每日消息!安全知识图谱在金融行业的应用探索
作者:上海银行金融科技部 罗喆帅
由于业务复杂、涉及资产价值高,金融业一直是网络安全的高风险行业。在科技加速融合的过程中,新业务、新技术大量涌现,新型的安全风险持续加剧,叠加业务的多样性、复合型、覆盖广等特性,导致金融安全风险敞口进一步加大,不仅威胁客户利益,也可能给金融机构带来巨大损失,甚至引发系统性、行业性风险。
当前,网络空间攻击面进一步延伸和扩展,自动化、智能化技术成为解决网络安全风险问题的必要手段,无论是风险识别、理解分析,还是决策执行等,均从感知智能向认知智能、决策智能方向演进(如图1所示)。安全知识图谱技术已成为整个技术体系的基础性核心。
(资料图片)
图1 网络安全管理的智能化发展趋势
安全知识图谱作为安全领域的专用知识图谱,由节点和边组成大规模的安全语义网络,为真实网络安全空间的各类风险场景提供直观建模方法。
在金融行业,安全知识图谱可以辅助威胁狩猎与响应决策,帮助解决黑灰产识别与欺诈检测等业务层面的安全问题,应用领域十分广泛。
一、安全知识图谱概述
1.基本概念
知识图谱是人工智能的重要组成部分,是具有语义处理与开放互联能力的知识库,知识图谱通用表现形式是三元组。
安全知识图谱是知识图谱技术在安全领域的应用,是以图结构对网络空间安全领域知识进行建模的一种技术,其主要功能是描述该领域所存在的概念、属性、实体及其语义关联等,并以图结构来直观地进行呈现,旨在改变对知识组织结构的表达方式,通过更加智能的访问操作,使用户能够准确、高效地获取所需的各类信息,并在一定程度上实现智能辅助决策。
知识图谱技术在安全领域的应用面临一定的挑战。与通用知识图谱构建相似,安全知识图谱的构建包含了本体构建、实体关系识别、知识表示等。与通用知识图谱不同的是,安全领域知识图谱缺少统一的知识体系,应用以多个小领域为主,如威胁情报知识图谱、恶意软件知识图谱、终端溯源图谱、威胁防御知识图谱等,因此安全领域的知识图谱体系构建有很长的路要走。同时,多个小领域图谱的本体融合也是构建安全知识图谱的挑战之一。
图谱分析技术是支持安全知识图谱上层应用的基础,主要有用户画像、知识推理、关系挖掘、图分析等。这些图谱分析技术主要用于支撑威胁狩猎、智能安全决策、欺诈团伙画像等上层应用。安全知识图谱技术框架如图2所示。
图2 安全知识图谱技术框架
2.技术特性与优势
(1)技术特性
知识图谱的技术特性主要表现在四个方面:一是统一的表示形式,机器可读,对用户友好;二是丰富的语义信息,包括实体、属性以及关系,这是知识图谱的核心特性;三是构建的知识图谱可以作为基础知识被下游应用使用;四是丰富的关联信息,可以利用图分析直接服务应用。知识图谱的这些特性为安全知识图谱技术带来诸多优势。
(2)技术优势
一是实现多源数据关联分析。安全知识图谱的多层次、多维度信息表达形式,可以更好地实现多源异常数据的联合,分析数据之间的逻辑关系,解决金融行业数据分散、异构、多样、复杂、孤岛化等问题。
二是充分挖掘机器认知的潜能。安全知识图谱有丰富的语义关系,这些语义关系可以很好地应用于相关场景中,如威胁狩猎、黑灰产识别等。通过对安全知识图谱技术的应用可以降低人力投入、发掘出潜在风险等。
三是提供行业背景知识。安全知识图谱可以为行业领域提供更丰富、更多角度的相关信息,例如,安全运营中的攻击链分析、溯源关联等通常需要人工研判,这些工作可以利用安全知识图谱直接或间接完成,以减少对专家知识的依赖。
四是增强可解释性。可解释性是安全领域的一个重要特性,这也是制约机器学习在安全领域应用的一个主要原因,而安全知识图谱可以增强可解释性。可解释性的应用也将很好地增强用户对系统的信任感,提升用户满意度。
二、安全知识图谱技术在金融行业应用中面临的挑战
虽然安全知识图谱技术存在诸多优势,但在金融行业应用中依然面临如下挑战。
1.数据的质量参差不齐
在金融行业,明显的领域知识图谱更依赖于底层数据的质量。知识图谱的本质是面向关系的,所以需要关系密集型的数据,若关联关系不全或是图数据量较小,图本身就会特别离散,即形成一个个孤立的子图,这与知识图谱“打破信息孤岛”的目标相悖。这个问题在规模较小的中小金融机构尤为突出。针对这种情况,中小金融机构不仅需要考虑自身的数据积累,还要有效地进行模型优化,减少数据完整性对分析结构的影响。知识图谱所处理的数据是异构数据,这些数据的质量参差不齐,并且它们之间存在一定的干扰与噪声,低质量的数据会影响上层应用,而一个错误的结果可能会对金融机构造成直接的经济损失与声誉、信用影响。
2.领域知识的构建与自动获取
知识图谱的本质是升级版的专家系统,因此,制约安全知识图谱应用的关键在于领域专家知识的积累。当前,安全领域相关技术更新迭代较快,且与其他领域存在复杂的交叉,知识体系尚不健全。因此,金融行业的安全知识图谱需要在领域知识体系的构建方面加大力度。
知识图谱的自动获取技术在安全领域的应用面临较大挑战,主要原因是,在真实的环境攻击事件中出现的数据较少,无法形成有效的知识,更难实现安全知识图谱的自动化、智能化构建。因此,目前金融行业的安全知识图谱应用需要以安全专家为主、以知识图谱为辅,通过专家与系统不断的交互来提升知识图谱的应用能力。
3.缺少有效的工具支持
知识图谱的应用需要具备两大基础条件:一是方法论,即知识图谱应用构建的模式与范式以及工具;二是结合一定具体场景并积累沉淀的高价值领域知识库。在金融行业,安全运营与欺诈检测的事件识别往往过于依赖安全专家的经验与知识,人们希望借助知识图谱技术实现对相关沉淀知识的应用,以减少对领域专家的依赖。安全知识图谱在这些应用中可以提供一些辅助的能力,但是最终依然需要专家进行研判。因此,需要更多的有效工具提供高质量的上下文信息来辅助事件研判,降低相关人员的知识门槛。
4.应用场景与应用方式有限
当前,金融行业安全知识图谱的应用场景还局限在一定范围内,主要有安全运营与智能决策、风控与欺诈检测等场景。应用知识图谱的最终目标是通过数据分析,结合相关的知识库来实现知识推理与决策,而当前安全知识图谱的应用离决策还有很大的距离。因此,需要结合行业实际,不断地发掘用户需求,开拓新的应用场景。
三、安全知识图谱技术在金融行业的典型应用场景
近年来,随着网络金融业务的快速发展,金融网络安全事件频发,金融安全成为业界关注的焦点。以下基于上海银行在安全知识图谱领域的探索与实践,介绍安全知识图谱技术在金融行业的几个应用场景。
1.威胁狩猎
在企业环境中,尤其是金融行业,会部署大量的安全检测与防护设备,这些安全设备每日会产生海量的告警信息,这给安全运营人员的工作带来巨大挑战。利用安全知识图谱技术,可准确定位威胁,减少安全运营人员对专家经验的依赖。
图3是基于安全知识图谱技术实现威胁狩猎的逻辑图,利用属性知识对数据进行建模,采用知识图谱对实体、关系与属性进行向量化,结合图神经网络进行准确的威胁定位。利用安全知识图谱可以通过上下文语义更准确地实现威胁狩猎,提高安全运营人员人工研判的效率,通过丰富的上下文语义降低安全运营人员的知识门槛。
图3 基于安全知识图谱技术的威胁狩猎
2.应急响应智能安全决策
智能风险策略推荐是一种通过集成多个系统和平台来调整不同工具和技术的方法,其作用是增强安全自动化以提高事件响应速度。
以应急响应智能安全决策为例,首先,对待处理的数据或事件进行理解,借助已有的安全知识库了解当前攻击的阶段、严重程度等,借助关联分析获取上下文信息,预测下一次攻击事件;然后,行为决策模块接收攻击理解模块对当前攻击的刻画,结合当前环境信息、决策目标和决策知识库给出防护策略;最后,具体的行动由自动化编排与响应模块完成,完成相应的动作后,利用一定手段对动作的有效性进行评估,评估的结果会影响智能决策模块做出下一步的决策行动(如图4所示)。
图4 应急响应智能安全决策流程
3.业务安全
金融领域业务安全是安全知识图谱应用的一个典型场景,利用安全知识图谱与AI技术,金融机构可以识别恶意注册大量虚假账号、伪造资料,以及恶意刷单、抢红包、薅羊毛与套返利等欺诈手段。安全知识图谱可帮助金融机构突破传统风控体系难以精准了解用户属性的局限性,实现客户风险可视化、关联信息不断下钻,从而挖掘出更多风险和营销数据。
首先,安全知识图谱的构建主要基于用户关系图谱,综合考虑客户本身属性和客户之间的关联关系,通过客群划分算法找出风险传导强关联的客户群体,形成客户风险传播的知识图谱,完成从信息到知识的提炼。其次,运用知识图谱和社区发现理论,完成信用风险传导知识图谱构建和风险客群自动划分。最后,基于知识图谱打造风险分析引擎,该引擎包含风险识别、风险传导测算等。风险识别是识别出客群中可能存在风险的客户;风险传导测算是客群中有客户发生风险事件时,及时发现最有可能的风险传导路径,以达到提前介入、有序防范、有效处置的目的。业务安全风控图谱如图5所示。
图5 业务安全风控图谱
四、金融行业应用安全知识图谱技术注意事项
作为一种创新技术,安全知识图谱虽然还处于初始应用阶段,但应用前景值得期待。未来,金融行业应用安全知识图谱技术需要注意以下几点。
一是技术本身的安全性。安全知识图谱作为一种创新技术,其本身的安全性也需要引起重视。金融机构应在风险可控的前提下,实现创新技术的应用。
二是对于业务的理解是核心。安全知识图谱在金融行业的应用与其他行业有一定不同,其核心还是对于业务的理解,而不是算法等。
三是系统安全知识体系的构建。当前,安全知识体系尚不健全,缺少对安全知识层次的构建,虽然ATT&CK框架已经梳理了一些指导性的安全知识体系,但是远远不能满足应用场景的需求。因此,只有构建完整的知识体系,才能使安全知识图谱技术应用于更多业务场景。
本文刊于《中国金融电脑》2023年第5期
标签:
相关阅读
-
每日消息!安全知识图谱在金融行业的应用...
作者:上海银行金融科技部罗喆帅由于业务复杂、涉及资产价值高,金... -
调查:超七成CISO无法防止开发机密信息...
根据代码安全平台GitGuardian最新发布的安全主管调查报告,75%的受... -
环球资讯:2023年身份欺诈态势观察:新...
日前,身份验证(IDV)技术提供商Regula发布了《身份欺诈与验证:商... -
观焦点:美国管道勒索软件攻击两周年,...
前情回顾·美国如何以史为鉴美国管道勒索软件攻击一周年:安全团队... -
全球最大规模AI黑客大赛将开启:白宫支...
前情回顾·大模型安全动态大模型驱动的“网络安全军备竞赛”已经开... -
运行时应用自保护 (RASP) 应该是什么样子的
近些年来,应用安全界见证了运行时应用自保护(RASP)技术的兴起。...