行业 | 安全知识图谱走入实际应用,六大场景赋能安全业务
发布日期:2021-11-25
来源: 中国信息安全
在各种新概念铺天盖地而来的今天,知识图谱可谓是最接近“人工智能”的概念。2012 年 5 月 17 日,Google 正式提出了知识图谱(Knowledge Graph),目的是为了优化搜索引擎返回的结果,增强用户搜索质量及体验。
例如,当你搜索“江苏省的省会”,返回的结果不是江苏而是南京市。这说明,搜索引擎“理解”了你的意图,通过你的搜索语句推测和分析出你真正想要的结果。
知识图谱是一种基于图的数据结构,本质上是语义网络(Semantic Network),它把复杂的知识领域通过数据挖掘、信息处理、知识计量和图形绘制而显示出来,揭示知识领域的动态发展规律,提供切实的、有价值的参考。
知识图谱应用越来越广泛,当你在搜索信息、看新闻、刷短视频、购物时,所看到的每条打动你的内容,背后都有可能有知识图谱的作用。
知识图谱在网络安全领域的应用也日益深入。近日,绿盟科技正式推出安全知识图谱,并发布安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》(以下简称“白皮书”),对安全知识图谱的概念内涵、核心框架、关键技术和应用实践进行全面总结与介绍,助力网络安全智能化迈入认知智能阶段。
绿盟科技天枢实验室主任研究员顾杜娟认为,网络空间安全知识图谱的构建与基于知识图谱的推理技术已经走向成熟,已成为网络安全智能从感知智能迈向认知智能、决策智能的必由之路,是应对网络空间高级、持续、复杂威胁与风险不可或缺的技术基础。
知识图谱如何理解“安全”场景?顾杜娟介绍,安全知识图谱作为一种实体和概念等安全知识的高效组织形式,能够发挥其知识整合的优势,将零散分布的多源异构的安全数据组织起来,为网络安全空间的威胁建模、风险分析、攻击推理等提供数据分析和知识推理方面的支持,从而加速安全进入认知智能阶段。
安全知识图谱的引入,让整个安全体系都更“懂”安全。顾杜娟总结,知识图谱的优势有三点:高效、直观、智能。例如,知识图谱让溯源调查更加高效。在终端分析过程中如果采用传统基于表格的形式,在某些路径溯源的时候效率明显低下,而知识图谱是通过关联到已有知识,就能识别出业务的正常与异常,攻击者和正常用户的区别。再例如,在异常检测、识别攻击上,以前只能根据预防与攻击有明显的语义简单区分,但加入了知识图谱之后,有了更丰富的上下文,可以知道这个行为具体是什么,是怎么来的。
对当前安全知识图谱的具体应用,白皮书给出了六类主要应用场景。顾杜娟认为,在这六个应用场景中,知识图谱发挥了底层安全数据的最大价值,为安全业务真正赋能。
ATT&CK 威胁建模:基于 ATT&CK 对各个攻击生命周期的攻击行为建模。安全知识图谱一般包含基础的威胁建模知识与威胁攻击数据,可根据威胁相关知识的融合抽象,提供更细粒度、更动态的建模理论框架。
APT 威胁追踪:通过威胁情报关键要素的抽取与动态行为推理,实现 APT 攻击者团伙的威胁主体画像与自动归因,辅助攻击事件的研判与取证。
企业智能安全运营:基于安全知识图谱的事件风险画像、攻击路径调查、响应策略推荐,能够提供丰富的、具有安全语义的上下文,有效支撑动态事件的研判和策略部署,降低安全运营对专家经验与知识的依赖
网络空间测绘:实现面向网络空间测绘领域知识图谱的语义搜索、查询,智能问答和知识推理等任务,将资产、漏洞、安全机制、攻击模式等信息进行关联分析和数据融合汇聚,充分掌握网络空间资产及其状况。
软件供应链安全:构建软件供应链知识图谱,通过知识图谱的关联与推理,完成软件供应链的风险识别、高风险推荐、影响范围分析和缓解措施决策等。
两安融合的工业系统防护:安全知识图谱运用大数据分析和图挖掘技术,对现代工业控制系统中信息层和物理层的耦合关系进行深度解析,实现“决策制定、风险预判、事故分析、攻击识别”等能力的智能化辅助和自动化处理。
据介绍,绿盟安全知识图谱平台“天枢启智”已经通过CESI(中国电子技术标准化研究院)组织的“知识图谱产品认证”,证明绿盟科技安全知识图谱在知识构建和应用层面已经达到应用水平。
新技术新概念的推广不仅是一家之力,在安全知识图谱的推广应用上,顾杜娟表示,安全知识图谱关键技术研究和攻防场景应用实践目前还仍处于早期阶段,绿盟科技不仅投身于知识图谱的国家标准制定等工作,还积极分享有效方法论及实践经验,通过开放技术生态的构建,推动知识图谱在安全行业的应用和发展,让网络安全共同迈向认知智能。
