基于知識(shí)圖譜的網(wǎng)絡(luò)安全動(dòng)態(tài)感知平臺(tái)設(shè)計(jì)

王 俊

（上海電氣自動(dòng)化設(shè)計(jì)研究所有限公司，上海 200000）

1 知識(shí)圖譜的發(fā)展與應(yīng)用

知識(shí)圖譜（Knowledge Graph）是谷歌公司在2012年提出的用于構(gòu)建下一代智能搜索引擎的一個(gè)概念，知識(shí)圖譜的作用是對(duì)錯(cuò)綜復(fù)雜的實(shí)體（Entity）及實(shí)體之間的關(guān)系（Relation）進(jìn)行加工、處理、整合后，進(jìn)行形式化的描述，將實(shí)體間的關(guān)系表示為語(yǔ)義網(wǎng)絡(luò)，從而聚合大量知識(shí)，實(shí)現(xiàn)知識(shí)的快速響應(yīng)和推理。所以，知識(shí)圖譜也被稱為知識(shí)域可視化或知識(shí)領(lǐng)域映射地圖。

知識(shí)圖譜分為領(lǐng)域知識(shí)圖譜和通用知識(shí)圖譜兩種類別。領(lǐng)域知識(shí)圖譜也叫垂直知識(shí)圖譜，是針對(duì)特定領(lǐng)域的知識(shí)整合，特定知識(shí)域的范圍可以由知識(shí)圖譜設(shè)計(jì)者自己指定。通用知識(shí)圖譜則尋求對(duì)人類社會(huì)所掌握的所有知識(shí)的整合。由于領(lǐng)域知識(shí)圖譜粒度細(xì)，精度高，表達(dá)能力更強(qiáng)，因此，具有更高的質(zhì)量和應(yīng)用價(jià)值。

知識(shí)圖譜的構(gòu)建方法主要有自頂向下法和自底向上法兩種。自頂向下法是先通過(guò)人工的方式為知識(shí)圖譜定義好本體和數(shù)據(jù)結(jié)構(gòu)及模式，然后再將實(shí)體加入到知識(shí)庫(kù)中，這種方法需要利用一些現(xiàn)有的結(jié)構(gòu)化知識(shí)庫(kù)作為其基礎(chǔ)。自底向上法是先從底層數(shù)據(jù)中提取置信度較高的實(shí)體加入到知識(shí)庫(kù)中，再一層層向上，構(gòu)建出完整的本體模式。由于自底向上法不需要一開(kāi)始進(jìn)行復(fù)雜的領(lǐng)域知識(shí)結(jié)構(gòu)設(shè)計(jì)，構(gòu)建難度和速度上較自頂向下法都有較大的優(yōu)勢(shì)，因此，目前大多數(shù)知識(shí)圖譜都采用自底向上法構(gòu)建。

2 網(wǎng)絡(luò)安全動(dòng)態(tài)感知平臺(tái)

隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜性不斷增大，單憑一種或幾種安全技術(shù)很難應(yīng)對(duì)復(fù)雜的網(wǎng)路安全問(wèn)題。而目前的網(wǎng)絡(luò)安全也從過(guò)去的單一形式，變成了需要綜合考慮整個(gè)網(wǎng)絡(luò)的安全狀態(tài)以及變化趨勢(shì)。

Endsley（1995）認(rèn)為，態(tài)勢(shì)感知是感知大量的時(shí)間和空間中的環(huán)境要素，理解它們的意義，并預(yù)測(cè)它們?cè)诓痪脤?lái)的狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知即為綜合分析網(wǎng)絡(luò)安全要素，評(píng)估網(wǎng)絡(luò)安全狀況，預(yù)測(cè)其發(fā)展趨勢(shì)，并以可視化的方式展現(xiàn)給用戶，并給出相應(yīng)的報(bào)表和應(yīng)對(duì)措施。網(wǎng)絡(luò)安全態(tài)勢(shì)感知可分為以下四個(gè)過(guò)程：

（1）數(shù)據(jù)采集：通過(guò)各種檢測(cè)工具，對(duì)各種影響系統(tǒng)安全性的要素進(jìn)行檢測(cè)采集獲取，這一步是態(tài)勢(shì)感知的前提。

（2）態(tài)勢(shì)理解：通過(guò)分類、歸并、關(guān)聯(lián)分析等手段對(duì)各種網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)進(jìn)行處理融合，對(duì)融合的信息進(jìn)行綜合分析，得出網(wǎng)絡(luò)的整體安全狀況，這一步是態(tài)勢(shì)感知基礎(chǔ)。

（3）態(tài)勢(shì)評(píng)估：定性、定量分析網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)和薄弱環(huán)節(jié)，并給出相應(yīng)的應(yīng)對(duì)措施，這一步是態(tài)勢(shì)感知的核心。

（4）態(tài)勢(shì)預(yù)測(cè)：通過(guò)對(duì)態(tài)勢(shì)評(píng)估輸出的數(shù)據(jù)，預(yù)測(cè)網(wǎng)絡(luò)安全狀況的發(fā)展趨勢(shì)，這一步是態(tài)勢(shì)感知的目標(biāo)。

一個(gè)成熟的網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系，其最大的特點(diǎn)是數(shù)據(jù)豐富、預(yù)測(cè)及時(shí)準(zhǔn)確、能夠給出應(yīng)對(duì)措施。

3 基于知識(shí)圖譜的網(wǎng)絡(luò)安全動(dòng)態(tài)感知平臺(tái)設(shè)計(jì)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知是利用網(wǎng)絡(luò)流量、訪問(wèn)日志等海量數(shù)據(jù)，通過(guò)一定的模型算法進(jìn)行復(fù)雜計(jì)算后，研判訪問(wèn)者下一步的網(wǎng)絡(luò)行為。在這個(gè)過(guò)程中，訪問(wèn)者行為模型是關(guān)鍵，它決定了系統(tǒng)研判的準(zhǔn)確性。而用戶網(wǎng)絡(luò)行為的表現(xiàn)是非常復(fù)雜的，需要大量的先驗(yàn)知識(shí)作為判斷依據(jù)和參照，這些先驗(yàn)知識(shí)需要大量的人工勞動(dòng)去采集和整理，并構(gòu)建知識(shí)之間的相互關(guān)聯(lián)。這些先驗(yàn)知識(shí)及相互之間的關(guān)聯(lián)就是網(wǎng)絡(luò)安全知識(shí)圖譜。知識(shí)圖譜是網(wǎng)絡(luò)安全動(dòng)態(tài)感知系統(tǒng)的基礎(chǔ)和關(guān)鍵。

網(wǎng)絡(luò)安全綜合分析及態(tài)勢(shì)感知平臺(tái)是面向傳統(tǒng)IT安全的全場(chǎng)景智能安全運(yùn)營(yíng)平臺(tái)。以資產(chǎn)為核心，以大數(shù)據(jù)為基礎(chǔ)，結(jié)合威脅情報(bào)系統(tǒng)，通過(guò)采集多源異構(gòu)的各類數(shù)據(jù)，結(jié)合日志威脅分析、流量威脅分析、異常行為分析、脆弱性威脅分析、情報(bào)威脅分析能力以及基于攻防場(chǎng)景的機(jī)器學(xué)習(xí)、多源數(shù)據(jù)、多維度的關(guān)聯(lián)分析、安全事件自動(dòng)化編排、可視化呈現(xiàn)等技術(shù)，幫助客戶實(shí)現(xiàn)安全態(tài)勢(shì)的全面監(jiān)控、安全威脅的實(shí)時(shí)預(yù)警、資產(chǎn)及漏洞的全生命周期管理及安全自動(dòng)化的應(yīng)急響應(yīng)能力，協(xié)助網(wǎng)絡(luò)安全管理人員快速發(fā)現(xiàn)、分析、處置安全問(wèn)題，實(shí)現(xiàn)網(wǎng)絡(luò)安全閉環(huán)管理。整個(gè)系統(tǒng)以安全運(yùn)營(yíng)為核心，圍繞監(jiān)測(cè)、研判、處置三個(gè)關(guān)鍵環(huán)節(jié)，構(gòu)建安全運(yùn)營(yíng)支撐平臺(tái)體系。

系統(tǒng)設(shè)計(jì)遵循了知識(shí)管理領(lǐng)域著名的“DIKW層次體系”，即數(shù)據(jù)（Data）-信息（Information）-知識(shí)（Knowledge）-智慧（Wisdom）四個(gè)層次。該體系是由教育學(xué)家米蘭?瑟蘭尼和管理學(xué)家羅素?艾可夫在前人研究成果的基礎(chǔ)上發(fā)展而來(lái)，科學(xué)地詮釋了人類社會(huì)知識(shí)形成的過(guò)程和層次，具有廣泛適用性。

基于“DIKW層次體系”構(gòu)建的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)框架如下圖所示：

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)框架

如圖所示，網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)框架分為三個(gè)部分：

（1）信息/數(shù)據(jù)層。信息是加工過(guò)的數(shù)據(jù)，由于能納入本系統(tǒng)的都是經(jīng)過(guò)加工、遴選的有價(jià)值的數(shù)據(jù)，故在本系統(tǒng)中并不刻意區(qū)分信息和數(shù)據(jù)。在本層，匯集了網(wǎng)絡(luò)安全領(lǐng)域本體和大量的網(wǎng)絡(luò)安全概念實(shí)體。這些本體描述了網(wǎng)絡(luò)安全領(lǐng)域中一些重要的概念以及概念之間的關(guān)系；網(wǎng)絡(luò)安全實(shí)體則描述了網(wǎng)絡(luò)安全領(lǐng)域的一些元知識(shí)，數(shù)量龐大。

（2）知識(shí)層。知識(shí)層是在信息/數(shù)據(jù)層的基礎(chǔ)上，構(gòu)建網(wǎng)絡(luò)安全知識(shí)圖譜，并將抽象概念邏輯具體化為網(wǎng)絡(luò)安全事件、攻擊模式、攻擊主體、安全戰(zhàn)役、安全報(bào)告等知識(shí)圖譜，成為系統(tǒng)感知、研判網(wǎng)絡(luò)威脅依據(jù)，是整個(gè)系統(tǒng)的“大腦”。

（3）智慧層。智慧層通過(guò)知識(shí)層的知識(shí)沉淀和抽象，析出網(wǎng)絡(luò)安全威脅主體、網(wǎng)絡(luò)安全主題，分析網(wǎng)絡(luò)安全的影響是否達(dá)到我國(guó)“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)”中的相關(guān)標(biāo)準(zhǔn)，以及應(yīng)對(duì)威脅的主要戰(zhàn)術(shù)。

從具體實(shí)現(xiàn)來(lái)看，整個(gè)系統(tǒng)的信息層、知識(shí)層和智慧層三個(gè)層級(jí)的主要功能如下：

（1）信息層。知識(shí)圖譜是本體（Ontology）的數(shù)據(jù)化表示，因此，構(gòu)建知識(shí)圖譜的前提是構(gòu)建領(lǐng)域本體，并采集相關(guān)數(shù)據(jù)，本系統(tǒng)的信息層主要解決網(wǎng)絡(luò)安全本體構(gòu)建和數(shù)據(jù)采集問(wèn)題。本系統(tǒng)在信息層構(gòu)建了14個(gè)網(wǎng)絡(luò)安全知識(shí)本體，通過(guò)爬蟲(chóng)、人工導(dǎo)入等方式，采集了80余萬(wàn)知識(shí)實(shí)體數(shù)據(jù)。這些知識(shí)本體及知識(shí)實(shí)體包括：使用STIX語(yǔ)言描述的網(wǎng)絡(luò)威脅信息，比如攻擊組織等、威脅報(bào)告、IOC情報(bào)等；針對(duì)勒索病毒、特種木馬等高級(jí)威脅的檢測(cè)本體TAC；各類網(wǎng)絡(luò)安全威脅的規(guī)則庫(kù)；基于規(guī)則庫(kù)的多種檢測(cè)規(guī)則；通用漏洞披露數(shù)據(jù)；中國(guó)國(guó)家信息安全漏洞庫(kù)數(shù)據(jù)；作為適用于通用場(chǎng)景的安全組規(guī)則設(shè)置的通用容器平臺(tái)云容器引擎數(shù)據(jù)；用于描述漏洞影響的具體組件及其版本的通用平臺(tái)枚舉數(shù)據(jù)等。

（2）知識(shí)層。在知識(shí)層，對(duì)網(wǎng)絡(luò)安全本體進(jìn)行數(shù)據(jù)化表示，即將網(wǎng)絡(luò)安全涉及的主要概念進(jìn)行具體化，并形成網(wǎng)絡(luò)安全攻擊、防御、戰(zhàn)役、報(bào)告等知識(shí)圖譜。利用STIX報(bào)告，得到內(nèi)部報(bào)告和外部報(bào)告，目前，本系統(tǒng)匯集了465個(gè)內(nèi)部報(bào)告和2280個(gè)外部報(bào)告，這些報(bào)告中包含了若干網(wǎng)絡(luò)安全戰(zhàn)役描述；這些報(bào)告也包含網(wǎng)絡(luò)安全指示器，目前共收集了39920個(gè)STIX的IOC情報(bào)；知識(shí)層的威脅指示器可以析出惡意代碼、軟件和防御策略，而防御策略又和規(guī)則庫(kù)進(jìn)行關(guān)聯(lián)、惡意代碼與TAC關(guān)聯(lián)；在戰(zhàn)役中析出的攻擊模式與威脅指示器中析出的惡意代碼進(jìn)行關(guān)聯(lián)，這些攻擊模式與信息層的檢測(cè)規(guī)則關(guān)聯(lián)；從攻擊模式中發(fā)掘網(wǎng)絡(luò)安全隱患，并進(jìn)一步找到這些隱患存在的目標(biāo)客體，安全隱患與CVE/CNNVD/XCCDF/CCE關(guān)聯(lián)，目標(biāo)客體與CPE關(guān)聯(lián)。這樣一來(lái)，就形成了非常復(fù)雜的網(wǎng)絡(luò)安全動(dòng)態(tài)感知系統(tǒng)知識(shí)層的知識(shí)圖譜。

（3）智慧層。在智慧層，通過(guò)對(duì)網(wǎng)絡(luò)安全報(bào)告的綜合分析，析出網(wǎng)絡(luò)安全威脅主體和主題，其中，網(wǎng)絡(luò)安全威脅主體信息與STIX公布的黑客組織進(jìn)行關(guān)聯(lián)；通過(guò)對(duì)網(wǎng)絡(luò)安全事件本身和安全事件隱患的綜合分析，判斷網(wǎng)絡(luò)安全事件的影響，以及該影響是否達(dá)到了“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)”中的相關(guān)標(biāo)準(zhǔn)，并依情況，選擇對(duì)應(yīng)的防御策略，并根據(jù)其攻擊模式，選擇對(duì)應(yīng)的戰(zhàn)術(shù)。

4 結(jié)束語(yǔ)

本研究基于“DIKW層次體系”圖，構(gòu)建了網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)域知識(shí)圖譜；依據(jù)該知識(shí)圖譜，設(shè)計(jì)了具有動(dòng)態(tài)感知功能，能夠?qū)崿F(xiàn)信息系統(tǒng)主動(dòng)防御的網(wǎng)絡(luò)安全感知、研判、預(yù)警和處置平臺(tái)，實(shí)現(xiàn)了網(wǎng)絡(luò)安全威脅的智能化處理和網(wǎng)絡(luò)安全事件的閉環(huán)管理，與傳統(tǒng)的基于特征庫(kù)比對(duì)的網(wǎng)絡(luò)安全平臺(tái)具有本質(zhì)的區(qū)別。