【开源威胁情报挖掘3】开源威胁情报融合评价

基于开源信息平台的威胁情报挖掘综述

  • 写在最前面
  • 5. 开源威胁情报关联分析
    • 5.1 开源威胁情报网络狩猎:技术、方法和最新研究
      • 应用实例和未来方向
    • 5.2 开源威胁情报态势感知
      • 关键技术和方法
      • 应用实例和未来方向
    • 5.3 开源威胁情报恶意检测
      • 关键技术和方法
      • 应用实例和未来方向
    • 5.4 总结与对比
      • 开源威胁情报联合分析相关研究分类总结对比
      • 未来发展
  • 6 总结与展望
    • 开源威胁情报挖掘的现状
    • 主要挑战与未来展望
    • 总结

写在最前面

目前计划在网络安全领域的开源威胁情报挖掘展开进一步实验和论文写作,欢迎交流。

本文基于2022年1月《信息安全学报》崔琳等老师的论文 基于开源信息平台的威胁情报挖掘综述 进行梳理了解。

该论文为我们提供了一个全面的开源威胁情报挖掘框架,涵盖了该领域的关键方向、技术应用及未来趋势。
注意:这篇论文发布时间稍早,最前沿的视角需要之后再去补充阅读其他相关论文。

关键词:开源威胁情报;识别提取;融合评价;关联分析


这篇综述的内容相当扎实,所以预期分几次完成阅读。

前文:
【开源威胁情报挖掘1】引言 + 开源威胁情报挖掘框架 + 开源威胁情报采集与识别提取
【开源威胁情报挖掘2】开源威胁情报融合评价

本文为综述的第五、六章节,将梳理开源威胁情报挖掘技术的开源威胁情报融合评价

详细论述开源威胁情报关联分析的三个核心应用场景,为网络安全专业人士和研究者提供了全面的理解和参考。这些分析方法在提高威胁检测和响应能力方面具有重要价值。

有助于新入领域的研究者全面理解开源威胁情报挖掘,并为细分方向的研究者提供参考,以突破现有研究的局限性。

5. 开源威胁情报关联分析

开源威胁情报关联分析是网络安全领域的一个关键方向,综合运用 Kill Chain、钻石或异构信息网络等模型, 结合开源威胁情报信息, 对实时攻击流量数据进行深度关联、碰撞、分析等操作, 以期发现一些潜在的攻击行为, 进而推理挖掘揭示出隐含的攻击链条等高价值威胁信息,以发现、分析并揭示潜在的攻击行为和高价值威胁信息。

专注于开源威胁情报关联分析的三个核心应用场景:网络狩猎、态势感知、恶意检测。

  • 网络狩猎:网络狩猎通常采用威胁情报驱动的检测方法,主动搜索网络流量数据,以便检测可能逃避现有安全防御措施的威胁。该领域涉及图计算、模式匹配、领域特定语言等技术理论,旨在通过主动搜索和分析网络流量,提前发现并阻止潜在威胁。

  • 态势感知:态势感知基于大数据视角,依托威胁情报,从全局角度提升对安全威胁的识别、理解、响应和处置能力。该领域的研究近期开始引入博弈理论,以分析安全态势的发展和变化,从而更有效地预测和应对恶意攻击行为。

  • 恶意检测:恶意检测利用开源威胁情报辅助检测目标系统内的恶意代码或程序。常见的方法包括从开源威胁情报中提取检测知识,结合恶意软件的静态和动态特征数据,构建网络安全知识图谱(Cybersecurity Knowledge Graph, CKG),用于深入分析和挖掘恶意软件行为。

5.1 开源威胁情报网络狩猎:技术、方法和最新研究

网络狩猎是一种主动和反复搜索网络和数据的方法,用于筛选可能逃避现有安全防御措施的威胁攻击。这一领域的研究成果显示,开源威胁情报可以有效支持威胁行为的狩猎。

威胁狩猎[75]一般是采用人工分析和机器辅助的方法, 针对网络和数据进行主动和反复的搜索, 从而筛选出可能逃避现有安全防御措施的威胁攻击。

与传统检测方式相比, 网络狩猎拓展了威胁检测方式, 可充分利用第三方威胁情报信息来提升对新型威胁的检测能力, 具有明确的目的性, 包括:
1、缩减威胁目标的狩猎范围,
2、显著减少威胁检测时间,
3、搜索发现未知威胁等。

以下是一些代表性的研究成果:

  1. EFFHUNTER (文献76): 提出了一个使用OSCTI搜索网络威胁的系统,它通过无监督、轻量级和精确的NLP管道从非结构化OSCTI文本中提取结构化威胁行为。

  2. 自动化黑客论坛分析 (文献15): 提出了一种自动识别黑客论坛、IRC频道和Cardingshop内潜在威胁的方法,通过机器学习和信息检索技术相结合识别潜在网络威胁。

  3. 多暗网数据源OSCTI识别提取 (文献77): 设计实现了针对多暗网数据源的OSCTI识别提取工具,以实现快速集成、跨数据集目标分析和威胁关联检测。

  4. MANTIS (文献78): 开发了新威胁情报平台,使用基于属性图的相似性算法,将不同的威胁数据形式统一表示,方便安全分析师识别潜在威胁。

  5. 网络威胁狩猎系统Poirot (文献79): 依托图挖掘关联技术,将威胁情报和各类日志进行关联分析,从攻击者和被控主机视角呈现威胁全貌。

应用实例和未来方向

开源威胁情报网络狩猎的应用实例包括但不限于实时识别威胁主题(文献81)、OSCTI威胁类型识别(文献82)、黑客社区恶意资产分析(文献83),以及基于威胁情报知识图谱的主动威胁发现(文献84)。

网络狩猎领域未来的研究方向可能集中在进一步优化威胁情报的自动化提取和分析方法,以及将这些信息更有效地整合到现有的安全防御框架中。

5.2 开源威胁情报态势感知

开源威胁情报态势感知是一种基于大数据分析的安全防御方法,目的是全面掌握和响应系统安全威胁。本文梳理了在此领域的关键技术和最新研究成果。

关键技术和方法

开源威胁情报态势感知技术的核心在于有效利用开源情报信息,以便快速感知网络威胁。以下是一些代表性的研究成果:

  1. 使用开源情报感知APT攻击 (文献85): Husari等人提出了一种方法,利用非结构化信息(如博客、邮件和社交媒体)构建TTP链,以感知APT攻击。

  2. 基于DNS流量和开源情报的APT探测 (文献86): 上海大学的李等人提出了一种方法,结合DNS流量和开源威胁情报测算系统DNS域名的风险值。

  3. 探测和预测APT攻击 (文献87): 温等人综合运用情报收集、网络安全监控、基于知识的推理等手段,有效探测和预测APT攻击。

应用实例和未来方向

态势感知的应用实例包括集成OSCTI的信息安全管理系统 (文献88)、监视工业4.0网络威胁 (文献89)、基于博弈论的态势感知 (文献90-94)。这些应用展示了开源威胁情报在安全态势感知中的多样化使用。

未来方向可能包括进一步优化多语言威胁情报处理,如Ranade等人提出的跨语言翻译系统 (文献95),以及更精确地集成开源情报信息到现有安全防御框架中。

5.3 开源威胁情报恶意检测

开源威胁情报恶意检测是一种使用开源情报信息来发现和防御网络攻击的方法。本文梳理了在此领域的关键技术和最新研究成果。

关键技术和方法

以下是一些在开源威胁情报恶意检测领域的代表性研究成果:

  1. 早期预警系统 (文献96): Gandotra等人设计了一个框架,用于分析、识别和预测恶意软件,并生成可供安全机构共享的威胁情报。

  2. 恶意软件机器学习分类器 (文献97): 胡等人提出了一种基于开源威胁情报的分类器,能够从恶意软件中提取多方面内容特征,如指令序列和字符串。

  3. 网络安全知识图谱 (文献98): Piplai等人提出了一个方法,将开源威胁情报中的知识与沙箱中捕获的恶意软件行为数据结合起来,构建知识图谱。

  4. 特征集自动生成 (文献99): 来自马里兰大学的团队提出了FeatureSmith,这是一种从安全会议论文内容中自动提取特征集的方法。

  5. 恶意URL检测系统 (文献100): 中国科学院大学的汪鑫等人开发了一个基于开源威胁情报平台的系统,用于提取URL的结构特征和敏感词特征。

  6. XSS攻击检测方法 (文献101): 提出了一种结合贝叶斯网络域内知识和开源威胁情报的方法,用于检测XSS攻击。

应用实例和未来方向

开源威胁情报恶意检测的应用涉及恶意软件和URL检测,数字取证等领域。例如,Serketzis等人(文献102-103)利用开源威胁情报提高数字取证效率。

未来方向可能包括进一步融合机器学习技术与开源威胁情报,提升恶意软件和网络攻击的检测精度,并开发更多自动化工具来加快响应时间和提高效率。

5.4 总结与对比

开源威胁情报关联分析是网络安全领域的一个重要研究方向,涉及网络狩猎、态势感知和恶意检测三个核心应用场景。本文将详细探讨这三个方向的最新研究进展,并进行对比分析。

  • 网络狩猎
    网络狩猎侧重于搜寻未知、新型或变异的网络攻击威胁。这种方法通常采用机器学习和NLP技术,通过主动搜索来检测可能逃避现有安全防御措施的攻击目标。

  • 态势感知
    态势感知则更注重提升对全局威胁形势的把握,包括决策支持、威胁分类和攻击预测。这一方向通常应用深度学习技术,以全局视角分析和预测安全威胁。

  • 恶意检测
    恶意检测专注于识别可能对目标资产造成实质性侵害的恶意实体,如恶意软件、URL和恶意活动。这通常涉及对恶意软件或URL特征的提取和分析。

  • 技术对比

    • 网络狩猎: 通常结合数据处理技术和特定领域查询语言。
    • 态势感知: 频繁使用深度学习技术,以及博弈论等理论模型。
    • 恶意检测: 侧重于使用开源情报来提取恶意实体的特征,结合机器学习和知识图谱技术。

开源威胁情报联合分析相关研究分类总结对比

如下表 4 所示, 表中每一行代表一项研究工作:
第 1 列代表相关开源威胁情报联合分析研究被分类的三个主要方向;
第 3 列为每个研究工作的具体技术应用场景;
第 4 列为该项研究为实现任务所应用的具体技术方法, 主要从数据处理, 关系模型构建, 检测方法以及数据存储方向进行归纳分析;
第 5 列为性能评估;
第 6 列为通过总结优缺点对该项研究工作的评价。

在这里插入图片描述

未来发展

随着对关键基础设施的网络攻击日趋复杂化,开源威胁情报在关联分析中的作用愈发重要。需要在现有研究的基础上,投入更多资源进行深入开发和应用探索。

6 总结与展望

开源威胁情报(OSCTI)作为网络安全领域的一个重要部分,提供了丰富、多样且快速响应的信息资源,有助于提高网络攻击的检测、识别和响应处理能力。本文深入分析了开源威胁情报挖掘的当前研究现状,挑战和未来趋势。

开源威胁情报挖掘的现状

开源威胁情报挖掘涉及信息采集、质量评价和关联应用等多个关键领域,当前的研究工作表明,从信息源的拓展、数据质量评价到安全防御应用价值等方面,开源威胁情报挖掘正快速发展。然而,存在的局限性也为未来的发展带来了机遇和挑战。

主要挑战与未来展望

  1. 统一信息模型和框架: 当前研究多局限于特定社区或平台,缺乏全局和共性角度的基础性研究。未来需构建面向学术研究的统一信息模型和框架,促进领域的长期发展。
    从已有开源情报挖掘相关工作分析中不难看出,很多开源情报挖掘问题都可通过应用命名实体识别技术或其他人工智能技术,如正则表达式匹配,BiLSTM+CRF等来进行实现,不同的开源情报平台,如社交网络、技术博客或研究报告等都完全可以共享同一个信息模型和基础算法。如何构建形成面向学术研究的统一信息模型和框架是一个重要问题。

  2. 数据投毒的风险评估: 开源平台的开放性导致信息质量易受干扰。需要研究有效的风险分析与评估模型,特别是在面对数据投毒等问题时。

  3. 开发支撑工具: 面向大众的开源情报开发支撑工具的研究,对建立友好的威胁情报生态至关重要。这包括对大规模异构数据的快速处理和统一的威胁数据信息模型的建立。

  4. 时效性提升: 现有技术多聚焦于特定环节的效率提升。未来应从整体上提升威胁情报的时效性,包括对大规模动态数据的高效处理和激励机制的设计。

总结

开源威胁情报挖掘技术能够有效缓解传统威胁情报的局限性,受到学术界和工业界的广泛关注。本文的分析和讨论旨在为威胁情报应用及相关安全领域的研究和实践提供有益的借鉴和启发,促进该领域的健康发展。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/212808.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

系列十七、理解SpringBoot中的starter 自定义一个starter

一、概述 作为后端Java程序员,基本上公司的日常开发都是基于SpringBoot进行的,我们使用SpringBoot也是沉醉于它的各种各样的starter带给我们的便利,这些starter为我们带来了众多的自动化配置,通过这些自动化配置,我们可…

晨曦记账本:掌握技巧,轻松统计交通支出“

你是否曾经为了统计交通支出而烦恼?现在,我们为你推荐晨曦记账本,让你轻松掌握技巧,快速统计上个月交通支出。 首先第一步,我们要进入晨曦记账本并在上方功能栏里选择“查看方式”。并在弹出来的列表里选择“所有记录…

教你5步学会用Llama2:我见过最简单的大模型教学

在这篇博客中,Meta 探讨了使用 Llama 2 的五个步骤,以便使用者在自己的项目中充分利用 Llama 2 的优势。同时详细介绍 Llama 2 的关键概念、设置方法、可用资源,并提供一步步设置和运行 Llama 2 的流程。 Meta 开源的 Llama 2 包括模型权重和…

力扣每日一题day24[150. 逆波兰表达式求值]

给你一个字符串数组 tokens ,表示一个根据 逆波兰表示法 表示的算术表达式。 请你计算该表达式。返回一个表示表达式值的整数。 注意: 有效的算符为 、-、* 和 / 。每个操作数(运算对象)都可以是一个整数或者另一个表达式。两个…

oracle sql相关语法

SQL*PLUS 在SQL*PLUS执行,会在执行后显示查询的执行计划和统计信息 SET AUTOTRACE ON;SELECT * FROM your_table WHERE column_name value;SET AUTOTRACE OFF;PLSQL PLSQL查询sql界面,鼠标右键,点击执行计划,会出现sql的执行计…

非功能关键知识总结(一)

文章目录 一、稳定性(一)、服务级别协议1、SLA2、OLA3、UC (二)、可用性指标(三)、突发事件等级 三、质量(一)、千行代码缺陷数量(二)、软件质量模型的发展(三)、产品质量模型 四、安全(一)、网络安全 五、灾备(一)、灾备指标(二)、灾难恢复等级(三)、容灾技术分类 一、稳定性 …

V8引擎类型转换(VIP课程)

这一章是源于一道面试题 完成以下条件并且输出console if(a 1 && a 2 && a 3) {console.log(true) }好家伙 乍一看一个变量怎么可能等于三个值?带着疑问我们去深入了解 类型系统 在JavaScript中类型系统不同于别的语言,例如JavaSc…

【1】基于多设计模式下的同步异步日志系统-项目介绍

1. 项目介绍 本项⽬主要实现⼀个日志系统, 其主要支持以下功能: • 支持多级别日志消息 • 支持同步日志和异步日志 • 支持可靠写⼊日志到控制台、文件以及滚动文件中 • 支持多线程程序并发写日志 • 支持扩展不同的日志落地⽬标地 2. 开发环境 • CentOS 7 • vs…

免费网站快速收录工具,2023最新网站收录方法

在当今数字化时代,拥有一个被搜索引擎快速收录的网站对于个人、企业或机构而言至关重要。网站的快速收录意味着更广泛的曝光和更多的访问流量,这对于网络存在的任何实体都是非常有价值的。 网站快速收录的重要性 在庞大的互联网世界中,一切…

汇编学习记录

前言 这篇文章是自己在专升本录取~本科开学前学习记录,破解软件的学习在2022年4月 - 2022年5月,汇编学习时间大约为2022年7月 - 2022年9月,我将往期上传的博文整理为一篇文章,作为归纳总结。 以后若继续学习相关领域,此…

003、应用程序框架-UIAbility

之——UIAbility 目录 之——UIAbility 杂谈 正文 1.UIAbility 2.基本使用 2.1 创建Ability工程 2.2 添加基础功能 2.3 新建页面 2.4 页面间的跳转 3.生命周期 总结 杂谈 UIAbility,其中的页面创建、页面间的跳转、数据传递、生命周期。 正文 1.UIAbil…

【Android】MMKV实现本地持久化

引入 (测试操作机器是华为Mate 20 Pro 128G,Android 10,每组重复1k次,时间单位是ms) 可以看出MMKV的耗时比其他耗时少的离谱。再看多进程下的性能: 不必多说。再看和DataStore的对比: 简介 根据MMKV官方文档所言 MM…

波奇学C++:智能指针(二):auto_ptr, unique_ptr, shared_ptr,weak_ptr

C98到C11:智能指针分为auto_ptr, unique_ptr, shared_ptr,weak_ptr,这几种智能都是为了解决指针拷贝构造和赋值的问题 auto_ptr:允许拷贝,但只保留一个指向空间的指针。 管理权转移,把拷贝对象的资源管理权转移给拷贝…

深度学习记录--计算图(前向后向传播)

什么是计算图? 从一个例子入手: 将函数J的计算用流程图表示出来,这样的流程图被称为计算图 简单来说,计算图是用来显示每个变量间的关系的一种图 两种传播方式 计算图有两种传播方式:前向传播 和 后向传播 什么是前…

手写VUE后台管理系统7 - 整合Less样式

整合LESS 安装使用 Less(Leaner Style Sheets),是一门向后兼容的 CSS 扩展语言。 Less 官网:https://less.bootcss.com/ 安装 yarn add less安装完成就可以直接使用了 使用 以文件形式定义全局样式 在 assets 目录下创建 less …

精准长尾关键词批量挖掘工具,长尾关键词挖掘正确使用方法

互联网时代,SEO已然成为网站推广的关键一环。而在SEO的世界里,长尾关键词无疑是一块被广泛忽视却蕴含着巨大潜力的宝地。 什么是长尾关键词 长尾关键词,指的是那些相对不那么热门、搜索量较低但更为具体、更贴近用户真实需求的关键词。与短…

JAVAEE 初阶 多线程基础(五)

可重入锁 死锁 内存可见性问题 一 可重入锁二.死锁场景1. 一个线程一把锁场景2. 两个线程两把锁场景3. n个线程m把锁(哲学家就餐问题) 三.Java库中的标准类四.内存可见性问题 一 可重入锁 谈到可重入锁,需要再次回顾线程安全问题原因 1.根本原因:线程的抢占式执行,随机调度 2.多…

【Erlang进阶学习】2、匿名函数

受到其它一些函数式编程开发语言的影响,在Erlang语言中,将函数作为一个对象,赋予其“变量”的属性,即为我们的匿名函数 或 简称 fun,它具有以下特性: (匿名函数:不是定义在Erlang模…

基于单片机的多功能视力保护器(论文+源码)

1.系统设计 多功能视力保护器在设计过程中能够对用户阅读过程中的各项数据信息进行控制,整体设计分为亮种模式,分别是自动模式,手动模式。在自动模式的控制下,当单片机检测当前光照不强且有人时就开启LED灯,并且会根据…

uView ui 1x uniapp 表格table行内容长度不一导致高度不统一而出现的不对齐问题

问题 因为td单元格内空长度不定导致行单元格未对齐 解决&#xff1a; 重置td的高度&#xff1a;height:100% 改为height:auto !import <u-table><u-tr v-for"(item,index) in Lineinfo.Cust_Name" ><u-td style"height: auto !important;back…