1.背景

隨著信息化及網(wǎng)絡(luò)技術(shù)的持續(xù)發(fā)展, 網(wǎng)絡(luò)攻擊手段也日漸成熟，并呈現(xiàn)出長持續(xù)性、高復(fù)雜性和高隱蔽性的特點。面對高級可持續(xù)威脅(Advanced Persistent Threat, APT)等高級攻擊方式，除了傳統(tǒng)基于IOC（Indicator of Compromise）的防御策略，還需要采用網(wǎng)絡(luò)安全情報、安全態(tài)勢感知等綜合防御策略。網(wǎng)絡(luò)安全情報一般包括：漏洞情報、威脅情報、資產(chǎn)情報等用于安全分析的相關(guān)信息。其中，威脅情報(Threat Intelligence)是一種基于證據(jù)的信息, 用于描述針對資產(chǎn)的威脅信息（例如：惡意IP地址、惡意樣本描述、攻擊者特征等）。利用威脅情報可以分析攻擊行為，了解系統(tǒng)不足并隨之做出相應(yīng)的調(diào)整, 變被動防御為主動防御。

雖然利用網(wǎng)絡(luò)安全情報可以提高網(wǎng)絡(luò)主動防御的能力, 但是在具體落地應(yīng)用時仍面臨諸多挑戰(zhàn)，包括（1）如何從海量數(shù)據(jù)中提取高價值的安全情報（2）如何解決網(wǎng)絡(luò)安全情報的可信性（3）如何提升網(wǎng)絡(luò)安全情報的綜合使用率。2012年，谷歌借鑒語義網(wǎng)技術(shù)提出了知識圖譜(Knowledge Graph, KG)概念, 帶動了知識圖譜技術(shù)在信息檢索領(lǐng)域的研究和應(yīng)用。知識圖譜產(chǎn)品不斷出現(xiàn)，如：谷歌的Knowledge Graph、微軟的Satori、搜狗的知立方、Freebase、DBpedia等。知識圖譜在商業(yè)應(yīng)用領(lǐng)域也獲得了應(yīng)用，如：在金融領(lǐng)域中，將知識圖譜技術(shù)用于股票分析以及反金融詐騙等；在公安情報領(lǐng)域, 將知識圖譜技術(shù)用于輔助線索分析、預(yù)防電信詐騙等。

針對網(wǎng)絡(luò)安全情報落地應(yīng)用時面臨的挑戰(zhàn)，網(wǎng)絡(luò)安全界也開始嘗試將知識圖譜技術(shù)應(yīng)用于網(wǎng)絡(luò)安全情報及應(yīng)用領(lǐng)域。目前，針對網(wǎng)絡(luò)安全情報知識圖譜的研究仍處于早期階段，安全知識圖譜在網(wǎng)絡(luò)安全領(lǐng)域缺乏應(yīng)用實踐。

本文首先介紹了知識圖譜技術(shù)的基礎(chǔ)知識和安全知識圖譜概念內(nèi)涵。其次分析了安全知識圖譜構(gòu)建流程和關(guān)鍵技術(shù)；最后描述了安全知識圖譜技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的可能應(yīng)用場景。

2.知識圖譜概念

2.1 知識圖譜提出

知識圖譜并不是一個新的概念，其原型來自于1998年由Tim Berners-Lee 提出的語義網(wǎng)(Semantic Web)。萬維網(wǎng)的目的是構(gòu)建以“鏈接”為中心的全球信息系統(tǒng)，任何人都可以通過添加鏈接的方式把自己的文檔鏈接到這個系統(tǒng)中。WWW這種形式只表示網(wǎng)頁之間存在鏈接關(guān)系，不能描述網(wǎng)頁之間的鏈接含有的語義關(guān)系，計算機(jī)無法有效的從萬維網(wǎng)中識別出這樣的語義信息。為了解決萬維網(wǎng)存在的問題，萬維網(wǎng)的創(chuàng)始人Tim Berners-Lee于1998年提出的語義網(wǎng)(Semantic Web)的概念。和萬維網(wǎng)一樣，語義網(wǎng)仍然基于鏈接和圖的組織方式，只是圖中的節(jié)點代表的不只是網(wǎng)頁，而是客觀世界中的實體，超鏈接也增加了語義描述，具體表明實體之間的關(guān)系，即語義網(wǎng)的本質(zhì)是關(guān)于數(shù)據(jù)的互聯(lián)網(wǎng)或者是事物的互聯(lián)網(wǎng)。

知識圖譜是語義網(wǎng)技術(shù)在具體應(yīng)用場景中的一種簡化商業(yè)實現(xiàn)，是基于語義網(wǎng)的概念、方法、技術(shù)和工具等的具體構(gòu)建。

2.2 知識圖譜定義

首先我們了解下知識的定義。根據(jù)維基百科的定義，知識是關(guān)于某個主體確信的認(rèn)識，并且這些認(rèn)識擁有潛在的能力為特定目的而使用。關(guān)于主體的事實或狀態(tài)就稱為知識，包括：認(rèn)識或了解某種科學(xué)、藝術(shù)或技巧；通過研究或經(jīng)驗而獲得的一整套知識或資訊。我們可以用SPO（Subject-Predicate-Object）知識三元組來表示知識，如圖1所示。

圖1 SPO知識三元組

知識圖譜是一種用圖模型描述知識和建模世間萬物之間的關(guān)聯(lián)關(guān)系的技術(shù)方法，其目的是從數(shù)據(jù)中識別、發(fā)現(xiàn)和推斷事物與概念之間的復(fù)雜關(guān)系，是關(guān)于事物關(guān)系的計算模型，如圖2所示[1]。

圖2 知識圖譜：事物關(guān)系的可計算模型

舉例1：簡單的知識圖譜

知識圖譜使用圖表示多條知識及其關(guān)系，是一個由節(jié)點和邊組成的有向圖，其基本構(gòu)成單元為SPO知識三元組。知識圖譜中的節(jié)點可以是實體（如一個人或一本書），也可以是抽象概念，如人工智能、知識圖譜等。邊可以是實體的屬性，如人名、書名，也可以是實體之間的關(guān)系，如朋友、配偶關(guān)系等。一個簡單的知識圖譜，如圖3所示[1]。

圖3 簡單的知識圖譜

舉例2：完整的知識圖譜

完整的知識圖譜由三層組成：

(1)預(yù)定義詞匯層：表示知識所用的語言（OWL、RDFS)。

(2)詞匯層：使用本體定義語言定義的詞匯。以上兩層構(gòu)成了我們所稱的知識本體。

(3)數(shù)據(jù)層：使用知識本體詞匯表示的具體知識。

圖4所示為一個關(guān)于羅納爾多的完整知識圖譜。

圖4 球星羅納爾多的知識圖譜(圖片來自于網(wǎng)絡(luò)）

2.3 知識圖譜分類

知識圖譜可分為通用知識圖譜和領(lǐng)域知識圖譜兩大類。

（1）通用知識圖譜

以DBPedia、Yago、Wikidata、百度和Google的搜索引擎所使用的知識圖譜為代表，其主要特征是：知識來自于互聯(lián)網(wǎng)上開放的數(shù)據(jù)或眾包數(shù)據(jù)，以事實型知識為主，以搜索和問答為主要形式，對知識的質(zhì)量容忍度較寬。

（2）領(lǐng)域知識圖譜

面向具體的應(yīng)用領(lǐng)域，如阿里巴巴電商知識圖譜，醫(yī)療領(lǐng)域的醫(yī)學(xué)語義網(wǎng)UMLS、GeneOnto、金融領(lǐng)域的Kenso等。領(lǐng)域知識圖譜的主要特征是：數(shù)據(jù)來自具體的應(yīng)用領(lǐng)域，來源多樣；知識結(jié)構(gòu)復(fù)雜，通常包含復(fù)雜的本體工程和規(guī)則型的知識；知識抽取質(zhì)量要求高；對推理的要求高，可解釋型要求強(qiáng)。

2.4 知識圖譜的構(gòu)建流程

知識圖譜方法論涉及知識的表示、知識獲取、知識處理及知識應(yīng)用多個方面。一般的流程為：確定知識表示模型；根據(jù)數(shù)據(jù)來源選擇不同的知識獲取手段導(dǎo)入知識；利用知識推理、知識融合、知識挖掘等技術(shù)提升知識圖譜的質(zhì)量；根據(jù)場景需求設(shè)計不同的知識訪問和呈現(xiàn)方式等，如圖5所示[1]。

圖5 知識圖譜構(gòu)建流程

（1）知識來源

根據(jù)應(yīng)用領(lǐng)域確定知識來源。不同的數(shù)據(jù)源的知識化都需要綜合不同的技術(shù)手段，例如：對于文本數(shù)據(jù)源，我們需要利用自然語言處理技術(shù)（NLP）實現(xiàn)實體識別、實體鏈接、關(guān)系提取、事件提?。粚τ诮Y(jié)構(gòu)化數(shù)據(jù)庫，可能需要定義結(jié)構(gòu)化數(shù)據(jù)到本體模型的語義映射，使用語義翻譯工具實現(xiàn)結(jié)構(gòu)化數(shù)據(jù)到知識圖譜的轉(zhuǎn)化。

（2）知識表示和本體工程

知識表示是指用用計算符號描述和表示知識，以支持計算機(jī)能模擬人的心智進(jìn)行推理的方法和技術(shù)。知識表示決定了知識圖譜構(gòu)建輸出的目標(biāo)，包括：語義描述框架，如W3C的RDF；Schema和本體，定義知識圖譜的類集、屬性集、關(guān)系集和詞匯集；知識交換的語法，定義知識實際存在的物理格式，如Turtle、JSON等；實體命名和ID體系，定義實體的命名原則與唯一標(biāo)識規(guī)范等。

（3）知識抽取

知識抽取按照任務(wù)可分為概念抽取、實體識別、關(guān)系抽取、事件抽取和規(guī)則抽取等?，F(xiàn)代知識圖譜的構(gòu)建通常基于已有的結(jié)構(gòu)化數(shù)據(jù)資源進(jìn)行轉(zhuǎn)化，形成基礎(chǔ)數(shù)據(jù)集，在此基礎(chǔ)上使用自動化知識抽取和知識圖譜補(bǔ)全技術(shù)，使用多種數(shù)據(jù)源進(jìn)一步擴(kuò)展知識圖譜，通過人工眾包進(jìn)一步提升知識圖譜的質(zhì)量。

（4）知識融合

知識融合是指將不同來源的知識進(jìn)行對齊、合并的工作，目的在于形成全局統(tǒng)一的知識標(biāo)識和關(guān)聯(lián)。在構(gòu)建知識圖譜時，不可避免的需要使用第三方的知識庫產(chǎn)品，但不同知識圖譜之間既存在的本體異構(gòu)也存在實體異構(gòu)，需要使用知識融合技術(shù)解決異構(gòu)問題。數(shù)據(jù)層的融合是指實體和關(guān)系元組的融合，包括：實體對齊、實體消歧或共指消解。模式層的融合使用本體對齊將新得到的本體融入已有的本體庫中，以及新舊本體的融合，一般采用專家人工構(gòu)建和本體演化管理框架實現(xiàn)本體對齊。

（5）知識圖譜補(bǔ)全和推理

我們可能無法獲得關(guān)于客體的全部知識，但我們可以利用已存在的知識通過推理和補(bǔ)全技術(shù)獲得關(guān)于客體的新知識并添加到知識圖譜中。實現(xiàn)知識圖譜補(bǔ)全的方法包括：基于本體推理的補(bǔ)全方法，基于圖結(jié)構(gòu)和關(guān)系路徑特征的補(bǔ)全方法，基于表示學(xué)習(xí)和圖嵌入的補(bǔ)全方法，利用文本信息輔助的補(bǔ)全方法等。

（6）知識檢索和知識分析

基于知識圖譜的知識檢索的實現(xiàn)形式主要包括語義檢索和智能問答，使得搜索引擎可以直接對事物進(jìn)行檢索。知識圖譜和語義技術(shù)也可用于數(shù)據(jù)分析和決策，Plantir利用知識圖譜和語義技術(shù)增強(qiáng)數(shù)據(jù)之間的關(guān)聯(lián)，使用戶可以更加直觀的圖的方式對數(shù)據(jù)進(jìn)行關(guān)聯(lián)挖掘與分析。知識圖譜和語義技術(shù)可以用于實現(xiàn)描述性數(shù)據(jù)分析。

3.安全知識圖譜概念

3.1 安全知識圖譜定義

安全知識圖譜（Cyber Security Knowledge Graph）是知識圖譜在網(wǎng)絡(luò)安全領(lǐng)域的實際應(yīng)用，屬于領(lǐng)域知識圖譜，包括：基于本體論構(gòu)建的安全知識本體架構(gòu)，以及通過威脅建模等方式將多源異構(gòu)的網(wǎng)絡(luò)安全領(lǐng)域信息進(jìn)行加工、處理、整合，轉(zhuǎn)化成結(jié)構(gòu)化的網(wǎng)絡(luò)安全領(lǐng)域知識庫。

舉例：圖6展示了一個來自惡意軟件、攻擊關(guān)系知識圖譜。

圖6 安全知識圖譜示意（圖片來自網(wǎng)絡(luò)）

3.2 安全知識圖譜特點

與通用知識圖譜相比, 安全知識圖譜具有以下特點:

（1）知識來源不同

通用知識圖譜的知識來源于互聯(lián)網(wǎng)開放數(shù)據(jù)，主要是互聯(lián)網(wǎng)上廣泛存在的半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，從中提取出人類可理解的一般意義上的通用知識。安全知識圖譜的知識主要來源于即包括互聯(lián)網(wǎng)上對網(wǎng)絡(luò)安全問題研究的分析成果：如來自于網(wǎng)絡(luò)安全機(jī)構(gòu)的研究報告、權(quán)威機(jī)構(gòu)發(fā)布的威脅情報、商用/開源威脅情報、安全論壇博客中發(fā)布的對相關(guān)網(wǎng)絡(luò)安全問題的分析、IT企業(yè)發(fā)布的安全漏洞信息、惡意軟件分析報告等；也包括來自企業(yè)內(nèi)部擁有的的安全數(shù)據(jù)；既有結(jié)構(gòu)化的數(shù)據(jù)，如權(quán)威機(jī)構(gòu)發(fā)布的威脅情報、商用/開源威脅情報；也有半結(jié)構(gòu)化/非結(jié)構(gòu)化的數(shù)據(jù)，如：安全論壇中發(fā)布的博文、惡意軟件分析報告、安全研究報告等。

（2）信息抽取的技術(shù)不同

信息抽取技術(shù)包括如何從異構(gòu)數(shù)據(jù)源中自動抽取信息得到候選指示單元。信息抽取是一種自動化地從半結(jié)構(gòu)化和無結(jié)構(gòu)數(shù)據(jù)中抽取實體、關(guān)系以及實體屬性等結(jié)構(gòu)化信息的技術(shù)。涉及的關(guān)鍵技術(shù)包括：命名實體識別（named entity recognition，NER）、關(guān)系抽?。≧elation Extraction）和屬性抽取（Attribute Extraction）。

通用知識圖譜的知識大部分來自于互聯(lián)網(wǎng)上文本數(shù)據(jù)，這些文本數(shù)據(jù)的目標(biāo)是供人類閱讀的，描述的內(nèi)容也是普通大眾可理解的；對于這樣的文本數(shù)據(jù)的理解，一直是自然語言理解的主要研究內(nèi)容，有大量的成熟的信息提取工具可用，如Stanford NLP庫。安全知識圖譜的知識也來源于互聯(lián)網(wǎng)上的文本數(shù)據(jù)，但這類數(shù)據(jù)是供具有安全知識背景的安全專家來閱讀的，使用領(lǐng)域內(nèi)約定的描述方式來表達(dá)，其描述的內(nèi)容也只有他們才可以理解；研究表明，通用NLP工具難以用于安全領(lǐng)域的文本信息處理。

（3）本體庫不同

無論是通用知識圖譜還是領(lǐng)域知識圖譜，均需根據(jù)具體的應(yīng)用構(gòu)建本體庫。近20年來，通用知識圖譜研究和應(yīng)用獲得了廣泛的關(guān)注和研究，尤其是W3C語義網(wǎng)的標(biāo)準(zhǔn)化，本體的研究趨于成熟，有成熟的本體庫可供使用；即便是在具體的知識圖譜的應(yīng)用領(lǐng)域，如電商知識圖譜、醫(yī)療知識圖譜、金融知識圖譜，對本體的研究也取得了長足的進(jìn)展。但在網(wǎng)絡(luò)安全知識圖譜領(lǐng)域，由于相關(guān)的研究和應(yīng)用才剛剛開始，對本體的研究仍處于初級階段，尚缺乏成熟的、公認(rèn)的關(guān)于網(wǎng)絡(luò)安全的知識本體庫可供使用。

4.安全知識圖譜的構(gòu)建

4.1 構(gòu)建框架

安全知識圖譜旨在借助知識圖譜技術(shù)對分散的安全知識情報進(jìn)行整合, 實現(xiàn)安全情報聚合分析和應(yīng)用場景擴(kuò)展等目的。安全知識圖譜的構(gòu)建框架與通用知識圖譜構(gòu)建框架相同，如圖7所示（*表示安全知識圖譜構(gòu)建專有的技術(shù)）[3]。

安全知識圖譜的構(gòu)建過程同樣包括三個層次:

(1)信息抽?。喊▽嶓w抽取、關(guān)系抽取和屬性抽取;

(2)知識融合：實現(xiàn)多源異質(zhì)信息的形式層面與內(nèi)容層面的融合, 包括實體鏈接、本體工程、

質(zhì)量評估的過程

(3)知識加工與應(yīng)用,：主要實現(xiàn)知識的后端處理, 包括知識存儲、知識表示和知識推理。

圖7 安全知識圖譜構(gòu)建框架

4.2 關(guān)鍵技術(shù)

盡管安全知識圖譜與通用知識圖譜采用相同的構(gòu)建框架，但我們無法直接使用成熟的知識圖譜技術(shù)解決安全知識圖譜構(gòu)建中存在的專有問題，這些問題主要集中在安全知識圖譜構(gòu)建流程的前幾個階段。

關(guān)鍵技術(shù)1: 安全情報信息發(fā)現(xiàn)

高效自動化從海量互聯(lián)網(wǎng)信息中準(zhǔn)確的發(fā)現(xiàn)安全相關(guān)的信息是構(gòu)建安全知識圖譜的關(guān)鍵。互聯(lián)網(wǎng)上的網(wǎng)絡(luò)安全信息主要由兩類構(gòu)成：（1）分析后得到的網(wǎng)絡(luò)安全情報，如來自網(wǎng)絡(luò)安全機(jī)構(gòu)的研究報告、權(quán)威機(jī)構(gòu)發(fā)布的威脅情報、商用/開源威脅情報；（2）廣泛發(fā)布于互聯(lián)網(wǎng)上的各種有關(guān)網(wǎng)絡(luò)安全的信息，如暗網(wǎng)、安全論壇、博客、自媒體等。

研究方向：如何高效的從海量的互聯(lián)網(wǎng)信息中篩選出與安全有關(guān)的信息，如：詞頻統(tǒng)計、支持向量機(jī)等；如何確定所發(fā)現(xiàn)的安全類信息的可信性，如：多源安全信息關(guān)聯(lián)分析技術(shù)等[3]。

關(guān)鍵技術(shù)2：安全信息抽取

安全信息提取與自然信息領(lǐng)域的信息提取技術(shù)存在較大的差別，大致可分為兩類：基于機(jī)器學(xué)習(xí)的規(guī)則匹配方法和基于自然語言處理的方法兩大類。

研究方向：（1）如何利用機(jī)器學(xué)習(xí)算法來減少規(guī)則的數(shù)量或自動生成規(guī)則, 解決匹配效率與抽取準(zhǔn)確率平衡的問題。（2）通用NLP工具難以用于處理安全領(lǐng)域的文本信息[4]，建立網(wǎng)絡(luò)安全相關(guān)的語料庫，目前此領(lǐng)域的工作幾乎空白。

關(guān)鍵技術(shù)3：安全本體構(gòu)建

在安全知識圖譜研究領(lǐng)域，安全本體的研究較為廣泛，但主要是面向安全特定領(lǐng)域的，例如：態(tài)勢感知、入侵檢測、漏洞挖掘、物聯(lián)網(wǎng)安全等，尚缺少統(tǒng)一的成熟的安全本體可供借鑒。

研究方向：（1）自頂向下的安全本體構(gòu)建技術(shù)[2]，從網(wǎng)絡(luò)安全研究的原理、需求、規(guī)范等抽象角度出發(fā), 定義安全知識的范圍和安全本體框架。（2）自下向上的安全本體構(gòu)建技術(shù)[2]，從現(xiàn)有安全數(shù)據(jù)的格式、內(nèi)容、結(jié)構(gòu)化程度出發(fā)構(gòu)建安全本體。（3）本體學(xué)習(xí)技術(shù)，利于機(jī)器學(xué)習(xí)技術(shù)，從安全數(shù)據(jù)中提取新的概念和上下文關(guān)系，不斷更新安全本體。

關(guān)鍵技術(shù)4：知識圖譜嵌入

知識圖譜嵌入是實現(xiàn)知識圖譜高效計算的關(guān)鍵技術(shù)。知識圖譜可以用屬性圖進(jìn)行表示，其應(yīng)用需要使用與圖相關(guān)的算法實現(xiàn)，算法復(fù)雜度高，難于應(yīng)用于大規(guī)模知識圖譜場景。

研究方向：借鑒自然語言理解中的詞嵌入技術(shù)研究的進(jìn)展，如獨熱編碼、詞袋模型、詞向量等，知識圖譜研究領(lǐng)域開始考慮在保留語義的同時，將知識圖譜中的實體和關(guān)系映射到連續(xù)稠密的低維向量空間。相關(guān)的知識圖譜嵌入技術(shù)，包括：轉(zhuǎn)移距離模型；語義匹配模型；考慮附加額外信息的模型等[2]。

5.安全知識圖譜的應(yīng)用場景

知識圖譜通過信息抽取、知識融合、知識推理等過程, 將分散在多處以不同形式表示的信息進(jìn)行關(guān)聯(lián)融合, 形成一個統(tǒng)一表示且高質(zhì)量的知識集, 繼而根據(jù)現(xiàn)有的知識進(jìn)行推理, 挖掘潛在的知識同時產(chǎn)生新的知識, 從而實現(xiàn)安全情報分析的智能化。

基于知識圖譜的信息整合能力, 安全知識圖譜將在如下實際場景中發(fā)揮作用:

(1)安全情報搜索

在情報庫中查找相關(guān)情報是較為常見的應(yīng)用,準(zhǔn)確查找到不同類型的情報將減輕情報分析的工作量。知識圖譜將搜索視為實體的搜索而非簡單的字符串搜索的思想, 可用于構(gòu)建知識層級的查詢系統(tǒng), 達(dá)到提升情報查詢結(jié)果的相關(guān)程度及查詢效率的目的。

(2)敵手畫像構(gòu)建

畫像構(gòu)建是根據(jù)用戶或團(tuán)體的屬性信息構(gòu)建用戶模型的常用方法?；谕{情報等來源對敵手的常用工具、攻擊手法、社工情報等信息進(jìn)行收集關(guān)聯(lián), 知識圖譜可以構(gòu)建詳細(xì)描述敵手信息的畫像, 展示攻擊者的全貌, 更精準(zhǔn)的實現(xiàn)攻擊溯源。

(3)團(tuán)伙情報挖掘

網(wǎng)絡(luò)攻擊行為通常由多人或多個團(tuán)伙發(fā)起, 但在要素眾多的情報中挖掘團(tuán)伙信息面臨著困難。知識圖譜從主體、事件、人和物等語義層面構(gòu)建情報的關(guān)聯(lián)關(guān)系, 并根據(jù)設(shè)定的規(guī)則進(jìn)行挖掘從中尋找線索, 可實現(xiàn)團(tuán)伙情報分析以及隱匿組織的發(fā)現(xiàn)。

(4)APT 攻擊發(fā)現(xiàn)

APT 攻擊是當(dāng)前互聯(lián)網(wǎng)領(lǐng)域面臨的嚴(yán)重威脅, 具備APT 攻擊的檢測能力是實現(xiàn)網(wǎng)絡(luò)安全的重要保證。當(dāng)前, 通過單一的數(shù)據(jù)分析實現(xiàn)APT 檢測的概率較低, 需要探索多維度聯(lián)合的分析方法。知識圖譜可以將資產(chǎn)、威脅、漏洞、流量、日志等信息進(jìn)行統(tǒng)一描述, 打破數(shù)據(jù)鴻溝, 并進(jìn)一步應(yīng)用知識推理的方法實現(xiàn)異常行為的分析, 從而實現(xiàn)APT 的發(fā)現(xiàn)。

6.總結(jié)

安全知識圖譜可以借助知識圖譜技術(shù)對分散的安全知識情報進(jìn)行整合, 達(dá)到安全情報聚合分析和應(yīng)用場景擴(kuò)展等目的。當(dāng)前，人工智能特別是自然語言處理技術(shù)的快速發(fā)展使得高效自動化從巨量信息中獲取知識成為可能，極大的推動了知識圖譜技術(shù)在各個領(lǐng)域的應(yīng)用。但是，知識圖譜在安全領(lǐng)域應(yīng)用的相關(guān)工作仍處于早期探索性研究階段，構(gòu)建安全知識圖譜的關(guān)鍵技術(shù)尚需突破。

參考

[1] 王昊奮，漆桂林，陳華鈞. 知識圖譜:方法、實踐與應(yīng)用[M].北京：電子工業(yè)出版社，2019

[2] 翟裕中，胡偉，程龔. 語義網(wǎng)技術(shù)體系[M].北京：科學(xué)出版社，2014

[3]董 聰, 姜 波, 盧志剛,等.面向網(wǎng)絡(luò)空間安全情報的知識圖譜綜述[J].信息安全學(xué)報，2020.9:Vol.5 No. 5

[4] Peter Phandi, Amila, Silva Wei Lu. SemEval-2018 Task 8: Semantic Extraction from CybersecUrity Reports using Natural Language Processing (SecureNLP)[C]// Proc 12th International Workshop on Semantic Evaluation. New Orleans, Louisiana,2018:697-706