知识图谱及其在安全领域的应用(6)

对手的目标行业和地理区域（Where）：详细说明行业，垂直行业和地理区域
对手如何运作（How）：关注于他们的行为和规律
以上的5W1H[5]可以作为安全情报知识图谱构建时的参考，例如使用基于属性图的知识图谱构建，我们可以这样去构建：
威胁行为体作为Subject，赞助商和雇主可以作为其属性（Property）
基础设施作为威胁行为体的Object，用“自身拥有”或是”非法占用“来描述他们的关系（Predicate）
...

偏向于特定威胁分析

在这边我对它的定义主要用于分析某种特定恶意行为。这种特定的恶意行为需要有较明确，且相对唯一的攻击链。例如，我们可以把对恶意钓鱼邮件的攻击视为一种特定威胁，我们对恶意钓鱼邮件的分析，从规则、模型到专家经验转换等等，都是在对其进行特定威胁的分析。
从另一方面来说，一种特定的技战术组合也可以称为一种特定威胁，因为它的杀伤链也相对固定，对于这部分的知识图谱构建，可以帮助我们从整体角度观察威胁。

2.2.2 展示需求

也许部分同学一看到展示需求，心里就会冒出来“大屏”、“给领导看的”、“没啥用”这些想法，虽然这确实也是一种现象，但我们也应该好好考虑一下这部分。
因为做安全的最终目的，还是说为了提高总体的安全能力，这个安全能力小到个人水平，大到国家安全。我们实际点讲，怎么才能提高企业的安全呢？企业安全由于其复杂性，不是某一方向上的技术很酷就能起到提高整日安全能力的。
企业安全的关键还是在于从检测——分析——响应——优化的闭环。这个闭环是关键，而这个闭环中，所要参与到的各个部门、乃至同部门的各个方向、同个方向上的各个人员，他们的先验知识都是不一样的。我们使用知识图谱进行展示的本意，是为了结构化地表达知识。从而降低闭环中各个环节的成本。这个成本包含很多方面，有时连沟通成本也是。