衛(wèi) 婧，向 君，朱廣劼，司 群，付曉丹

（1. 中國鐵道科學研究院集團有限公司 電子計算技術(shù)研究所，北京 100081；2. 中國國家鐵路集團有限公司 科技和信息化部，北京 100844）

復雜多變的網(wǎng)絡(luò)環(huán)境和攻擊使網(wǎng)絡(luò)安全面臨更加嚴峻的挑戰(zhàn)。目前，知識圖譜在語義搜索、智能問答、個性化推薦、輔助決策、識別反欺詐潛在風險、不一致性驗證識別等方面已經(jīng)得到了廣泛應(yīng)用，也可利用知識圖譜將網(wǎng)絡(luò)空間中零散、雜亂的相關(guān)數(shù)據(jù)組織在一起，挖掘出其中潛在的語義關(guān)系，從而在態(tài)勢感知、風險分析、應(yīng)急處置等方面發(fā)揮作用。所以將知識圖譜應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，可以幫助我們對網(wǎng)絡(luò)空間實施高效的管理及有效的安全監(jiān)測和防護，全方位分析面臨的威脅信息，判斷當前的網(wǎng)絡(luò)空間安全態(tài)勢，進而對面臨的威脅進行預測和預警，成為網(wǎng)絡(luò)事件分析、網(wǎng)絡(luò)安全保障與決策的前提和重要基石[1]。

目前鐵路網(wǎng)絡(luò)安全綜合防護能力還存在欠缺，而解決信息資產(chǎn)“查不清”“摸不準”“找不到”“管不了”的問題，是提升鐵路網(wǎng)絡(luò)安全綜合防護能力的前提和基礎(chǔ)。因此，有必要全面、準確地梳理鐵路信息化資產(chǎn)，研究鐵路網(wǎng)絡(luò)安全領(lǐng)域知識圖譜的構(gòu)建技術(shù)。

1 鐵路網(wǎng)絡(luò)安全領(lǐng)域知識圖譜構(gòu)建技術(shù)

通過知識圖譜的數(shù)據(jù)分析及可視化技術(shù)，構(gòu)建、分析和展示涵蓋鐵路信息化資產(chǎn)基本信息、資產(chǎn)測繪信息、基于鐵路網(wǎng)絡(luò)安全標準制度測評分析的資產(chǎn)風險信息等網(wǎng)絡(luò)安全關(guān)系的鐵路網(wǎng)絡(luò)安全知識圖譜；通過直觀、高交互性的鐵路網(wǎng)絡(luò)安全知識圖譜，研究資產(chǎn)的風險關(guān)聯(lián)特性等[2]，形成可視化展示、時空分析及應(yīng)用支撐能力，從而實現(xiàn)鐵路網(wǎng)絡(luò)安全領(lǐng)域資產(chǎn)與風險關(guān)聯(lián)關(guān)系的可視化。

本文以鐵路網(wǎng)絡(luò)安全資產(chǎn)臺賬、鐵路網(wǎng)絡(luò)安全指標、鐵路網(wǎng)絡(luò)安全標準及制度、信息化資產(chǎn)測繪數(shù)據(jù)、資產(chǎn)地理數(shù)據(jù)等為數(shù)據(jù)源，針對鐵路信息化資產(chǎn)本體模型，分析鐵路資產(chǎn)屬性、資產(chǎn)類別、配置信息、地理信息、漏洞信息和風險態(tài)勢等要素，構(gòu)建鐵路網(wǎng)絡(luò)安全知識圖譜。

1.1 知識圖譜構(gòu)建基本流程

如圖1所示，鐵路網(wǎng)絡(luò)安全領(lǐng)域知識圖譜構(gòu)建基本流程可分為知識的抽取、表示、整合、更新和篩選。采用不同的方法從多樣結(jié)構(gòu)的數(shù)據(jù)源中抽取出該知識圖譜的三元組（實體、關(guān)系、屬性）等，用符號等形式表示，進而對數(shù)據(jù)進行整合，知識整合包括實體對齊和本體構(gòu)建，并保持對知識的更新，對知識庫進行更新及知識篩選，最終完成知識圖譜的構(gòu)建[3]。

圖1 知識圖譜構(gòu)建基本流程

1.2 知識抽取

知識抽取過程是從不同的多樣數(shù)據(jù)源中提取出構(gòu)建知識圖譜所需的知識，再通過不同的方式完成數(shù)據(jù)庫存儲的過程。鐵路網(wǎng)絡(luò)安全領(lǐng)域的知識圖譜數(shù)據(jù)來源廣泛，數(shù)據(jù)結(jié)構(gòu)各不相同。

鐵路網(wǎng)絡(luò)安全知識圖譜的知識抽取主要分為實體識別和關(guān)系抽取2個方面[4]。

（1）針對資產(chǎn)臺賬基本信息、鐵路信息化資產(chǎn)測繪數(shù)據(jù)、鐵路網(wǎng)絡(luò)安全指標和鐵路資產(chǎn)風險數(shù)據(jù)，這些數(shù)據(jù)多為結(jié)構(gòu)化數(shù)據(jù)及半結(jié)構(gòu)化數(shù)據(jù)，可采用傳統(tǒng)的規(guī)則和模板的方法并借助語義數(shù)據(jù)映射模型，將不同模式語法向知識圖譜表示模型進行映射和實體識別。

（2）針對鐵路資產(chǎn)地理數(shù)據(jù)，多為非結(jié)構(gòu)化的數(shù)據(jù)，可綜合運用傳統(tǒng)的規(guī)則、傳統(tǒng)機器學習、深度學習等實體識別方法，對其實體、實體的屬性進行識別。

（3）針對實體間關(guān)系較為鮮明、規(guī)范的基本信息及標準制度采取枚舉的方式對表示關(guān)系的詞語進行手動輸入，基于傳統(tǒng)的規(guī)則、模板的方法及專家的經(jīng)驗知識對實體關(guān)系進行抽取。

（4）針對鐵路風險數(shù)據(jù)、鐵路資產(chǎn)地理數(shù)據(jù)等實體關(guān)系相對復雜的可采用基于統(tǒng)計機器學習、基于深度學習等方法對關(guān)系進行抽取。

1.3 知識表示

將抽取出的鐵路網(wǎng)絡(luò)安全知識用符號等形式表示出來就是知識表示?？捎萌M（資產(chǎn)及風險實體集合、資產(chǎn)及風險關(guān)系集合、資產(chǎn)及風險屬性值）表示法表示抽取到的鐵路網(wǎng)絡(luò)安全知識，用符號可表示為：G=(E,R,S)。其中，E={E1,E2,E3,···,Ei}表示所有資產(chǎn)及風險實體的集合；R={R1,R2,R3,···,Rj}表示所有資產(chǎn)之間、風險之間、資產(chǎn)與風險之間關(guān)系的集合；S={S1,S2,S3,···,Sn}表 示 資 產(chǎn) 及 風 險 所 有 屬 性 的集合，每種實體E或關(guān)系R都可能擁有不同的n個屬性。

使用圖數(shù)據(jù)庫對三元組進行表示，如圖2所示，圖中的節(jié)點表示知識圖譜中的實體；邊表示知識圖譜中的關(guān)系，每個實體都有多個屬性。

圖2 三元結(jié)構(gòu)示例

1.4 知識整合

構(gòu)建鐵路網(wǎng)絡(luò)安全領(lǐng)域知識圖譜的數(shù)據(jù)是多源異構(gòu)的，不同數(shù)據(jù)源之間的知識有可能存在重復、缺乏深入關(guān)聯(lián)等問題。知識整合就是將異構(gòu)、多樣化的知識按規(guī)則將重復的數(shù)據(jù)進行消歧，尋找不同數(shù)據(jù)間的關(guān)聯(lián)特性，建立相關(guān)鏈接，再將數(shù)據(jù)進行融合的過程。鐵路網(wǎng)絡(luò)安全領(lǐng)域知識的整合包括：實體對齊，用來確定待整合的實體在整個大數(shù)據(jù)中是否指向同一個數(shù)據(jù)元；知識庫融合，是在解決知識庫中對象融合困難的問題時加入的新的考慮。

知識整合時將數(shù)據(jù)進行語義的映射，分析不同實體之間在語義上的關(guān)聯(lián)關(guān)系；在語義模式層進行語義融合，將多樣的數(shù)據(jù)源集合成為統(tǒng)一的知識庫；將不同數(shù)據(jù)源中相關(guān)聯(lián)的實體在實體層面進行融合。

1.5 知識更新和篩選

鐵路網(wǎng)絡(luò)安全領(lǐng)域的知識圖譜是動態(tài)的而不是一成不變的，它是一個可迭代的關(guān)系網(wǎng)絡(luò)，因此，知識圖譜除簡單的知識存儲外還應(yīng)該實現(xiàn)知識的更新及推理。

知識更新的過程是豐富數(shù)據(jù)庫的過程，通過挖掘已有的鐵路網(wǎng)絡(luò)安全領(lǐng)域知識庫中的知識，從而發(fā)現(xiàn)新的關(guān)系并推斷出可能缺失的知識和關(guān)系。

整合后的知識存在不準確的情況，通過知識篩選過濾掉質(zhì)量評估較低的知識，將質(zhì)量評估高的知識存入知識庫。知識篩選可提高鐵路網(wǎng)絡(luò)安全知識圖譜的準確度，是確保構(gòu)建成的知識圖譜有較高的效率和精確度的關(guān)鍵。

1.6 知識圖譜形成

鐵路網(wǎng)絡(luò)安全領(lǐng)域的知識圖譜用圖數(shù)據(jù)庫作為存儲的引擎，對多源異構(gòu)數(shù)據(jù)進行整合處理，形成鐵路網(wǎng)絡(luò)安全領(lǐng)域的知識庫。使用Neo4j圖數(shù)據(jù)庫建立鐵路網(wǎng)絡(luò)安全領(lǐng)域知識圖譜示例，如圖3所示。

圖3 鐵路網(wǎng)絡(luò)安全領(lǐng)域知識圖譜示例

其中，實體包括鐵路信息系統(tǒng)、交換機、路由器、服務(wù)器、防火墻、終端、權(quán)屬部門、負責人、機房、地理位置、數(shù)據(jù)庫漏洞、風險端口和弱口令風險等；實體間關(guān)系包括配備、位于、擁有、負責和屬于等。通過知識圖譜可直觀地展示資產(chǎn)的位置、風險等信息，并可分析出不同資產(chǎn)之間、不同風險之間及資產(chǎn)與風險之間的相互關(guān)系。

2 鐵路網(wǎng)絡(luò)安全領(lǐng)域知識圖譜的應(yīng)用

網(wǎng)絡(luò)安全知識圖譜既能夠宏觀、整體地呈現(xiàn)網(wǎng)絡(luò)空間的安全態(tài)勢，通過知識圖譜的知識推理[5]能夠為網(wǎng)絡(luò)安全分析提供有力的支撐。在網(wǎng)絡(luò)空間態(tài)勢感知、網(wǎng)絡(luò)安全分析等方面，知識圖譜都發(fā)揮著重要作用[6-8]。

2.1 網(wǎng)絡(luò)安全態(tài)勢動態(tài)監(jiān)測與響應(yīng)

通過對某鐵路局集團公司互聯(lián)網(wǎng)網(wǎng)站群平臺承載的幾個信息系統(tǒng)進行基本情況調(diào)研、資產(chǎn)測繪、地理位置信息建模，采用知識圖譜構(gòu)建技術(shù)建立的某鐵路局集團公司互聯(lián)網(wǎng)安全知識圖譜，如圖4所示。

圖4 某鐵路局集團公司互聯(lián)網(wǎng)安全知識圖譜

通過互聯(lián)網(wǎng)安全知識圖譜，可將該鐵路局集團公司的資產(chǎn)屬性、資產(chǎn)類別、配置信息、地理信息、漏洞信息和風險態(tài)勢等要素組織在一起，分析資產(chǎn)的關(guān)聯(lián)特性、分布特點、行為特征和變化趨勢，全方位掌握威脅信息，對當前的網(wǎng)絡(luò)安全態(tài)勢做出判斷，實現(xiàn)對該鐵路局集團公司互聯(lián)網(wǎng)安全態(tài)勢的動態(tài)監(jiān)測與響應(yīng)。構(gòu)建形成的“IP+設(shè)備+位置+人”全量的鐵路網(wǎng)絡(luò)安全地理知識圖譜，還可作為該鐵路局集團公司網(wǎng)絡(luò)安全資產(chǎn)的核心知識庫縱向?qū)悠渌黝惼脚_，提供網(wǎng)絡(luò)安全資產(chǎn)及風險信息的基礎(chǔ)數(shù)據(jù)。

2.2 全量資產(chǎn)庫建立及資產(chǎn)集中管理實現(xiàn)

通過鐵路網(wǎng)絡(luò)安全知識圖譜可以建立的企業(yè)基礎(chǔ)、動態(tài)、全量、關(guān)鍵的數(shù)字化全量資產(chǎn)庫，如圖5所示。

圖5 數(shù)字化全量資產(chǎn)庫框架

（1）基礎(chǔ)數(shù)據(jù)平臺。通過知識圖譜收集存儲散落在網(wǎng)絡(luò)空間各處的有效存活資產(chǎn)，識別資產(chǎn)相關(guān)屬性及風險信息，這些信息包含在線主機的系統(tǒng)、開放的端口、運行的服務(wù)及相關(guān)聯(lián)風險等。

（2）資產(chǎn)底賬管理。通過知識圖譜存儲的資產(chǎn)信息進行全量、動態(tài)的數(shù)字化資產(chǎn)底賬管理，包括資產(chǎn)出入庫、資產(chǎn)動態(tài)監(jiān)控和底賬報告等。

（3）資產(chǎn)多維畫像。通過知識圖譜中資產(chǎn)的基本信息、權(quán)屬信息、開放端口、組件服務(wù)等屬性進行單個資產(chǎn)的多維畫像。

（4）資產(chǎn)分層畫像。通過知識圖譜中各個資產(chǎn)及屬性之間的關(guān)系進行所有資產(chǎn)硬件層、服務(wù)層、應(yīng)用層的分層畫像。

（5）資產(chǎn)關(guān)聯(lián)分析。通過資產(chǎn)關(guān)聯(lián)分析、可視化，實現(xiàn)資產(chǎn)與數(shù)據(jù)、業(yè)務(wù)等的關(guān)聯(lián)分析及資產(chǎn)動態(tài)全景可視。

（6）可視化服務(wù)場景。全量資產(chǎn)庫還可為日常巡檢、安全運營維護和攻防演練提供保障，并為業(yè)務(wù)梳理和運營決策提供依據(jù)。

2.3 漏洞精準匹配及高效處置

將鐵路網(wǎng)絡(luò)安全知識圖譜與建?？梢暬夹g(shù)相結(jié)合，形成涵蓋網(wǎng)絡(luò)關(guān)系在內(nèi)的設(shè)備信息、位置信息等圖形化展示界面，可進一步提高資產(chǎn)安全風險可視化的能力。通過全量資產(chǎn)庫和知識圖譜的漏洞精準匹配，可快速確認漏洞影響范圍，并可通過可視化紅色高亮展示。通過知識圖譜將漏洞關(guān)聯(lián)資產(chǎn)定位至責任人、業(yè)務(wù)系統(tǒng)、管理單元和機房信息等，相關(guān)人員可及時獲取風險相關(guān)信息，實現(xiàn)漏洞精準匹配及高效處置。當出現(xiàn)零日漏洞時，還能通過威脅情報，根據(jù)漏洞關(guān)聯(lián)的操作系統(tǒng)、端口等屬性信息快速定位出可能涉及的相關(guān)資產(chǎn)，準確地啟動響應(yīng)措施，從而實現(xiàn)零日漏洞威脅預防。資產(chǎn)漏洞可視化界面，如圖6所示。

圖6 資產(chǎn)漏洞分析可視化界面

2.4 提高鐵路資產(chǎn)管理水平

通過鐵路網(wǎng)絡(luò)安全知識圖譜可全面描述和展示鐵路網(wǎng)絡(luò)信息化資產(chǎn)的相關(guān)信息。從網(wǎng)絡(luò)資產(chǎn)管理的角度看，可通過資產(chǎn)硬件版本、操作系統(tǒng)等屬性信息關(guān)聯(lián)出相應(yīng)資產(chǎn)，進行資產(chǎn)的統(tǒng)一的軟硬件版本更新和升級管理；通過知識圖譜的推理，還可以發(fā)現(xiàn)非法資產(chǎn)，利用知識圖譜的關(guān)系分析非法資產(chǎn)的責任關(guān)系，進而在發(fā)生安全威脅時可及時處理，降低相應(yīng)的損失。根據(jù)知識圖譜中所有網(wǎng)絡(luò)資產(chǎn)的屬性信息，可以優(yōu)化網(wǎng)絡(luò)安全設(shè)備的規(guī)則庫，過濾不相關(guān)的規(guī)則，提高匹配規(guī)則效率，更快發(fā)現(xiàn)安全威脅。

3 結(jié)束語

構(gòu)建鐵路網(wǎng)絡(luò)安全領(lǐng)域知識圖譜，結(jié)合知識圖譜技術(shù)對篩選整合出的鐵路信息資產(chǎn)進行資產(chǎn)全量信息的圖譜描繪與定責，通過對鐵路資產(chǎn)安全風險的可視化，增強鐵路網(wǎng)絡(luò)安全主動防御能力。本文針對鐵路信息化資產(chǎn)研究了構(gòu)建鐵路網(wǎng)絡(luò)安全領(lǐng)域知識圖譜的數(shù)據(jù)源、構(gòu)建流程及構(gòu)建技術(shù)，應(yīng)用該技術(shù)構(gòu)建了某鐵路局集團公司互聯(lián)網(wǎng)安全知識圖譜，在鐵路網(wǎng)絡(luò)安全領(lǐng)域取得了良好的應(yīng)用效果。下一

步可將網(wǎng)絡(luò)威脅情報融合技術(shù)、人工智能技術(shù)、大數(shù)據(jù)特征分析挖掘技術(shù)與鐵路網(wǎng)絡(luò)安全領(lǐng)域知識圖譜相結(jié)合，用于網(wǎng)絡(luò)資產(chǎn)刻畫、網(wǎng)絡(luò)性能評價、網(wǎng)絡(luò)攻擊預警與溯源、態(tài)勢推演等，建立鐵路網(wǎng)絡(luò)安全的高效檢索機制，進而高效管理鐵路的網(wǎng)絡(luò)空間，快速應(yīng)對突發(fā)的網(wǎng)絡(luò)安全事件。