知识图谱及其在安全领域的应用(5)

是否本事拥有海量的多源异构数据，且存在一定的信息孤岛问题？
是否有对关系进行深入搜索、挖掘、分析的需求？
是否有资源和能力去搭建系统，并且能进行运营？
其实思考这几个问题的时候，我们的需求和对应的应用场景，有经验的同学应该就比较清晰了。知识图谱需要解决的问题，它的应用，主要是：
从海量数据中挖掘、表示威胁的实体相关信息
提高威胁分析的效率，从关系出发去挖掘事件（Incident）、表示事件
对于基于语义分析的威胁发现具有相对的优势
因此，我们也可以用一句话来说明安全知识图谱的作用：从威胁实体和实体关系的视角出发，主要针对多源异构数据，利用语义分析的特点，识别威胁以及对威胁进行评估。
以下是一个用安全知识图谱表示的永恒之蓝攻击防御场景：

图：利用知识图谱构建攻击场景[4]

2.2 从需求到应用

2.2.1 分析需求

偏向于事件分析

知识图谱的关键点在于对“关系”的描述。对于事件来说，我们需要一个更高纬度的知识表达，主要来说，可以主要从这几个方面出发：威胁主体、攻击方法、资产、隐患和防御手段[4]。
使用基于属性图的知识图谱构建，我们需要定义好主客体的关系以及三者各自的属性；使用基于RDF的知识图谱构建，我们需要更加关注于严格的推理关系、将属性的表达用确定的关系谓语代替。

偏向于情报分析

对于情报分析来说，我们很多时候不是要关注自己怎么样，而是要关注对手怎么样，所以知识图谱在安全情报分析中的应用，主要的关注于：
对手是谁（Who）：包括威胁行为体，赞助商和雇主
对手使用什么（What）：包括他们的能力和基础设施
对手的行动时（When）：确定行动的时间表和规律
对手的目的（Why）：包括他们的动机和意图