提出堆叠多层图卷积神经网络端到端学习用户和项目之间的多阶交互行为信息得到用户嵌入和项目嵌入,将其作为攻击检测特征,以卷积神经网络作为基分类器实现深度行为特征提取,结合集成方法检测攻击。在真实数据集上的实验结果表明,与流行的推荐系统恶意攻击检测方法相比,所提方法对共同访问注入攻击行为有较好的检测效果并在一定程度上克服了不平衡数据的难题。

基于时空图神经网络的应用层DDoS攻击检测方法

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击已经成为网络安全的主要威胁之一,其中应用层DDoS攻击是主要的攻击手段。应用层DDoS攻击是针对具体应用服务的攻击,其在网络层行为表现正常,传统安全设备无法有效抵御。同时,现有的针对应用层DDoS攻击的检测方法检测能力不足,难以适应攻击模式的变化。为此,文章提出一种基于时空图神经网络(Spatio-Temporal Graph Neural Network,STGNN)的应用层DDoS攻击检测方法,利用应用层服务的特征,从应用层数据和应用层协议交互信息出发,引入注意力机制并结合多个GraphSAGE层,学习不同时间窗口下的实体交互模式,进而计算检测流量与正常流量的偏差,完成攻击检测。该方法仅利用时间、源IP、目的IP、通信频率、平均数据包大小5维数据便可有效识别应用层DDoS攻击。由实验结果可知,该方法在攻击样本数量较少的情况下,与对比方法相比可获得较高的Recall和F1分数。

基于溯源图和注意力机制的APT攻击检测模型构建

针对现有攻击检测方法难以应对持续时间长、攻击手段复杂隐蔽的高级持续威胁的问题,构建了基于注意力机制和溯源图的APT攻击检测模型。首先,基于系统的审计日志构建能够描述系统行为的溯源图;其次,设计优化算法,确保在不牺牲关键语义的前提下缩减溯源图规模;再次,利用深度神经网络(DNN)将原始攻击序列转换为语义增强的特征向量序列;最后,设计并实现了APT攻击检测模型DAGCN,该模型将注意力机制应用于溯源图序列,利用该机制对输入序列的不同位置分配不同的权重并进行权值计算,能够提取较长时间内的持续攻击的序列特征信息,从而有效地识别恶意节点,还原攻击过程。该模型在识别精确率等多个指标上均优于现有模型,在公开的APT攻击数据集上的实验结果表明,该模型在APT攻击检测中的精确率达到93.18%,优于现有主流检测模型。

因果图表征的网络攻击数据集构建

高级可持续威胁攻击因其多阶段可持续的特性,已经成为现阶段网络攻击的主要形式。针对此类型攻击的检测、预测研究,不可避免地需要相关数据集的支撑。在构建数据集时,往往需要真实的网络与主机数据。但出于隐私与安全的考虑,很少有满足要求的开源数据集。现有的数据集也往往只提供原始的网络流和日志数据,对长时攻击上下文解析的缺乏导致单纯地利用神经网络进行数据包的恶性甄别和预测的实用性不足。为了解决这些问题,该文基于网络环境的真实攻击过程数据,构建并公布了一个基于因果图的网络攻击数据集。与传统的原始网络流和日志数据集相比,该数据集充分挖掘了攻击上下文中的因果关系,可以跨长时域对高级可持续威胁攻击进行建模,方便研究人员进行攻击检测与预测的研究。该数据集开源在https://github.com/GuangmingZhu/CausalGraphAPTDataset上。

基于特征拓扑融合的黑盒图对抗攻击

在大数据时代,数据之间的紧密关联性是普遍存在的,图数据分析挖掘已经成为大数据技术的重要发展趋势。近几年,图神经网络作为一种新型的图表示学习工具引起了学术界和工业界的广泛关注。目前图神经网络已经在很多实际应用中取得了巨大的成功。最近人工智能的安全性和可信性成为了人们关注的重点,很多工作主要针对图像等规则数据的深度学习对抗攻击。文中主要聚焦于图数据这种典型非欧氏结构的黑盒对抗攻击问题,在图神经网络模型信息(结构、参数)未知的情况下,对图数据进行非随机微小扰动,从而实现对模型的对抗攻击,模型性能随之下降。基于节点选择的对抗攻击策略是一类重要的黑盒图对抗攻击方法,但现有方法在选择对抗攻击节点时主要依靠节点的拓扑结构信息(如度信息)而未充分考虑节点的特征信息,文中面向引文网络提出了一种基于特征拓扑融合的黑盒图对抗攻击方法。所提方法在选择重要性节点的过程中将图节点特征信息和拓扑结构信息进行融合,使得选出的节点在特征和拓扑两方面对于图数据都是重要的,攻击者对挑选出的重要节点施加不易察觉的扰动后对图数据产生了较大影响,进而实现对图神经网络模型的攻击。在3个基准数据集上进行实验,结果表明,所提出的攻击策略在模型参数未知的情况下能显著降低模型性能,且攻击效果优于现有的方法。

基于知识图谱的网络攻击预测方法研究及应用

针对网络攻击知识图谱,同时引入了时序信息,提出一种基于知识图谱的网络攻击预测方案,并对其进行应用。通过对网络攻击知识图谱进行规则学习和应用,能够有效地得到网络攻击事件预测结果,为网络安全运维人员提供决策支持。以企业提供的网络安全运维知识图谱为例,将文中研究的方法应用到企业安全检测系统,结果证明该方法具有充分的准确性和可行性,同时为后续研究提供了思路。

基于局部攻击图的最小关键漏洞集分析方法

为缓解攻击图应用在工业互联网安全防护中的状态空间爆炸问题,提出一种基于局部攻击图的最小关键漏洞集分析方法。提出一种以重要资产节点为目标的局部攻击图生成算法,通过裁剪不可达目标节点的攻击路径缓解状态空间爆炸问题;基于局部攻击图生成过程中得到的攻击路径漏洞集直接进行最小关键漏洞集分析,节省传统分析方法在搜索关键漏洞过程中对攻击图进行二次遍历的时空开销。在此基础上,通过工业网络实例进行分析并开展相关工作比较,实验结果表明,所提方法合理可行,可高效分析网络系统中的最小关键漏洞集。

融合子图结构的知识图谱嵌入对抗性攻击方法

知识图谱嵌入(Knowledge Graph Embedding,KGE)技术的高速发展极大提高了人类对于结构化知识的利用效率,该技术也为人工智能的相关应用提供了有利的支撑.但是知识图谱嵌入方法的脆弱性(vulnerability)给知识图谱的应用带来了巨大的挑战,近期的一些研究表明,在训练数据中添加微小的扰动便能对训练后的机器学习模型造成巨大的影响,甚至导致错误的预测结果.目前针对可能破坏知识图谱嵌入模型的安全漏洞的研究大多关注嵌入模型的损失函数而忽略图结构信息的作用,因此本文提出了一种融合子图结构深度学习的攻击方法DLOSSAA(Deep Learning of Subgraph Structure Adversarial Attack),对知识图谱嵌入的健壮性进行研究.DLOSSAA方法首先通过对子图结构的深度学习捕获相关子图的结构信息,然后通过修正的余弦相似度(Adjusted Cosine Similarity)筛选出最佳的攻击样本,最后将攻击样本添加到训练数据中进行攻击.实验结果表明,该方法能够有效降低攻击后的知识图谱嵌入模型的性能,攻击效果优于大部分已有的对抗性攻击方法.

面向流程工业系统的关键攻击步骤识别

流程工业系统面临愈来愈多的威胁,基于攻击图的关键攻击步骤识别方法能够主动识别系统威胁,提高系统安全性。然而现有方法未考虑流程工业系统层次结构、工艺执行、事故危害等特征,无法全面准确衡量系统安全情况。为此,提出一种基于混合攻击图的关键攻击步骤识别方法,通过对攻击步骤重要性程度进行排序,实现面向流程工业系统的关键攻击步骤识别。首先,构建混合攻击图识别攻击者可能采取的攻击步骤,克服传统攻击图构建方法对网络可达性的依赖。其次,综合流程工业系统特征量化攻击期望,改进接近和介数中心性指标,以捕捉混合攻击图中的攻击路径信息,同时提出边期望中心性实现节点连接边的重要性度量。最后,改进多属性决策方法实现关键攻击步骤识别。实验分析表明,所提方法能够较全面地识别系统潜在威胁,合理衡量攻击步骤节点及连接边的重要性,有效识别流程工业系统场景中的关键攻击步骤。

基于贝叶斯攻击图的RFID系统安全评估模型

针对目前RFID(Radio Frequency Identification,射频识别技术)系统安全分析中忽略攻击事件对系统安全状态动态影响的问题,为了有效实现RFID系统的安全风险评估,文章提出了一种基于贝叶斯攻击图的RFID系统安全评估模型。该模型首先通过对RFID系统结构、所用协议进行分析确定系统的脆弱性漏洞及其依赖关系,建立攻击图。针对攻击图模型只能进行定性分析的问题,构建出相应的攻击图模型结构后可以结合贝叶斯理论对其进行量化。依据漏洞的利用难易度和影响程度建立RFID漏洞量化评价指标,计算出对应的原子攻击概率,然后以条件转移概率的形式将攻击节点与RFID系统的安全属性节点联系在一起,不仅能推断攻击者能够成功到达各个属性节点的风险概率,而且能够依据攻击者的不同行为动态展示系统风险状况的变化,实现评估不同状态下目标RFID系统的整体风险状况。实验表明,所提模型可以有效地计算出RFID系统整体的风险概率,为后续实施对应的安全策略提供理论依据。

面向物理信息系统的分布式攻击图生成算法

物理信息系统包含类型多样的物理设备,现有的攻击图生成技术不适用于物理信息系统.传统的漏洞扫描技术难以检测到物理设备的漏洞,并且随着系统规模的增加,攻击图的计算会出现状态空间爆炸问题.为此,本文提出了一种面向物理信息系统的分布式攻击图生成算法.首先,针对物理设备漏洞识别较难的问题,提出了一种基于属性标记实体的方法扩展实体漏洞信息,并据此对物理信息系统进行攻击建模;其次,针对状态空间爆炸问题,提出了一种分布式攻击图生成算法,并且利用消息传递机制消除图部分的重复遍历,进一步提高了生成效率.实验结果表明,与其他相关技术相比,本文技术具有更高的生成效率.

欺骗防御技术发展及其大语言模型应用探索

欺骗防御作为主动防御中最具发展前景的技术,帮助防御者面对高隐蔽未知威胁化被动为主动,打破攻守间天然存在的不平衡局面.面对潜在的威胁场景,如何利用欺骗防御技术有效地帮助防御者做到预知威胁、感知威胁、诱捕威胁,均为目前需要解决的关键问题.博弈理论与攻击图模型在主动防御策略制定、潜在风险分析等方面提供了有力支撑,总结回顾了近年来二者在欺骗防御中的相关工作.随着大模型技术的快速发展,大模型与网络安全领域的结合也愈加紧密,通过对传统欺骗防御技术的回顾,提出了一种基于大模型的智能化外网蜜点生成技术,实验分析验证了外网蜜点捕获网络威胁的有效性,与传统Web蜜罐相比较,在仿真性、稳定性与灵活性等方面均有所提升.为增强蜜点间协同合作、提升对攻击威胁的探查与感知能力,提出蜜阵的概念.针对如何利用蜜点和蜜阵技术,对构建集威胁预测、威胁感知和威胁诱捕为一体的主动防御机制进行了展望.

Optimal monitoring and attack detection of networks modeled by Bayesian attack graphs

Early attack detection is essential to ensure the security of complex networks,especially those in critical infrastructures.This is particularly crucial in networks with multi-stage attacks,where multiple nodes are connected to external sources,through which attacks could enter and quickly spread to other network elements.Bayesian attack graphs(BAGs)are powerful models for security risk assessment and mitigation in complex networks,which provide the probabilistic model of attackers’behavior and attack progression in the network.Most attack detection techniques developed for BAGs rely on the assumption that network compromises will be detected through routine monitoring,which is unrealistic given the ever-growing complexity of threats.This paper derives the optimal minimum mean square error(MMSE)attack detection and monitoring policy for the most general form of BAGs.By exploiting the structure of BAGs and their partial and imperfect monitoring capacity,the proposed detection policy achieves the MMSE optimality possible only for linear-Gaussian state space models using Kalman filtering.An adaptive resource monitoring policy is also introduced for monitoring nodes if the expected predictive error exceeds a user-defined value.Exact and efficient matrix-form computations of the proposed policies are provided,and their high performance is demonstrated in terms of the accuracy of attack detection and the most efficient use of available resources using synthetic Bayesian attack graphs with different topologies.

自动化渗透测试技术研究综述

渗透测试是发现重要网络信息系统弱点并进而保护网络安全的重要手段.传统的渗透测试深度依赖人工,并且对测试人员的技术要求很高,从而限制了普及的深度和广度.自动化渗透测试通过将人工智能技术引入渗透测试全过程,在极大地解决对人工的重度依赖基础上降低了渗透测试技术门槛.自动化渗透测试主要可分为基于模型和基于规则的自动渗透测试.二者的研究各有侧重,前者是指利用模型算法模拟黑客攻击,研究重点是攻击场景感知和攻击决策模型;后者则聚焦于攻击规则和攻击场景如何高效适配等方面.主要从攻击场景建模、渗透测试建模和决策推理模型等3个环节深入分析相关自动化渗透测试实现原理,最后从攻防对抗、漏洞组合利用等维度探讨自动化渗透的未来发展方向.

基于最大熵强化学习的最优渗透路径生成方法

从攻击者角度分析入侵意图和渗透行为对于指导网络安全防御具有重要意义。然而,现有的渗透路径大多依据瞬时的网络环境构建,导致路径参考价值降低。针对该问题,文中提出了一种基于最大熵强化学习的最优渗透路径生成方法,该方法可以在网络环境动态变化的情况下,以探索的形式捕获多种模式的近似最优行为。首先,依据攻击图和漏洞评分对渗透过程进行建模,通过量化攻击获益来刻画渗透行为的威胁程度;然后,考虑到入侵行为的复杂性,开发基于最大熵模型的Soft Q-学习方法,通过控制熵值和奖励的重要程度来保证求解渗透路径的过程具有稳定性;最后将该方法应用于动态变化的测试环境中,生成高可用的渗透路径。仿真实验结果表明,相比于现有基于强化学习的基准方法,所提方法具有更强的环境适应性,能够以更低的代价生成更高收益的渗透路径。

基于MGAT-TCN模型的可解释电网虚假数据注入攻击检测方法

新型电力系统背景下,快速、准确的虚假数据注入攻击(FDIA)检测对电网安全运行至关重要。但现有深度学习方法未能充分挖掘电网量测数据的时序和空间特征信息,影响了模型的检测性能;同时,深度神经网络的“黑盒”属性降低了检测模型的可解释性,导致检测结果缺乏可信度。针对上述问题,提出了一种基于多头图注意力网络和时间卷积网络(MGAT-TCN)模型的可解释电网FDIA检测方法。首先,考虑电网拓扑连接关系与量测数据的空间相关性,引入空间拓扑感知注意力机制,建立多头图注意力网络(MGAT)提取量测数据的空间特征;接着,利用时间卷积网络(TCN)并行提取量测数据的时序特征;最后,在IEEE 14节点系统和IEEE 39节点系统中对所提MGAT-TCN模型进行仿真验证。结果表明,所提模型相比于现有检测模型具有更高的检测准确率和效率,且通过拓扑热力图对注意力权值可视化,实现了模型在空间维度的可解释性。

多步攻击检测关键技术研究展望

多步攻击检测技术通过分析告警日志数据,挖掘攻击场景,辅助实现高威胁攻击路径的早期发现,从而降低安全威胁风险,提高网络和信息系统的安全性.分别介绍了多步攻击检测的3种关键技术:基于告警相似性、基于告警因果知识和基于模型的多步攻击检测技术.通过比较分析,剖析了3种技术的差异.同时,还探讨了多步攻击检测技术的未来发展方向,包括与隐私计算、溯源图和因果推断等技术的融合.这些技术的融合将为网络安全提供新思路和方法,以应对不断复杂化的安全威胁.