【RSA2018】創新沙盒 | AWAKE SECURITY基於機器學習的安全分析平台
Awake Security是來自加利福尼亞州桑尼維爾的威脅檢測廠商,創立於2014年,在2017年被評為Gartner酷潮廠商(Cool Vendor),其安全調查平台(Security Investigation Platform)入圍了RSA 2018創新沙盒決賽。該平台是Awake Security提供的基於機器學習的安全分析平台,結合網絡流量等數據,為安全分析人員提供了一個上下文豐富、可以持續進行追蹤的高級分析功能系統。
Awake構建了一個安全知識圖譜數據模型
根據Awake官方網站介紹,該產品使用網絡數據來識別環境中的所有實際實體(如設備,用戶和域名),然后構建一個獨特的安全知識圖譜(Security Knowledge Graph)數據模型,里面包含了實體間詳細的映射關系,以及每個實體諸如設備類型,操作系統、應用軟件版本和行為活動等信息。
平台的檢測和響應引擎,就像專業分析人員一樣,自動顯示值得安全分析人員注意的實體和行為,識別具有類似行為的相關實體,為給定的實體提取安全相關的活動,並建立一個調查時間線。安全分析人員通過豐富的響應式用戶界面,可以在幾秒鍾內搜索的查詢實體的屬性和行為。
Awake安全調查平台主要功能
Awake的安全調查平台主要有以下功能:
- 現代威脅檢測
可識別無文件惡意軟件、內部惡意行為、憑證濫用和內網橫向移動等惡意行為。
- 攻擊行為分析
通過集成SIEM或威脅情報平台,對攻擊活動進行有效的分析和分類。
- 自動化安全知識圖譜構建
利用機器學習技術處理網絡數據,自動化創建一個可用於關聯、解析並追蹤各類設備、用戶及域名的“安全知識圖譜”(The Security Knowledge Graph)。
Awake安全調查平台界面
安全調查平台分析界面的一些截圖:
儀表盤界面
資產信息界面
設備追蹤界面
威脅行為查詢界面
平台整體架構圖
核心系統架構圖
Awake安全調查平台核心組件介紹:
- 解析器
用專家調查推斷法提取完整的特征屬性,比如軟件版本、用戶行為、硬件特點和業務功能等等。
- 實體預備關聯引擎
實時處理輸入數據,識別和跟蹤實體,構建的基礎安全知識圖譜。
- 多模型數據存儲模塊
存儲結構化和非結構化數據,例如原始數據包(非結構化)、提取信號(結構化)、推導出圖結構和安全知識圖譜數據等。
- 查詢引擎
使用自定義索引和作業共享技術來實現大型多模型數據集查詢場景下的低延遲查詢,同時提供交互式響應和時間序列查詢。
- 智能分析
通過數據挖掘技術和可擴展的無監督機器學習來整合圖譜數據和預先關聯的批量數據。
Awake 安全調查平台優點
1.通過在源和目標實體上自動構建上下文來全面分析網絡流量。
2.使用人工智能對實體進行評分,並標記出最高風險的設備,用戶或域名。
3.檢測無文件惡意軟件等最具威脅性的行為,暴露指揮和控制基礎設施的攻擊者。
4.將機構知識與人工智能結合起來,對安全威脅作出確鑿的回應
5.不需要代理商,不需要繁雜的手動配置,上手簡單,不需要過多的培訓
基於傳統SOC的安全事件調查是繁瑣低效的。現有的解決方案不會去主動構建一個描繪真實網絡環境的實體數據模型,而是需要分析人員手動的重原始的數據中去提取信息實體。
Awake的目標就是解放安全分析人員的雙手,主動預測安全分析人員要處理的事件,極大的減少安全事件響應時間,使得防守者的響應速度趕上攻擊者的行動,及時阻斷惡意攻擊。
安全知識圖譜(Security Knowledge Graph)數據模型
Awake通過安全知識圖譜(Security Knowledge Graph)數據模型,里面包含了實體間詳細的映射關系,以及每個實體諸如設備類型,操作系統、應用軟件版本和行為活動等信息。綠盟科技在內外部安全大數據分析中也大量使用到知識圖譜。通過使用本體論的思想,我們構建威脅本體集合,包括威脅主體、攻擊方法、資產、隱患和防御手段。本體之間存在關聯關系。本體之間的關聯關系源自本體之間的共同屬性或相似屬性。例如,若一個資產實例和一個防御手段實例產生關聯,則該資產類型與防御手段所防護的資產類型相同,該資產的應用版本和防御手段防御的應用版本相同,同時資產和防御手段的OSI層次相互覆蓋。通過定義威脅元模型之間的關系來源,能夠理清本體內部的關鍵屬性,同時滿足后續知識提取后自動化生成關聯關系。
下圖就是一個永恆之藍的攻擊防御場景。
利用知識圖譜構建攻擊場景
通過構建知識圖譜,可以進行多種業務推理,例如攻擊推斷、攻擊團伙判定、防御策略自動化選擇等;同時可以通過圖分析算法在知識圖譜數據中,自動化聚類得到社群和團伙特征。
例如下圖就是在在海量樣本的網絡行為中挖掘命令與控制者(C&C)的層次化關系。
利用知識圖譜和圖算法分析社群特征