2021诺贝尔生理学或医学奖颁布给了David Julius和Ardem Patapoutian,以褒奖二人发现了温度和触觉感受体。然而,这和威胁情报&态势感知有什么关系呢?关于温度和触觉感受体,可以见下图的表示:David Julius使用辣椒素识别TRPV1,这是一个由让人痛苦的灼热激活的离子通道。David Julius和Ardem Patapoutian各自独立地使用薄荷醇识别TRPM8,TRPM8是一种能被寒冷激活的受体。David Julius和Ardem Patapoutian的发现第一次让人们认知到了温度差异在神经系统中诱发电信号的机理。
从上图中,大家是不是联想到了什么?是的,神经网络、机器学习等名词迅速的闪现在脑海中。那么,神经网络、态势感知、威胁情报之间又有怎样的联系,在实践中的应用又如何?
让我们回顾一下最为广泛接受的威胁情报的概念:“Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and action-oriented advice about an existing or emerging menace or hazard to assets. This intelligence can be used to inform decisions regarding the subject’s response to that menace or hazard.”在威胁情报的概念中,我们不难看出威胁情报不仅仅是用来响应当前存在的灾难,同时对未来可能存在灾难也需要进行一定程度的预测。
用于决策的模型和方法有很多,态势感知即是决策建议的工具,采用已知知识和事实进行威胁推理及建议,这和威胁情报的概念不谋而合,事实上,态势感知正是威胁情报应用的典型场景。态势感知,和SIEM系统的重要差别即是预判能力,对“我方”和“对手方”的下一步行动进行判断则是其重要任务之一。态势感知又很多预判的模型,利用神经网络作为模型、威胁情报以及日志作为素材进行分析和预判,从而发挥已知知识的效用,正是我们接下来要讨论的问题。
关于日志作为素材的态势感知分析,已经有大量的参考文献,本文将重点放在威胁情报的应用上。首先,我们需要对态势感知所用威胁情报素材重要属性进行定义,以用于后续的模型:
- 威胁情报子集应当全面,由神经网络模型针对所获取的威胁情报进行学习,即训练子集所需威胁情报应当可以根据模型进行条件筛选,筛选结果是全集中该类型的全部,以保障训练效果;
- 威胁情报带有时间属性,时间序列分析是神经网络模型,甚至是绝大多数机器学习、统计模型的必要属性,威胁情报的时间属性是针对未来威胁形势分析的重要依据。
态势感知神经网络模型的选择直接影响预测的效果,我们检查一下态势感知进行决策建议的重要点在基本素材中是否显式或隐式的存在,从而使得算法模型可以进行分类或聚类的运算(注意:溯源查询并不需要神经网络算法的介入):
- 攻击手法:基于攻击所采用的TTP进行聚类分析,具体攻击手法可以从日志中提取,攻击手法背景知识可以从威胁情报中获取(攻击方可以利用溯源手段,例如:关联查询、知识图谱等工具)
- 攻击目标:可基于日志信息进行提取
- 攻击趋势:攻击烈度可基于日志信息进行提取,从而作为趋势分析的依据
- 用于态势感知的“我方”和“对手方”基本信息均可以获取,接下来,我们看看态势感知模型的选择:长短期记忆人工神经网络(LSTM,Long Short-Term Memory)。
- 由于威胁情报的信誉值基于时间变化,因此基于信誉值所建立的记忆神经网络模型可以有效帮助建立态势分析;
- 针对攻击手法进行进一步聚类分析,可以帮助情报分析师掌握对手信息;
- 攻击目标,可以通过统计学进行分析,用于辅助判断攻击方向;
- 通过针对特定攻击目标的攻击烈度分析,进行态势分析,以进行响应决策。
在使用LSTM(长短期记忆人工神经网络)的过程中,可随时间反向传播算法(BackPropagation Through Time,BPTT)优化梯度。
威胁情报和态势感知的复合应用,才刚刚揭开序幕!