知識圖譜在網絡安全配置領域的應用研究

李佳憶，呂昊

（太極計算機股份有限公司，北京，100000）

1 網絡安全知識圖譜系統構建

為構建高實用性的網絡安全知識圖譜系統，本節將結合知識圖譜相關的理論研究和實踐探索，圍繞系統設計、系統實現、系統測試三方面開展深入探討。

1.1 系統設計

如知識圖譜用于網絡安全領域，必須保證其數據模式嚴格且豐富，進而為安全配置等決策提供輔助，由此開展的網絡安全知識圖譜系統構建可結合圖1所示的網絡安全領域本體構建[1]。

圖1 網絡安全領域本體構建示意圖

網絡安全知識圖譜系統構建需要從具體構建和可視化兩個子系統入手，前者涉及數據獲取、知識抽取、融合多源異構知識、驗證知識、存儲與檢索知識，后者涉及知識檢索、知識展示。圍繞知識圖譜構建子系統進行分析可以發現，該子系統的弱點庫、漏洞庫基于互聯網獲取，除這類結構化數據外，網絡安全相關的公告、文章等非結構化文本數據也需要針對性收集，收集后基于知識抽取技術獲取規范的網絡安全知識，融合多源異構網絡知識的過程需要去除冗余和重復數據，知識質量控制需要通過網絡安全知識的針對性獲取驗證，最終在網絡安全領域本體模式中鏈接驗證后的知識，即可構建和更新網絡安全知識圖譜；圍繞圖譜可視化子系統進行分析可以發現，其需要通過可視化的網絡安全知識圖譜提供知識檢索和展示功能，具體基于節點和邊的形式呈現網絡安全知識，同時提供接口用于知識驗證界面跳轉，實現網絡安全知識查詢[2]。

在具體的網絡安全知識圖譜系統設計中，系統由五個層次組成，包括可視化層、業務邏輯層、數據存儲層、知識構建層、數據獲取層，具體如圖2所示。

圖2 網絡安全知識圖譜系統設計示意圖

結合圖2進行分析可以發現，構建網絡安全知識圖譜由知識構建層和數據獲取層負責，圖譜的可視化由業務邏輯層和可視化層負責，網絡安全領域本體、網絡安全知識圖譜數據、網絡安全知識庫（待人工驗證）的持久化由數據存儲層實現，各層的具體設計如下：第一，數據獲取層設計。基于公開的平臺庫、弱點庫、安全漏洞庫等結構化數據，數據獲取層可實現對多種數據源的采集，這一過程還需要同時關注非結構化文本數據的采集，包括安全相關博客、安全公告、漏洞描述信息等。基于采集到的結構化、非結構化網絡安全數據，數據獲取層負責進行預處理，具體涉及數據清洗、數據整合，進而規范數據格式、處理異常字符、實現數據去重，得到質量相對較高的網絡安全數據，滿足后續處理工作需要[3]；第二，知識構建層設計。網絡安全知識圖譜系統的知識構建層由四部分組成，包括知識抽取、知識驗證、融合多源異構知識、存儲與檢索知識。知識抽取負責非結構化網絡安全數據處理，這一過程中需要設法實現對網絡安全實體的識別，具體應用命名實體識別技術，實體間關系構建通過關系抽取技術完成，最終完成網絡安全知識整合，后續處理需要可由此滿足。融合多源異構知識同樣需要聚焦采集數據，這一過程需要整合實體的不同描述信息或同一實體。在網絡安全知識融合后，知識驗證采用半自動驗證方式，最終在網絡安全知識圖譜中存儲知識并用于檢索；第三，數據存儲層設計。該層負責提供數據存儲支撐，具體涉及網絡安全知識圖譜、網絡安全知識庫（待人工驗證）、網絡安全領域本體；第四，業務邏輯層。該層提供數據處理和分析功能，滿足可視化層需要，具體運行需要對網絡安全知識圖譜數據開展讀取，通過分析、處理得到結果后向可視化層發送。對于用戶界面輸入信息，業務邏輯層負責開展業務邏輯處理，網絡安全知識由此獲取后向可視化層反饋；可視化層負責知識檢索和知識展示，前者需要提供接口用于查詢網絡安全知識，可滿足簡單查詢需要，可分別圍繞實體屬性、實體名稱進行查詢，查詢結果分別為實體列表、實體相關屬性信息。知識展示功能需要通過界面展示網絡安全知識圖譜內容，具體以節點和邊的形式進行展示，這種直觀、友好的展示可同時提供入口供安全分析人員使用[4]。

基于上述層級設計，網絡安全知識圖譜系統設計還需要關注功能模塊劃分，這一劃分需要結合系統架構設計和系統需求，具體劃分遵循“高內聚、松耦合”原則，劃分結果如圖3所示。

圖3 功能模塊劃分示意圖

結合圖3進行分析可以發現，各模塊在系統中獨立運行，但同時模塊間存在聯系緊密的內部元素，在外部接口支持下，模塊間能夠交互，內部接口負責模塊內部的數據通信，組件形式下系統各模塊得以形成有機結合的整體架構。深入分析圖3不難發現，構建子系統模塊包括檢索與存儲知識模塊、知識驗證模塊、融合異構知識模塊、預處理數據模塊、采集數據模塊、知識抽取模塊，可視化子系統包括知識可視化模塊、交互處理模塊，各模塊功能包括：第一，采集數據模塊。基于解析規則和采集配置項，數據采集模塊可依托互聯網實現對原始網絡安全數據的采集，采集同時涉及結構及非結構化數據，包括JSON、XML等格式的結構化原始網絡安全數據，及文本格式數據等非結構化數據。進一步細分可以發現，安全公告、安全相關博客、漏洞詳細描述均屬于典型的非結構化數據，平臺庫、弱點庫、漏洞庫則屬于典型的結構化數據；第二，預處理數據模塊。對于采集得到的非結構化文本數據，需要設法清洗相關數據源文件，這需要由數據預處理模塊負責，*、%、@等特殊符號在這一過程中通過正則表達式去除，網絡安全數據的質量可以得到保障，之后整合多個文件中分散的數據，即可為抽取網絡安全知識提供支持；第三，知識抽取模塊。該模塊可細分為關系抽取和實體抽取，在網絡安全文本數據預處理后，模塊需基于命名實體識別模型進行網絡安全實體抽取，該模型需要在訓練好后使用，而對于實體間存在的關系，需通過關系模板構建關系并完成網絡安全知識生成，在構建實體關系的過程中，需綜合考慮網絡安全領域本體及實體識別；第四，融合異構知識模塊。該模塊主要負責實例數據（水平方向）、較低層本體與高層本體（垂直方向）融合，如通過水平融合實例數據實現知識互補，具體涉及漏洞庫等數據，本體模式中也需要融合攻擊方法、弱點、漏洞等實例數據。模塊輸入為采集數據模塊提供的多種數據源文件，通過融合腳本和知識匹配融合規則融合網絡安全知識，最終實現標準化數據生成，這一過程需要聚焦融合匹配規則的科學利用；第五，知識驗證模塊。該模塊負責驗證新知識及知識更新的正確性，新知識與已有知識的異質性也需要由該模塊控制。結合公開已有知識庫，模塊的知識驗證通過半自動化方式完成，以一致性、冗余度、權威度為驗證依據。以國家信息安全漏洞庫等高權威度信息源進行高可信知識選取，同時選擇高頻次出現的知識，這一過程結合正確知識出現概率，同時需要聚焦知識的相容沖突程度，系統無法驗證的知識由手工方式進行人工處理；第六，檢索與存儲知識模塊。知識在通過驗證后，該模塊需要基于圖結構進行數據處理，由此得到的網絡安全知識圖譜數據需要基于圖數據檢索語言管理，包括刪除、查詢、更新；第七，交互處理模塊。在數據存儲層和可視化層間，該模塊屬于連接橋梁，這一作用發揮需要同時得到網絡安全知識圖譜的支持。在人工處理的數據由可視化模塊向交互處理模塊傳遞，模塊可基于該信息更新網絡安全知識圖譜。通過接收檢索與展示界面信息，模塊還能夠通過業務邏輯處理滿足系統功能需要，如開展網絡安全知識查詢及反饋，可視化模塊的功能實現可獲得支持；第八，知識可視化模塊。通過提供人機交互接口，可視化展示模塊可基于知識驗證界面確認待驗證知識，網絡安全分析人員可由此開展工作。對于系統的普通用戶來說，網絡安全知識可在該模塊基于節點與邊圖形式展示，模塊可同時提供簡單查詢服務[5]。

1.2 系統實現

為實現網絡安全知識圖譜系統，本文引入Python語言，通過WEB框架和大數據處理框架處理后端數據，D3.js框架用于前端展示界面實現，HugeGraph圖數據庫用于存儲網絡安全知識圖譜，該圖數據庫在相互關聯且復雜的數據處理方面表現突出，讀寫性能良好，查詢性能出色。在網絡安全知識圖譜構建子系統的實現過程中，需要關注其數據采集、知識抽取、數據預處理、知識驗證、融合異構知識、知識存儲與檢索等模塊。以知識抽取模塊的實現為例，該模塊的知識體系為網絡安全領域本體，在具體運行過程中，其需要聚焦網絡安全文本數據預處理后的產物，其中的網絡安全實體識別需要應用網絡安全命名實體識別器，網絡安全知識生成需做好實體間關系構建，這一過程需得到關系規則模板支持，圖4為知識抽取序列圖。結合圖4進行分析可以發現，知識抽取過程需要首先將網絡安全命名實體識別器啟動，以此結合網絡安全文本數據形成輸入序列并向關系構造器發送，基于識別到的實體并對關系模板數據進行讀取，即可完成實體間關系構建，最終向消息中間件發送網絡安全知識，即可為后續融合提供支持[6]。

圖4 知識抽取序列圖

網絡安全知識圖譜可視化子系統的實現需要聚焦知識驗證用戶確認、網絡安全知識檢索、網絡安全知識展示三個子模塊。以網絡安全知識檢索子模塊為例，圖5為該子模塊的運行時序圖，通過查詢信息的輸入，用戶即可統計界面開展查詢，可視化處理器接收到查詢請求后自動解析，具體設計中實體屬性和實體名稱，同時調用網絡安全知識并向實體屬性信息、實體列表等轉化，即可為用戶提供檢索結果，滿足用戶查詢需要。

圖5 網絡安全知識檢索子模塊運行流程圖

1.3 系統測試

為測試網絡安全知識圖譜系統，測試環境設置為Google Chrome 79.0.3945.117，運行環境設置為Kafka v2.11、Nginx v1.14.0、Mongo v2.6.12、Huge Graph 0.10.4。圍繞系統的網絡安全知識查詢性能進行測試可以發現，所有節點和邊的遍歷查詢用時分別為0.182s、0.748s；結合多度查詢實驗可以確定，結合漏洞屬性查詢漏洞的一度、二度、三度、四度查詢耗時分別為0.0512s、0.044s、0.038s、0.033s；圍繞路徑遍歷開展實驗可以確定，漏洞實體在基于軟件實體的查詢過程中，存在0.085s的一層遍歷耗時，漏洞利用后果基于漏洞實體查詢過程中，這種二層查詢圍繞攻擊方法實體進行，具體耗時為0.092s；圍繞可視化子系統運行效果進行測試可以發現，網絡安全知識驗證用戶界面、展示界面、檢索界面設計細節得到較好體現，能夠較好滿足查詢等需要，運行效果良好，如圖6為網絡安全知識檢索界面示意圖，系統可實現對實體對應的屬性信息查詢，圖中的“HIGH”、“overflow”、“NETWORK”分別代表高危、緩沖區漏洞、遠程，查詢結果則對屬性的實體進行了直觀展示。

圖6 網絡安全知識檢索界面示意圖

2 網絡安全配置數據處理、知識融合、圖譜構建

為直觀展示知識圖譜在網絡安全配置領域的應用，本節結合公安行業特點，深入探討網絡安全配置數據處理、知識融合、圖譜構建。

2.1 數據處理

為應用知識圖譜進行網絡安全配置，首先需要從數據處理入手，這里的數據涉及設備資產、網絡拓撲、業務信息、設備策略、設備屬性等多源異構數據，結構化數據的獲取需開展屬性抽取、實體抽取、關系抽取等操作。實體抽取需要自動識別采集數據原始語料中的命名實體，作為最基本的知識圖譜元素，實體抽取的準確性、完整性、召回率直接關系著知識庫質量，具體可應用長短期記憶網絡等深度學習方法完成實體抽取；屬性抽取需基于屬性對實體進行完整勾畫，這里的實體屬性可以視作屬性值與實體間存在的名稱性關系，因此抽取實體屬性問題可以向關系抽取問題轉化；關系抽取主要涉及抽取關系語句的命名實體識別、依存句法分析、詞性標注，本質上屬于基礎自然語言處理任務。在關系抽取的預處理環節，應結合圖卷積，可以被網絡處理的圖能夠在這一過程中基于自然語言語句生成，同時關系得以從非結構化數據中抽取得到。

2.2 知識融合

在數據處理后，網絡安全配置需要圍繞結構化網絡進行，這一過程中的知識融合需要關注知識合并與實體鏈接。基于文本中抽取獲得的實體對象，實體鏈接需要結合數據庫鏈接對應正確實體對象，這一過程可應用共指消解和實體消歧技術，知識庫內書否存在擁有相同含義的其他命名實體及同名實體的不同含義可由此判斷，進而向現有實體鏈接或創建實體。對于同名實體產生歧義問題，可通過實體消歧技術進行處理，該技術在應用中可結合語境實現實體鏈接準確建立。一般使用聚類法進行實體消歧，這一將其簡單視作結合上下文的分類，與詞義消歧、詞性消歧較為類似。如同一實體對象與多個指標對應，這一問題可通過共指消解技術進行處理。如多個指標在一次會話中可能指向同一實體對象，相關指稱項可基于共指消解技術向正確實體對象合并或關聯。知識合并需要聚焦外部關系數據庫或結構化知識庫與處理后結構化數據的合并，這一合并需要解決模式層和數據層沖突問題。

2.3 圖譜構建

基于上述分析和網絡安全知識圖譜系統，即可開展針對性的網絡安全配置圖譜構建，具體結合公安行業知識圖譜，構建過程選擇圖形數據庫Neo4j，進而通過網絡存儲結構化數據，該圖形數據庫可滿足大規模可擴展需要，運行多臺機器并行運行，每臺機器可實現對數十億屬性/關系/節點圖的處理。圖譜構建可首先從創建節點入手，節點需要在知識圖譜中創建，具體由網絡名稱、設備能力、設備名稱等組成，如設備數據文件前5行包括設備名稱、漏洞掃描系統、病毒查殺系統、交換機、路由器組成，具體創建使用load CSV方式。應在不同.csv文件中放入不同類型節點，如區分設備數據文件、網絡數據文件。通過對一定指令的運行，可展示設備數據創建結果，通過對其中節點的點擊，即可獲取對應信息。

基于實體節點的創建，即可建立對應關系，建立實體關系的過程需要明確連接關系及頭尾節點，具體創建流程可概括為：“數據A→圖譜中數據頭節點包含情況→是/否→得到頭尾節點/創建頭節點→圖譜中數據尾節點包含情況→是/否→得到頭尾節點/創建尾節點→創建關系→結束”。結合網絡安全配置知識圖譜，數據建模可圍繞該圖譜進行，基于相同速度進行節點與邊的遍歷，這一過程中構成圖的數據量不影響遍歷速度，快速增大公安網絡規模引發的網絡安全問題可由此解決。在網絡安全配置領域，網絡安全配置知識圖譜可滿足多元知識整合存儲需要，在低結構化、互聯網、復雜的大量數據處理方面表現突出，且不會在應用中出現查詢響應性能衰退等問題，可視化分析和關聯查詢可基于多維網絡安全配置數據實現，高質快速的網絡安全配置可在這種輔助下完成。

3 結論

知識圖譜在網絡安全配置領域的應用價值極高。在此基礎上，本文涉及的數據處理、知識融合、圖譜構建等內容，則提供了可行性較高的知識圖譜應用路徑。為更好服務于網絡安全配置，知識圖譜需要針對性結合網絡安全配置場景構建，相關人才的引進和培養、軟硬件的針對性升級也需要同時得到重視。