摘要：探微AISecOps

封面：

正文：

會議背景

CCNIS是由西安電子科技大學、國家計算機網路入侵防範中心、國家計算機病毒應急處理中心、《通訊學報》編委會等單位發起和主辦，旨在探討計算機網路與資訊保安及相關領域最新研究進展和發展趨勢，展示中國計算機網路與資訊保安學術界最重要的學術、技術和成果的學術交流平臺。

攻擊源威脅評估挑戰

實戰化的攻防對抗，正在成為檢驗企業真實安全運營能力的重要依據。近年國家級攻防演練活動，無論是規模還是來自高層的重視程度都越來越大，越來越強。高烈度的紅藍對抗，讓企業開始加大對攻擊溯源能力的重視。

攻擊源即為攻擊行為的起點，通常指的是機器（這一點和攻擊者有所區分），是溯源的目標或是中間過程。APT攻擊行為已經說明，當前的網路攻擊可以是非常複雜、高技術含量、多路徑的。這點在安全運營側的表現便是海量的告警。所以，對攻擊源有效的威脅評估，已經成為攻擊溯源和安全運營的關鍵。基於屬性知識圖譜自編碼器（AKGAE）的威脅評估，對攻擊，可以更高精度的定位攻擊源甚至是攻擊者；對安全運營，可以從真實風險角度進行更加高效、準確的告警篩選，以更加自動化的方式，減少安全運維壓力以及對真正高風險攻擊的遺漏。這是該研究成果對真實安全運營的重大意義和價值所在。

基於屬性知識圖譜的威脅建模

屬性知識圖譜主要包括三部分：表示結構的鄰接矩陣，頂點屬性特徵和邊特徵表示。在威脅評估中，我們用頂點表示攻擊者或受害者的IP地址。圖的結構特徵通常用鄰接矩陣，表示頂點之間相鄰關係。這裡鄰接矩陣表示攻擊者對受害者執行的攻擊行為，即安全運營人員接收到的告警。

單一的安全告警所能提供的資訊是有限的，這就需要一種有效的關聯告警上下文的方法來輔助安全運營。為了挖掘告警間的因果依賴，需要構建告警因果關聯圖，並利用圖表示學習方法DeepWalk學習告警的向量表示，即將告警序列向量化。

深度學習自編碼實現威脅評估

深度自編器可以透過在編碼解碼過程中應用多層線性單元和啟用函式來捕捉高維輸入資料的非線性資訊。這個特性是深度學習所具有的特性，因此在這方面要明顯優於傳統的淺層學習。但傳統的深度自編碼器只能用於獨立同分布的屬性-值資料，因此不能直接移植到網路安全威脅評估場景。所以，AKGAE是一種改進的自編碼器，編碼解碼誤差是評估攻擊者威脅度和攻擊行為識別的標準。

整體威脅評估框架如下：

真實紅藍對抗資料驗證效果