日本情报通信研究机构(NICT)的网络安全实验室,继2019年6月开发了大规模集成网络安全相关信息的安全信息融合平台“CURE”(Cybersecurity Universal REpository)之后,又于2022年6月14日宣布开发了“CURE”的一项新功能“数据浓缩”(data enrichment),实现了安全信息分析的进一步升级。
(资料图)
该功能通过向积累的数据提供各种附加信息,提升数据用途,并将多种信息源新集成到CURE中,可大大提高掌握网络攻击实际情况的准确性,并有望生成更高质量的威胁信息。
机构介绍
0 2
日本情报通信研究机构(NICT):隶属于日本总务省的日本唯一一家专门研究信息和通信领域的公共研究机构,总部位于日本东京都,理事长为德田英幸;下设电磁波研究所、网络研究所、网络安全研究所、未来ICT研究所、量子ICT协创中心等。
1.网安集成平台
日本官方大规模网络安全集成平台“CURE”
为了掌握网络攻击的实际情况,需要收集和分析种类繁多的网络安全相关信息,例如网络攻击观测信息、外部机构发布的安全报告等,并需对其进行多方面分析。为此,NICT开发了安全信息融合平台“CURE”,开展网络安全相关信息的大规模集成和横向分析研究。该平台作为一个安全信息融合平台,可以一元化的集成网络安全相关信息,实现不同类型信息之间的横向分析,还可自动连接分散的信息,阐明网络攻击的隐藏结构,并实时可视化。其组成包括:
| 1.1 事件分析中心“NICTER”:对无差别攻击的观测
NICTER(Network Incident analysis Center for Tactical Emergency Response)是一种用于快速了解互联网上发生的无差别攻击并导出有效应对措施的复合系统。其通过对暗网(未使用的IP地址空间)的大规模观测、和对恶意软件的收集分析等得到信息,并进行相关分析、查明其原因。
| 1.2 网络攻击诱导平台“STARDUST”:目标攻击的观测
“STARDUST”是用于长期分析攻击者的行为(例如目标型攻击)的攻击诱导平台。为了从外部引导攻击者,其自动构筑精巧的模拟环境“并行网络”,执行用于目标型攻击的恶意软件,在模拟环境中实现高隐身性的实时观测和分析。
| 1.3 网络攻击综合分析平台“NIRVANA改”:组织内警报和端点信息的收集
“NIRVANA改”通过对组织内的各种安全设备发出的警报进行集中、分类和相关分析,能够进行警报的分类(赋予优先顺序)、切断异常通信(自动应对)等。
| 1.4 网络威胁信息汇集系统“EXIST”:从各种信息源获取威胁信息
“EXIST”是一种Web应用程序,可以自动收集从各种信息源公开或有偿提供的威胁信息,并允许分析人员通过WebUI或WebAPI进行横向检索。
而“CURE”可以将这些网络安全相关信息集中起来,实现不同信息之间的横向分析。发展至今,“CURE”已经融合了各种观测信息(Artifact)和分析信息(Semantics),但为了提高掌握网络攻击实际情况的准确度,其也面临着挑战:“CURE”中存储的网络安全相关信息的数量和质量如何才能不断提高?为了增加数据的量,可以整合新的信息源;而为了提高数据质量,则需要“数据浓缩”功能,通过向数据提供附加信息,提高数据的有用性和可靠性。
图:“CURE”整体示意图(使用“Enricher”检测类似IP地址),中央浅蓝色球体是“CURE”,外侧蓝色和橙色小球体分别是存储观测信息(Artifact)和分析信息(Semantics)的数据库(DB)组。粉红色球体是“Enricher”,它提供附加信息并检测显示类似行为的 IP 地址。
2.构成与更新
CURE平台构成与最新更新状况
此次“CURE”中集成了三个新的信息源(AmpPot、Malmail、Trouble Ticket)。
“AmpPot”收集了DDoS攻击中的反射攻击(DRDoS)的观测信息;它是观察反射攻击的蜜罐(honeypot),由日本横滨国立大学吉冈实验室和NICT网络安全实验室进行联合研究和运营。
“Malmail”是对添加到邮件中的恶意软件的动态分析信息;它是一种集成系统,用于汇总以下内容:到达NICT 的恶意电子邮件的相关信息、以及用沙箱对邮件中附加的恶意软件进行动态分析的结果。
“Trouble Ticket”是组织内事件响应的管理信息;用于管理 NICT 内的事件响应信息的工单管理系统,具有收集事件响应进度和详细分析信息的功能,并将分析人员登记的标签(与事件相关的词)反馈给“CURE”。
“CURE”由两层组成:Artifact层存储观测信息(“AmpPot”和“Malmail”位于该层),Semantics层存储分析信息(“Trouble Ticket”位于该层)。
图:存储观测信息的Artifact层。融合“AmpPot”和“Malmail”作为新的信息源。
图:存储分析信息的Semantics层。融合“Trouble Ticket”作为新的信息源。
此外,IP 地址、域名和恶意软件信息目前已被用作网络攻击的陷落标识(IoC: Indicator of Compromise),但此次添加的功能把在攻击中滥用的电子邮件地址也作为IoC处理,从而可以通过电子邮件地址进行数据关联和检索。
3.数据浓缩
“数据浓缩”机制
【基本概念】 NICT称,数据浓缩的概念很广泛,可进行各种应用,而此次作为概念验证,NICT首次开发了“Enricher”作为数据浓缩机制,为存储在“CURE”中的数据提供附加信息,以提高数据的质量。通过对“CURE”内的数据使用Doc2Vec赋予相似度评分,实现了以“Enricher”进行检测显示类似行为的IP地址群的功能。Doc2Vec是一种通过无监督学习从任意长度的文档中获取固定长度文档向量的算法;文档向量化便于文档处理,例如可以通过内积计算来计算相似度。
【应用方式】 “Enricher”还能以多种方式加以应用,例如对IP地址和域名都给出恶性评分、附加分析师对数据可靠性的评价等,以提高“CURE”中集成的网络安全相关信息的质量,进一步加强信息分析能力。
【优势效果】 数据浓缩功能的加入,将提高使用“CURE”掌握网络攻击实际情况的准确性,并有望生成更高质量的威胁信息。
【目前实际应用】 到目前为止,“CURE”将完全一致的IoC与数据相关联,但“Enricher”允许更灵活的关联,例如“行为类似的IP地址”。这样就实现了灵活的横向分析,例如全面掌握用于以大规模扫描进行调查活动的IP地址组、成功提取非法挖掘加密资产的恶意软件的连接目标IP地址组等。
图:详细信息展示(“Enricher”检测类似的IP地址)
4.评析
2022年6月15日,第29届日本网络电信展览会(Interop Tokyo 2022)于东京开幕。作为日本规模最大的ICT行业年度盛会,该展会吸引了来自世界各地的知名ICT品牌商与行业专家。NICT也参加了该展会,展示了“CURE”的最新功能,得到媒体和业界的关注。NICT表示,网络攻击的内容结构非常复杂,为了妥善应对,需要对分散的信息进行综合性和横向性的分析,详细了解攻击的全貌,所以才开发了能够一元化集成各种信息的平台。
日媒称,为了利用丰富的信息和对庞大数量的数据进行高速分析,“CURE”现在约以4TB规模的Redis内存数据库进行处理;近年来,“CURE”的功能不断得到更新,并在可视化的开发方面也取得了进步。
