基于知識圖譜的網絡安全動態感知平臺設計

王 俊

（上海電氣自動化設計研究所有限公司，上海 200000）

1 知識圖譜的發展與應用

知識圖譜（Knowledge Graph）是谷歌公司在2012年提出的用于構建下一代智能搜索引擎的一個概念，知識圖譜的作用是對錯綜復雜的實體（Entity）及實體之間的關系（Relation）進行加工、處理、整合后，進行形式化的描述，將實體間的關系表示為語義網絡，從而聚合大量知識，實現知識的快速響應和推理。所以，知識圖譜也被稱為知識域可視化或知識領域映射地圖。

知識圖譜分為領域知識圖譜和通用知識圖譜兩種類別。領域知識圖譜也叫垂直知識圖譜，是針對特定領域的知識整合，特定知識域的范圍可以由知識圖譜設計者自己指定。通用知識圖譜則尋求對人類社會所掌握的所有知識的整合。由于領域知識圖譜粒度細，精度高，表達能力更強，因此，具有更高的質量和應用價值。

知識圖譜的構建方法主要有自頂向下法和自底向上法兩種。自頂向下法是先通過人工的方式為知識圖譜定義好本體和數據結構及模式，然后再將實體加入到知識庫中，這種方法需要利用一些現有的結構化知識庫作為其基礎。自底向上法是先從底層數據中提取置信度較高的實體加入到知識庫中，再一層層向上，構建出完整的本體模式。由于自底向上法不需要一開始進行復雜的領域知識結構設計，構建難度和速度上較自頂向下法都有較大的優勢，因此，目前大多數知識圖譜都采用自底向上法構建。

2 網絡安全動態感知平臺

隨著網絡規模和復雜性不斷增大，單憑一種或幾種安全技術很難應對復雜的網路安全問題。而目前的網絡安全也從過去的單一形式，變成了需要綜合考慮整個網絡的安全狀態以及變化趨勢。

Endsley（1995）認為，態勢感知是感知大量的時間和空間中的環境要素，理解它們的意義，并預測它們在不久將來的狀態。網絡安全態勢感知即為綜合分析網絡安全要素，評估網絡安全狀況，預測其發展趨勢，并以可視化的方式展現給用戶，并給出相應的報表和應對措施。網絡安全態勢感知可分為以下四個過程：

（1）數據采集：通過各種檢測工具，對各種影響系統安全性的要素進行檢測采集獲取，這一步是態勢感知的前提。

（2）態勢理解：通過分類、歸并、關聯分析等手段對各種網絡安全要素數據進行處理融合，對融合的信息進行綜合分析，得出網絡的整體安全狀況，這一步是態勢感知基礎。

（3）態勢評估：定性、定量分析網絡當前的安全狀態和薄弱環節，并給出相應的應對措施，這一步是態勢感知的核心。

（4）態勢預測：通過對態勢評估輸出的數據，預測網絡安全狀況的發展趨勢，這一步是態勢感知的目標。

一個成熟的網絡安全態勢感知體系，其最大的特點是數據豐富、預測及時準確、能夠給出應對措施。

3 基于知識圖譜的網絡安全動態感知平臺設計

網絡安全態勢感知是利用網絡流量、訪問日志等海量數據，通過一定的模型算法進行復雜計算后，研判訪問者下一步的網絡行為。在這個過程中，訪問者行為模型是關鍵，它決定了系統研判的準確性。而用戶網絡行為的表現是非常復雜的，需要大量的先驗知識作為判斷依據和參照，這些先驗知識需要大量的人工勞動去采集和整理，并構建知識之間的相互關聯。這些先驗知識及相互之間的關聯就是網絡安全知識圖譜。知識圖譜是網絡安全動態感知系統的基礎和關鍵。

網絡安全綜合分析及態勢感知平臺是面向傳統IT安全的全場景智能安全運營平臺。以資產為核心，以大數據為基礎，結合威脅情報系統，通過采集多源異構的各類數據，結合日志威脅分析、流量威脅分析、異常行為分析、脆弱性威脅分析、情報威脅分析能力以及基于攻防場景的機器學習、多源數據、多維度的關聯分析、安全事件自動化編排、可視化呈現等技術，幫助客戶實現安全態勢的全面監控、安全威脅的實時預警、資產及漏洞的全生命周期管理及安全自動化的應急響應能力，協助網絡安全管理人員快速發現、分析、處置安全問題，實現網絡安全閉環管理。整個系統以安全運營為核心，圍繞監測、研判、處置三個關鍵環節，構建安全運營支撐平臺體系。

系統設計遵循了知識管理領域著名的“DIKW層次體系”，即數據（Data）-信息（Information）-知識（Knowledge）-智慧（Wisdom）四個層次。該體系是由教育學家米蘭?瑟蘭尼和管理學家羅素?艾可夫在前人研究成果的基礎上發展而來，科學地詮釋了人類社會知識形成的過程和層次，具有廣泛適用性。

基于“DIKW層次體系”構建的網絡安全態勢感知平臺框架如下圖所示：

圖1 網絡安全態勢感知平臺框架

如圖所示，網絡安全態勢感知平臺框架分為三個部分：

（1）信息/數據層。信息是加工過的數據，由于能納入本系統的都是經過加工、遴選的有價值的數據，故在本系統中并不刻意區分信息和數據。在本層，匯集了網絡安全領域本體和大量的網絡安全概念實體。這些本體描述了網絡安全領域中一些重要的概念以及概念之間的關系；網絡安全實體則描述了網絡安全領域的一些元知識，數量龐大。

（2）知識層。知識層是在信息/數據層的基礎上，構建網絡安全知識圖譜，并將抽象概念邏輯具體化為網絡安全事件、攻擊模式、攻擊主體、安全戰役、安全報告等知識圖譜，成為系統感知、研判網絡威脅依據，是整個系統的“大腦”。

（3）智慧層。智慧層通過知識層的知識沉淀和抽象，析出網絡安全威脅主體、網絡安全主題，分析網絡安全的影響是否達到我國“網絡安全等級保護制度2.0國家標準”中的相關標準，以及應對威脅的主要戰術。

從具體實現來看，整個系統的信息層、知識層和智慧層三個層級的主要功能如下：

（1）信息層。知識圖譜是本體（Ontology）的數據化表示，因此，構建知識圖譜的前提是構建領域本體，并采集相關數據，本系統的信息層主要解決網絡安全本體構建和數據采集問題。本系統在信息層構建了14個網絡安全知識本體，通過爬蟲、人工導入等方式，采集了80余萬知識實體數據。這些知識本體及知識實體包括：使用STIX語言描述的網絡威脅信息，比如攻擊組織等、威脅報告、IOC情報等；針對勒索病毒、特種木馬等高級威脅的檢測本體TAC；各類網絡安全威脅的規則庫；基于規則庫的多種檢測規則；通用漏洞披露數據；中國國家信息安全漏洞庫數據；作為適用于通用場景的安全組規則設置的通用容器平臺云容器引擎數據；用于描述漏洞影響的具體組件及其版本的通用平臺枚舉數據等。

（2）知識層。在知識層，對網絡安全本體進行數據化表示，即將網絡安全涉及的主要概念進行具體化，并形成網絡安全攻擊、防御、戰役、報告等知識圖譜。利用STIX報告，得到內部報告和外部報告，目前，本系統匯集了465個內部報告和2280個外部報告，這些報告中包含了若干網絡安全戰役描述；這些報告也包含網絡安全指示器，目前共收集了39920個STIX的IOC情報；知識層的威脅指示器可以析出惡意代碼、軟件和防御策略，而防御策略又和規則庫進行關聯、惡意代碼與TAC關聯；在戰役中析出的攻擊模式與威脅指示器中析出的惡意代碼進行關聯，這些攻擊模式與信息層的檢測規則關聯；從攻擊模式中發掘網絡安全隱患，并進一步找到這些隱患存在的目標客體，安全隱患與CVE/CNNVD/XCCDF/CCE關聯，目標客體與CPE關聯。這樣一來，就形成了非常復雜的網絡安全動態感知系統知識層的知識圖譜。

（3）智慧層。在智慧層，通過對網絡安全報告的綜合分析，析出網絡安全威脅主體和主題，其中，網絡安全威脅主體信息與STIX公布的黑客組織進行關聯；通過對網絡安全事件本身和安全事件隱患的綜合分析，判斷網絡安全事件的影響，以及該影響是否達到了“網絡安全等級保護制度2.0國家標準”中的相關標準，并依情況，選擇對應的防御策略，并根據其攻擊模式，選擇對應的戰術。

4 結束語

本研究基于“DIKW層次體系”圖，構建了網絡安全領域的領域知識圖譜；依據該知識圖譜，設計了具有動態感知功能，能夠實現信息系統主動防御的網絡安全感知、研判、預警和處置平臺，實現了網絡安全威脅的智能化處理和網絡安全事件的閉環管理，與傳統的基于特征庫比對的網絡安全平臺具有本質的區別。