知識圖譜技術如何賦能智能安全運營

隨著全球數字經濟的蓬勃發展，網絡安全與物聯網、工業互聯網、云計算、5G 等多種場景和技術的融合極大地改變了網絡安全防護體系。如何打造智能化的網絡安全防護成為了學術界和工業界的熱點。基于人工智能的安全運營技術方案（AISecOps）將大幅提升威脅檢測、風險評估、自動化響應等關鍵運營環節的處理效率，大幅減少對專家經驗的依賴，助力網絡安全運營產業的技術升級。近年來，知識圖譜技術得到了迅速發展，本文目的在于探討智能的安全運營技術中知識圖譜技術應該發揮何種作用。

概述

網絡環境本身可以與圖數據結構結合，因此將知識圖譜技術引入到智能安全運營中具備可行性。知識圖譜的概念由谷歌提出，本質上是一種叫做語義網絡的知識庫。安全運營知識圖譜是以安全運營領域知識圖譜為核心，面向網絡環境數據、威脅行為數據、威脅情報數據、安全運營知識庫等，構建本體化、標準化、全局化的知識結構。目前圖結構以及圖分析算法的研究發展迅速，圖結構及圖算法也已經被應用到網絡安全場景中。國內方面，已有許多產品和研究關注安全數據的圖分析方法。例如，研究人員[1]結合知識圖譜設計了多個本體對整個網絡威脅進行建模分析，并兼容MITRE 的CAPEC、MAEC 和ATT&CK 等模型的接入與使用，能夠從多種威脅情報中提取關鍵信息并作為知識對知識圖譜進行擴展。

盡管不斷有新的技術和模型引入，但是實現智能安全運營依舊存在很多難點，例如：1、網絡攻擊手段的不斷進步導致網絡威脅評估難度不斷增大；2現有安全設備檢測網絡攻擊行為產生的告警數量龐大，如何從海量告警中找到真正的網絡攻擊是一大難題；3、由于攻擊手段的多樣性和復雜性以及數據采集等導致的攻擊鏈路斷裂，無法鎖定該攻擊行為的上下文。目前安全人員需要人工從海量的告警信息中去進行威脅評估，進而關聯溯源，分析發現攻擊路徑，安全防護的難度很大。因而提取安全運營中的專家知識，構建知識圖譜引入到安全運營中，通過層次化的分析使安全運營更加智能，具備重要的研究意義和應用價值。

知識圖譜賦能智能安全運營

將知識圖譜應用到智能安全運營之前，首先需要明確的是，智能安全運營業務是否需要知識圖譜的加入。在海量的安全數據轟炸下，智能安全運營需要強烈的可視化需求，當發現攻擊行為的時候，需要涉及到各種行為之間因果依賴關系的深度搜索，綜合多個方面安全數據的關聯分析，該領域十分依賴于安全專家的經驗。除此之外隨著高級持續威脅的不斷發展，復雜的網絡攻擊往往隱藏在復雜的關系網絡數據中。知識圖譜就是為此類問題所設計的，因此知識圖譜可以推動智能安全運營的發展。

知識表示技術和知識獲取技術是能否成功應用知識圖譜的關鍵。知識表示技術主要是設置數據處理的粒度，因為不同人的認知是不同的，這導致粒度的設置面臨巨大的挑戰。構建安全運營的知識圖譜時需要結合專家知識來確定知識的粒度。知識獲取技術是利用現有自動化的技術完成知識的獲取，知識的質量是知識圖譜質量的關鍵。搜索領域最早應用知識圖譜是為了提供用戶想要的內容，讓用戶找到自己最想要的那種含義，將網頁搜索升級為語義搜索[2]。安全運營知識圖譜是為了輔助安全運營人員分析和解決安全問題。《AISecOps 智能安全運營技術白皮書》[3]中智能安全運營前沿技術圖譜就提到了知識圖譜在安全運營中的作用，其指出超融合知識圖譜是運營數據關聯分析、智能決策、行動響應的重要數據基礎設施。盡管近年來有諸多研究工作和廠商產品在持續探索多源數據的融合方案與安全領域知識圖譜的構建方法，在超融合知識圖譜的設計、技術實現等多個方面，仍存在多方面的挑戰。

圖1：智能安全運營前沿技術圖譜[3]

智慧安全知識圖譜[1]（Intelligent Cyber Security Knowledge Graph）是知識圖譜在網絡安全領域的實際應用，包括基于本體論構建的安全知識本體架構，以及通過威脅建模等方式對多源異構的網絡安全領域信息（ Heterogeneous Cyber Security Information）進行加工、處理、整合，轉化成為的結構化的智慧安全領域知識庫。針對信息安全領域知識圖譜構建的兩個關鍵要素，構建了威脅元語言模型對威脅知識的結構化描述，包括概念、實體、屬性的定義以及知識關系的定義。研究中依據STIX2.0以及領域專家知識，構建三層安全知識圖譜，如圖2所示，知識圖譜輔助安全事件分析、安全合規標準、APT追蹤溯源等實際業務場景所需的數據表示和語義關系,其中,信息層為知識圖譜從外界抽取的知識實體，知識層和智慧層為信息安全領域關鍵概念及這些概念之間的邏輯語義關系[4]。

圖2：安全知識圖譜

合理的設計本體庫是圖結構設計的關鍵任務，構建安全運營知識圖譜的難點也是在于本體的構建以及其之間的關系挖掘。本體包括圖中實體（節點）類型、實體的屬性類型以及實體間的關系類型（即實體之間邊的類型），即表示圖結構的抽象概念結構“類”。本體庫的設計不僅要遵循一定的規范標準，而且符合特定應用場景下的指定需求。例如，ATT&CK（AdversarialTactics, Techniques, and Common Knowledge）是一個攻擊行為知識庫和威脅建模模型，自發布以來已逐漸發展為網絡威脅分析語境下的通用元語，其提供了四個核心的實體（戰術、技術、軟件、組織）及其之間的關系，而CAPEC 則主要覆蓋TTP、防護手段、脆弱性等概念，如果直接參照STIX 2.0，則需要覆蓋十余種對象。因此構建可用、可拓展的知識圖，需要從具體場景入手逐步擴展。除此之外參考已有知識來構建安全運營知識圖譜需注意的是安全運營的告警規則與ATT&CK等知識庫之間的關聯需要非常復雜的信息抽取能力和非常龐大的抽象先驗知識[5]，現階段該過程采用自動系統是難以實現的。鑒于大規模非結構化文本中包含大量實體和關系噪聲，對安全運營領域的知識抽取，會造成統計層次、語義層次的干擾，因此在知識抽取的過程中需進行模式和指紋的過濾，以提升抽取知識的質量以及知識拓展的效率。

綜上所述，在構建安全運營知識圖譜的過程面臨著本體庫設計，知識庫關聯，知識抽取，以及知識拓展等多方面的挑戰。安全運營知識圖譜獲取知識的過程需要根據實際應用場景改變或增加來不斷優化和推理完善。將特定安全運營場景中真實網絡的威脅行為的知識庫轉化為企業自身的安全運營知識圖，需要企業建立自身安全運營場景的攻擊實驗局，不斷修正知識結構。在特定安全運營場景下，由攻防知識豐富的安全專家對于告警數據及安全運營知識進行篩選構建圖譜，該過程不僅需要考慮現有告警、攻擊手法及響應操作，而且需要考慮未來可能產生的變化，不斷的細化數據之間的層次關系，確定該場景下的知識粒度，構建該場景下的智能安全運營知識圖譜，采用知識推理模塊預測實體之間潛在的關系，從海量告警中找出未被關注的網絡攻擊行為，推理出隱藏在深層次的網絡攻擊威脅，為安全運營提供方法和策略，以適應指定場景下的威脅分析任務。當然未來是需要探索如何根據不同的場景來設計一個完整智能安全運營領域圖譜的模式，方便安全專家知識的不斷融合和完善。

結束語

知識圖譜是近年來新興的技術，其應用空間很大。目前在智能安全運營中還沒有很好的應用實例，但是知識圖譜領域一個重要的研究是知識推理，是人工智能領域發展的重點之一。而AISecOps正是讓AI具備安全運營的知識，具備安全知識的推理能力，因此不斷完善知識圖譜是AISecOps的關鍵技術之一。如何讓知識圖譜更好地賦能智能的安全運營技術，促進AISecOps更好地發展還有很長的路要走，這需要網絡安全人員共同探索。

參考文獻

[1] 基于知識圖譜的APT 組織追蹤治理，綠盟科技(300369,股吧)，https://cloud.tencent.com/developer/article/1556638

[2] https://baike.baidu.com/item/%E7%9F%A5%E8%AF%86%E5%9B%BE%E8%B0%B1/8120012?fr=aladdin

[3] 《AISecOps 智能安全運營技術白皮書》, http://blog.nsfocus.net/wp-content/uploads/2020/12/AISecOps_White_Paper_NSFOCUS_20201218.pdf

[4]安全知識圖譜助力內部威脅識別

[5] ATT&CK框架在企業安全運營中的局限

本文由【綠盟科技研究通訊】授權轉載，僅代表作者觀點；內容編輯：天樞實驗室 王星凱??責任編輯：王星凱

?

?

零點有數（Dataway）：中國前沿的數據分析與決策支持服務機構。深耕公共事務和商業服務的諸多領域，以第三方評估為驅動、以解決應用場景中的關鍵問題為出發點，梳理和優化不同垂直行業的模型與算法。在數據智能時代，公司不斷整合移動互聯網、人工智能、云計算、物聯網等領域新技術，將多源數據與公共和商業服務的垂直行業場景結合，將20多年積累的專業知識實現"經驗模型化，模型算法化，算法軟件化"，推進決策科學化、服務高效化。

如需獲取更多信息請聯系：

電話：010-53896000

郵箱：mkt@idataway.com

?

?