参考文档
1、背景介绍
知识图谱是由谷歌提出的概念,其本质是由实体(概念)及实体(概念)间关系,以及关联属性组成的一种语义网络,通过结构化的数据组织结构,以有效表示实体(概念)之间的语义关联关系。可形式的化表示为:
其中每个三元组代表一个知识单元,表示了源实体 Subject 与目的实体 Object 之间,具有关系 Relation。
在网络安全领域,将海量零散分布的多源异构安全数据通过图谱框架进行高效融合,用于安全事件分析、安全合规治理、未知威胁发现等,具备巨大价值潜力。
以下为安全知识图谱技术路线图:
2、技术方案选型
主要考虑以下因素:
- 开源项目,对商业应用友好。拥有对源代码的控制力,才能保证数据安全和技术的自主可控性,便于二次开发;
- 支持集群模式,具备存储和计算的横向扩展能力。业务数据量可以达到千万以上点边总数,吞吐量可达到数万 qps,单节点部署无法满足存储需求;
- 在线OLTP 类图查询服务及简单 OLAP 类图查询能力。探索分析场景下,为确保分析得时效性,不能接受太高的查询响应时间;
- 具备批量导入数据能力。原始数据一般存储在 Hive 等数据仓库中,必须有快速将数据导入到图存储的手段。
Spark 作为通用大数据计算引擎,在实时计算、批处理、图计算方面都有非常优秀的表现,并且整体技术生态的兼容性更好。Nebula Graph 是一个开源可靠的分布式、线性扩容、性能高效的图数据库。因此,最终的技术方案选用 Spark作为图谱构建与图算法引擎, Nebula Graph 做图存储与交互式分析平台。
; 3、实际案例介绍
3.1 基础安全- 网络入侵溯源
3.1.1 需求场景
对于网络入侵场景下,在端点防护设备检测到异常行为触发告警时,常常需要安全人员做出如下分析判定:
- 基于告警内容上下文,快速研判攻击是否真实发生;
- 还原攻击者的入侵链路图。在最短时间内定位入侵原因、制定应急决策;
- 评估攻击受灾面,通过关联分析,发掘更多的为未知威胁。
3.1.2 数据建模
节点类型: 包括 host(主机),process(进程),file(文件)、network(网络)。
关系类型:
- 主机创建进程 (host)-[create]->(process),
- 进程创建子进程 (process)-[fork]->(process),
- 进程读写文件 (process)-[open]->(file),
- 进程连接网络 (process)-[connect]->(network)。
3.1.3 实践方案
- 对于Linux 环境,采用ebpf 技术,捕获系统调用,根据调用类型 细分出 文件读写、进程创建、网络连接等行为;
- 对于Windows 环境,使用Sysmon系统监控工具,记录进程创建,网络连接以及文件创建的操作行为;
- 根据图谱的建模设计进行知识提取、知识融合,建立行为分析图谱;
- 以安全告警起始节点通过 向前追溯寻找攻击入口点,通过 向后扩展判定此次攻击影响范围。
- 通过 图路径查询功能,可以构建未知威胁的检测场景。通过端点间的 图连通性查询,可识别异常连接与共享场景。
3.1.4 成果演示
; 3.2 数据安全- 数据流转分析
3.2.1 需求场景
随着企业业务的发展、IT系统愈更加复杂,特别是随着微服务化的盛行,组件、实例间的关系更难以梳理。在进行数据安全治理的时候,常常有如下痛点:
- 对于涉敏接口而言,关联到哪些实例组件、数据蔓延的范围是怎样的;
- 对于数据库而言,涉敏数据分布在哪些库表,以及哪些业务系统、关联方访问过这些数据。
3.2.2 数据建模
节点类型: 包括 app(客户端),container(容器) , service(服务),database(数据库),table(数据表)。
关系类型:
- 客户端请求容器 (app)-[request]->(container),
- 容器调用服务 (container)-[call]->(service),
- 容器读写数据库 (contianer)-[operate]->(database),
- 数据库拥有数据表 (database)-[has]->(table)。
3.2.3 实践方案
- 镜像web网关流量,识别接口是否存在涉敏行为,结合APM 链路追踪技术,得到接口调用全流程数据;
- 镜像数据库网关流量,解析查询sql语句,获取库、表、操作字段,结合数据分类分级,得出数据库访问关系数据;
- 根据图谱的建模设计进行知识提取、知识融合,建立行为分析图谱;
- 在图谱上图查询分析,获得接口调用关联图、涉敏数据分布图、涉敏数据流向图、全局数据关联方视图等数据
3.2.4 成果演示
; 3.3 业务安全- 欺诈团伙检测
3.3.1 需求场景
在互联网金融行业,利用知识图谱甄别欺诈场景,通过挖掘不同用户之间的亲密离散度,并通过关系图的形式直观呈现,实现”异常中心”一目了然。
- 群体关系分析: 分析一批客户之间的关联,我们需要知道他们是通过什么东西关联起来的,是通过 共用设备、登录相同账号、共享担保人、连接到同一个局域网wifi地址 还是其他关系;
- 风险节点预警: 某个用户刚授信,想申请借款的时候就开始预警,这个节点可能有很大的风险,调查他的关系网络是怎样的、跟一些风险节点的关联是什么样的;
- 风险社区的发现: 现在有些黑产,都是团伙作案的,需要去发现有哪些团伙具备欺诈性质
3.3.2 数据建模
节点类型: 包括 customer(客户id),device(设备唯一标识),applyNo(申请号),wifi。
关系类型:
- 客户直接认识 (customer)-[know]->(customer),
- 客户使用设备 (customer)-[use]->(device),
- 设备访问订单 (device)-[visit]->(applyNo),
- 设备连接wifi (device)-[connect]->(wifi)。
3.3.3 实践方案
- 业务端对app上重要操作节点进行数据埋点,包括但不限于:设备唯一标识、手机号码、账号、进件号;
- 进行数据清洗与知识提取,根据图谱数据建模,建立团伙行为分析图谱;
- 准实时处理新增数据,并和全量图谱进行融合、通过图连通性,过滤掉孤立节点,降低计算的复杂度;
- 使用基于部分黑样本的标签传播算法、进行社区团伙的划分,并在社群内部进行权重评分、社群定性分析;
- 分别对每个团伙 记录 30天、15天、7天、3天和 当天 的关系网络结构,追踪图谱的演变过程。
; 3.3.4 成果演示
4、结束语
本文分别讨论 图交互式分析和 图算法挖掘在 企业安全运营场景下的落地实践方式。知识图谱除了上述分享的应用场景外,常见的场景还包括但不限于 ATT&CK 威胁建模、IOCs信标分析、攻击推理、威胁情报融合等。如何让知识图谱更好地赋能企业安全运营技术,仍需要网络安全专家们共同探索。
Original: https://blog.csdn.net/tangliyong2012/article/details/122562270
Author: LonyTang
Title: 【大数据安全分析】图计算在安全方面的应用思考
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/555204/
转载文章受原作者版权保护。转载请注明原作者出处!