图谱实战 | 安全领域知识图谱建设与典型应用场景总结

转载公众号 | 老刘说NLP 

安全知识图谱是网络安全领域专用知识图谱，也是知识图谱应用于安全业务的重要工业尝试。当前，安全领域中存在大量的业务数据，建模需求以及应用需求，了解安全领域知识图谱的建设方法以及典型应用场景，具有重要意义。

本文主要对《安全知识图谱技术白皮书》一文进行解读和总结介绍，对于安全领域的朋友可以重点关注。

一、安全知识图谱概述

安全知识图谱作为一种实体和概念等安全知识的高效组织形式，能够发挥其知识整合的优势，将零散分布的多源异构的安全数据组织起来，为网络安全空间的威胁建模、风险分析、攻击推理等提供数据分析和知识推理方面的支持。

1、主要数据来源

安全知识图谱的数据为多源异构数据，不仅来自多个不同来源，而且有混合型数据（包括结构化和非结构化）和离散性数据（分布在不同的系统或平台的数据）。

数据来源包括企业内部和互联网数据，其中：

企业内部信息系统本身每天产生海量的检测数据，而攻击者的操作行为也隐藏在系统自身记录的审计日志和网络流量数据中。

互联网数据包括开源情报、安全论坛发布的信息和网络公布的安全报告等。

2、主要数据形式

从数据结构上看，安全数据包括结构化数据、半结构化数据以及结构化数据。

首先，常见的结构化数据包括漏洞(CVE)、攻击模式（CAPEC）、知识数据库等知识以及从传感器收集的网络资产和终端日志等数据。通常存储在关系型数据库中，授权后可以直接获取。

其次，半结构化数据包含日志文件、 XML 文档、 JSON 文档、 Email ，权威机构发布的威胁情报 (STIX)、开源威胁指标 OpenIOC。

最后，非结构化数据包括文本数据，如漏洞描述、恶意软件分析报告、攻击组织分析报告， 安全热点事件等信息，来自于网络安全机构研究报告、社交媒体、安全社区博客及供应商公告、APT 报告、威胁分析报告、博客、推特和文档数据。主要依赖于手工收集和自动化爬虫，在获取开源数据时尽量选择可靠的数据源，例如权威安全研究机构来保证信息可信度，然后利用爬虫技术采集威胁情 报网站上特定格式的 IOC 描述，安全研究机构发布的威胁组织分析报告等。

3、常用安全本体

安全本体是本体概念在信息安全领域的应用，主要从安全角度出发，包含了资产、威胁、 脆弱性、恶意软件、攻击模式、防护对策、事件等概念知识抽象化后的安全领域模型，即给 出归一化、抽象、可推理的安全本体范式。

该本体模型其主要用于提供安全领域形式化统一 的术语及术语间关系，同时具备本体推理和查询的功能。例如，下图展示了攻击模式类的本体定义

1）Network infrastructure：网络拓扑信息，如主机、网络设备、安全设备、组织等。

2）Cyber posture：网络基础设施中影响网络攻击 / 防御的元素，如主机配置、漏洞、 服务、共享资源、防火墙策略等。

3）Cyber threats：潜在的网络威胁，如攻击告警、 CAPEC 攻击模式、 ATT&CK 攻击 技术等。

4）Mission readiness：任务准备包含任务目标、任务、信息之间的关系以及他们对网 络资产的依赖关系。

2、攻击组织知识图谱

如上图资所示，资产（Assets） 受到各种威胁（Threats）影响，这些威胁可能是黑客等人为因素，也可能是火灾地震等自然 因素。威胁通过利用系统的脆弱性（Vulnerabilities）可导致暴露（Exposure），形成风险（Risk）。适当的对策是使用防护措施（Safeguards），缓解风险使资产得到安全保障。

五、基于安全知识图谱的APT威胁追踪

由于高级持续性威胁（APT）攻击往往具有明确的攻击意图，并且其攻击手段具备极高的隐蔽性和潜伏性， APT 正日益成为针对政府和企业重要资产的不可忽视的网络空间重大威胁。

因此，可以通过威胁情报关键要素的抽取与动态行为推理，实现 APT 攻击者团伙的威胁主体画像与自动归因，辅助攻击事件的研判与取证。

1、APT 组织画像归因

DARPA通过增强归因项目进行攻击组织的行为监控和追踪。

增强归因项目主要分为三个部分，先进行活动的监测和归纳，从海量数据中抽取能够代表确切事实的元数据；

再对元数据进行多源数据融合和模糊性数据的时序关联；最后对数据进验证和扩充，以提供可信的攻击者情报。

2、基于上下文感知计算的网络APT攻击组织追踪

具体的，基于实时生成的包含多条攻击链的攻击源数据，以攻击源 IP 为核心，抽取其中的特征生 成特征点，并连接特征点和核心点。

六、基于安全知识图谱的企业智能安全运营

目前图结构以及图分析算法的研究发展迅速，图 结构及图算法也已经被应用到网络安全场景中。国内方面，已有许多产品和研究关注安全数 据的图分析方法。

基于安全知识图谱的事件风险画像、攻击路径调查、响应策略推荐，能够提供丰富的、具有安全语义的上下文，有效支撑动态事件的研判和策略部署，降低安全运营对专家经验与知识的依赖。

1、攻击画像及威胁评估

企业为了应对网络威胁，通常会部署多个检测设备(如网络入侵检测设备 IDS/IPS、全流 量检测和网络应用防护系统 WAF 等)。由于检测设备规则的敏感性，导致企业安全运营人 员每天要面对海量的告警，海量告警的筛选问题多年来一直困扰着安全行业。企业安全设备 产生的告警远远超出了安全运营人员的排查能力。安全知识图谱应用到企业智能 安全运营中，对提升安全运营的自动化水平，减少对人力投入与专家经验的依赖，降低威胁分析与响应的周期。

因此，攻击画像及风险评估是针对复杂的企业环境，利用采集到的日志或是设备告警构建相关的威胁图谱，以属性图的形式来刻画攻击和攻击源。然后利用图的相关方法对攻击源和攻击行为进行风险与威胁评估。

安全知识图谱是描述安全事件相关的 抽象知识，而日志信息记录的是网络流量和系统行为等，其不仅包含攻击事件相关的信息， 同时也包含系统正常运行的相关信息，构建统一的基于知识图谱的模型， 通过对动态图模型的上下文分析，发现并还原攻击者的攻击路径，进而打破现有攻击路径调 查过程极度依赖安全专家的瓶颈。

3、响应缓解策略推荐

智能安全策略推荐是一种通过集成多个系统和平台来调整不同的安全工具和技术的方法， 以简化安全流程，增强安全自动化以及加速事件响应。它有助于将复杂的事件响应过程和任 务转换为一致的、可重复的、可度量的和有效的工作流。与人工协作相结合，安全编排将人员、 流程和技术集合在一起，以提高安全操作团队的整体效率。

2、团伙关系分析

攻击团伙往往已经 形成了一个密切协作的网络，严重威胁网络空间安全。攻击团伙发现的关键是基于网络空间 数据生成关联图与图上社区发现。

因此利用知识图谱关联分析的技术对海量的大数据进行挖掘，通过人工智能 算法实现对网络空间数据隐含关系的挖掘，及时有效分析团伙行为，实现定位、识别攻击组团伙行为发现是网络空间测绘领域中知识图谱应用的一个典型场景。

结合软件供应链安全知识图谱，采用不一致性进行判断。也就是通过设定规则，找出在 知识图谱中本应相同却不同、本应不同却相同的对象。如上图所示，开源组件 A 和 B，本 应是两个不同的开源组件，但若发现他们的 md5 相同，则可能存在冒用的风险。而若开源组 件 A，存在两个不同的 md5，则有可能是其他的恶意软件进行了伪装。

3、影响范围分析 

基于图谱中所有存储历史信息对潜在的威胁进行建模，包括开发工具污染、预留后门、 源代码污染、捆绑下载、升级劫持等 ，对于可识别威胁，通过图谱直接进行影响范围分析。

如下图所示， office2007、 2013 和 2016 都有 CVE-2017-111882 漏洞，被 Sidwinder 组织 在某次 APT 攻击战役中使用。通过组件的引用关系，就可以识别受到影响的终端。

工业环境下，信息安全和功能安全分别针对不同的系统风险来源，各自建立了基于 IEC 62443 和 IEC 61508 的安全防护体系，两者并未形成有效的知识联系， 并没有打破“信息孤岛”的状态，难以全面分析工业系统在攻击过程中受到的影响。

在工业控制系统的信息层和物理层，各类安全系统每天产生海量的监测 数据，这些数据来源分散、语义多样、格式异构、相互关联，而攻击者的操作行为 隐藏在其中，目前还缺乏对攻击事件关联数据的挖掘和展现，不利于采取正确合理的 安全策略。

1、基于安全知识图谱的安全风险预判

基于知识图谱挖掘潜在安全风险，对潜在风险进行规则判定、图谱验证、 风险判定等识别过程，进而对可能发生的安全事故做出及时而迅速的预防。

点击阅读原文，进入 OpenKG 网站。

文章知识点与官方知识档案匹配，可进一步学习相关知识算法技能树首页概览34188 人正在系统学习中

来源：开放知识图谱