态势感知
与预警
图 27 态势感知参考模型
[32]
4.3.6.1 定义内涵
态势感知与预警的含义是以系统的、整体的、全局的视角,基于网络运行状态数据、情报数据等, 抽取、聚合、抽象网络空间
关键要素,针对环境变化、攻击意图、行为趋势进行理解,持续监测安全状 态,预警可能发生的风险事件,为事件应急处置提供必要的决策依据。
4.3.6.2 技术背景
安全运营的场景已经从点对点的攻击防护取证,拓展到企业组织层次甚至行业级、城市级、国家级 平台的安全风险
日常分析与管控。安全运营技术不止于细粒度线索驱动的威胁狩猎,还需关注资产、脆 弱性、威胁的全局态势,以持续评估安全主体的系统性风险,为网络空间备战、战时决策提供基础。
4.3.6.3 思路方案
态势感知技术的关键在于态势要素的取、融合、消歧,及基于要素数据的关系推理。从威胁情报的角度理解态势要素,可包含攻击模式、战役、防护策略、身份、威胁指标、恶意软件、脆弱性、工具、 攻击者等等风险关联要素。以网络中攻击者的行为模式为例,通过安全日志、威胁情报数据取行为特 征,并基于特征集合和特征关系的相似程度定义攻击模式,从而将日志数据抽象成攻击行为事件,实现 对海量多源异构日志数据的融合并范式化为以攻击模式为主的安全事件
,为安全事件分析推理奠定数据 基础。在推理方面,可基于融合的知识图谱结构,结合图表示学习、社交网络传播、团伙聚类、路径搜 索与推理等方法,在本体实例化数据上完成语义对齐与扩充、攻击链推理、攻击事件聚合溯源等任务, 以识别关键局部风险与整体风险点。一个态势感知的流程设计如图 27 所示,该框架基于目标的识别与 追踪、态势评估,将态势感知划分能力层级,并构建以知识为核心的感知、理解、融合流程与数据持续 迭代的闭环 [32]。
4.3.6.4 关键挑战
态势是一种全局视角,态势的感知与理解是逐层次数据炼、融合的过程,这一过程中必然丢失细 粒度的数据细节。因此态势感知技术需要根据场景需求与目标,在行为、特征可见性与趋势、意图理解 任务之间做出取舍。重要的技术挑战包括:
多源态势要素的语义对齐
安全运营的数据源的采集可能执行不同标准,针对同一要素实体的数据抽取因此可具有不同粒度、 不同层次、不同标记与命名策略。传统的静态强关联分析方法在大规模数据环境下效果不佳,探索通过 语义理解与关键命名实体识别的自动化语义对齐方法尤为关键。
态势与细节的交互性
限于系统处理的瓶颈,态势感知系统一般采用层次化的数据汇聚方式:数据逐层抽象,在中心化管 理节点展现全局视图。然而,态势的局部缩放、以及细粒度的事件响应,仍需要升分布式、层次化数 据之间的交互性,保证数据、策略、情报调度的运转效率。
态势风险的量化评估
当前态势评估方法仍然缺乏面向动态风险的标准化、量化的指标体系。要素的状态转变仍以周期性 的数据统计为主,亟需数据、情报、知识驱动的推理方法来动态刻画、抽象出可易于被决策者理解的、 风险点聚焦的上下文信息,并以高交互的方式呈现。
鲁棒决策
智能决策的研究一直是人工智能技术研究的圣杯。智能安全运营的决策环节,需要重点关注如何以 事件、行为上下文为基础,结合防御知识库,评估事件的综合安全风险,进而给出可行动的执行策略。 安全运营决策的关键在于策略生成的鲁棒性。本节将重点介绍风险偏好学习、攻击模拟动态规划和自 应防护策略生成三项关键技术。
风险偏好学习
4.4.1.1 定义内涵
风险偏好学习的含义是打通人机交互的闭环,通过收集反馈信息,学习专家潜在的、运营导向的风 险偏好,识别决定资产、威胁、脆弱性、策略等运营要素风险值的关键数据特征,实现知识先验与数据 规律的深度融合,提升系统的决策辅助能力。
4.4.1.2 技术背景
安全运营不同于 IT系统运维,更强调人与人的对抗。在高度智能化、自动化运营技术成熟之前, 安全研究员、运营工程人员的经验与知识发挥着至关重要的作用。然而,现阶段安全数据分析集成平台 缺乏交互式设计,系统漏洞和威胁线索的呈现、事件的调查、策略的配置等关键环节难以面向其用户 供个性化的、基于实时风险的运营辅助功能。这导致专家经验难以准确的、快速的转化为系统可识别的 机器参数,严重限制了运营技术能力的拓展性和持续新。
4.4.1.3 思路方案
风险偏好学习的关键是面向风险的特征取与基于用户反馈的偏好拟合。限于时间开销,传统安全 运营的驱动力是一些固化的、静态的、基于经验的策略集合。例如特定的漏洞等级、威胁等级与类型等等。 而数据层次动态的关联关系、依赖关系,需要通过数据挖掘的方式进行抽取,这些特征通过资产、脆弱 性、威胁、防护策略等风险维度进行组织形成风险特征集合,能够向技术平台消费者⸺ 运营人员供 数据洞见,辅助事件的理解与策略的选择。进一步,通过构建友好的、可理解的人机交互界面,收集专 家在运营流程中的访问行为、偏好分数、页面驻留、描述性反馈等关键信息,在系统后台,基于机器学 习或强化学习算法,实现对用户偏好与风险特征集合的数据拟合或自动调整,自应更新大规模漏洞、 资产、线索、事件、策略的动态用户认知风险,最终向运营专家提供量化风险的排序结果。如图 28 所示, 是一个典型的偏好学习计算流程。整体上,划分为风险特征召引擎、偏好学习引擎、解释引擎,并通过 前端界面的展示与信息采集,形成人机协同的反馈闭环。
4.4.1.4 关键挑战
偏好学习本质上是专家动态标签与网络实体及行为关联特征数据的拟合问题,其基础是数据风险特 征集合,而基于特征集的偏好学习过程可通过各类机器学习拟合技术实现。偏好学习模型的优劣决定了 决策辅助信息的运营支持效果。技术的关键挑战包括:
交互界面的设计
高质量的、具有明确风险导向性的、机器可读的运营专家反馈信息是偏好学习模型的数据基础。这 些数据的积累依赖于系统的技术平台交互界面与数据采集机制的设计。类似有效性评分、偏好选择等显 示反馈,以及事件调查页面驻留时间、页面跳转概率等隐性反馈,都是潜在的运营反馈素材,能够在数 据拟合阶段发挥标签的作用。
偏好学习的可解释性
风险偏好是一个主观地、较难量化的概念,而复杂的、高维数据拟合可加剧偏好学习的黑盒特性。 然而,构建人机协同闭环的关键,决定了偏好学习的输出须具备人可理解的概念解释,这对风险特征集 每一维度的可解释性,以及偏好学习模型的可解释性提出了更高的要求。
偏好过拟合与马太效应
鉴于专家反馈标签的语义、规模、时效局限性,偏好学习模型易陷入特征过拟合,导致泛化性能衰减。 此外,偏好学习结果与专家反馈的互动也可遭遇马太效应⸺ 少量具有特定风险特征的候选类型,如特 定类型、指定关联关系的相似告警序列被重复推送,最终导致系统整体的有效覆盖率过低。
568
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
