引言随着通信技术的发展,与此同时,网络的规模也在快速增长,网络攻击必然会增加。中本聪发明的比特币拉开了互联网匿名交易的帷幕,从而催生了大量的黑色产业,伴随而来的还有与这些黑色产业相关的网络攻击,如挖矿攻击、勒索软件攻击等。作为关系人与网络之间的距离越来越近,网络安全问题将对我们每个人产生更深远的影响。面对众多的网络攻击,更先进的防御技术是有效的防护措施。这些防御技术可分为被动防御和主动防御。我们熟悉的防火墙是最具代表性的被动防御措施。配置防火墙规则可以在很大程度上阻断攻击,但其缺点也很明显。无法区分这些行为是否是真正的攻击,也无法为防御改进提供新的知识。入侵检测与防御技术可以补充防火墙等被动防御的不足,主动识别攻击行为,对网络攻击后的攻击行为进行更详细的分析,发现系统的漏洞和薄弱环节,及时升级被动防御系统。提高系统安全性。入侵检测[1]是识别企图入侵、正在进行的入侵或已经发生的入侵的过程[2]。入侵防御技术不同于入侵检测技术。它不仅可以识别网络威胁,还可以对网络威胁进行进一步的分析和相应的响应。它是对防火墙和反病毒技术的有力补充。对于入侵防御系统来说,威胁事件的检测只是第一步。下一步就是对威胁事件进行分析,掌握威胁事件,追溯威胁源头,实施有效的应对措施。近年来,网络攻击逐渐呈现出大规模、协同、多阶段的特点,网络攻击不再是孤立事件。根据国家互联网应急中心CNCERT(国家互联网应急中心)2017年网络安全工作报告,按攻击事件类型统计显示,大多数攻击(尤其是危害较大的攻击)几乎都是多步攻击。对于多步攻击,传统的被动防御方式所能发挥的作用非常有限,而主动防御技术则具有一定的防御能力。入侵防御系统对安全设备产生的告警事件进行分析,挖掘隐藏在这些事件背后的网络威胁事件,识别网络中的多步攻击行为,并准确排除。为了防御更复杂的多步骤攻击,入侵防御系统需要能够准确关联事件的来源,并在事件分析环节连接事件的上下文信息。由于多步攻击中每一步的成功是下一次攻击成功的一定前提,因此研究人员使用语言模型逻辑来描述攻击模型。本文将从网络威胁事件分析中的事件元素提取和事件关联分析两个方面进行探讨。利用深度学习提取事件要素入侵防御系统接收到的数据往往是多源异构的,格式非常复杂,不适合人类直接阅读,不能直接用于事件关联分析。需要保证能够覆盖显着特征的eventsFeature字段,并提取这些特征的特征。深度学习是近年来兴起的一种基于表征学习思想的机器学习技术,一般采用深度神经网络来实现。它通过由神经元组成的多层神经网络逐渐学习原始数据的高级特征表示,并进一步用于分析任务。深度学习一般采用端到端的方式,即不再需要人工对数据进行特征处理,而是神经网络直接对原始数据进行处理,自动学习并输出高层特征,不再依靠特定领域的专家知识。这一优势使得深度学习在很多特征设计困难的领域得到了广泛的应用,并取得了很好的效果。[3]图1.深度学习提取事件元素。利用深度学习可以将网络威胁事件的低维数据信息提取为高质量的高维数据信息。结合事件关联分析技术,可以对网络威胁事件进行冗余合并和因果关联,便于系统管理员及时有效地响应和处理网络威胁事件。根据深度学习端到端的学习特性,只需将入侵防御系统中的网络威胁事件输入模型,如图1所示,模型即可对输入的底层日志进行处理信息转化为与攻击高度相关的信息。高级抽象信息。这些高维信息包含了低维信息中的重要元素。如果采用非深度学习方法,事件元素提取工作需要经验丰富的网络运维人员参与,无法避免人为因素导致的错误。使用大量的事件来训练模型,最终可以在无需人工干预的情况下快速提取事件的关键要素信息。基于深度学习的事件元素抽取,主要是参考文本分类的思想,识别出事件元素,然后进行抽取,将事件元素的识别转化为一个分类问题。图2给出了事件元素的具体提取过程。在特征获取阶段,获取原始报警事件的所有特征,对不易被机器处理的文本信息进行进一步处理,得到模型训练可以识别的矢量特征。经过预处理后,可以获得可用于模型训练的数值类型、枚举类型、文本向量类型等特征数据。在事件元素识别任务中,Chieu首次在事件元素识别任务中引入最大熵模型[8],实现人事管理事件的元素提取。H.洛伦斯等人。使用CRF模型进行语义标注[9],并将其应用于TimeML事件抽取,提高了系统的性能。为了提高识别效果,有时将多种深度学习算法混合或结合深度学习和模型匹配[10,11]。D.Ahn结合了Megam和TIMBL这两种深度学习方法,实现了事件元素抽取的任务。实验结果表明综合方法优于单一算法。由于深度学习与领域知识无关,不需要太多领域专家的指导,具有很好的可移植性。随着相关技术的发展,深度学习逐渐在事件元素提取领域发力。事件关联分析在海量网络威胁事件中,关联分析旨在发现事件之间有意义的隐含联系,挖掘攻击意图,重构攻击场景。经调查,关联分析方法已广泛应用于入侵检测系统的结果分析,其中关联规则和频繁模式挖掘是网络威胁事件关联分析中常用的方法。网络威胁事件之间的关系可以抽象为两类:冗余关系和因果关系。如图3所示,事件的分析过程是根据事件的属性,对冗余关系和相似事件的合并进行关联分析,进而对事件进行因果关联分析,得到完整的发展过程事件的全貌,从而了解网络威胁事件的全貌。发现网络中的多步攻击行为,消除威胁事件对系统的影响。图3事件分析流程冗余关系相关性分析是根据事件攻击特征中相关属性之间的相似性,相似性是基于概率统计的。告警聚合是事件关联分析的重要应用场景。告警聚合的目的是将具有一定相似性的告警聚合成一组,作为一个整体进行处理,从而减少系统运维人员处理的数据量。H.Debar[4]提出了一种抽象的聚合方法框架,通过计算两个警报之间不同属性的相似度来聚合警报。Maggif[5]等人提出了一种利用模糊集理论对时间属性进行聚合的方法,即通过建立数学模型来描述时间上的距离,将两个告警之间的不同时间间隔转化为聚合概率,即与阈值进行比较以确定是否聚合两个警报。因果关联分析是根据攻击行为的因果关系进行攻击推理。攻击者在侵入系统之前,会进行一系列的攻击,每一步攻击的成功是下一步攻击的前提。S.Cheung[6]等人提出了一种语言模型来描述攻击模型。这种模型描述语言包含两个概念,前置条件和后置条件,当一个告警的后置条件与另一个告警的前置条件相匹配时,两个告警是相关的,从而可以梳理出告警之间的逻辑关系。Cuppens和Miege[7]还提出了一种攻击模型描述语言LAMDA,其中也提到了前置条件和后置条件的概念。通过前因后果的关联分析,在网络威胁事件发生时就可以找到当前事件的原因,不再孤立地看待网络威胁事件,而是将事件的前因后果结合起来有机的整体。把这个整体处理掉,既要“治标”,又要“治本”。结论深度学习将网络威胁事件中不易利用的低维数据信息提取为高质量的高维数据信息。结合事件关联分析技术,可以对网络威胁事件进行冗余合并和因果关联,便于系统管理员及时有效地响应和处理网络威胁事件。虽然网络的规模和存在于其中的网络攻击越来越复杂多样,但随着深度学习的发展,无论是攻击者还是防御者的地位都将得到提升。在新兴人工智能技术的支持下,网络威胁事件的分析将从人员密集型转向技术密集型,在提高工作效率的同时减少人的参与。相信随着更多新技术的出现,入侵防御技术也将面临更多的机遇和挑战。参考文献1.DenningDE.一种入侵检测模型[J]。IEEE软件工程汇刊,1987(2):222-232.2。唐政军。入侵检测技术导论[M].机械工业出版社,2004.3.钟思超,朱磊,蔡兵。基于深度学习的Web安全事件分析系统及其实现[J].江苏交通,2019(2):13.4.DebarH,DacierM,WespiA.入侵检测系统的分类[J]。计算机网络,1999,31(8):805-822.5.UssathM、JaegerD、ChengF等人。高级持续性威胁:幕后花絮[C]//2016年信息科学与系统(CISS)年会。IEEE,2016年:181-186.6。史密斯R、JapkowiczN、东多M等。Usingunsupervisedlearningfornetworkalertcorrelation[C]//加拿大情报计算研究学会会议。斯普林格,柏林,海德堡,2008年:308-319.7。CuppensF,OrtaloR.Lambda:一种为攻击检测建模数据库的语言[C]//入侵检测最新进展国际研讨会。斯普林格,柏林,海德堡,2000年:197-216.8。邱宏L,NgHT.从半结构化和自由文本中提取信息的最大熵方法[J]。Aaai/iaai,2002年,2002年:786-791.9。LlorensH、SaqueteE、NavarroB.TimeML事件识别和分类:学习具有语义角色的CRF模型[C]//第23届国际计算语言学会议论文集(Coling2010)。2010年:725-733.10。AhnD.事件抽取阶段[C]//关于时间和事件的注释和推理研讨会论文集。2006:1-8.11。丁晓、宋凡、秦兵等。音乐领域典型事件提取方法研究[J].情报学报,2011,25(2):15-21.
