基于知識圖譜的網(wǎng)絡(luò)空間安全威脅感知技術(shù)研究

石 波 于 然, 朱 健

1(北京計(jì)算機(jī)技術(shù)及應(yīng)用研究所 北京 100854) 2(江蘇航天七零六信息科技有限公司 南京 210012)

網(wǎng)絡(luò)空間作為繼陸、海、空、天之后的“第五維空間”，其攻防對抗正逐步成為國家間對抗的核心要素之一.新形勢下的網(wǎng)絡(luò)空間安全威脅正向著智能化、自動(dòng)化、規(guī)?；l(fā)展，安全威脅的種類及危害程度也在快速增長，影響越來越大，影響范圍越來越廣.

經(jīng)過長期系統(tǒng)性、針對性的發(fā)展，目前傳統(tǒng)的安全防護(hù)技術(shù)已趨于成熟，如訪問控制、攻擊檢測、惡意代碼防范等，在網(wǎng)絡(luò)安全防護(hù)中發(fā)揮了重要作用，很大程度上減輕了網(wǎng)絡(luò)攻擊帶來的損害.然而在網(wǎng)絡(luò)空間攻防對抗新形勢下，安全威脅日新月異，傳統(tǒng)安全防護(hù)手段的發(fā)展已跟不上攻擊技術(shù)的更新.傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)偏重被動(dòng)防御，屬于靜態(tài)防護(hù)，單純的被動(dòng)靜態(tài)防護(hù)已無法滿足網(wǎng)絡(luò)空間安全需求，亟需創(chuàng)新安全理念，結(jié)合知識圖譜、大數(shù)據(jù)、安全威脅情報(bào)等，發(fā)展動(dòng)態(tài)主動(dòng)安全防御技術(shù).

知識圖譜技術(shù)能夠清晰展示網(wǎng)絡(luò)空間中各類信息主體之間的邏輯關(guān)系，如不同攻擊之間的關(guān)系、攻擊與漏洞的關(guān)系、漏洞與漏洞的關(guān)系、不同安全威脅之間的關(guān)系等.知識圖譜本質(zhì)是一種語義網(wǎng)絡(luò)，由節(jié)點(diǎn)和邊組成，其中節(jié)點(diǎn)代表實(shí)體/概念，邊代表實(shí)體/概念之間的語義關(guān)系.運(yùn)用知識圖譜，通過對各類安全主體、安全主體屬性以及安全主體關(guān)系進(jìn)行分析，可以判斷推理出安全主體之間更深層次的關(guān)系.

1 知識圖譜應(yīng)用概況

知識圖譜是人工智能技術(shù)的重要研究內(nèi)容之一，依托其建立的知識庫具有高效、開放的語義處理能力，在智能推薦、智能問答等場景下得到了廣泛應(yīng)用[1].黃宏程等人[2]、李世寶等人[3]分別基于知識圖譜開展了人機(jī)交互模型和推薦模型的研究，評估用戶與實(shí)體交互的概率，給參與交互的人有針對性地推薦感興趣的內(nèi)容.

在網(wǎng)絡(luò)安全領(lǐng)域，知識圖譜也得到了廣泛應(yīng)用.國外研究者最早提出并不斷完善了網(wǎng)絡(luò)安全本體論，定義了目標(biāo)、方式、結(jié)果、漏洞、威脅、產(chǎn)品、服務(wù)、過程等本體類型[4-5]，明確了資產(chǎn)、風(fēng)險(xiǎn)、威脅、攻擊、防御、影響等本體定義[6]，對本體屬性進(jìn)行了擴(kuò)展，并對本體間的關(guān)聯(lián)關(guān)系進(jìn)行了分析融合[7].國內(nèi)方面，賈焰等人[8]開展了深入研究，提出了構(gòu)建網(wǎng)絡(luò)安全知識圖譜的方法和推演規(guī)則，利用機(jī)器學(xué)習(xí)以及Stanford NER等方法構(gòu)建網(wǎng)絡(luò)安全知識庫.陳華鈞等人[9]、游瑞邦等人[10]、石波等人[11]、張陽等人[12]、陳佳等人[13]分別將知識圖譜應(yīng)用于內(nèi)容安全、流規(guī)則演化及應(yīng)用、安全態(tài)勢預(yù)測、網(wǎng)絡(luò)安全數(shù)據(jù)組織、DDoS攻擊源檢測等，在網(wǎng)絡(luò)安全監(jiān)測及態(tài)勢感知、網(wǎng)絡(luò)安全知識學(xué)習(xí)及數(shù)據(jù)分析技術(shù)等方面均取得相關(guān)成果.齊斌等人[14]提出網(wǎng)絡(luò)安全知識圖譜模型，通過信息熵表征知識圖譜復(fù)雜度，并提出基于模糊集的知識圖譜選擇技術(shù).面向威脅情報(bào)領(lǐng)域，董聰?shù)热薣15]、王通等人[16]開展了相關(guān)研究，設(shè)計(jì)了面向威脅情報(bào)的知識圖譜構(gòu)建框架，提出針對威脅情報(bào)知識圖譜的實(shí)體和實(shí)體關(guān)系深度學(xué)習(xí)模型，并利用圖數(shù)據(jù)庫進(jìn)行可視化.

安全威脅情報(bào)在網(wǎng)絡(luò)安全防御體系中扮演著越來越重要的角色，但當(dāng)前安全威脅情報(bào)存在來源復(fù)雜、不易理解、難以共享等問題.針對這些問題，本文基于受限玻爾茲曼機(jī)(restricted Boltzmann machine, RBM)實(shí)現(xiàn)威脅情報(bào)特征深度學(xué)習(xí)，將原始威脅情報(bào)特征從高維空間逐層向低維空間映射，構(gòu)建網(wǎng)絡(luò)空間安全威脅知識圖譜，刻畫網(wǎng)絡(luò)空間安全威脅特征以及安全威脅情報(bào)之間的關(guān)系；進(jìn)而利用網(wǎng)絡(luò)空間安全威脅知識圖譜，結(jié)合當(dāng)前上下文情境，基于事件流處理進(jìn)行安全威脅路徑演化和追蹤溯源，精準(zhǔn)感知網(wǎng)絡(luò)空間安全威脅.

2 基于RBM的網(wǎng)絡(luò)空間安全威脅知識圖譜構(gòu)建

2.1 知識圖譜構(gòu)建流程

網(wǎng)絡(luò)空間安全威脅知識圖譜構(gòu)建流程如圖1所示,主要包括以下2個(gè)過程：

圖1 網(wǎng)絡(luò)空間安全威脅知識圖譜構(gòu)建

1) 安全知識抽取.從網(wǎng)絡(luò)空間安全威脅情報(bào)半結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)中提取安全實(shí)體、安全實(shí)體間關(guān)系、安全實(shí)體屬性等知識要素.

2) 安全知識融合.包括安全數(shù)據(jù)整合、安全實(shí)體對齊、安全知識推理、安全本體構(gòu)建、安全本體質(zhì)量評估等步驟，消除安全實(shí)體、安全實(shí)體間關(guān)系、安全實(shí)體屬性等要素與實(shí)際對象之間的歧義，最終形成高質(zhì)量的網(wǎng)絡(luò)空間安全威脅知識圖譜.

2.1.1 安全知識抽取

安全知識抽取主要面向安全威脅情報(bào)半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，利用機(jī)器學(xué)習(xí)等技術(shù)抽取可用要素，并以此為基礎(chǔ)，形成高質(zhì)量、可理解的安全知識表達(dá).

1) 安全實(shí)體抽?。簩?shí)體是知識圖譜中的最基本元素，其抽取的準(zhǔn)確性、完備性等將直接影響網(wǎng)絡(luò)空間安全威脅知識圖譜的質(zhì)量.

2) 安全實(shí)體間關(guān)系抽?。喊踩珜?shí)體間關(guān)系刻畫實(shí)體間的語義鏈接，需要提前定義安全實(shí)體間的基本關(guān)系類型.

3) 安全實(shí)體屬性抽?。喊踩珜?shí)體屬性形成對實(shí)體的完整描述和表達(dá).

2.1.2 安全知識融合

網(wǎng)絡(luò)空間安全威脅情報(bào)數(shù)據(jù)來源廣泛，導(dǎo)致數(shù)據(jù)冗余嚴(yán)重甚至存在錯(cuò)誤，且不同安全實(shí)體間的關(guān)聯(lián)關(guān)系復(fù)雜且隱蔽，因此必須進(jìn)行安全知識融合.即構(gòu)建安全知識規(guī)范，形成統(tǒng)一、完整的知識基本表達(dá)，在此基礎(chǔ)上對多源數(shù)據(jù)進(jìn)行除錯(cuò)、去重、關(guān)聯(lián)、驗(yàn)證、更新等操作，最終形成高質(zhì)量、可理解的網(wǎng)絡(luò)空間安全威脅知識圖譜.具體包括以下幾個(gè)步驟：

1) 安全實(shí)體對齊.消除異構(gòu)數(shù)據(jù)中沖突、歧義等問題，創(chuàng)建統(tǒng)一知識庫并不斷學(xué)習(xí)更新，支撐海量多源異構(gòu)數(shù)據(jù)學(xué)習(xí)，形成高質(zhì)量知識.

2) 安全本體構(gòu)建.安全本體通過樹狀結(jié)構(gòu)呈現(xiàn)，其中相鄰節(jié)點(diǎn)之間具有嚴(yán)格的包含關(guān)系.通過構(gòu)建本體庫而形成的知識圖譜具有理解性強(qiáng)、層次性強(qiáng)、冗余度低等優(yōu)點(diǎn).

3) 安全本體質(zhì)量評估.與安全實(shí)體對齊一起進(jìn)行，通過對知識的置信度、準(zhǔn)確度進(jìn)行量化，支撐對知識的更新維護(hù)，有效確保知識質(zhì)量.

4) 安全知識更新.包括模式層與數(shù)據(jù)層的更新.模式層更新是安全本體元素的更新，包括概念的增加、修改、刪除，概念屬性的更新以及概念間關(guān)系的更新等.數(shù)據(jù)層更新是安全實(shí)體元素的更新，包括安全實(shí)體的增加、修改、刪除以及安全實(shí)體屬性的更新.

5) 安全知識推理.在已有的網(wǎng)絡(luò)空間安全威脅知識圖譜的基礎(chǔ)上進(jìn)一步挖掘隱含的知識，達(dá)到不斷豐富、擴(kuò)展、完善知識圖譜的目的.安全知識推理的對象可以是安全實(shí)體、安全實(shí)體屬性、安全實(shí)體間關(guān)系等.安全知識推理需要大量關(guān)聯(lián)規(guī)則，關(guān)聯(lián)規(guī)則的形成主要基于對安全實(shí)體以及安全實(shí)體間關(guān)系的持續(xù)深度學(xué)習(xí).

2.2 知識圖譜構(gòu)建實(shí)現(xiàn)

利用深度學(xué)習(xí)構(gòu)建多層次、結(jié)構(gòu)性的網(wǎng)絡(luò)空間安全威脅知識圖譜能夠體現(xiàn)知識圖譜的結(jié)構(gòu)性特征，使得圖譜具有較低的維度和較高的抽象層面.網(wǎng)絡(luò)空間安全威脅知識圖譜構(gòu)建是一個(gè)無監(jiān)督自動(dòng)特征學(xué)習(xí)過程，其深度學(xué)習(xí)模型如圖2所示.該模型含有多個(gè)隱藏層，從第1個(gè)隱藏層到第k個(gè)隱藏層逐層單獨(dú)訓(xùn)練，節(jié)點(diǎn)數(shù)目逐層減少.相鄰層的節(jié)點(diǎn)之間存在連接關(guān)系，層內(nèi)以及跨層的節(jié)點(diǎn)之間沒有連接，連接強(qiáng)度用連接權(quán)重表示.

圖2 網(wǎng)絡(luò)空間安全威脅知識圖譜深度學(xué)習(xí)模型

RBM是一種2層的神經(jīng)網(wǎng)絡(luò)模型[17]，包括可視層和隱藏層，能夠有效完成從高維空間到低維空間的編碼.鑒于網(wǎng)絡(luò)空間安全威脅知識圖譜構(gòu)建正是需要將原始威脅情報(bào)特征從高維空間向低維空間映射，且要實(shí)現(xiàn)多層映射，因此本文采用多個(gè)層疊的RBM實(shí)現(xiàn)深度學(xué)習(xí)模型，獲取網(wǎng)絡(luò)空間安全威脅知識圖譜.RBM網(wǎng)絡(luò)結(jié)構(gòu)示意圖如圖3所示:

圖3 RBM網(wǎng)絡(luò)結(jié)構(gòu)示意圖

設(shè)有n個(gè)可視節(jié)點(diǎn)和m個(gè)隱藏節(jié)點(diǎn)(m

采用多個(gè)層疊的RBM將高維威脅情報(bào)特征降維，每層RBM的威脅情報(bào)特征輸出作為下一層RBM的輸入.具體來說，首先訓(xùn)練第1層RBM，輸入無標(biāo)定的威脅情報(bào)數(shù)據(jù)，該層的可視層具有n1個(gè)節(jié)點(diǎn)，處理后生成m1個(gè)節(jié)點(diǎn)，若m1

單層RBM訓(xùn)練算法流程描述如下：

1) 初始化

① 給定威脅情報(bào)特征訓(xùn)練樣本集合S(|S|=n)；

② 給定訓(xùn)練周期J和學(xué)習(xí)率η；

③ 指定可視層和隱藏層的節(jié)點(diǎn)數(shù)目n和m；

④ 初始化偏移量集合V,H以及權(quán)重矩陣W；

2) 訓(xùn)練(循環(huán)J次)

⑤ 輸入S,W,V,H，采用多個(gè)層疊的RBM構(gòu)成的深度學(xué)習(xí)模型進(jìn)行訓(xùn)練，輸出訓(xùn)練后的偏移量集合和權(quán)重矩陣，分別用ΔV,ΔH和ΔW表示；

⑥ 調(diào)整參數(shù)：W=W+η(ΔW/n),V=V+η(ΔV/n),H=H+η(ΔH/n)，重復(fù)步驟⑤.

3 基于知識圖譜的網(wǎng)絡(luò)空間安全威脅感知

3.1 安全威脅感知流程

3.1.1 安全威脅路徑演化

基于網(wǎng)絡(luò)空間安全威脅知識圖譜對輸入的安全威脅事件進(jìn)行分析，可以實(shí)現(xiàn)網(wǎng)絡(luò)空間安全威脅路徑演化.具體流程如圖4所示.

輸入安全威脅事件，并按照實(shí)體、實(shí)體屬性、實(shí)體間關(guān)系3種層次結(jié)構(gòu)進(jìn)行解析，便于知識圖譜進(jìn)行規(guī)則匹配和推理演化.路徑推理演化的本質(zhì)是計(jì)算可能的威脅演化路徑概率.自定義概率閾值，若威脅演化路徑概率高于閾值，則表示網(wǎng)絡(luò)安全威脅事件極大可能已經(jīng)發(fā)生，進(jìn)行安全實(shí)體智能檢索，記錄推理路徑，并判斷該網(wǎng)絡(luò)實(shí)體是否為重要網(wǎng)絡(luò)資產(chǎn)(如關(guān)鍵主機(jī)、服務(wù)器等).若是重要網(wǎng)絡(luò)資產(chǎn)，則立即發(fā)出威脅告警；否則，繼續(xù)進(jìn)行路徑推理演化，重新計(jì)算威脅演化路徑概率.若威脅演化路徑概率未超過閾值，則表示網(wǎng)絡(luò)安全威脅事件尚未發(fā)生，結(jié)束路徑推理演化.

圖4 基于知識圖譜的網(wǎng)絡(luò)空間安全威脅路徑演化流程

3.1.2 安全威脅追蹤溯源

與基于知識圖譜的網(wǎng)絡(luò)空間安全威脅路徑演化類似，基于知識圖譜的網(wǎng)絡(luò)空間安全威脅追蹤溯源是對已發(fā)生的網(wǎng)絡(luò)空間威脅事件進(jìn)行逆向推導(dǎo).具體流程如圖5所示.

輸入已發(fā)生的安全威脅事件，并按照實(shí)體、實(shí)體屬性、實(shí)體間關(guān)系3種層次結(jié)構(gòu)進(jìn)行解析.同樣經(jīng)過概率計(jì)算，判斷概率是否超過自定義閾值.如果未超過閾值，則完成推理；否則，進(jìn)行安全實(shí)體智能檢索，并記錄推理路徑.在獲取安全實(shí)體后，檢索已發(fā)生的歷史安全威脅事件中是否存在與該安全實(shí)體相關(guān)的事件.若存在相關(guān)安全威脅事件，則對檢索出的歷史安全威脅事件繼續(xù)進(jìn)行路徑推理演化；若不存在，則完成推理.

圖5 基于知識圖譜的網(wǎng)絡(luò)空間安全威脅追蹤溯源流程

3.2 基于事件流處理的安全威脅分析

事件流處理引入多事件復(fù)雜關(guān)聯(lián)模式分析，包括事件繼承、事件相關(guān)、事件因果關(guān)系等.事件流處理模式與數(shù)據(jù)庫管理模式不同.數(shù)據(jù)庫管理模式中的數(shù)據(jù)是靜態(tài)的，邏輯關(guān)系隨需求而變動(dòng)；事件流處理模式中已定義的行為模式是靜態(tài)的，數(shù)據(jù)是動(dòng)態(tài)變化的.事件流處理流程如圖6所示.

圖6 事件流處理流程

事件流處理引擎支持事件流實(shí)時(shí)查詢、計(jì)算、過濾、關(guān)聯(lián)等動(dòng)作.事件流處理引擎采用在線分析技術(shù)，實(shí)時(shí)輸出安全威脅分析結(jié)果.在事件流處理模式下，基于網(wǎng)絡(luò)空間安全威脅知識圖譜構(gòu)建關(guān)聯(lián)規(guī)則，每當(dāng)有符合知識圖譜模式的事件流經(jīng)引擎時(shí)，都能夠觸發(fā)某些行為模式，從而實(shí)現(xiàn)對安全威脅的實(shí)時(shí)檢測，并反饋給用戶.

基于事件流處理的安全威脅事件分析主要采用樹結(jié)構(gòu)進(jìn)行，樹結(jié)構(gòu)能夠?qū)踩{事件之間的時(shí)序性、過程性等圖譜特征表達(dá)清楚.圖7為基于網(wǎng)絡(luò)空間安全威脅知識圖譜構(gòu)建的某種關(guān)聯(lián)規(guī)則樹，節(jié)點(diǎn)表示安全威脅事件，節(jié)點(diǎn)之間的連線表示安全威脅事件之間的順序.圖7中，R2和R6為R1之后的安全威脅事件，R3，R4和R5為R2之后的安全威脅事件，R7和R8為R6之后的安全威脅事件.

圖7 安全事件關(guān)聯(lián)規(guī)則樹

圖8 處理單元結(jié)構(gòu)

1)rulename：關(guān)聯(lián)規(guī)則名稱.

2)src_ip：源IP.

3)dst_ip：目的IP.

4)dst_port：目的端口.

5)plugin_sid：信息類型.

6)protocol：協(xié)議類型.

7)timestamp：安全威脅事件發(fā)生的時(shí)間戳.

8)timeout：時(shí)間窗口，表示與上一級安全威脅事件的時(shí)間間隔.

9)success：安全威脅事件發(fā)生概率，值越大，發(fā)生概率越高.事件流處理過程中，越接近葉子節(jié)點(diǎn)，該值越大，安全威脅事件發(fā)生的可能性越高.該值通過規(guī)則觸發(fā)來改變.

10)importance：安全威脅事件的嚴(yán)重程度.

基于事件流處理的安全威脅分析將安全事件關(guān)聯(lián)規(guī)則樹轉(zhuǎn)換為事件流處理引擎能識別的數(shù)據(jù)流處理語言.事件流處理引擎將流經(jīng)的安全威脅事件與關(guān)聯(lián)規(guī)則進(jìn)行快速模式匹配分析，從而發(fā)現(xiàn)符合網(wǎng)絡(luò)空間安全威脅知識圖譜的安全威脅事件.事件流處理引擎運(yùn)行在實(shí)時(shí)流計(jì)算平臺上.事件流處理引擎中的處理單元包含4個(gè)組件：過濾器、觸發(fā)器、關(guān)聯(lián)器和攻擊重計(jì)算.處理單元結(jié)構(gòu)如圖8所示.

過濾器負(fù)責(zé)除雜和分流的任務(wù)；觸發(fā)器根據(jù)上級分析結(jié)果判斷是否需要觸發(fā)下級的分析執(zhí)行；關(guān)聯(lián)器按照規(guī)則(即知識圖譜特征)對安全威脅事件進(jìn)行關(guān)聯(lián)分析；攻擊重計(jì)算是對當(dāng)前安全威脅事件進(jìn)行重新評估，即依據(jù)當(dāng)前環(huán)境和安全威脅事件綜合計(jì)算安全威脅值，從而有效反映當(dāng)前安全威脅事件對于特定目標(biāo)的威脅性.

處理單元只能處理簡單的安全事件，復(fù)雜的安全威脅事件分析需要串聯(lián)多個(gè)處理單元，形成復(fù)雜處理結(jié)構(gòu).復(fù)雜處理結(jié)構(gòu)能夠?qū)崿F(xiàn)安全威脅事件上下文關(guān)聯(lián)，如圖9所示.

圖9 復(fù)雜處理結(jié)構(gòu)圖

4 實(shí)驗(yàn)驗(yàn)證

4.1 實(shí)驗(yàn)環(huán)境搭建

搭建網(wǎng)絡(luò)模擬環(huán)境，網(wǎng)絡(luò)中配套部署部分業(yè)務(wù)系統(tǒng)和安全設(shè)備/系統(tǒng).基于大數(shù)據(jù)基礎(chǔ)平臺，對網(wǎng)絡(luò)中的全局安全日志、終端日志、審計(jì)日志等進(jìn)行采集、歸一化和存儲，并進(jìn)行網(wǎng)絡(luò)空間安全威脅知識圖譜構(gòu)建和安全威脅分析、預(yù)測和可視化.在模擬環(huán)境中部署網(wǎng)絡(luò)攻擊工具，模擬網(wǎng)絡(luò)攻擊威脅，對比本文提出的基于知識圖譜的安全威脅感知方法與傳統(tǒng)威脅檢測方法的準(zhǔn)確率，并以可視化方式呈現(xiàn)給用戶.網(wǎng)絡(luò)模擬環(huán)境如圖10所示.

模擬環(huán)境涉及的設(shè)備和系統(tǒng)清單如表1所示.

表1 模擬環(huán)境設(shè)備/系統(tǒng)清單

4.2 構(gòu)建網(wǎng)絡(luò)空間安全威脅知識圖譜

選取互聯(lián)網(wǎng)開源威脅情報(bào)數(shù)據(jù)集malware-traffic-analysis作為數(shù)據(jù)源[18].該數(shù)據(jù)集包含2013—2020年的所有威脅情報(bào)，總計(jì)1 837個(gè)文本型威脅情報(bào)集合，30 000余條威脅情報(bào).

采用本文提出的基于RBM的網(wǎng)絡(luò)空間安全威脅知識圖譜構(gòu)建方法，對malware-traffic-analysis中的結(jié)構(gòu)化、非結(jié)構(gòu)化情報(bào)進(jìn)行清洗和處理，耗時(shí)13min32s，形成完全獨(dú)立的安全威脅知識圖譜1 137個(gè)，覆蓋全部1 837個(gè)文本型威脅情報(bào)集合以及所有30 000余條威脅情報(bào)，并且通過關(guān)聯(lián)規(guī)則挖掘出3 564條新的安全威脅特征.

4.3 安全威脅感知準(zhǔn)確率對比

選取數(shù)據(jù)集CICIDS 2017作為本文實(shí)驗(yàn)的威脅樣本集，CICIDS 2017可實(shí)現(xiàn)的攻擊包括暴力FTP、暴力SSH、DoS、Heartbleed、Web攻擊、滲透、僵尸網(wǎng)絡(luò)和DDoS等[19].CICIDS 2017是一個(gè)通用規(guī)范的數(shù)據(jù)集，現(xiàn)有主流的威脅檢測方法均能達(dá)到95%左右的檢測準(zhǔn)確率.因此本文重點(diǎn)關(guān)注高強(qiáng)度、高速率下的檢測準(zhǔn)確率，即以多倍速率不斷重放該威脅樣本集.

將CICIDS 2017按照不同速率進(jìn)行多次重放，分別為正常速率、2倍速率、4倍速率、8倍速率、16倍速率以及32倍速率.分別采用本文構(gòu)建的基于事件流處理的安全威脅分析方法和傳統(tǒng)威脅檢測方法進(jìn)行檢測，并對檢測準(zhǔn)確率進(jìn)行對比，如圖11所示：

圖11 檢測準(zhǔn)確率對比

由圖11可以看出，在4倍速率以下的威脅模擬情況下，本文方法檢測準(zhǔn)確率略低于傳統(tǒng)方法.在4倍速率以上的威脅模擬情況下，傳統(tǒng)方法由于是基于線性規(guī)則匹配的，檢測準(zhǔn)確率出現(xiàn)嚴(yán)重下滑，在16倍速率下不足70%，在32倍速率下甚至不到50%.本文方法在16倍速率下接近85%，在32倍速率下仍能高于70%，說明基于安全威脅知識圖譜的匹配能夠滿足高強(qiáng)度安全威脅下的感知需求.

5 結(jié)束語

基于知識圖譜的網(wǎng)絡(luò)空間安全威脅感知技術(shù)能夠?qū)⒃纪{情報(bào)特征從高維空間逐層向低維空間映射，實(shí)現(xiàn)對安全威脅的高效精準(zhǔn)感知，并且感知結(jié)果具備高度的可理解性，為網(wǎng)絡(luò)空間對抗新形勢下的安全威脅檢測提供了一個(gè)新思路.下一步工作將探索證據(jù)理論與安全威脅知識圖譜構(gòu)建算法的結(jié)合，對硬件資源進(jìn)一步擴(kuò)展，以提升威脅感知在實(shí)際環(huán)境中的準(zhǔn)確度和感知更高強(qiáng)度的安全威脅.