面向威胁情报的知识图谱构建关键技术

随着万物互联时代的到来，网络空间的攻击面不断拓展延伸，安全问题日益凸显。为应对复杂多变的网络攻击，构建威胁情报的知识图谱是核心和基础，利用威胁情报知识图谱将专家知识与海量安全数据相结合，有助于推动网络安全智能防御技术从感知智能迈向认知智能。本文提出了构建威胁情报知识图谱的技术架构，设计了一种网络安全知识本体，并总结了当前国内外实体识别技术与关系抽取技术的研究现状，最后分析了威胁情报知识图谱的未来研究发展方向及应用场景。     

基于残差空洞卷积神经网络的网络安全实体识别方法

近年来,网络安全威胁日益增多,数据驱动的安全智能分析成为网络安全领域研究的热点。特别是以知识图谱为代表的人工智能技术可为多源异构威胁情报数据中的复杂网络攻击检测和未知网络攻击检测提供支撑。网络安全实体识别是威胁情报知识图谱构建的基础。开放网络文本数据中的安全实体构成非常复杂,导致传统的深度学习方法难以准确识别。在BERT（pre-training of deep bidirectional transformers）预训练语言模型的基础上,提出一种基于残差空洞卷积神经网络和条件随机场的网络安全实体识别模型 BERT-RDCNN-CRF。通过BERT模型训练字符级特征向量表示,结合残差卷积与空洞神经网络模型有效提取安全实体的重要特征,最后通过CRF获得每一个字符的BIO标注。在所构建的大规模网络安全实体标注数据集上的实验表明,所提方法取得了比LSTM-CRF模型、BiLSTM-CRF模型和传统的实体识别模型更好的效果。     

基于深度学习的威胁情报知识图谱构建技术

随着网络威胁日益增多,威胁情报的知识图谱构建技术成为了网络安全领域的重要研究方向;然而,目前知识图谱构建技术对知识的获取缺乏快速性和准确性。针对这些问题,本文提出一种监督性的深度学习模型,对威胁情报的实体和实体关系进行自动化抽取,并通过图数据库进行知识图谱的可视化展示。实验结果表明,本文提出的基于深度学习模型对威胁情报实体和实体抽取的方法,在准确性上有着较大提高,为自动化构建威胁情报知识图谱提供有力的保障。     

基于网络防御知识图谱的0day攻击路径预测方法

针对0day漏洞未知性造成的攻击检测难问题,提出了一种基于知识图谱的0day攻击路径预测方法.通过从现有关于网络安全领域本体的研究成果及网络安全数据库中抽取"攻击"相关的概念及实体,构建网络防御知识图谱,将威胁、脆弱性、资产等离散的安全数据提炼为互相关联的安全知识.在此基础上,依托知识图谱整合的知识,假设并约束0day...     

面向流程工业控制的双安融合知识图谱研究

随着工业控制系统不断走向现代化和智能化,工业控制系统的安全问题日益凸显。然而,传统的工业控制系统往往仅关注信息安全或生产安全,不能同时兼顾两方面的安全问题。知识图谱作为一种结构化的数据表现形式,能够存储领域知识并建模知识之间的因果关系。现有研究大多使用知识图谱解决网络安全问题,鲜有研究将知识图谱用于解决工业控制系统的信息与生产安全问题。文中提出了一种面向流程工业控制系统的双安融合知识图谱构建方法,通过基于BERT的命名实体模型和图对齐等技术,有效地从工控领域网络安全数据库和实际化工生产相关文档中提取了实体和关系,并构建了流程工业双安融合知识图谱。该知识图谱融合了化工生产流程特征和网络攻击行为特征,能通过两种特征知识间的耦合关系为工控系统提供综合的网络安全和生产安全保障。     

基于Hadoop的大规模网络安全实体识别方法

随着大数据时代的到来,如何从多源异构数据中准确地识别网络安全实体是构建网络安全知识图谱的基础问题。因此本文针对网络安全相关文本数据,研究支持海量网络数据的安全实体识别算法,为构建网络安全知识图谱奠定基础。针对海量的文本类网络数据中安全实体的高效精准抽取问题,本文基于Hadoop分布式计算框架提出改进的条件随机场（conditional random fields,CRF）算法,对数据集进行有效分割,实现安全实体的高效准确识别。在大规模真实网络数据集上的实验证明,本文提出的算法达到了较高的网络安全实体识别准确率,同时提高了识别的效率。     

基于本体的网络威胁情报分析技术研究

网络安全领域中威胁情报的描述方式多种多样,迫切需要一种对威胁情报格式化描述的标准,将非格式化情报信息,转化为格式化数据,为情报的可视化知识图谱提供支撑。针对STIX 2.0的描述规范,提取了适应于网络安全威胁情报中的本体元素,构建了一个可共享、重用、扩展的威胁情报本体模型,并对领域本体、应用本体和原子本体进行了详细分类。将该模型应用在Poisonivy攻击事件中,提取了Poisonivy研究报告中的61个实体,102个关系,并将抽取的格式化数据导入Gephi进行可视化表达。通过对威胁情报本体模型的构建,完成了情报信息从非结构化到结构化的转换,并使用统一的语法进行描述,最终以知识图谱的方式来表达情报中重要元素,可以快速定位网络安全事件中的核心元素及之间关系,为网络安全分析者和决策者,提供重要依据。     

网络安全中大数据技术的应用探讨

介绍了大数据时代的网络安全,围绕数据的采集、存储、检索、分析以及处理等分析网络安全中心大数据技术的应用,并从网络安全平台架构、APT攻击检测、网络异常检测、网络安全态势感知、网络威胁情报分析等方面,就基于大数据技术的网络安全建设策略加以探讨。     

基于知识图谱驱动的网络安全等级保护日志审计分析模型研究

为了从海量的日志数据中审计分析安全事件,并进行事件溯源,文章提出基于知识图谱驱动的网络安全等级保护日志审计分析模型。该模型将安全、运维、数据分析和等级测评数据融合进行日志数据增益;将服务器、网络设备和安全设备作为本体构建节点;将业务数据流作为连接两个节点的关系,业务数据流的方向作为关系的方向。从安全管理中心、安全计算环境、安全区域边界和安全通信网络4个方面构建相应的网络安全等级保护日志知识图谱,实现网络日志的高效关联和深度挖掘分析,可以不需要对问题进行精确建模而在数据上直接进行分析和处理,适用于进行网络安全日志的大数据分析,为大规模复杂日志审计分析的求解提供了一种有效手段。     

大规模网络安全态势分析系统YHSAS设计与实现

大规模网络安全态势分析系统YHSAS面向国家骨干网络安全以及大型网络运营商、大型企事业单位等大规模网络环境,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。本文介绍了YHSAS系统的系统架构,并对其中的关键技术进行深入研究,包括:网络空间安全大数据实时分析计算平台技术、面向网络安全全要素信息采集与高维向量空间分析技术、支持超大规模网络安全知识表示和管理的知识图谱技术、多层次多粒度多维度的网络安全指标体系构建方法、基于自适应预测模型的多模式、多粒度网络安全事件预测技术等。性能测试显示,YHSAS系统在态势分析和预测方面均具有较高的实时性和精度,满足了大规模网络安全态势分析与预测的需求。     

一种基于图模型的网络攻击溯源方法

随着信息技术的飞速发展,网络攻击事件频发,造成了日益严重的经济损失或社会影响.为了减少损失或预防未来潜在的攻击,需要对网络攻击事件进行溯源以实现对攻击者的挖掘追责.当前的溯源过程主要依赖于人工完成,效率低下.面对日益增加的海量溯源数据和日趋全面的溯源建模分析维度,亟需半自动化或自动化的网络攻击者挖掘方法.提出一种基于图...     

Understanding and overcoming cyber security anti-patterns

This article presents an empirical and practice-based analysis of the question, why despite substantial investments, there are still major security weaknesses in today’s information systems. Acknowledging that cyber security is not a purely technical discipline, the article takes a holistic approach and identifies four anti-patterns that are frequent in practice and detrimental to the goal of achieving strong cyber security. The first anti-pattern is that decisions about security are frequently based on intuition rather than data and rigor; this introduces cognitive biases and undermines decision quality. Second, many organizations fail to implement foundational security controls and consequently, are easy targets for opportunistic and novice attackers. Third, there is an overreliance on the relatively static threat knowledge in products such as virus scanners, while an inability to learn and adapt dynamically opens the door for advanced threats. Fourth, weaknesses in security governance create systemic control gaps and vulnerabilities. The article describes each anti-pattern and presents specific steps that organizations can take to overcome them.     

可解释的知识图谱推理方法综述

近年来,以深度学习模型为基础的人工智能研究不断取得突破性进展,但其大多具有黑盒性,不利于人类认知推理过程,导致高性能的复杂算法、模型及系统普遍缺乏决策的透明度和可解释性。在国防、医疗、网络与信息安全等对可解释性要求严格的关键领域,推理方法的不可解释性对推理结果及相关回溯造成较大影响,因此,需要将可解释性融入这些算法和系统中,通过显式的可解释知识推理辅助相关预测任务,形成一个可靠的行为解释机制。知识图谱作为最新的知识表达方式之一,通过对语义网络进行建模,以结构化的形式描述客观世界中实体及关系,被广泛应用于知识推理。基于知识图谱的知识推理在离散符号表示的基础上,通过推理路径、逻辑规则等辅助手段,对推理过程进行解释,为实现可解释人工智能提供重要途径。针对可解释知识图谱推理这一领域进行了全面的综述。阐述了可解释人工智能和知识推理相关概念。详细介绍近年来可解释知识图谱推理方法的最新研究进展,从人工智能的3个研究范式角度出发,总结了不同的知识图谱推理方法。提出对可解释的知识图谱推理研究前景和未来研究方向。     

The Cyber Threat to National Critical Infrastructures: Beyond Theory

ABSTRACT

Adversary threats to critical infrastructures have always existed during times of conflict, but threat scenarios now include peacetime attacks from anonymous computer hackers. Current events, including examples from Israel and Estonia, prove that a certain level of real-world disorder can be achieved from hostile data packets alone. The astonishing achievements of cyber crime and cyber espionage – to which law enforcement and counterintelligence have found little answer – hint that more serious cyber attacks on critical infrastructures are only a matter of time. Still, national security planners should address all threats with method and objectivity. As dependence on IT and the Internet grow, governments should make proportional investments in network security, incident response, technical training, and international collaboration.     

A network security entity recognition method based on feature template and CNN-BiLSTM-CRF

Frontiers of Information Technology & Electronic Engineering - By network security threat intelligence analysis based on a security knowledge graph (SKG), multi-source threat intelligence data...     

基于可搜索加密的密态知识图谱存储和检索方案

随着云计算的快速发展,知识图谱数据外包成为一种流行的趋势。医疗、金融等诸多领域中的知识图谱有着隐私敏感特性,然而云服务器并不是完全可信的,为了保护数据在云服务器上的机密性和完整性,需要使用加密等方式来保护知识图谱数据的安全。提出了一种基于可搜索加密的密态知识图谱存储方案,可以有效保护数据的机密性和完整性,并且支持在密态数据上的检索。该方案充分考虑了知识图谱实体及其关系顺序读取的必要性,从而对密态索引设计进行优化,加快检索效率。实验结果显示,密态知识图谱的一跳子图查询平均时间为非密态知识图谱的2.09倍,表明该方案在安全性和查询效率上取得了良好的平衡。     

Effects of cyber security knowledge on attack detection

Ensuring cyber security is a complex task that relies on domain knowledge and requires cognitive abilities to determine possible threats from large amounts of network data. This study investigates how knowledge in network operations and information security influence the detection of intrusions in a simple network. We developed a simplified Intrusion Detection System (IDS), which allows us to examine how individuals with or without knowledge in cyber security detect malicious events and declare an attack based on a sequence of network events. Our results indicate that more knowledge in cyber security facilitated the correct detection of malicious events and decreased the false classification of benign events as malicious. However, knowledge had less contribution when judging whether a sequence of events representing a cyber-attack. While knowledge of cyber security helps in the detection of malicious events, situated knowledge regarding a specific network at hand is needed to make accurate detection decisions. Responses from participants that have knowledge in cyber security indicated that they were able to distinguish between different types of cyber-attacks, whereas novice participants were not sensitive to the attack types. We explain how these findings relate to cognitive processes and we discuss their implications for improving cyber security.