鐵路網絡安全領域知識圖譜構建及應用的研究

衛 婧，向 君，朱廣劼，司 群，付曉丹

（1. 中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081；2. 中國國家鐵路集團有限公司 科技和信息化部，北京 100844）

復雜多變的網絡環境和攻擊使網絡安全面臨更加嚴峻的挑戰。目前，知識圖譜在語義搜索、智能問答、個性化推薦、輔助決策、識別反欺詐潛在風險、不一致性驗證識別等方面已經得到了廣泛應用，也可利用知識圖譜將網絡空間中零散、雜亂的相關數據組織在一起，挖掘出其中潛在的語義關系，從而在態勢感知、風險分析、應急處置等方面發揮作用。所以將知識圖譜應用于網絡安全領域，可以幫助我們對網絡空間實施高效的管理及有效的安全監測和防護，全方位分析面臨的威脅信息，判斷當前的網絡空間安全態勢，進而對面臨的威脅進行預測和預警，成為網絡事件分析、網絡安全保障與決策的前提和重要基石[1]。

目前鐵路網絡安全綜合防護能力還存在欠缺，而解決信息資產“查不清”“摸不準”“找不到”“管不了”的問題，是提升鐵路網絡安全綜合防護能力的前提和基礎。因此，有必要全面、準確地梳理鐵路信息化資產，研究鐵路網絡安全領域知識圖譜的構建技術。

1 鐵路網絡安全領域知識圖譜構建技術

通過知識圖譜的數據分析及可視化技術，構建、分析和展示涵蓋鐵路信息化資產基本信息、資產測繪信息、基于鐵路網絡安全標準制度測評分析的資產風險信息等網絡安全關系的鐵路網絡安全知識圖譜；通過直觀、高交互性的鐵路網絡安全知識圖譜，研究資產的風險關聯特性等[2]，形成可視化展示、時空分析及應用支撐能力，從而實現鐵路網絡安全領域資產與風險關聯關系的可視化。

本文以鐵路網絡安全資產臺賬、鐵路網絡安全指標、鐵路網絡安全標準及制度、信息化資產測繪數據、資產地理數據等為數據源，針對鐵路信息化資產本體模型，分析鐵路資產屬性、資產類別、配置信息、地理信息、漏洞信息和風險態勢等要素，構建鐵路網絡安全知識圖譜。

1.1 知識圖譜構建基本流程

如圖1所示，鐵路網絡安全領域知識圖譜構建基本流程可分為知識的抽取、表示、整合、更新和篩選。采用不同的方法從多樣結構的數據源中抽取出該知識圖譜的三元組（實體、關系、屬性）等，用符號等形式表示，進而對數據進行整合，知識整合包括實體對齊和本體構建，并保持對知識的更新，對知識庫進行更新及知識篩選，最終完成知識圖譜的構建[3]。

圖1 知識圖譜構建基本流程

1.2 知識抽取

知識抽取過程是從不同的多樣數據源中提取出構建知識圖譜所需的知識，再通過不同的方式完成數據庫存儲的過程。鐵路網絡安全領域的知識圖譜數據來源廣泛，數據結構各不相同。

鐵路網絡安全知識圖譜的知識抽取主要分為實體識別和關系抽取2個方面[4]。

（1）針對資產臺賬基本信息、鐵路信息化資產測繪數據、鐵路網絡安全指標和鐵路資產風險數據，這些數據多為結構化數據及半結構化數據，可采用傳統的規則和模板的方法并借助語義數據映射模型，將不同模式語法向知識圖譜表示模型進行映射和實體識別。

（2）針對鐵路資產地理數據，多為非結構化的數據，可綜合運用傳統的規則、傳統機器學習、深度學習等實體識別方法，對其實體、實體的屬性進行識別。

（3）針對實體間關系較為鮮明、規范的基本信息及標準制度采取枚舉的方式對表示關系的詞語進行手動輸入，基于傳統的規則、模板的方法及專家的經驗知識對實體關系進行抽取。

（4）針對鐵路風險數據、鐵路資產地理數據等實體關系相對復雜的可采用基于統計機器學習、基于深度學習等方法對關系進行抽取。

1.3 知識表示

將抽取出的鐵路網絡安全知識用符號等形式表示出來就是知識表示。可用三元組（資產及風險實體集合、資產及風險關系集合、資產及風險屬性值）表示法表示抽取到的鐵路網絡安全知識，用符號可表示為：G=(E,R,S)。其中，E={E1,E2,E3,···,Ei}表示所有資產及風險實體的集合；R={R1,R2,R3,···,Rj}表示所有資產之間、風險之間、資產與風險之間關系的集合；S={S1,S2,S3,···,Sn}表 示 資 產 及 風 險 所 有 屬 性 的集合，每種實體E或關系R都可能擁有不同的n個屬性。

使用圖數據庫對三元組進行表示，如圖2所示，圖中的節點表示知識圖譜中的實體；邊表示知識圖譜中的關系，每個實體都有多個屬性。

圖2 三元結構示例

1.4 知識整合

構建鐵路網絡安全領域知識圖譜的數據是多源異構的，不同數據源之間的知識有可能存在重復、缺乏深入關聯等問題。知識整合就是將異構、多樣化的知識按規則將重復的數據進行消歧，尋找不同數據間的關聯特性，建立相關鏈接，再將數據進行融合的過程。鐵路網絡安全領域知識的整合包括：實體對齊，用來確定待整合的實體在整個大數據中是否指向同一個數據元；知識庫融合，是在解決知識庫中對象融合困難的問題時加入的新的考慮。

知識整合時將數據進行語義的映射，分析不同實體之間在語義上的關聯關系；在語義模式層進行語義融合，將多樣的數據源集合成為統一的知識庫；將不同數據源中相關聯的實體在實體層面進行融合。

1.5 知識更新和篩選

鐵路網絡安全領域的知識圖譜是動態的而不是一成不變的，它是一個可迭代的關系網絡，因此，知識圖譜除簡單的知識存儲外還應該實現知識的更新及推理。

知識更新的過程是豐富數據庫的過程，通過挖掘已有的鐵路網絡安全領域知識庫中的知識，從而發現新的關系并推斷出可能缺失的知識和關系。

整合后的知識存在不準確的情況，通過知識篩選過濾掉質量評估較低的知識，將質量評估高的知識存入知識庫。知識篩選可提高鐵路網絡安全知識圖譜的準確度，是確保構建成的知識圖譜有較高的效率和精確度的關鍵。

1.6 知識圖譜形成

鐵路網絡安全領域的知識圖譜用圖數據庫作為存儲的引擎，對多源異構數據進行整合處理，形成鐵路網絡安全領域的知識庫。使用Neo4j圖數據庫建立鐵路網絡安全領域知識圖譜示例，如圖3所示。

圖3 鐵路網絡安全領域知識圖譜示例

其中，實體包括鐵路信息系統、交換機、路由器、服務器、防火墻、終端、權屬部門、負責人、機房、地理位置、數據庫漏洞、風險端口和弱口令風險等；實體間關系包括配備、位于、擁有、負責和屬于等。通過知識圖譜可直觀地展示資產的位置、風險等信息，并可分析出不同資產之間、不同風險之間及資產與風險之間的相互關系。

2 鐵路網絡安全領域知識圖譜的應用

網絡安全知識圖譜既能夠宏觀、整體地呈現網絡空間的安全態勢，通過知識圖譜的知識推理[5]能夠為網絡安全分析提供有力的支撐。在網絡空間態勢感知、網絡安全分析等方面，知識圖譜都發揮著重要作用[6-8]。

2.1 網絡安全態勢動態監測與響應

通過對某鐵路局集團公司互聯網網站群平臺承載的幾個信息系統進行基本情況調研、資產測繪、地理位置信息建模，采用知識圖譜構建技術建立的某鐵路局集團公司互聯網安全知識圖譜，如圖4所示。

圖4 某鐵路局集團公司互聯網安全知識圖譜

通過互聯網安全知識圖譜，可將該鐵路局集團公司的資產屬性、資產類別、配置信息、地理信息、漏洞信息和風險態勢等要素組織在一起，分析資產的關聯特性、分布特點、行為特征和變化趨勢，全方位掌握威脅信息，對當前的網絡安全態勢做出判斷，實現對該鐵路局集團公司互聯網安全態勢的動態監測與響應。構建形成的“IP+設備+位置+人”全量的鐵路網絡安全地理知識圖譜，還可作為該鐵路局集團公司網絡安全資產的核心知識庫縱向對接其他各類平臺，提供網絡安全資產及風險信息的基礎數據。

2.2 全量資產庫建立及資產集中管理實現

通過鐵路網絡安全知識圖譜可以建立的企業基礎、動態、全量、關鍵的數字化全量資產庫，如圖5所示。

圖5 數字化全量資產庫框架

（1）基礎數據平臺。通過知識圖譜收集存儲散落在網絡空間各處的有效存活資產，識別資產相關屬性及風險信息，這些信息包含在線主機的系統、開放的端口、運行的服務及相關聯風險等。

（2）資產底賬管理。通過知識圖譜存儲的資產信息進行全量、動態的數字化資產底賬管理，包括資產出入庫、資產動態監控和底賬報告等。

（3）資產多維畫像。通過知識圖譜中資產的基本信息、權屬信息、開放端口、組件服務等屬性進行單個資產的多維畫像。

（4）資產分層畫像。通過知識圖譜中各個資產及屬性之間的關系進行所有資產硬件層、服務層、應用層的分層畫像。

（5）資產關聯分析。通過資產關聯分析、可視化，實現資產與數據、業務等的關聯分析及資產動態全景可視。

（6）可視化服務場景。全量資產庫還可為日常巡檢、安全運營維護和攻防演練提供保障，并為業務梳理和運營決策提供依據。

2.3 漏洞精準匹配及高效處置

將鐵路網絡安全知識圖譜與建模可視化技術相結合，形成涵蓋網絡關系在內的設備信息、位置信息等圖形化展示界面，可進一步提高資產安全風險可視化的能力。通過全量資產庫和知識圖譜的漏洞精準匹配，可快速確認漏洞影響范圍，并可通過可視化紅色高亮展示。通過知識圖譜將漏洞關聯資產定位至責任人、業務系統、管理單元和機房信息等，相關人員可及時獲取風險相關信息，實現漏洞精準匹配及高效處置。當出現零日漏洞時，還能通過威脅情報，根據漏洞關聯的操作系統、端口等屬性信息快速定位出可能涉及的相關資產，準確地啟動響應措施，從而實現零日漏洞威脅預防。資產漏洞可視化界面，如圖6所示。

圖6 資產漏洞分析可視化界面

2.4 提高鐵路資產管理水平

通過鐵路網絡安全知識圖譜可全面描述和展示鐵路網絡信息化資產的相關信息。從網絡資產管理的角度看，可通過資產硬件版本、操作系統等屬性信息關聯出相應資產，進行資產的統一的軟硬件版本更新和升級管理；通過知識圖譜的推理，還可以發現非法資產，利用知識圖譜的關系分析非法資產的責任關系，進而在發生安全威脅時可及時處理，降低相應的損失。根據知識圖譜中所有網絡資產的屬性信息，可以優化網絡安全設備的規則庫，過濾不相關的規則，提高匹配規則效率，更快發現安全威脅。

3 結束語

構建鐵路網絡安全領域知識圖譜，結合知識圖譜技術對篩選整合出的鐵路信息資產進行資產全量信息的圖譜描繪與定責，通過對鐵路資產安全風險的可視化，增強鐵路網絡安全主動防御能力。本文針對鐵路信息化資產研究了構建鐵路網絡安全領域知識圖譜的數據源、構建流程及構建技術，應用該技術構建了某鐵路局集團公司互聯網安全知識圖譜，在鐵路網絡安全領域取得了良好的應用效果。下一

步可將網絡威脅情報融合技術、人工智能技術、大數據特征分析挖掘技術與鐵路網絡安全領域知識圖譜相結合，用于網絡資產刻畫、網絡性能評價、網絡攻擊預警與溯源、態勢推演等，建立鐵路網絡安全的高效檢索機制，進而高效管理鐵路的網絡空間，快速應對突發的網絡安全事件。