王 俊

（上海電氣自動化設計研究所有限公司，上海 200000）

1 知識圖譜的發(fā)展與應用

知識圖譜（Knowledge Graph）是谷歌公司在2012年提出的用于構建下一代智能搜索引擎的一個概念，知識圖譜的作用是對錯綜復雜的實體（Entity）及實體之間的關系（Relation）進行加工、處理、整合后，進行形式化的描述，將實體間的關系表示為語義網絡，從而聚合大量知識，實現(xiàn)知識的快速響應和推理。所以，知識圖譜也被稱為知識域可視化或知識領域映射地圖。

知識圖譜分為領域知識圖譜和通用知識圖譜兩種類別。領域知識圖譜也叫垂直知識圖譜，是針對特定領域的知識整合，特定知識域的范圍可以由知識圖譜設計者自己指定。通用知識圖譜則尋求對人類社會所掌握的所有知識的整合。由于領域知識圖譜粒度細，精度高，表達能力更強，因此，具有更高的質量和應用價值。

知識圖譜的構建方法主要有自頂向下法和自底向上法兩種。自頂向下法是先通過人工的方式為知識圖譜定義好本體和數(shù)據(jù)結構及模式，然后再將實體加入到知識庫中，這種方法需要利用一些現(xiàn)有的結構化知識庫作為其基礎。自底向上法是先從底層數(shù)據(jù)中提取置信度較高的實體加入到知識庫中，再一層層向上，構建出完整的本體模式。由于自底向上法不需要一開始進行復雜的領域知識結構設計，構建難度和速度上較自頂向下法都有較大的優(yōu)勢，因此，目前大多數(shù)知識圖譜都采用自底向上法構建。

2 網絡安全動態(tài)感知平臺

隨著網絡規(guī)模和復雜性不斷增大，單憑一種或幾種安全技術很難應對復雜的網路安全問題。而目前的網絡安全也從過去的單一形式，變成了需要綜合考慮整個網絡的安全狀態(tài)以及變化趨勢。

Endsley（1995）認為，態(tài)勢感知是感知大量的時間和空間中的環(huán)境要素，理解它們的意義，并預測它們在不久將來的狀態(tài)。網絡安全態(tài)勢感知即為綜合分析網絡安全要素，評估網絡安全狀況，預測其發(fā)展趨勢，并以可視化的方式展現(xiàn)給用戶，并給出相應的報表和應對措施。網絡安全態(tài)勢感知可分為以下四個過程：

（1）數(shù)據(jù)采集：通過各種檢測工具，對各種影響系統(tǒng)安全性的要素進行檢測采集獲取，這一步是態(tài)勢感知的前提。

（2）態(tài)勢理解：通過分類、歸并、關聯(lián)分析等手段對各種網絡安全要素數(shù)據(jù)進行處理融合，對融合的信息進行綜合分析，得出網絡的整體安全狀況，這一步是態(tài)勢感知基礎。

（3）態(tài)勢評估：定性、定量分析網絡當前的安全狀態(tài)和薄弱環(huán)節(jié)，并給出相應的應對措施，這一步是態(tài)勢感知的核心。

（4）態(tài)勢預測：通過對態(tài)勢評估輸出的數(shù)據(jù)，預測網絡安全狀況的發(fā)展趨勢，這一步是態(tài)勢感知的目標。

一個成熟的網絡安全態(tài)勢感知體系，其最大的特點是數(shù)據(jù)豐富、預測及時準確、能夠給出應對措施。

3 基于知識圖譜的網絡安全動態(tài)感知平臺設計

網絡安全態(tài)勢感知是利用網絡流量、訪問日志等海量數(shù)據(jù)，通過一定的模型算法進行復雜計算后，研判訪問者下一步的網絡行為。在這個過程中，訪問者行為模型是關鍵，它決定了系統(tǒng)研判的準確性。而用戶網絡行為的表現(xiàn)是非常復雜的，需要大量的先驗知識作為判斷依據(jù)和參照，這些先驗知識需要大量的人工勞動去采集和整理，并構建知識之間的相互關聯(lián)。這些先驗知識及相互之間的關聯(lián)就是網絡安全知識圖譜。知識圖譜是網絡安全動態(tài)感知系統(tǒng)的基礎和關鍵。

網絡安全綜合分析及態(tài)勢感知平臺是面向傳統(tǒng)IT安全的全場景智能安全運營平臺。以資產為核心，以大數(shù)據(jù)為基礎，結合威脅情報系統(tǒng)，通過采集多源異構的各類數(shù)據(jù)，結合日志威脅分析、流量威脅分析、異常行為分析、脆弱性威脅分析、情報威脅分析能力以及基于攻防場景的機器學習、多源數(shù)據(jù)、多維度的關聯(lián)分析、安全事件自動化編排、可視化呈現(xiàn)等技術，幫助客戶實現(xiàn)安全態(tài)勢的全面監(jiān)控、安全威脅的實時預警、資產及漏洞的全生命周期管理及安全自動化的應急響應能力，協(xié)助網絡安全管理人員快速發(fā)現(xiàn)、分析、處置安全問題，實現(xiàn)網絡安全閉環(huán)管理。整個系統(tǒng)以安全運營為核心，圍繞監(jiān)測、研判、處置三個關鍵環(huán)節(jié)，構建安全運營支撐平臺體系。

系統(tǒng)設計遵循了知識管理領域著名的“DIKW層次體系”，即數(shù)據(jù)（Data）-信息（Information）-知識（Knowledge）-智慧（Wisdom）四個層次。該體系是由教育學家米蘭?瑟蘭尼和管理學家羅素?艾可夫在前人研究成果的基礎上發(fā)展而來，科學地詮釋了人類社會知識形成的過程和層次，具有廣泛適用性。

基于“DIKW層次體系”構建的網絡安全態(tài)勢感知平臺框架如下圖所示：

圖1 網絡安全態(tài)勢感知平臺框架

如圖所示，網絡安全態(tài)勢感知平臺框架分為三個部分：

（1）信息/數(shù)據(jù)層。信息是加工過的數(shù)據(jù)，由于能納入本系統(tǒng)的都是經過加工、遴選的有價值的數(shù)據(jù)，故在本系統(tǒng)中并不刻意區(qū)分信息和數(shù)據(jù)。在本層，匯集了網絡安全領域本體和大量的網絡安全概念實體。這些本體描述了網絡安全領域中一些重要的概念以及概念之間的關系；網絡安全實體則描述了網絡安全領域的一些元知識，數(shù)量龐大。

（2）知識層。知識層是在信息/數(shù)據(jù)層的基礎上，構建網絡安全知識圖譜，并將抽象概念邏輯具體化為網絡安全事件、攻擊模式、攻擊主體、安全戰(zhàn)役、安全報告等知識圖譜，成為系統(tǒng)感知、研判網絡威脅依據(jù)，是整個系統(tǒng)的“大腦”。

（3）智慧層。智慧層通過知識層的知識沉淀和抽象，析出網絡安全威脅主體、網絡安全主題，分析網絡安全的影響是否達到我國“網絡安全等級保護制度2.0國家標準”中的相關標準，以及應對威脅的主要戰(zhàn)術。

從具體實現(xiàn)來看，整個系統(tǒng)的信息層、知識層和智慧層三個層級的主要功能如下：

（1）信息層。知識圖譜是本體（Ontology）的數(shù)據(jù)化表示，因此，構建知識圖譜的前提是構建領域本體，并采集相關數(shù)據(jù)，本系統(tǒng)的信息層主要解決網絡安全本體構建和數(shù)據(jù)采集問題。本系統(tǒng)在信息層構建了14個網絡安全知識本體，通過爬蟲、人工導入等方式，采集了80余萬知識實體數(shù)據(jù)。這些知識本體及知識實體包括：使用STIX語言描述的網絡威脅信息，比如攻擊組織等、威脅報告、IOC情報等；針對勒索病毒、特種木馬等高級威脅的檢測本體TAC；各類網絡安全威脅的規(guī)則庫；基于規(guī)則庫的多種檢測規(guī)則；通用漏洞披露數(shù)據(jù)；中國國家信息安全漏洞庫數(shù)據(jù)；作為適用于通用場景的安全組規(guī)則設置的通用容器平臺云容器引擎數(shù)據(jù)；用于描述漏洞影響的具體組件及其版本的通用平臺枚舉數(shù)據(jù)等。

（2）知識層。在知識層，對網絡安全本體進行數(shù)據(jù)化表示，即將網絡安全涉及的主要概念進行具體化，并形成網絡安全攻擊、防御、戰(zhàn)役、報告等知識圖譜。利用STIX報告，得到內部報告和外部報告，目前，本系統(tǒng)匯集了465個內部報告和2280個外部報告，這些報告中包含了若干網絡安全戰(zhàn)役描述；這些報告也包含網絡安全指示器，目前共收集了39920個STIX的IOC情報；知識層的威脅指示器可以析出惡意代碼、軟件和防御策略，而防御策略又和規(guī)則庫進行關聯(lián)、惡意代碼與TAC關聯(lián)；在戰(zhàn)役中析出的攻擊模式與威脅指示器中析出的惡意代碼進行關聯(lián)，這些攻擊模式與信息層的檢測規(guī)則關聯(lián)；從攻擊模式中發(fā)掘網絡安全隱患，并進一步找到這些隱患存在的目標客體，安全隱患與CVE/CNNVD/XCCDF/CCE關聯(lián)，目標客體與CPE關聯(lián)。這樣一來，就形成了非常復雜的網絡安全動態(tài)感知系統(tǒng)知識層的知識圖譜。

（3）智慧層。在智慧層，通過對網絡安全報告的綜合分析，析出網絡安全威脅主體和主題，其中，網絡安全威脅主體信息與STIX公布的黑客組織進行關聯(lián)；通過對網絡安全事件本身和安全事件隱患的綜合分析，判斷網絡安全事件的影響，以及該影響是否達到了“網絡安全等級保護制度2.0國家標準”中的相關標準，并依情況，選擇對應的防御策略，并根據(jù)其攻擊模式，選擇對應的戰(zhàn)術。

4 結束語

本研究基于“DIKW層次體系”圖，構建了網絡安全領域的領域知識圖譜；依據(jù)該知識圖譜，設計了具有動態(tài)感知功能，能夠實現(xiàn)信息系統(tǒng)主動防御的網絡安全感知、研判、預警和處置平臺，實現(xiàn)了網絡安全威脅的智能化處理和網絡安全事件的閉環(huán)管理，與傳統(tǒng)的基于特征庫比對的網絡安全平臺具有本質的區(qū)別。