轉載公眾號 | 老劉說NLP?

---

安全知識圖譜是網絡安全領域專用知識圖譜，也是知識圖譜應用于安全業務的重要工業嘗試。當前，安全領域中存在大量的業務數據，建模需求以及應用需求，了解安全領域知識圖譜的建設方法以及典型應用場景，具有重要意義。

本文主要對《安全知識圖譜技術白皮書》一文進行解讀和總結介紹，對于安全領域的朋友可以重點關注。

一、安全知識圖譜概述

安全知識圖譜作為一種實體和概念等安全知識的高效組織形式，能夠發揮其知識整合的優勢，將零散分布的多源異構的安全數據組織起來，為網絡安全空間的威脅建模、風險分析、攻擊推理等提供數據分析和知識推理方面的支持。

例如，上圖展示了一個典型的安全知識圖譜，由網絡和安全知識庫、情報庫、資產庫、行為日志中關鍵實體（概念）及關系構建而成。

二、安全知識圖譜的數據類型與開放本體

一個典型的安全知識圖譜構建流程主要包括以下幾個步驟，包括數據來源、本體設計、圖譜構建以及圖譜應用等環節，下圖展示了技術流程圖。

1、主要數據來源

安全知識圖譜的數據為多源異構數據，不僅來自多個不同來源，而且有混合型數據（包括結構化和非結構化）和離散性數據（分布在不同的系統或平臺的數據）。

數據來源包括企業內部和互聯網數據，其中：

企業內部信息系統本身每天產生海量的檢測數據，而攻擊者的操作行為也隱藏在系統自身記錄的審計日志和網絡流量數據中。

互聯網數據包括開源情報、安全論壇發布的信息和網絡公布的安全報告等。

2、主要數據形式

從數據結構上看，安全數據包括結構化數據、半結構化數據以及結構化數據。

首先，常見的結構化數據包括漏洞(CVE)、攻擊模式（CAPEC）、知識數據庫等知識以及從傳感器收集的網絡資產和終端日志等數據。通常存儲在關系型數據庫中，授權后可以直接獲取。

其次，半結構化數據包含日志文件、 XML 文檔、 JSON 文檔、 Email ，權威機構發布的威脅情報 (STIX)、開源威脅指標 OpenIOC。

最后，非結構化數據包括文本數據，如漏洞描述、惡意軟件分析報告、攻擊組織分析報告， 安全熱點事件等信息，來自于網絡安全機構研究報告、社交媒體、安全社區博客及供應商公告、APT 報告、威脅分析報告、博客、推特和文檔數據。主要依賴于手工收集和自動化爬蟲，在獲取開源數據時盡量選擇可靠的數據源，例如權威安全研究機構來保證信息可信度，然后利用爬蟲技術采集威脅情 報網站上特定格式的 IOC 描述，安全研究機構發布的威脅組織分析報告等。

3、常用安全本體

安全本體是本體概念在信息安全領域的應用，主要從安全角度出發，包含了資產、威脅、 脆弱性、惡意軟件、攻擊模式、防護對策、事件等概念知識抽象化后的安全領域模型，即給 出歸一化、抽象、可推理的安全本體范式。

該本體模型其主要用于提供安全領域形式化統一 的術語及術語間關系，同時具備本體推理和查詢的功能。例如，下圖展示了攻擊模式類的本體定義

在安全行業內，大量研究成果的也證實了本體在安全領域的應用的可行性，如：

Tsoumass 等人創建了一個安全本體（Security Ontology, SO）來對信息系統的資產、對策和風險管理的概念進行分類。

Vorobiev 等人開發了一個安全資產漏洞本體（Security Asset Vulnerability Ontology, SAVO），以對網絡威脅、風險、拒絕服務攻擊、非法訪問和漏洞的概念、屬性以及關系進行建模。

Syed 等人開發了統一網絡安全本體（Unified Cybersecurity Ontology, UCO），以集成各種網絡安全本體、異構數據方案以及用于網絡威脅情報共享和交換的常用網絡安全標準。

當前，網絡安全還存在細分領域本體，其旨在解決某些具體維度上特定的網絡安全問題，劃分粒度更為細致，包括：

入侵檢測本體（Intrusion Detection Ontology, IDO）

惡意軟件分類本體（Malware Classification Ontology, MCO）

惡意軟件行為本體（Malware Behavior Ontology, MBO）

網絡威脅情報本體（Cyber Threat IntelligenceOntology, CTIO）

數字取證本體（Digital Forensics Ontology, DFO）

安全運維處理本體（Secure Operations and Processes Ontology, SOPO）

網絡攻擊和影響本體（Cyber Attack and Impact Ontology, CAIO）

網絡安全對策技術本體（MITRE D3FEND Ontology）。

三、典型安全領域知識圖譜概述

當前，已經陸續出現一些典型的安全領域知識圖譜，例如D3FEND 網絡安全對策知識圖譜、Cygraph 網絡安全態勢分析圖譜、攻擊組織知識圖譜等，惡意軟件知識圖譜等。

其中：

D3FEND 網絡安全對策知識圖譜針對 ATT&CK 攻擊技術、數字工件和防御技術三 種概念進行建模 ，可以幫助網絡安全分析師理解進攻性技術和防御性技術的關系以及如何應對 攻擊威脅；

CyGraph 可以用于建立可能的攻擊路徑的預測模型，識別關鍵的漏洞，將警報與攻擊路徑關聯起來，并允許在任務保證的上下文中進行基于圖的數據分析。將網絡安全知識圖譜對概念的劃分粒度提高可以有利于解決領域內特定維度或固定場景 上的應用問題；

惡意軟件知識圖譜可以對惡意軟件、系統進程、 網絡通信、源代碼、漏洞利用 payload 和攻擊行為等概念、屬性和關系建模，輔助惡意軟件家族分類。

1、Cygraph 網絡安全態勢分析圖譜

由MITRE 公司推出的 Cygraph 網絡安全態勢分析圖譜，從網絡架構（Network Infrastructure）、安全狀態（Security Posture）、網絡威脅（Cyber Threats）、任務準備（Mission Readiness）四個層次構建知識圖譜，用于支持針對關鍵資產保護的攻擊面識別和攻擊態勢理解等任務。

1）Network infrastructure：網絡拓撲信息，如主機、網絡設備、安全設備、組織等。

2）Cyber posture：網絡基礎設施中影響網絡攻擊 / 防御的元素，如主機配置、漏洞、 服務、共享資源、防火墻策略等。

3）Cyber threats：潛在的網絡威脅，如攻擊告警、 CAPEC 攻擊模式、 ATT&CK 攻擊 技術等。

4）Mission readiness：任務準備包含任務目標、任務、信息之間的關系以及他們對網 絡資產的依賴關系。

2、攻擊組織知識圖譜

上圖展示了由綠盟科技攻擊組織知識圖譜，對于攻擊組織涉及的各類安全實體主要參考上述的安全要素規范，實體關系的 設計則主要參考STIX2.0 描述語言以及 MITRE 公司定義的 CAPEC、MAEC、CWE、CPE 等標準， 構建威脅元語體系，涵蓋 4 個層次，11 個主要實體類型，以及百萬級別的知識節點。

四、基于安全知識圖譜的ATT&CK 威脅建模

威脅建模是網絡安全威脅分析的一個重要環節，是一種分析和解決安全問題的結構化方 法，用來識別、量化并應對威脅，利用抽象的方法來幫助思考風險。

可以基于 ATT&CK 對各個攻擊生命周期的攻擊行為建模，利用基礎的威脅建模知識與威脅攻擊數據，可根據威脅相關知識的融合抽象，提供更細粒度、更動態的建模理論框架，在構建上，威脅建模主要含有資產、威脅（攻擊行為）、漏洞幾個主要元素，通過識別威脅和制定 保護策略來保證信息 CIA( 機密性 / 完整性 / 可用性 ) 三要素。

如上圖資所示，資產（Assets） 受到各種威脅（Threats）影響，這些威脅可能是黑客等人為因素，也可能是火災地震等自然 因素。威脅通過利用系統的脆弱性（Vulnerabilities）可導致暴露（Exposure），形成風險（Risk）。適當的對策是使用防護措施（Safeguards），緩解風險使資產得到安全保障。

五、基于安全知識圖譜的APT威脅追蹤

由于高級持續性威脅（APT）攻擊往往具有明確的攻擊意圖，并且其攻擊手段具備極高的隱蔽性和潛伏性， APT 正日益成為針對政府和企業重要資產的不可忽視的網絡空間重大威脅。

因此，可以通過威脅情報關鍵要素的抽取與動態行為推理，實現 APT 攻擊者團伙的威脅主體畫像與自動歸因，輔助攻擊事件的研判與取證。

1、APT 組織畫像歸因

DARPA通過增強歸因項目進行攻擊組織的行為監控和追蹤。

增強歸因項目主要分為三個部分，先進行活動的監測和歸納，從海量數據中抽取能夠代表確切事實的元數據；

再對元數據進行多源數據融合和模糊性數據的時序關聯；最后對數據進驗證和擴充，以提供可信的攻擊者情報。

2、基于上下文感知計算的網絡APT攻擊組織追蹤

為了有效解決海量多模態數據場景下攻擊組織相關的高危安全事件的快速發現問題，構建基于攻擊組織本體的上下文感知計算總體的框架。利用攻擊組織知識庫進行事件威脅上下文語義的富化、攻擊鏈關聯和攻擊組織特征關聯計算，最終發現攻擊組織相關的高危事件。

3、基于特征圖聚類的未知攻擊組織發現

目前單純依靠人工研判或者依賴安全專家基于離線的數據進行特征模型構建和分析已經很難有效滿足大部分單位和組織對 APT 組織安全事件實時分析的要求。業界進行包括 APT 組織在內的攻擊團伙的追蹤和發現的方法主要包括直接基于網絡流量進行特征建模和基于樣本代碼特征進行建模來進行攻擊團伙發現。

但是由于原始流量數據量級往往過于巨大，其中 的噪聲特征往往占據非常大的比例，直接基于原始流量構建的特征模型的魯棒性往往不太好， 并且這一類方法通常需要耗費較多的人工分析成本，某些情況下只能基于離線保存的歷史數 據進行分析，無法滿足實時分析和追蹤的需求。

具體的，基于實時生成的包含多條攻擊鏈的攻擊源數據，以攻擊源 IP 為核心，抽取其中的特征生 成特征點，并連接特征點和核心點。

抽取的特征包括攻擊源數據中所有相關的特征，也包括通過威脅情報關聯補充的部分信息，特征點與核心點之間的連接邊為帶權邊，利用社區聚類發現算法進行處理，可以發展犯罪團伙等信息。

六、基于安全知識圖譜的企業智能安全運營

目前圖結構以及圖分析算法的研究發展迅速，圖 結構及圖算法也已經被應用到網絡安全場景中。國內方面，已有許多產品和研究關注安全數 據的圖分析方法。

基于安全知識圖譜的事件風險畫像、攻擊路徑調查、響應策略推薦，能夠提供豐富的、具有安全語義的上下文，有效支撐動態事件的研判和策略部署，降低安全運營對專家經驗與知識的依賴。

1、攻擊畫像及威脅評估

企業為了應對網絡威脅，通常會部署多個檢測設備(如網絡入侵檢測設備 IDS/IPS、全流 量檢測和網絡應用防護系統 WAF 等)。由于檢測設備規則的敏感性，導致企業安全運營人 員每天要面對海量的告警，海量告警的篩選問題多年來一直困擾著安全行業。企業安全設備 產生的告警遠遠超出了安全運營人員的排查能力。安全知識圖譜應用到企業智能 安全運營中，對提升安全運營的自動化水平，減少對人力投入與專家經驗的依賴，降低威脅分析與響應的周期。

因此，攻擊畫像及風險評估是針對復雜的企業環境，利用采集到的日志或是設備告警構建相關的威脅圖譜，以屬性圖的形式來刻畫攻擊和攻擊源。然后利用圖的相關方法對攻擊源和攻擊行為進行風險與威脅評估。

2、攻擊路徑調查

攻擊路徑調查是指在網絡攻擊事件發生時，找到攻擊路徑以及相關的攻擊過程。在網絡空間中，作為防御者需要“知彼”，就是回答在網絡攻防對抗中誰攻擊了我，攻 擊點在哪以及相關攻擊路徑，這便是攻擊事件調查 。

攻擊源威脅評估是從海量的數據中找 到真正的攻擊者，回答的是誰攻擊了我的問題。除此之外，還需要找到相關的攻擊路徑實現 攻擊事件的完整調查。通過攻擊事件調查技術可以確定攻擊源或攻擊的中間介質，以及其相 應的攻擊路徑，以此制定更有針對性的防護與反制策略，實現主動防御。

安全知識圖譜是描述安全事件相關的 抽象知識，而日志信息記錄的是網絡流量和系統行為等，其不僅包含攻擊事件相關的信息， 同時也包含系統正常運行的相關信息，構建統一的基于知識圖譜的模型， 通過對動態圖模型的上下文分析，發現并還原攻擊者的攻擊路徑，進而打破現有攻擊路徑調 查過程極度依賴安全專家的瓶頸。

3、響應緩解策略推薦

智能安全策略推薦是一種通過集成多個系統和平臺來調整不同的安全工具和技術的方法， 以簡化安全流程，增強安全自動化以及加速事件響應。它有助于將復雜的事件響應過程和任 務轉換為一致的、可重復的、可度量的和有效的工作流。與人工協作相結合，安全編排將人員、 流程和技術集合在一起，以提高安全操作團隊的整體效率。

上圖展示了一個典型流程，其中：

安全智能決策模塊首先對待處理的告警或事件進行攻擊理解，借助已有的知識庫了解當 前攻擊的階段、嚴重程度等等，借助原始日志和全流量等數據進行攻擊事件調查，得到更多 被感染的機器，并且利用提前建立的預測模型，預測下一次攻擊事件的類型和嚴重程度，通 過攻擊理解模塊，可以獲取對當前攻擊事件的完整刻畫，包括當前事件、由當前事件引起的 其他事件以及將來可能發生的事件，即得到戰略層面的信息。

七、基于安全知識圖譜的網絡空間測繪

實現面向網絡空間測繪領域知識圖譜的語義搜索、查詢，智能問答和知識推理等任務，將資產、漏洞、安全機制、攻擊模式等信息進行關聯分析和數據融合匯聚，充分掌握網絡空間資產及其狀況。

1、網絡空間資產風險分析

網絡空間資產風險分析主要是對資產的風險態勢進行評估，通過主動指紋探測、被動的 信息采集、收集，分析已知資產現狀和發現未知資產，評估易被攻陷的高危主機、存在惡意 行為的主機、重點關注的 IP/ 域名、域名備案情況等，整合成為網絡空間資產、身份、數據 等各類實體及其特征信息，以此輸入到安全知識圖譜中，進而形成網絡空間資產的整體畫像 和實體局部畫像，支持網絡空間資產風險的全面、深度分析。

2、團伙關系分析

攻擊團伙往往已經 形成了一個密切協作的網絡，嚴重威脅網絡空間安全。攻擊團伙發現的關鍵是基于網絡空間 數據生成關聯圖與圖上社區發現。

因此利用知識圖譜關聯分析的技術對海量的大數據進行挖掘，通過人工智能 算法實現對網絡空間數據隱含關系的挖掘，及時有效分析團伙行為，實現定位、識別攻擊組團伙行為發現是網絡空間測繪領域中知識圖譜應用的一個典型場景。

八、基于安全知識圖譜的軟件供應鏈安全

構建軟件供應鏈知識圖譜，通過知識圖譜的關聯與推理，完成軟件供應鏈的風險識別、高風險推薦、影響范圍分析和緩解措施決策等。

相比傳統軟件安全，軟件供應鏈面臨的安全風險不斷加大，遭受破壞而引發的網絡安全 事件數量逐步上升。

第一，軟件供應鏈攻擊面從軟件產品本身的漏洞擴大為上游供應商的軟件、組件和服務的漏洞，任何一個上游階段的漏洞都會影響下游所有軟件，這就導致軟件供應鏈的受攻擊面不斷擴大。

第二，攻擊面的擴大顯著降低了攻擊者攻擊的難度，一旦對軟件供應鏈中的任意環節進行攻擊或篡改，都將會引起安全風險的連鎖反應，產生巨大的安全危害。

最后，軟件供應鏈開源化趨勢增加，導致影響軟件供應鏈的各個環節都不可避免受到開 源環境的影響。為了有效保障軟件供應鏈的安全，關鍵需求如下：

其一，需要全面梳理軟件供應鏈中涉及到的供應商、軟件、信息、工具、服務、上下游交付 環節，保證供應鏈流程不會存在遺漏。?

其二， 需要識別哪些代碼、工具存在安全風險，重點是明確哪些組件引用了哪些高危組件， 又有哪些系統引用了這些組件。?

其三，上游的漏洞如被引入當前環節，需追蹤當前環節的產出會被哪些下游所使用，跟蹤信 息流，確保問題發生時的影響范圍是可知、可控和可追溯的。

其四，針對安全風險需要決策方案，通過替換、升級、修復進行解決，或者通過防護、封堵 等方式進行規避。

為了滿足上述供應鏈安全的關鍵需求，利用安全知識圖譜中的關系，可以表示為軟件供 應鏈中的“引用”關系。基于知識圖譜相關的圖分析方法，識別軟件供應鏈中的高風險點和 影響范圍，給出相應的措施進行緩解，從而有效解決軟件供應鏈安全的問題。構建軟件供應鏈知識圖譜，通過知識圖譜的關聯與推理，完成軟件供應鏈的風險識別、高風險推薦、影響范圍分析和緩解措施決策等。

1、開源組件風險識別?

結合軟件供應鏈安全知識圖譜，采用不一致性進行判斷。也就是通過設定規則，找出在 知識圖譜中本應相同卻不同、本應不同卻相同的對象。如上圖所示，開源組件 A 和 B，本 應是兩個不同的開源組件，但若發現他們的 md5 相同，則可能存在冒用的風險。而若開源組 件 A，存在兩個不同的 md5，則有可能是其他的惡意軟件進行了偽裝。

2、高風險軟件推薦

軟件供應鏈有一個很明顯的特征，即引用關系鏈特別長。那么一旦某個節點被爆出存在 安全隱患，可根據知識圖譜快速梳理出受影響的對象。如下圖示例，用戶 A 安裝了 APP-I， 而 APP-I 引用了開源組件 A 和開源組件 B。若開源組件 A 存在安全漏洞，則會影響用戶 A。而知識圖譜的邊，正好可以體現出這種引用關系，適合于軟件供應鏈安全中的多級依賴場景。通過深度搜索，提取特征，可作為風險模型的輸入。

3、影響范圍分析?

基于圖譜中所有存儲歷史信息對潛在的威脅進行建模，包括開發工具污染、預留后門、 源代碼污染、捆綁下載、升級劫持等 ，對于可識別威脅，通過圖譜直接進行影響范圍分析。

如下圖所示， office2007、 2013 和 2016 都有 CVE-2017-111882 漏洞，被 Sidwinder 組織 在某次 APT 攻擊戰役中使用。通過組件的引用關系，就可以識別受到影響的終端。

九、基于知識圖譜的兩安融合的工業系統防護

未來安全防護的趨勢是將功能安全與信息安全相結合，以業務系統功能安全(Safety)的可用 性為目標和約束，再考慮信息安全(Security)，通過對兩類安全防護能力的優化設計，消除沖突，實現工業系統的兩安融合，降低信息物理融合帶來的信息安全風險。

工業環境下，信息安全和功能安全分別針對不同的系統風險來源，各自建立了基于 IEC 62443 和 IEC 61508 的安全防護體系，兩者并未形成有效的知識聯系， 并沒有打破“信息孤島”的狀態，難以全面分析工業系統在攻擊過程中受到的影響。

在工業控制系統的信息層和物理層，各類安全系統每天產生海量的監測 數據，這些數據來源分散、語義多樣、格式異構、相互關聯，而攻擊者的操作行為 隱藏在其中，目前還缺乏對攻擊事件關聯數據的挖掘和展現，不利于采取正確合理的 安全策略。

1、基于安全知識圖譜的安全風險預判

基于知識圖譜挖掘潛在安全風險，對潛在風險進行規則判定、圖譜驗證、 風險判定等識別過程，進而對可能發生的安全事故做出及時而迅速的預防。

如上圖所示，風險層通過功能安全和信息安全融合的知識圖譜，從安全告警信息中識別潛在的安 全風險，評估系統安全風險對系統業務的影響，根據系統具體業務給出響應處理的優先級。

策略層為應對特定系統安全風險，從功能安全和信息安全策略池中選擇適當策略手 段進行組合，給予正確合理的安全防護。

基于知識圖譜的工業系統安全風險預判通過構建主要風險要素（包括拓撲結構、漏洞狀況、 運行數據等）的關系圖譜，全方位了解系統安全風險狀況，并利用信息層和物理層的監測告警數據。

總結

本文主要圍繞著知識圖譜在安全領域的結合和應用進行了介紹，主要是對領域專業機構綠盟科技發布的安全知識圖譜技術白皮書一文進行了閱讀和總結。對于更為詳盡的內容，讀者可以查看報告，做更為深入的了解。

---

OpenKG

OpenKG（中文開放知識圖譜）旨在推動以中文為核心的知識圖譜數據的開放、互聯及眾包，并促進知識圖譜算法、工具及平臺的開源開放。

點擊閱讀原文，進入 OpenKG 網站。

總結

以上是生活随笔為你收集整理的图谱实战 | 安全领域知识图谱建设与典型应用场景总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。