网络攻击信息抽取研究现状

网络安全领域的攻击情报信息抽取,包括:关系抽取、命名实体识别、事件抽取三个方面

  • CyberEntRel: Joint extraction of cyber entities and relations using deep learning

    • 期刊:computers & security CCF-B
    • 时间:2024
    • 研究背景:CTI数据的增长速度非常快,现有的技术在提取CTI信息方面逐渐变得无效化
    • 研究内容:Ahmed等人使用联合提取和关系匹配技术相结合的方法从非结构化文本中提取 CTI,提出了基于RoBERTa-BiGRU-CRF的实体关系提取模型,解决了传统流水线抽取技术的局限性

  • Seqmask: behavior extraction over cyber threat intelligence via multi-instance learning

    • 期刊:The Computer Journal CCF-B
    • 时间:2024
    • 研究内容:Ge等人提出了一种基于多实例学习(Multi-Instance Learning,MIL)的TTPs提取框架, 根据语义影响评估从CTI 中提取行为关键词,并通过条件概率预测 TTPs 标签。

  • Looking Beyond IoCs: Automatically Extracting Attack Patterns from External CTI

    • img

    • RAID’ 23 CCF-B

    • 时间:2023

    • 研究背景:传统的 CTI 主要侧重于跟踪已知的威胁指标,如 IP 地址和域名,这可能无法防御不断变化的攻击,需要对攻击模式展开研究

    • 研究内容:ALam等人提出了一个威胁情报知识提取框架,从APT攻击和恶意软件相关的CTI中自动提取TTP和其他相关信息,并将提取的攻击模式映射到MITRE ATT&CK模式框架,通过知识图谱重构这些信息以进行进一步的预测分析。是将标准化的 ATT 和 CK 模式与其他形式的威胁情报结合起来的第一项工作。

  • Extracting Actionable Cyber Threat Intelligence from Twitter Stream

    • 2023 IEEE International Conference on Intelligence and Security Informatics (ISI) CCF-A
    • 时间:2023
    • 研究背景:相比于IP、domain此类IOC,恶意活动相关的技术表现形式(和TTPs的“技术”有什么区别吗?)更有利于确定威胁的优先级和系统是否已经被破坏。而此类上下文信息大多存在于实时信息共享系统中,如消息应用程序和论坛。
    • 研究内容:Purba 等人提出了一种文本挖掘方法,从Twitter流中提取网络威胁攻击的技术表现形式,并和GPT-3.5-Turbo模型计算的结果做了对比 。

  • Explainable cyber threat behavior identification based on self-adversarial topic generation

    • Computers & Security CCF-B
    • 时间:2023
    • 研究背景:
      • 如何构建一个便捷、高效的分析框架,从 CTI 中识别、定位和证明 TTP 行为,是目前 TTP 分类面临的挑战。
      • 传统的端到端网络威胁行为识别方法通常缺乏可解释性,难以理解其决策过程。
    • 研究内容:Ge等人提出了一种基于自对抗主题生成的端到端 TTPs 分类框架,在提升准确性的同时具有较高的可解释性。

  • DKaaS: DARK-KERNEL as a service for active cyber threat intelligence

    • Computers & Security CCF-B
    • 时间:2023
    • 研究内容:Charan等人提出了一种主动监控暗网收集威胁情报的方法,大量收集暗网流量并 对捕获的数据进行了全面分析。

安全领域知识融合研究现状

(1)构建网络安全知识图谱

  • CSKG4APT: A Cybersecurity Knowledge Graph for Advanced Persistent Threat Organization Attribution
    • TKDE CCF-A
    • 时间:2022
    • Ren等人2022年收集分析开源威胁情报中的APT组织信息,提取相关威胁信息实体,结合战术集、武器集和资产集构建了一个面向APT组织归因的安全知识图谱模型,包含了12种节点类型和7种逻辑关系。
  • Edge propagation for link prediction in requirement-cyber threat intelligence knowledge graph
    • Information Sciences CCF-B SCI
    • 2024
    • 研究内容:Zhang等人将网络安全威胁情报与关键基础设施的管理安全需求数据相结合,构建异构网络安全需求知识图谱,可以有效识别网络安全事件中的管理漏洞。
    • 提出了一种基于GNN的链接预测算法,实现了CTI和SR实体之间97%的连接率,可以有效地发现管理漏洞,提高关键信息基础设施的安全能力。

(2)通用领域的知识融合与实体对齐

  • Heterogeneous Knowledge Fusion: A Novel Approach for Personalized Recommendation via LLM
    • RecSys '23: Proceedings of the 17th ACM Conference on Recommender Systems CCF-B
    • 时间:2023
    • 研究内容:Yin等人提出了一种基于大语言模型的知识融合方法,采用大模型从用户的异构行为信息中提取并融合异构知识,解决了传统方法导致的特征稀疏和知识碎片问题。
  • HiPrompt: Few-Shot Biomedical Knowledge Fusion via Hierarchy-Oriented Prompting
    • In Proceedings of the 46th International ACM SIGIR Conference on Research and Development in Information Retrieval (Short-Paper Track), 2023 CCF-A
    • 时间:2023
    • 研究内容:Lu等人提出了一种监督有效的知识融合框架,通过面向层次的提示引发大语言模型的少样本推理能力,解决了生物医学知识融合任务中缺乏监督数据的问题。
  • SCMEA: A stacked co-enhanced model for entity alignment based on multi-aspect information fusion and bidirectional contrastive learning
    • 2024
    • 研究背景:大多数现有方法并没有尽可能地挖掘知识图中的隐藏信息。
    • 研究内容:本文提出了SCMEA,一种基于多方面信息融合和双向对比学习的新型跨语言实体对齐框架。SCMEA最初采用多样化的表示学习模型来嵌入实体的多方面信息,并通过自适应加权机制将它们整合到统一的嵌入空间中,以克服信息缺失和不同方面信息不统一的问题。然后,我们提出了一种堆叠关系实体协同增强模型,以进一步改进实体的表示,其中关系表示是使用具有全局实体注意力的实体收集器来建模的。最后,引入基于改进的双向对比学习的组合损失函数来优化模型参数和实体表示,有效缓解中心问题并加速模型收敛。我们进行了大量的实验来评估 SCMEA 的对齐性能。在五个跨语言数据集上进行的总体实验结果、消融研究和分析表明,我们的模型实现了不同程度的性能改进,并验证了模型的有效性和鲁棒性。
    • 研究内容:zhou等人提出了一种基于多视角信息融合和双向对比学习的跨语言实体对齐框架,实现了对知识图中隐藏信息的挖掘。

攻击情报可靠性研判现状

威胁情报、网络安全线索/事件的真假,质量评估

(1)国内外目前针对攻击情报源的质量评估、攻击情报的可靠性

  • Correlation of cyber threat intelligence with sightings for intelligence assessment and augmentation
    • Computer Networks CCF-B
    • 2023
    • 研究背景:很少有研究评估 CTI 与现实环境中的观察结果(即目击事件)之间的一致性。
    • 研究内容:Lin等人在2023年对CTI与现实环境中的观察结果之间的一致性展开了研究,提出了一种基于目击观测来评估和增强 CTI 的综合方法,填补了CTI 的评估和增强方面的空白。

2023年找不到更好的了,2024年只找到一个中科院三区的,没写上来

(2)通用领域中的虚假新闻检测技术

  • Tactics, Threats & Targets: Modeling Disinformation and its Mitigation
    • NDSS CCF-A
    • 2023
    • 研究背景:将网络安全框架应用于理解虚假信息的现状和缓解措施仍然在很大程度上未被探索。作者提议将安全威胁模型应用于虚假信息威胁上,以便更好地将关于虚假信息运动的非结构化信息组织成一种紧凑、结构化的形式,使安全人员可以在有限的资源下有效地应对动态威胁。
    • 研究内容:Azza A等人提出了一个受网络安全启发的虚假信息威胁分析框架,将安全威胁模型应用于虚假信息领域,系统地定义了虚假信息威胁攻击者的特征、攻击模式、攻击渠道以及攻击目标。
  • QMFND: A quantum multimodal fusion-based fake news detection model for social media[J].
    • Information Fusion 中科院一区
    • 2024
    • 研究内容:Qu等人提出了一种基于量子多模态融合的假新闻检测模型,提取并整合新闻的图像和文本特征,通过量子卷积神经网络(QCNN)获得判别结果,提升了检测性能。

攻击溯源与图谱推理研究现状

(1)面向知识图谱的关系推理(通用领域)

  • AdaProp: Learning Adaptive Propagation for Graph Neural Network based Knowledge Graph Reasoning

    • KDD '23: Proceedings of the 29th ACM SIGKDD Conference on Knowledge Discovery and Data Mining CCF-A
    • 2023
    • 研究内容:Zhang等人首次将自适应传播路径的概念引入基于GNN的知识图谱推理任务,实现了对不同查询关系的个性化处理,显著提高了推理的准确性和效率。

  • Neuro-Logic Learning for Relation Reasoning over Event Knowledge Graph

    • 2023 IEEE International Conference on Intelligence and Security Informatics (ISI) CCF-A
    • 2023
    • 研究背景:现有的推理方法往往集中于实体关系,而没有考虑事件知识图的节点属性,例如事件描述和事件时间,这些属性包含丰富的事件信息,对于事件关系推理至关重要。
    • 研究内容:Tang等人提出了一种基于神经逻辑学习的事件知识图谱关系推理方法,通过事件元素(例如名称、时间、位置和参与者)和描述来学习事件的分布式表示,弥补了可解释性方面的缺陷

  • HIP network: historical information passing network for extrapolation reasoning on temporal knowledge graph

    • Artificial Intelligence (cs.AI) CCF-A
    • 2024
    • He等人提出了一种“历史信息传递网络(HIP)”模型,从时间、结构和重复性的角度传递历史信息,实现了在时间知识图谱对未来事件的推理和预测。

(2)安全领域的知识图谱推理则更侧重于攻击溯源领域

  • Attack Hypotheses Generation Based on Threat Intelligence Knowledge Graph
    • Ieee Transactions On Dependable And Secure Computing CCF-A
    • 2023
    • 研究内容:Kaiser等人提出了一种基于威胁情报知识图谱的攻击假设生成方法,基于知识图谱遍历算法和多种链接预测方法自动推断攻击者使用的 ATT&CK 技术。