安全知识图谱技术白皮书践行安全知识图谱,携手迈进认知智能
Cyber Security Knowledge GraphCyber Security Knowledge Graph践行安全知识图谱 携手迈进认知智能安全知识图谱技术白皮书 CONTENTS安全知识图谱技术白皮书2关于绿盟科技绿盟科技集团股份有限公司(以下简称绿盟科技),成立于2000年4月,总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有50余个分支机构,为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处,深入开展全球业务,打造全球网络安全行业的中国品牌。版权声明为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经 过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息,均不会出现在本报告中。 CONTENTS执行摘要 00101 网络安全智能化发展趋势 00302 安全知识图谱技术框架 0072.1 概念内涵 0082.2 技术优势 0102.3 核心框架 01103 安全知识图谱关键技术 0163.1 本体建模 0173.2 图谱构建 0223.3 知识表示 0293.4 图谱推理 031 04 安全知识图谱典型应用场景 0354.1 ATT&CK 威胁建模 0364.2 APT 威胁追踪 0414.3 企业智能安全运营 0494.4 网络空间测绘 0554.5 软件供应链安全 0594.6 两安融合的工业系统防护 06305安全知识图谱技术发展趋势 06806结语 071附录:参考文献 073 001执行摘要执行摘要随着云计算、5G、物联网、工业互联网等信息基础设施关键技术的发展,网络空间已串联起工业物理系统、人类社会系统以及网络信息系统,成为社会数字经济发展的基石。与此同时,网络空间的攻击面随之延伸和拓展,网络空间攻防双方信息的不对称性现象愈发明显。伴随着攻防对抗态势的升级,自动化、智能化技术与攻防技术的融合已成为网络安全技术发展的必然趋势之一。安全知识图谱作为安全领域的专用知识图谱,由节点和边组成大规模的安全语义网络,为真实安全世界的各类攻防场景提供直观建模方法。第一,通过知识图谱框架进行高效融合海量零散分布的多源异构安全数据;第二,图语言将安全知识可视化、关系化和体系化,非常直观和高效;第三,自带安全语义,威胁分析可以模拟安全专家的思考过程去发现、求证、推理。安全知识图谱是实现网络安全认知智能的关键,亦是应对网络空间高级、持续、复杂威胁与风险不可或缺的技术基础。绿盟科技推出安全知识图谱的技术白皮书《践行安全知识图谱,携手迈进认知智能》,旨在对安全知识图谱概念内涵、核心框架、关键技术和应用实践进行全面地总结与介绍,期望为读者带来全新的技术思考,助力网络安全智能化迈入认知智能阶段。本技术白皮书的主要观点如下: ●认知智能是网络攻防智能化的必然趋势:人工智能应用进入深水区,从感知智能走向认知智能是必然趋势。随着网络空间攻防对抗态势不断升级演化,网络攻防与人工智能技术及应用进行深度协同,共同迈向认知智能。 ●实战攻防场景是安全知识图谱的“试金石”:安全知识图谱从实验室研究走进实战化的安全攻防,走进常态化的日常安全监测中,以实战对抗等方式促进安全知识图谱的安全保障能力提升,具有非常重要的意义。 ●安全知识图谱将成为APT威胁追踪的关键:APT网络攻击具有攻击手段复杂、潜伏期长、危害性高的特点,安全知识图谱统一描述APT攻击每个阶段的TTPs,实现对APT攻击的威胁追踪,掌握攻击者的攻击特征,发掘潜在的危机,支持预测并防范未来的攻击行为。 ● 安全知识图谱为海量安全数据提供有效管理:安全威胁分析难题不在于数据的缺乏,而在于管理和使用这些数据的能力。安全知识图谱将不同的安全信息组合成一个整体 安全知识图谱技术白皮书的智能图景,通过图可视化交互功能分析复杂威胁并制定最佳防御。 ● 自动化构建技术推动安全知识图谱工程化:人工构建图谱耗时耗力,构建出的图谱规模较小,导致实用能力有限。积极探索降低人工参与度,通过机器去批量化自动执行安全知识抽取,利用知识表示和知识推理模型补全关系,提升自动化安全知识图谱构建水平是推动安全知识图谱工程化的关键。 ●促进安全知识图谱生态建设,共同推动网络安全智能化:安全知识图谱关键技术研究和攻防场景应用实践目前仍处于早期阶段,需要技术生态的构建,促进相关标准的制定和人才的培养,共同推动网络安全智能从感知智能迈向认知智能。 01网络安全智能化发展趋势 安全知识图谱技术白皮书004人工智能是新一轮科技竞赛的制高点,对经济增长和国家安全均至关重要。近10年来人工智能快速发展,当前人工智能处于由感知智能向认知智能发展的阶段。足够多、足够好的数据支撑人工智能“感知”阶段,而以深度学习算法为代表的智能模型使计算机拥有思维,从而达到“理解、决策”,推动“认知”阶段的兴起,就是实现具有推理、可解释性、认知的人工智能。认知智能往往需要提取内在隐含的知识,或者基于背景关联知识获得认知结果,基于同样的数据在不同的业务需求、不同的背景知识下认知结果可能大不相同。中国科学院院士张钹在《迈向第三代人工智能》[1]中指出:当前人工智能方法存在局限性,数据驱动的本质缺陷在于只能学习重复出现的片段,不能学习具有语义的特征。因此,探索具有语义推理能力的“认知”智能技术,将知识驱动与数据驱动结合,是走向真正的人工智能的关键。随着人工智能迈入认知阶段,人工智能因其智能化与自动化的识别及处理能力、强大的数据分析能力,可与网络空间安全技术及应用进行深度协同,对网络空间安全的理论、技术、方法、应用产生重要影响,促进了网络安全技术的变革性进步[2]。近年来网络空间攻防对抗态势不断升级,对抗由过去的工具化逐步进化到了自动化和智能化。攻击者通过人工智能发现新漏洞,监控用户行为进行自动化攻击或诱骗动作等;面对智能网络攻击,我们需要充分利用人工智能技术进行智能化的安全防御,需要针对多源异构安全数据的深度挖掘、统计计算、关联分析等技术进行革新与丰富,全面提高威胁攻击的识别、响应和反制速度,提升风险防范的预见性和准确性。伴随着攻防对抗态势的升级,自动化、智能化技术与攻防技术的融合已成为网络安全技术发展的必然趋势之一。所以,人工智能技术的蓬勃发展加快推动了网络安全智能化发展。专家系统感知智能认知智能基于专家经验与知识构建的知识库和预置的自动化匹配机制、流程,实现典型安全防御检测、响应策略的生成。面向流量、样本、情报等多种类型行为的分析与异常检测,从大规模背景数据中自动识别、分类关键信息。融合多维、多源异构数据,实现关联、消歧、回溯、预测等深度推理,从关键线索中得出具有丰富上下文与逻辑的结论。决策智能围绕核心业务目标,基于推理结论与任务依赖、环境依赖、响应效果评估等方法,获得鲁棒的决策结果和行动方案。图1 网络安全智能防御技术发展阶段 005网络安全智能化发展趋势回顾网络安全智能化攻防发展历程,智能化成为网络安全防御的核心动能。我们可以将智能驱动的网络安全防御技术发展大致划分为四个阶段,如图1所示,包括专家系统阶段、感知智能阶段、认知智能阶段以及决策智能阶段。以下分别简要进行介绍: ●专家系统阶段:专家系统能够利用安全专家的知识和解决问题的方法来处理安全领域问题。在专家系统阶段,防护设备与系统的自动化和智能化,主要基于专家经验与知识驱动的专家系统。面向不同的应用场景,需要专家编写指定的检测规则系统、响应规则系统等。这些以列表结构、树结构、图结构简单组织的规则逻辑结构,能够有效自动化响应特定分析场景下的攻击行为。从专家系统的外部来看,该系统确实能够表现出智能分析的效果。然而,随着攻防技术的快速迭代和升级,攻防场景与流程的细化,此类专家系统一方面系统分析逻辑的完备性在大数据场景下迎来关键挑战,针对攻击的误报率、漏报率和整体准确性性能衰减很快;另一方面难以有效自适应演化,过度依赖专家资源,可维护性低,能够支撑的场景愈发受限。 ●感知智能阶段:感知智能是对大规模安全数据的采集和特征抽取,完成威胁识别。随着机器学习、深度学习技术的研究开展,网络安全防御中面临的诸多检测和分类问题,也迎来新的解决方案⸺�智能感知,即从大规模数据中,进行识别、检测和分类,挖掘出异常的、恶意的攻击行为。例如恶意流量、恶意样本、恶意邮件、异常业务等分析场景中,通过数据驱动的算法能够高效的数据统计规律建模,挖掘恶意行为/样本与正常行为/样本之间的关键区分性特征。虽然在诸多威胁感知场景下,基于统计机器学习的智能分析方法取得了重要的突破,但在面对高度动态复杂的网络行为分析时,感知层输入往往缺乏有安全语义的规范化建模,数据层次异常而非真实恶意攻击的误报情况难以避免。此外,多维度单点的感知分析结果,仍需要深度的专家参与的研判与关联分析,才能完整还原攻击行为全貌,限制了APT等高级复杂攻击技战术的分析自动化水平的提升。 ●认知智能阶段:认知智能是对安全数据的数据间关系和逻辑进行分析理解,强调知识和推理。面向复杂网络环境、复杂攻击技术组合以及多层次多源异构的数据融合,网络空间安全防御亟需具有能够实现深度理解分析能力的认知智能技术方案。不限于感知层的孤立的识别范围和分析深度,认知层主要负责实现数据、情报、知识、环境等多维度数据的自动关联、语义消歧,构建更完整、更丰富的数据湖基础设施,进而基于数据湖,实现威胁溯源归因、攻击意图识别与行动预测等与安全专家相媲美的自动化分析能力。在认知智能阶段,自然语言处理技术、知识图谱、因果推理、意图理解 安全知识图谱技术白皮书等认知层次的智能技术与安全场景、安全数据的融合水平,成为认知智能技术发展的关键因素。 ●决策智能阶段:决策智能在认知的基础上进行安全决策,其目标就是将信息转化为更好的防御行动。网络安全防御系统的决策效果,将影响到信息业务系统、物理设备甚至社会组织的稳定运行状态,是经济、安全、政治攸关的。因此,在感知和认知的基础上,只有具备决策智能的网络安全防御系统,才能够进一步在安全防御策略自主构建、自适应脆弱性修复、攻击事件响应与缓解等传统完全依赖系统负责人与安全专家部署的策略制定过程中实现自动化。决策的过程受到诸多方面的影响,包括信息收集的精确性评估、策略知识的完备性识别、系统风险的整体量化以及决策系统的效果预测等等。这些关键能力的构建,都依赖于负责、鲁棒、透明的可信任安全智能技术基础设施。网络安全智能化的发展,正随着多维度感知智能技术的演进,向认知智能和决策智能化方向演进。在这个过程中,安全知识图谱技术,已成为整个技术体系的基础性核心工作。安全知识图谱技术,一方面,通过本体建模、实体对齐、链接构建等方式,为认知、决策过程提供超融合的数据基础设施,是大规模异构数据源统一分析的基础;另一方面,基于知识图谱的推理,包括表示学习、关联分析、事件溯源、行为预测等能力,是认知智能的主要组成部分;最后,围绕知识图谱构建的逐层推理与分析,为指定场景下决策智能的达成提供了关键输入要素和策略构建框架。推进网络空间安全知识图谱的构建与基于知识图谱的推理技术走向成熟,已成为网络安全智能从感知智能迈向认知智能、决策智能的必由之路,亦是应对网络空间高级、持续、复杂威胁与风险不可或缺的技术基础。 02安全知识图谱技术框架 安全知识图谱技术白皮书0082.1 概念内涵知识图谱是由谷歌提出的概念,其本质是由实体(概念)及实体(概念)间关系,以及关联属性组成的一种语义网络,通过结构化的数据组织结构,以有效表示实体(概念)之间的语义关联关系。一个典型的知识图谱主要可划分为模式层和数据层。 ●模式层是整个知识图谱构建的基础,是数据组织的范式,一般通过本体库的设计实现。本体,是结构化知识库的概念模板,描述了数据的元信息与元结构。 ●数据层是根据模式层本体模板范式生成的实体、关系及属性的实例集合,这些实例描述某一类或某一个概念的知识事实。从知识图谱的知识范畴、应用场景
