高级威胁发现(4)【Nan】RAID-Cyber Threat Intelligence Modeling Based on GCN
RAID-Cyber Threat Intelligence Modeling Based on GCN
[AI安全论文] 05.RAID-Cyber Threat Intelligence Modeling Based on GCN
这篇文章将详细介绍北航老师发表在RAID 2020上的论文《Cyber Threat Intelligence Modeling Based on Heterogeneous Graph Convolutional Network》
原文作者:Jun Zhao, Qiben Yan, Xudong Liu, Bo Li, Guangsheng Zuo 原文链接:https://www.usenix.org/system/files/raid20-zhao.pdf 论文来源:RAID 2020/CCF B
摘要
网络威胁情报(CTI,Cyber Threat Intelligence)已在业界被广泛用于抵御流行的网络攻击,CTI通常被看作将威胁参与者形式化的妥协指标(IOC)。然而当前的网络威胁情报(CTI)存在三个主要局限性:
- IOC提取的准确性低
- 孤立的IOC几乎无法描述威胁事件的全面情况
- 异构IOC之间的相互依存关系尚未得到开发,无法利用它们来挖掘深层次安全知识
本文提出了基于异构信息网络(HIN, Heterogeneous Information Network)的网络威胁情报框架——HINTI,旨在建模异构IOCs之间的相互依赖关系,以量化其相关性,对CTI进行建模和分析。
本文的主要贡献如下:
- 提出了基于多粒度注意力机制( multi-granular attention)的IOC识别方法,可以从非结构化威胁描述中自动提取网络威胁对象,并提高准确性。
- 构建一个异构信息网络(HIN)来建模IOCs之间的依赖关系
- 提出一个基于图卷积网络(Graph Convolutional Networks)的威胁情报计算框架来发现知识
- 实现了网络威胁情报(CTI)原型系统
实验结果表明,本文提出的IOC提取方法优于现有方法,HINTI可以建模和量化异构IOCs之间的潜在关系,为不断变化的威胁环境提供了新的线索。
IOC(Indicator of Compromise)是MANDIANT在长期的数字取证实践中定义的可以反映主机或网络行为的技术指示器。
一、HINTI工作步骤
- 通过B-I-O序列标注方法对安全相关帖子进行标注,用于构建IOC提取模型。
- 将标记的训练样本输入神经网络,训练IOC提取模型。
- HINTI利用句法依赖性解析器(e.g.,主-谓-宾,定语从句等)提取IOC之间的关联关系,每个IOC均表示为三元组(IOCi,relation,IOCj)
- 最后,HINTI集成了基于异构图卷积网络的CTI计算框架以有效地量化IOC之间的关系进行知识发现。
1.1 HINTI总体架构
HINTI由四个主要部分组成:(a)收集与安全相关的数据并提取即IOC;(b)将IOC之间的相互依存关系建模为异构信息网络;(c)使用基于权重学习的相似性度量将节点嵌入到低维向量空间中;(d)基于图卷积网络和知识挖掘来计算威胁情报。