知識圖譜在威脅情報領域的應用

馮國震

（安邦保險集團，北京 100022）

1 引言

近年來，網絡安全威脅情報逐步升溫為一項高級安全服務，不再是簡單的情報收集、歸總，而是融入了安全、大數據、情報分析等元素的綜合性服務。隨著APT攻擊的普遍化，威脅情報服務更在全球市場上呈現爆發式的發展，這是應對APT攻擊的必然選擇，同時也是大數據與網絡安全行業結合的必然產物，對進行信息安全研究、應對信息安全事件有重要意義。

威脅情報的發展訴求是追求與大數據的緊密結合，進行高效率的智能決策。知識圖譜包含人工智能、語義解析、數據融合等多種技術，可以依托大數據直觀展現元素關系、梳理脈絡、預測未來發展趨勢，已逐步成為研究人員解決威脅情報問題的有力工具。

2 知識圖譜

知識圖譜，以相關聯數據集為依托，對元素進行定位標注，形成數據間關系網絡并通過可視化進行展現。本質上來講，知識圖譜是一種語義網絡，在大數據環境下，Web資源膨脹、信息量激增，這為知識圖譜帶來了新的挑戰與機遇，在復雜的數據環境中整合有用資源并進行處理，梳理資源關聯性，就形成了語義知識網絡。知識圖譜應用廣泛，除了在圖書情報中進行文獻搜索、梳理研究現狀、指導未來研究方向，甚至在公司戰略部署中也發揮著重要作用，它能很好的抽象企業資源，獲取隱性知識，支持決策與管理。

知識圖譜的主要優勢在于知識搜索、融合以及可視化展現上：知識圖譜的可用性依托于大數據的龐大資源以及逐步優化的搜索算法，給用戶提供所需要的資源；復雜的語義環境，必然引出復雜的實體關系，在眾多實體中，知識圖譜會提取實體標簽，比對資源語義，對實體進行分類、融合，乃至抽象，以此降低實體關聯的難度，減少由于語義處理帶來的混淆；知識圖譜展現實體關系，為用戶清晰的展現所需實體的屬性及關聯關系，推理用戶的隱性需求，輔助進一步搜索操作。

3 知識圖譜在威脅情報中的應用

威脅情報是一項綜合性較高的安全服務，其關鍵元素可大致分為如下4點：判定威脅情報；梳理組織資產，明確威脅情報范圍；網絡安全檢測、態勢感知；威脅情報融合、分析。威脅情報的各階段工作都圍繞著情報的獲取、語義理解、關聯建立，針對這一特性，結合知識圖譜的優勢，提出基于知識圖譜的威脅情報研究模型，見圖1。

3.1 知識圖譜應用于情報判定

情報判定是威脅情報應用的第一步，快速區分、定位威脅情報是進行情報研究、分析的前提。威脅的三個因素可以歸結于意圖、能力和機會，也就是攻擊的目的、手段、利用的脆弱性。在這個階段，依托大數據的知識圖譜可以快速獲取情報信息，進行標注管理，提取目標實體并進行關聯。

圖1 基于知識圖譜的威脅情報研究模型

情報判定的依據除了三個必要因素外，威脅情報標準也同樣重要，如結構化威脅信息描述格式STIX、網絡特征描述格式CybOX、開源威脅指標OpenIOC等。將知識圖譜與威脅情報指標進行匹配，進行數據規范，將大幅提升情報判定的效率、正確率。以STIX為例，其標準的主要因素有：Obsverable（所觀察到的行為）、Indicators（威脅指標）、Incident（意外事件）、TFP、Campaign（攻擊動機）等，這些要素可以作為知識圖譜的數據字段，對情報進行規范化整理，并在后續進行關聯，生成知識圖譜的可視化網絡結構。

3.2 知識圖譜應用于態勢感知

2017年第三屆中國互聯網安全領袖峰會上，騰訊做了態勢感知平臺構建的演講，提出態勢感知需要基于大數據，成熟的情報數據整合平臺需要以海量數據為支撐的威脅情報知識圖譜構建，同時，應細分場景、共享共治，發揮技術優勢。

網絡檢測是威脅情報獲取的一種重要手段，而態勢感知是網絡檢測的重要技術。態勢感知是對研究對象狀態的集合，是一個從大局觀出發的概念，是網絡檢測的一種新型手段。態勢感知的底層是一組部署于網絡內或網絡進出口的探針，探針用于原始數據采集，主要是網絡原始流量。原始流量進行清洗后獲得信息，規范化的信息可以借助知識圖譜的技術優勢組建知識網絡，同時理解、分析知識網絡中各個實體的意圖及特征。知識網絡的組建為進一步執行狀態評估提供了數據來源，根據實體的標簽進行分類整理，并以原有知識體系推理新的實體所歸屬的類別及產生的影響。

3.3 知識圖譜應用于威脅情報融合及推理

知識融合及推理是知識圖譜技術很重要的一部分，在威脅情報領域也同樣發揮著巨大的作用，其主要實現途徑主要包括語義規則的構建、貝葉斯網絡、D-S理論以及知識挖掘。威脅情報來源往往差異性較大，因此異構的情報數據進行整理、分析、加工、推理及驗證后與信息、知識、方法、經驗進行充分融合，有利于形成高質量的威脅情報網絡。這個過程中主要借助于知識圖譜的相關技術，減少因同義、多義、語意環境復雜等問題導致的情報冗余、混淆，排除因語義解析所導致的多實體重復、關系屬性不一致等沖突。

基于知識圖譜的威脅情報推理是一種基于圖和邏輯的推理形式，在現有的威脅情報知識庫中進一步挖掘隱性關聯，從而豐富知識網絡、發現新的威脅情報聯系。推理的對象可以是實體、實體屬性、實體間聯系等。推理的過程需要借助于知識圖譜的關聯規則，這些規則可以是基于屬性的，也可以是基于關系的。

威脅情報的融合及推理不同于傳統融合，在確定情報范圍后，會選取文本、圖像、動態等多形式威脅情報，對本體進行建模實現只是抽取，最后在情報關系網絡的基礎上，進行關系發現，更新威脅情報知識網絡。

3.4 知識圖譜指導威脅情報研究

對現有研究成果進行文獻梳理、知識整合是快速獲得威脅情報研究歷史、知識體系、未來趨勢的手段，近年來不斷涌現出威脅情報研究綜述和總結性成果文章，但文章多為總結性描述或單一的詞頻分析，很難將大量的文獻整合分析，梳理出較為全面、客觀的研究體系。運用知識圖譜技術，能夠將收集的海量文獻轉換為威脅情報領域的全面圖景，直觀展現學科研究現狀、發展趨勢。

2014年李文娟、楊國立在其文章中，應用知識圖譜，以CSSCI數據庫5年的情報學文獻，通過CiteSpace Ⅱ對文獻進行規范分析，梳理了相關情報學研究的機構、分布以及研究方向，為情報學的現有研究做了可視化展現。同樣的，知識圖譜可以應用于威脅情報文獻的相關研究，以權威數據庫為數據來源，以文獻索引及參考文獻為原始數據進行規范，再以知識圖譜工具進行分析整理。通過分析相關文獻，一方面可以為威脅情報研究構建知識網絡體系，另一方面也可以指導威脅情報領域研究方向。

4 結束語

知識圖譜最初被應用于文獻知識整理及發現，而隨著大數據時代的到來，已被應用于文化、經濟、生活的各個領域，是一種依托大數據可視化展現、預測實體關聯的強大工具。在威脅情報領域，知識圖譜的研究還處在初期，隨著威脅情報的標準化、數據資源的極大豐富、態勢感知等網絡檢測技術的發展，知識圖譜的應用范圍也隨著越來越廣。但在具體的應用上還存在諸多需要解決的問題，如威脅情報融合、態勢感知的知識網絡構建等。高效、智能的知識融合、推理、語義解析算法還需學者們進一步研究，以便推動知識圖譜技術在威脅情報領域的應用。

[1] 范佳佳.論大數據時代的威脅情報[J].圖書情報工作，2016，60（06）：15-20.

[2] 張曉芳.知識圖譜在圖書情報中的應用[J].內蒙古科技與經濟，2016（09）：105-106.

[3] Malgorzata Sliwa，Justyna Patalas-Maliszewska.A Strategic Knowledge Map for the Research and Development Department in a Manufacturing Company[J].Foundations of Management，2016，8（1）.

[4] 林晨希，薛麗敏，韓松.淺析網絡安全威脅情報的發展與應用[J].網絡安全技術與應用，2016（06）：12-13+15.

[5] 邱均平，余厚強.知識科學視角下國際知識融合研究進展與趨勢[J].圖書情報工作，2015，59（08）：126-132+148.

[6] 李文娟，楊國立.近五年我國情報學研究知識圖譜分析[J].情報科學，2014，32（01）：104-109.

[7] Janis Grundspenkis，Alla Anohina.Evolution of the Concept Map Based Adaptive Knowledge Assessment System：Implementation and Evaluation Results[J].Scientific Journal of Riga Technical University.Computer Sciences，2009，38（38）.

[8] Ming Li，Bao Wen Sun，Wei Zhang.An Approach to the Construction of the Personalized Knowledge Map in Knowledge Management Systems[J].Applied Mechanics and Materials，2014，3342（598）.