安全知识图谱 技术白皮书 m 践行安全知识图谱 携手迈进认知智能 u th ge Gr ph Cy ec u rit y Knowle d ge G be rS ra Cy b e r K n ow l e d h i g 5 b ur ity ap c Se o .c 安全知识图谱技术白皮书 关于绿盟科技 绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000 年 4 月,总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所 创业板上市,证券代码:300369。绿盟科技在国内设有 50 余个分支机构, 为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企 业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运 营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗 设立海外子公司和办事处,深入开展全球业务,打造全球网络安全行业 的中国品牌。 b u c . 5 h t i g 版权声明 为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经 过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息, 均不会出现在本报告中。 2 m o CONTENTS 执行摘要 001 01 网络安全智能化发展趋势 003 02 安全知识图谱技术框架 2.1 概念内涵 007 c . 5 2.2 技术优势 2.3 核心框架 03 b u 安全知识图谱关键技术 h t i g 3.1 本体建模 3.2 图谱构建 3.3 知识表示 3.4 图谱推理 m o 008 010 011 016 017 022 029 031 04 安全知识图谱典型应用场景 4.1 ATT&CK 威胁建模 035 4.2 APT 威胁追踪 036 4.3 企业智能安全运营 041 4.4 网络空间测绘 049 4.5 软件供应链安全 055 4.6 两安融合的工业系统防护 059 05 063 安全知识图谱技术发展趋势 06 结语 b u h t i g 附录:参考文献 c . 5 068 071 073 m o 执行摘要 执行摘要 随着云计算、5G、物联网、工业互联网等信息基础设施关键技术的发展,网络空间已串 联起工业物理系统、人类社会系统以及网络信息系统,成为社会数字经济发展的基石。与此 同时,网络空间的攻击面随之延伸和拓展,网络空间攻防双方信息的不对称性现象愈发明显。 伴随着攻防对抗态势的升级,自动化、智能化技术与攻防技术的融合已成为网络安全技术发 展的必然趋势之一。 安全知识图谱作为安全领域的专用知识图谱,由节点和边组成大规模的安全语义网络, 为真实安全世界的各类攻防场景提供直观建模方法。第一,通过知识图谱框架进行高效融合 m o 海量零散分布的多源异构安全数据;第二,图语言将安全知识可视化、关系化和体系化,非 常直观和高效;第三,自带安全语义,威胁分析可以模拟安全专家的思考过程去发现、求证、 c . 5 推理。安全知识图谱是实现网络安全认知智能的关键,亦是应对网络空间高级、持续、复杂 威胁与风险不可或缺的技术基础。 b u 绿盟科技推出安全知识图谱的技术白皮书《践行安全知识图谱,携手迈进认知智能》, 旨在对安全知识图谱概念内涵、核心框架、关键技术和应用实践进行全面地总结与介绍,期 h t i g 望为读者带来全新的技术思考,助力网络安全智能化迈入认知智能阶段。 本技术白皮书的主要观点如下: ●● 认知智能是网络攻防智能化的必然趋势:人工智能应用进入深水区,从感知智能走向 认知智能是必然趋势。随着网络空间攻防对抗态势不断升级演化,网络攻防与人工智 能技术及应用进行深度协同,共同迈向认知智能。 ●● 实战攻防场景是安全知识图谱的“试金石”:安全知识图谱从实验室研究走进实战化 的安全攻防,走进常态化的日常安全监测中,以实战对抗等方式促进安全知识图谱的 安全保障能力提升,具有非常重要的意义。 ●● 安全知识图谱将成为 APT 威胁追踪的关键:APT 网络攻击具有攻击手段复杂、潜伏 期长、危害性高的特点,安全知识图谱统一描述 APT 攻击每个阶段的 TTPs,实现对 APT 攻击的威胁追踪,掌握攻击者的攻击特征,发掘潜在的危机,支持预测并防范 未来的攻击行为。 ●● 安全知识图谱为海量安全数据提供有效管理:安全威胁分析难题不在于数据的缺乏, 而在于管理和使用这些数据的能力。安全知识图谱将不同的安全信息组合成一个整体 001 安全知识图谱技术白皮书 的智能图景,通过图可视化交互功能分析复杂威胁并制定最佳防御。 ●● 自动化构建技术推动安全知识图谱工程化:人工构建图谱耗时耗力,构建出的图谱 规模较小,导致实用能力有限。积极探索降低人工参与度,通过机器去批量化自动执 行安全知识抽取,利用知识表示和知识推理模型补全关系,提升自动化安全知识图谱 构建水平是推动安全知识图谱工程化的关键。 ●● 促进安全知识图谱生态建设,共同推动网络安全智能化:安全知识图谱关键技术研究 和攻防场景应用实践目前仍处于早期阶段,需要技术生态的构建,促进相关标准的制 定和人才的培养,共同推动网络安全智能从感知智能迈向认知智能。 h t i g b u c . 5 m o 01 c . 5 b u h t 网络安全智能化 i g 发展趋势 m o 安全知识图谱技术白皮书 人工智能是新一轮科技竞赛的制高点,对经济增长和国家安全均至关重要。近 10 年来人 工智能快速发展,当前人工智能处于由感知智能向认知智能发展的阶段。足够多、足够好的 数据支撑人工智能“感知”阶段,而以深度学习算法为代表的智能模型使计算机拥有思维, 从而达到“理解、决策”,推动“认知”阶段的兴起,就是实现具有推理、可解释性、认知 的人工智能。认知智能往往需要提取内在隐含的知识,或者基于背景关联知识获得认知结果, 基于同样的数据在不同的业务需求、不同的背景知识下认知结果可能大不相同。中国科学院 院士张钹在《迈向第三代人工智能》[1] 中指出:当前人工智能方法存在局限性,数据驱动的 本质缺陷在于只能学习重复出现的片段,不能学习具有语义的特征。因此,探索具有语义推 m o 理能力的“认知”智能技术,将知识驱动与数据驱动结合,是走向真正的人工智能的关键。 随着人工智能迈入认知阶段,人工智能因其智能化与自动化的识别及处理能力、强大的 c . 5 数据分析能力,可与网络空间安全技术及应用进行深度协同,对网络空间安全的理论、技术、 方法、应用产生重要影响,促进了网络安全技术的变革性进步 [2]。近年来网络空间攻防对抗 态势不断升级,对抗由过去的工具化逐步进化到了自动化和智能化。攻击者通过人工智能发 b u 现新漏洞,监控用户行为进行自动化攻击或诱骗动作等;面对智能网络攻击,我们需要充分 利用人工智能技术进行智能化的安全防御,需要针对多源异构安全数据的深度挖掘、统计计 h t i g 算、关联分析等技术进行革新与丰富,全面提高威胁攻击的识别、响应和反制速度,提升风 险防范的预见性和准确性。伴随着攻防对抗态势的升级,自动化、智能化技术与攻防技术的 融合已成为网络安全技术发展的必然趋势之一。所以,人工智能技术的蓬勃发展加快推动了 网络安全智能化发展。 决策智能 围绕核心业务目标,基于推 认知智能 融合多维、多源异构数据, 感知智能 面向流量、样本、情报等 专家系统 基于专家经验与知识构建的知 识库和预置的自动化匹配机制、 多种类型行为的分析与异 实现关联、消歧、回溯、 预测等深度推理,从关键 线索中得出具有丰富上下 文与逻辑的结论。 常检测,从大规模背景数 据中自动识别、分类关键 信息。 流程,实现典型安全防御检测、 响应策略的生成。 图 1 网络安全智能防御技术发展阶段 004 理结论与任务依赖、环境依 赖、响应效果评估等方法, 获得鲁棒的决策结果和行动 方案。 网络安全智能化发展趋势 回顾网络安全智能化攻防发展历程,智能化成为网络安全防御的核心动能。我们可以将 智能驱动的网络安全防御技术发展大致划分为四个阶段,如图 1 所示,包括专家系统阶段、 感知智能阶段、认知智能阶段以及决策智能阶段。以下分别简要进行介绍: ●● 专家系统阶段:专家系统能够利用安全专家的知识和解决问题的方法来处理安全领域 问题。在专家系统阶段,防护设备与系统的自动化和智能化,主要基于专家经验与知 识驱动的专家系统。面向不同的应用场景,需要专家编写指定的检测规则系统、响应 规则系统等。这些以列表结构、树结构、图结构简单组织的规则逻辑结构,能够有效 自动化响应特定分析场景下的攻击行为。从专家系统的外部来看,该系统确实能够表 m o 现出智能分析的效果。然而,随着攻防技术的快速迭代和升级,攻防场景与流程的细 化,此类专家系统一方面系统分析逻辑的完备性在大数据场景下迎来关键挑战,针对 c . 5 攻击的误报率、漏报率和整体准确性性能衰减很快;另一方面难以有效自适应演化, 过度依赖专家资源,可维护性低,能够支撑的场景愈发受限。 ●● b u 感知智能阶段:感知智能是对大规模安全数据的采集和特征抽取,完成威胁识别。随 着机器学习、深度学习技术的研究开展,网络安全防御中面临的诸多检测和分类问 h t i g 题,也迎来新的解决方案⸺智能感知,即从大规模数据中,进行识别、检测和分类, 挖掘出异常的、恶意的攻击行为。例如恶意流量、恶意样本、恶意邮件、异常业务等 分析场景中,通过数据驱动的算法能够高效的数据统计规律建模,挖掘恶意行为 / 样 本与正常行为 / 样本之间的关键区分性特征。虽然在诸多威胁感知场景下,基于统计 机器学习的智能分析方法取得了重要的突破,但在面对高度动态复杂的网络行为分析 时,感知层输入往往缺乏有安全语义的规范化建模,数据层次异常而非真实恶意攻击 的误报情况难以避免。此外,多维度单点的感知分析结果,仍需要深度的专家参与的 研判与关联分析,才能完整还原攻击行为全貌,限制了 APT 等高级复杂攻击技战术 的分析自动化水平的提升。 ●● 认知智能阶段:认知智能是对安全数据的数据间关系和逻辑进行分析理解,强调知识 和推理。面向复杂网络环境、复杂攻击技术组合以及多层次多源异构的数据融合,网 络空间安全防御亟需具有能够实现深度理解分析能力的认知智能技术方案。不限于感 知层的孤立的识别范围和分析深度,认知层主要负责实现数据、

pdf文档 绿盟 安全知识图谱技术白皮书

文档预览
中文文档 82 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共82页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
绿盟 安全知识图谱技术白皮书 第 1 页 绿盟 安全知识图谱技术白皮书 第 2 页 绿盟 安全知识图谱技术白皮书 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-06-17 05:28:14上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。