AttacKG:从网络威胁情报报告构建技术知识图谱

原文标题：AttacKG: Constructing Technique Knowledge Graph from Cyber Threat Intelligence Reports(CCF-B)
*原文作者：Zhenyuan Li, Jun Zeng, Yan Chen, Zhenkai Liang *
发表会议：Computer Security–ESORICS 2022
原文链接：https://arxiv.org/pdf/2111.07093.pdf
笔记作者：Morwind@SecQuan
笔记小编：黄诚@SecQuan

主要问题

• CTI报告由自然语言撰写，需要分析其中非结构化文本的语义
• 攻击知识分散在多个报告中，个别报告通常只关注不完整的攻击案例，难以全面了解攻击情况

本文工作

• 首个在技术层面上从多个CTI报告中聚合攻击知识的工作
• 提出了一种新的CTI报告解析pipeline，该pipeline在处理相同指代和构建攻击图方面具有更好的效率及性能
• 提出了技术模板的设计来描述和收集一般技术知识
• 提出了一种改进的图对齐算法来利用模板识别攻击技术

AttacKG

• pipeline部分
• 使用爬虫从MITRE ATT&CK技术示例和CTI报告获取数据
• 使用正则替换会影响NLP模型的IoC词汇(如CVE-2017-21880、/etc/passwd/)并记录下位置，以便后续复原
• 将系统实体分为6类(Actor, Executable, File, Network connection, Registry, other)，使用基于学习的NER(Named Entity Recognition)模型来识别文本中的实体，用spacy的entityruler辅助识别，再用co-referee来消除相同指代；对于句中的实体依赖提取，先用spacy为每句话建立依赖树，然后用LCA(Lowest Common Ancestor)计算每对实体之间的距离，每个实体会与最近的实体建立依赖关系
• 通过图对齐算法简化生成的攻击图
• 技术模板部分
• 利用MITRE ATT&CK的技术示例来生成技术模板
• 模板样例
• 图对齐部分
• 通过节点对齐算法来合并不同图中的节点(连接子图)
• 通过图对齐算法来衡量技术模板与子图间的相似度(匹配technique)，只要达到预定义的阈值就相当于匹配到了确定的technique
• 最后根据technique匹配结果将对应技术模板中的知识与攻击图中的结果联立，即得到最终的Technique Knowledge Graph(TKG)

实验

• 数据
• 共1,515个来自MITRE ATT&CK references的真实事件
• 共7,373个来自MITRE ATT&CK knowledge-base的procedure例子
• 准确度对比

总结与思考

• 本文从非结构化的CTI报告出发，利用NLP和图神经网络对其进行处理并自动生成攻击技术图，以此还原APT攻击使用的技术
• 本文的关键技术是用相同的图对齐算法对技术模板和技术图做处理，再根据相似性筛选出与技术图匹配的技术模板，从而确定CTI报告中提到的技术