实时态势感知与响应机制

1/1实时态势感知与响应机制第一部分实时态势感知的定义与特点 2第二部分实时态势感知技术的架构与实现 3第三部分实时威胁情报与事件关联分析 5第四部分态势感知平台的智能化与自动化 8第五部分实时响应机制的构建与演进 12第六部分威胁响应的分类与处置策略 14第七部分态势感知与响应机制的协同与联动 17第八部分实时态势感知与响应机制在网络安全中的应用 19

第一部分实时态势感知的定义与特点关键词关键要点【实时态势感知的定义】

1.实时态势感知是一种动态、连续的态势感知过程，它持续收集、分析和解读与特定事件或领域相关的多源信息，以形成实时且准确的态势描述。

2.实时态势感知强调时效性和实时性，能够及时发现、识别和评估新出现的威胁、风险和机遇，为决策提供基础。

3.实时态势感知涉及跨多学科和多技术的融合，包括数据收集、分析、建模、可视化和响应。

【实时态势感知的特点】

实时态势感知的定义

实时态势感知是一种持续、自动化和集成的过程，它通过收集、分析和关联来自各种来源的实时数据，提供有关组织环境的全面、动态和准确的视图。它旨在帮助组织了解当前和不断变化的情况，识别威胁和机遇，并迅速采取适当的行动。

实时态势感知的特点

*持续性：持续收集和分析数据，对环境进行实时监控。

*自动化：利用技术和工具自动化数据收集、分析和关联流程。

*集成：整合来自多种来源的数据，提供更全面的视图。

*实时性：提供最新、最准确的信息，以支持即时决策。

*动态性：适应不断变化的环境，随着情况的变化而更新态势。

*准确性：基于可信和经过验证的数据源，确保态势感知的可靠性。

*全面性：涵盖组织环境各个方面的关键指标和信息。

*可视性：通过仪表板、地图和其他可视化工具，提供易于理解的态势信息。

*可操作性：提供可操作的见解，支持决策制定和响应行动。

*协作性：促进跨职能团队之间的信息共享和协作。

*可伸缩性：能够扩展以满足组织不断增长的需求和复杂性。

*可定制性：可以根据组织特定的需求和优先级进行定制化。

*可度量性：提供指标来评估态势感知系统的有效性和效率。

*安全性：保护敏感数据和信息，确保态势感知系统的机密性、完整性和可用性。

*隐私合规性：遵守数据隐私和保护法规，保护个人信息。第二部分实时态势感知技术的架构与实现实时态势感知技术的架构与实现

一、架构

实时态势感知系统的架构通常由以下组件组成：

*数据源：收集和聚合来自各种来源的数据，例如安全信息和事件管理(SIEM)系统、入侵检测系统(IDS)、网络流量分析器和威胁情报馈送。

*数据处理引擎：对收集到的数据进行处理、归一化和相关性分析，以提取有价值的信息和异常检测。

*态势感知分析引擎：利用机器学习、大数据分析和规则引擎技术来分析数据，识别威胁、评估风险和预测潜在的网络攻击。

*可视化界面：以交互式方式呈现态势感知数据，使安全分析人员能够实时监控网络活动、威胁指标和事件。

*响应机制：与安全编排、自动化和响应(SOAR)系统或其他响应工具集成，以自动化威胁响应和补救措施。

二、实现

实现实时态势感知系统涉及以下步骤：

1.数据收集和聚合：

*部署数据收集代理或连接器连接到数据源。

*标准化和归一化数据格式以实现跨来源的数据关联。

*根据组织的特定需求和风险状况确定需要收集的数据类型。

2.数据处理和分析：

*应用数据处理技术，如数据清洗、特征提取和相关性分析。

*利用机器学习和统计模型来识别异常活动和威胁模式。

*建立规则和警报阈值以检测已知的攻击签名和可疑事件。

3.态势感知分析：

*利用数据挖掘技术，如聚类、关联规则挖掘和预测建模，从数据中提取有意义的见解。

*关联不同数据集以建立更全面的态势感知。

*提供可视化仪表板和报告以呈现威胁优先级、风险评估和事件调查结果。

4.可视化界面：

*创建动态仪表板和交互式地图，显示实时网络活动和威胁指标。

*允许安全分析人员钻取警报、调查事件和查看历史数据。

*提供定制选项以满足组织的特定可视化需求。

5.响应机制集成：

*与SOAR系统或其他安全工具集成以自动化响应措施。

*定义工作流和响应策略来隔离受感染的设备、阻止恶意流量并通知响应团队。

*提供可审计和可跟踪的响应日志记录和报告。

三、挑战和最佳实践

挑战：

*数据来源多样性：处理和关联来自不同来源的异构数据。

*实时性要求：在攻击者采取行动之前检测和响应威胁。

*误报和漏报：平衡警报准确性与覆盖范围以避免警报疲劳和错过关键事件。

最佳实践：

*采用基于云的或可扩展的解决方案以处理大容量数据。

*建立有效的威胁情报共享和合作关系以丰富态势感知。

*实施持续改进机制以调整策略、改进分析并提高整体系统效率。第三部分实时威胁情报与事件关联分析实时威胁情报与事件关联分析

概述

实时态势感知与响应机制的核心要素之一是实时威胁情报与事件关联分析。通过整合来自多种来源的威胁情报和实时事件数据，安全运营团队能够识别、优先处理并应对安全威胁。

威胁情报

威胁情报是与网络安全相关的信息，可用于识别、分析和抵御恶意活动。实时威胁情报通过自动化收集和关联来自不同来源的数据来提供持续的威胁态势视图。这些来源包括：

*公共情报源：病毒库、恶意软件数据库、漏洞利用工具包列表和在线犯罪论坛等。

*商业情报服务：提供威胁指标、攻击技术和恶意软件趋势的订阅服务。

*执法机构和情报机构：通过信息共享计划或备忘录协定共享威胁情报。

*威胁情报平台：聚合并关联威胁情报，并将其呈现在易于使用的界面中。

事件关联分析

事件关联分析是分析不同来源的事件数据，以识别潜在的安全威胁的过程。实时事件数据可能来自：

*安全信息和事件管理(SIEM)系统：收集和分析来自安全设备、应用程序和网络日志的安全事件。

*入侵检测/入侵防御系统(IDS/IPS)：检测和标记潜在的恶意活动。

*防火墙：记录网络流量并检测可疑活动。

*资产管理系统：跟踪已知漏洞和未修补漏洞的资产清单。

分析技术

用于实时威胁情报与事件关联分析的技术包括：

*机器学习和人工神经网络：识别威胁模式并自动关联事件。

*行为分析：监控用户和应用程序的行为以检测异常活动。

*基于规则的关联：根据预定义规则关联事件，例如特定事件序列或IP地址匹配。

*时间序列分析：识别事件中的时间模式，例如攻击活动增加或减弱。

好处

实时威胁情报与事件关联分析提供以下好处：

*提高威胁检测能力：通过关联不同来源的威胁情报和事件数据，安全团队能够识别传统安全工具可能错过的复杂威胁。

*缩短响应时间：实时分析使安全团队能够快速识别和调查威胁，从而缩短响应时间并减少业务中断。

*减少误报：通过关联事件，安全团队可以过滤掉噪声并专注于真正的安全威胁。

*提高态势感知：实时威胁情报为安全团队提供了持续的网络安全态势视图，使他们能够了解当前的威胁格局和潜在的风险。

实施考虑因素

实施实时威胁情报与事件关联分析时需要考虑以下因素：

*数据可访问性和完整性：确保有权访问所有相关数据，并且数据是准确和完整的。

*技术选择：选择提供所需的分析功能、可扩展性和易用性的威胁情报平台和关联工具。

*分析专业知识：拥有熟练的分析师至关重要，他们能够解释关联的事件并提出适当的响应措施。

*流程和自动化：制定明确的流程和自动化任务，以提高分析效率并减少人为错误。

*持续监控和调整：定期监控关联分析的结果并根据需要进行调整，以确保系统保持与不断变化的威胁格局同步。第四部分态势感知平台的智能化与自动化关键词关键要点智能化数据采集与处理

1.利用物联网、边缘计算等技术，实现网络、空间、设备等多源异构数据的实时采集和预处理。

2.采用人工智能算法，对采集的数据进行分析、挖掘，自动提取相关事件、威胁和趋势。

3.构建统一的数据中枢和数据可视化界面，为态势感知人员提供全面的数据视图和决策支持。

关联分析与预测模型

1.基于大数据关联分析，发现潜在的威胁关联和异常行为模式。

2.构建机器学习和深度学习预测模型，预测未来威胁趋势和可能影响。

3.利用预测结果，提前预警和应对潜在的安全事件，提高态势感知的主动性和效能。

自适应规则引擎

1.建立动态且可配置的规则引擎，自动检测和响应新的威胁模式。

2.结合威胁情报和机器学习算法，实时更新规则库，保持规则引擎的适应性。

3.提高态势感知系统的响应速度和准确性，降低人为干预和错误的可能性。

基于知识图谱的语义推理

1.构建基于知识图谱的关系数据模型，描述威胁、资产、漏洞等实体之间的语义关联。

2.利用语义推理技术，自动化推导出隐含的威胁、影响和脆弱性。

3.提升态势感知系统的认知能力，实现更全面的威胁分析和决策辅助。

自动化响应与处置

1.开发自动化响应策略，根据预定义的规则和事件触发条件，自动采取响应措施。

2.利用安全编排自动化与响应（SOAR）平台，集成安全工具，实现自动化事件处置流程。

3.减少人为干预，提高响应效率和一致性，减轻安全运维负担。

持续评估与改进

1.定期评估态势感知系统的性能和有效性，识别改进领域。

2.采用闭环反馈机制，将系统反馈的信息用于优化数据采集、分析和响应策略。

3.通过持续改进，确保态势感知系统始终保持最优状态和适应不断变化的威胁环境。态势感知平台的智能化与自动化

态势感知平台的智能化和自动化是提高态势感知能力的关键手段，可以有效减少人工干预，提高效率和准确性。以下介绍态势感知平台智能化和自动化的主要方面：

1.数据智能化

*数据融合与关联分析：将来自不同来源的数据进行融合和关联，提取有价值的信息，发现潜在威胁。

*机器学习与大数据分析：利用机器学习算法和海量数据，识别模式、预测威胁，并自动生成预警。

*知识图谱构建：建立基于语义关系的知识图谱，提供便捷的知识查询和推理能力，辅助态势分析。

2.自动化威胁检测和响应

*基于签名的威胁检测：利用已知的恶意软件签名，主动扫描系统和网络，检测已知威胁。

*基于行为的威胁检测：分析系统和网络行为，识别异常活动，发现未知威胁。

*自动响应机制：当检测到威胁时，自动触发预定义的响应措施，如隔离受感染设备、阻断恶意流量。

3.自动化安全事件处置

*事件自动取证：自动收集和分析安全事件相关的日志和数据，提取证据并生成取证报告。

*事件关联与根因分析：关联相关安全事件，识别攻击链条，自动分析攻击根源。

*自动化安全事件响应计划：制定自动化安全事件响应计划，根据预定义的规则和流程执行响应操作。

4.智能化威胁情报共享

*威胁情报自动化收集：自动从各种来源收集威胁情报，包括威胁情报平台、安全厂商和社区。

*威胁情报关联分析：关联不同来源的威胁情报，识别高级威胁和攻击趋势。

*智能化威胁情报分发：根据不同的用户角色和需求，分发定制化的威胁情报，提高态势感知能力。

5.可视化与态势预测

*交互式态势展示：提供实时可视化的态势展示界面，直观呈现系统和网络的当前状态和潜在威胁。

*态势预测与模拟：基于当前态势数据和历史数据，进行态势预测和模拟，评估未来威胁趋势和潜在影响。

*预警与告警：根据态势变化和威胁等级，自动生成预警和告警，及时通知安全人员采取应对措施。

6.知识库与自动化处置库

*知识库管理：建立包含安全知识、威胁信息和最佳实践的知识库，辅助态势分析和决策制定。

*自动化处置库：构建自动化处置库，存储预定义的处置方案，用于快速响应安全事件。

7.可扩展性与可维护性

*平台可扩展性：态势感知平台应支持可扩展性，以适应不断变化的安全环境和不断增加的数据量。

*自动化流程可维护性：自动化流程应易于维护和修改，以适应新的威胁和响应要求。

通过实施智能化和自动化，态势感知平台可以大幅提高态势感知能力，减少人工干预，实现实时、准确和全面的威胁检测和响应，保障信息系统的安全。第五部分实时响应机制的构建与演进关键词关键要点实时响应机制的构建与演进

主题名称：威胁情报赋能响应机制

1.实时威胁情报共享：整合来自多方来源的威胁情报，建立威胁信息库，实现威胁信息的实时共享和协作分析。

2.智能威胁分析与预测：运用机器学习、大数据分析等技术，对威胁情报进行关联分析和预测，识别潜在威胁，提前发出预警。

3.针对性响应策略制定：根据威胁情报，制定针对性的响应策略，包括补丁发布、系统更新、隔离措施等，有效应对安全事件。

主题名称：自动化响应技术优化

实时响应机制的构建与演进

1.构建实时响应机制

构建实时响应机制需要从以下方面着手：

*建立实时态势感知系统：收集、分析和关联来自各种来源（如安全日志、网络流量和EDR）的数据，提供实时可见性和全面态势感知。

*定义响应流程：制定明确的流程，概述在发生安全事件时的响应步骤，包括检测、分析、遏制、补救和恢复。

*组建响应团队：建立由熟练的分析师和安全专家组成的专用响应团队，全天候监控态势感知系统并对事件进行响应。

*部署自动化和编排工具：利用自动化和编排工具简化和加速响应任务，如威胁遏制、取证和报告。

2.响应机制的演进

实时响应机制不断演进，以应对不断变化的安全威胁形势：

2.1编排自动化和响应（SOAR）

SOAR平台整合了安全工具，实现了自动响应和编排，提高了事件响应效率和准确性。

2.2威胁情报集成

将威胁情报集成到响应机制中，使响应团队能够在早期阶段识别和解决威胁，并主动采取措施防止攻击。

2.3人工智能（AI）和机器学习（ML）

AI和ML技术用于分析事件数据，自动检测异常并预测未来的攻击，增强决策制定和响应行动。

2.4云安全态势管理（CSPM）

CSPM工具提供对云环境的安全可见性和控制，使响应团队能够在基于云的攻击中更有效地响应。

2.5威胁狩猎和主动防御

响应机制正在从被动响应向主动防御转变，通过威胁狩猎和主动防御措施在攻击发生之前识别和解决潜在威胁。

3.实施考虑因素

实施实时响应机制时，需要考虑以下因素：

*成本：实施和维护响应机制的成本。

*资源：组建和培训响应团队所需的资源。

*技术：需要部署和集成的技术工具。

*流程：建立和实施明确的响应流程。

*文化：营造重视安全并对事件迅速做出响应的组织文化。

4.持续改进和评估

实时响应机制是一个持续的进程，需要定期评估和改进：

*监控：监控响应机制的效率和有效性，并收集有关事件的指标和数据。

*改进：根据反馈和分析结果，不断改进流程、工具和技术。

*演习：定期进行演习以测试响应机制并识别需要改进的领域。

*合作：与其他组织、执法机构和威胁情报提供商合作，共享信息并提高响应能力。第六部分威胁响应的分类与处置策略关键词关键要点【威胁响应分类】

1.被动响应：在遭受攻击后进行反应，如采取措施遏制攻击、恢复系统和收集证据。该方法主要用于应对已发生的事件，强调取证和事后处置。

2.主动响应：在攻击发生前或早期阶段采取积极措施，如发现和阻止威胁、减轻风险和开展威胁情报活动。这种方法注重预防和态势感知，更具前瞻性。

3.混合响应：同时采用被动和主动响应策略，在遭受攻击时进行补救措施，同时投资于威胁预防和情报收集。该方法平衡了安全性与灵活性，允许组织在不同情况下做出适当响应。

【威胁响应处置策略】

威胁响应的分类与处置策略

分类

威胁响应可分为以下类别：

*预防性响应：主动采取措施防止威胁发生，如部署安全防护措施、进行安全意识培训。

*检测性响应：发现和识别威胁事件，如通过安全监控和日志分析。

*响应性响应：对检测到的威胁事件采取行动，如隔离受感染系统、执行恶意软件清除操作。

*恢复性响应：修复受威胁事件影响的系统和数据，恢复正常业务运营。

*预测性响应：利用人工智能、机器学习等技术预测潜在威胁，提前采取预防措施。

处置策略

针对不同类型的威胁响应，可采取以下处置策略：

#预防性响应策略

*部署安全防护措施：如防火墙、入侵检测系统（IDS）、防病毒软件，防御网络攻击。

*加强访问控制：限制对敏感信息的访问，防止未经授权的访问。

*进行安全意识培训：提高员工的安全意识，识别和预防网络钓鱼攻击、社会工程攻击等。

*实施补丁管理程序：及时更新系统和软件补丁，修复已知漏洞。

#检测性响应策略

*安全监控：持续监控网络流量、日志文件和系统事件，检测可疑活动。

*日志分析：分析安全日志，识别异常模式和潜在威胁。

*威胁情报共享：与外部威胁情报提供商合作，获得最新的威胁信息。

*人工智能和机器学习：利用人工智能算法和机器学习技术识别高级持续性威胁（APT）和未知威胁。

#响应性响应策略

*隔离受感染系统：将受感染系统与其他网络隔离，防止感染扩散。

*执行恶意软件清除操作：使用防病毒或恶意软件清除工具清除恶意软件。

*变更密码：更改受影响账户的密码，防止未经授权的访问。

*取证分析：收集和分析事件相关的证据，确定威胁来源和影响范围。

#恢复性响应策略

*系统重建：在严重感染的情况下，重建受影响系统，确保系统干净、安全。

*数据恢复：从备份中恢复受损或丢失的数据，最小化数据丢失。

*业务恢复计划：制定并实施业务恢复计划，确保关键业务功能在事件发生后得以恢复。

#预测性响应策略

*威胁情报分析：分析来自安全情报来源的数据，预测潜在威胁。

*人工智能和机器学习：利用人工智能技术识别异常行为模式，预测未来的攻击。

*风险评估和建模：通过风险评估和建模，识别和优先处理高风险威胁。

*沙箱环境：在隔离的环境中执行可疑文件或代码，评估其潜在影响，预测未知威胁。第七部分态势感知与响应机制的协同与联动态势感知与响应机制的协同与联动

实时态势感知与响应机制（STRM）的核心在于态势感知与响应功能之间的协同与联动，共同构成一个闭环反馈系统，实现全面的安全态势掌握和快速响应。

态势感知与响应的协同过程

*态势监测：态势感知系统持续监测网络和安全环境，收集和分析相关数据，识别潜在威胁和事件。

*事件检测：态势感知系统通过预定义规则或机器学习算法，检测可疑活动或异常行为，并将其标记为事件。

*事件相关性：态势感知系统将相关事件关联起来，以识别攻击模式和威胁范围。

*威胁评估：态势感知系统对事件进行评估，确定它们的严重性和影响，并将其分类为不同等级的威胁。

*响应触发：当威胁达到预定的等级时，自动触发响应机制。

响应机制与态势感知的联动

*响应执行：响应机制根据态势感知系统提供的威胁情报，执行相应的安全措施，如隔离受感染设备、阻止恶意流量或启动调查。

*响应评估：响应机制评估响应措施的有效性，并收集有关攻击性质和影响的信息。

*态势更新：响应评估的结果反馈给态势感知系统，以更新网络和安全环境的态势视图。

*持续改进：态势感知与响应机制不断协同，根据经验教训和反馈进行调整，以提高检测和响应能力。

协同与联动的优势

*更快响应时间：态势感知系统提供实时威胁情报，让响应机制能够迅速采取行动，减少攻击影响。

*更准确的响应：态势感知系统的信息丰富，使响应机制能够根据威胁的严重性和影响采取最适当的措施。

*减少错误响应：通过验证事件相关性和评估威胁，态势感知系统有助于防止不必要的或无效的响应，减少误报的影响。

*持续改进：闭环反馈系统使态势感知和响应机制能够不断学习和适应，从而提高整体安全态势。

*提高效率：自动化协同简化了安全运营，释放了人力资源，使安全团队能够专注于更高级别的任务。

实现协同与联动的关键因素

*统一数据平台：共享态势感知和响应数据，以确保信息的一致性和完整性。

*自动化流程：自动化事件检测、响应触发和态势更新，以提高响应速度和减少人为错误。

*持续监控：不断监测态势感知和响应机制的性能，以识别改进机会。

*安全团队协作：态势感知和响应团队之间的密切协作，以有效沟通威胁情报和协调响应行动。

*威胁情报共享：与外部安全机构和威胁情报提供商合作，以丰富威胁情报并提高检测和响应能力。

结论

态势感知与响应机制的协同与联动对于维护有效的网络安全态势至关重要。通过实时威胁情报、快速响应和持续改进，STRM能够有效地检测和应对网络威胁，减轻其影响并改善整体安全姿态。第八部分实时态势感知与响应机制在网络安全中的应用实时态势感知与响应机制在网络安全中的应用

引言

实时态势感知与响应（RSIR）机制在网络安全领域扮演着至关重要的角色，它使组织能够实时监测、分析和应对网络安全威胁。本文将深入探讨RSIR机制在网络安全中的应用，重点关注其在威胁检测、事件响应和持续监控方面的优势。

网络安全中的实时态势感知

实时态势感知涉及持续监测和分析网络环境，以检测和理解潜在威胁。RSIR机制利用各种数据源，包括：

*网络流量：检查网络流量模式和异常情况，以识别恶意活动。

*端点数据：监控端点设备，例如计算机、服务器和移动设备，以检测恶意软件感染和异常行为。

*安全事件和日志：分析安全事件和日志，以识别可疑活动和潜在攻击。

*情报数据：利用来自威胁情报提供商和研究人员的信息，以了解最新威胁趋势和漏洞。

威胁检测

RSIR机制利用先进的分析技术和机器学习算法，实时检测威胁。这些算法可以识别异常模式、指示攻击活动的指标（IoA）和已知的攻击签名。通过实时监测网络环境，RSIR能够在早期阶段检测威胁，从而减少攻击的潜在影响。

事件响应

当检测到威胁时，RSIR机制自动触发事件响应流程。根据威胁的严重性和类型，该流程可能包括：

*隔离受感染系统：将受感染系统与网络其他部分隔离，以防止恶意软件传播。

*启动取证调查：收集证据以确定攻击范围和影响。

*采取缓解措施：部署补丁、更新安全配置或阻止恶意域。

*通知利益相关者：向管理层、网络安全团队和其他利益相关者报告事件。

持续监控

RSIR机制提供持续监控，以确保网络安全态势的持续可视性和控制。通过持续监测网络流量、端点活动和安全日志，RSIR能够：

*检测新出现的威胁：识别以前未知或尚未检测到的恶意软件和攻击技术。

*跟踪攻击者活动：监测攻击者的技术、战术和程序（TTP），以了解其目标和方法。

*评估安全有效性：验证安全控制的有效性，并识别需要改进的领域。

优势

RSIR机制在网络安全方面具有以下优势：

*早期威胁检测：通过实时监测，可以及早发现威胁，从而减少攻击的潜在影响。

*自动化事件响应：自动触发事件响应流程，有助于降低人力错误并提高响应速度。

*持续可视性：提供持续的网络安全态势可视性，使组织能够及时了解威胁并采取适当措施。

*威胁情报整合：整合来自威胁情报来源的数据，有助于组织了解最新的威胁趋势和漏洞。

*可扩展性和适应性：可扩展，以满足不同规模组织的需求，并适应不断变化的威胁格局。

实施考虑因素

实施RSIR机制时需要考虑以下因素：

*数据收集：确定收集哪些数据源，以及如何安全有效地收集和存储数据。

*分析和关联：实施分析和关联工具和技术，以识别威胁并检测安全事件。

*事故响应计划：制定事件响应计划，概述事件响应流程、角色和职责。

*人员培训：确保网络安全团队接受培训，了解如何使用和维护RSIR机制。

*持续改进：定期审查和改进RSIR机制，以确保其有效性和效率。

结论

实时态势感知与响应机制是网络安全领域的必备工具。通过实时监测、分析和应对威胁，RSIR机制帮助组织提高网络安全态势，降低风险并提高响应效率。随着网络威胁的不断发展，RSIR机制将在网络安全防御中继续发挥至关重要的作用。关键词关键要点主题名称：数据采集与处理

关键要点：

1.实时数据采集：使用传感器、设备和应用程序从各种来源收集实时数据，包括活动日志、网络流量和设备状态。

2.数据预处理：对收集到的数据进行清理、转换和标准化处理，消除噪音和异常值，提高数据质量。

3.数据分析：运用机器学习算法、统计方法和规则引擎分析预处理后的数据，识别模式、异常情况和威胁指标。

主题名称：态势建模

关键要点：

1.知识图谱构建：建立关联知识和实体的语义网络，表示组织资产、威胁和漏