石 波 于 然, 朱 健

1(北京計算機技術及應用研究所 北京 100854) 2(江蘇航天七零六信息科技有限公司 南京 210012)

網絡空間作為繼陸、海、空、天之后的“第五維空間”，其攻防對抗正逐步成為國家間對抗的核心要素之一.新形勢下的網絡空間安全威脅正向著智能化、自動化、規(guī)?；l(fā)展，安全威脅的種類及危害程度也在快速增長，影響越來越大，影響范圍越來越廣.

經過長期系統(tǒng)性、針對性的發(fā)展，目前傳統(tǒng)的安全防護技術已趨于成熟，如訪問控制、攻擊檢測、惡意代碼防范等，在網絡安全防護中發(fā)揮了重要作用，很大程度上減輕了網絡攻擊帶來的損害.然而在網絡空間攻防對抗新形勢下，安全威脅日新月異，傳統(tǒng)安全防護手段的發(fā)展已跟不上攻擊技術的更新.傳統(tǒng)網絡安全防護偏重被動防御，屬于靜態(tài)防護，單純的被動靜態(tài)防護已無法滿足網絡空間安全需求，亟需創(chuàng)新安全理念，結合知識圖譜、大數(shù)據(jù)、安全威脅情報等，發(fā)展動態(tài)主動安全防御技術.

知識圖譜技術能夠清晰展示網絡空間中各類信息主體之間的邏輯關系，如不同攻擊之間的關系、攻擊與漏洞的關系、漏洞與漏洞的關系、不同安全威脅之間的關系等.知識圖譜本質是一種語義網絡，由節(jié)點和邊組成，其中節(jié)點代表實體/概念，邊代表實體/概念之間的語義關系.運用知識圖譜，通過對各類安全主體、安全主體屬性以及安全主體關系進行分析，可以判斷推理出安全主體之間更深層次的關系.

1 知識圖譜應用概況

知識圖譜是人工智能技術的重要研究內容之一，依托其建立的知識庫具有高效、開放的語義處理能力，在智能推薦、智能問答等場景下得到了廣泛應用[1].黃宏程等人[2]、李世寶等人[3]分別基于知識圖譜開展了人機交互模型和推薦模型的研究，評估用戶與實體交互的概率，給參與交互的人有針對性地推薦感興趣的內容.

在網絡安全領域，知識圖譜也得到了廣泛應用.國外研究者最早提出并不斷完善了網絡安全本體論，定義了目標、方式、結果、漏洞、威脅、產品、服務、過程等本體類型[4-5]，明確了資產、風險、威脅、攻擊、防御、影響等本體定義[6]，對本體屬性進行了擴展，并對本體間的關聯(lián)關系進行了分析融合[7].國內方面，賈焰等人[8]開展了深入研究，提出了構建網絡安全知識圖譜的方法和推演規(guī)則，利用機器學習以及Stanford NER等方法構建網絡安全知識庫.陳華鈞等人[9]、游瑞邦等人[10]、石波等人[11]、張陽等人[12]、陳佳等人[13]分別將知識圖譜應用于內容安全、流規(guī)則演化及應用、安全態(tài)勢預測、網絡安全數(shù)據(jù)組織、DDoS攻擊源檢測等，在網絡安全監(jiān)測及態(tài)勢感知、網絡安全知識學習及數(shù)據(jù)分析技術等方面均取得相關成果.齊斌等人[14]提出網絡安全知識圖譜模型，通過信息熵表征知識圖譜復雜度，并提出基于模糊集的知識圖譜選擇技術.面向威脅情報領域，董聰?shù)热薣15]、王通等人[16]開展了相關研究，設計了面向威脅情報的知識圖譜構建框架，提出針對威脅情報知識圖譜的實體和實體關系深度學習模型，并利用圖數(shù)據(jù)庫進行可視化.

安全威脅情報在網絡安全防御體系中扮演著越來越重要的角色，但當前安全威脅情報存在來源復雜、不易理解、難以共享等問題.針對這些問題，本文基于受限玻爾茲曼機(restricted Boltzmann machine, RBM)實現(xiàn)威脅情報特征深度學習，將原始威脅情報特征從高維空間逐層向低維空間映射，構建網絡空間安全威脅知識圖譜，刻畫網絡空間安全威脅特征以及安全威脅情報之間的關系；進而利用網絡空間安全威脅知識圖譜，結合當前上下文情境，基于事件流處理進行安全威脅路徑演化和追蹤溯源，精準感知網絡空間安全威脅.

2 基于RBM的網絡空間安全威脅知識圖譜構建

2.1 知識圖譜構建流程

網絡空間安全威脅知識圖譜構建流程如圖1所示,主要包括以下2個過程：

圖1 網絡空間安全威脅知識圖譜構建

1) 安全知識抽取.從網絡空間安全威脅情報半結構化、非結構化數(shù)據(jù)中提取安全實體、安全實體間關系、安全實體屬性等知識要素.

2) 安全知識融合.包括安全數(shù)據(jù)整合、安全實體對齊、安全知識推理、安全本體構建、安全本體質量評估等步驟，消除安全實體、安全實體間關系、安全實體屬性等要素與實際對象之間的歧義，最終形成高質量的網絡空間安全威脅知識圖譜.

2.1.1 安全知識抽取

安全知識抽取主要面向安全威脅情報半結構化和非結構化數(shù)據(jù)，利用機器學習等技術抽取可用要素，并以此為基礎，形成高質量、可理解的安全知識表達.

1) 安全實體抽?。簩嶓w是知識圖譜中的最基本元素，其抽取的準確性、完備性等將直接影響網絡空間安全威脅知識圖譜的質量.

2) 安全實體間關系抽取：安全實體間關系刻畫實體間的語義鏈接，需要提前定義安全實體間的基本關系類型.

3) 安全實體屬性抽取：安全實體屬性形成對實體的完整描述和表達.

2.1.2 安全知識融合

網絡空間安全威脅情報數(shù)據(jù)來源廣泛，導致數(shù)據(jù)冗余嚴重甚至存在錯誤，且不同安全實體間的關聯(lián)關系復雜且隱蔽，因此必須進行安全知識融合.即構建安全知識規(guī)范，形成統(tǒng)一、完整的知識基本表達，在此基礎上對多源數(shù)據(jù)進行除錯、去重、關聯(lián)、驗證、更新等操作，最終形成高質量、可理解的網絡空間安全威脅知識圖譜.具體包括以下幾個步驟：

1) 安全實體對齊.消除異構數(shù)據(jù)中沖突、歧義等問題，創(chuàng)建統(tǒng)一知識庫并不斷學習更新，支撐海量多源異構數(shù)據(jù)學習，形成高質量知識.

2) 安全本體構建.安全本體通過樹狀結構呈現(xiàn)，其中相鄰節(jié)點之間具有嚴格的包含關系.通過構建本體庫而形成的知識圖譜具有理解性強、層次性強、冗余度低等優(yōu)點.

3) 安全本體質量評估.與安全實體對齊一起進行，通過對知識的置信度、準確度進行量化，支撐對知識的更新維護，有效確保知識質量.

4) 安全知識更新.包括模式層與數(shù)據(jù)層的更新.模式層更新是安全本體元素的更新，包括概念的增加、修改、刪除，概念屬性的更新以及概念間關系的更新等.數(shù)據(jù)層更新是安全實體元素的更新，包括安全實體的增加、修改、刪除以及安全實體屬性的更新.

5) 安全知識推理.在已有的網絡空間安全威脅知識圖譜的基礎上進一步挖掘隱含的知識，達到不斷豐富、擴展、完善知識圖譜的目的.安全知識推理的對象可以是安全實體、安全實體屬性、安全實體間關系等.安全知識推理需要大量關聯(lián)規(guī)則，關聯(lián)規(guī)則的形成主要基于對安全實體以及安全實體間關系的持續(xù)深度學習.

2.2 知識圖譜構建實現(xiàn)

利用深度學習構建多層次、結構性的網絡空間安全威脅知識圖譜能夠體現(xiàn)知識圖譜的結構性特征，使得圖譜具有較低的維度和較高的抽象層面.網絡空間安全威脅知識圖譜構建是一個無監(jiān)督自動特征學習過程，其深度學習模型如圖2所示.該模型含有多個隱藏層，從第1個隱藏層到第k個隱藏層逐層單獨訓練，節(jié)點數(shù)目逐層減少.相鄰層的節(jié)點之間存在連接關系，層內以及跨層的節(jié)點之間沒有連接，連接強度用連接權重表示.

圖2 網絡空間安全威脅知識圖譜深度學習模型

RBM是一種2層的神經網絡模型[17]，包括可視層和隱藏層，能夠有效完成從高維空間到低維空間的編碼.鑒于網絡空間安全威脅知識圖譜構建正是需要將原始威脅情報特征從高維空間向低維空間映射，且要實現(xiàn)多層映射，因此本文采用多個層疊的RBM實現(xiàn)深度學習模型，獲取網絡空間安全威脅知識圖譜.RBM網絡結構示意圖如圖3所示:

圖3 RBM網絡結構示意圖

設有n個可視節(jié)點和m個隱藏節(jié)點(m

采用多個層疊的RBM將高維威脅情報特征降維，每層RBM的威脅情報特征輸出作為下一層RBM的輸入.具體來說，首先訓練第1層RBM，輸入無標定的威脅情報數(shù)據(jù)，該層的可視層具有n1個節(jié)點，處理后生成m1個節(jié)點，若m1

單層RBM訓練算法流程描述如下：

1) 初始化

① 給定威脅情報特征訓練樣本集合S(|S|=n)；

② 給定訓練周期J和學習率η；

③ 指定可視層和隱藏層的節(jié)點數(shù)目n和m；

④ 初始化偏移量集合V,H以及權重矩陣W；

2) 訓練(循環(huán)J次)

⑤ 輸入S,W,V,H，采用多個層疊的RBM構成的深度學習模型進行訓練，輸出訓練后的偏移量集合和權重矩陣，分別用ΔV,ΔH和ΔW表示；

⑥ 調整參數(shù)：W=W+η(ΔW/n),V=V+η(ΔV/n),H=H+η(ΔH/n)，重復步驟⑤.

3 基于知識圖譜的網絡空間安全威脅感知

3.1 安全威脅感知流程

3.1.1 安全威脅路徑演化

基于網絡空間安全威脅知識圖譜對輸入的安全威脅事件進行分析，可以實現(xiàn)網絡空間安全威脅路徑演化.具體流程如圖4所示.

輸入安全威脅事件，并按照實體、實體屬性、實體間關系3種層次結構進行解析，便于知識圖譜進行規(guī)則匹配和推理演化.路徑推理演化的本質是計算可能的威脅演化路徑概率.自定義概率閾值，若威脅演化路徑概率高于閾值，則表示網絡安全威脅事件極大可能已經發(fā)生，進行安全實體智能檢索，記錄推理路徑，并判斷該網絡實體是否為重要網絡資產(如關鍵主機、服務器等).若是重要網絡資產，則立即發(fā)出威脅告警；否則，繼續(xù)進行路徑推理演化，重新計算威脅演化路徑概率.若威脅演化路徑概率未超過閾值，則表示網絡安全威脅事件尚未發(fā)生，結束路徑推理演化.

圖4 基于知識圖譜的網絡空間安全威脅路徑演化流程

3.1.2 安全威脅追蹤溯源

與基于知識圖譜的網絡空間安全威脅路徑演化類似，基于知識圖譜的網絡空間安全威脅追蹤溯源是對已發(fā)生的網絡空間威脅事件進行逆向推導.具體流程如圖5所示.

輸入已發(fā)生的安全威脅事件，并按照實體、實體屬性、實體間關系3種層次結構進行解析.同樣經過概率計算，判斷概率是否超過自定義閾值.如果未超過閾值，則完成推理；否則，進行安全實體智能檢索，并記錄推理路徑.在獲取安全實體后，檢索已發(fā)生的歷史安全威脅事件中是否存在與該安全實體相關的事件.若存在相關安全威脅事件，則對檢索出的歷史安全威脅事件繼續(xù)進行路徑推理演化；若不存在，則完成推理.

圖5 基于知識圖譜的網絡空間安全威脅追蹤溯源流程

3.2 基于事件流處理的安全威脅分析

事件流處理引入多事件復雜關聯(lián)模式分析，包括事件繼承、事件相關、事件因果關系等.事件流處理模式與數(shù)據(jù)庫管理模式不同.數(shù)據(jù)庫管理模式中的數(shù)據(jù)是靜態(tài)的，邏輯關系隨需求而變動；事件流處理模式中已定義的行為模式是靜態(tài)的，數(shù)據(jù)是動態(tài)變化的.事件流處理流程如圖6所示.

圖6 事件流處理流程

事件流處理引擎支持事件流實時查詢、計算、過濾、關聯(lián)等動作.事件流處理引擎采用在線分析技術，實時輸出安全威脅分析結果.在事件流處理模式下，基于網絡空間安全威脅知識圖譜構建關聯(lián)規(guī)則，每當有符合知識圖譜模式的事件流經引擎時，都能夠觸發(fā)某些行為模式，從而實現(xiàn)對安全威脅的實時檢測，并反饋給用戶.

基于事件流處理的安全威脅事件分析主要采用樹結構進行，樹結構能夠將安全威脅事件之間的時序性、過程性等圖譜特征表達清楚.圖7為基于網絡空間安全威脅知識圖譜構建的某種關聯(lián)規(guī)則樹，節(jié)點表示安全威脅事件，節(jié)點之間的連線表示安全威脅事件之間的順序.圖7中，R2和R6為R1之后的安全威脅事件，R3，R4和R5為R2之后的安全威脅事件，R7和R8為R6之后的安全威脅事件.

圖7 安全事件關聯(lián)規(guī)則樹

圖8 處理單元結構

1)rulename：關聯(lián)規(guī)則名稱.

2)src_ip：源IP.

3)dst_ip：目的IP.

4)dst_port：目的端口.

5)plugin_sid：信息類型.

6)protocol：協(xié)議類型.

7)timestamp：安全威脅事件發(fā)生的時間戳.

8)timeout：時間窗口，表示與上一級安全威脅事件的時間間隔.

9)success：安全威脅事件發(fā)生概率，值越大，發(fā)生概率越高.事件流處理過程中，越接近葉子節(jié)點，該值越大，安全威脅事件發(fā)生的可能性越高.該值通過規(guī)則觸發(fā)來改變.

10)importance：安全威脅事件的嚴重程度.

基于事件流處理的安全威脅分析將安全事件關聯(lián)規(guī)則樹轉換為事件流處理引擎能識別的數(shù)據(jù)流處理語言.事件流處理引擎將流經的安全威脅事件與關聯(lián)規(guī)則進行快速模式匹配分析，從而發(fā)現(xiàn)符合網絡空間安全威脅知識圖譜的安全威脅事件.事件流處理引擎運行在實時流計算平臺上.事件流處理引擎中的處理單元包含4個組件：過濾器、觸發(fā)器、關聯(lián)器和攻擊重計算.處理單元結構如圖8所示.

過濾器負責除雜和分流的任務；觸發(fā)器根據(jù)上級分析結果判斷是否需要觸發(fā)下級的分析執(zhí)行；關聯(lián)器按照規(guī)則(即知識圖譜特征)對安全威脅事件進行關聯(lián)分析；攻擊重計算是對當前安全威脅事件進行重新評估，即依據(jù)當前環(huán)境和安全威脅事件綜合計算安全威脅值，從而有效反映當前安全威脅事件對于特定目標的威脅性.

處理單元只能處理簡單的安全事件，復雜的安全威脅事件分析需要串聯(lián)多個處理單元，形成復雜處理結構.復雜處理結構能夠實現(xiàn)安全威脅事件上下文關聯(lián)，如圖9所示.

圖9 復雜處理結構圖

4 實驗驗證

4.1 實驗環(huán)境搭建

搭建網絡模擬環(huán)境，網絡中配套部署部分業(yè)務系統(tǒng)和安全設備/系統(tǒng).基于大數(shù)據(jù)基礎平臺，對網絡中的全局安全日志、終端日志、審計日志等進行采集、歸一化和存儲，并進行網絡空間安全威脅知識圖譜構建和安全威脅分析、預測和可視化.在模擬環(huán)境中部署網絡攻擊工具，模擬網絡攻擊威脅，對比本文提出的基于知識圖譜的安全威脅感知方法與傳統(tǒng)威脅檢測方法的準確率，并以可視化方式呈現(xiàn)給用戶.網絡模擬環(huán)境如圖10所示.

模擬環(huán)境涉及的設備和系統(tǒng)清單如表1所示.

表1 模擬環(huán)境設備/系統(tǒng)清單

4.2 構建網絡空間安全威脅知識圖譜

選取互聯(lián)網開源威脅情報數(shù)據(jù)集malware-traffic-analysis作為數(shù)據(jù)源[18].該數(shù)據(jù)集包含2013—2020年的所有威脅情報，總計1 837個文本型威脅情報集合，30 000余條威脅情報.

采用本文提出的基于RBM的網絡空間安全威脅知識圖譜構建方法，對malware-traffic-analysis中的結構化、非結構化情報進行清洗和處理，耗時13min32s，形成完全獨立的安全威脅知識圖譜1 137個，覆蓋全部1 837個文本型威脅情報集合以及所有30 000余條威脅情報，并且通過關聯(lián)規(guī)則挖掘出3 564條新的安全威脅特征.

4.3 安全威脅感知準確率對比

選取數(shù)據(jù)集CICIDS 2017作為本文實驗的威脅樣本集，CICIDS 2017可實現(xiàn)的攻擊包括暴力FTP、暴力SSH、DoS、Heartbleed、Web攻擊、滲透、僵尸網絡和DDoS等[19].CICIDS 2017是一個通用規(guī)范的數(shù)據(jù)集，現(xiàn)有主流的威脅檢測方法均能達到95%左右的檢測準確率.因此本文重點關注高強度、高速率下的檢測準確率，即以多倍速率不斷重放該威脅樣本集.

將CICIDS 2017按照不同速率進行多次重放，分別為正常速率、2倍速率、4倍速率、8倍速率、16倍速率以及32倍速率.分別采用本文構建的基于事件流處理的安全威脅分析方法和傳統(tǒng)威脅檢測方法進行檢測，并對檢測準確率進行對比，如圖11所示：

圖11 檢測準確率對比

由圖11可以看出，在4倍速率以下的威脅模擬情況下，本文方法檢測準確率略低于傳統(tǒng)方法.在4倍速率以上的威脅模擬情況下，傳統(tǒng)方法由于是基于線性規(guī)則匹配的，檢測準確率出現(xiàn)嚴重下滑，在16倍速率下不足70%，在32倍速率下甚至不到50%.本文方法在16倍速率下接近85%，在32倍速率下仍能高于70%，說明基于安全威脅知識圖譜的匹配能夠滿足高強度安全威脅下的感知需求.

5 結束語

基于知識圖譜的網絡空間安全威脅感知技術能夠將原始威脅情報特征從高維空間逐層向低維空間映射，實現(xiàn)對安全威脅的高效精準感知，并且感知結果具備高度的可理解性，為網絡空間對抗新形勢下的安全威脅檢測提供了一個新思路.下一步工作將探索證據(jù)理論與安全威脅知識圖譜構建算法的結合，對硬件資源進一步擴展，以提升威脅感知在實際環(huán)境中的準確度和感知更高強度的安全威脅.