中国电子科技集团公司第三十研究所1 杨天长1
中国电子科技集团公司第十五研究所2 周雅楠2
摘要:针对领域热点、产业和关注目标等的动态变化性、信息碎片化、关键信息隐蔽化导致单一维度的安全情报挖掘算法不能有效的获取动态变化的高价值情报,聚焦于感知网络安全“趋势”和“变化”,面向情报数据的安全态势感知技术研究面向情报数据的新兴热点和重要目标发现技术、多层级变化趋势分析技术和关注对象状态转移分析技术,满足对新兴热点和重要目标发现、多层级变化趋势、重点目标状态迁移分析等态势感知应用场景,为情报使用者进行决策提供安全情报支撑。
关键词:情报数据;安全态势;感知
1.面向情报数据的安全态势感知
安全驱动情报不是简单类型或单一目标相关的,它呈现强烈的体系化特征,一方面安全驱动情报针对的网络空间是一个复杂的体系,涉及多个方向、领域和产业;另一方面活跃在网络中的目标也不仅仅是一个个独立的个体,还有许多相互关联的公司、机构和组织,甚至还有很多国家层面的意志在其中起着重要影响;同时二者也会相互影响,目标的研究活动会推动体系的发展变化,同时体系的发展变化也会导致新目标的出现及旧有目标的分裂、变化、消失等。这些都会映射到网络空间发生的各个事件及其参与者的状态和发展变化之中,从事件出发可以分析挖掘网络空间中研究热点、目标的状态以及产业发展趋势等态势信息。
面向情报数据的安全态势感知基于安全情报知识图谱,在安全情报识别、溯源和关联分析结果的基础上,对网络安全情报的标签、特征和关系进行分析处理,及时发现新兴热点和重要目标并依据任务、用户、方向等从结果中筛选并存储为关注对象,分析提炼网络安全情报多维度、多层级的状态和变化趋势,总结生成关注对象的状态及其转移链实现安全态势的感知。技术解决途径如下图所示:
.png)
图1面向情报数据的安全态势感知技术解决途径
5.1 新兴热点和重要目标发现
为描述网络空间中的目标和事件,从多个层级选取多种指标构建状态特征空间,通过在状态特征空间中的计算和分析来感知事件、目标的状态和变化趋势。其中关于事件分析的指标包括出现频次、扩散速度、事件影响力、时间、地域分布、主要参与目标等元素,并分别在方向和领域、产业层级增加主要事件和主要方向两个指标元素;关于目标分析的指标包含活跃度、被关注度、目标影响力、技术能力和核心关注点等元素;二者相互作用的指标则由事件对目标影响因子、目标对事件的贡献因子构成。初步梳理的针对研究热点、产业发展分析的指标构成如下表所示:
.png)
(1)状态特征空间构建
事件基本状态特征空间由三个元素构成:一是出现频次;二是扩散速度;三是事件影响力。其中出现频次和扩散速度可以在挖掘和关联的基础上计算统计获取,事件影响力则通过和目标构成的二分网络来计算。
目标所处状态可用活跃度、被关注度、目标影响力三个基本特征来描述,活跃度通过时间窗口内目标参与事件的数量和对事件的参与度来加权计算;被关注度利用挖掘和关联结果计算目标间相互影响因子,通过加权得到目标的被关注度;目标影响力通过和事件构成的二分网络来计算。
事件、目标、事件对目标影响因子、目标对事件的贡献因子共同构成了一个二分有向网络,利用PageRank算法进行迭代计算事件和目标的影响力。在挖掘和关联的基础上,通过统计分析时间窗口内目标参与事件的聚类结果和标签来构建目标关注点向量,计算事件标签向量和目标关注点向量的相关性来得到事件对目标的影响因子;基于回溯分析结果,利用图分析方法搜索关键节点和关键路径,依据在路径中的位置、入度、出度、边类型等特征来计算目标对事件的贡献因子;事件和目标影响力初值基于知识图谱计算。该二分有向网络存入图库,其中结果供后续计算使用。
.png)
(2)新兴热点和重要目标发现
事件状态特征向量可以描述事件所处的发展阶段:发展阶段、成熟状态、消亡阶段等。新兴热点是指处于发展阶段且影响力较大的事件;重要目标是指那些活跃度、被关注度和影响力都较高或者在某个方面异常突出的目标。
新兴热点和重要目标的发现是两个相互影响的过程,体现在事件和目标的影响力是一对相互影响的因子,是在一个二分网络中迭代计算获得的。在特征向量空间构成后,基于SVM算法进行渐进式分类界面训练,即依据经验设定初始分类曲面进行分类,收集分类结果进行人工审核后放入SVM进行训练得到新的分类曲面,多次循环直到分类曲面稳定,待稳定分类曲面工作一段时间后再次进入新一轮训练。利用得到的稳定分曲界面进行热点和目标的分类,进而实现新兴热点和重要目标的发现。
.png)
5.2 关注对象状态转移分析
关注对象是基于新兴热点和重要目标发现的结果,依据任务、方向、用户等要素筛选的目标,针对关注对象除了关注目标特征矢量涉及的活跃度、受关注度、影响力外还需要增加能力评价、核心关注点两个要素,共同构成关注对象状态特征矢量。能力评价基于知识图谱通过加权参与事件难度及目标对事件的贡献因子来计算。而核心关注点则基于事件分类结果和标签以及事件对目标的影响因子来加权计算。
在关注对象状态特征矢量计算基础上,以时间为轴基于方向、领域或产业等获得关注对象分级状态矩阵,分析关注对象的变化点、变化方向、变化速率等特征,形成关注对象状态转移链,用于分析其状态转移趋势。
.png)
5.3 多层级状态及变化趋势分析
热点具有“共振”的特征,即某事件的发生导致一系列相关事件的发生并逐渐扩大影响。例如某组织公开了一个“零日漏洞”,这一事件将导致大量组织和黑客针对该漏洞进行研究利用,必然对漏洞挖掘领域的某一方向产生影响,同时该漏洞所涉及的组织机构、网站、生产厂商一定会进行相应的检测并发布更新补丁。又或者某国家发布了一个重要的“安全战略计划”,同样会引起对手或者相关组织的一系列反应。因此仅从单一层面进行分析很难掌握全面整体的发展趋势。通过总结分析将状态及变化趋势分析分事件、方向、领域或产业三级,由底向上通过情报识别结果以及关联分析中关系发现结果进行逐级聚合,其综合性、精炼程度也逐层增强。
在事件特征矢量的基础上增加时间、地域和主要参与目标三个维度,构成热点状态扩展特征矢量,主要参与目标通过选择对事件贡献度较大的多个目标构成,基于时间窗口和事件发展阶段的分类结果计算扩展特征矢量。计算得到扩展特征矢量后,基于时序分析计算变化点、变化方向程度及程度等趋势分析。
基于关联分析结果可将事件逐级整合为方向和领域、产业,在事件特征矢量的基础上聚合得到方向和领域、产业的特征矢量,其中方向特征矢量中增加主要事件元素,在领域、产业特征矢量中扩展主要方向元素。在此基础上实现事件、方向、领域或产业的发展动态和演变趋势分析。
.png)