入侵分析钻石模型学习笔记
来源:岁月联盟
时间:2020-03-16
定义:当一个新的事件出现,它会被归类到(特定的)活动组织。
分析人员通过模仿置信加权概率分类的认知模式识别过程来让活动组织不断增长:分析人员在发现恶意事件后,根据特征相似度及其置信度将事件与所有其他已知事件进行比较,并将事件与最相似的组织进行关联(如果置信度未达到其阈值,则放弃关联)。随着事件、活动线不断被发现,它们不断通过特征关联被分类到不同的组织,这些操作会使活动组织不断变大。
图10:活动组织的增长。随着新的事件和活动线被发现、检测到或接收到,它们会基于定义的特征向量被分类到各种活动组织。在下图中,符合条件的活动线被归类到活动组织2,而其他活动线和事件被列为离群值。
- 步骤五:分析
定义:分析活动组织以解决定义的分析问题。
一旦定义了活动组织并将事件和活动线聚集在组织内,就可以对其进行分析,以解决特定的分析问题。这通常要求应用钻石模型以外的工具和技巧。以图9为例,分析人员现在可以检查这些组织中的每一个,以发现不同点和相似点,从而暴露出需要解决的新的分析问题。这甚至可能导致对特征选择过程的重新检视和对分组函数的重定义。
分析人员现在拥有可以在更大范围内分析入侵事件和活动线的工具,包括:探索更大范围内对手活动的潜在性,识别看似相异的事件之间的相似性,收集观察到的对手能力和基础设施的完整列表,基于受害者集推导对手归属(即网络受害者学)和许多其他问题。
- 步骤六:重定义
定义:随时间发展,活动组织需要被经常重定义以维持它的准确性。
像所有基于聚类和分类的函数一样,活动组织也面临各种挑战。其中一个挑战就是假设分析人员可以准确地描述用于聚类的特征向量和函数,或者他们关于聚类的想法一开始就是正确的。另一个是过度拟合和错误传播:分析人员或系统将事件错误地关联到一个组织,并且随着时间推移传播可能放大该错误。因此,活动组织需要随时间进行检验、异常检测和重定义(重新聚类)以发现并修正错误。此外,在重定义阶段,可以(并且应该)考虑对特征向量以及相关的权重和算法进行更改,以确保底层错误已被修正。通常可以通过发现证据来手动执行此步骤。比如,新证据表明存在错误的分组,所以需要重新聚类。
- 活动组织家族(`Activity Groups Families`)
定义:活动组织家族是一组具有共同特征的活动组织,只不过活动组织间的共同特征可能是非技术性的。
例如,在有组织犯罪的情况下,一组共同的资金和任务元素可能会被分配到多次行动,因此会导致多个活动组织——每个活动组织都需分别进行跟踪和分析——最终被聚类到一个活动组织家族下。这使得更高阶元素(例如本例中的犯罪头目)的识别、组织和缓解策略的开发变得易于处理,并且更加有效。
在分析方法上,活动组织家族和活动组织具有相同的6个分析步骤,两者在基本概念上也没什么差别。唯一不同的是活动组织家族的创建函数是基于整个组织,而不是独立的事件或活动线。其余概念也仅因此而有些许不同,这里不再详细表述。
- 基于数学表达式的数据结构
- 为什么要设计这些数学表达式?
钻石模型论文中设计了一套较为完整的数学表达式,从作者的设计意图来看,这是为了使钻石模型能更好地应用到机器学习(大规模数据处理)、自动聚类及自动威胁预测等自动化方式上。下面仅列出相关数学表达在论文中出现的地方,有兴趣的读者可以通过阅读对应的原文进行理解。
- 钻石模型各概念的数学表达式:
- 事件(`Event`):论文第10-11页
- 阶段(`Phase`):论文第15页
- 活动线(`AT`):论文第35页
- 活动组织(`AG`):论文第42页
- 特征向量(`FV`):论文第44页
- 活动组织创建函数(`AGC`):论文第45-46页
- 活动组织家族(`AGF`):论文第50页
钻石模型的使用场景
使用钻石模型分析APT的实际案例
论文中并未举出利用钻石模型进行APT关联的实际案例,不过有一篇博客可作为使用钻石模型进行APT关联的实际案例,可作为使用钻石模型进行APT关联的实际案例,有兴趣的读者可参考下面的书签:
Camerashy on You Crazy Diamond – ThreatConnect | Intelligence-Driven Security Operations
和其他模型的结合(威胁情报)
上一页 [1] [2] [3] [4] [5] [6] [7] [8] 下一页
