近日，绿盟科技平行实验室研究团队与中国广州大学网络空间先进技术研究院合作的成果——《CSKG4APT-A Cybersecurity Knowledge Graph for Advanced Persistent Threat Organization Attribution》（基于网络安全知识图谱的APT组织归因），在国际顶级学术期刊IEEE Transactions on Knowledge and Data Engineering上发表，该期刊也是《中国计算机学会推荐国际学术会议和期刊目录》A类收录的期刊之一，论文主要作者均为绿盟科技和广州大学网络空间先进技术研究院联合培养的研究生。
由于计算机数据的快速增长和人工智能技术的发展，网络攻击特别是APT攻击变得越来越复杂和多样化，而网络安全也变得更具挑战性。在过去的一年中，APT的攻击风格和威胁程度都在不断的演变之中。安全供应商无法全面了解所有威胁攻击者的活动。
传统的网络安全防御手段逐渐力不从心。造成这种情况的根本原因在于攻守双方的信息不对等，攻击者可以轻易获取防御者的身份相关信息，而攻击者在真正实施攻击之前，防御者往往很难获得任何有关攻击者的信息。为了解决攻守双方信息不均衡的问题，以及对当前快速演变的威胁及时做出防范，积极收集网络威胁的相关信息成为免受网络攻击的主要方式之一。随着威胁数据飞速增长，在利用公开网络威胁情报（OSCTI）对APT进行防御的同时，OSCTI报告数据源头多，质量参差不齐，应用场景复杂，行文使用自由化程度高的自然语言，使得信息抽取的问题面临挑战。并且在攻击信息抽取及建模后，如何在真实场景中应用这些信息更少有研究。

为解决上述问题，绿盟科技平行实验室联合广州大学网络空间先进技术研究院，以“主动防御、攻击溯源、战略威慑”为理念，建立一款基于知识图谱的网络空间威胁建模平台——CSKG4APT。
CSKG4APT以本体论为理论基础，通过收集和分析开源威胁情报中APT组织信息，结合STIX[1]、CYBOX[2]等威胁情报数据标准，构建了一个面向APT组织归因的安全知识图谱模型。融合了战术库（攻击特征、攻击模型）、工具库（攻击工具、漏洞）以及资产库（高危资产、关键资产）等信息，合规合理地表现了完备的APT威胁要素。
为了持续更新APT威胁知识图谱，我们提出了一种算法来识别威胁知识，该算法使用来自转换器 (BERT) 的双向编码器表示从双语威胁情报文本中提取实体。该算法被证明可以准确识别中英双语威胁情报报告中的相关实体，且其相关性能优于相比较的其他算法。
此外，基于知识图谱实现了一套APT组织威胁追踪的方法。在部署过程中应用CSKG4APT和网络空间安全大数据设计分析引擎，并改进利用Diamond模型[3]对攻击组织进行剖析。实验表明，该方案有利于基于威胁知识进行APT攻击组织的归因，并有利于网络安全防御能力建设。

绿盟科技集团与广州大学的合作始于2019年，双方在推动威胁情报的研究和产业化上进行了全方位的合作，并成立了广州大学-绿盟科技“网络安全威胁情报分析联合实验室”和“广东省联合培养研究生示范基地”，围绕网络安全、大数据安全以及威胁情报等领域发挥各自的优势，强化创新，推动产学研深度融合，持续构建开放协作的网络安全人才培养体系，至今已取得丰硕成果，未来将持续为我国网安产业的发展贡献自己的力量。

[1]STIX 83cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6G2j5i4y4A6M7#2)9J5k6r3!0H3k6h3&6Q4x3X3g2Y4K9i4c8Z5N6h3u0Q4x3X3g2A6L8#2)9J5c8X3y4@1K9g2)9J5k6r3c8G2j5%4g2E0k6h3&6@1j5i4c8A6L8$3&6Q4x3V1k6K6N6r3W2^5i4K6u0r3K9h3&6@1M7X3)9`.
[2]CYBOX 607K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4&6j5X3!0^5M7s2u0G2K9X3g2U0N6q4)9J5k6h3N6A6N6r3S2#2j5W2)9J5k6h3W2G2i4K6u0r3M7$3q4E0M7r3I4W2M7#2)9J5c8R3`.`.
[3]Caltagirone S, Pendergast A, Betz C. The diamond model of intrusion analysis[R]. Center For Cyber Intelligence Analysis and Threat Research Hanover Md, 2013.