• 标题: CyGraph: Graph-Based Analytics and Visualization for Cybersecurity
  • 作者: S. Noel1, E. Harley, K.H. Tam, M. Limiero and M. Share
  • 关键字: 流量分析, 知识图谱
  • 来源: The MITRE Corporation, McLean, VA, United States
  • 链接: http://www.sciencedirect.com/science/article/pii/S0169716116300426
  • 引用: Noel, S., E. Harley, K. H. Tam, M. Limiero, and M. Share. “CyGraph: Graph-Based Analytics and Visualization for Cybersecurity.” In Handbook of Statistics, edited by Venkat N. Gudivada, Vijay V. Raghavan, Venu Govindaraju, and C. R. Rao, 35:117–67. Cognitive Computing: Theory and Applications. Elsevier, 2016. https://doi.org/10.1016/bs.host.2016.07.001.

摘要

CyGraph,它是一种用于改善网络安全状况,在面对网络攻击时保持态势感知并着重于保护关键任务资产的系统。 CyGraph采用与潜在和实际网络攻击,防御和任务影响相关的基于图的统一网络安全模型。它捕获网络环境中的增量攻击漏洞,安全事件和任务依存关系,建立可能的攻击路径和关键漏洞的预测模型,并将事件与已知漏洞路径相关联。它还包括任务需求和网络资产之间的依赖关系,以便在任务保证的背景下进行分析。知识图谱捕获了网络安全领域中实体之间的复杂关系CyGraph将孤立的数据和事件汇总在一起,以提供决策支持和态势感知。在任务关键型资产的情况下,它对暴露在外的漏洞(映射到潜在威胁)进行优先级排序。面对实际的攻击,它将入侵警报与已知的漏洞路径相关联,并提出最佳措施以响应攻击。对于攻击后取证,它显示了可能需要更深入检查的易受攻击的路径。 CyGraph还支持CyQL(CyGraph查询语言),CyQL是一种领域特定的查询语言,用于表达感兴趣的图形模式,并具有交互式可视化查询结果的功能。为了帮助管理视觉复杂性,CyGraph支持将图模型分离为相互依赖的层。对于时间相关的图模型,它提供了动态的图状态动态可视化。 CyGraph还与第三方工具集成,以可视化图形状态变化(例如,由仿真驱动)。此外,它具有合成具有特定统计属性的图形模型的功能。

介绍

现实问题

网络攻击和针对它们的防御是在复杂的环境中进行的,众多因素有助于攻击成功和执行任务。 网络拓扑,主机配置,漏洞,防火墙设置,入侵检测系统,任务依赖性以及许多其他元素都可以发挥作用。 为了超越对安全状况的基本评估,组织需要将隔离的数据合并到更高的网络范围攻击脆弱性和面对网络威胁时的任务准备知识。

待解决的问题

数据量足够,但缺乏对数据的良好归纳整理。

主要贡献

为了帮助应对这些挑战,我们推出了CyGraph,这是一种用于网络战分析,可视化和知识管理的工具。

CyGraph将孤立的数据和事件汇总到一个持续的整体图中,以提供决策支持和态势感知。 在任务关键型资产的情况下,它对暴露在外的漏洞(映射到潜在威胁)进行优先级排序。 面对实际的攻击,它将入侵警报与已知的漏洞路径相关联,并提出最佳措施以响应攻击。 对于攻击后取证,它显示了可能需要更深层检查的脆弱路径。

相关研究

传统上,缺乏信息共享阻碍了网络安全模型和分析的发展。

在产品方面,提供了多种用于攻击图分析的工具。攻击图分析的先前方法和工具通常采用专门的数据结构和算法来解决特定问题,但之后已有研究为攻击图提出了关系数据库表示形式。

方法

CyGraph是一个全面的,可扩展的高性能系统,用于分析和推理网络攻击关系。 它将来自众多来源(拓扑,漏洞,客户端/服务器配置,防火墙规则,事件等)的数据关联到一个通用的标准化模型中,并建立一个表示网络攻击关系和相关网络数据的持久图数据存储。 CyGraph支持查询以识别关键漏洞,提出最佳缓解策略,映射主机对主机信任关系,显示下游/上游路径以进行攻击响应等查询。该系统包括用于计算分析图论度量的组件,例如中心性,程度, 连接性和直径。 它还提供了交互的可视化功能,以传达复杂的依赖关系。

架构

CyGraph架构

图:CyGraph架构

上图为CyGraph架构的高级视图。该体系结构包括用于表示,转换和分析(查询和可视化)的代表性状态传输(REST)Web服务。 CyGraph从其网络知识堆栈的所有层提取各种来源的数据,将特定于来源的数据映射到通用的标准化数据模型。然后将标准化模型的孤立元素转换为图模型,以捕获网络安全和任务依赖域的相关关系。 CyGraph还提供了各种客户端分析和可视功能,包括图形动态,分层,分组,过滤和分层视图。 在CyGraph架构中,网络安全模型架构可以随可用的数据源和所需的分析自由发展,而不是在设计时就固定下来。数据模型基于Neo4j中实现的灵活的特性图公式。模型扩展只是在属性图数据模型中创建额外的节点,关系和属性,而无需架构更改或其他数据库重新规范化。图形模式匹配查询以本机Neone4查询语言(Cypher)或我们的域特定CyGraph查询语言(CyQL)表示,CyGraph编译为本机Cypher。

数据源

一些CyGraph示例数据源

一些CyGraph示例数据源。

大数据分析

大数据分析技术栈

image-20201019165451235

知识图谱模型

image-20201019165529088

示例应用

网络分析

网络基础设施和网络状态

网络拓扑,漏洞和防火墙规则

网络拓扑,漏洞和防火墙规则

TVA攻击图可视化。

TVA攻击图可视化。

安全状态关系的完整图。

跨子网和子网成员身份易受攻击的计算机。

跨子网和子网成员身份易受攻击的计算机。

安全威胁

image-20201019165850721

总结

CyGraph引入了一种新颖的统一数据模型,该模型捕获了网络安全元素(网络拓扑,防火墙,主机,漏洞等),威胁指示器(入侵检测警报,日志文件条目,可疑流量等)与任务依赖性之间的复杂关系。 在网络资产上。 这使安全操作员可以更好地了解攻击者活动的全部范围,与已知网络漏洞路径的相关性以及对特定任务的潜在影响。

作者介绍

Steven Noel, Ph.D

LinkedIn: https://www.linkedin.com/in/snoel1/

Google学术搜索:https://scholar.google.com/citations?user=Q9rV52cAAAAJ

二十多年来,在众多联邦机构的资助下,史蒂芬·诺埃尔(Steven Noel)博士在网络安全建模,分析和可视化研究与开发中发挥了领导作用。 他拥有80多种出版物,被引用近4000次(h指数30),并拥有10项专利。 他领导了用于网络安全图分析/可视化的CyGraph和Cauldron工具的开发,这些工具已经过渡到政府和商业部门(包括战术军事)。

专长:网络战分析,漏洞分析,任务保证,入侵检测,信息可视化,数据挖掘,数字信号处理

收获

本文优势

将流量分析、威胁检测和知识图谱非常好的结合到了一起,非常具有参考价值。

可扩展结合的点

扩展网络流量分析和知识图谱的应用。

本文存在的问题

非开源。

论文评价

评分: ⭐⭐⭐⭐⭐

参考资料及附件

  • [1] 论文原文: Noel, S., E. Harley, K. H. Tam, M. Limiero, and M. Share. “CyGraph: Graph-Based Analytics and Visualization for Cybersecurity.” In Handbook of Statistics, edited by Venkat N. Gudivada, Vijay V. Raghavan, Venu Govindaraju, and C. R. Rao, 35:117–67. Cognitive Computing: Theory and Applications. Elsevier, 2016. https://doi.org/10.1016/bs.host.2016.07.001.
  • [2] 演讲: https://youtu.be/Iowq7n_-NJg