0x00 前言:
事情源于之前不太认真的认真回答,见:知乎用户:NLP 在威胁情报中有哪些应用?,于是乎就有人私信问了,实际上对于这一部分我也是刚刚才开始接触,至于这个需求是怎么来的,实际上有两个原因,第一个原因是因为boss的强迫症:告警推送全都是要求用自然语言表达,第二个原因是因为威胁情报的分类问题,我们在捕获威胁情报的时候,共识是使用爬虫去爬取有对应消息的源(源这里实际上是经过筛选的,筛选的过程等以后有时间再说),这个时候问题就来了,国内的源要么消息滞后要么不提供RSS的接口(xx厂商为首),而国外的源相反,消息更新的很快,有RSS和邮件推送,甚至有些信息做到了json推送,这个时候另一个问题就来了,推送个英语过来的还好,这要是推送个思密达这种,没有语言功底的人还确实看不懂,所以这个时候想到了用NLP(自然语言处理)来解决情报处理的问题。
0x01 确定要收集的信息:
我们现在假设这样一个场景:老大让你收集一些关键组件的漏洞披露情况,如果有高风险的话,立马通过IM、邮件的形式推送到老大的面前。抛开规划不谈,这种针对特定组件的漏洞收集工作实际上是比较繁琐的一件事儿,因为你也不知道什么时候爆发什么漏洞,但是我们还是有些特定的收集技巧,我们按照披露的灰度来对源进行分类:
- 漏洞发现过程:这个时候最好的选择是oss-sec下面的bugtraq和oss mailing-list,或者是openwall mailing-list,如果你曾经给redhat这种提交过漏洞,也可以混到他们的邮件列表中去获取相对应的情报信息
- 漏洞披露之后:最直接的方法是直接去爬去每天更新的cve列表,mitre有接口可以操作
完成这个过程之后,实际上你就可以去编写爬虫了,至于编写爬虫的过程,略,大概爬完就是这种效果:
{
"id": "CVE-2018-6439",
"cvss": {},
"seen_wild": false,
"date_created": "2018-12-03T00:00:00",
"description": "A Vulnerability in the configdownload command of Brocade Fabric OS command line interface (CLI) versions before 8.2.1, 8.1.2f, 8.0.2f, 7.4.2d could allow a local attacker to escape the restricted shell and, gain root access.",
"reference": [
{
"name": "https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2018-730",
"type": "UNKNOWN",
"external_source":
"CONFIRM",
"href": "https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2018-730"
}
],
"products": [],
"mitre": "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6439",
"exploit": []
}
0x02 机读转人读
这个时候你就能大概了解到了这个漏洞的一些信息,but,你只知道了这个漏洞的信息,但是你并不知道这个漏洞是否值得响应,那么什么样的漏洞信息值得你去响应呢,一般情况下这个值得响应是跟资产相关、漏洞危害、在野利用、是否披露等多个方面进行评估之后才能得出是否需要修复的决策的,这显然不是威胁情报生产团队需要考虑的(毕竟有干实事儿的SRC存在),但是情报侧要提供信息可以帮助他们决策,以上面这个漏洞而言,我们需要关注的是描述这里:
A Vulnerability in the configdownload command of Brocade Fabric OS command line interface (CLI) versions before 8.2.1, 8.1.2f, 8.0.2f, 7.4.2d could allow a local attacker to escape the restricted shell and, gain root access.
我们在这里使用自动化的方法完成对这段话的处理,处理的目的在于:
(1)提高情报的可运营效率,也就是说人话让运营人员能操作
(2)提高情报指向性,方便运营人员排查资产是否受影响
(3)联动IM,提高情报推送的及时性
(4)也可以和资产系统进行联动,确定受影响的组件范围,降低修复漏洞的SLA
我们使用简单的分词结合之前使用cpe和cwe等数据作为训练样本获得的数据对漏洞告警信息进行处理,并且将告警信息汉化,举个例子:
# coding: utf-8
import nltk
import mtranslate
from nltk.tag import pos_tag_sents
fintels = []
vul_describes = json.loads(cve_spider_list)
for vul_describe in vul_describes:
chn_u = mtranslate.translate(vul_describe["description"], "zh-cn")
words = nltk.word_tokenize(vul_describe["description"])
affect_list = mach_learn(cpe_list_sample()) # 训练样本返回的组件名称规则
version_list = mach_learn(cpe_version_sample()) # 训练样本返回的组件版本规则
severity_list = mach_learn(severity_sample()) # 训练样本返回的漏洞类型规则
res = nltk.tag.pos_tag(words)
affect = ""
version = []
severity_list = []
for word,pos in res:
if pos in affect_list:
t_words = word + " "
affect += t_words
elif pos in version_list:
version.append(word)
elif pos in severity_list:
severity_list.append(word)
fintel = {
"description": chn_u,
"affect": affect,
"version": version,
"reference": vul_describe["reference"],
"cve_id": vul_describe["cve_id"],
"severity": severity_list
}
fintels.append(fintel)
print(fintel)
处理过后得到的信息就变得简单多了:
OK,这个时候,我们就可以联动IM了,因为各家IM都不尽相同,所以这个就看各家的SDK就能解决这个问题,最后推送的效果呢就是这样:
这样,安全运营人员就可以根据你的情报进行响应了。
0x03 小结:
以上的问题其实从操作的角度上来看并不难操作,关键是在于NLP技术如何帮助去自动化处理一些威胁情报信息来方便人去运营,毕竟情报收集很大一定程度上都是根据公开的信息,有很多情况下都是需要去处理海量的信息,这个时候自动化识别、NLP、OCR这些技术就能够提高我们的处理效率,减少因为情报造成的时机延误。毕竟运营哥哥和姐姐也是很辛苦的,扫描器、监控、IDS这些东西都会告警,都要去响应,这时候你要是再给他来一堆不能响应的情报,他会拿一把40米长的大刀然后让你先跑39米。