以ATT&CK为例构建网络安全知识图

随着攻击工具、方法的逐渐升级和复杂化，安全数据的大规模融合，攻防对抗愈加激烈。安全团队如何在浩瀚数据中有效发现高级威胁的蛛丝马迹，如何把网络安全专家的经验、知识有效转化为可复制可扩展的数据分析能力，如何将对抗高级威胁的“炼金术”逐步升级为科学淘金指南，如何将安全从业者从繁重的体力劳动中解放出来，愈发成为安全能力亟需突破的难点和重点，也是我们正在探索的方向。

正如医疗行业中治疗疑难杂症依赖医疗专家，网络空间高级威胁的防护和处置也依赖安全专家的经验与知识。不过，即使是最顶尖的外科医生，也离不开高度自动化、精准化的医疗设备辅助其完成复杂高难度的医疗任务，网络空间亦需要自动化平台与工具辅助从业者进行持续的攻防对抗。

“针对网络空间智能威胁分析技术的研究，目的不是设计一个如何炫目的概念，也难以实现一个放之四海皆可用的AI安全模型。回归到攻防的战场上，我们希望也能够得到的，是一个能吞吐海量异构多源数据，快速检测、推理、响应、追踪威胁事件的高度自动化的统一平台及工具集，辅助人进行安全的运营、研究和对抗。”在《智能威胁分析之图数据构建[lw1] 》文中，基于对网络安全数据分析中常用数据源的重新审视，提出了构建智能安全平台的图模型所需的环境、行为、情报、知识四张关键数据图，以支撑“智能化”安全研究工作的进一步开展。构建自动化的威胁分析能力，需要对网络安全大规模、多源、多维数据进行系统的梳理和组织，以实现基于各类型数据的关联挖掘能力。图的组织形式能够充分发挥网络数据的图属性，从存储、分析、可视化等多个环节提升安全数据分析的效率。

在环境、行为、情报、知识四张图中，知识图具有可归纳、可推理、可建模的属性，通过知识图内部的关联和与其他类型的图间关联，能够有效拓展威胁事件分析的上下文，支持威胁的检测、响应、溯源等复杂任务。ATTtext-align:left">一、ATTtext-align:left">二、安全知识图构建思考

通过图模型组织安全大数据，能够充分发挥网络数据的“图基因”，提升多源、异构安全数据分析的效率，例如能够大幅缩短多跳关联数据检索的时间，能够根据新的关键“链接”构建新的知识链条等等。通过威胁模型和安全知识库，构建网络安全知识图，能够在网络环境图、行为图、情报图之外，提供可推理、可拓展、可关联的威胁上下文，促进数据细节的多跳关联，支持威胁事件的检测、响应、溯源等任务。

图4 行为图与ATTtext-align:left">三、总结

网络安全大数据的分析给威胁的检测与响应带来机遇，也同样带来挑战。我们需要更加有效的数据收集，合理的数据组织，准确的数据分析以及丰富的可视化能力，支撑分析任务中的模拟、关联、知识沉淀等过程，进而逐步自动化安全防御能力。随着ATTtext-align:left">

转载请注明来自网盾网络安全培训，本文标题：《以ATT&CK为例构建网络安全知识图》

标签：绿盟科技