[人工智能]网络空间安全知识图谱的构建与应用（三）

网络空间安全 知识图谱

学习入门（三）

在前面两篇博文中，通过参阅大量论文资料，一起对网络态势感知的功能总览和数据模型进行了大量的梳理和学习，对初步了解到知识图谱的作用与部分应用场景，本篇博客就以论文3：基于知识图谱的SPACE-Ground一体化网络关联分析算法和论文4：Cyber Security Knowledge Graph Based Cyber Attack Attribution Framework for Space-ground Integration Information Network. 2018年 会议 ICCT（这篇论文一直下载不下来，有下载成功的小伙伴，辛苦发我邮箱：zaxuestc2021@qq.com，我再加以补充）为切入点，分享自己的想法，欢迎大家积极留言交流。

论文3：基于知识图的SPACE-Ground一体化网络关联分析算法

背景：由于空地一体化网络对国家未来的安全发展有重要作用。然而现实中，广泛使用的知识图却更多面向自然语言，在网安领域知识图中，网络安全攻击事件不是离散的、不相关的。因此不仅需要将攻击和告警本体添加到知识图中，还需要定义它们之间的联系。

引入：提出了一种基于网络安全攻击事件知识图的关联分析算法，用于描述空-地一体的网络攻击场景。知识图的构建和关联分析可以将网络攻击场景以图形的形式展现出来。

思想核心：每次的攻击一定是有多个步骤，它们与警报是紧密关联的。一种类型的攻击可能采用不同的手段和方法，但又与同一警报相关。建立一个完整的网络攻击知识库，只要知道攻击步骤，就能得到完整的网络攻击场景。

技术细节：

A. 网安知识图的构建：

1. 网络安全知识本体构建：我们使用网络安全知识图包含5个元组：攻击、事件、告警、关系和规则。知识图K表示为K=<概念、实例、关系、属性、规则>，这里来讲，概念是一个抽象的本体，如攻击、事件和警报。而攻击是对互联网上所有网络攻击的统称。实例是一组具体的例子，是攻击的具体实施步骤，与攻击相关联，属性是一组实例属性值。，关系是表示实例之间的关系，如子类，实例和类等，规则就是用于限制攻击与实践、攻击与警报的关联

2. 知识来源和属性描述:
   前导知识：事件的本体构建：依照事件本体E=<时间、空间、来源、assert（描述攻击每一步的前因后果，暂译为维护吧）和规则>，其简略视图如下（翻译出不来味儿，为了严谨，直接上英文文献的原图）（给英语遗忘的朋友补充一下：satellite：卫星，causal:因果，order:顺序，choice：选择）：
   
   攻击：通过网络爬虫，描述网站上关于攻击的信息，并将非结构化数据处理成结构化数据，存储在数据库中，攻击的属性可描述如下：
   
   攻击事件：是知识图中最重要的一环，攻击的具体实施可通过网络爬虫获取信息，攻击事件的属性描述如下：
   
   警报：由入侵检测系统生成警报，警报的属性描述如下：
   

3. 本体构建和本体关系的视图（翻译出不来味儿，为了严谨，直接上英文文献的原图）（给英语遗忘的朋友补充一下：paraplegia attack：截瘫攻击，trojan:木马，instance:实例，subclass：子类，子集）：
   

B. 关联分析算法：

在一次或多次攻击发生后，数据收集系统会手机相关的日志信息，包括系统日志，防火墙日志和IDS日志。从这些日志中提取事件信息存储在数据库中。算法技术细节如下：

1. 从数据库中获取日志信息集
2. 解析日志，去冗余得到事件集e
3. 按照时间顺序对事件集进行排序，得到事件列表s
4. 事件列表s按照时间窗口T的长度分为n个事件列表(这n个时间窗口正好对应n个事件集)。接下来算法进行在原英文论文中描述可读性不高，并且接下来也难以描述，我自己画了放在下边，如果理解有问题，请查阅上边原英文文献并及时告知我。
   
5. 将事件窗口（事件列表或事件集）中的每个事件与事件库中的规则进行匹配，计算匹配成功的次数，算出成功率（或表述为收集到的事件序列与知识图中被攻击的事件序列的符合程度），匹配成功率大于报警阈值，则认为事件序列匹配成功，否则放入事件-警告集合中，最后返回事件-告警集合。

目前缺乏对空-地一体化网络的全面了解和实验条件的限制，采用仿真实验验证上述算法的可能性。想要了解更多具体攻击场景的构建，请看原英文文献。

取得的成果和不足：关联分析方法利用知识图构建网络攻击场景，不仅适用于传统互联网，也适用于空地一体化网络，通过采集模拟攻击的数据，最后分析系统以可视化的形式展现攻击场景。但算法中时间窗和报警阈值需要进行大量的反复实验来确定最佳值。

努力的方向：为了更好的实际运用，很有必要继续了解空地一体化网络的独特性，给这些攻击进行穷尽性分析，并将这些攻击添加到知识图中。

论文4：Cyber Security Knowledge Graph Based Cyber Attack Attribution Framework for Space-ground Integration Information Network. 2018年 会议 ICCT

有兴趣的同学可以参考与本论文相关的博文：论文笔记 网络安全图谱以及溯源算法

欢迎留言评论，或加QQ：743337163进行技术交流，感谢大家的支持！