九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

智能清静运营的“准备翼”|浅谈知识图谱手艺怎样赋能智能清静运营

2021-03-15

基于人工智能的清静运营手艺计划（AISecOps）将大幅提升威胁检测、危害评估、自动化响应等要害运营环节的处置惩罚效率，大幅镌汰对专家履历的依赖，助力网络清静运营工业的手艺升级。近年来，知识图谱手艺获得了迅速生长，本文旨在探讨智能的清静运营手艺中知识图谱手艺的应用价值、构建挑战及难点所在。。

一、概述

网络情形自己可以与图数据结构团结，因此将知识图谱手艺引入到智能清静运营中具备可行性。知识图谱的看法由谷歌提出，实质上是一种叫做语义网络的知识库。清静运营知识图谱是以清静运营领域知识图谱为焦点，面向网络情形数据、威胁行为数据、威胁情报数据、清静运营知识库等，构建本体化、标准化、全局化的知识结构。现在图结构以及图剖析算法的研究生长迅速，图结构及图算法也已经被应用到网络清静场景中。

海内方面，已有许多产品和研究关注清静数据的图剖析要领。例如，研究职员[1]团结知识图谱设计了多个本体对整个网络威胁举行建模剖析，并兼容MITRE 的CAPEC、MAEC 和ATT&CK 等模子的接入与使用，能够从多种威胁情报中提取要害信息并作为知识对知识图谱举行扩展。

只管一直有新的手艺和模子引入，但是实现智能清静运营依旧保存许多灾点，例如：1、网络攻击手段的一直前进导致网络威胁评估难度一直增大；2、现有清静装备检测网络攻击行为爆发的告警数目重大，怎样从海量告警中找到真正的网络攻击是一浩劫题；3、由于攻击手段的多样性和重大性以及数据收罗等导致的攻击链路断裂，无法锁定该攻击行为的上下文。

现在清静职员需要人工从海量的告警信息中去举行威胁评估，进而关联溯源，剖析发明攻击路径，清静防护的难度很大。因而提取清静运营中的专家知识，构建知识图谱引入到清静运营中，通过条理化的剖析使清静运营越发智能，具备主要的研究意义和应用价值。

二、知识图谱赋能智能清静运营

将知识图谱应用到智能清静运营之前，首先需要明确的是，智能清静运营营业是否需要知识图谱的加入。在海量的清静数据轰炸下，智能清静运营需要强烈的可视化需求，当发明攻击行为的时间，需要涉及到种种行为之间因果依赖关系的深度搜索，综合多个方面清静数据的关联剖析，该领域十分依赖于清静专家的履历。除此之外随着高级一连威胁的一直生长，重大的网络攻击往往隐藏在重大的关系网络数据中。知识图谱就是为此类问题所设计的，因此知识图谱可以推动智能清静运营的生长。

知识体现手艺和知识获取手艺是能否乐成应用知识图谱的要害。知识体现手艺主要是设置数据处置惩罚的粒度，由于差别人的认知是差别的，这导致粒度的设置面临重大的挑战。构建清静运营的知识图谱时需要团结专家知识来确定知识的粒度。知识获取手艺是使用现有自动化的手艺完成知识的获取，知识的质量是知识图谱质量的要害。

搜索领域最早应用知识图谱是为了提供用户想要的内容，让用户找到自己最想要的那种寄义，将网页搜索升级为语义搜索[2]。清静运营知识图谱是为了辅助清静运营职员剖析息争决清静问题。《AISecOps 智能清静运营手艺白皮书》[3]中智能清静运营前沿手艺图谱就提到了知识图谱在清静运营中的作用，其指出超融合知识图谱是运营数据关联剖析、智能决议、行动响应的主要数据基础设施。只管近年来有诸多研究事情和厂商产品在一连探索多源数据的融合计划与清静领域知识图谱的构建要领，在超融合知识图谱的设计、手艺实现等多个方面，仍保存多方面的挑战。

图1智能清静运营前沿手艺图谱[3]

智慧清静知识图谱[1]（Intelligent Cyber Security Knowledge Graph）是知识图谱在网络清静领域的现实应用，包括基于本体论构建的清静知识本体架构，以及通过威胁建模等方法对多源异构的网络清静领域信息（ Heterogeneous Cyber Security Information）举行加工、处置惩罚、整合，转化成为的结构化的智慧清静领域知识库。

针对信息清静领域知识图谱构建的两个要害要素，构建了威胁元语言模子对威胁知识的结构化形貌，包括看法、实体、属性的界说以及知识关系的界说。研究中依据STIX2.0以及领域专家知识，构建三层清静知识图谱，如图2所示，知识图谱辅助清静事务剖析、清静合规标准、APT追踪溯源等现实营业场景所需的数据体现和语义关系,其中,信息层为知识图谱从外界抽取的知识实体，知识层和智慧层为信息清静领域要害看法及这些看法之间的逻辑语义关系[4]。

图2 清静知识图谱

合理的设计本体库是图结构设计的要害使命，构建清静运营知识图谱的难点也是在于本体的构建以及其之间的关系挖掘。本体包括图中实体（节点）类型、实体的属性类型以及实体间的关系类型（即实体之间边的类型），即体现图结构的笼统看法结构“类”。本体库的设计不但要遵照一定的规范标准，并且切合特定应用场景下的指定需求。例如，ATT&CK（AdversarialTactics, Techniques, and Common Knowledge）是一个攻击行为知识库和威胁建模模子，自宣布以来已逐渐生长为网络威胁剖析语境下的通用元语，其提供了四个焦点的实体（战术, 手艺, 软件, 组织）及其之间的关系，而CAPEC 则主要笼罩TTP、防护手段、懦弱性等看法，若是直接参照STIX 2.0，则需要笼罩十余种工具。

因此构建可用、可拓展的知识图，需要从详细场景入手逐步扩展。除此之外参考已有知识来构建清静运营知识图谱需注重的是清静运营的告警规则与ATT&CK等知识库之间的关联需要很是重大的信息抽取能力和很是重大的笼统先验知识[5]，现阶段该历程接纳自动系统是难以实现的。鉴于大规模非结构化文本中包括大宗实体和关系噪声，对清静运营领域的知识抽取，会造成统计条理、语义条理的滋扰，因此在知识抽取的历程中需举行模式和指纹的过滤，以提升抽取知识的质量以及知识拓展的效率。

综上所述，在构建清静运营知识图谱的历程面临着本体库设计，知识库关联，知识抽取，以及知识拓展等多方面的挑战。清静运营知识图谱获取知识的历程需要凭证现实应用场景改变或增添来一直优化和推理完善。将特定清静运营场景中真实网络的威胁行为的知识库转化为企业自身的清静运营知识图，需要企业建设自身清静运营场景的攻击实验局，一直修正知识结构。

在特定清静运营场景下，由攻防知识富厚的清静专家关于告警数据及清静运营知识举行筛选构建图谱，该历程不但需要思量现有告警、攻击手法及响应操作，并且需要思量未来可能爆发的转变，一直的细化数据之间的条理关系，确定该场景下的知识粒度，构建该场景下的智能清静运营知识图谱，接纳知识推理�？檎雇堤逯淝痹诘墓叵�，从海量告警中找出未被关注的网络攻击行为，推理出隐藏在深条理的网络攻击威胁，为清静运营提供要领和战略，以顺应指定场景下的威胁剖析使命。虽然未来是需要探索怎样凭证差别的场景来设计一个完整智能清静运营领域图谱的模式，利便清静专家知识的一直融合和完善。

三、竣事语

知识图谱是近年来新兴的手艺，其应用空间很大。现在在智能清静运营中还没有很好的应用实例，可是知识图谱领域一个主要的研究是知识推理，是人工智能领域生长的重点之一。而AISecOps正是让AI具备清静运营的知识，具备清静知识的推理能力，因此一直完善知识图谱是AISecOps的要害手艺之一。怎样让知识图谱更好地赋能智能的清静运营手艺，增进AISecOps更好地生长尚有很长的路要走，这需要网络清静职员配合探索。

参考文献

[1] 基于知识图谱的APT 组织追踪治理，九游老哥科技，https://cloud.tencent.com/developer/article/1556638

[2] https://baike.www.zhxhl.com/item/%E7%9F%A5%E8%AF%86%E5%9B%BE%E8%B0%B1/8120012?fr=aladdin

[3] 《AISecOps 智能清静运营手艺白皮书》, http://blog.nsfocus.net/wp-content/uploads/2020/12/AISecOps_White_Paper_NSFOCUS_20201218.pdf

[4] 清静知识图谱助力内部威胁识别

[5] ATT&CK框架在企业清静运营中的局限

<<上一篇

AISecOps白皮书英华解读之手艺系统篇

>>下一篇

倒计时3天 | 九游老哥科技相助同伴大会即将盛启

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号