智能安全运营“预备翼”｜浅谈知识图谱技术如何赋能智能安全运营

概 述

网络环境本身可以与图数据结构结合，因此将知识图谱技术引入到智能安全运营中具备可行性。知识图谱的概念由谷歌提出，本质上是一种叫做语义网络的知识库。安全运营知识图谱是以安全运营领域知识图谱为核心，面向网络环境数据、威胁行为数据、威胁情报数据、安全运营知识库等，构建本体化、标准化、全局化的知识结构。目前图结构以及图分析算法的研究发展迅速，图结构及图算法也已经被应用到网络安全场景中。

国内方面，已有许多产品和研究关注安全数据的图分析方法。例如，研究人员[1]结合知识图谱设计了多个本体对整个网络威胁进行建模分析，并兼容MITRE 的CAPEC、MAEC 和ATT&CK 等模型的接入与使用，能够从多种威胁情报中提取关键信息并作为知识对知识图谱进行扩展。

尽管不断有新的技术和模型引入，但是实现智能安全运营依旧存在很多难点，例如：1、网络攻击手段的不断进步导致网络威胁评估难度不断增大；2、现有安全设备检测网络攻击行为产生的告警数量庞大，如何从海量告警中找到真正的网络攻击是一大难题；3、由于攻击手段的多样性和复杂性以及数据采集等导致的攻击链路断裂，无法锁定该攻击行为的上下文。

目前安全人员需要人工从海量的告警信息中进行威胁评估，进而关联溯源，分析发现攻击路径，安全防护的难度很大。因而提取安全运营中的专家知识，构建知识图谱引入到安全运营中，通过层次化的分析使安全运营更加智能，具备重要的研究意义和应用价值。

知识图谱赋能智能安全运营

将知识图谱应用到智能安全运营之前，首先需要明确的是，智能安全运营业务是否需要知识图谱的加入。在海量的安全数据轰炸下，智能安全运营需要强烈的可视化需求，当发现攻击行为的时候，需要涉及到各种行为之间因果依赖关系的深度搜索，综合多个方面安全数据的关联分析，该领域十分依赖于安全专家的经验。除此之外随着高级持续威胁的不断发展，复杂的网络攻击往往隐藏在复杂的关系网络数据中。知识图谱就是为此类问题所设计的，因此知识图谱可以推动智能安全运营的发展。

知识表示技术和知识获取技术是能否成功应用知识图谱的关键。知识表示技术主要是设置数据处理的粒度，因为不同人的认知是不同的，这导致粒度的设置面临巨大的挑战。构建安全运营的知识图谱时需要结合专家知识来确定知识的粒度。知识获取技术是利用现有自动化的技术完成知识的获取，知识的质量是知识图谱质量的关键。

搜索领域最早应用知识图谱是为了提供用户想要的内容，让用户找到自己最想要的那种含义，将网页搜索升级为语义搜索[2]。安全运营知识图谱是为了辅助安全运营人员分析和解决安全问题。在《AISecOps 智能安全运营技术白皮书》[3]中智能安全运营前沿技术图谱就提到了知识图谱在安全运营中的作用，其指出超融合知识图谱是运营数据关联分析、智能决策、行动响应的重要数据基础设施。尽管近年来有诸多研究工作和厂商产品在持续探索多源数据的融合方案与安全领域知识图谱的构建方法，在超融合知识图谱的设计、技术实现等多个方面，仍存在多方面的挑战。

智慧安全知识图谱[1]（Intelligent Cyber Security Knowledge Graph）是知识图谱在网络安全领域的实际应用，包括基于本体论构建的安全知识本体架构，以及通过威胁建模等方式对多源异构的网络安全领域信息（ Heterogeneous Cyber Security Information）进行加工、处理、整合，转化成为的结构化的智慧安全领域知识库。

针对信息安全领域知识图谱构建的两个关键要素，构建了威胁元语言模型对威胁知识的结构化描述，包括概念、实体、属性的定义以及知识关系的定义。研究中依据STIX2.0以及领域专家知识，构建三层安全知识图谱，如图2所示，知识图谱辅助安全事件分析、安全合规标准、APT追踪溯源等实际业务场景所需的数据表示和语义关系,其中,信息层为知识图谱从外界抽取的知识实体，知识层和智慧层为信息安全领域关键概念及这些概念之间的逻辑语义关系[4]。

合理的设计本体库是图结构设计的关键任务，构建安全运营知识图谱的难点也是在于本体的构建以及其之间的关系挖掘。本体包括图中实体（节点）类型、实体的属性类型以及实体间的关系类型（即实体之间边的类型），即表示图结构的抽象概念结构“类”。本体库的设计不仅要遵循一定的规范标准，而且符合特定应用场景下的指定需求。

例如，ATT&CK（AdversarialTactics, Techniques, and Common Knowledge）是一个攻击行为知识库和威胁建模模型，自发布以来已逐渐发展为网络威胁分析语境下的通用元语，其提供了四个核心的实体（战术, 技术, 软件, 组织）及其之间的关系，而CAPEC 则主要覆盖TTP、防护手段、脆弱性等概念，如果直接参照STIX 2.0，则需要覆盖十余种对象。

因此构建可用、可拓展的知识图，需要从具体场景入手逐步扩展。除此之外参考已有知识来构建安全运营知识图谱需注意的是安全运营的告警规则与ATT&CK等知识库之间的关联需要非常复杂的信息抽取能力和非常庞大的抽象先验知识[5]，现阶段该过程采用自动系统是难以实现的。鉴于大规模非结构化文本中包含大量实体和关系噪声，对安全运营领域的知识抽取，会造成统计层次、语义层次的干扰，因此在知识抽取的过程中需进行模式和指纹的过滤，以提升抽取知识的质量以及知识拓展的效率。

综上所述，在构建安全运营知识图谱的过程面临着本体库设计，知识库关联，知识抽取，以及知识拓展等多方面的挑战。安全运营知识图谱获取知识的过程需要根据实际应用场景改变或增加来不断优化和推理完善。将特定安全运营场景中真实网络的威胁行为的知识库转化为企业自身的安全运营知识图，需要企业建立自身安全运营场景的攻击实验局，不断修正知识结构。

在特定安全运营场景下，由攻防知识丰富的安全专家对于告警数据及安全运营知识进行筛选构建图谱，该过程不仅需要考虑现有告警、攻击手法及响应操作，而且需要考虑未来可能产生的变化，不断的细化数据之间的层次关系，确定该场景下的知识粒度，构建该场景下的智能安全运营知识图谱，采用知识推理模块预测实体之间潜在的关系，从海量告警中找出未被关注的网络攻击行为，推理出隐藏在深层次的网络攻击威胁，为安全运营提供方法和策略，以适应指定场景下的威胁分析任务。当然未来是需要探索如何根据不同的场景来设计一个完整智能安全运营领域图谱的模式，方便安全专家知识的不断融合和完善。

结束语

知识图谱是近年来新兴的技术，其应用空间很大。目前在智能安全运营中还没有很好的应用实例，但是知识图谱领域一个重要的研究是知识推理，是人工智能领域发展的重点之一。而AISecOps正是让AI具备安全运营的知识，具备安全知识的推理能力，因此不断完善知识图谱是AISecOps的关键技术之一。如何让知识图谱更好地赋能智能的安全运营技术，促进AISecOps更好地发展还有很长的路要走，这需要网络安全人员共同探索。