北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报

admin 2024年11月7日17:18:18评论21 views字数 1743阅读5分48秒阅读模式
北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报

原文标题:TIMiner: Automatically extracting and analyzing categorized cyber threat intelligence from social data
原文作者:Jun Zhao , Qiben Yan , Jianxin Li , Minglai Shao , Zuti He , Bo Li
发表期刊:Computer & Security
原文链接:https://seit.egr.msu.edu/paper/CS2020_TIMiner.pdf
主题类型:CTI
笔记作者:Ledraw

研究背景

现有的大多数方法无法识别未知的 IOC;无法自动生成带有域标签的分类 CTI

创新点

基于卷积神经网络 (CNN) 的识别器,可自动识别 CTI 所属的域,以及分层 IOC 提取方法,将单词嵌入和句法依赖性无缝融合,可以识别看不见的 IOC 类型,从而生成特定域的网络威胁情报。

贡献

  • 开发基于 CNN 的自动化域识别器,以将 CTI 分配给它所影响的相应域。本研究中主要关注金融、政府、教育、物联网和工业控制系统。
  • 提出一种基于词嵌入和句法依赖性的自动化 IOC 提取方法,从威胁描述文本中提取 IOC,既保证了预定义 IOC 提取的高精度,又能识别和提取不可见类型的 IOC。
  • 提出了 Threat-Index,这是一种新的安全评估标准,用于评估不同领域的安全状态;Threat-Index 捕获多个域中威胁影响的差异,并量化每个域的威胁严重性。
  • 分析了超过 118000 篇文本,对每个领域的威胁情报的演变有了更深层次的认识,最有趣的为以下方面:
    • DDOS(分布式拒绝服务攻击)
    • Phishing(网络钓鱼)
    • Ransomware (勒索软件)

TIMiner 总体框架

北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报

CTI 域识别器

用于识别已知和未知的 IOC,利用 kernel=5 的 256 个过滤器来了解每个威胁描述的本地特征,然后将池化的特征向量拼接成一个完全连接的层。最后,利用 soft-max 激活函数计算 CTI 的每个域标签的概率。

北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报

处理过程算法:

北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报

生成具有域标签的 CTI

算法:

北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报

生成示例:

北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报

识别 IOC 方法

  1. 正则匹配
北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报
  1. 深度识别:BiLSTM+CRF 识别 IOC(正则表达无法识别的 IOC)
  2. 词嵌入方法:利用word2vec模型实现一种有效的词表示方法,它超越了简单的句法规律,允许在嵌入式向量空间中进行简单的代数操作。

发现

DDOS:

  • 大多数教育性 DDoS 攻击是 TCP 洪水攻击;
  • 大多数政府和 ICS DDoS 攻击是域名系统 (DNS) 反射器攻击;
  • 对于金融 DDoS 攻击,黑客通常会不断向目标服务器提交查询脚本以请求资源。
  • 在物联网 DDoS 攻击中,攻击者入侵暴露在互联网上的物联网设备(例如摄像头、传感器)以构建僵尸网络,而被感染的设备将由隐蔽的 C&C 服务器远程控制。

勒索软件:

  • Petya 利用 CVE-20170199 漏洞进行网络钓鱼攻击,然后通过 EternalBlue 和 Eternal Ransom 漏洞传播。但是,WannaCry 会自动扫描 Windows 的 445 端口甚至电子信息屏幕,并在受感染的计算机和服务器中放置勒索软件、远程控制、特洛伊木马、矿工和其他恶意组件。

网络钓鱼:

  • 从电子邮件网络钓鱼演变为鱼叉式网络钓鱼,并最终演变为最复杂的 Watering hole 网络钓鱼

攻击趋势分析结果

北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报

总结

在本文中,提出了一种新的 CTI 提取框架 TIMiner,用于自动提取 IOC 并从社交媒体中生成带有域标签的分类 CTI。更具体地说,首先,提出了一种基于 CNN 变体的域标记方法,用于标记威胁描述的域标记。然后,提出了一种基于词嵌入和句法依赖性的分层 IOC 提取方法,该方法能够有效地识别未知的 IOC。最后,将 IOC 与其相应的域标记组合在一起,以生成特定于域的 CTI。特定于域的 CTI 可以与相关的 CTI 订阅者共享,并允许他们快速识别各自行业的安全状况。此外,还提出了 Threat-Index 来定量衡量每个域中不同类型攻击造成的威胁严重性。通过分析 TIMiner 生成的特定域 CTI,可以发现有关威胁的新见解,并执行威胁趋势分析,以促进为多个域设计更好的网络防御机制。

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com

原文始发于微信公众号(安全学术圈):北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月7日17:18:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   北京航天航空大学| TIMiner:从社交数据中自动提取和分析分类的网络威胁情报https://cn-sec.com/archives/3369042.html

发表评论

匿名网友 填写信息