在各種新概念鋪天蓋地而來的今天，知識圖譜可謂是最接近“人工智能”的概念。2012 年 5 月 17 日，Google 正式提出了知識圖譜（Knowledge Graph），目的是為了優(yōu)化搜索引擎返回的結(jié)果，增強(qiáng)用戶搜索質(zhì)量及體驗(yàn)。

　　例如，當(dāng)你搜索“江蘇省的省會”，返回的結(jié)果不是江蘇而是南京市。這說明，搜索引擎“理解”了你的意圖，通過你的搜索語句推測和分析出你真正想要的結(jié)果。

　　知識圖譜是一種基于圖的數(shù)據(jù)結(jié)構(gòu)，本質(zhì)上是語義網(wǎng)絡(luò)（Semantic Network），它把復(fù)雜的知識領(lǐng)域通過數(shù)據(jù)挖掘、信息處理、知識計(jì)量和圖形繪制而顯示出來，揭示知識領(lǐng)域的動(dòng)態(tài)發(fā)展規(guī)律，提供切實(shí)的、有價(jià)值的參考。

　　知識圖譜應(yīng)用越來越廣泛，當(dāng)你在搜索信息、看新聞、刷短視頻、購物時(shí)，所看到的每條打動(dòng)你的內(nèi)容，背后都有可能有知識圖譜的作用。

　　知識圖譜在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用也日益深入。近日，綠盟科技正式推出安全知識圖譜，并發(fā)布安全知識圖譜技術(shù)白皮書《踐行安全知識圖譜，攜手邁進(jìn)認(rèn)知智能》（以下簡稱“白皮書”），對安全知識圖譜的概念內(nèi)涵、核心框架、關(guān)鍵技術(shù)和應(yīng)用實(shí)踐進(jìn)行全面總結(jié)與介紹，助力網(wǎng)絡(luò)安全智能化邁入認(rèn)知智能階段。

　　綠盟科技天樞實(shí)驗(yàn)室主任研究員顧杜娟認(rèn)為，網(wǎng)絡(luò)空間安全知識圖譜的構(gòu)建與基于知識圖譜的推理技術(shù)已經(jīng)走向成熟，已成為網(wǎng)絡(luò)安全智能從感知智能邁向認(rèn)知智能、決策智能的必由之路，是應(yīng)對網(wǎng)絡(luò)空間高級、持續(xù)、復(fù)雜威脅與風(fēng)險(xiǎn)不可或缺的技術(shù)基礎(chǔ)。

　　知識圖譜如何理解“安全”場景？顧杜娟介紹，安全知識圖譜作為一種實(shí)體和概念等安全知識的高效組織形式，能夠發(fā)揮其知識整合的優(yōu)勢，將零散分布的多源異構(gòu)的安全數(shù)據(jù)組織起來，為網(wǎng)絡(luò)安全空間的威脅建模、風(fēng)險(xiǎn)分析、攻擊推理等提供數(shù)據(jù)分析和知識推理方面的支持，從而加速安全進(jìn)入認(rèn)知智能階段。

　　安全知識圖譜的引入，讓整個(gè)安全體系都更“懂”安全。顧杜娟總結(jié)，知識圖譜的優(yōu)勢有三點(diǎn)：高效、直觀、智能。例如，知識圖譜讓溯源調(diào)查更加高效。在終端分析過程中如果采用傳統(tǒng)基于表格的形式，在某些路徑溯源的時(shí)候效率明顯低下，而知識圖譜是通過關(guān)聯(lián)到已有知識，就能識別出業(yè)務(wù)的正常與異常，攻擊者和正常用戶的區(qū)別。再例如，在異常檢測、識別攻擊上，以前只能根據(jù)預(yù)防與攻擊有明顯的語義簡單區(qū)分，但加入了知識圖譜之后，有了更豐富的上下文，可以知道這個(gè)行為具體是什么，是怎么來的。

　　對當(dāng)前安全知識圖譜的具體應(yīng)用，白皮書給出了六類主要應(yīng)用場景。顧杜娟認(rèn)為，在這六個(gè)應(yīng)用場景中，知識圖譜發(fā)揮了底層安全數(shù)據(jù)的最大價(jià)值，為安全業(yè)務(wù)真正賦能。

　　ATT&CK 威脅建模：基于 ATT&CK 對各個(gè)攻擊生命周期的攻擊行為建模。安全知識圖譜一般包含基礎(chǔ)的威脅建模知識與威脅攻擊數(shù)據(jù)，可根據(jù)威脅相關(guān)知識的融合抽象，提供更細(xì)粒度、更動(dòng)態(tài)的建模理論框架。

　　APT 威脅追蹤：通過威脅情報(bào)關(guān)鍵要素的抽取與動(dòng)態(tài)行為推理，實(shí)現(xiàn) APT 攻擊者團(tuán)伙的威脅主體畫像與自動(dòng)歸因，輔助攻擊事件的研判與取證。

　　企業(yè)智能安全運(yùn)營：基于安全知識圖譜的事件風(fēng)險(xiǎn)畫像、攻擊路徑調(diào)查、響應(yīng)策略推薦，能夠提供豐富的、具有安全語義的上下文，有效支撐動(dòng)態(tài)事件的研判和策略部署，降低安全運(yùn)營對專家經(jīng)驗(yàn)與知識的依賴

　　網(wǎng)絡(luò)空間測繪：實(shí)現(xiàn)面向網(wǎng)絡(luò)空間測繪領(lǐng)域知識圖譜的語義搜索、查詢，智能問答和知識推理等任務(wù)，將資產(chǎn)、漏洞、安全機(jī)制、攻擊模式等信息進(jìn)行關(guān)聯(lián)分析和數(shù)據(jù)融合匯聚，充分掌握網(wǎng)絡(luò)空間資產(chǎn)及其狀況。

　　軟件供應(yīng)鏈安全：構(gòu)建軟件供應(yīng)鏈知識圖譜，通過知識圖譜的關(guān)聯(lián)與推理，完成軟件供應(yīng)鏈的風(fēng)險(xiǎn)識別、高風(fēng)險(xiǎn)推薦、影響范圍分析和緩解措施決策等。

　　兩安融合的工業(yè)系統(tǒng)防護(hù)：安全知識圖譜運(yùn)用大數(shù)據(jù)分析和圖挖掘技術(shù)，對現(xiàn)代工業(yè)控制系統(tǒng)中信息層和物理層的耦合關(guān)系進(jìn)行深度解析，實(shí)現(xiàn)“決策制定、風(fēng)險(xiǎn)預(yù)判、事故分析、攻擊識別”等能力的智能化輔助和自動(dòng)化處理。

　　據(jù)介紹，綠盟安全知識圖譜平臺“天樞啟智”已經(jīng)通過CESI（中國電子技術(shù)標(biāo)準(zhǔn)化研究院）組織的“知識圖譜產(chǎn)品認(rèn)證”，證明綠盟科技安全知識圖譜在知識構(gòu)建和應(yīng)用層面已經(jīng)達(dá)到應(yīng)用水平。

　　新技術(shù)新概念的推廣不僅是一家之力，在安全知識圖譜的推廣應(yīng)用上，顧杜娟表示，安全知識圖譜關(guān)鍵技術(shù)研究和攻防場景應(yīng)用實(shí)踐目前還仍處于早期階段，綠盟科技不僅投身于知識圖譜的國家標(biāo)準(zhǔn)制定等工作，還積極分享有效方法論及實(shí)踐經(jīng)驗(yàn)，通過開放技術(shù)生態(tài)的構(gòu)建，推動(dòng)知識圖譜在安全行業(yè)的應(yīng)用和發(fā)展，讓網(wǎng)絡(luò)安全共同邁向認(rèn)知智能。