简介网络安全事件被收集为一种网络威胁情报(CTI),可用于对抗网络攻击。开发网络事件分析模型来预测可能的威胁可以帮助组织指导他们的决策。网络安全事件是一个完整的语义单元,包括所有具有丰富属性(如攻击的结果和类型)的参与对象。通过分析网络安全事件,它可以帮助预测组织可能面临的威胁。1.简介由于复杂的零日攻击[1]不断增加,保护组织的系统非常困难。为了对抗这些攻击,组织依靠外部公开报告来收集和共享安全信息[2]。一种网络威胁情报(CTI),外部报告的网络安全事件是关于资产存在或正在出现的威胁的基于证据的知识。目前许多项目,如VCDB[3]、Hackmageddon[4]和WebHackingIncidentDatabase[5],都用于共享安全事件信息。图1显示了网络安全事件的示例。开发网络安全事件分析模型来预测组织可能面临的威胁,对于捕捉攻击趋势和为决策提供指导具有重要价值[6]。组织必须全面利用网络事件分析模型,以更好地了解当前的威胁形势,例如“组织中的哪些资产更有可能受到损害”、“组织的潜在攻击者是谁”、“他们可能面临哪些类型的威胁”对组织实施?”攻击”和“发现威胁的可能方法”等。图1网络攻击事件示例:受害组织遭受攻击者a1的恶意软件后门攻击,攻击者a1窃取了受害组织的敏感文件。2.网络安全事件建模和应用安全信息共享已成为缓解网络攻击的新武器,VCDB[3]、Hackmageddon[4]、WebHackingIncidentDatabase[5]等安全事件信息共享项目用于收集网络安全事件报告,但这些组织机构基于报告的项目旨在收集事件信息,不能分析威胁信息。机器学习方法在网络安全事件的组织报告分析中发挥重要作用[10]。刘洋等[11]收集组织的外部网络特征并使用一个随机森林分类器来预测组织的违规事件。Sarabi等人[12]利用公开可用的业务基于随机森林方法预测数据泄露风险的详细信息。Portalatinet等人。[13]提出了一个用于建模和预测多元时间序列的统计框架。这些方法通过统计分析可测量的特征来预测安全事件的风险。已经提出了许多基于图的方法来分析网络安全事件中的异构对象及其关系。赵军和刘旭东[7]构建了一个基于攻击事件的异构信息网络,对攻击者、漏洞、被利用脚本、被攻陷设备和被攻陷平台的异构对象进行建模。他们使用属性异构信息网络来预测网络攻击偏好。HinCTI[8]旨在对网络威胁情报进行建模并识别威胁类型,以减轻安全分析师繁重的分析工作。赵君、闫启本等。[9]提出了一个框架来模拟异构IOC之间的相互依赖性,以量化它们的相关性。3.网络表示学习网络安全事件包含大量多类型对象,形成异构信息网络。网络表示学习将网络中的节点嵌入到一个低维空间中,通过机器学习方法进行分析。受Skip-gram(最初用于词嵌入)模型[14]启发的节点结构嵌入方法的一个分支。DeepWalk[15]首先使用随机游走[16]从网络中采样路径并学习对象嵌入。LINE[17]通过优化独立于邻居的可能性来保持网络的一阶和二阶接近度。Node2vec[18]扩展了加权的DeepWalk以探索不同的邻居。Struc2vec[19]构建一个多层图来编码具有相同结构但不相邻结构的节点。这些作品考虑并模拟了对象对之间的关??系。为了捕获多个交互作为一个整体,事件[20]被定义为表示完整的语义单元。HEBE[20]通过学习异构信息网络中的对象-事件关系来保持对象的邻近性。Event2vec[21]考虑事件中关系的数量和性质,并在嵌入空间中保持事件驱动的一阶和二阶接近度。基于事件的建模封装了更多的信息,这对于安全事件分析尤为重要。属性网络嵌入可以有效地处理节点属性以学习更好的表示。一个典型的例子是SNE[22],它为具有丰富属性的社会参与者保留结构和属性接近度。BANE模型[23]聚合有关节点属性的信息和来自相邻节点的链接以学习二进制节点表示。4.网络安全事件分析框架CyEvent2vec网络安全事件建模框架CyEvent2vec[24]的体系结构如图2所示。该框架的流程由四个主要部分组成:数据处理和特征提取:属性对象及其特征关系和标签是从网络安全事件中提取的,包括受害组织、资产、攻击类型和攻击者节点。组织事件和矩阵生成:组织事件生成算法可以将遭受网络事件的企业作为目标,将相关的安全对象组合在一起。可以基于生成的组织事件构建属性异构信息网络。组织事件被处理成一个事件矩阵来表示攻击事件与具有属性的对象之间的关系。网络安全事件建模:为了探索对象之间的复杂关系,将事件矩阵输入自动编码器模型以获得事件嵌入,使事件在低维空间中保持接近。基于事件嵌入,可以计算对象嵌入。安全事件分析的应用:将对象嵌入方法应用于组织威胁预测和威胁对象分类。组织威胁预测可以帮助分析人员预测受害组织可能面临的威胁,可视为链路预测任务。威胁对象分类预测威胁可能被发现的方式,可以被视为多标签分类任务。图2.网络安全事件分析框架5.总结在本文中,我们专注于网络安全事件分析,目的是预测对组织可能面临的威胁。网络安全事件包含大量相互作用的多类型对象,形成一个异构的信息网络。网络表示学习将网络中的节点嵌入到一个低维空间中,从而可以利用机器学习技术来分析网络安全事件。参考文献[1]N.Sun、J.Zhang、P.Rimba、S.Gao、L.Y.Zhang和Y.Xiang,“数据驱动的网络安全事件预测:一项调查”,IEEE通信调查和教程,卷。21,没有。2,pp.1744–1772,2018.[2]I.Sarhan和M.Spruit,“Open-cykg:一个开放的网络威胁情报知识图”,基于知识的系统,卷。233,页。107524,2021.[3]VERIS,“Veris社区数据库(vcdb)”,http://veriscommunity.net/index.html。[4]Hackmageddon,“Veris社区数据库(vcdb)”,https://www.hackmageddon.com。[5]VERIS,“Web-hacking-incident-database”,http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database。[6]K.Shu、A.Sliva、J.Sampson和H.Liu,“利用社交媒体上的情感信息了解网络攻击行为”,国际社会计算会议、行为文化建模与预测以及建模与仿真中的行为表示.施普林格出版社,2018年,第377–388页。[7]J.Zhao,X.Liu、Q.Yan、B.Li、M.Shao、H.Peng和L.Sun,“使用归因异构注意力网络和转导学习自动预测网络攻击偏好”,计算机与安全,卷。第102页102152,2021.[8]Y.Gao、L.Xiaoyong、P.Hao、B.Fang和P.Yu,“Hincti:基于异构信息网络的网络威胁情报建模和识别系统”,IEEETransactionsonKnowledgeandDataEngineering,2020。[9]J.Zhao、Q.Yan、X.Liu、B.Li和G.Zuo,“基于异构图卷积网络的网络威胁情报建模”,第23届国际攻击、入侵和防御研究研讨会({RAID}2020),2020,pp.241–256.[10]D.Sun、Z.Wu、Y.Wang、Q.Lv和B.Hu,“基于网络配置文件的应用系统风险预测以实现有效访问控制”,2019年IEEE计算机与通信研讨会(ISCC)。IEEE,2019年,第1-7页。[11]Y.Liu,A.Sarabi,J.Zhang、P.Naghizadeh、M.Karir、M.Bailey和M.Liu,“多云且有可能被破坏:预测网络安全事件”,第24届{USENIX}安全研讨会({USENIX}安全15),2015年,第1009–1024页[12]A.Sarabi、P.Naghizadeh、Y.Liu和M.Liu,“风险业务:使用业务概况进行细粒度数据泄露预测”,网络安全杂志,卷。2,没有。1,pp.15–28,2016.[13]Z.Fang、M.Xu、S.Xu和T.Hu,“预测数据泄露风险的框架:利用依赖性应对稀疏性”,IEEE信息取证与安全交易,卷。16,pp.2186–2201,2021.[14]W.Cheng、C.Greaves和M.Warren,“从n-gram到skipgram再到concgram”,国际语料库语言学杂志,卷。11,没有。4,pp.411–433,2006.[15]B.Perozzi、R.Al-Rfou和S.Skiena,“Deepwalk:社会表征的在线学习”,第20届ACMSIGKDD知识发现和数据国际会议论文集采矿业,2014年,第701–710页。[16]F.G?obel和A.Jagers,“图上的随机游走”,随机过程及其应用,卷。2,没有。4,pp.311–336,1974.[17]J.Tang、M.Qu、M.Wang、M.Zhang、J.Yan和Q.Mei,“Line:Large-scaleinformationnetworkembedding”,第24届万维网国际会议论文集,2015年,第1067-1[18]页A.Grover和J.Leskovec,“node2vec:网络的可扩展特征学习”,第22届ACMSIGKDD知识发现和数据挖掘国际会议论文集,2016年,第855-864页。[19]L.F.Ribeiro、P.H.Saverese和D.R.Figueiredo,“struc2vec:从结构身份学习节点表示”,第23届ACMSIGKDD知识发现和数据挖掘国际会议论文集,2017年,第385-394页。[20]H.Gui、J.Liu、F.Tao、M.Jiang、B.Norick、L.Kaplan和J.Han,“在异构信息网络中使用事件嵌入学习”,IEEE知识和数据工程交易,卷。29,没有。11,pp.2428–2441,2017.[21]G.Fu、B.Yuan、Q.Duan和X.Yao,“通过嵌入事件进行异构信息网络的表示学习”,神经信息处理国际会议。施普林格出版社,2019年,第327–339页。[22]L.Liao、X.He、H.Zhang和T.-S。Chua,“属性社交网络嵌入”,IEEE知识与数据工程汇刊,卷。30,没有。12,pp.2257–2270,2018.[23]H.Yang、S.Pan、P.Zhang、L.Chen、D.Lian和C.Zhang,“二值化属性网络嵌入”,2018年IEEE数据挖掘国际会议(ICDM)。IEEE,2018,pp.1476–1481.[24]X.Ma,L.Q.Wang,etal,“CyEvent2vec:AttributedHeterogeneousInformationNetworkbasedEventEmbeddingFrameworkforCyber??SecurityEventsAnalysis,”IJCNN,2022。
