基于注意力机制和特征融合的网络威胁情报技战术分类研究

在威胁情报包含的信息中,与网络攻击相关的战术、技术、程序（TTPs）是最能刻画组织行为的关键信息。但是,TTPs信息抽象层次高,并且通常存在于语法结构不规则的网络威胁情报文本中。这导致传统的人工分析方法以及基于特征工程的机器学习方法难以快速有效地从中分类出TTPs。使用单一的深度学习特征提取器则因无法提取文本语意中完整的邻域特征和序列特征,导致技战术分类精度低。 针对上述问题,本文提出一种基于注意力机制和特征融合的深度学习模型：ACRCNN,用于网络威胁情报中的战术与技术的分类。该模型通过卷积与循环神经网络同时提取网络威胁情报文本中的邻域与序列信息,再由卷积层与池化层进行深层次的特征抽取与降维,完成特征融合。然后,通过注意力层完成特征加权,最终经由全连接层完成战术与技术的分类。实验结果表明,ACRCNN在战术、技术分类任务中表现优异,在F1指标上达到了91.91%、83.86%,对比现有模型,分别提高了2.46%和4.94%。     

面向组织溯源的威胁行为技术关联研究

在网络入侵日趋组织化的今天,如何有效地对威胁组织进行追踪溯源是网络安全防御中的重要内容.威胁行为模式作为入侵受害者系统时的表现形式,于入侵者而言很难改变,是入侵者的一种高级特征.若能有效提取组织的威胁行为模式,那么将大幅提高组织溯源的成功率和准确率.为此,本文从组织行为模式的角度提出威胁行为技术关联算法.该算法扩展了Ward连接凝聚层次聚类,可通过对组织所使用的入侵技术进行聚类学习以提取组织的威胁行为模式,并以95%的置信度验证了威胁行为之间的技术关联性.本文通过该算法生成的威胁行为技术关联模型,包含97类威胁行为技术关联簇,每一类簇可直观地看到不同组织所对应的威胁行为模式,可为组织溯源提供有力支撑.     

基于关联增强的网络威胁情报技战术分类

网络威胁情报（Cyber Threat Intelligence, CTI）的技战术（Tactics, Techniques and Procedures, TTPs）分析能够为网络攻击事件提供全局视图,并揭示系统弱项,是网络攻击溯源的关键技术.现有分类TTPs方案面向抽象语言环境效果较差且不平均.本文提出一种基于关联增强的多标签深度学习模型RENet,通过使用结合上下文信息和多词语义的多标签分类器对战术和技术进行分类,并通过技战术条件转移矩阵将原有战术的分类结果转移到技术中增强技术分类.实验表明,RENet比其他分类模型有更精确的技战术分类效果与更快的收敛速度.在英文数据集上,RENet对技术和战术分类的F₁分数比现有最好的模型分别提高4.62%和0.78%,在中文数据集上提高3.95%和3.77%.