面向网络空间安全情报的知识图谱综述

2021 年 1 月 8 日 专知


随着网络空间安全情报在网络犯罪、网络战和网络反恐等领域的作用日益凸显,迫切需要对网络空间安全情报的基本理论和综合分析方法进行深入研究。当前,安全情报在实际应用中主要面临着数据类型多样、分布离散、内容不一致等问题,因此引入知识图谱技术框架,旨在利用知识图谱面向海量数据时信息收集及加工整合的思想,提高安全情报的收集效率、情报质量,同时拓展情报的使用范围。本文首先简要回顾安全情报和知识图谱的研究现状,同时介绍知识图谱在安全领域的应用。其次给出面向安全情报的知识图谱构建框架。然后介绍安全情报知识图谱构建的关键技术,包括信息抽取、本体构建和知识推理等。最后,对安全情报知识图谱发展面临的问题进行了讨论。


http://jcs.iie.ac.cn/xxaqxb/ch/reader/view_abstract.aspx?file_no=20200505&flag=1



随着信息化的不断扩大以及网络技术的持续发 展, 网络攻击的方式也在逐渐成熟, 呈现出长持续 性和高隐蔽性的特点, 尤其是在大国博弈中, 高级 可持续威胁(Advanced Persistent Threat, APT)[1]成为国家间网络对抗的主要手段。传统的防御手段如入 侵检测(Intrusion Detection System, IDS), 入侵防御 (Intrusion Prevention System, IPS)等在面对大规模的 结构化应用系统时略显不足, 因此兴起了网络空间 安全情报[2-4], 网络空间安全态势感知[5]等综合防御 策略。


安全情报通过信息的共享, 减少安全风险, 增 强整体的安全性[6]。安全情报包括漏洞情报、威胁情 报、资产情报等可用于安全分析的相关信息。其中, 近几年兴起的威胁情报(Threat Intelligence)是一种基 于证据的信息集合, 用于描述针对资产的威胁信息, 例如恶意 IP 地址, 恶意样本描述, 攻击者特征等。与 其他类型情报相比, 威胁情报更侧重于己方系统之 外, 攻击者及攻击工具的信息描述[7]。使用威胁情报 分析敌手的攻击行为, 可以了解到自身系统的不足, 并随之做出相应的调整, 将被动防御变为主动防御。因此, 威胁情报研究引起了学术界和工业界的广泛 关注, 当前已有针对威胁情报共享机制[8-11], 威胁关 联分析[12-14]等研究方向的探索, 同时威胁情报共享 平台也逐步投入实用 , 如 X-Force-Exchange, ThreatBook, 360TI, Virustotal, Threatcrowd 等。


安全情报提高了网络主动防御的能力, 但是在 其发展和应用方面仍面临诸多问题。首先, 从海量数 据中提取高价值的安全情报存在一定难度。当前安 全情报主要通过人工提交收录的方式增加数量, 缺 少从开放网络信息主动生成安全情报的能力。其次, 安全情报尤其是威胁情报的离散性分布严重。不同 安全情报库中存在信息关联程度较低, 甚至相互冲 突的情况, 降低了安全情报的可信性。另外, 安全情 报的综合使用率较低。威胁情报、漏洞情报等发展 较为独立, 缺少与资产情报的融合分析, 难以充分 发挥安全情报整体的威力。在信息检索领域中广受 关注的知识图谱技术的兴起, 为解决当前安全情报 研究面临的问题提供了一种整体的思路。


知识图谱(Knowledge Graph, KG)[15]并非一个 完全崭新的概念, 其原型是 1998 年由 Tim Berners-Lee 提出的语义网(Semantic Web)[16]。语义网的初 衷是使用语义链接代替无语义链接将互联网信息连 接起来, 但是由于多方面的原因, 语义网的发展较 为缓慢[17]。直到 2012 年, 谷歌借鉴语义网络技术, 提 出知识图谱的概念, 并宣布用知识图谱技术来提升 检索效果, 从而带动了知识图谱技术在信息检索领 域的研究。迄今为止, 成熟的知识图谱产品不断投入 到实际应用中, 如谷歌的 Knowledge Graph, 微软的 Satori, 搜狗的知立方等。同时存储通用知识的知识 库也在逐渐完备, 如 Freebase[18], DBpedia[19]等。在信 息检索领域的成功, 使得知识图谱技术受到越来越 多的关注, 其他领域也相继利用这一技术辅助与支 撑实际应用场景。例如, 在金融领域, 知识图谱技术 被用于股票的分析[20]以及金融诈骗的推理[21]。在公 安情报领域, 知识图谱技术被用于辅助线索分析预防电信诈骗[22]等。


知识图谱通过信息抽取、知识融合、知识推理 等过程[23-24], 将分散在多处以不同形式表示的信息 进行关联融合, 形成一个统一表示且高质量的知识 集, 继而根据现有的知识进行推理, 挖掘潜在的知 识同时产生新的知识, 从而实现安全情报分析的智 能化。基于知识图谱对信息的整合能力, 安全情报知 识图谱将在如下实际场景中发挥作用: (1)安全情报 搜索。在情报库中查找相关情报是较为常见的应用, 准确查找到不同类型的情报将减轻情报分析的工作 量。知识图谱将搜索视为实体的搜索而非简单的字 符串搜索的思想[15], 可用于构建知识层级的查询系 统, 达到提升情报查询结果的相关程度及查询效率 的目的; (2)敌手画像构建。画像构建是根据用户或团 体的属性信息构建用户模型的常用方法。基于威胁 情报等来源对敌手的常用工具、攻击手法、社工情 报等信息进行收集关联, 知识图谱可以构建详细描 述敌手信息的画像, 展示攻击者的全貌, 更精准的 实现攻击溯源; (3)团伙情报挖掘。网络攻击行为通常 由多人或多个团伙发起, 但在要素众多的情报中挖 掘团伙信息面临着困难。知识图谱从主体、事件、 人和物等语义层面构建情报的关联关系, 并根据设 定的规则进行挖掘从中寻找线索, 可实现团伙情报 分析以及隐匿组织的发现; (4)APT 攻击发现: APT 攻 击是当前互联网领域面临的严重威胁, 具备 APT 攻 击的检测能力是实现网络安全的重要保证。当前, 通 过单一的数据分析实现 APT 检测的概率较低, 需要 探索多维度联合的分析方法。知识图谱可以将资产、 威胁、漏洞、流量、日志等信息进行统一描述, 打破 数据鸿沟, 并进一步应用知识推理的方法实现异常 行为的分析, 从而实现 APT 的发现。


目前, 针对安全情报知识图谱的研究和应用仍 较少, 因此, 本文首先通过对知识图谱现有通用技 术以及在网络安全领域的应用进行调研总结, 归纳 出面向安全情报的知识图谱构建框架。然后, 对其关 键技术进行系统梳理, 旨在将知识图谱技术引入安 全情报领域。最后, 探讨知识图谱技术在安全情报研 究与应用中仍需解决的问题。


本文的组织结构如下: 第 2 节简要介绍安全情 报的发展和通用知识图谱构建技术, 给出安全情报 知识图谱的应用场景; 第 3 节提出安全情报知识图 谱构建框架; 第 4 节梳理安全情报知识图谱构建的 关键技术, 并讨论存在的问题; 第 5 节展望安全情报 知识图谱的未来研究方向。在下文中, 若无特殊说明, 使用情报知识图谱指代安全情报知识图谱, 情报知识代替安全情报知识。


专知便捷查看

便捷下载,请关注专知公众号(点击上方蓝色专知关注)

  • 后台回复“KGCS” 可以获取《面向网络空间安全情报的知识图谱综述》专知下载链接索引

专知,专业可信的人工智能知识分发,让认知协作更快更好!欢迎注册登录专知www.zhuanzhi.ai,获取5000+AI主题干货知识资料!
欢迎微信扫一扫加入专知人工智能知识星球群,获取最新AI专业干货知识教程资料和与专家交流咨询
点击“ 阅读原文 ”,了解使用 专知 ,查看获取5000+AI主题知识资源
登录查看更多
2

相关内容

专知会员服务
64+阅读 · 2021年5月3日
专知会员服务
47+阅读 · 2021年4月9日
专知会员服务
51+阅读 · 2021年3月28日
跨媒体分析与推理技术研究综述
专知会员服务
69+阅读 · 2021年3月11日
知识图谱构建技术:分类、调查和未来方向
专知会员服务
111+阅读 · 2021年3月1日
专知会员服务
89+阅读 · 2021年1月17日
专知会员服务
48+阅读 · 2020年11月20日
专知会员服务
108+阅读 · 2020年10月27日
科技大数据知识图谱构建方法及应用研究综述
专知会员服务
134+阅读 · 2020年8月12日
基于知识图谱的推荐系统研究综述
专知会员服务
327+阅读 · 2020年8月10日
论文浅尝 | 基于知识图谱难度可控的多跳问题生成
开放知识图谱
5+阅读 · 2020年2月16日
知识图谱的自动构建
DataFunTalk
55+阅读 · 2019年12月9日
网络安全威胁情报概述
计算机与网络安全
6+阅读 · 2019年8月14日
清华大学:人工智能之知识图谱(附PPT)
人工智能学家
69+阅读 · 2019年6月9日
网络安全 | 威胁情报、态势感知相关汇总
计算机与网络安全
3+阅读 · 2019年1月31日
深度学习应用于网络空间安全所面临的十大问题与机遇
计算机研究与发展
21+阅读 · 2018年6月7日
科普 | 动态本体简介
开放知识图谱
13+阅读 · 2017年11月11日
Arxiv
19+阅读 · 2020年7月13日
Compositional Generalization in Image Captioning
Arxiv
3+阅读 · 2019年9月16日
Position-aware Graph Neural Networks
Arxiv
15+阅读 · 2019年6月11日
Arxiv
3+阅读 · 2019年3月1日
Nocaps: novel object captioning at scale
Arxiv
6+阅读 · 2018年12月20日
Arxiv
7+阅读 · 2018年11月27日
Arxiv
21+阅读 · 2018年5月23日
Arxiv
7+阅读 · 2018年4月11日
Arxiv
10+阅读 · 2017年11月22日
VIP会员
相关VIP内容
专知会员服务
64+阅读 · 2021年5月3日
专知会员服务
47+阅读 · 2021年4月9日
专知会员服务
51+阅读 · 2021年3月28日
跨媒体分析与推理技术研究综述
专知会员服务
69+阅读 · 2021年3月11日
知识图谱构建技术:分类、调查和未来方向
专知会员服务
111+阅读 · 2021年3月1日
专知会员服务
89+阅读 · 2021年1月17日
专知会员服务
48+阅读 · 2020年11月20日
专知会员服务
108+阅读 · 2020年10月27日
科技大数据知识图谱构建方法及应用研究综述
专知会员服务
134+阅读 · 2020年8月12日
基于知识图谱的推荐系统研究综述
专知会员服务
327+阅读 · 2020年8月10日
相关资讯
论文浅尝 | 基于知识图谱难度可控的多跳问题生成
开放知识图谱
5+阅读 · 2020年2月16日
知识图谱的自动构建
DataFunTalk
55+阅读 · 2019年12月9日
网络安全威胁情报概述
计算机与网络安全
6+阅读 · 2019年8月14日
清华大学:人工智能之知识图谱(附PPT)
人工智能学家
69+阅读 · 2019年6月9日
网络安全 | 威胁情报、态势感知相关汇总
计算机与网络安全
3+阅读 · 2019年1月31日
深度学习应用于网络空间安全所面临的十大问题与机遇
计算机研究与发展
21+阅读 · 2018年6月7日
科普 | 动态本体简介
开放知识图谱
13+阅读 · 2017年11月11日
相关论文
Arxiv
19+阅读 · 2020年7月13日
Compositional Generalization in Image Captioning
Arxiv
3+阅读 · 2019年9月16日
Position-aware Graph Neural Networks
Arxiv
15+阅读 · 2019年6月11日
Arxiv
3+阅读 · 2019年3月1日
Nocaps: novel object captioning at scale
Arxiv
6+阅读 · 2018年12月20日
Arxiv
7+阅读 · 2018年11月27日
Arxiv
21+阅读 · 2018年5月23日
Arxiv
7+阅读 · 2018年4月11日
Arxiv
10+阅读 · 2017年11月22日
Top
微信扫码咨询专知VIP会员