?引  言

網(wǎng)絡(luò)安全事件被收集為一種網(wǎng)絡(luò)威脅情報(CTI)可以用來對抗網(wǎng)絡(luò)攻擊。開發(fā)一個網(wǎng)絡(luò)事件分析模型來預(yù)測可能的威脅，可以幫助組織提供決策指導(dǎo)。網(wǎng)絡(luò)安全事件是一個完整的語義單元，包含所有參與的對象，這些對象具有豐富的屬性(如攻擊的結(jié)果和種類)。通過分析網(wǎng)絡(luò)安全事件，可以幫助預(yù)測組織可能面臨的威脅。

 1.介紹

由于復(fù)雜的零日攻擊一直在增加，確保組織的系統(tǒng)安全非常困難[1]。為了對抗這些攻擊，組織依靠外部公開報告來收集和共享安全信息[2]。作為網(wǎng)絡(luò)威脅情報(CTI)的一種，來自外部報告的網(wǎng)絡(luò)安全事件是關(guān)于資產(chǎn)存在或正在出現(xiàn)的威脅的基于證據(jù)的知識。目前許多項目，如VCDB[3]、Hackmageddon[4]和Web Hacking Incident Database[5]，被用來共享安全事件信息。圖1給出了網(wǎng)絡(luò)安全事件的一個樣例。

開發(fā)一個網(wǎng)絡(luò)安全事件分析模型來預(yù)測組織可能面臨的威脅，對于獲取攻擊趨勢并為決策提供指導(dǎo)[6]具有巨大的價值。組織必須全面利用網(wǎng)絡(luò)事件分析模型，以更好地掌握當(dāng)前的威脅情況，例如“組織中哪些資產(chǎn)更多可能受到危害”、“誰是組織的潛在攻擊者”、“他們可能對組織實(shí)施什么類型的攻擊”以及“發(fā)現(xiàn)威脅的可能方法”等。

圖1 網(wǎng)絡(luò)攻擊事件的一個例子:一個受害組織遭受了來自攻擊者a1的惡意軟件后門攻擊，攻擊者a1竊取了受害組織的敏感文件。

2.網(wǎng)絡(luò)安全事件建模及應(yīng)用

安全信息共享已經(jīng)成為緩解網(wǎng)絡(luò)攻擊的新武器。VCDB[3],Hackmageddon[4]和Web Hacking Incident Database[5]等安全事件信息共享項目被用于收集網(wǎng)絡(luò)安全事故報告。但是，這些基于組織報告的項目旨在收集事件信息，無法分析威脅信息。

機(jī)器學(xué)習(xí)方法在分析網(wǎng)絡(luò)安全事件的組織報告中發(fā)揮著重要作用[10]。劉洋等人[11]從收集組織的外部網(wǎng)絡(luò)特征，并使用隨機(jī)森林分類器來預(yù)測組織的違規(guī)事件。Sarabi等人[12]基于隨機(jī)森林方法，利用公開的業(yè)務(wù)細(xì)節(jié)來預(yù)測數(shù)據(jù)泄露風(fēng)險。Portalatinet等人[13] 提出一個統(tǒng)計框架對多元時間序列進(jìn)行建模和預(yù)測。這些方法通過統(tǒng)計分析可測量的特征來預(yù)測安全事件的風(fēng)險。

許多基于圖的方法被提出來分析網(wǎng)絡(luò)安全事件中的異構(gòu)對象及其關(guān)系。趙軍和劉旭東等人[7] 基于攻擊事件構(gòu)建屬性異構(gòu)信息網(wǎng)，對攻擊者、漏洞、被利用的腳本、被入侵的設(shè)備和被入侵的平臺的異構(gòu)對象進(jìn)行建模。他們使用屬性異構(gòu)信息網(wǎng)絡(luò)來預(yù)測網(wǎng)絡(luò)攻擊偏好。HinCTI[8] 旨在對網(wǎng)絡(luò)威脅情報進(jìn)行建模并識別威脅類型，以減輕安全分析師繁重的分析工作。趙軍和嚴(yán)其本等人[9]提出一個框架來模擬異構(gòu)IOC之間的相互依賴關(guān)系，以量化它們的相關(guān)性。

3.網(wǎng)絡(luò)表征學(xué)習(xí)

網(wǎng)絡(luò)安全事件包含大量的多類型對象從而形成異構(gòu)信息網(wǎng)絡(luò)。網(wǎng)絡(luò)表示學(xué)習(xí)將網(wǎng)絡(luò)中的節(jié)點(diǎn)嵌入到低維空間，以采用機(jī)器學(xué)習(xí)方法進(jìn)行分析。

節(jié)點(diǎn)結(jié)構(gòu)嵌入方法的一個分支受到 Skip-gram（最初用于詞嵌入）模型的啟發(fā)[14]。DeepWalk [15] 首先使用random walks[16] 從網(wǎng)絡(luò)中采樣路徑并學(xué)習(xí)對象嵌入。LINE[17] 通過優(yōu)化獨(dú)立于鄰居的可能性，保留網(wǎng)絡(luò)的一階和二階鄰近性。Node2vec[18] 擴(kuò)展了有權(quán)重的DeepWalk用于探索不同的鄰居。Struc2vec[19] 構(gòu)建一個多層圖來編碼具有相同結(jié)構(gòu)但結(jié)構(gòu)不相鄰的節(jié)點(diǎn)。這些工作考慮和建模了成對對象之間的關(guān)系。

為了將多個交互作為一個整體來捕獲，事件[20]被定義為表示完整的語義單元。HEBE[20]通過學(xué)習(xí)異構(gòu)信息網(wǎng)絡(luò)中對象與事件的關(guān)系來保持對象的鄰近性。Event2vec[21]考慮事件中關(guān)系的數(shù)量和性質(zhì)，并在嵌入空間中保持事件驅(qū)動的一階和二階鄰近?；谑录慕７庋b了更多信息，這對于安全事件分析尤為重要。

屬性網(wǎng)絡(luò)嵌入可以有效地處理節(jié)點(diǎn)屬性以學(xué)習(xí)更好的表示。典型的例子是SNE[22]，這為具有豐富屬性的社會行動者保留了結(jié)構(gòu)和屬性接近性。BANE模型[23]聚集來自相鄰節(jié)點(diǎn)的節(jié)點(diǎn)屬性和鏈接的信息，以學(xué)習(xí)二進(jìn)制節(jié)點(diǎn)表示。

 4.網(wǎng)絡(luò)安全事件分析框架CyEvent2vec

網(wǎng)絡(luò)安全事件建模框架CyEvent2vec[24]的體系結(jié)構(gòu)如圖2所示。框架的過程由四個主要組成部分組成：

數(shù)據(jù)處理與特征提?。簭木W(wǎng)絡(luò)安全事件中提取屬性對象及其關(guān)系和標(biāo)簽，包括受害者組織、資產(chǎn)、攻擊類型和攻擊者節(jié)點(diǎn)。

組織事件和矩陣生成：組織事件生成算法可以根據(jù)遭受網(wǎng)絡(luò)事件的企業(yè)作為目標(biāo)，將相關(guān)的安全對象集合在一起?？梢曰谏傻慕M織事件構(gòu)造屬性異構(gòu)信息網(wǎng)絡(luò)。組織事件被處理成事件矩陣，以表示攻擊事件和具有屬性的對象之間的關(guān)系。

網(wǎng)絡(luò)安全事件建模：為了探究對象之間復(fù)雜的關(guān)系，將事件矩陣輸入到自編碼器模型中，以獲得事件嵌入，使事件在低維空間中保持接近性?；谑录度?，可以計算得到對象嵌入。

安全事件分析的應(yīng)用：將對象嵌入方法應(yīng)用于組織威脅預(yù)測和威脅對象分類。組織威脅預(yù)測可以幫助分析人員預(yù)測受害組織可能面臨的威脅，可以被看做為鏈接預(yù)測任務(wù)。威脅對象分類預(yù)測了可能發(fā)現(xiàn)威脅的方法，可以看作是一個多標(biāo)簽分類任務(wù)。

圖2 網(wǎng)絡(luò)安全事件分析框架

5.總結(jié)

在本文中，我們專注于網(wǎng)絡(luò)安全事件分析，旨在預(yù)測組織可能面臨的威脅。網(wǎng)絡(luò)安全事件包含大量相互作用的多類型對象從而形成異構(gòu)信息網(wǎng)絡(luò)。網(wǎng)絡(luò)表示學(xué)習(xí)將網(wǎng)絡(luò)中的節(jié)點(diǎn)嵌入到低維空間，從而可以采用機(jī)器學(xué)習(xí)技術(shù)對網(wǎng)絡(luò)安全事件進(jìn)行分析。

參考文獻(xiàn)

[1] N. Sun, J. Zhang, P. Rimba, S. Gao, L. Y. Zhang, and Y. Xiang, “Data-driven cybersecurity incident prediction: A survey,” IEEE communications surveys & tutorials, vol. 21, no. 2, pp. 1744–1772, 2018.

[2] I. Sarhan and M. Spruit, “Open-cykg: An open cyber threat intelligence knowledge graph,” Knowledge-Based Systems, vol. 233, p. 107524,2021.

[3] VERIS, “Veris community database (vcdb),” http://veriscommunity.net/index.html.

[4] Hackmageddon, “Veris community database (vcdb),” https://www.hackmageddon.com.

[5]  VERIS, “Web-hacking-incident-database,” http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database.

[6] K. Shu, A. Sliva, J. Sampson, and H. Liu, “Understanding cyber attack behaviors with sentiment information on social media,” in International Conference on Social Computing,  ehavioral-Cultural Modeling and Prediction and Behavior Representation in Modeling and Simulation. Springer, 2018, pp. 377–388.

[7]  J. Zhao, X. Liu, Q. Yan, B. Li, M. Shao, H. Peng, and L. Sun, “Automatically predicting cyber attack preference with attributed heterogeneous attention networks and transductive learning,” computers & security, vol. 102, p. 102152, 2021.

[8] Y. Gao, L. Xiaoyong, P. Hao, B. Fang, and P. Yu, “Hincti: A cyber threat intelligence modeling and identification system based on heterogeneous information network,” IEEE Transactions on Knowledge and Data Engineering, 2020.

[9] J. Zhao, Q. Yan, X. Liu, B. Li, and G. Zuo, “Cyber threat intelligence modeling based on heterogeneous graph convolutional network,” in 23rd International Symposium on Research in Attacks, Intrusions and Defenses ({RAID} 2020), 2020, pp. 241–256.

[10]  D. Sun, Z. Wu, Y. Wang, Q. Lv, and B. Hu, “Cyber profiles based risk prediction of application systems for effective access control,” in 2019 IEEE Symposium on Computers and Communications (ISCC). IEEE, 2019, pp. 1–7.

[11]  Y. Liu, A. Sarabi, J. Zhang, P. Naghizadeh, M. Karir, M. Bailey, and M. Liu, “Cloudy with a chance of breach: Forecasting cyber security incidents,” in 24th {USENIX} Security Symposium ({USENIX} Security 15), 2015, pp. 1009–1024.

[12] A. Sarabi, P. Naghizadeh, Y. Liu, and M. Liu, “Risky business: Fine-grained data breach prediction using business profiles,” Journal of Cybersecurity, vol. 2, no. 1, pp. 15–28, 2016.

[13] Z. Fang, M. Xu, S. Xu, and T. Hu, “A framework for predicting data breach risk: Leveraging dependence to cope with sparsity,” IEEE Transactions on Information Forensics and Security, vol. 16, pp. 2186–2201, 2021.

[14]  W. Cheng, C. Greaves, and M. Warren, “From n-gram to skipgram to concgram,” International journal of corpus linguistics, vol. 11, no. 4, pp. 411–433, 2006.

[15] B. Perozzi, R. Al-Rfou, and S. Skiena, “Deepwalk: Online learning of social representations,” in Proceedings of the 20th ACM SIGKDD international conference on Knowledge discovery and data mining, 2014, pp. 701–710.

[16] F. G ?obel and A. Jagers, “Random walks on graphs,” Stochastic processes and their applications, vol. 2, no. 4, pp. 311–336, 1974.

[17] J. Tang, M. Qu, M. Wang, M. Zhang, J. Yan, and Q. Mei, “Line: Large-scale information network embedding,” in Proceedings of the 24th international conference on world wide web, 2015, pp. 1067–1

[18] A. Grover and J. Leskovec, “node2vec: Scalable feature learning for networks,” in Proceedings of the 22nd ACM SIGKDD international conference on Knowledge discovery and data mining, 2016, pp. 855–864.

[19] L. F. Ribeiro, P. H. Saverese, and D. R. Figueiredo, “struc2vec: Learning node representations from structural identity,” in Proceedings of the 23rd ACM SIGKDD international conference on knowledge discovery and data mining, 2017, pp. 385–394.

[20] H. Gui, J. Liu, F. Tao, M. Jiang, B. Norick, L. Kaplan, and J. Han, “Embedding learning with events in heterogeneous information networks,” IEEE transactions on knowledge and data engineering, vol. 29, no. 11, pp. 2428–2441, 2017.

[21] G. Fu, B. Yuan, Q. Duan, and X. Yao, “Representation learning for heterogeneous information networks via embedding events,” in International Conference on Neural Information Processing. Springer, 2019, pp. 327–339.

[22] L. Liao, X. He, H. Zhang, and T.-S. Chua, “Attributed social network embedding,” IEEE Transactions on Knowledge and Data Engineering, vol. 30, no. 12, pp. 2257–2270, 2018.

[23] H. Yang, S. Pan, P. Zhang, L. Chen, D. Lian, and C. Zhang, “Binarized attributed network embedding,” in 2018 IEEE International Conference on Data Mining (ICDM). IEEE, 2018, pp. 1476–1481.

[24] X. Ma, L.Q.Wang, et al, “CyEvent2vec: Attributed Heterogeneous Information Network based Event Embedding Framework for Cyber Security Events Analysis,” IJCNN，2022.