在各種新概念鋪天蓋地而來的今天，知識圖譜可謂是最接近“人工智能”的概念。2012 年 5 月 17 日，Google 正式提出了知識圖譜（Knowledge Graph），目的是為了優化搜索引擎返回的結果，增強用戶搜索質量及體驗。

　　例如，當你搜索“江蘇省的省會”，返回的結果不是江蘇而是南京市。這說明，搜索引擎“理解”了你的意圖，通過你的搜索語句推測和分析出你真正想要的結果。

　　知識圖譜是一種基于圖的數據結構，本質上是語義網絡（Semantic Network），它把復雜的知識領域通過數據挖掘、信息處理、知識計量和圖形繪制而顯示出來，揭示知識領域的動態發展規律，提供切實的、有價值的參考。

　　知識圖譜應用越來越廣泛，當你在搜索信息、看新聞、刷短視頻、購物時，所看到的每條打動你的內容，背后都有可能有知識圖譜的作用。

　　知識圖譜在網絡安全領域的應用也日益深入。近日，綠盟科技正式推出安全知識圖譜，并發布安全知識圖譜技術白皮書《踐行安全知識圖譜，攜手邁進認知智能》（以下簡稱“白皮書”），對安全知識圖譜的概念內涵、核心框架、關鍵技術和應用實踐進行全面總結與介紹，助力網絡安全智能化邁入認知智能階段。

　　綠盟科技天樞實驗室主任研究員顧杜娟認為，網絡空間安全知識圖譜的構建與基于知識圖譜的推理技術已經走向成熟，已成為網絡安全智能從感知智能邁向認知智能、決策智能的必由之路，是應對網絡空間高級、持續、復雜威脅與風險不可或缺的技術基礎。

　　知識圖譜如何理解“安全”場景？顧杜娟介紹，安全知識圖譜作為一種實體和概念等安全知識的高效組織形式，能夠發揮其知識整合的優勢，將零散分布的多源異構的安全數據組織起來，為網絡安全空間的威脅建模、風險分析、攻擊推理等提供數據分析和知識推理方面的支持，從而加速安全進入認知智能階段。

　　安全知識圖譜的引入，讓整個安全體系都更“懂”安全。顧杜娟總結，知識圖譜的優勢有三點：高效、直觀、智能。例如，知識圖譜讓溯源調查更加高效。在終端分析過程中如果采用傳統基于表格的形式，在某些路徑溯源的時候效率明顯低下，而知識圖譜是通過關聯到已有知識，就能識別出業務的正常與異常，攻擊者和正常用戶的區別。再例如，在異常檢測、識別攻擊上，以前只能根據預防與攻擊有明顯的語義簡單區分，但加入了知識圖譜之后，有了更豐富的上下文，可以知道這個行為具體是什么，是怎么來的。

　　對當前安全知識圖譜的具體應用，白皮書給出了六類主要應用場景。顧杜娟認為，在這六個應用場景中，知識圖譜發揮了底層安全數據的最大價值，為安全業務真正賦能。

　　ATT&CK 威脅建模：基于 ATT&CK 對各個攻擊生命周期的攻擊行為建模。安全知識圖譜一般包含基礎的威脅建模知識與威脅攻擊數據，可根據威脅相關知識的融合抽象，提供更細粒度、更動態的建模理論框架。

　　APT 威脅追蹤：通過威脅情報關鍵要素的抽取與動態行為推理，實現 APT 攻擊者團伙的威脅主體畫像與自動歸因，輔助攻擊事件的研判與取證。

　　企業智能安全運營：基于安全知識圖譜的事件風險畫像、攻擊路徑調查、響應策略推薦，能夠提供豐富的、具有安全語義的上下文，有效支撐動態事件的研判和策略部署，降低安全運營對專家經驗與知識的依賴

　　網絡空間測繪：實現面向網絡空間測繪領域知識圖譜的語義搜索、查詢，智能問答和知識推理等任務，將資產、漏洞、安全機制、攻擊模式等信息進行關聯分析和數據融合匯聚，充分掌握網絡空間資產及其狀況。

　　軟件供應鏈安全：構建軟件供應鏈知識圖譜，通過知識圖譜的關聯與推理，完成軟件供應鏈的風險識別、高風險推薦、影響范圍分析和緩解措施決策等。

　　兩安融合的工業系統防護：安全知識圖譜運用大數據分析和圖挖掘技術，對現代工業控制系統中信息層和物理層的耦合關系進行深度解析，實現“決策制定、風險預判、事故分析、攻擊識別”等能力的智能化輔助和自動化處理。

　　據介紹，綠盟安全知識圖譜平臺“天樞啟智”已經通過CESI（中國電子技術標準化研究院）組織的“知識圖譜產品認證”，證明綠盟科技安全知識圖譜在知識構建和應用層面已經達到應用水平。

　　新技術新概念的推廣不僅是一家之力，在安全知識圖譜的推廣應用上，顧杜娟表示，安全知識圖譜關鍵技術研究和攻防場景應用實踐目前還仍處于早期階段，綠盟科技不僅投身于知識圖譜的國家標準制定等工作，還積極分享有效方法論及實踐經驗，通過開放技術生態的構建，推動知識圖譜在安全行業的應用和發展，讓網絡安全共同邁向認知智能。