馮國震

（安邦保險集團，北京 100022）

1 引言

近年來，網(wǎng)絡(luò)安全威脅情報逐步升溫為一項高級安全服務(wù)，不再是簡單的情報收集、歸總，而是融入了安全、大數(shù)據(jù)、情報分析等元素的綜合性服務(wù)。隨著APT攻擊的普遍化，威脅情報服務(wù)更在全球市場上呈現(xiàn)爆發(fā)式的發(fā)展，這是應(yīng)對APT攻擊的必然選擇，同時也是大數(shù)據(jù)與網(wǎng)絡(luò)安全行業(yè)結(jié)合的必然產(chǎn)物，對進行信息安全研究、應(yīng)對信息安全事件有重要意義。

威脅情報的發(fā)展訴求是追求與大數(shù)據(jù)的緊密結(jié)合，進行高效率的智能決策。知識圖譜包含人工智能、語義解析、數(shù)據(jù)融合等多種技術(shù)，可以依托大數(shù)據(jù)直觀展現(xiàn)元素關(guān)系、梳理脈絡(luò)、預測未來發(fā)展趨勢，已逐步成為研究人員解決威脅情報問題的有力工具。

2 知識圖譜

知識圖譜，以相關(guān)聯(lián)數(shù)據(jù)集為依托，對元素進行定位標注，形成數(shù)據(jù)間關(guān)系網(wǎng)絡(luò)并通過可視化進行展現(xiàn)。本質(zhì)上來講，知識圖譜是一種語義網(wǎng)絡(luò)，在大數(shù)據(jù)環(huán)境下，Web資源膨脹、信息量激增，這為知識圖譜帶來了新的挑戰(zhàn)與機遇，在復雜的數(shù)據(jù)環(huán)境中整合有用資源并進行處理，梳理資源關(guān)聯(lián)性，就形成了語義知識網(wǎng)絡(luò)。知識圖譜應(yīng)用廣泛，除了在圖書情報中進行文獻搜索、梳理研究現(xiàn)狀、指導未來研究方向，甚至在公司戰(zhàn)略部署中也發(fā)揮著重要作用，它能很好的抽象企業(yè)資源，獲取隱性知識，支持決策與管理。

知識圖譜的主要優(yōu)勢在于知識搜索、融合以及可視化展現(xiàn)上：知識圖譜的可用性依托于大數(shù)據(jù)的龐大資源以及逐步優(yōu)化的搜索算法，給用戶提供所需要的資源；復雜的語義環(huán)境，必然引出復雜的實體關(guān)系，在眾多實體中，知識圖譜會提取實體標簽，比對資源語義，對實體進行分類、融合，乃至抽象，以此降低實體關(guān)聯(lián)的難度，減少由于語義處理帶來的混淆；知識圖譜展現(xiàn)實體關(guān)系，為用戶清晰的展現(xiàn)所需實體的屬性及關(guān)聯(lián)關(guān)系，推理用戶的隱性需求，輔助進一步搜索操作。

3 知識圖譜在威脅情報中的應(yīng)用

威脅情報是一項綜合性較高的安全服務(wù)，其關(guān)鍵元素可大致分為如下4點：判定威脅情報；梳理組織資產(chǎn)，明確威脅情報范圍；網(wǎng)絡(luò)安全檢測、態(tài)勢感知；威脅情報融合、分析。威脅情報的各階段工作都圍繞著情報的獲取、語義理解、關(guān)聯(lián)建立，針對這一特性，結(jié)合知識圖譜的優(yōu)勢，提出基于知識圖譜的威脅情報研究模型，見圖1。

3.1 知識圖譜應(yīng)用于情報判定

情報判定是威脅情報應(yīng)用的第一步，快速區(qū)分、定位威脅情報是進行情報研究、分析的前提。威脅的三個因素可以歸結(jié)于意圖、能力和機會，也就是攻擊的目的、手段、利用的脆弱性。在這個階段，依托大數(shù)據(jù)的知識圖譜可以快速獲取情報信息，進行標注管理，提取目標實體并進行關(guān)聯(lián)。

圖1 基于知識圖譜的威脅情報研究模型

情報判定的依據(jù)除了三個必要因素外，威脅情報標準也同樣重要，如結(jié)構(gòu)化威脅信息描述格式STIX、網(wǎng)絡(luò)特征描述格式CybOX、開源威脅指標OpenIOC等。將知識圖譜與威脅情報指標進行匹配，進行數(shù)據(jù)規(guī)范，將大幅提升情報判定的效率、正確率。以STIX為例，其標準的主要因素有：Obsverable（所觀察到的行為）、Indicators（威脅指標）、Incident（意外事件）、TFP、Campaign（攻擊動機）等，這些要素可以作為知識圖譜的數(shù)據(jù)字段，對情報進行規(guī)范化整理，并在后續(xù)進行關(guān)聯(lián)，生成知識圖譜的可視化網(wǎng)絡(luò)結(jié)構(gòu)。

3.2 知識圖譜應(yīng)用于態(tài)勢感知

2017年第三屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會上，騰訊做了態(tài)勢感知平臺構(gòu)建的演講，提出態(tài)勢感知需要基于大數(shù)據(jù)，成熟的情報數(shù)據(jù)整合平臺需要以海量數(shù)據(jù)為支撐的威脅情報知識圖譜構(gòu)建，同時，應(yīng)細分場景、共享共治，發(fā)揮技術(shù)優(yōu)勢。

網(wǎng)絡(luò)檢測是威脅情報獲取的一種重要手段，而態(tài)勢感知是網(wǎng)絡(luò)檢測的重要技術(shù)。態(tài)勢感知是對研究對象狀態(tài)的集合，是一個從大局觀出發(fā)的概念，是網(wǎng)絡(luò)檢測的一種新型手段。態(tài)勢感知的底層是一組部署于網(wǎng)絡(luò)內(nèi)或網(wǎng)絡(luò)進出口的探針，探針用于原始數(shù)據(jù)采集，主要是網(wǎng)絡(luò)原始流量。原始流量進行清洗后獲得信息，規(guī)范化的信息可以借助知識圖譜的技術(shù)優(yōu)勢組建知識網(wǎng)絡(luò)，同時理解、分析知識網(wǎng)絡(luò)中各個實體的意圖及特征。知識網(wǎng)絡(luò)的組建為進一步執(zhí)行狀態(tài)評估提供了數(shù)據(jù)來源，根據(jù)實體的標簽進行分類整理，并以原有知識體系推理新的實體所歸屬的類別及產(chǎn)生的影響。

3.3 知識圖譜應(yīng)用于威脅情報融合及推理

知識融合及推理是知識圖譜技術(shù)很重要的一部分，在威脅情報領(lǐng)域也同樣發(fā)揮著巨大的作用，其主要實現(xiàn)途徑主要包括語義規(guī)則的構(gòu)建、貝葉斯網(wǎng)絡(luò)、D-S理論以及知識挖掘。威脅情報來源往往差異性較大，因此異構(gòu)的情報數(shù)據(jù)進行整理、分析、加工、推理及驗證后與信息、知識、方法、經(jīng)驗進行充分融合，有利于形成高質(zhì)量的威脅情報網(wǎng)絡(luò)。這個過程中主要借助于知識圖譜的相關(guān)技術(shù)，減少因同義、多義、語意環(huán)境復雜等問題導致的情報冗余、混淆，排除因語義解析所導致的多實體重復、關(guān)系屬性不一致等沖突。

基于知識圖譜的威脅情報推理是一種基于圖和邏輯的推理形式，在現(xiàn)有的威脅情報知識庫中進一步挖掘隱性關(guān)聯(lián)，從而豐富知識網(wǎng)絡(luò)、發(fā)現(xiàn)新的威脅情報聯(lián)系。推理的對象可以是實體、實體屬性、實體間聯(lián)系等。推理的過程需要借助于知識圖譜的關(guān)聯(lián)規(guī)則，這些規(guī)則可以是基于屬性的，也可以是基于關(guān)系的。

威脅情報的融合及推理不同于傳統(tǒng)融合，在確定情報范圍后，會選取文本、圖像、動態(tài)等多形式威脅情報，對本體進行建模實現(xiàn)只是抽取，最后在情報關(guān)系網(wǎng)絡(luò)的基礎(chǔ)上，進行關(guān)系發(fā)現(xiàn)，更新威脅情報知識網(wǎng)絡(luò)。

3.4 知識圖譜指導威脅情報研究

對現(xiàn)有研究成果進行文獻梳理、知識整合是快速獲得威脅情報研究歷史、知識體系、未來趨勢的手段，近年來不斷涌現(xiàn)出威脅情報研究綜述和總結(jié)性成果文章，但文章多為總結(jié)性描述或單一的詞頻分析，很難將大量的文獻整合分析，梳理出較為全面、客觀的研究體系。運用知識圖譜技術(shù)，能夠?qū)⑹占暮Ａ课墨I轉(zhuǎn)換為威脅情報領(lǐng)域的全面圖景，直觀展現(xiàn)學科研究現(xiàn)狀、發(fā)展趨勢。

2014年李文娟、楊國立在其文章中，應(yīng)用知識圖譜，以CSSCI數(shù)據(jù)庫5年的情報學文獻，通過CiteSpace Ⅱ?qū)ξ墨I進行規(guī)范分析，梳理了相關(guān)情報學研究的機構(gòu)、分布以及研究方向，為情報學的現(xiàn)有研究做了可視化展現(xiàn)。同樣的，知識圖譜可以應(yīng)用于威脅情報文獻的相關(guān)研究，以權(quán)威數(shù)據(jù)庫為數(shù)據(jù)來源，以文獻索引及參考文獻為原始數(shù)據(jù)進行規(guī)范，再以知識圖譜工具進行分析整理。通過分析相關(guān)文獻，一方面可以為威脅情報研究構(gòu)建知識網(wǎng)絡(luò)體系，另一方面也可以指導威脅情報領(lǐng)域研究方向。

4 結(jié)束語

知識圖譜最初被應(yīng)用于文獻知識整理及發(fā)現(xiàn)，而隨著大數(shù)據(jù)時代的到來，已被應(yīng)用于文化、經(jīng)濟、生活的各個領(lǐng)域，是一種依托大數(shù)據(jù)可視化展現(xiàn)、預測實體關(guān)聯(lián)的強大工具。在威脅情報領(lǐng)域，知識圖譜的研究還處在初期，隨著威脅情報的標準化、數(shù)據(jù)資源的極大豐富、態(tài)勢感知等網(wǎng)絡(luò)檢測技術(shù)的發(fā)展，知識圖譜的應(yīng)用范圍也隨著越來越廣。但在具體的應(yīng)用上還存在諸多需要解決的問題，如威脅情報融合、態(tài)勢感知的知識網(wǎng)絡(luò)構(gòu)建等。高效、智能的知識融合、推理、語義解析算法還需學者們進一步研究，以便推動知識圖譜技術(shù)在威脅情報領(lǐng)域的應(yīng)用。

[1] 范佳佳.論大數(shù)據(jù)時代的威脅情報[J].圖書情報工作，2016，60（06）：15-20.

[2] 張曉芳.知識圖譜在圖書情報中的應(yīng)用[J].內(nèi)蒙古科技與經(jīng)濟，2016（09）：105-106.

[3] Malgorzata Sliwa，Justyna Patalas-Maliszewska.A Strategic Knowledge Map for the Research and Development Department in a Manufacturing Company[J].Foundations of Management，2016，8（1）.

[4] 林晨希，薛麗敏，韓松.淺析網(wǎng)絡(luò)安全威脅情報的發(fā)展與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（06）：12-13+15.

[5] 邱均平，余厚強.知識科學視角下國際知識融合研究進展與趨勢[J].圖書情報工作，2015，59（08）：126-132+148.

[6] 李文娟，楊國立.近五年我國情報學研究知識圖譜分析[J].情報科學，2014，32（01）：104-109.

[7] Janis Grundspenkis，Alla Anohina.Evolution of the Concept Map Based Adaptive Knowledge Assessment System：Implementation and Evaluation Results[J].Scientific Journal of Riga Technical University.Computer Sciences，2009，38（38）.

[8] Ming Li，Bao Wen Sun，Wei Zhang.An Approach to the Construction of the Personalized Knowledge Map in Knowledge Management Systems[J].Applied Mechanics and Materials，2014，3342（598）.