现代网络安全攻防早已进入“非对称”战争。攻击者(APT组织、黑客)利用精心策划、多阶段、慢渗透的攻击链,隐匿在海量的正常业务流量中;而防御方则被动地淹没在由IDS、SIEM、EDR等各种安全设备产生的、数以万计的“告警风暴”中。
传统安全运维(SecOps)的最大痛点在于“见木不见林”。我们能看到1000个独立的告警,却无法将其中那5个真正相关的告警串联成一个完整的“攻击故事”。我们疲于奔命地“打地鼠”(处理表象),却无法定位攻击者的真实“根因”(意图和入口点)。
动态不确定因果图(DUCG)模型的出现,为构建下一代“网络安全态势感知”系统提供了强大的理论武器。它不再是基于“规则”或“相关性”的简单告警聚合,而是构建一个能够“理解”攻击因果逻辑的智能推理引擎。
1. 网络安全的“迷雾”:不确定性与动态对抗
态势感知(Situational Awareness)的难点在于:
- 海量告警与高误报率:安全设备(如IDS)为了“宁可错杀,不可放过”,会产生大量误报(False Positives)。如何在沙中淘金?
- 攻击的隐蔽性与多阶段性:高级持续性威胁(APT)攻击链极长(侦察 $\rightarrow$ 武器投递 $\rightarrow$ 漏洞利用 $\rightarrow$ 横向移动 $\rightarrow$ 目标达成),每个阶段的动作都可能被不同设备捕捉到,且间隔时间可能很长。
- “症状”与“根因”的脱节:防御方看到的是“症状”(如:数据库CPU异常、某端口有异常流量),而攻击者的“根因”可能是(如:利用未修复的Log4j漏洞执行了反弹Shell)。两者之间存在巨大的认知鸿沟。
2. DUCG:点亮迷雾的“因果探照灯”
DUCG模型可以被用来构建一个“攻击因果知识图谱”(Attack Causality Graph),它将网络中的资产、漏洞、告警和攻击战术(如ATT&CK框架)全部纳入一个统一的概率推理模型中。
2.1 应用一:告警的因果关联与“攻击故事链”还原
这是DUCG取代传统规则引擎的核心价值。我们不再需要写“如果A发生 AND B发生 THEN 告警”的僵硬规则。
- 根原因 (B): 攻击者的高级战术目标。例如:$H_1$ (数据窃取), $H_2$ (勒索软件部署), $H_3$ (挖矿)。
- 中间变量 (G): ATT&CK战术/技术。例如:$G_1$ (T1566: 鱼叉钓鱼), $G_2$ (T1059: PowerShell执行), $G_3$ (T1071: C2通信), $G_4$ (T1486: 数据加密)。
- 观测变量 (X): 安全设备告警。例如:$X_1$ (邮件网关告警), $X_2$ (EDR告警: PowerShell), $X_3$ (防火墙告警: 异常外联), $X_4$ (文件服务器告警: 大量文件被修改)。
推理过程: 当 $X_1, X_2, X_3, X_4$ 在不同时间 $T_1, T_2, T_3, T_4$ 零星发生时,DUCG的动态推理能力会将这些跨时间的独立证据进行融合。它会发现,这些看似无关的告警,都能被 $G_1 \rightarrow G_2 \rightarrow G_3 \rightarrow G_4$ 这条因果链(攻击链)完美解释。
最终,系统计算出 $P(H_2 | X_1, X_2, X_3, X_4) = 0.98$。 交付给分析师的不再是4条独立告警,而是一个完整的“攻击故事”:
“在 $T_1$ 时刻,攻击者通过‘鱼叉钓鱼’($G_1$)实现了初始访问($X_1$),随后在 $T_2$ 时刻执行了‘PowerShell’($G_2$)进行权限提升($X_2$),在 $T_3$ 时刻建立了‘C2通信’($G_3$)以回传控制($X_3$),最终在 $T_4$ 时刻开始执行‘数据加密’($G_4$)以进行勒索($X_4$)。根本意图高概率为‘勒索软件攻击’($H_2$)。”
2.2 应用二:处理告警的“不确定性”
DUCG的概率权重 $w$ 可以完美地建模“告警的不可靠性”。
- 某台IDS的告警 $X_{ids}$,其误报率很高。那么,从攻击技术 $G_{exploit}$ 到 $X_{ids}$ 的因果权重 $w$ 就可以被设定为较低的值(如 $w=0.4$)。
- 某台EDR的告警 $X_{edr}$,非常精准。其权重 $w$ 就可以设为($w=0.95$)。
在推理时,DUCG会自动调高“可信”证据的贡献,调低“不可信”证据的影响,这远比基于“评分卡”的SIEM系统要智能和鲁棒。
2.3 应用三:动态态势感知与意图预测
DUCG的“D”(Dynamic)特性使其成为态势感知的利器。
- 态势演化:模型不是静止的。在 $T_1$ 时刻(只有 $X_1$ 告警),模型可能显示 $P(H_1)=0.3, P(H_2)=0.2$。
- 当 $T_2$ 时刻 $X_2, X_3$ 告警相继出现,DUCG的动态推理算法会立即更新概率,使得 $P(H_2)$ 飙升到 $0.9$。
- 意图预测:更强大的是,当模型推理出攻击链已经进行到 $G_3$(C2通信)时,它可以正向预测:攻击者下一步最可能的行为是 $G_4$(数据加密)或 $G_5$(数据窃取),因为这两条路径是从 $G_3$ 出发的最高概率分支。
这就实现了从“被动响应”到“预测性防御”的跨越。安全团队可以抢在 $G_4$ 发生前,主动切断C2连接或隔离目标服务器。
3. 挑战:攻击知识图谱的构建
与软件可靠性领域类似,DUCG在网络安全应用的最大挑战也是知识工程:
- 如何构建和更新“攻击因果图”?攻击者的TTP(战术、技术和过程)在不断进化。
- 权重量化:如何确定“钓鱼邮件”导致“PC失陷”的概率 $w$?
解决方案:
- 结合威胁情报(TI):将ATT&CK框架和最新的威胁情报(IoCs、TTPs)作为构建DUCG的先验知识。
- 数据驱动学习:利用历史的攻防演练数据、蜜罐数据、真实攻击案例,通过机器学习算法,自动学习和校准DUCG中的因果结构和概率权重。
4. 总结
DUCG为网络安全态势感知提供了一个强大的、基于“因果”的数学模型。它将安全分析师从“告警风暴”中解放出来,使其能够专注于理解攻击者的“意图”和追踪攻击的“因果链”。
这正是您(冯宇)在10月8日所设想的,从贝叶斯网络向DUCG升级的核心价值所在——它不仅能做概率计算,更能做动态的、结构化的因果推理,这才是态势感知的灵魂。
💬 交流与讨论
⚠️ 尚未完成 Giscus 配置。请在
_config.yml中设置repo_id与category_id后重新部署,即可启用升级后的评论系统。配置完成后,评论区将自动支持 Markdown 代码高亮与 LaTeX 数学公式渲染,访客回复会同步到 GitHub Discussions,并具备通知功能。