如何進行基于知識圖譜的APT組織追蹤治理

這篇文章將為大家詳細講解有關如何進行基于知識圖譜的APT組織追蹤治理，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

高級持續性威脅（APT）正日益成為針對政府和企業重要資產的不可忽視的網絡空間重大威脅。由于APT攻擊往往具有明確的攻擊意圖，并且其攻擊手段具備極高的隱蔽性和潛伏性，傳統的網絡檢測手段通常無法有效對其進行檢測。近年來，APT攻擊的檢測和防御技術逐漸引起各國政府和網絡安全研究者的關注。

一、發達國家APT組織治理相關研究

1.1  戰略層面，美國強調“美國優先”和“以實力促和平”

特朗普政府先后發布《國家安全戰略報告》、《國防部網絡戰略》和《國家網絡戰略》，詮釋了特朗普的“美國優先”的戰略，強調“網絡威懾”和“以實力促和平”，突出強調網絡戰的重要性，將“軍事和武力”作用置于外交和國務之前，強調保護美國基礎設施來保證美國的持續繁榮。同時強調人工智能（AI）對于經濟增長重要性。

1.2 法規層面，美國立法進行APT組織跟蹤

2018年9月5日，美國眾議院投票通過《2018網絡威懾與響應法案》，旨在阻止和制裁未來國家支持的針對美國的網絡攻擊，以保護美國的政治、經濟和關鍵基礎設施免受侵害。該法案要求美國總統確認高級持續威脅（APT）組織名單，并在《聯邦公報》（Federal Register）中公布并定期更新。

1.3 攻擊層面，美軍研發基于知識圖譜的先進網絡戰工具

2010年9月，《*****》披露，五角大樓力求在網絡戰爭中先發制人，并達到欺騙、拒止、分離、降級、毀壞的“5D”效果。網絡戰攻擊層面的研究是美國政府以及下屬的研究機構一直以來的重點，根據美國近年來圍繞網絡戰構建的模型來看，以多層次知識圖譜映射戰場網絡，結合靶場演練進行模型驗證是一個重要研究的方向。

1.3.1 DARPA的Plan X用知識圖譜描繪戰場地圖支撐VR作戰

PLAN X是DARPA在2012年公布的一個項目，主要目標是開發革命性的技術，在實時、大規模和動態的網絡環境中理解、規劃和管理網絡戰。基于一個建立好的通用地圖，幫助軍方網絡操作人員利用可視化的方式在戰場中執行網絡入侵的任務。PLAN X利用自動化構建戰場網絡圖譜的技術，將戰場中網絡地圖、作戰單元、能力集轉化為圖譜中節點和邊的**，基于作戰人員預先設定的戰術目標，進行自動化圖譜搜索，找到最佳入侵路徑和入侵方案，提供給作戰人員。

1.3.2 MITRE公司的CyGraph原型支撐網絡作戰

CyGraph是MITRE在圖模型研究方面的原型系統。CyGraph使用了層級的圖結構，包括網絡架構（Network Infrastructure）、安全狀態（Security Posture）、網絡威脅（Cyber Threats）、任務依賴（Mission Dependencies）四個層次的圖數據，用于支持針對關鍵資產保護的攻擊面識別和攻擊態勢理解等任務。

圖1.1  CyGraph的多層圖譜結構

1.4 防御層面，研發基于ATT&CK的新一代APT描述語言模型

ATT&CK是一個反映各個攻擊生命周期的攻擊行為的模型和知識庫。ATT&CK采用知識庫分析對手攻擊方法，評估現有防護體系，同時可以和靶場結合，進行攻擊仿真測試和自動化驗證，同時多家國外安全廠商利用其檢測追蹤APT組織的實際效果。

圖1.2  ATT&CK 針對lazarus和APT15的TTP能力對比分析

二、基于知識圖譜的APT組織追蹤實踐

基于知識圖譜的APT追蹤實踐是以威脅元語模型為核心，采用自頂向下的方式構建APT知識圖譜。

2.1 基于威脅元語模型的實體類構建

APT知識類型定義參考各類現行的安全標準規范，如攻擊機制的通用攻擊模式枚舉和分類（CAPEC），惡意軟件屬性枚舉和特征（MAEC）以及公共漏洞和暴露（CVE）等，設計了十二個知識類型：攻擊模式、戰役、防御措施、身份、威脅指示器、入侵集、惡意代碼、可觀察實體、報告、攻擊者、工具、漏洞。

2.2 APT知識圖譜本體結構

知識類型定義只將描述APT組織特征的相關信息形成孤立的知識結點，知識節點之間并無語義關系。語義設計一方面提取美國國家漏洞庫（NVD）中包含的漏洞、脆弱性、資產、攻擊機制相關的專家知識，其次參照STIX定義的七類關系，STIX2.0對象關系總覽如下圖2.1所示。

圖 2.1  STIX2.0結構圖

匯總歸納APT報告中涉及的多類語義關系，包括“指示”、“利用”、“屬于”等語義關系，構建如圖2.2所示本體結構。

圖 2.2  APT知識圖譜本體結構

2.3 APT攻擊組織知識庫構建

本文以自上而下的方式建立APT知識庫，首先進行信息抽取對齊的操作，以APT知識圖譜本體為基礎，從海量數據中提取APT組織相關的知識實體、屬性及知識關系。之后根據APT知識本體中定義的知識屬性進行屬性消歧融合補充，輸出APT知識庫。

APT組織相關信息來源有結構化的數據（結構化的情報數據庫、STIX情報）、半結構化數據（Alienvault等開源情報社區網站、IBM x-force情報社區網站、MISP、ATT&CK）、非結構化數據（Talos安全博客、Github APT報告）。

2.4 實驗及應用

本文構建的APT主題知識圖譜目前收錄APT組織257個，如圖2.3所示。

圖2.3  APT組織總覽

結合構建的知識圖譜本體結構，通過語義搜索的方式針對APT32攻擊組織進行了畫像，如圖2.4、2.5所示。

圖2.4  APT32 鉆石模型

圖 2.5 APT 32畫像

畫像信息包括APT32組織控制的基礎設施、技術手段以及攻擊工具。結合APT畫像知識，通過APT組織特征的實時監控比對，標注事件的組織關聯性，實現APT組織活躍情況的實時監測統計。

基于在某環境下IDS和沙箱探針設備，4臺服務器組成的大數據分析集群實驗環境，結合知識圖譜提供的APT組織畫像特征，在2019年6月2日至6月9日時間段上共發現5個APT組織的活躍情況，結果如圖2.6所示。

圖2.6  APT組織追蹤

三、對策建議

1、完善針對APT攻擊相關的政策法規的制定。目前我國政府尚未專門針對APT攻擊出臺響應的政策與法規，這對于促進、規范和指導國內APT攻擊的分析與檢測工作非常不利。

2、推薦共建、共研共享的研究生態。我國政府和企業的合作還需要進一步深化，構建能夠在行業和國家層面通行的技術方案和模型標準。

3、構建統一的情報共享格式，加強情報的共享。GB/T 36643-2018《信息安全技術 網絡安全威脅信息格式規范》自推行以來，依然沒有很好地在國內政企當中得到廣泛的應用。

4、加強通用威脅元語模型的構建。我國目前尚未完整構建起一整套通用威脅元語，用于支撐統一的威脅情報表達格式和APT相關威脅情報及知識的共享。

關于如何進行基于知識圖譜的APT組織追蹤治理就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。