核心概念
本文介紹了一個名為 ThreatKG 的自動化系統,該系統利用人工智慧技術從公開來源收集和管理網路威脅情報,並構建動態更新的威脅知識圖譜,以應對不斷變化的網路威脅環境。
摘要
ThreatKG 系統概述
本文介紹了一個名為 ThreatKG 的自動化系統,旨在解決現有開源網路威脅情報(OSCTI)收集和管理方案的不足。ThreatKG 從多個來源收集大量 OSCTI 報告,使用基於人工智慧的技術提取高保真威脅知識,構建威脅知識圖譜,並通過持續提取新數據來更新知識圖譜。
系統架構
ThreatKG 採用模組化設計,包含三個主要階段:
- OSCTI 報告收集: 使用網路爬蟲從威脅情報網站、安全部落格和新聞網站等多個來源收集報告。
- 威脅知識提取:
- 使用解析器將不同格式的報告轉換為統一的威脅知識表示法(UTKR)。
- 使用檢查器過濾掉不相關的報告,例如廣告或產品促銷。
- 使用基於規則和深度學習的提取器從報告中提取威脅實體(例如惡意軟體、漏洞、攻擊者)和關係。
- 威脅知識圖譜構建: 將提取的知識整合到 Neo4j 圖形資料庫中,形成一個動態更新的威脅知識圖譜。
系統優勢
- 全面的威脅建模: ThreatKG 採用分層威脅知識本體,涵蓋了廣泛的實體和關係,從而全面地對威脅進行建模。
- 準確的知識提取: ThreatKG 採用專門的深度學習技術來處理安全領域的特殊語言模式,並使用數據編程技術自動生成標註數據,從而提高知識提取的準確性。
- 高效的知識管理: ThreatKG 採用可擴展的系統架構,可以持續收集新報告、提取新知識並更新知識圖譜。
下游安全應用
ThreatKG 的威脅知識圖譜可以支持各種下游安全應用,例如:
- 威脅可視化和探索: ThreatKG 提供了一個圖形化使用者介面,允許分析師可視化、探索和搜索威脅知識圖譜。
- 問答系統: ThreatKG 包含一個問答系統,允許使用者使用自然語言查詢威脅知識圖譜。
總結
ThreatKG 是一個基於人工智慧的開源網路威脅情報自動收集和管理系統,它可以幫助安全分析師更有效地了解和應對不斷變化的網路威脅環境。