知識圖譜技術如何賦能智慧安全運營

摘要

隨著全球數字經濟的蓬勃發展，網路安全與物聯網、工業網際網路、雲端計算、5G 等多種場景和技術的融合極大地改變了網路安全防護體系。如何打造智慧化的網路安全防護成為了學術界和工業界的熱點。基於人工智慧的安全運營技術方案（AISecOps）將大幅提升威脅檢測、風險評估、自動化響應等關鍵運營環節的處理效率，大幅減少對專家經驗的依賴，助力網路安全運營產業的技術升級。近年來，知識圖譜技術得到了迅速發展，本文目的在於探討智慧的安全運營技術中知識圖譜技術應該發揮何種作用。

一、概述

網路環境本身可以與圖資料結構結合，因此將知識圖譜技術引入到智慧安全運營中具備可行性。知識圖譜的概念由谷歌提出，本質上是一種叫做語義網路的知識庫。安全運營知識圖譜是以安全運營領域知識圖譜為核心，面向網路環境資料、威脅行為資料、威脅情報資料、安全運營知識庫等，構建本體化、標準化、全域性化的知識結構。目前圖結構以及圖分析演算法的研究發展迅速，圖結構及圖演算法也已經被應用到網路安全場景中。國內方面，已有許多產品和研究關注安全資料的圖分析方法。例如，研究人員[1]結合知識圖譜設計了多個本體對整個網路威脅進行建模分析，併相容MITRE 的CAPEC、MAEC 和ATT&CK 等模型的接入與使用，能夠從多種威脅情報中提取關鍵資訊並作為知識對知識圖譜進行擴充套件。

儘管不斷有新的技術和模型引入，但是實現智慧安全運營依舊存在很多難點，例如：1、網路攻擊手段的不斷進步導致網路威脅評估難度不斷增大；2現有安全裝置檢測網路攻擊行為產生的告警數量龐大，如何從海量告警中找到真正的網路攻擊是一大難題；3、由於攻擊手段的多樣性和複雜性以及資料採集等導致的攻擊鏈路斷裂，無法鎖定該攻擊行為的上下文。目前安全人員需要人工從海量的告警資訊中去進行威脅評估，進而關聯溯源，分析發現攻擊路徑，安全防護的難度很大。因而提取安全運營中的專家知識，構建知識圖譜引入到安全運營中，透過層次化的分析使安全運營更加智慧，具備重要的研究意義和應用價值。

二、知識圖譜賦能智慧安全運營

將知識圖譜應用到智慧安全運營之前，首先需要明確的是，智慧安全運營業務是否需要知識圖譜的加入。在海量的安全資料轟炸下，智慧安全運營需要強烈的視覺化需求，當發現攻擊行為的時候，需要涉及到各種行為之間因果依賴關係的深度搜尋，綜合多個方面安全資料的關聯分析，該領域十分依賴於安全專家的經驗。除此之外隨著高階持續威脅的不斷髮展，複雜的網路攻擊往往隱藏在複雜的關係網路資料中。知識圖譜就是為此類問題所設計的，因此知識圖譜可以推動智慧安全運營的發展。

知識表示技術和知識獲取技術是能否成功應用知識圖譜的關鍵。知識表示技術主要是設定資料處理的粒度，因為不同人的認知是不同的，這導致粒度的設定面臨巨大的挑戰。構建安全運營的知識圖譜時需要結合專家知識來確定知識的粒度。知識獲取技術是利用現有自動化的技術完成知識的獲取，知識的質量是知識圖譜質量的關鍵。搜尋領域最早應用知識圖譜是為了提供使用者想要的內容，讓使用者找到自己最想要的那種含義，將網頁搜尋升級為語義搜尋[2]。安全運營知識圖譜是為了輔助安全運營人員分析和解決安全問題。《AISecOps 智慧安全運營技術白皮書》[3]中智慧安全運營前沿技術圖譜就提到了知識圖譜在安全運營中的作用，其指出超融合知識圖譜是運營資料關聯分析、智慧決策、行動響應的重要資料基礎設施。儘管近年來有諸多研究工作和廠商產品在持續探索多源資料的融合方案與安全領域知識圖譜的構建方法，在超融合知識圖譜的設計、技術實現等多個方面，仍存在多方面的挑戰

                                             

圖1智慧安全運營前沿技術圖譜[3]

智慧安全知識圖譜[1]（Intelligent Cyber Security Knowledge Graph）是知識圖譜在網路安全領域的實際應用，包括基於本體論構建的安全知識本體架構，以及透過威脅建模等方式對多源異構的網路安全領域資訊（ Heterogeneous Cyber Security Information）進行加工、處理、整合，轉化成為的結構化的智慧安全領域知識庫。針對資訊保安領域知識圖譜構建的兩個關鍵要素，構建了威脅元語言模型對威脅知識的結構化描述，包括概念、實體、屬性的定義以及知識關係的定義。研究中依據STIX2.0以及領域專家知識，構建三層安全知識圖譜，如圖2所示，知識圖譜輔助安全事件分析、安全合規標準、APT追蹤溯源等實際業務場景所需的資料表示和語義關係,其中,資訊層為知識圖譜從外界抽取的知識實體，知識層和智慧層為資訊保安領域關鍵概念及這些概念之間的邏輯語義關係[4]。

圖2 安全知識圖譜

合理的設計本體庫是圖結構設計的關鍵任務，構建安全運營知識圖譜的難點也是在於本體的構建以及其之間的關係挖掘。本體包括圖中實體（節點）型別、實體的屬性型別以及實體間的關係型別（即實體之間邊的型別），即表示圖結構的抽象概念結構“類”。本體庫的設計不僅要遵循一定的規範標準，而且符合特定應用場景下的指定需求。例如，ATT&CK（AdversarialTactics, Techniques, and Common Knowledge）是一個攻擊行為知識庫和威脅建模模型，自發布以來已逐漸發展為網路威脅分析語境下的通用元語，其提供了四個核心的實體（戰術, 技術, 軟體, 組織）及其之間的關係，而CAPEC 則主要覆蓋TTP、防護手段、脆弱性等概念，如果直接參照STIX 2.0，則需要覆蓋十餘種物件。因此構建可用、可擴充的知識圖，需要從具體場景入手逐步擴充套件。除此之外參考已有知識來構建安全運營知識圖譜需注意的是安全運營的告警規則與ATT&CK等知識庫之間的關聯需要非常複雜的資訊抽取能力和非常龐大的抽象先驗知識[5]，現階段該過程採用自動系統是難以實現的。鑑於大規模非結構化文字中包含大量實體和關係噪聲，對安全運營領域的知識抽取，會造成統計層次、語義層次的干擾，因此在知識抽取的過程中需進行模式和指紋的過濾，以提升抽取知識的質量以及知識擴充的效率。

綜上所述，在構建安全運營知識圖譜的過程面臨著本體庫設計，知識庫關聯，知識抽取，以及知識擴充等多方面的挑戰。安全運營知識圖譜獲取知識的過程需要根據實際應用場景改變或增加來不斷最佳化和推理完善。將特定安全運營場景中真實網路的威脅行為的知識庫轉化為企業自身的安全運營知識圖，需要企業建立自身安全運營場景的攻擊實驗局，不斷修正知識結構。在特定安全運營場景下，由攻防知識豐富的安全專家對於告警資料及安全運營知識進行篩選構建圖譜，該過程不僅需要考慮現有告警、攻擊手法及響應操作，而且需要考慮未來可能產生的變化，不斷的細化資料之間的層次關係，確定該場景下的知識粒度，構建該場景下的智慧安全運營知識圖譜，採用知識推理模組預測實體之間潛在的關係，從海量告警中找出未被關注的網路攻擊行為，推理出隱藏在深層次的網路攻擊威脅，為安全運營提供方法和策略，以適應指定場景下的威脅分析任務。當然未來是需要探索如何根據不同的場景來設計一個完整智慧安全運營領域圖譜的模式，方便安全專家知識的不斷融合和完善。

三、結束語

知識圖譜是近年來新興的技術，其應用空間很大。目前在智慧安全運營中還沒有很好的應用例項，但是知識圖譜領域一個重要的研究是知識推理，是人工智慧領域發展的重點之一。而AISecOps正是讓AI具備安全運營的知識，具備安全知識的推理能力，因此不斷完善知識圖譜是AISecOps的關鍵技術之一。如何讓知識圖譜更好地賦能智慧的安全運營技術，促進AISecOps更好地發展還有很長的路要走，這需要網路安全人員共同探索。

 

如果您發現文中描述有不當之處，還請留言指出。在此致以真誠的感謝~

歡迎點選閱讀AISecOps系列相關文章。

能力框架篇：

《AISecOps：打造可信任安全智慧》
資料建模篇：

《智慧威脅分析之圖資料構建》《以ATT&CK為例構建網路安全知識圖》

演算法分析篇：

《XAI系列一：可信任安全智慧與可解釋性》

《XAI系列二：模型可解釋性技術概覽》

《Provenance Mining：終端溯源資料探勘與威脅狩獵》

 

參考文獻

[1] 基於知識圖譜的APT 組織追蹤治理，綠盟科技，https://cloud.tencent.com/developer/article/1556638

[2] https://baike.baidu.com/item/%E7%9F%A5%E8%AF%86%E5%9B%BE%E8%B0%B1/8120012?fr=aladdin

[3] 《AISecOps 智慧安全運營技術白皮書》, http://blog.nsfocus.net/wp-content/uploads/2020/12/AISecOps_White_Paper_NSFOCUS_20201218.pdf

[4] 安全知識圖譜助力內部威脅識別

[5] ATT&CK框架在企業安全運營中的侷限