近日,绿盟科技推出安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》,旨在对安全知识图谱概念内涵、核心框架、关键技术和应用实践进行全面总结与介绍,期望为读者带来全新的技术思考,助力网络安全智能化迈入认知智能阶段。
本文为安全知识图谱白皮书《践行安全知识图谱,携手迈进认知智能》精华解读第五篇——网络空间测绘篇,重点介绍安全知识图谱在网络空间测绘中的应用。
01
摸清家底 把握趋势
近年来,网络空间测绘已成为网络通信技术、网络空间安全、地理学等多学科交叉融合的前沿领域[1]。将庞大复杂的网络空间资源属性以及网络资源间的关联关系进行建模和表达,实现全球网络空间信息的“全息地图”,以反映网络空间资源状态变化、网络攻击行为等。互联网暴露的资源和服务都将在网络空间测绘平台中体现,攻击者可以通过测绘平台收集目标多维度信息,挖掘目标脆弱面,进一步执行特定攻击,所以面向网络空间测绘的安全研究愈发重要。
网络空间资源之间具备较强的复杂、动态的关联关系,采用知识图谱技术可以很好的解决其资源的复杂关系的问题,使用图分析可以较简单的计算资源暴露、敏感数据泄露、威胁情报等情况,以便实时追踪攻击过程和攻击结果。通过网络空间测绘知识图谱发现面临的威胁和风险,提前制定预防策略,采取有效的安全措施,以便在安全防护上做到“量体裁衣”。由于网络空间上的资源种类繁多且涉及范围广,如网络基础设施、云平台、工业控制系统、物联网等细分领域,对网络空间资源完整的信息表达需要依赖专家经验对该领域构建全面的安全本体模型,构建完整的网络空间测绘领域知识图谱,基于知识图谱的语义搜索、查询、推理等特性实现智能问答和知识推理等任务。
02
知己知彼 对症施策
网络空间安全防护不仅仅是构建更厚的防火墙,对资产、资产脆弱性、用户信息、IT架构信息的掌控程度,往往决定了网络空间防御能力的上限。目前资产管理方案远未像理想中那么成熟,特别是在云、物联网、移动互联网迅速发展的时代背景下,资产数量剧增,类型更加丰富,脆弱性暴露的形势也更加严峻。“知己”比“知彼”显得更加关键,无论是暴露在公网的资产还是边界内未纳入管理的“黑资产”,都将大幅增加网络空间安全防护难度。
基于知识图谱的网络空间资产风险分析需要考虑空间内的各类实体属性(基本信息、脆弱性、合规信息等),以及实体之间的关联关系。资产数据图的构建,需要资产管理、脆弱性管理、风险评估等工具和服务的支撑,也需要网络架构信息、企业组织、人力资源等业务数据来丰富知识图谱的实体及关系。
通过网络空间知识图谱对资产风险分析需要实时监控和分析资产风险的变化,其分析的关键在于图谱中实体的覆盖率以及准确的实体状态(属性或关系)变化。在解决实体覆盖率和状态准确性的问题上,有效识别已知类型实体,可以通过特征指纹匹配与行为模式匹配,快速召回收录在册的实体类型实例;未知类型实体的分类,需要通过无监督或半监督的特征与行为聚类、信息流或结构性关联分析、统计频繁项挖掘等方法,识别未知实体数据中的模式信息,寻求与已知类型实体的相似性与关联性。
03
总结
网络空间测绘领域中的网络空间数据种类碎片化,以及资源、信息变化快,导致测绘识别成本极高,从而给网络空间安全治理带来极大的挑战。为应对无孔不入的威胁,需要发现网络安全防护的关键实体、关键关系,在威胁事件发生的前后,对威胁的潜在影响范围、影响深度进行全面评估,保证脆弱面的准确识别。基于安全知识图谱进行网络空间测绘,能实时追踪攻击过程和攻击结果,提前预知可能存在的风险,采取相关的控制措施,这需要网络安全人员持续地共同探索。
参考文献
[1] 高春东, 郭启全, 江东, 等. 网络空间地理学的理论基础与技术路径[J]. 地理学报, 2019,74(9):5-18.