本次组会汇报关于基于知识图谱的网络安全威胁情报推理技术研究的思路进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景

• 随着信息化不断扩大以及网络技术的持续发展，网络安全事件频发，网络攻击手段也日益呈现复杂多变、长持续性、高隐蔽性等特点。依靠传统的入侵防御系统等被动防御手段无法有效地维护网络空间安全，因此兴起了网络安全威胁情报（CTI）等综合防御策略。
• 网络安全威胁情报是指基于证据的威胁知识，可以为决策提供信息，目的是防御攻击或缩短处理与检测的时间。在实际应用中，提取和存储威胁情报是很有价值的。许多数据源通过非结构化数据和半结构化数据的方式存储威胁情报，这很难被理解和再次利用。安全专家需要分析描述、结合相关知识，推理出各种威胁情报之间的隐藏联系。所以，以更智能的方法管理和推理威胁情报数据是一件很有必要的事。
• 知识图谱推理包括基于符号规则（本体公理或符号逻辑）的方法和基于表示学习（嵌入）的方法。传统基于符号规则的方法主要优点是具备可解释性，主要缺点是不易于处理隐含和不确定的知识；基于表示学习的方法主要优点是推理效率高且能表征隐含知识，主要缺点是丢失可解释性。

科研问题

• 网络安全威胁情报在实际应用过程中存在使用多个数据源、海量数据难以处理的问题。
• 在网络安全威胁情报领域传统的推理模型中基于符号规则的知识推理模型存在不易处理隐含知识、规则学习的效率差的问题，而基于表示学习的知识推理模型存在可解释性差、稀疏实体编码能力不足的问题。

科研目的

• 分析网络安全威胁情报特点，将多个数据源关联起来，构建一个网络安全威胁情报知识图谱。
• 提出一种融合表示学习和符号规则的知识推理算法，提高发现网络安全威胁情报知识图谱中实体与实体间潜在关系的能力，不断完善威胁情报知识图谱。

研究内容

本次组会汇报关于基于知识图谱的网络安全威胁情报推理技术研究的思路进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景

• 随着信息化不断扩大以及网络技术的持续发展，网络安全事件频发，网络攻击手段也日益呈现复杂多变、长持续性、高隐蔽性等特点。依靠传统的入侵防御系统等被动防御手段无法有效地维护网络空间安全，因此兴起了网络安全威胁情报（CTI）等综合防御策略。网络安全威胁情报是指基于证据的威胁知识，可以为决策提供信息，目的是防御攻击或缩短处理与检测的时间。
• 网络安全威胁情报在实际应用中主要面临着数据类型多样、分布离散、内容不一致等问题，因此引入了知识图谱技术框架来试图解决这一问题。但构建的知识图谱仍然不够完善且可能存在错误，因此有必要利用知识推理技术来达到完善知识图谱的目的。知识推理是知识图谱中的一个重要问题，它通过对现有事实的推理来预测缺失的事实。
• 当前在知识图谱上实现推理大致可以分为两类：基于符号规则（本体公理或符号逻辑）的方法和基于表示学习（嵌入）方法。传统基于符号规则的方法主要优点是具备可解释性，主要缺点是不易于处理隐含和不确定的知识；基于表示学习的方法主要优点是推理效率高且能表征隐含知识，主要缺点是丢失可解释性

科研问题

• 在网络安全威胁情报领域传统的推理模型表现欠佳，例如基于符号规则的知识推理模型存在不易处理隐含知识、规则学习的效率差的问题，而基于表示学习的知识推理模型存在可解释性差、稀疏实体编码能力不足的问题。
• 传统逻辑规则学习模型生成逻辑规则复杂性高，很难识别出高质量的逻辑规则。

科研目的

• 提出一种融合表示学习和符号规则的知识推理算法，提高发现网络安全威胁情报知识图谱中实体与实体间潜在关系的能力，不断完善威胁情报知识图谱。

研究内容

本次组会汇报关于基于知识图谱的网络安全威胁情报推理技术研究的思路进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景

• 随着信息化不断扩大以及网络技术的持续发展，网络安全事件频发，网络攻击手段也日益呈现复杂多变、长持续性、高隐蔽性等特点。依靠传统的入侵防御系统等被动防御手段无法有效地维护网络空间安全，因此兴起了网络安全威胁情报（CTI）等综合防御策略。网络安全威胁情报是指基于证据的威胁知识，可以为决策提供信息，目的是防御攻击或缩短处理与检测的时间。
• 网络安全威胁情报在实际应用中主要面临着数据类型多样、分布离散、内容不一致等问题，因此引入了知识图谱技术框架来试图解决这一问题。
• 当前在知识图谱上实现推理大致可以分为两类：基于符号规则（本体公理或符号逻辑）的方法和基于表示学习（嵌入）方法。传统基于符号规则的方法主要优点是具备可解释性，主要缺点是不易于处理隐含和不确定的知识；基于表示学习的方法主要优点是推理效率高且能表征隐含知识，主要缺点是丢失可解释性

科研问题

• 网络安全威胁情报在实际应用过程中存在使用多个数据源、海量数据难以处理的问题。
• 在网络安全威胁情报领域单一使用基于符号规则的知识推理模型或基于表示学习的知识推理模型表现欠佳。

科研目的

• 分析网络安全威胁情报特点，将多个数据源关联起来，构建一个网络安全威胁情报知识图谱。
• 提出一种融合表示学习和符号规则的知识推理算法，提高发现网络安全威胁情报知识图谱中实体与实体间潜在关系的能力，不断完善威胁情报知识图谱。

研究内容

• 知识图谱构建

• 知识推理模型

本次组会汇报关于基于知识图谱的网络安全威胁情报推理技术研究的思路进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景

• 随着信息化不断扩大以及网络技术的持续发展，网络安全事件频发，网络攻击手段也日益呈现复杂多变、长持续性、高隐蔽性等特点。依靠传统的入侵防御系统等被动防御手段无法有效地维护网络空间安全，因此兴起了网络安全威胁情报（CTI）等综合防御策略。网络安全威胁情报是指基于证据的威胁知识，可以为决策提供信息，目的是防御攻击或缩短处理与检测的时间。
• 网络安全威胁情报在实际应用中主要面临着数据类型多样、分布离散、内容不一致等问题，因此引入了知识图谱技术框架来试图解决这一问题。将知识图谱作为外部知识进行知识增强可以有效提升下游任务的效果。
• BERT等预训练语言表示模型在多个NLP任务中取得了不错的表现。同时，一些研究人员正在将BERT应用到专业领域，例如军事、农业等。然而，由于通用语料库缺乏专业领域知识，这些模型在特定领域表现不佳。

科研问题

• 威胁情报在实际应用过程中存在使用多个数据源、海量数据的难以处理的问题
• 由于网络安全威胁情报存在大量网络安全术语，对于文本分类任务，使用通用的BERT模型表现欠佳。

科研目的

• 将网络安全威胁情报知识图谱作为领域知识整合到语言模型中，使得模型有更好的可解释性，提高模型的性能。

研究内容

• 基于知识图谱的网络安全威胁情报推理技术研究

基于知识图谱的网络安全威胁情报推理技术研究

本次组会将介绍关于网络安全知识图谱的构建与推理研究。

科研背景

随着信息化不断扩大以及网络技术的持续发展，网络安全事件频发，网络攻击手段也日益呈现复杂多变、长持续性、高隐蔽性等特点。依靠传统的入侵防御系统等被动防御手段无法有效地维护网络空间安全，因此兴起了网络安全威胁情报（CTI）等综合防御策略。网络安全威胁情报是指基于证据的威胁知识，可以为决策提供信息，目的是防御攻击或缩短处理与检测的时间。

网络安全威胁情报在实际应用中主要面临着数据类型多样、分布离散、内容不一致等问题，因此引入了知识图谱技术框架来试图解决这一问题。但构建的知识图谱仍然不够完善且可能存在错误，因此有必要利用知识推理技术来达到完善知识图谱的目的。

在网络安全威胁情报知识图谱中存在着许多“一对多”这种复杂关系，目前的知识表示模型不能很好的表示此类关系。

知识图谱构建

从CVE、CWE、CVSS等数据中构建知识图谱三元组

知识推理

尝试改进Rotate模型，具体细节将在组会上进行说明。

Rotate：受欧拉公式 ⅇ^ⅈφ=cos⁡φ+ⅈ sin⁡φ 启发，将每个关系定义为复向量空间中头实体到尾实体的旋转，即t=hr。