来源：https://avalanchio.com/blogs/graph-data-analytics-for-cybersecurity/

日益增多的重大安全事件引发了人们对打击网络威胁的兴趣。为了使合作能够防止攻击，必须有结构化和标准化的格式来描述事件。目前使用的格式复杂而广泛，因为它们是为自动化处理而设计的。这妨碍了可读性，并阻止人们理解记录的事件。

网络安全专家的工作很有挑战性。他们分析巨大的数据集来发现安全漏洞，跟踪异常现象，并修补它们。对攻击做出快速反应至关重要。结构化威胁情报对专家来说至关重要，因为它使他们能够理解攻击。但是，只有当专家能够阅读和分析这些信息时，这才有可能。专家们需要编辑它，以便轻松地包含任何额外或缺失的信息。

一、网络犯罪正蓬勃发展

在过去几年里，LinkedIn、索尼、中央情报局和纳斯达克等机构都曾遭到黑客攻击。它已经导致数百万美元的收入损失，私人信息暴露和停机时间。

这些攻击没有停止的迹象。罪犯们非常清楚信息的价值。如今，有一个“零日漏洞”(Zero-Day exploit，一种利用以前不为人知的安全漏洞的攻击方法)的黑市可以出售。最好的黑客可以把他们的发现卖给出价最高的人。在各国政府寻求武装自己的刺激下，这个市场正在蓬勃发展。

网络安全团队面临越来越大的压力。他们可以依靠大量的数据来保护他们的组织。标准的监控系统可以生成tb级的数据，但是它们可以用来阻止攻击吗?

二、图形技术可以处理大数据

据估计，大型企业每天会产生100 - 1000亿个事件。安全团队拥有一个来自IP日志、通信或服务器日志以及网络日志的数据池。这是对传统安全信息和事件管理(SIEM)工具的挑战。它们被设计用来分析系统事件、记录和网络流，用于入侵检测，但不能处理大数据。

数量也不是最重要的问题。安全数据通常是非结构化的，并且大量来自不完整的异构数据源。非结构化数据在面向表格的工具中可以工作，但要付出代价:

数据结构和查询的复杂性;

查询数据时性能较差

难以整合新资源;

像InfiniteGraph和Neo4j这样的图形数据库使存储和查询非结构化数据变得很容易，即使是在容量增长的情况下。

三、网络攻击是什么样子的?

让我们用一个具体的例子来理解为什么图形技术有助于网络安全。思科发布了一篇博客文章，详细介绍了其图形分析功能如何保护客户免受“零日漏洞”(zero-day exploit)的侵害，这是之前未发现的软件安全漏洞。黑客可以利用该漏洞攻击系统，从它被发现到软件被修补。

例如，用于钓鱼攻击的域链接到几个实体:

注册商:管理互联网域名保留的商业实体或组织

名称服务器:实现网络服务的软件服务器或计算机硬件，通过将域名转换为IP地址来响应查询;

IP地址:在使用因特网协议进行通信的计算机网络中，分配给每个设备的数字标签;

IP地址是唯一的，但服务器和注册商可以将域名链接到其他域名。图模型非常适合表示这些实体及其连接。

四、为什么图形可视化如此重要?

将数据可视化为图表既是一种通用的，也是一种非常直观的关系概念。它让我们用每个人都熟悉的术语来描述事物。这使得每个人都能理解数据关系，并决定未来应该如何处理数据。例如，我们有网络级数据，如DNS记录、IP地址、域等。当我们将数据填充到一个图表模型中时，我们看到了关系，每个人都可以非常清楚地交流他们看到的东西。

五、图形可视化做什么?

1、预测:可视化网络威胁情报

网络分析师需要确定存在哪些威胁，以及这些威胁会如何影响该组织。这里不缺少可用的情报。挑战在于理解它的意义并分享洞察力。这就是图表和时间轴可视化至关重要的地方。

威胁情报是紧密相连的。将这些连接可视化为图形可以揭示模式、异常和异常值，从而揭示威胁情况。

分析师需要看到因果关系。结合图形可视化和时间轴视图揭示了网络威胁发生的方式和原因及其对网络的影响。

2、监控:构建更智能的soc

每天，网络发出数十亿次警报。安全操作中心(soc)理解这些警报。这些中心枢纽提供了跟踪活动的仪表板和可视化界面，以帮助分析人员实时响应和监控。

交互式时间轴和图形可视化功能是有效SOC的重要组成部分，提供直观、深刻和快速的数据视图。

使用交互式图形可视化，我们可以一眼看到事件在网络中展开，为网络威胁分析过程提供了动力。

六、使用关键数据图构建智能威胁分析解决方案

多维网络安全大数据的接入为我们应对网络威胁带来了新的机遇。智能威胁分析优先创建以下数据图:

1、环境数据图:包括关于资产、IT系统架构和文件中的漏洞的信息

2、行为数据图:包括文件分析日志、网络端检测告警、设备端检测告警、应用程序日志、沙箱日志、蜜罐日志

3、情报数据图:包括从各种外部来源收集的威胁情报

4、知识数据图:包括ATT&CK、CAPEC、CWE等各种知识库

虽然四个图是独立的，但它们通过指定类型的实体相互关联，从而在确保清晰的数据表示的同时实现全局链接。

(1)环境数据图

“环境”是指受保护的网络空间和财产内的各类实体及其之间的联系。

创建环境数据图需要风险评估工具/服务、漏洞管理、资产管理和IT系统架构、人力资源和企业等业务数据，以实现环境实体的多样化和链接。

未被管理的“暗资产”和暴露在互联网上的资产助长了攻击面。当务之急是确定对安全至关重要的关系和实体，以应对普遍存在的威胁。有必要评估这种威胁可能对网络或系统造成的影响有多密集和广泛。这是准确探测攻击面唯一的方法。

(2)行为数据图

“行为”是指在受保护的网络空间中可以被检测和收集的实体的行为。UEBA和SIEM的组合可以有效地满足收集行为数据的需求。

这一进程应具有包容性，同时确保制度化和正常化。此图与其他图的显著区别在于，行为图具有更高的添加和更新频率，并且在较短的持续时间内有效。

为了实现效率最大化，必须对整个生命周期的数据进行管理，设计行为与环境/知识之间的交互能力，正确连接实体，构建行为数据的本体模型。

(3)情报数据图

威胁情报通过提供更好的背景信息来改进安全事件的决策。目前，攻击归因安全行动、威胁分析、风险评估、态势感知等领域都已成为重要的战略资源。

不同的威胁情报提供者可能会从不同的角度解读威胁情报。一份有用的情报数据图表应该具有时效性、准确性和包容性。提高其效率的关键是选择场景特定的威胁情报来源绘制专用数据图。

(4)知识数据图

知识数据图提供了特定环境中威胁的相关知识。这使得安全设备能够对潜在危险发出警报，评估威胁影响的深度和程度，并建议适当的对策。知识图支持的事件分析可以放大环境、情报能和行为图中关联实体的上下文，同时具有可操作性、可重用性和可解释性，从而实现自动化分析。我们使用开源项目数据来建立知识库。

结论

高效的安全解决方案需要统一的、高度自动化的工具链和平台来接收和提供多源、广泛的异构数据。这使得安全设备能够及时发现、跟踪和响应威胁，并帮助人们进行安全操作、缓解和研究。一个可扩展和可用的数据图需要基础设施支持数据存储和处理。它还应该确保不同图之间的数据交互和关联。

这就需要对数据库进行系统设计和优化，包括实体属性、关系和类型。此外，它还需要一种可伸缩的统一标准和语言(如STIX或MAEC)来描述图架构数据层的实例。

最后，我们需要围绕技术、数据、法规和架构制定智能安全的行业标准。