国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★尚文利，朱鵬程，王博文，曹忠，張曼，浣沙廣州大學(xué)電子與通信工程學(xué)院

摘要：隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái)，網(wǎng)絡(luò)空間的攻擊面不斷拓展延伸，安全問(wèn)題日益凸顯。為應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)攻擊，構(gòu)建威脅情報(bào)的知識(shí)圖譜是核心和基礎(chǔ)，利用威脅情報(bào)知識(shí)圖譜將專家知識(shí)與海量安全數(shù)據(jù)相結(jié)合，有助于推動(dòng)網(wǎng)絡(luò)安全智能防御技術(shù)從感知智能邁向認(rèn)知智能。本文提出了構(gòu)建威脅情報(bào)知識(shí)圖譜的技術(shù)架構(gòu)，設(shè)計(jì)了一種網(wǎng)絡(luò)安全知識(shí)本體，并總結(jié)了當(dāng)前國(guó)內(nèi)外實(shí)體識(shí)別技術(shù)與關(guān)系抽取技術(shù)的研究現(xiàn)狀，最后分析了威脅情報(bào)知識(shí)圖譜的未來(lái)研究發(fā)展方向及應(yīng)用場(chǎng)景。

關(guān)鍵詞：網(wǎng)絡(luò)安全；知識(shí)圖譜；實(shí)體識(shí)別；關(guān)系抽取

1 引言

近年來(lái)，隨著5G、云計(jì)算、物聯(lián)網(wǎng)等新一代信息技術(shù)的飛速發(fā)展，萬(wàn)物互聯(lián)（Internetof Everything，IoE）的時(shí)代即將到來(lái)，網(wǎng)絡(luò)空間規(guī)模持續(xù)擴(kuò)張，將人類社會(huì)與工業(yè)物理系統(tǒng)緊密串聯(lián)。與此同時(shí)，網(wǎng)絡(luò)安全問(wèn)題空前嚴(yán)峻，新型攻擊行為層出不窮，呈現(xiàn)出復(fù)雜多樣性、長(zhǎng)期持續(xù)性、高隱蔽性的特點(diǎn)。尤其是頻發(fā)的高級(jí)持續(xù)性威脅（Advanced PersistentThreat，APT）事件，涉及關(guān)鍵信息基礎(chǔ)設(shè)施的破壞與公民信息的竊取，嚴(yán)重危害社會(huì)、經(jīng)濟(jì)、政治安全，已上升至國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略層面。

傳統(tǒng)的被動(dòng)式網(wǎng)絡(luò)安全防御手段，如單純依賴網(wǎng)絡(luò)流量監(jiān)測(cè)的入侵檢測(cè)系統(tǒng)等，難以應(yīng)對(duì)系統(tǒng)性大規(guī)模復(fù)雜多變的網(wǎng)絡(luò)攻擊，而大數(shù)據(jù)、人工智能等技術(shù)的興起為網(wǎng)絡(luò)空間安全提供了新助力。各大網(wǎng)絡(luò)安全廠商、研究機(jī)構(gòu)均已建立網(wǎng)絡(luò)安全論壇、漏洞信息庫(kù)、威脅情報(bào)中心等。如何有效管理和精準(zhǔn)利用海量碎片化的威脅情報(bào)，挖掘出具有潛在價(jià)值的信息，將防御化被動(dòng)轉(zhuǎn)為主動(dòng)是當(dāng)前面臨的主要問(wèn)題之一。

威脅情報(bào)知識(shí)圖譜是第三代人工智能技術(shù)運(yùn)用至網(wǎng)絡(luò)安全領(lǐng)域的產(chǎn)物，是融合先驗(yàn)安全專家知識(shí)而形成的大規(guī)模安全語(yǔ)義網(wǎng)絡(luò)。該圖譜通過(guò)從海量零散分布的多源異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)中提取出安全類實(shí)體及實(shí)體間關(guān)系，以圖語(yǔ)言形式高效、直觀地表示。同時(shí)該圖譜模擬專家思維進(jìn)行威脅分析，推理發(fā)現(xiàn)漏洞，制定最佳防御策略，全面提升風(fēng)險(xiǎn)防范的準(zhǔn)確性、預(yù)見(jiàn)性及對(duì)威脅攻擊的反制速度。因此，構(gòu)建威脅情報(bào)知識(shí)圖譜，是推動(dòng)網(wǎng)絡(luò)安全智能防御技術(shù)從依賴數(shù)據(jù)驅(qū)動(dòng)的感知智能，邁向融合知識(shí)驅(qū)動(dòng)的認(rèn)知智能的關(guān)鍵。

威脅情報(bào)知識(shí)圖譜的技術(shù)架構(gòu)如圖1所示，關(guān)鍵技術(shù)主要包括三個(gè)層次：安全知識(shí)本體建模、安全信息抽取技術(shù)、知識(shí)圖譜存儲(chǔ)，構(gòu)建過(guò)程環(huán)環(huán)相扣。

（1）在確定圖譜所屬專業(yè)領(lǐng)域后，對(duì)其知識(shí)本體進(jìn)行建模。首先調(diào)研和收集安全領(lǐng)域內(nèi)全部相關(guān)術(shù)語(yǔ)，因本體主要為解決知識(shí)共享問(wèn)題，故優(yōu)先考慮復(fù)用現(xiàn)有本體的可能性。對(duì)現(xiàn)有本體研究分析后，依據(jù)最新國(guó)際威脅情報(bào)共享標(biāo)準(zhǔn)手工構(gòu)建，對(duì)其進(jìn)一步改進(jìn)拓展。（2）安全信息抽取主要分為實(shí)體識(shí)別技術(shù)與關(guān)系抽取技術(shù)。根據(jù)所設(shè)計(jì)知識(shí)本體以節(jié)點(diǎn)、邊、節(jié)點(diǎn)三元組形式從海量威脅情報(bào)中抽取實(shí)體及實(shí)體間關(guān)系。（3）最后依據(jù)應(yīng)用場(chǎng)景，選擇不同類型數(shù)據(jù)庫(kù)對(duì)已抽取數(shù)據(jù)進(jìn)行存儲(chǔ)。

圖1 威脅情報(bào)知識(shí)圖譜的技術(shù)架構(gòu)構(gòu)建圖

2 網(wǎng)絡(luò)安全知識(shí)本體建模

知識(shí)本體是以實(shí)體類型為節(jié)點(diǎn)，以實(shí)體間關(guān)系為邊，對(duì)知識(shí)抽象化表示所形成的完整關(guān)系鏈。本體構(gòu)建方法通常有自頂向下和自底向上兩類。構(gòu)建專業(yè)領(lǐng)域知識(shí)本體，往往需要對(duì)領(lǐng)域內(nèi)知識(shí)的全覆蓋，且冗余較少。同時(shí)，良好的知識(shí)本體設(shè)計(jì)還應(yīng)當(dāng)兼顧圖譜，具備較好的“細(xì)粒程度”，以便圖譜后續(xù)進(jìn)行更新、推理、消歧等技術(shù)的研究。圖譜節(jié)點(diǎn)概念太過(guò)泛化將導(dǎo)致可操作性差，而過(guò)度細(xì)化又將極易出現(xiàn)信息缺失問(wèn)題。

本研究基于MITRE公司制定的結(jié)構(gòu)化威脅情報(bào)共享標(biāo)準(zhǔn)2.0（StructuredThreatInformation eXpression2.0，STIX2.0），采取自頂向下的方式設(shè)計(jì)網(wǎng)絡(luò)安全知識(shí)本體。具體的網(wǎng)絡(luò)安全知識(shí)本體結(jié)構(gòu)如圖2所示。該模型以黑客組織為核心建立其關(guān)系網(wǎng)狀結(jié)構(gòu)，選擇定義了以下13類實(shí)體類型：黑客組織、攻擊、樣本文件、安全團(tuán)隊(duì)、工具、時(shí)間、目的、區(qū)域、行業(yè)、組織、方式、漏洞、特征，同時(shí)定義了以下6類實(shí)體間關(guān)系：屬于、擁有、發(fā)起、防御、使用、利用。

圖2 網(wǎng)絡(luò)安全知識(shí)本體模型

3 網(wǎng)絡(luò)安全信息抽取

3.1 實(shí)體識(shí)別技術(shù)

（1）技術(shù)介紹

網(wǎng)絡(luò)安全實(shí)體識(shí)別技術(shù)本質(zhì)是自然語(yǔ)言處理中特定領(lǐng)域的序列標(biāo)注問(wèn)題，主要任務(wù)是從海量的半結(jié)構(gòu)化、非結(jié)構(gòu)化安全數(shù)據(jù)中抽取預(yù)定義類別的實(shí)體，例如黑客組織、安全團(tuán)隊(duì)、樣本文件、漏洞等類型安全實(shí)體。其目的是對(duì)海量多源異構(gòu)安全數(shù)據(jù)進(jìn)行細(xì)粒度的深度關(guān)聯(lián)分析和挖掘，對(duì)安全領(lǐng)域內(nèi)專業(yè)詞匯進(jìn)行確認(rèn)和分類。安全實(shí)體識(shí)別也是構(gòu)建威脅情報(bào)知識(shí)圖譜的基礎(chǔ)。

網(wǎng)絡(luò)安全實(shí)體識(shí)別技術(shù)相較于通用領(lǐng)域內(nèi)的實(shí)體識(shí)別技術(shù)，由于關(guān)注的實(shí)體類別不同，存在以下難點(diǎn)[1]：

·安全實(shí)體類型多且變化頻率高，不斷涌現(xiàn)新實(shí)體導(dǎo)致OOV（OutofVocabulary）問(wèn)題。

·安全實(shí)體結(jié)構(gòu)復(fù)雜，存在大量嵌套、別名、縮略詞等多意現(xiàn)象，沒(méi)有嚴(yán)格的命名規(guī)則。

·威脅情報(bào)通常單句較長(zhǎng)，句子中實(shí)體稀疏，鄰近實(shí)體標(biāo)簽間的特征不足，更加依賴于遠(yuǎn)距離特征的獲取。

·當(dāng)前缺乏大規(guī)模高質(zhì)量的網(wǎng)絡(luò)安全實(shí)體標(biāo)注語(yǔ)料庫(kù)，嚴(yán)重依賴人工標(biāo)注構(gòu)建模型訓(xùn)練集。

（2）國(guó)內(nèi)外研究現(xiàn)狀

早期的安全實(shí)體識(shí)別基于安全專家制定的規(guī)則與詞典進(jìn)行實(shí)體抽取。例如Liao等人于2016年提出使用正則表達(dá)式結(jié)合語(yǔ)法樹(shù)的方式，提取威脅情報(bào)中的失陷指標(biāo)（Indicator of compromise，IOC）[2]。

該方式通過(guò)專家設(shè)定規(guī)則，基于正則表達(dá)式和詞典對(duì)網(wǎng)絡(luò)安全實(shí)體及關(guān)系所在的位置進(jìn)行定位，然后使用語(yǔ)法樹(shù)相似度判斷定位范圍的內(nèi)容是否包含實(shí)體及關(guān)系。此方式的優(yōu)勢(shì)在于準(zhǔn)確率高，但缺陷明顯，存在人工成本高和移植性差等問(wèn)題，且由于領(lǐng)域的特殊性，此方式僅適用一些結(jié)構(gòu)特征明顯的實(shí)體，例如通用漏洞披露（Common Vulnerabilities and Exposures,CVE）編號(hào)、郵箱地址、IP地址等。隨著大數(shù)據(jù)與人工智能技術(shù)的發(fā)展，深度學(xué)習(xí)技術(shù)被運(yùn)用至安全實(shí)體識(shí)別領(lǐng)域。Qin等人于2019年，使用人工設(shè)計(jì)特征模板加深度學(xué)習(xí)的方式，提出FT-CNN-BiLSTM-CRF模型[3]。該方式利用人工設(shè)定的特征窗口提取上下文特征，與BiLSTM模型提取的序列語(yǔ)義特征結(jié)合，進(jìn)行實(shí)體識(shí)別。李濤于2020年，提出基于多特征融合的威脅情報(bào)命名實(shí)體識(shí)別模型（MF-BiLSTM-LSTM）[4]，開(kāi)創(chuàng)性地通過(guò)融合實(shí)體的詞、字符和句法依存特征，使模型性能進(jìn)一步提升。此方式降低了人工成本，同時(shí)提升了模型移植性，但模型效果嚴(yán)重依賴安全領(lǐng)域所缺少的大規(guī)模網(wǎng)絡(luò)安全實(shí)體標(biāo)注訓(xùn)練集。近年來(lái)，隨著大規(guī)模預(yù)訓(xùn)練實(shí)體識(shí)別模型（BERT）的問(wèn)世，研究者們逐漸將目光轉(zhuǎn)向了利用超大規(guī)模預(yù)訓(xùn)練語(yǔ)料庫(kù)、基于雙向Transformer編碼器對(duì)未標(biāo)記文本深度表示的預(yù)訓(xùn)練模型。基于符合SIX2.0的DNRTI威脅情報(bào)實(shí)體識(shí)別數(shù)據(jù)集，Evangelatos等人于2021年，分別使用4個(gè)大規(guī)模預(yù)訓(xùn)練模型進(jìn)行對(duì)比試驗(yàn)[5]。Zhou等人于2022年，設(shè)計(jì)出一種基于大規(guī)模預(yù)訓(xùn)練的BERT-BiLSTMGRU-CRF模型[6]，創(chuàng)新性地將GRU層與原BiLSTM相結(jié)合，有效降低了模型過(guò)擬合風(fēng)險(xiǎn)，提升了模型效果。Liu等人于2022年，在使用大規(guī)模預(yù)訓(xùn)練模型的同時(shí)，對(duì)單詞的成分特征、形態(tài)特征和語(yǔ)音特征進(jìn)行編碼和匯總，以融合多特征方式，提升了模型對(duì)上下文語(yǔ)義的表達(dá)能力[7]。

以上研究表明，添加大規(guī)模預(yù)訓(xùn)練模型和融合多句法特征，將顯著增強(qiáng)實(shí)體識(shí)別模型對(duì)網(wǎng)絡(luò)安全文本的語(yǔ)義表達(dá)能力，可有效緩解OOV問(wèn)題、一詞多義以及對(duì)訓(xùn)練集的強(qiáng)依賴問(wèn)題。

（3）實(shí)體識(shí)別技術(shù)新思路

解決當(dāng)前安全實(shí)體識(shí)別所面臨的困境，關(guān)鍵是增強(qiáng)模型對(duì)威脅情報(bào)文本語(yǔ)義的表達(dá)能力。本文提出了以下幾種方法：①融合多個(gè)大規(guī)模預(yù)訓(xùn)練模型對(duì)文本向量表示的輸出。由于預(yù)訓(xùn)練模型包含了從大規(guī)模語(yǔ)料庫(kù)中學(xué)習(xí)到的上下文信息，串聯(lián)不同種類的預(yù)訓(xùn)練模型有助于獲取更多異質(zhì)性上下文，極大豐富模型對(duì)威脅情報(bào)文本的語(yǔ)義表達(dá)。②融合多個(gè)句法信息，例如詞性、語(yǔ)法成分、依賴關(guān)系等。添加新特征，增強(qiáng)模型對(duì)標(biāo)簽的推理能力，緩解OOV問(wèn)題。③添加全局注意力機(jī)制層，增強(qiáng)模型對(duì)遠(yuǎn)距離特征的獲取能力，緩解實(shí)體稀疏問(wèn)題。

3.2 關(guān)系抽取技術(shù)

（1）技術(shù)介紹

在網(wǎng)絡(luò)安全知識(shí)圖譜的構(gòu)建過(guò)程中，當(dāng)提取好網(wǎng)絡(luò)安全實(shí)體后，需利用關(guān)系將存在聯(lián)系的實(shí)體編織在一起，最終形成一個(gè)龐大的拓?fù)湫畔⒕W(wǎng)。關(guān)系抽取同樣是網(wǎng)絡(luò)安全知識(shí)圖譜構(gòu)建的核心任務(wù)，而關(guān)系抽取的本質(zhì)，就是從非結(jié)構(gòu)化文本語(yǔ)料中提取兩個(gè)實(shí)體之間存在的關(guān)系。

（2）國(guó)內(nèi)外研究現(xiàn)狀

關(guān)系抽取的方法繁多，早期大部分的研究都是用基于規(guī)則的方法，該方法擁有準(zhǔn)確率高、表示直觀等優(yōu)點(diǎn)，但其成本過(guò)高、應(yīng)用范圍狹窄。隨著人工智能的發(fā)展，基于深度學(xué)習(xí)的方法因靈活性高、應(yīng)用范圍廣等特點(diǎn)受到了很多領(lǐng)域?qū)W者的爭(zhēng)先研究。不過(guò)由于其需要大量人工標(biāo)注的數(shù)據(jù)來(lái)進(jìn)行訓(xùn)練，所以根據(jù)標(biāo)注數(shù)據(jù)的精準(zhǔn)程度又被分成基于監(jiān)督學(xué)習(xí)的方法、基于遠(yuǎn)程監(jiān)督學(xué)習(xí)的方法等。Wang等人提出了一個(gè)融合語(yǔ)義特征和依賴特征的威脅情報(bào)關(guān)系抽取框架[8]。

該框架運(yùn)用了一種新的剪枝策略（SDP-VP），大大降低了句法依賴樹(shù)中的噪聲枝影響，從而提升了模型效果，不過(guò)該模型對(duì)于句子本身語(yǔ)義信息的利用還不夠充分。Zhou等人針對(duì)關(guān)系抽取中實(shí)體的表示形式展開(kāi)了一系列研究，將預(yù)處理語(yǔ)言模型（PLM）與實(shí)體類型嵌入改進(jìn)得到了一個(gè)新的關(guān)系抽取基線模型[9]。該模型將實(shí)體類型嵌入到文本語(yǔ)句當(dāng)中去增強(qiáng)實(shí)體對(duì)之間的聯(lián)系，但是其應(yīng)用受實(shí)體提取結(jié)果影響較大。Tian等人提出了一種配備多種句法依賴信息的Bert+A-GCN模型[10]。該模型利用注意力機(jī)制智能裁剪權(quán)重較低、信息量較少的關(guān)系枝，降低了句法依存樹(shù)中的噪聲影響，并將配備依賴類型的局部與全局依賴信息結(jié)合生成結(jié)合鄰接矩陣，進(jìn)一步加強(qiáng)了實(shí)體對(duì)之間依賴信息的影響，進(jìn)而提升了模型的效果。

Takanobu等人提出了一種分層提取范式，通過(guò)分層強(qiáng)化學(xué)習(xí)來(lái)處理關(guān)系提取[11]。該范式將實(shí)體視為關(guān)系的參數(shù)，并將關(guān)系提取任務(wù)分解為兩個(gè)子任務(wù)的層次結(jié)構(gòu)：高級(jí)關(guān)系指標(biāo)檢測(cè)和低級(jí)實(shí)體提取，針對(duì)遠(yuǎn)程監(jiān)督噪聲較多的數(shù)據(jù)集，增強(qiáng)了其關(guān)系抽取的穩(wěn)定性，降低了遠(yuǎn)程監(jiān)督數(shù)據(jù)集噪聲數(shù)據(jù)過(guò)多問(wèn)題對(duì)實(shí)驗(yàn)造成的影響，并且對(duì)于重疊關(guān)系的提取效果也得到了很大的提升。Li等人提出了一種基于全局和局部特征的感知網(wǎng)絡(luò)（GLFN）[12]，增強(qiáng)了網(wǎng)絡(luò)模型對(duì)文本語(yǔ)料重要語(yǔ)義特征的理解，并通過(guò)殘差網(wǎng)絡(luò)動(dòng)態(tài)降低了噪聲數(shù)據(jù)的影響。Chen等人提出了一種具有協(xié)同優(yōu)化（KnowPrompt）的知識(shí)感知提示調(diào)整方法[13]。該方法中“提示調(diào)整”的核心思想是將文本片段（即模板）插入到輸入中，并將分類任務(wù)轉(zhuǎn)換為掩碼語(yǔ)言建模問(wèn)題，專注于將關(guān)系標(biāo)簽之間的知識(shí)整合到關(guān)系提取的提示調(diào)整中。該方法充分利用了關(guān)系標(biāo)簽之間存在著的豐富的語(yǔ)義和先驗(yàn)知識(shí)，不過(guò)其只適用于有標(biāo)記數(shù)據(jù)的監(jiān)督學(xué)習(xí)環(huán)境。Luo等人針對(duì)威脅情報(bào)領(lǐng)域關(guān)系抽取數(shù)據(jù)集問(wèn)題提出新的關(guān)系提取框架[14]。該框架采用遠(yuǎn)程監(jiān)督進(jìn)行數(shù)據(jù)標(biāo)注，并采用神經(jīng)網(wǎng)絡(luò)模型進(jìn)行關(guān)系提取，大大降低了數(shù)據(jù)集標(biāo)注的人力成本，為解決網(wǎng)絡(luò)安全領(lǐng)域關(guān)系抽取數(shù)據(jù)集缺乏的問(wèn)題打開(kāi)了一個(gè)新的思路，不過(guò)該方法最終得到的數(shù)據(jù)集噪聲數(shù)據(jù)過(guò)多且質(zhì)量偏低。

（3）關(guān)系抽取技術(shù)新思路

安全關(guān)系抽取的關(guān)鍵在于實(shí)體對(duì)所在文本本身的語(yǔ)義信息和句法依賴信息以及模型的選取。為了能夠得到更高的安全關(guān)系抽取準(zhǔn)確率，本文提出通過(guò)變換文本本身語(yǔ)義信息和句法依賴信息的獲取形式，加強(qiáng)實(shí)體對(duì)之間的聯(lián)系，以及選取更合適的預(yù)處理語(yǔ)言模型。同時(shí)由于現(xiàn)階段關(guān)系抽取技術(shù)大多基于流水線形式，關(guān)系抽取發(fā)生在實(shí)體抽取之后，容易造成錯(cuò)誤積累，從而降低關(guān)系抽取的準(zhǔn)確率。利用實(shí)體和關(guān)系聯(lián)合抽取的方式，是消除此類錯(cuò)誤積累問(wèn)題的解決辦法之一。

4 知識(shí)圖譜存儲(chǔ)

完成威脅情報(bào)的信息抽取后，對(duì)所得到的威脅情報(bào)實(shí)體及實(shí)體關(guān)系進(jìn)行數(shù)據(jù)庫(kù)入庫(kù)。目前主要的知識(shí)圖譜存儲(chǔ)方式有兩種：（1）基于資源描述框架結(jié)構(gòu)的存儲(chǔ)方式；（2）基于圖數(shù)據(jù)庫(kù)的存儲(chǔ)方式。資源描述框架（Resource Description Framework，RDF）是W3C制定的用于描述實(shí)體資源的標(biāo)準(zhǔn)數(shù)據(jù)模型，它通過(guò)三元組的方式存儲(chǔ)，優(yōu)勢(shì)在于擁有強(qiáng)大的語(yǔ)義表達(dá)能力，同時(shí)具有良好的互通性，容易傳輸。RDF資源管理數(shù)據(jù)庫(kù)也是目前主流存儲(chǔ)知識(shí)圖譜的方式，但存在可讀性差、搜索效率低等缺陷。常見(jiàn)的資源描述框架結(jié)構(gòu)數(shù)據(jù)庫(kù)有Protege、Owlready2等。近些年興起通過(guò)圖數(shù)據(jù)庫(kù)方式存儲(chǔ)知識(shí)圖譜，其優(yōu)勢(shì)在于圖本身可天然表示圖譜結(jié)構(gòu)等信息，容易管理，支持各類圖挖掘、推理算法，同時(shí)搜索效率高、速度快，尤其適用于多跳查詢。缺點(diǎn)是圖數(shù)據(jù)庫(kù)的分布式存儲(chǔ)實(shí)現(xiàn)代價(jià)高，數(shù)據(jù)更新慢。常見(jiàn)的圖數(shù)據(jù)庫(kù)有Neo4j、Tita、OrientDB等。

5 威脅情報(bào)知識(shí)圖譜應(yīng)用場(chǎng)景

隨著知識(shí)圖譜相關(guān)技術(shù)的高速發(fā)展，威脅情報(bào)知識(shí)圖譜現(xiàn)已經(jīng)廣泛地運(yùn)用至各類網(wǎng)絡(luò)安全智能防御系統(tǒng)當(dāng)中。例如：

（1）姿態(tài)感知和安全評(píng)估[15]。隨著部署在企業(yè)網(wǎng)絡(luò)的設(shè)備和服務(wù)的不斷迭代更新，其組合模式也變得越來(lái)越復(fù)雜，導(dǎo)致評(píng)估企業(yè)網(wǎng)絡(luò)整體安全性變成了一項(xiàng)極具挑戰(zhàn)的任務(wù)。企業(yè)網(wǎng)絡(luò)的安全管理員通過(guò)運(yùn)用威脅情報(bào)圖譜，能充分掌握當(dāng)前網(wǎng)絡(luò)空間資產(chǎn)及其暴露面，能更好地應(yīng)對(duì)多階段、多主機(jī)的攻擊場(chǎng)景。

（2）APT威脅追蹤。近年來(lái)APT組織的網(wǎng)絡(luò)攻擊手段不斷升級(jí)，威脅情報(bào)知識(shí)圖譜可針對(duì)不同APT組織的行為特征，通過(guò)統(tǒng)一語(yǔ)言描述，構(gòu)建APT組織畫(huà)像。利用威脅情報(bào)知識(shí)圖譜對(duì)攻擊行為進(jìn)行分析，可實(shí)現(xiàn)對(duì)已知攻擊組織的追蹤和對(duì)未知攻擊團(tuán)伙的識(shí)別。

（3）漏洞管理。漏洞是所有黑客組織入侵的關(guān)鍵所在，如何高效發(fā)現(xiàn)、監(jiān)控和管理漏洞是網(wǎng)絡(luò)安全的重中之重。利用威脅情報(bào)知識(shí)圖譜技術(shù)可高效整合海量非結(jié)構(gòu)化威脅情報(bào)來(lái)收集漏洞，以更加直觀的圖語(yǔ)言表示。同時(shí)利用圖譜推理能力，可獲取漏洞導(dǎo)致的潛在暴露面及其風(fēng)險(xiǎn)信息等。

6 總結(jié)

近幾年，人工智能技術(shù)在網(wǎng)絡(luò)安全上的運(yùn)用受到學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。威脅情報(bào)知識(shí)圖譜是推動(dòng)網(wǎng)絡(luò)安全智能防御技術(shù)從感知智能邁向認(rèn)知智能的關(guān)鍵。然而，其圖譜構(gòu)建技術(shù)與應(yīng)用場(chǎng)景的研究仍處于早期階段。本文提出了構(gòu)建威脅情報(bào)知識(shí)圖譜的技術(shù)架構(gòu)，設(shè)計(jì)了基于STIX的安全知識(shí)本體，總結(jié)了當(dāng)前國(guó)內(nèi)外的網(wǎng)絡(luò)安全信息抽取技術(shù)并提出了新思路，為威脅情報(bào)的圖譜構(gòu)建技術(shù)、圖譜推理技術(shù)、圖譜應(yīng)用場(chǎng)景等研究提供了借鑒和思路。

作者簡(jiǎn)介

尚文利（1974-），男，黑龍江北安人，教授，博士，現(xiàn)任教于廣州大學(xué)電子與通信工程學(xué)院，主要從事計(jì)算智能與機(jī)器學(xué)習(xí)、工業(yè)信息安全、邊緣計(jì)算方面的研究。

朱鵬程（1998-），男，碩士，江西南昌人，現(xiàn)就讀于廣州大學(xué)電子與通信工程學(xué)院，主要從事知識(shí)圖譜、車聯(lián)網(wǎng)威脅分析方面的研究。

王博文（1999-），男，湖南邵陽(yáng)人，碩士，現(xiàn)就讀于廣州大學(xué)電子與通信工程學(xué)院，主要從事知識(shí)圖譜、車聯(lián)網(wǎng)威脅分析方面的研究。

曹   忠（1977-），男，安徽黃山人，講師，博士，現(xiàn)任教于廣州大學(xué)電子與通信工程學(xué)院，主要從事工業(yè)互聯(lián)網(wǎng)方面的研究。

張   曼（1984-），女，陜西西安人，講師，博士，現(xiàn)任教于廣州大學(xué)電子與通信工程學(xué)院，主要從事智能軟件工程及軟件體系結(jié)構(gòu)領(lǐng)域的相關(guān)工作。

浣   沙（1984-），女，湖南長(zhǎng)沙人，講師，博士，現(xiàn)任教于廣州大學(xué)電子與通信工程學(xué)院，研究方向?yàn)閷拵Ю走_(dá)通信一體化技術(shù)，以及此技術(shù)在毫米波多用戶場(chǎng)景下的應(yīng)用、陣列雷達(dá)信號(hào)處理、抗干擾技術(shù)、前視雷達(dá)成像技術(shù)。

參考文獻(xiàn)：

[1] Xuren Wang, et al. APTNER: A Specific Dataset for NER Missions in Cyber Threat Intelligence Field[C]. 2022 IEEE 25th International Conference on Computer Supported Cooperative Work in Design (CSCWD), Hangzhou, China, 2022 : 1233 - 1238.

[2] Xiaojing Liao, Kan Yuan, Xiaofeng Wang, et al. Acing the IOC Game: Toward Automatic Discovery and Analysis of Open-Source Cyber Threat Intelligence[C]. Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security (2016).

[3] Ya Qin, Guowei Shen, Wenbo Zhao, Yanping Chen, Miao Yu, Xin Jin. A network security entity recognition method based on feature template and CNN BiLSTM-CRF[J]. Frontiers of Information Technology & Electronic Engineering 20 (2019) : 872 - 884.

[4] 李濤. 威脅情報(bào)知識(shí)圖譜構(gòu)建與應(yīng)用關(guān)鍵技術(shù)研究[D]. 戰(zhàn)略支援部隊(duì)信息工程大學(xué), 2020.

[5] Pavlos Evangelatos, Christos lliou, Thanassis Mavropoulos, et al. Named Entity Recognition in Cyber Threat Intelligence Using Transformer-based Models[C]. 2021 IEEE International Conference on Cyber Security and Resilience (CSR), Rhodes, Greece, 2021, 348 - 353.

[6] Yinghai Zhou, Yi Tang, Ming Yi, Chuanyu Xi, Hai Lu. CTI View: APT Threat Intelligence Analysis System[J]. Secur. Commun. Networks 2022 (2022) : 1 - 15.

[7] Peipei Liu, Hong Li, Zuoguang Wang, et al. Multi-features based Semantic Augmentation Networks for Named Entity Recognition in Threat Intelligence[C], 2022 26th International Conference on Pattern Recognition (ICPR), Montreal, QC, Canada, 2022, 1557 - 1563.

[8] Xuren Wang, Xinpei Liu, Shengqin Ao, et al. FSSRE: Fusing Semantic Feature and Syntactic Dependencies Feature for Threat Intelligence Relation Extraction[J].

[9] Wenxuan Zhou, Muhao Chen. An Improved Baseline for Sentence-level Relation Extraction[C]. AACL, 2021.

[10] Yuanhe Tian, Guimin Chen, Yan Song, et al. Dependency-driven Relation Extraction with Attentive Graph Convolutional Networks[C]. Proceedings of the 59th Annual Meeting of the Association for Computational Linguistics and the 11th International Joint Conference on Natural Language Processing (Volume 1: Long Papers), 2021 : 4458 - 4471.

[11] Ryuichi Takanobu, Tianyang Zhang, Jiexi Liu, et al. A Hierarchical Framework for Relation Extraction with Reinforcement Learning[C]. Proceedings of the AAAI conference on artificial intelligence, 2019, 33 (01) : 7072 - 7079.

[12] Ping Li. Correlation temporal feature extraction network via residual network for English relation extraction[J]. EAI Endorsed Transactions on Scalable Information Systems, 2022, 9 (36).

[13] Xiang Chen, Ningyu Zhang, Xin Xie, et al. KnowPrompt : Knowledge-aware Prompt-tuning with Synergistic Optimization for Relation Extraction[C]. Proceedings of the ACM Web Conference 2022, 2022 : 2778 - 2788.

[14] Yali Luo, Shengqin Ao, Ning Luo, et al. Extracting threat intelligence relations using distant supervision and neural networks[C]. Advances in Digital Forensics XVII : 17th IFIP WG 11.9 International Conference, 2021 : 193 - 211.

[15] Kai Liu, Fei Wang, Zhaoyun Ding, et al. A review of knowledge graph application scenarios in cyber security[J/OL].

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》