基于知識圖譜的網(wǎng)絡(luò)安全動態(tài)感知平臺設(shè)計

王 俊

（上海電氣自動化設(shè)計研究所有限公司，上海 200000）

1 知識圖譜的發(fā)展與應(yīng)用

知識圖譜（Knowledge Graph）是谷歌公司在2012年提出的用于構(gòu)建下一代智能搜索引擎的一個概念，知識圖譜的作用是對錯綜復(fù)雜的實體（Entity）及實體之間的關(guān)系（Relation）進(jìn)行加工、處理、整合后，進(jìn)行形式化的描述，將實體間的關(guān)系表示為語義網(wǎng)絡(luò)，從而聚合大量知識，實現(xiàn)知識的快速響應(yīng)和推理。所以，知識圖譜也被稱為知識域可視化或知識領(lǐng)域映射地圖。

知識圖譜分為領(lǐng)域知識圖譜和通用知識圖譜兩種類別。領(lǐng)域知識圖譜也叫垂直知識圖譜，是針對特定領(lǐng)域的知識整合，特定知識域的范圍可以由知識圖譜設(shè)計者自己指定。通用知識圖譜則尋求對人類社會所掌握的所有知識的整合。由于領(lǐng)域知識圖譜粒度細(xì)，精度高，表達(dá)能力更強，因此，具有更高的質(zhì)量和應(yīng)用價值。

知識圖譜的構(gòu)建方法主要有自頂向下法和自底向上法兩種。自頂向下法是先通過人工的方式為知識圖譜定義好本體和數(shù)據(jù)結(jié)構(gòu)及模式，然后再將實體加入到知識庫中，這種方法需要利用一些現(xiàn)有的結(jié)構(gòu)化知識庫作為其基礎(chǔ)。自底向上法是先從底層數(shù)據(jù)中提取置信度較高的實體加入到知識庫中，再一層層向上，構(gòu)建出完整的本體模式。由于自底向上法不需要一開始進(jìn)行復(fù)雜的領(lǐng)域知識結(jié)構(gòu)設(shè)計，構(gòu)建難度和速度上較自頂向下法都有較大的優(yōu)勢，因此，目前大多數(shù)知識圖譜都采用自底向上法構(gòu)建。

2 網(wǎng)絡(luò)安全動態(tài)感知平臺

隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜性不斷增大，單憑一種或幾種安全技術(shù)很難應(yīng)對復(fù)雜的網(wǎng)路安全問題。而目前的網(wǎng)絡(luò)安全也從過去的單一形式，變成了需要綜合考慮整個網(wǎng)絡(luò)的安全狀態(tài)以及變化趨勢。

Endsley（1995）認(rèn)為，態(tài)勢感知是感知大量的時間和空間中的環(huán)境要素，理解它們的意義，并預(yù)測它們在不久將來的狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢感知即為綜合分析網(wǎng)絡(luò)安全要素，評估網(wǎng)絡(luò)安全狀況，預(yù)測其發(fā)展趨勢，并以可視化的方式展現(xiàn)給用戶，并給出相應(yīng)的報表和應(yīng)對措施。網(wǎng)絡(luò)安全態(tài)勢感知可分為以下四個過程：

（1）數(shù)據(jù)采集：通過各種檢測工具，對各種影響系統(tǒng)安全性的要素進(jìn)行檢測采集獲取，這一步是態(tài)勢感知的前提。

（2）態(tài)勢理解：通過分類、歸并、關(guān)聯(lián)分析等手段對各種網(wǎng)絡(luò)安全要素數(shù)據(jù)進(jìn)行處理融合，對融合的信息進(jìn)行綜合分析，得出網(wǎng)絡(luò)的整體安全狀況，這一步是態(tài)勢感知基礎(chǔ)。

（3）態(tài)勢評估：定性、定量分析網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)和薄弱環(huán)節(jié)，并給出相應(yīng)的應(yīng)對措施，這一步是態(tài)勢感知的核心。

（4）態(tài)勢預(yù)測：通過對態(tài)勢評估輸出的數(shù)據(jù)，預(yù)測網(wǎng)絡(luò)安全狀況的發(fā)展趨勢，這一步是態(tài)勢感知的目標(biāo)。

一個成熟的網(wǎng)絡(luò)安全態(tài)勢感知體系，其最大的特點是數(shù)據(jù)豐富、預(yù)測及時準(zhǔn)確、能夠給出應(yīng)對措施。

3 基于知識圖譜的網(wǎng)絡(luò)安全動態(tài)感知平臺設(shè)計

網(wǎng)絡(luò)安全態(tài)勢感知是利用網(wǎng)絡(luò)流量、訪問日志等海量數(shù)據(jù)，通過一定的模型算法進(jìn)行復(fù)雜計算后，研判訪問者下一步的網(wǎng)絡(luò)行為。在這個過程中，訪問者行為模型是關(guān)鍵，它決定了系統(tǒng)研判的準(zhǔn)確性。而用戶網(wǎng)絡(luò)行為的表現(xiàn)是非常復(fù)雜的，需要大量的先驗知識作為判斷依據(jù)和參照，這些先驗知識需要大量的人工勞動去采集和整理，并構(gòu)建知識之間的相互關(guān)聯(lián)。這些先驗知識及相互之間的關(guān)聯(lián)就是網(wǎng)絡(luò)安全知識圖譜。知識圖譜是網(wǎng)絡(luò)安全動態(tài)感知系統(tǒng)的基礎(chǔ)和關(guān)鍵。

網(wǎng)絡(luò)安全綜合分析及態(tài)勢感知平臺是面向傳統(tǒng)IT安全的全場景智能安全運營平臺。以資產(chǎn)為核心，以大數(shù)據(jù)為基礎(chǔ)，結(jié)合威脅情報系統(tǒng)，通過采集多源異構(gòu)的各類數(shù)據(jù)，結(jié)合日志威脅分析、流量威脅分析、異常行為分析、脆弱性威脅分析、情報威脅分析能力以及基于攻防場景的機器學(xué)習(xí)、多源數(shù)據(jù)、多維度的關(guān)聯(lián)分析、安全事件自動化編排、可視化呈現(xiàn)等技術(shù)，幫助客戶實現(xiàn)安全態(tài)勢的全面監(jiān)控、安全威脅的實時預(yù)警、資產(chǎn)及漏洞的全生命周期管理及安全自動化的應(yīng)急響應(yīng)能力，協(xié)助網(wǎng)絡(luò)安全管理人員快速發(fā)現(xiàn)、分析、處置安全問題，實現(xiàn)網(wǎng)絡(luò)安全閉環(huán)管理。整個系統(tǒng)以安全運營為核心，圍繞監(jiān)測、研判、處置三個關(guān)鍵環(huán)節(jié)，構(gòu)建安全運營支撐平臺體系。

系統(tǒng)設(shè)計遵循了知識管理領(lǐng)域著名的“DIKW層次體系”，即數(shù)據(jù)（Data）-信息（Information）-知識（Knowledge）-智慧（Wisdom）四個層次。該體系是由教育學(xué)家米蘭?瑟蘭尼和管理學(xué)家羅素?艾可夫在前人研究成果的基礎(chǔ)上發(fā)展而來，科學(xué)地詮釋了人類社會知識形成的過程和層次，具有廣泛適用性。

基于“DIKW層次體系”構(gòu)建的網(wǎng)絡(luò)安全態(tài)勢感知平臺框架如下圖所示：

圖1 網(wǎng)絡(luò)安全態(tài)勢感知平臺框架

如圖所示，網(wǎng)絡(luò)安全態(tài)勢感知平臺框架分為三個部分：

（1）信息/數(shù)據(jù)層。信息是加工過的數(shù)據(jù)，由于能納入本系統(tǒng)的都是經(jīng)過加工、遴選的有價值的數(shù)據(jù)，故在本系統(tǒng)中并不刻意區(qū)分信息和數(shù)據(jù)。在本層，匯集了網(wǎng)絡(luò)安全領(lǐng)域本體和大量的網(wǎng)絡(luò)安全概念實體。這些本體描述了網(wǎng)絡(luò)安全領(lǐng)域中一些重要的概念以及概念之間的關(guān)系；網(wǎng)絡(luò)安全實體則描述了網(wǎng)絡(luò)安全領(lǐng)域的一些元知識，數(shù)量龐大。

（2）知識層。知識層是在信息/數(shù)據(jù)層的基礎(chǔ)上，構(gòu)建網(wǎng)絡(luò)安全知識圖譜，并將抽象概念邏輯具體化為網(wǎng)絡(luò)安全事件、攻擊模式、攻擊主體、安全戰(zhàn)役、安全報告等知識圖譜，成為系統(tǒng)感知、研判網(wǎng)絡(luò)威脅依據(jù)，是整個系統(tǒng)的“大腦”。

（3）智慧層。智慧層通過知識層的知識沉淀和抽象，析出網(wǎng)絡(luò)安全威脅主體、網(wǎng)絡(luò)安全主題，分析網(wǎng)絡(luò)安全的影響是否達(dá)到我國“網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)”中的相關(guān)標(biāo)準(zhǔn)，以及應(yīng)對威脅的主要戰(zhàn)術(shù)。

從具體實現(xiàn)來看，整個系統(tǒng)的信息層、知識層和智慧層三個層級的主要功能如下：

（1）信息層。知識圖譜是本體（Ontology）的數(shù)據(jù)化表示，因此，構(gòu)建知識圖譜的前提是構(gòu)建領(lǐng)域本體，并采集相關(guān)數(shù)據(jù)，本系統(tǒng)的信息層主要解決網(wǎng)絡(luò)安全本體構(gòu)建和數(shù)據(jù)采集問題。本系統(tǒng)在信息層構(gòu)建了14個網(wǎng)絡(luò)安全知識本體，通過爬蟲、人工導(dǎo)入等方式，采集了80余萬知識實體數(shù)據(jù)。這些知識本體及知識實體包括：使用STIX語言描述的網(wǎng)絡(luò)威脅信息，比如攻擊組織等、威脅報告、IOC情報等；針對勒索病毒、特種木馬等高級威脅的檢測本體TAC；各類網(wǎng)絡(luò)安全威脅的規(guī)則庫；基于規(guī)則庫的多種檢測規(guī)則；通用漏洞披露數(shù)據(jù)；中國國家信息安全漏洞庫數(shù)據(jù)；作為適用于通用場景的安全組規(guī)則設(shè)置的通用容器平臺云容器引擎數(shù)據(jù)；用于描述漏洞影響的具體組件及其版本的通用平臺枚舉數(shù)據(jù)等。

（2）知識層。在知識層，對網(wǎng)絡(luò)安全本體進(jìn)行數(shù)據(jù)化表示，即將網(wǎng)絡(luò)安全涉及的主要概念進(jìn)行具體化，并形成網(wǎng)絡(luò)安全攻擊、防御、戰(zhàn)役、報告等知識圖譜。利用STIX報告，得到內(nèi)部報告和外部報告，目前，本系統(tǒng)匯集了465個內(nèi)部報告和2280個外部報告，這些報告中包含了若干網(wǎng)絡(luò)安全戰(zhàn)役描述；這些報告也包含網(wǎng)絡(luò)安全指示器，目前共收集了39920個STIX的IOC情報；知識層的威脅指示器可以析出惡意代碼、軟件和防御策略，而防御策略又和規(guī)則庫進(jìn)行關(guān)聯(lián)、惡意代碼與TAC關(guān)聯(lián)；在戰(zhàn)役中析出的攻擊模式與威脅指示器中析出的惡意代碼進(jìn)行關(guān)聯(lián)，這些攻擊模式與信息層的檢測規(guī)則關(guān)聯(lián)；從攻擊模式中發(fā)掘網(wǎng)絡(luò)安全隱患，并進(jìn)一步找到這些隱患存在的目標(biāo)客體，安全隱患與CVE/CNNVD/XCCDF/CCE關(guān)聯(lián)，目標(biāo)客體與CPE關(guān)聯(lián)。這樣一來，就形成了非常復(fù)雜的網(wǎng)絡(luò)安全動態(tài)感知系統(tǒng)知識層的知識圖譜。

（3）智慧層。在智慧層，通過對網(wǎng)絡(luò)安全報告的綜合分析，析出網(wǎng)絡(luò)安全威脅主體和主題，其中，網(wǎng)絡(luò)安全威脅主體信息與STIX公布的黑客組織進(jìn)行關(guān)聯(lián)；通過對網(wǎng)絡(luò)安全事件本身和安全事件隱患的綜合分析，判斷網(wǎng)絡(luò)安全事件的影響，以及該影響是否達(dá)到了“網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)”中的相關(guān)標(biāo)準(zhǔn)，并依情況，選擇對應(yīng)的防御策略，并根據(jù)其攻擊模式，選擇對應(yīng)的戰(zhàn)術(shù)。

4 結(jié)束語

本研究基于“DIKW層次體系”圖，構(gòu)建了網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)域知識圖譜；依據(jù)該知識圖譜，設(shè)計了具有動態(tài)感知功能，能夠?qū)崿F(xiàn)信息系統(tǒng)主動防御的網(wǎng)絡(luò)安全感知、研判、預(yù)警和處置平臺，實現(xiàn)了網(wǎng)絡(luò)安全威脅的智能化處理和網(wǎng)絡(luò)安全事件的閉環(huán)管理，與傳統(tǒng)的基于特征庫比對的網(wǎng)絡(luò)安全平臺具有本質(zhì)的區(qū)別。