KG-网安

论文解读

Review on the Application of Knowledge Graph in Cyber Security Assessment

知识图谱在网络安全评估中的应用
出版： Kai Zhang and Jingju Liu.英国物理学会(IOP).2020

摘要：知识图可以结构化地描述客观世界中的概念、实体及其相互关系。将知识图谱应用到网络安全领域，可以更好地组织、管理和利用网络空间中的海量信息。本文总结了常见的网络安全评估模型和他们的缺点,讨论基于本体知识表示的研究进展,从而得出结论,基于本体的知识表示可以完全和准确地表示，在网络安全领域复杂的异构系统的知识。然后介绍了知识图的概念，总结了知识图在网络安全领域的应用进展，并讨论了未来的研究方向。

1.引言：

随着信息技术的发展，网络攻击事件频繁发生。攻击手段日趋复杂化、智能化、多样化。网络安全相关数据爆炸式增长。这些数据多样化、异构、分散，这使得网络安全人员很难快速找到他们需要的信息。如何对海量数据信息进行有效的分析、挖掘和关联，是网络安全领域的一个重大问题。
研究者提出了很多模型分析网络的脆弱性，并根据分析结果减少网络风险。然而，面对大规模的网络和海量的数据，现有的方法在知识表示和推理方面不能满足实际需要。知识图谱为上述问题提供了一个新的解决方案。
网络安全知识图以本体作为知识表示的基础。他可以用结构化，关系型的方式表达网络安全领域的知识，并且能图形化展示这些知识。安全管理员可以通过知识图直观地了解安全情报、网络情况、实体之间的关系，进而发现安全相关实体的属性，这为理解网络安全知识、分析网安数据、发现攻击模式和与网络攻击相关的异常特征提供了重要的基础。
这篇文章总结了知识图谱在网络安全评估中的应用。文章框架如下：第二章：展示常用的网络安全评估模型以及他们的优缺点。第三章：讨论了基于本体的知识表示和知识图概念的研究进展。第四章：总结了知识图谱在网络安全领域的应用进展。第五章：介绍未来工作的方向。第六章：总结这个文章。

• 网络安全数据分析
  - 难点：攻击手段日趋复杂化、智能化、多样化
  网络安全相关数据爆炸式增长，并且数据多样化、异构、分散这使得 网络安全人员很难快速找到他们需要的信息。
  - 现有方法缺点：在知识表示和推理方面不足

2.常用的网络安全评估模型

常用的网络安全评估模型有攻击图模型、攻击树模型、博弈论模型、Petri Net Model（Petri Net(PN) 是对离散并行系统的数学表示）

2.1 网络安全评估的概念和过程

网络安全评估是指基于相关信息安全技术和管理标准，对信息系统的可用性、完整性、保密性等安全属性进行综合分析和评估的过程。
Figure1:
第一步，识别网络环境中的资产，并为资产的机密性、完整性和可用性需求赋值。
第二步，识别网络环境中的漏洞。
第三步，根据漏洞发生的概率，以及漏洞被利用后对资产的保密性、完整性和可用性的影响，计算网络环境的安全风险。

2.2 常用的网络安全评估模型

攻击图

1. 攻击图论文起源：C. Phillips, L. Swiler, A graph-based system for network-vulnerabilityanalysis, ACM, 1998, 71-79.
   目的是：对网络进行漏洞分析
2. 状态攻击图（state attack graphs）：
3. 贝叶斯攻击图（Bayesian attack graphs[）：
4. 属性攻击图（attribute attack graphs）：
5. 基于关系数据库和非关系数据库的攻击图生成方法：

缺点：攻击图不适合对并发和协作攻击过程进行建模和分析，并且在攻击图的生成过程中容易发生状态爆炸问题，使得攻击图的规模过大。

攻击树

1. 攻击树模型起源【2】
   目的：用于对系统安全威胁进行建模。攻击树的模型比较简单。
2. 故障树（fault tree structure）【12】
3. 防御树（defensive tree model）【13】
   作用：将防御机制和博弈论相结合，解决了寻找最具成本效益对策集的问题
4. attacker-manager game tree【14】
   特点：考虑到了每一步攻击的代价

不足：攻击树模型通常是针对某些漏洞或服务建立的，缺乏全局考虑。

博弈论：
通过分析攻击者和防御者之间的相互作用，建立一个攻防博弈模型，然后计算他们的纳什均衡点，然后进行安全评估和分析。

1. models include an offensive and defensive stochastic game model to solve the problem of defense strategy selection[15]
2. a fully-informed dynamic game active defense model【16】
3. 基于不完全信息的博弈模型【17-20】
4. Markov’s offensive and defensive differential game model[21]

缺点：传统的基于博弈论的安全评估方法不能有效地处理评估中的模糊因素，影响了分析结果的准确性和有效性。

Petri net

1. Petri net起源：by Carl Adam Petri in 1960
   目的：用因果关系来描述并行计算机系统
2. stochastic Petri nets【22】
3. colored Petri nets[23]
4. time Petri nets[24]

1. 网络传染病模型（network epidemic disease models）[25]
2. 有限状态机模型(finite state machine models)[26],

现有的模型和方法在知识表示和利用方面存在一定的局限性。一方面模型缺少表达能力。对于组合的网络攻击，大多数模型缺乏描述并发和协作攻击过程的能力。另一方面，现有的方法不适合对经验知识进行建模和推理。在评估过程中，需要根据一定的专家经验和历史数据对系统所面临的安全风险进行评估，但大多数基于模型的方法缺乏对经验知识进行建模和推理的能力。

网络安全本体与知识图谱

**定义：**本体是用来描述某一领域甚至更广范围内的概念和概念之间的关系。这些概念和关系有一个共同的、清晰的、独特的定义，每个人都在这个范围内认同，这使得人类和机器可以相互沟通。
**作用：**基于本体的知识表示方法可以有效地将特定领域内的多源数据结合起来，同时利用丰富的本体语言实现知识的推理和分类。

网络安全本体研究

网络安全本体是用来整合各种网络安全数据资源的。目的是有效地组织和利用网络安全领域知识，为网络安全评估和分析提供支持。基于单一本体的知识库研究非常丰富，其中最成熟的是漏洞描述框架，它直接推动了漏洞数据库的开发，如National ulnerability Database(NVD)，China National Vulnerability Database of Information Security(CNNVD)。由于漏洞在网络攻击中不可或缺，网络攻击本体的研究也随着漏洞的研究而发展，研究人员还构建了专门针对漏洞信息管理和攻击模式管理与利用的相关本体。
针对不同的应用场景，研究人员开发了不同的本体，例如针对入侵检测的本体。计算节点可达矩阵[37]，网络威胁情报分析[38],网络安全领域知识价值评估[39]，Simmonds等人[40]建立了安全攻击本体模型，提高了人们对网络安全系统中各要素之间关系的理解。Iannacone等人[41]提出了一种代表网络安全领域的整体本体，旨在创建一种知识表示，促进来自各种结构化和非结构化来源的数据的集成。Shed等人[42]提出了一种统一网络安全本体(UCO)，旨在支持网络安全系统中的信息集成和网络态势感知，集成来自不同网络安全系统的异构数据和知识模型，以及用于信息共享和交换的最常用的网络安全标准。

3.2知识图谱综述

本体的应用范围很广，包括但不限于软件工程、智能问答、生物信息学、Web服务(即语义Web服务)、检索系统和推荐系统、文化遗产保护、图像理解等领域。本体是知识图中知识管理的核心，其研究成果为知识图规范实体、关系以及类型、属性等对象之间的关系提供了理论依据。
知识图谱本质上是一个被称为语义网络的知识库[44]，即具有有向图结构的知识库。图中的节点表示实体或概念，有向边表示实体或概念之间的关系。目前的知识图谱已经被用来指代各种大型的知识库。三元组是知识图谱的常用表示形式。知识图谱可以表示为G = (E, R, S)，其中E为知识库中实体的集合，R为关系的集合，S为知识库中三元组的集合，三元组的基本形式包括<实体、关系、实体>和<概念，属性，属性值>，实体是知识图谱中最基本的要素，不同的实体之间存在着不同的关系。概念主要指集合、类别、对象类型、事物类型，如主机、漏洞等。属性是指对象可能具有的特征、参数等，如IP地址等。属性值是指对象的指定属性的值，例如192.168.1.100。
知识图谱可以分为通用知识图谱和行业知识图谱。通用知识图谱注重广度，强调多实体的融合。主要应用于智能搜索等领域。行业知识图谱通常需要建立在特定行业的数据之上，具有特定的行业意义。在行业知识图谱中，实体的属性和数据模型往往丰富而专业。

4.知识图谱在网络安全评估中的应用

4.1 构建网络安全知识图谱

构建知识图谱有成熟的框架可供参考，无论是自顶向下的[46]还是自底向上的[43]，都可以用来构建大规模的知识库。
网络安全领域存在各种成熟的结构化知识库，如NVD, CAPEC等。Jia等人【47】采用自顶向下的方法提出了一个构建网络安全知识图的框架，其中包含了安全知识库(概念、实例、关系、属性、规则)和网络安全本体(资产、漏洞、攻击)的五元组模型。然而，本文仅实现了网络安全本体的构建和实体提取，定义了关系规则和属性演绎。本文没有给出一个完整的网络安全知识图谱的构建过程。本文构建的网络安全本体侧重于反映网络资产的基本状态，不能反映网络中复杂的形势变化。
Qin[48]采用自底向上的方法构建知识图谱，重点研究了网络安全实体的识别以及海量网络安全文本数据中实体之间的关系提取。针对现有实体提取方法的不足，提出了一种基于神经网络模型CNN-BiLSTM-CRF结合特征模板的网络安全实体提取方法，以及一种基于ResPCNN-ATT的远程监督关系提取方法。本文的研究重点是构建网络安全知识图谱的理论和方法，没有给出实际的应用场景。

4.2 网络安全态势感知

利用知识图集成多源异构数据的能力，研究人员开发了针对不同应用场景的态势感知系统。针对现有安全分析工具只有一个单一的数据源和依靠手工分析的问题,研究人员已经开发出Stucco[49]平台收集多源数据和这些数据组织成一个知识图谱以便分析师和系统可以快速找到相关信息。
CyGraph[50]是MITRE公司开发的一款态势感知系统，主要面向网络战任务分析、可视化分析和知识管理。CyGraph将孤立的数据和事件聚合在一起，通过统一的基于图形的网络安全模型，构建网络安全领域的知识图。CyGraph可以分析攻击路径、预测关键漏洞、分析入侵告警关联和交互式可视化查询。
Metron[51]是Apache基于Cisco的OpenSOC开发的一个知识图谱项目。它集成了各种开源大数据技术，可以整合最新的威胁情报信息，进行安全监控和分析。
YHSAS[52]是一种用于骨干网络安全和大型网络环境的态势感知系统，如大型网络运营商、大型企业和机构。该系统将知识图应用于大规模的网络安全知识表示和管理，能够获取、理解、显示和预测导致网络形势变化的安全要素的未来发展趋势。

4.3 网络安全评估与分析

针对现有攻击图生成和分析方法不能准确反映节点和攻击路径的真实风险的问题，Ye等人[53]设计了一种基于原子攻击本体的知识图谱，提出了一种扩展的基于知识图的攻击图谱生成框架，在此框架的基础上，提出了一种攻击图生成算法以及攻击成功率和攻击收益计算方法。然而，本文的攻击成功率和攻击收益的计算方法比较简单，只是验证了方法的可行性，并没有给出该方法在大规模网络中的应用效果。

考虑到未知攻击和内部攻击，Wang等人[54]提出了一种智能高效的最优路径生成方法，进一步提高了最优路径生成效率。该方法利用知识图谱的智能高效推理生成主机威胁渗透图，再基于渗透信息交换生成网络威胁渗透图，从而得到任意两个主机之间的最优渗透路径。本文实验网络节点数量有限，不能体现知识图谱在大数据处理中的优势。

4.4 基于知识图谱的关联分析

互联网上有很多与网络安全相关的内容，比如安全博客、黑客论坛、安全公告、入侵警报等等。充分利用各种知识库和网站中的网络安全相关信息，并将这些安全相关知识按照一定的规则进行关联，对网络安全评估和分析具有重要意义。
Qi等人[55]认为网络攻击有多个攻击步骤，这些步骤与入侵检测系统的警报相关联。基于这一思想，提出了一种基于知识图的网络安全攻击事件关联分析算法，用于描述地空一体化网络的攻击场景。
Zhu[56]等人提出了一种基于构建的网络安全知识图谱的网络攻击归因框架，用于对地空综合信息网络中的攻击源进行跟踪，解决了攻击源难以找到的问题。
传统的入侵检测系统无法有效地协调存储在分布式知识库中的多维安全信息。Wang等[57]提出了一种集成的智能安全事件关联分析系统来解决这一问题。系统将网络基础设施知识库、漏洞知识库、网络威胁知识库和入侵警报知识库集成到网络安全知识图中，支持安全事件的相关性分析。
针对网络安全事件(如多步攻击)的早期检测，Narayanan等[58]提出了一种基于UCO的扩展网络安全本体。他们提取主机和网络数据，构建网络安全知识图，利用知识图中语义丰富的知识表示和机器学习技术的推理能力，帮助安全分析师及早发现安全事件。

5 研究展望

目前，知识图在网络安全领域的应用已经取得了一定的成果，但总体上还处于起步阶段。在网络安全本体构建、网络安全评估与分析、网络攻击预测与溯源、基于知识图的智能决策等方面需要进一步研究。

5.1 构建网络安全本体

本体是知识图谱中知识管理的核心。网络安全本体的构建直接关系到知识图能否有效集成和关联多源异构网络安全数据。针对网络安全领域不同的应用场景，研究者们构建了不同的本体模型，但对本体模型的描述大多是模糊的，缺乏基于本体的推理研究。在实际应用中，如何根据实际需要构建合适的本体模型，是知识图在网络安全领域应用中首先要研究的问题。

5.2 网络安全评估与分析

现有的网络安全评估分析方法大多基于攻击图，方法相对简单，且受到攻击图模型可扩展性的限制。将现有的评估模型和分析方法(即贝叶斯网络)与知识图谱技术相结合，充分利用知识图谱在关系数据处理、数据融合和知识推理等方面的优势，提高网络安全评估的效率。这将是进一步研究的方向。

5.3 预测和跟踪网络攻击

现有的关联分析研究只能对简单的网络攻击或事件进行关联分析，缺乏对复杂网络攻击的预测和溯源的研究。对于发生在网络中的安全事件，如何将事件与网络资产关联起来，获取事件的上下文信息，进而对事件进行预测和跟踪是网络安全领域的关键和难点问题。

5.4 基于知识图谱的智能决策

在网络安全评估中，如何根据网络形势进行智能决策是网络安全评估的发展趋势。目前的网络安全评估也依赖于个人经验，情报水平较低。提高网络安全评估的情报水平是一个迫切需要解决的问题。Wei等人[59]提出了一种基于知识图的智能决策模型，解决了传统决策模型在灵活性、知识表示和协作方面的不足。基于知识图技术，研究适用于网络安全的决策模型，提高网络安全评估的智能化水平是值得研究的。

6 结论

本文讨论了知识图在网络安全评估中的应用，介绍了常用的网络安全评估模型和方法，并指出了它们的不足。然后，介绍了基于本体的知识表示在网络安全领域的研究进展和知识图的概念，分析了将知识图应用于网络安全评估的优势;然后阐述了知识图谱在网络安全评估中的相关研究现状。最后，基于现有研究的不足，展望了未来的研究方向。
知识图谱已广泛应用于智能搜索、智能答疑、个性化推荐、情报分析、反欺诈等领域。将知识图谱应用于网络安全领域将是该领域的前沿研究方向。

参考文献

[1] C. Phillips, L. Swiler, A graph-based system for network-vulnerability analysis, ACM, 1998, 71-79.
[2] B. Schneier, Attack trees: modeling security threats, Dr Dobb`s Journal, 24(1999),21-29.
[3] X. Gao. Research on the Theories and Key Technologies of Network Security Assessment. PLA Information Engineering University, Zhengzhou, 2014.
[4] S. Jha, O. Sheyner, J. Wing, Two formal analyses of attack graphs, IEEE, 2002, 49-63.
[5] O. Sheyner, J. Haines, S. Jha, et al, Automated generation and analysis of attack graphs, 2002.
[6] Y. Liu, H. Man, Network Vulnerability Assessment Using Bayesian Networks, Proceedings of SPIE - The International Society for Optical Engineering, (2005). [7] L. Wang, Y. Chao, A. Singhal, et al, Interactive Analysis of Attack Graphs Using Relational Queries, Lecture Notes in Computer Science, 4127(2008),119-132.
[8] M. S. Barik, C. Mazumdar, A. Gupta, Network Vulnerability Analysis Using a Constrained Graph Data Model, 2016.
[9] M. S. Barik, C. Mazumdar, A Graph Data Model for Attack Graph Generation and Analysis, 2014.
[10] S. Noel, E. Harley, K. H. Tam, et al, Big-Data Architecture for Cyber Attack Graphs, (2014).
[11] L. Wang, Y. Chao, A. Singhal, et al, Implementing interactive analysis of attack graphs using relational databases, Journal of Computer Security, 16(2008),419-437.
[12] I. N. Fovino, M. Masera, A. D. Cian, Integrating cyber attacks within fault trees, Reliability Engineering & System Safety, 94(2009),1394-1402.
[13] S. Bistarelli, M. Dall Aglio, P. Peretti, Strategic Games on Defense Trees., 2006.
[14] A. Arghavani, M. Arghavani, M. Ahmadi, et al, Attacker-Manager Game Tree (AMGT): A New Framework for Visualizing and Analysing the Interactions Between Attacker and Network Security Manager, Computer Networks, 133(2018).
[15] W. Jiang, B. X. Fang, Z. H. Tian, et al. Research on Defense Strategies Selection Based on Attack-Defense Stochastic Game Model. Journal of Computer Research and Development. 47(2010), 1714-1723.
[16] W. Q. Lin, H. Wang, J. H. Liu, et al. Research on Active Defense Technology in Network Security Based on Non- Cooperative Dynamic Game Theory. Journal of Computer Research and Development. 48(2011), 306-316.
[17] Q. K. Mi, B. Wu, Y. Du, et al. Information System Security Risk Assessment Based on Incomplete Information Game Model. JISUANJI YU XIANDAIHUA. (2019), 118-126.
[18] H. Q. Zhang, J. N. Yang, C. F. Zhang. Defense decision-making method based on incomplete information stochastic game and Q-learning. Journal on Communications. 39(2018), 56-68.
[19] J. N. Yang, H. Q. Zhang, C. F. Zhang. Defense decision-making method based on incomplete information stochastic game. Chinese Journal of Network and Information Security. 4(2018), 12-20.
[20] J. D. Wang, D. K. Yu, H. W. Zhang, et al. Defense Strategies Selection Based on Incomplete Information Attack-Defense Game. Journal of Chinese Computer Systems. 36(2015), 2345-2348.
[21] H. Zhang, S. Huang. Markov Differential Game Model and Its Application in Network Security. ACTA ELECTRONICA SINICA. 47(2019), 606-612.
[22] N. H. Yang, H. Q. Yu, Z. L. Qian, et al, Modeling and quantitatively predicting software security based on stochastic Petri nets, Mathematical & Computer Modelling, 55(2012),102-112.
[23] R. Laborde, B. Nasser, F. Grasset, et al, A Formal Approach for the Evaluation of Network Security Mechanisms Based on RBAC Policies, Electronic Notes in Theoretical Computer Science, 121(2005),117-142.
[24] S. Pudar, G. Manimaran, C. C. Liu, PENET: A practical method and tool for integrated modeling of security attacks and countermeasures, Computers & Security, 28(2009),754-771.
[25] C. Vargas-De-León, On the global stability of SIS, SIR and SIRS epidemic models with standard incidence, Chaos Solitons & Fractals, 44(2011),1106-1110. [26] W. Guo, J. Wu, F. Zhang, et al. A Cyberspace Attack and Defense Model with Security Performance Analysis Based on Automata Theory. Journal of Cyber Security. (2016), 29-39.
[27] X. Y. Du, M. Li, S. Wang. A Survey on Ontology Learning Research. Journal of Software. 17(2006), 1837-1847.
[28] J. B. Gao. Research on Ontology Model and Its Application in Information Security Evaluation. Shanghai Jiao Tong University, 2015.
[29] R. C. Seacord, A. D. Householder, A Structured Approach to Classifying Security Vulnerabilities, (2005).
[30] Information on https://nvd.nist.gov/.
[31] Information on http://www.cnnvd.org.cn/.
[32] R. Syed, H. Zhong, Cybersecurity Vulnerability Management: An Ontology-Based Conceptual Model, New Orleans, United States, 2018.
[33] Y. Zhu, Attack Pattern Ontology: A Common Language for Cyber Security Information Sharing, (2015).
[34] A. Joshi, R. Lal, T. Finin, et al, Extracting Cybersecurity Related Linked Data from Text, 2013.
[35] V. Mulwad, W. Li, A. Joshi, et al, Extracting Information about Security Vulnerabilities from Web Text, 2011.
[36] J. Undercoffer, A. Joshi, J. Pinkston, Modeling Computer Attacks: An Ontology for Intrusion Detection, 2003.
[37] N. Scarpato, N. D. Cilia, M. Romano, Reachability Matrix Ontology: A Cybersecurity Ontology, Applied Artificial Intelligence, (2019),1-13.
[38] C. Lederer, S. Altstadt, S. Andriamonje, et al, An ontology for threat intelligence, Munich, Germany, 2016.
[39] A. Aviad, K. Węcel, W. Abramowicz, A Concept for Ontology-Based Value of Cybersecurity Knowledge, International Journal of Management and Economics, (2018).
[40] A. J. Simmonds, P. Sandilands, L. V. Ekert, An Ontology for Network Security Attacks, 2004.
[41] M. Iannacone, S. Bohn, G. Nakamura, et al, Developing an Ontology for Cyber Security Knowledge Graphs, 2015.
[42] Z. Syed, A. Padia, T. Finin, et al, UCO: A Unified Cybersecurity Ontology, 2016.
[43] Q. Liu, Y. Li, H. Duan, et al. Knowledge Graph Construction Techniques. Journal of Computer Research and Development. 53(2016), 582-600.
[44] G. L. Qi, D. T. Ouyang, J. Z. Li. Ontology Engineering and Knowledge Graph Topic Introduction. Journal of Software. 29(2018), 5-6.
[45] J. Li, L. Hou. Reviews on Knowledge Graph Research. 40(2017), 454-459. [46] Y. J. Yang, B. Xu, J. W. Hu, et al. Accurate and Efficient Method for Constructing Domain Knowledge Graph. Journal of Software. 29(2018), 39-55. [47] Y. Jia, Y. Qi, H. J. Shang, et al. A Practical Approach to Constructing a Knowledge Graph for Cybersecurity. Engineering. v.4(2018), 117-133.
[48] Y. Win. Research on Key Technologies of Network Security Knowledge Graph Construction. Guizhou University, Guizhou, 2019.
[49] Information on https://stucco.github.io/.
[50] S. Noel, E. Harley, K. H. Tam, et al, CyGraph: Graph-Based Analytics and Visualization for Cybersecurity, Handbook of Statistics, (2016).
[51] Metron, http://metron.apache.org/.
[52] Y. Jia, W. H. Han, W. Wang. Research and Implementation Security Situation Analysis and Prediction System for Large-scale Network. INFORMATION TECHNOLOGY AND NETWORK SECURITY. 37(2018), 17-22. [53] Z. W. Ye, Y. B. Guo, T. Li, et al. Extended Attack Graph Generation Method Based on Knowledge Graph. Computer Science. (2019), 1-14.
[54] S. Wang, J. H. Wang, G. M. Tang, et al. Intelligent and Efficient Method for Optimal Penetration Path Generation. Journal of Computer Research and Development. 56(2019), 929-941.
[55] Q. Y., J. R., J. Y., et al, Association Analysis Algorithm Based on Knowledge Graph for SPACE-Ground Integrated Network, 2018, 222-226.
[56] Z. Z., J. R., J. Y., et al, Cyber Security Knowledge Graph Based Cyber Attack Attribution Framework for Space-ground Integration Information Network, 2018, 870-874.
[57] W. Wei, J. Rong, J. Yan, et al, KGBIAC: Knowledge Graph Based Intelligent Alert Correlation Framework, 2017.
[58] S. Narayanan, A. Ganesan, K. Joshi, et al, Cognitive Techniques for Early Detection of Cybersecurity Events, 2018.
[59] J. Wei, W. H. Li, W. Pan. Research on Intelligent Decision Support Technology and Application Based on Knowledge Graph. COMPUTER TECHNOLOGY AND DEVELOPMENT. (2020), 1-6.