本发明专利技术公开了一种基于网络安全应急响应知识图谱特征提取的预案匹配方法,包括步骤:S1:对于目标攻击手段的特征属性值,制定预案的限制类约束规则进行初次筛选,排除不适用于目标攻击手段的预案;S2:将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至加权图卷积神经网络中,获取预案特征向量的嵌入表示和目标攻击手段特征向量的嵌入表示;S3:通过余弦相似度算法计算S2中嵌入表示之间的相似度;S4:通过归一化指数函数对相似度进行处理,得到预案与目标攻击手段匹配度得分;S5:在S4中的匹配度得分进行降序排列,排序列表即为预案匹配结果列表;本方案能够解决传统方法的固有缺陷,提高预案匹配效率。提高预案匹配效率。提高预案匹配效率。
【技术实现步骤摘要】
基于网络安全应急响应知识图谱特征提取的预案匹配方法
[0001]本专利技术涉及网络安全
,特别涉及一种基于网络安全应急响应知识图谱特征提取的预案匹配方法。
技术介绍
[0002]随着互联网产业的不断发展,网络安全问题也显得日益严峻,网络攻击规模日益呈现组织化,其攻击手段不断变化,呈现多样化、结构化,网络应急响应工作也显得尤为重要。
[0003]应急响应预案能够有效减少网络攻击的损害,并且能够根据不同的攻击手段执行不同的安全编排剧本。应急响应预案匹配即根据目标攻击手段的特征在预案库中选择适用于对抗目标攻击手段的预案,其核心为预案和目标攻击手段的特征提取以及智能匹配机制。安全编排响应自动化(SOAR)能够极大提高网络安全应急响应预案的执行速度,依靠剧本库中的剧本能够高效简单地处理攻击手段,而安全编排响应自动化(SOAR)能否高效地执行取决于预案的选择。
[0004]目前,预案匹配的传统方法如下几种:通过制定一些约束条件对预案库中的预案进行搜索,此种方法需要大量的人工对数据进行标注,且搜索效率低下,难以满足网络安全事件发生后预案快速响应的要求;还有基于关键字的预案匹配算法,此方法需要将攻击手段和预案的特征完全形式化、格式化、定量化表示,但是实际应用场景中,很难满足上述要求,并且在精确度等方面存在诸多不足;同时基于机器学习的网络安全应急预案智能匹配也是近些年来兴起的方法,但是该种方法需要大量的数据样本对模型进行训练,但是目前该研究领域专业数据集较少难以满足训练要求。可见,传统手段基于关键字或索引等特征进行预案匹配,传统手段存在匹配效率以及匹配准确率较低的缺点,难以解决日益复杂化的攻击手段和网络安全事件,并且传统手段需要大量的人工参与数据标注,对于特征信息的数据格式化要求较高,难以满足网络安全事件发生后预案匹配的实时性要求。
[0005]基于以上考虑,本专利技术采用基于网络安全应急响应知识图谱特征提取的预案匹配方法,其中网络安全应急响应知识图谱内容包括攻击手段信息以及预案的信息,通过网络安全应急响应知识图谱能够较好地描述预案与攻击手段的特征信息,此外基于图的存储结构能够以低耦合的方式保存预案和攻击手段的特征信息,通过此方法能够解决传统方法的固有缺陷,提高预案匹配效率。
技术实现思路
[0006]为实现上述目的,专利技术人提供了一种基于网络安全应急响应知识图谱特征提取的预案匹配方法,包括以下步骤:S1:对于目标攻击手段的特征属性值,制定预案的限制类约束规则进行初次筛选,排除不适用于目标攻击手段的预案;S2:将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至
加权图卷积神经网络中,获取预案特征向量的嵌入表示和目标攻击手段特征向量的嵌入表示;S3:通过余弦相似度算法计算S2中嵌入表示之间的相似度;S4:通过归一化指数函数对相似度进行处理,得到预案与目标攻击手段匹配度得分;S5:在S4中的匹配度得分进行降序排列,排序列表即为预案匹配结果列表。
[0007]作为本专利技术的一种优选方式,所述S1中的特征属性值包括:目标攻击手段的应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号。
[0008]作为本专利技术的一种优选方式,所述S1包括:对于目标攻击手段提取其应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号,这三个特征的离散属性值,通过图数据库查询语句制定预案的限制类约束规则进行初次筛选。
[0009]作为本专利技术的一种优选方式,所述S2包括:通过加权图卷积神经网络提取经过初次筛选后的预案的特征向量,考虑不同特征对于预案匹配的影响,对于预案和目标攻击手段的每个特征加以不同的权值并且求和,每个特征的权值由相邻节点之间的相互作用决定,每个特征的权值定义为,每个特征由加权图卷积神经网络自动学习。
[0010]作为本专利技术的一种优选方式,所述S2还包括:按照知识谱图中的节点关系对周围相邻节点进行聚合,定义信息传递函数;其中是信息传递函数,用于在加权图卷积神经网络中传递信息,是节点
ꢀꢀ
在第层的输入向量,为第层的权值矩阵,是节点在第层的输入向量;选择线性整流函数作为加权图卷积神经网络的激活函数,该激活函数用于每个节点的特征,线性整流函数的表达式为:其中为加权图卷积神经网络的输出,用于比较与的大小并且输出两者中最大值。
[0011]作为本专利技术的一种优选方式,所述S2还包括:对于信息传递函数的计算结果进行加权,得到新的节点嵌入表示,表达式为:其中是节点在第层的输出向量,同时也是第层的输入向量,表示激活函数,表示节点的邻居节点集合,表示对节点的所有邻居节点 进行求和运算,
ꢀꢀ
为第层中第个特征的权值,是信息传递函数,是节点 在第层的输
入向量,是节点在第层的输入向量。
[0012]作为本专利技术的一种优选方式,所述S2还包括:将得到的新图层的中心节点与邻居节点分离,表达式为:其中是节点在第层的输出向量,同时也是第层的输入向量,表示激活函数,表示节点的邻居节点集合,表示对节点的所有邻居节点进行求和运算,
ꢀꢀ
为第层中第 个特征的权值, 是节点在第层的输入向量, 为第层的权值矩阵, 是节点
ꢀꢀ
在第层的输入向量;将上述表达式转化为矩阵形式,表达式为:其中 为第层中第个特征的权值, 表示第个特征构成的0
‑
1邻接矩阵, 表示单位矩阵, 表示第个特征构成的0
‑
1邻接矩阵, 表示第层所有特征的矩阵形式,通过邻接矩阵存储空间邻接节点的信息,即预案和目标攻击手段的特征信息;从而得到新图层的递推公式:其中, 为第层的输出矩阵, 表示激活函数, 表示第层所有特征的矩阵形式, 为第层的输入矩阵, 为第 层的权值矩阵;经过上述步骤得出预案特征向量的嵌入表示,以及目标攻击手段的特征向量的嵌入表示 ;其中:,表示知识图谱中所有待选的预案特征向量的嵌入表示集合。
[0013]作为本专利技术的一种优选方式,所述S3包括:使用余弦相似度计算与的相似度,余弦相似度通过预案的特征向量与攻击手段特征向量之间的夹角余弦值来度量差异,表达式为:其中表示第
ꢀꢀ
个预案特征向量的嵌入表示与目标攻击手段特征向量嵌入表示之间的余弦相似度; 是余弦函数, 表示两向量之间的夹角, 表示第个待选的预案特征向量的嵌入表示, 表示目标攻击手段特征向量的嵌入表示。
[0014]作为本专利技术的一种优选方式,所述S4包括:通过归一化指数函数对得出的余弦相
似度进行处理,得到预案与目标攻击手段的匹配度得分,表达式为: 表示第个待选的预案与目标攻击手段的匹配度得分,为归一化指数函数,表示第
ꢀꢀ
个预案特征向量的嵌入表示与目标攻击手段特征向量嵌入表示之间的余弦相似度, 代表自然常数。
[0015]作为本专利技术的一种优选方式,所述S5包括:将预案按照 值从大到小排列,得出预案排序列表,其中排名第一的预案即为最佳的网络安全应急响应预案。
[0016]区别于现有本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,包括以下步骤:S1:对于目标攻击手段的特征属性值,制定预案的限制类约束规则进行初次筛选,排除不适用于目标攻击手段的预案;S2:将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至加权图卷积神经网络中,获取预案特征向量的嵌入表示和目标攻击手段特征向量的嵌入表示;S3:通过余弦相似度算法计算S2中嵌入表示之间的相似度;S4:通过归一化指数函数对相似度进行处理,得到预案与目标攻击手段匹配度得分;S5:在S4中的匹配度得分进行降序排列,排序列表即为预案匹配结果列表。2.根据权利要求1所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,所述S1中的特征属性值包括:目标攻击手段的应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号。3.根据权利要求1所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,所述S1包括:对于目标攻击手段提取其应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号,这三个特征的离散属性值,通过图数据库查询语句制定预案的限制类约束规则进行初次筛选。4.根据权利要求3所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,所述S2包括:通过加权图卷积神经网络提取经过初次筛选后的预案的特征向量,考虑不同特征对于预案匹配的影响,对于预案和目标攻击手段的每个特征加以不同的权值并且求和,每个特征的权值由相邻节点之间的相互作用决定,每个特征的权值定义为,每个特征由加权图卷积神经网络自动学习。5.根据权利要求4所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,所述S2还包括:按照知识谱图中的节点关系对周围相邻节点进行聚合,定义信息传递函数;其中是信息传递函数,用于在加权图卷积神经网络中传递信息,是节点
ꢀꢀ
在第层的输入向量,为第层的权值矩阵,是节点在第层的输入向量;选择线性整流函数作为加权图卷积神经网络的激活函数,该激活函数用于每个节点的特征,线性整流函数的表达式为:其中为加权图卷积神经网络的输出,用于比较与的大小并且输出两者中最大值。6.根据权利要求5所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,所述S2还包括:对于信息传递函数的计算结果进行加权,得到新的节点嵌入表
示,表达式为:其中是节点在第层的输出向量,同时也是第层的输入向量,表示激活函数,表示节点的邻居节点集合,表示对节点的所有邻居节点进行求和...
【专利技术属性】
技术研发人员:孙捷,车洵,梁小川,胡牧,金奎,曹亚,孙翰墨,刘志顺,
申请(专利权)人:南京众智维信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。