首页 > 其他分享 >知识图谱赋能企业安全运营

知识图谱赋能企业安全运营

时间:2023-05-08 23:45:31浏览次数:30  
标签:场景 图谱 知识 安全 运营 数据 节点 赋能

知识图谱是近年来新兴的技术,其应用空间很大,目前在企业安全运营领域还处于探索起步阶段。本文结合自身的工作经验探讨知识图谱的落地思路与方案。

1、背景介绍

知识图谱是由谷歌提出的概念,其本质是由实体(概念)及实体(概念)间关系,以及关联属性组成的一种语义网络,通过结构化的数据组织结构,以有效表示实体(概念)之间的语义关联关系。可形式的化表示为:

 

其中每个三元组代表一个知识单元,表示了源实体 Subject 与目的实体 Object 之间,具有关系 Relation。

在海量的安全数据轰炸下,智能安全运营需要强烈的可视化需求,当发现攻击行为的时候,需要涉及到各种行为之间因果依赖关系的深度搜索,综合多个方面安全数据的关联分析,该领域十分依赖于安全专家的经验。除此之外随着高级持续威胁的不断发展,复杂的网络攻击往往隐藏在复杂的关系网络数据中。知识图谱就是为此类问题所设计的,因此知识图谱可以推动智能安全运营的发展。

 

以下为安全知识图谱技术路线图:

 

2、技术方案选型

主要考虑以下因素:

  1. 开源项目,对商业应用友好。拥有对源代码的控制力,才能保证数据安全和技术的自主可控性,便于二次开发;
  2. 支持集群模式,具备存储和计算的横向扩展能力。业务数据量可以达到千万以上点边总数,吞吐量可达到数万 qps,单节点部署无法满足存储需求;
  3. 在线OLTP 类图查询服务极简单 OLAP 类图查询能力。探索分析场景下,为确保分析得时效性,不能接受太高的查询响应时间;
  4. 具备批量导入数据能力。原始数据一般存储在 Hive 等数据仓库中,必须有快速将数据导入到图存储的手段。

Spark 作为通用大数据计算引擎,在实时计算、批处理、图计算方面都有非常优秀的表现,并且整体技术生态的兼容性更好。Nebula Graph 是一个开源可靠的分布式、线性扩容、性能高效的图数据库。因此,最终的技术方案选用 Spark作为图谱构建与图算法引擎,Nebula Graph 做图存储与交互式分析平台。

 

3、实际案例介绍

3.1 基础安全- 网络入侵溯源

3.1.1 需求场景

对于网络入侵场景下,在端点防护设备检测到异常行为触发告警时,常常需要安全人员做出如下分析判定:

  1. 基于告警内容上下文,快速研判攻击是否真实发生;
  2. 还原攻击者的入侵链路图。在最短时间内定位入侵原因、制定应急决策;
  3. 评估攻击受灾面,通过关联分析,发掘更多的为未知威胁。

3.1.2 数据建模

节点类型:包括 host(主机),process(进程),file(文件)、network(网络)。

关系类型:

  • 主机创建进程 (host)-[create]->(process),
  • 进程创建子进程 (process)-[fork]->(process),
  • 进程读写文件 (process)-[open]->(file),
  • 进程连接网络 (process)-[connect]->(network)。

3.1.3 实践方案

  1. 对于Linux 环境,采用ebpf 技术,捕获系统调用,根据调用类型 细分出 文件读写、进程创建、网络连接等行为;
  2. 对于Windows 环境,使用Sysmon系统监控工具,记录进程创建,网络连接以及文件创建的操作行为;
  3. 根据图谱的建模设计进行知识提取、知识融合,建立行为分析图谱;
  4. 以安全告警起始节点通过向前追溯寻找攻击入口点,通过向后扩展判定此次攻击影响范围。
  5. 通过图路径查询功能,可以构建未知威胁的检测场景。通过端点间的图连通性查询,可识别异常连接与共享场景。

3.1.4 成果演示

 

3.2 数据安全- 数据流转分析

3.2.1 需求场景

随着企业业务的发展、IT系统愈更加复杂,特别是随着微服务化的盛行,组件、实例间的关系更难以梳理。在进行数据安全治理的时候,常常有如下痛点:

  1. 对于涉敏接口而言,关联到哪些实例组件、数据蔓延的范围是怎样的;
  2. 对于数据库而言,涉敏数据分布在哪些库表,以及哪些业务系统、关联方访问过这些数据。

3.2.2 数据建模

节点类型:包括 app(客户端),container(容器) , service(服务),database(数据库),table(数据表)。

关系类型:

  • 客户端请求容器 (app)-[request]->(container),
  • 容器调用服务 (container)-[call]->(service),
  • 容器读写数据库 (contianer)-[operate]->(database),
  • 数据库拥有数据表 (database)-[has]->(table)。

3.2.3 实践方案

  1. 镜像web网关流量,识别接口是否存在涉敏行为,结合APM 链路追踪技术,得到接口调用全流程数据;
  2. 镜像数据库网关流量,解析查询sql语句,获取库、表、操作字段,结合数据分类分级,得出数据库访问关系数据;
  3. 根据图谱的建模设计进行知识提取、知识融合,建立行为分析图谱;
  4. 在图谱上图查询分析,获得接口调用关联图、涉敏数据分布图、涉敏数据流向图、全局数据关联方视图等数据

3.2.4 成果演示

 

3.3 业务安全- 欺诈团伙检测

3.3.1 需求场景

在互联网金融行业,利用知识图谱甄别欺诈场景,通过挖掘不同用户之间的亲密离散度,并通过关系图的形式直观呈现,实现"异常中心"一目了然。

  1. 群体关系分析:分析一批客户之间的关联,我们需要知道他们是通过什么东西关联起来的,是通过 共用设备、登录相同账号、共享担保人、连接到同一个局域网wifi地址 还是其他关系;
  2. 风险节点预警:某个用户刚授信,想申请借款的时候就开始预警,这个节点可能有很大的风险,调查他的关系网络是怎样的、跟一些风险节点的关联是什么样的;
  3. 风险社区的发现:现在有些黑产,都是团伙作案的,需要去发现有哪些团伙具备欺诈性质

3.3.2 数据建模

节点类型:包括 customer(客户id),device(设备唯一标识),applyNo(申请号),wifi。

关系类型:

  • 客户直接认识 (customer)-[know]->(customer),
  • 客户使用设备 (customer)-[use]->(device),
  • 设备访问订单 (device)-[visit]->(applyNo),
  • 设备连接wifi (device)-[connect]->(wifi)。

3.3.3 实践方案

  1. 业务端对app上重要操作节点进行数据埋点,包括但不限于:设备唯一标识、手机号码、账号、进件号;
  2. 进行数据清洗与知识提取,根据图谱数据建模,建立团伙行为分析图谱;
  3. 准实时处理新增数据,并和全量图谱进行融合、通过图连通性,过滤掉孤立节点,降低计算的复杂度;
  4. 使用基于部分黑样本的标签传播算法、进行社区团伙的划分,并在社群内部进行权重评分、社群定性分析;
  5. 分别对每个团伙 记录 30天、15天、7天、3天和 当天 的关系网络结构,追踪图谱的演变过程。

 

3.3.4 成果演示

 

 

3.4 高级威胁- 欺诈团伙检测

4、结束语

本文分别讨论图交互式分析和图算法挖掘在企业安全运营场景下的落地实践方式。知识图谱除了上述分享的应用场景外,常见的场景还包括但不限于 ATT&CK 威胁建模、IOCs信标分析、攻击推理、威胁情报融合等。如何让知识图谱更好地赋能企业安全运营技术,仍需要网络安全专家们共同探索。

标签:场景,图谱,知识,安全,运营,数据,节点,赋能
From: https://www.cnblogs.com/IT-Evan/p/17181630.html

相关文章

  • 极光笔记 | 极光推出“运营增长”解决方案,开启企业增长新引擎
    摘要:移动互联网流量红利见底,营销获客面临更多挑战随着移动互联网流量红利见顶,越来越多的企业客户发现获取新客户的难度直线上升,获客成本持续攀高。传统的移动互联网营销以PUSH为代表,采用简单粗暴的方式给用户进行推送就可以获客的时代已经成为过去式;与此同时,企业营收中的“二八效应......
  • 极光笔记 | 极光推出“运营增长”解决方案,开启企业增长新引擎
    摘要:移动互联网流量红利见底,营销获客面临更多挑战随着移动互联网流量红利见顶,越来越多的企业客户发现获取新客户的难度直线上升,获客成本持续攀高。传统的移动互联网营销以PUSH为代表,采用简单粗暴的方式给用户进行推送就可以获客的时代已经成为过去式;与此同时,企业营收中的“二八......
  • 时间知识图谱补全的历时嵌入
    原文DiachronicEmbeddingforTemporalKnowledgeGraphCompletion出版TheThirty-FourthAAAIConferenceonArtificialIntelligence(AAAI-20)申明版权归原文作者及出版单位所有,如有侵权请联系删除摘要知识图谱(Knowledgegraphs,简称KGs)通常包含表示实体在不同时间之......
  • 泛娱乐出海,茄子科技(海外SHAREit Group)赋能出海企业开拓营销思路
    随着国内出海企业在海外目标市场的不断深入,企业发展将面临更多不确定性:用户新增进入瓶颈、付费增长出现疲乏、买量成本越来越高。泛娱乐出海的天花板已逐渐浮现,如何突破用户圈层壁垒,泛娱乐出海增长营销如何破局引发众多出海企业沉思。 数据显示,近年来社交品类应用全球下载量持续增......
  • 应用出海新风向,茄子科技赋能出海企业把握新时代的新机遇
     国内移动应用行业存量时代特征愈加突出,用户增量明显放缓,多个类别的应用穿透率趋于饱和。应用出海从内卷到外卷,越来越多优秀的企业、优秀的团队关注到了机会赛道并参与进来,倒逼行业走上了良性循环;另一方面,长臂管辖和数据合规提高了应用出海的行业门槛。在不同国家或区域,应用出海提......
  • 浅谈电动汽车智能充电桩及运营管理云解决方案
    罗轩志江苏安科瑞电器制造有限公司  江苏江阴 214400  摘要:电动汽车采用了电力作为发动能源,但是同样存在很大缺陷,即续航能力方面存在较大不足。因此如何利用现代技术进行电动汽车的智能充电便十分重要。在电动汽车智能充电的研究过程中需要用到的技术有有电力电子变流技......
  • 浅谈新能源电动汽车充电设施的建设及运营平台分析
    罗轩志江苏安科瑞电器制造有限公司  江苏江阴 214400   摘要:在社会经济发展的新时期,我国城市化的水平也在随之不断的提高,使我国制造业迅速崛起,并加剧了该行业的竞争力,要想使企业在竞争中占据有力的位置,企业就要顺应时代发展的潮流,加强重视环境保护的理念,不断探寻出新能源电......
  • 【游戏设计随笔04】关于《桃源》的一些设计运营总结
    1:《桃源》有着非常明显的优势区间“美术”。用出众的美术风格为玩家制造记忆点,依旧是游戏获客的重要方式,尤其是对于那些缺乏用户积累的新IP、新团队来说。2:度过了初期的视觉冲击,就需要用玩法让玩家留下,《桃源》采用了一套简练的核心循环。仅从生产经营的资源循环来看,《桃源》有......
  • 西班牙和美国电信运营商的首选,值得关注
    作为银行、保险、政府、大型企业等用户业务的关键支撑,企业数据中心也随着云计算、大数据的行业大趋势,发生新的变化。当前,数据中心基础架构已经进入了一个可扩展的新时代,这要求所有服务器、存储、网络等基础架构提供商必须具备新时期的创新方案。例如,来自西班牙和美国的电信运营商就......
  • 元宇宙商城Meta Shop:赋能Facebook主播,助力全球购物新体验!
    自2022年成立以来,新加坡高科技独角兽公司MetaShop【元宇宙商城】在全球范围内取得了显著的成就,尤其在Facebook主播界受到了极大关注。这家移动电商平台已成功吸引了来自中国、日韩、东南亚等地区的卖家入驻,成为最受欢迎的选品购物类APP。MetaShop致力于为消费者和主播提供一个一......