★尚文利，朱鵬程，王博文，曹忠，張曼，浣沙廣州大學(xué)電子與通信工程學(xué)院

摘要：隨著(zhù)萬(wàn)物互聯(lián)時(shí)代的到來(lái)，網(wǎng)絡(luò )空間的攻擊面不斷拓展延伸，安全問(wèn)題日益凸顯。為應對復雜多變的網(wǎng)絡(luò )攻擊，構建威脅情報的知識圖譜是核心和基礎，利用威脅情報知識圖譜將專(zhuān)家知識與海量安全數據相結合，有助于推動(dòng)網(wǎng)絡(luò )安全智能防御技術(shù)從感知智能邁向認知智能。本文提出了構建威脅情報知識圖譜的技術(shù)架構，設計了一種網(wǎng)絡(luò )安全知識本體，并總結了當前國內外實(shí)體識別技術(shù)與關(guān)系抽取技術(shù)的研究現狀，最后分析了威脅情報知識圖譜的未來(lái)研究發(fā)展方向及應用場(chǎng)景。

關(guān)鍵詞：網(wǎng)絡(luò )安全；知識圖譜；實(shí)體識別；關(guān)系抽取

1 引言

近年來(lái)，隨著(zhù)5G、云計算、物聯(lián)網(wǎng)等新一代信息技術(shù)的飛速發(fā)展，萬(wàn)物互聯(lián)（Internetof Everything，IoE）的時(shí)代即將到來(lái)，網(wǎng)絡(luò )空間規模持續擴張，將人類(lèi)社會(huì )與工業(yè)物理系統緊密串聯(lián)。與此同時(shí)，網(wǎng)絡(luò )安全問(wèn)題空前嚴峻，新型攻擊行為層出不窮，呈現出復雜多樣性、長(cháng)期持續性、高隱蔽性的特點(diǎn)。尤其是頻發(fā)的高級持續性威脅（Advanced PersistentThreat，APT）事件，涉及關(guān)鍵信息基礎設施的破壞與公民信息的竊取，嚴重危害社會(huì )、經(jīng)濟、政治安全，已上升至國家網(wǎng)絡(luò )空間安全戰略層面。

傳統的被動(dòng)式網(wǎng)絡(luò )安全防御手段，如單純依賴(lài)網(wǎng)絡(luò )流量監測的入侵檢測系統等，難以應對系統性大規模復雜多變的網(wǎng)絡(luò )攻擊，而大數據、人工智能等技術(shù)的興起為網(wǎng)絡(luò )空間安全提供了新助力。各大網(wǎng)絡(luò )安全廠(chǎng)商、研究機構均已建立網(wǎng)絡(luò )安全論壇、漏洞信息庫、威脅情報中心等。如何有效管理和精準利用海量碎片化的威脅情報，挖掘出具有潛在價(jià)值的信息，將防御化被動(dòng)轉為主動(dòng)是當前面臨的主要問(wèn)題之一。

威脅情報知識圖譜是第三代人工智能技術(shù)運用至網(wǎng)絡(luò )安全領(lǐng)域的產(chǎn)物，是融合先驗安全專(zhuān)家知識而形成的大規模安全語(yǔ)義網(wǎng)絡(luò )。該圖譜通過(guò)從海量零散分布的多源異構網(wǎng)絡(luò )安全數據中提取出安全類(lèi)實(shí)體及實(shí)體間關(guān)系，以圖語(yǔ)言形式高效、直觀(guān)地表示。同時(shí)該圖譜模擬專(zhuān)家思維進(jìn)行威脅分析，推理發(fā)現漏洞，制定最佳防御策略，全面提升風(fēng)險防范的準確性、預見(jiàn)性及對威脅攻擊的反制速度。因此，構建威脅情報知識圖譜，是推動(dòng)網(wǎng)絡(luò )安全智能防御技術(shù)從依賴(lài)數據驅動(dòng)的感知智能，邁向融合知識驅動(dòng)的認知智能的關(guān)鍵。

威脅情報知識圖譜的技術(shù)架構如圖1所示，關(guān)鍵技術(shù)主要包括三個(gè)層次：安全知識本體建模、安全信息抽取技術(shù)、知識圖譜存儲，構建過(guò)程環(huán)環(huán)相扣。

（1）在確定圖譜所屬專(zhuān)業(yè)領(lǐng)域后，對其知識本體進(jìn)行建模。首先調研和收集安全領(lǐng)域內全部相關(guān)術(shù)語(yǔ)，因本體主要為解決知識共享問(wèn)題，故優(yōu)先考慮復用現有本體的可能性。對現有本體研究分析后，依據最新國際威脅情報共享標準手工構建，對其進(jìn)一步改進(jìn)拓展。（2）安全信息抽取主要分為實(shí)體識別技術(shù)與關(guān)系抽取技術(shù)。根據所設計知識本體以節點(diǎn)、邊、節點(diǎn)三元組形式從海量威脅情報中抽取實(shí)體及實(shí)體間關(guān)系。（3）最后依據應用場(chǎng)景，選擇不同類(lèi)型數據庫對已抽取數據進(jìn)行存儲。

圖1 威脅情報知識圖譜的技術(shù)架構構建圖

2 網(wǎng)絡(luò )安全知識本體建模

知識本體是以實(shí)體類(lèi)型為節點(diǎn)，以實(shí)體間關(guān)系為邊，對知識抽象化表示所形成的完整關(guān)系鏈。本體構建方法通常有自頂向下和自底向上兩類(lèi)。構建專(zhuān)業(yè)領(lǐng)域知識本體，往往需要對領(lǐng)域內知識的全覆蓋，且冗余較少。同時(shí)，良好的知識本體設計還應當兼顧圖譜，具備較好的“細粒程度”，以便圖譜后續進(jìn)行更新、推理、消歧等技術(shù)的研究。圖譜節點(diǎn)概念太過(guò)泛化將導致可操作性差，而過(guò)度細化又將極易出現信息缺失問(wèn)題。

本研究基于MITRE公司制定的結構化威脅情報共享標準2.0（StructuredThreatInformation eXpression2.0，STIX2.0），采取自頂向下的方式設計網(wǎng)絡(luò )安全知識本體。具體的網(wǎng)絡(luò )安全知識本體結構如圖2所示。該模型以黑客組織為核心建立其關(guān)系網(wǎng)狀結構，選擇定義了以下13類(lèi)實(shí)體類(lèi)型：黑客組織、攻擊、樣本文件、安全團隊、工具、時(shí)間、目的、區域、行業(yè)、組織、方式、漏洞、特征，同時(shí)定義了以下6類(lèi)實(shí)體間關(guān)系：屬于、擁有、發(fā)起、防御、使用、利用。

圖2 網(wǎng)絡(luò )安全知識本體模型

3 網(wǎng)絡(luò )安全信息抽取

3.1 實(shí)體識別技術(shù)

（1）技術(shù)介紹

網(wǎng)絡(luò )安全實(shí)體識別技術(shù)本質(zhì)是自然語(yǔ)言處理中特定領(lǐng)域的序列標注問(wèn)題，主要任務(wù)是從海量的半結構化、非結構化安全數據中抽取預定義類(lèi)別的實(shí)體，例如黑客組織、安全團隊、樣本文件、漏洞等類(lèi)型安全實(shí)體。其目的是對海量多源異構安全數據進(jìn)行細粒度的深度關(guān)聯(lián)分析和挖掘，對安全領(lǐng)域內專(zhuān)業(yè)詞匯進(jìn)行確認和分類(lèi)。安全實(shí)體識別也是構建威脅情報知識圖譜的基礎。

網(wǎng)絡(luò )安全實(shí)體識別技術(shù)相較于通用領(lǐng)域內的實(shí)體識別技術(shù)，由于關(guān)注的實(shí)體類(lèi)別不同，存在以下難點(diǎn)[1]：

·安全實(shí)體類(lèi)型多且變化頻率高，不斷涌現新實(shí)體導致OOV（OutofVocabulary）問(wèn)題。

·安全實(shí)體結構復雜，存在大量嵌套、別名、縮略詞等多意現象，沒(méi)有嚴格的命名規則。

·威脅情報通常單句較長(cháng)，句子中實(shí)體稀疏，鄰近實(shí)體標簽間的特征不足，更加依賴(lài)于遠距離特征的獲取。

·當前缺乏大規模高質(zhì)量的網(wǎng)絡(luò )安全實(shí)體標注語(yǔ)料庫，嚴重依賴(lài)人工標注構建模型訓練集。

（2）國內外研究現狀

早期的安全實(shí)體識別基于安全專(zhuān)家制定的規則與詞典進(jìn)行實(shí)體抽取。例如Liao等人于2016年提出使用正則表達式結合語(yǔ)法樹(shù)的方式，提取威脅情報中的失陷指標（Indicator of compromise，IOC）[2]。

該方式通過(guò)專(zhuān)家設定規則，基于正則表達式和詞典對網(wǎng)絡(luò )安全實(shí)體及關(guān)系所在的位置進(jìn)行定位，然后使用語(yǔ)法樹(shù)相似度判斷定位范圍的內容是否包含實(shí)體及關(guān)系。此方式的優(yōu)勢在于準確率高，但缺陷明顯，存在人工成本高和移植性差等問(wèn)題，且由于領(lǐng)域的特殊性，此方式僅適用一些結構特征明顯的實(shí)體，例如通用漏洞披露（Common Vulnerabilities and Exposures,CVE）編號、郵箱地址、IP地址等。隨著(zhù)大數據與人工智能技術(shù)的發(fā)展，深度學(xué)習技術(shù)被運用至安全實(shí)體識別領(lǐng)域。Qin等人于2019年，使用人工設計特征模板加深度學(xué)習的方式，提出FT-CNN-BiLSTM-CRF模型[3]。該方式利用人工設定的特征窗口提取上下文特征，與BiLSTM模型提取的序列語(yǔ)義特征結合，進(jìn)行實(shí)體識別。李濤于2020年，提出基于多特征融合的威脅情報命名實(shí)體識別模型（MF-BiLSTM-LSTM）[4]，開(kāi)創(chuàng )性地通過(guò)融合實(shí)體的詞、字符和句法依存特征，使模型性能進(jìn)一步提升。此方式降低了人工成本，同時(shí)提升了模型移植性，但模型效果嚴重依賴(lài)安全領(lǐng)域所缺少的大規模網(wǎng)絡(luò )安全實(shí)體標注訓練集。近年來(lái)，隨著(zhù)大規模預訓練實(shí)體識別模型（BERT）的問(wèn)世，研究者們逐漸將目光轉向了利用超大規模預訓練語(yǔ)料庫、基于雙向Transformer編碼器對未標記文本深度表示的預訓練模型?；诜蟂IX2.0的DNRTI威脅情報實(shí)體識別數據集，Evangelatos等人于2021年，分別使用4個(gè)大規模預訓練模型進(jìn)行對比試驗[5]。Zhou等人于2022年，設計出一種基于大規模預訓練的BERT-BiLSTMGRU-CRF模型[6]，創(chuàng )新性地將GRU層與原BiLSTM相結合，有效降低了模型過(guò)擬合風(fēng)險，提升了模型效果。Liu等人于2022年，在使用大規模預訓練模型的同時(shí)，對單詞的成分特征、形態(tài)特征和語(yǔ)音特征進(jìn)行編碼和匯總，以融合多特征方式，提升了模型對上下文語(yǔ)義的表達能力[7]。

以上研究表明，添加大規模預訓練模型和融合多句法特征，將顯著(zhù)增強實(shí)體識別模型對網(wǎng)絡(luò )安全文本的語(yǔ)義表達能力，可有效緩解OOV問(wèn)題、一詞多義以及對訓練集的強依賴(lài)問(wèn)題。

（3）實(shí)體識別技術(shù)新思路

解決當前安全實(shí)體識別所面臨的困境，關(guān)鍵是增強模型對威脅情報文本語(yǔ)義的表達能力。本文提出了以下幾種方法：①融合多個(gè)大規模預訓練模型對文本向量表示的輸出。由于預訓練模型包含了從大規模語(yǔ)料庫中學(xué)習到的上下文信息，串聯(lián)不同種類(lèi)的預訓練模型有助于獲取更多異質(zhì)性上下文，極大豐富模型對威脅情報文本的語(yǔ)義表達。②融合多個(gè)句法信息，例如詞性、語(yǔ)法成分、依賴(lài)關(guān)系等。添加新特征，增強模型對標簽的推理能力，緩解OOV問(wèn)題。③添加全局注意力機制層，增強模型對遠距離特征的獲取能力，緩解實(shí)體稀疏問(wèn)題。

3.2 關(guān)系抽取技術(shù)

（1）技術(shù)介紹

在網(wǎng)絡(luò )安全知識圖譜的構建過(guò)程中，當提取好網(wǎng)絡(luò )安全實(shí)體后，需利用關(guān)系將存在聯(lián)系的實(shí)體編織在一起，最終形成一個(gè)龐大的拓撲信息網(wǎng)。關(guān)系抽取同樣是網(wǎng)絡(luò )安全知識圖譜構建的核心任務(wù)，而關(guān)系抽取的本質(zhì)，就是從非結構化文本語(yǔ)料中提取兩個(gè)實(shí)體之間存在的關(guān)系。

（2）國內外研究現狀

關(guān)系抽取的方法繁多，早期大部分的研究都是用基于規則的方法，該方法擁有準確率高、表示直觀(guān)等優(yōu)點(diǎn)，但其成本過(guò)高、應用范圍狹窄。隨著(zhù)人工智能的發(fā)展，基于深度學(xué)習的方法因靈活性高、應用范圍廣等特點(diǎn)受到了很多領(lǐng)域學(xué)者的爭先研究。不過(guò)由于其需要大量人工標注的數據來(lái)進(jìn)行訓練，所以根據標注數據的精準程度又被分成基于監督學(xué)習的方法、基于遠程監督學(xué)習的方法等。Wang等人提出了一個(gè)融合語(yǔ)義特征和依賴(lài)特征的威脅情報關(guān)系抽取框架[8]。

該框架運用了一種新的剪枝策略（SDP-VP），大大降低了句法依賴(lài)樹(shù)中的噪聲枝影響，從而提升了模型效果，不過(guò)該模型對于句子本身語(yǔ)義信息的利用還不夠充分。Zhou等人針對關(guān)系抽取中實(shí)體的表示形式展開(kāi)了一系列研究，將預處理語(yǔ)言模型（PLM）與實(shí)體類(lèi)型嵌入改進(jìn)得到了一個(gè)新的關(guān)系抽取基線(xiàn)模型[9]。該模型將實(shí)體類(lèi)型嵌入到文本語(yǔ)句當中去增強實(shí)體對之間的聯(lián)系，但是其應用受實(shí)體提取結果影響較大。Tian等人提出了一種配備多種句法依賴(lài)信息的Bert+A-GCN模型[10]。該模型利用注意力機制智能裁剪權重較低、信息量較少的關(guān)系枝，降低了句法依存樹(shù)中的噪聲影響，并將配備依賴(lài)類(lèi)型的局部與全局依賴(lài)信息結合生成結合鄰接矩陣，進(jìn)一步加強了實(shí)體對之間依賴(lài)信息的影響，進(jìn)而提升了模型的效果。

Takanobu等人提出了一種分層提取范式，通過(guò)分層強化學(xué)習來(lái)處理關(guān)系提取[11]。該范式將實(shí)體視為關(guān)系的參數，并將關(guān)系提取任務(wù)分解為兩個(gè)子任務(wù)的層次結構：高級關(guān)系指標檢測和低級實(shí)體提取，針對遠程監督噪聲較多的數據集，增強了其關(guān)系抽取的穩定性，降低了遠程監督數據集噪聲數據過(guò)多問(wèn)題對實(shí)驗造成的影響，并且對于重疊關(guān)系的提取效果也得到了很大的提升。Li等人提出了一種基于全局和局部特征的感知網(wǎng)絡(luò )（GLFN）[12]，增強了網(wǎng)絡(luò )模型對文本語(yǔ)料重要語(yǔ)義特征的理解，并通過(guò)殘差網(wǎng)絡(luò )動(dòng)態(tài)降低了噪聲數據的影響。Chen等人提出了一種具有協(xié)同優(yōu)化（KnowPrompt）的知識感知提示調整方法[13]。該方法中“提示調整”的核心思想是將文本片段（即模板）插入到輸入中，并將分類(lèi)任務(wù)轉換為掩碼語(yǔ)言建模問(wèn)題，專(zhuān)注于將關(guān)系標簽之間的知識整合到關(guān)系提取的提示調整中。該方法充分利用了關(guān)系標簽之間存在著(zhù)的豐富的語(yǔ)義和先驗知識，不過(guò)其只適用于有標記數據的監督學(xué)習環(huán)境。Luo等人針對威脅情報領(lǐng)域關(guān)系抽取數據集問(wèn)題提出新的關(guān)系提取框架[14]。該框架采用遠程監督進(jìn)行數據標注，并采用神經(jīng)網(wǎng)絡(luò )模型進(jìn)行關(guān)系提取，大大降低了數據集標注的人力成本，為解決網(wǎng)絡(luò )安全領(lǐng)域關(guān)系抽取數據集缺乏的問(wèn)題打開(kāi)了一個(gè)新的思路，不過(guò)該方法最終得到的數據集噪聲數據過(guò)多且質(zhì)量偏低。

（3）關(guān)系抽取技術(shù)新思路

安全關(guān)系抽取的關(guān)鍵在于實(shí)體對所在文本本身的語(yǔ)義信息和句法依賴(lài)信息以及模型的選取。為了能夠得到更高的安全關(guān)系抽取準確率，本文提出通過(guò)變換文本本身語(yǔ)義信息和句法依賴(lài)信息的獲取形式，加強實(shí)體對之間的聯(lián)系，以及選取更合適的預處理語(yǔ)言模型。同時(shí)由于現階段關(guān)系抽取技術(shù)大多基于流水線(xiàn)形式，關(guān)系抽取發(fā)生在實(shí)體抽取之后，容易造成錯誤積累，從而降低關(guān)系抽取的準確率。利用實(shí)體和關(guān)系聯(lián)合抽取的方式，是消除此類(lèi)錯誤積累問(wèn)題的解決辦法之一。

4 知識圖譜存儲

完成威脅情報的信息抽取后，對所得到的威脅情報實(shí)體及實(shí)體關(guān)系進(jìn)行數據庫入庫。目前主要的知識圖譜存儲方式有兩種：（1）基于資源描述框架結構的存儲方式；（2）基于圖數據庫的存儲方式。資源描述框架（Resource Description Framework，RDF）是W3C制定的用于描述實(shí)體資源的標準數據模型，它通過(guò)三元組的方式存儲，優(yōu)勢在于擁有強大的語(yǔ)義表達能力，同時(shí)具有良好的互通性，容易傳輸。RDF資源管理數據庫也是目前主流存儲知識圖譜的方式，但存在可讀性差、搜索效率低等缺陷。常見(jiàn)的資源描述框架結構數據庫有Protege、Owlready2等。近些年興起通過(guò)圖數據庫方式存儲知識圖譜，其優(yōu)勢在于圖本身可天然表示圖譜結構等信息，容易管理，支持各類(lèi)圖挖掘、推理算法，同時(shí)搜索效率高、速度快，尤其適用于多跳查詢(xún)。缺點(diǎn)是圖數據庫的分布式存儲實(shí)現代價(jià)高，數據更新慢。常見(jiàn)的圖數據庫有Neo4j、Tita、OrientDB等。

5 威脅情報知識圖譜應用場(chǎng)景

隨著(zhù)知識圖譜相關(guān)技術(shù)的高速發(fā)展，威脅情報知識圖譜現已經(jīng)廣泛地運用至各類(lèi)網(wǎng)絡(luò )安全智能防御系統當中。例如：

（1）姿態(tài)感知和安全評估[15]。隨著(zhù)部署在企業(yè)網(wǎng)絡(luò )的設備和服務(wù)的不斷迭代更新，其組合模式也變得越來(lái)越復雜，導致評估企業(yè)網(wǎng)絡(luò )整體安全性變成了一項極具挑戰的任務(wù)。企業(yè)網(wǎng)絡(luò )的安全管理員通過(guò)運用威脅情報圖譜，能充分掌握當前網(wǎng)絡(luò )空間資產(chǎn)及其暴露面，能更好地應對多階段、多主機的攻擊場(chǎng)景。

（2）APT威脅追蹤。近年來(lái)APT組織的網(wǎng)絡(luò )攻擊手段不斷升級，威脅情報知識圖譜可針對不同APT組織的行為特征，通過(guò)統一語(yǔ)言描述，構建APT組織畫(huà)像。利用威脅情報知識圖譜對攻擊行為進(jìn)行分析，可實(shí)現對已知攻擊組織的追蹤和對未知攻擊團伙的識別。

（3）漏洞管理。漏洞是所有黑客組織入侵的關(guān)鍵所在，如何高效發(fā)現、監控和管理漏洞是網(wǎng)絡(luò )安全的重中之重。利用威脅情報知識圖譜技術(shù)可高效整合海量非結構化威脅情報來(lái)收集漏洞，以更加直觀(guān)的圖語(yǔ)言表示。同時(shí)利用圖譜推理能力，可獲取漏洞導致的潛在暴露面及其風(fēng)險信息等。

6 總結

近幾年，人工智能技術(shù)在網(wǎng)絡(luò )安全上的運用受到學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。威脅情報知識圖譜是推動(dòng)網(wǎng)絡(luò )安全智能防御技術(shù)從感知智能邁向認知智能的關(guān)鍵。然而，其圖譜構建技術(shù)與應用場(chǎng)景的研究仍處于早期階段。本文提出了構建威脅情報知識圖譜的技術(shù)架構，設計了基于STIX的安全知識本體，總結了當前國內外的網(wǎng)絡(luò )安全信息抽取技術(shù)并提出了新思路，為威脅情報的圖譜構建技術(shù)、圖譜推理技術(shù)、圖譜應用場(chǎng)景等研究提供了借鑒和思路。

作者簡(jiǎn)介

尚文利（1974-），男，黑龍江北安人，教授，博士，現任教于廣州大學(xué)電子與通信工程學(xué)院，主要從事計算智能與機器學(xué)習、工業(yè)信息安全、邊緣計算方面的研究。

朱鵬程（1998-），男，碩士，江西南昌人，現就讀于廣州大學(xué)電子與通信工程學(xué)院，主要從事知識圖譜、車(chē)聯(lián)網(wǎng)威脅分析方面的研究。

王博文（1999-），男，湖南邵陽(yáng)人，碩士，現就讀于廣州大學(xué)電子與通信工程學(xué)院，主要從事知識圖譜、車(chē)聯(lián)網(wǎng)威脅分析方面的研究。

曹   忠（1977-），男，安徽黃山人，講師，博士，現任教于廣州大學(xué)電子與通信工程學(xué)院，主要從事工業(yè)互聯(lián)網(wǎng)方面的研究。

張   曼（1984-），女，陜西西安人，講師，博士，現任教于廣州大學(xué)電子與通信工程學(xué)院，主要從事智能軟件工程及軟件體系結構領(lǐng)域的相關(guān)工作。

浣   沙（1984-），女，湖南長(cháng)沙人，講師，博士，現任教于廣州大學(xué)電子與通信工程學(xué)院，研究方向為寬帶雷達通信一體化技術(shù)，以及此技術(shù)在毫米波多用戶(hù)場(chǎng)景下的應用、陣列雷達信號處理、抗干擾技術(shù)、前視雷達成像技術(shù)。

參考文獻：

[1] Xuren Wang, et al. APTNER: A Specific Dataset for NER Missions in Cyber Threat Intelligence Field[C]. 2022 IEEE 25th International Conference on Computer Supported Cooperative Work in Design (CSCWD), Hangzhou, China, 2022 : 1233 - 1238.

[2] Xiaojing Liao, Kan Yuan, Xiaofeng Wang, et al. Acing the IOC Game: Toward Automatic Discovery and Analysis of Open-Source Cyber Threat Intelligence[C]. Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security (2016).

[3] Ya Qin, Guowei Shen, Wenbo Zhao, Yanping Chen, Miao Yu, Xin Jin. A network security entity recognition method based on feature template and CNN BiLSTM-CRF[J]. Frontiers of Information Technology & Electronic Engineering 20 (2019) : 872 - 884.

[4] 李濤. 威脅情報知識圖譜構建與應用關(guān)鍵技術(shù)研究[D]. 戰略支援部隊信息工程大學(xué), 2020.

[5] Pavlos Evangelatos, Christos lliou, Thanassis Mavropoulos, et al. Named Entity Recognition in Cyber Threat Intelligence Using Transformer-based Models[C]. 2021 IEEE International Conference on Cyber Security and Resilience (CSR), Rhodes, Greece, 2021, 348 - 353.

[6] Yinghai Zhou, Yi Tang, Ming Yi, Chuanyu Xi, Hai Lu. CTI View: APT Threat Intelligence Analysis System[J]. Secur. Commun. Networks 2022 (2022) : 1 - 15.

[7] Peipei Liu, Hong Li, Zuoguang Wang, et al. Multi-features based Semantic Augmentation Networks for Named Entity Recognition in Threat Intelligence[C], 2022 26th International Conference on Pattern Recognition (ICPR), Montreal, QC, Canada, 2022, 1557 - 1563.

[8] Xuren Wang, Xinpei Liu, Shengqin Ao, et al. FSSRE: Fusing Semantic Feature and Syntactic Dependencies Feature for Threat Intelligence Relation Extraction[J].

[9] Wenxuan Zhou, Muhao Chen. An Improved Baseline for Sentence-level Relation Extraction[C]. AACL, 2021.

[10] Yuanhe Tian, Guimin Chen, Yan Song, et al. Dependency-driven Relation Extraction with Attentive Graph Convolutional Networks[C]. Proceedings of the 59th Annual Meeting of the Association for Computational Linguistics and the 11th International Joint Conference on Natural Language Processing (Volume 1: Long Papers), 2021 : 4458 - 4471.

[11] Ryuichi Takanobu, Tianyang Zhang, Jiexi Liu, et al. A Hierarchical Framework for Relation Extraction with Reinforcement Learning[C]. Proceedings of the AAAI conference on artificial intelligence, 2019, 33 (01) : 7072 - 7079.

[12] Ping Li. Correlation temporal feature extraction network via residual network for English relation extraction[J]. EAI Endorsed Transactions on Scalable Information Systems, 2022, 9 (36).

[13] Xiang Chen, Ningyu Zhang, Xin Xie, et al. KnowPrompt : Knowledge-aware Prompt-tuning with Synergistic Optimization for Relation Extraction[C]. Proceedings of the ACM Web Conference 2022, 2022 : 2778 - 2788.

[14] Yali Luo, Shengqin Ao, Ning Luo, et al. Extracting threat intelligence relations using distant supervision and neural networks[C]. Advances in Digital Forensics XVII : 17th IFIP WG 11.9 International Conference, 2021 : 193 - 211.

[15] Kai Liu, Fei Wang, Zhaoyun Ding, et al. A review of knowledge graph application scenarios in cyber security[J/OL].

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》