原文标题:AttacKG: Constructing Technique Knowledge Graph from Cyber Threat Intelligence Reports(CCF-B)
*原文作者:Zhenyuan Li, Jun Zeng, Yan Chen, Zhenkai Liang *发表会议:Computer Security–ESORICS 2022原文链接:https://arxiv.org/pdf/2111.07093.pdf笔记作者:Morwind@SecQuan笔记小编:黄诚@SecQuan
CTI报告由自然语言撰写,需要分析其中非结构化文本的语义
攻击知识分散在多个报告中,个别报告通常只关注不完整的攻击案例,难以全面了解攻击情况
(资料图)
首个在技术层面上从多个CTI报告中聚合攻击知识的工作
提出了一种新的CTI报告解析pipeline,该pipeline在处理相同指代和构建攻击图方面具有更好的效率及性能
提出了技术模板的设计来描述和收集一般技术知识
提出了一种改进的图对齐算法来利用模板识别攻击技术
pipeline部分
使用爬虫从MITRE ATT&CK技术示例和CTI报告获取数据
使用正则替换会影响NLP模型的IoC词汇(如CVE-2017-21880、/etc/passwd/)并记录下位置,以便后续复原
将系统实体分为6类(Actor, Executable, File, Network connection, Registry, other),使用基于学习的NER(Named Entity Recognition)模型来识别文本中的实体,用spacy的entityruler辅助识别,再用co-referee来消除相同指代;对于句中的实体依赖提取,先用spacy为每句话建立依赖树,然后用LCA(Lowest Common Ancestor)计算每对实体之间的距离,每个实体会与最近的实体建立依赖关系
通过图对齐算法简化生成的攻击图
技术模板部分
利用MITRE ATT&CK的技术示例来生成技术模板
模板样例
图对齐部分
通过节点对齐算法来合并不同图中的节点(连接子图)
通过图对齐算法来衡量技术模板与子图间的相似度(匹配technique),只要达到预定义的阈值就相当于匹配到了确定的technique
最后根据technique匹配结果将对应技术模板中的知识与攻击图中的结果联立,即得到最终的Technique Knowledge Graph(TKG)
数据
共1,515个来自MITRE ATT&CK references的真实事件
共7,373个来自MITRE ATT&CK knowledge-base的procedure例子
准确度对比
本文从非结构化的CTI报告出发,利用NLP和图神经网络对其进行处理并自动生成攻击技术图,以此还原APT攻击使用的技术
本文的关键技术是用相同的图对齐算法对技术模板和技术图做处理,再根据相似性筛选出与技术图匹配的技术模板,从而确定CTI报告中提到的技术
安全学术圈招募队友-ing
有兴趣加入学术圈的请联系secdr#qq.com