【技术实现步骤摘要】
本专利技术涉及网络攻击预警领域,尤其涉及基于事理知识图谱的网络攻击预警及溯源方法、系统及装置。
技术介绍
1、网络攻击采用多样复杂的攻击技术,通过持续的攻防对抗,逐步达成攻击目的。如流量检测、代码检测、日志检测等传统网络入侵检测技术只能检测“单点”的网络攻击行为,无法感知攻击过程的上下文关联,难以有效检测网络攻击。由此,为防范无迹可寻的网络攻击,组织需要投入巨量的资深专家资源,实施持续性的威胁识别研判,以保障对攻击行为的快速响应。
2、针对组织网络安全专家资源不足、专家经验受限导致的网络攻击防范、溯源困难的问题,本专利技术应用事理知识图谱技术提供一种网络攻击预警及溯源的方案。
技术实现思路
1、本专利技术目的在于针对现有技术的不足,提出一种基于事理知识图谱的网络攻击预警及溯源方法、系统及装置,结合事理图谱与知识图谱技术,通过事理图谱层与知识图谱层建设,将网络攻击链路与组织信息资产架构转化为由动态事理逻辑与静态客观知识相结合的推理图谱,实现根据少量暴露的攻击痕迹对整体攻击行为的推理和预测,以支持网络攻击的快速、有效响应。
2、本专利技术的目的是通过以下技术方案来实现的:第一方面,本专利技术提供了一种基于事理知识图谱的网络攻击预警及溯源方法,该方法包括以下步骤:
3、(1)获取组织或企业的客观it资产及相关信息的实体及相互关系,构建知识图谱层;
4、(2)设计事件及因果关系规则模板,从攻击行为链路中抽取因果关系的攻击子链,将攻击子链中同类
5、(3)将事理图谱层中攻击子链中的泛化节点与知识图谱层实体进行映射,完成网络攻击事理知识图谱建立;
6、(4)基于网络攻击事理知识图谱推理攻击者所采取的攻击手段,或预测其下一步将采取的攻击手段,从而实现对攻击行为的溯源与预警。
7、进一步地,步骤(1)中,实体包括互联网资产、内网资产、应用系统、网络域、漏洞、配置风险和高危端口。
8、进一步地,步骤(2)中,攻击子链为{事件源,事件目标,事件操作}三元组形式,规则模板包括原因事件、结果事件和事件因果关系标识;其中原因事件映射为攻击子链中的“事件操作”,结果事件映射为子链中的“事件目标”,以攻击行为链路中首次出现的攻击入口做为链路起始攻击子链的“事件源”,以攻击子链的“事件目标”做为其下一跳攻击子链的“事件源”。
9、进一步地,步骤(2)中,针对攻击子链中的事件源节点和事件目标节点,遍历知识图谱层应用系统实体名称,基于相似度将节点聚合为一类形成泛化节点,泛化节点名称为对应满足相似度阈值的应用系统实体名称;针对攻击子链中的事件操作节点,结合威胁情报关联分析基于相似度将其与att&ck攻击战术进行匹配,并映射至杀伤链模型攻击阶段,对事件操作节点进行聚类,计算攻击手段与其他所有同类攻击手段间相似度的均值,取最大值所对应的攻击手段名称对聚类后事件操作的泛化节点进行命名。
10、进一步地,步骤(3)中,网络攻击将事理图谱层事件源、事件目标的泛化节点与对应的知识图谱层应用系统实体进行映射;针对事理图谱层事件操作的泛化节点,以事理图谱层攻击手段泛化节点为基准,筛选知识图谱层与其名称满足相似度阈值的弱点实体进行映射。
11、进一步地,步骤(4)中,推理具体过程如下:
12、(4.1)提取安全设备监测所得的告警日志序列,提取网络攻击事理知识图谱中事理图谱层的攻击子链;依据滑动窗口获取告警日志序列和攻击子链的特征子序列,并根据信息增益值筛选出符合要求的特征子序列;计算告警日志序列和攻击子链的匹配度如下:
13、
14、其中,为匹配度,为告警日志序列的特征子序列在告警日志序列中出现的概率,为与告警日志序列的特征子序列相同的攻击子链的特征子序列在攻击子链中出现的概率,如不存在相同的特征子序列,则赋值;
15、(4.2)提取满足匹配度阈值的全部攻击子链,根据”事件操作”节点,映射其所属杀伤链模型攻击阶段;获取相关联的前一杀伤链模型攻击阶段的全部攻击子链以及后一杀伤链模型攻击阶段的全部攻击子链,重复操作分别得到前向溯源链路集和后向预警链路集;集合中各链路以其对应的匹配度作为链路初始匹配度;
16、(4.3)对于前向溯源链路集和后向预警链路集分别进行链路映射,后向预警链路集从末位攻击子链出发,前向溯源链路集从链路首位攻击子链出发,从知识图谱层获取和攻击子链三元组相关联的实体组,进行该攻击子链的匹配度修正:
17、
18、其中,n为满足条件的实体组数量,为修正后的匹配度,继续以上一跳攻击子链为起始,重复映射操作,直至获取不到相关联的实体组;完成全部链路映射后,根据链路匹配度进行排序,匹配度越高,表明该预警链路/溯源链路可信度越高。
19、第二方面,本专利技术还提供了一种基于事理知识图谱的网络攻击预警及溯源系统,该系统包括知识图谱层构建模块、事理图谱层构建模块、事理知识图谱建立模块和图谱推理模块;
20、所述知识图谱层构建模块用于获取组织或企业的客观it资产及相关信息的实体及相互关系,构建知识图谱层;
21、所述事理图谱层构建模块用于设计事件及因果关系规则模板,从攻击行为链路中抽取因果关系的攻击子链,将攻击子链中同类节点进行聚合形成新的泛化节点构建事理图谱层;
22、所述事理知识图谱建立模块用于将事理图谱层中攻击子链中的泛化节点与知识图谱层实体进行映射,完成网络攻击事理知识图谱建立;
23、所述图谱推理模块用于基于网络攻击事理知识图谱推理攻击者所采取的攻击手段,或预测其下一步将采取的攻击手段,从而实现对攻击行为的溯源与预警。
24、第三方面,本专利技术还提供了一种基于事理知识图谱的网络攻击预警及溯源装置,包括存储器和一个或多个处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现所述的一种基于事理知识图谱的网络攻击预警及溯源方法。
25、第四方面,本专利技术还提供了一种计算机可读存储介质,其上存储有程序,所述程序被处理器执行时,实现所述的一种基于事理知识图谱的网络攻击预警及溯源方法。
26、第五方面,本专利技术还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现所述的一种基于事理知识图谱的网络攻击预警及溯源方法。
27、本专利技术的有益效果:本专利技术针对组织及企业网络攻击无迹可寻、难以快速有效预警与追踪的问题,引入事理图谱与知识图谱两种技术,通过建立事理与知识双层推理图谱结构,将动态事理逻辑与静态客观知识相结合,设计了一种网络攻击预警及溯源方法、系统及装置。有助于将海量繁杂的网络攻击案例转化为可推理的信息网络,从而根据少量暴露的网络攻击痕迹对整体攻击行为的推理和预警,以支持网络攻击行为的快速、有效响应。
本文档来自技高网...【技术保护点】
1.一种基于事理知识图谱的网络攻击预警及溯源方法,其特征在于,该方法包括以下步骤:
2.根据权利要求1所述的一种基于事理知识图谱的网络攻击预警及溯源方法,其特征在于,步骤(1)中,实体包括互联网资产、内网资产、应用系统、网络域、漏洞、配置风险和高危端口。
3.根据权利要求1所述的一种基于事理知识图谱的网络攻击预警及溯源方法,其特征在于,步骤(2)中,攻击子链为{事件源,事件目标,事件操作}三元组形式,规则模板包括原因事件、结果事件和事件因果关系标识;其中原因事件映射为攻击子链中的“事件操作”,结果事件映射为子链中的“事件目标”,以攻击行为链路中首次出现的攻击入口做为链路起始攻击子链的“事件源”,以攻击子链的“事件目标”做为其下一跳攻击子链的“事件源”。
4.根据权利要求3所述的一种基于事理知识图谱的网络攻击预警及溯源方法,其特征在于,步骤(2)中,针对攻击子链中的事件源节点和事件目标节点,遍历知识图谱层应用系统实体名称,基于相似度将节点聚合为一类形成泛化节点,泛化节点名称为对应满足相似度阈值的应用系统实体名称;针对攻击子链中的事件操作节点,结合
5.根据权利要求4所述的一种基于事理知识图谱的网络攻击预警及溯源方法,其特征在于,步骤(3)中,网络攻击将事理图谱层事件源、事件目标的泛化节点与对应的知识图谱层应用系统实体进行映射;针对事理图谱层事件操作的泛化节点,以事理图谱层攻击手段泛化节点为基准,筛选知识图谱层与其名称满足相似度阈值的弱点实体进行映射。
6.根据权利要求4所述的一种基于事理知识图谱的网络攻击预警及溯源方法,其特征在于,步骤(4)中,推理具体过程如下:
7.一种实现权利要求1-6任一项所述方法的基于事理知识图谱的网络攻击预警及溯源系统,其特征在于,该系统包括知识图谱层构建模块、事理图谱层构建模块、事理知识图谱建立模块和图谱推理模块;
8.一种基于事理知识图谱的网络攻击预警及溯源装置,包括存储器和一个或多个处理器,所述存储器中存储有可执行代码,其特征在于,所述处理器执行所述可执行代码时,实现如权利要求1-6中任一项所述的一种基于事理知识图谱的网络攻击预警及溯源方法。
9.一种计算机可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时,实现如权利要求1-6中任一项所述的一种基于事理知识图谱的网络攻击预警及溯源方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1-6任一项所述的一种基于事理知识图谱的网络攻击预警及溯源方法。
...【技术特征摘要】
1.一种基于事理知识图谱的网络攻击预警及溯源方法,其特征在于,该方法包括以下步骤:
2.根据权利要求1所述的一种基于事理知识图谱的网络攻击预警及溯源方法,其特征在于,步骤(1)中,实体包括互联网资产、内网资产、应用系统、网络域、漏洞、配置风险和高危端口。
3.根据权利要求1所述的一种基于事理知识图谱的网络攻击预警及溯源方法,其特征在于,步骤(2)中,攻击子链为{事件源,事件目标,事件操作}三元组形式,规则模板包括原因事件、结果事件和事件因果关系标识;其中原因事件映射为攻击子链中的“事件操作”,结果事件映射为子链中的“事件目标”,以攻击行为链路中首次出现的攻击入口做为链路起始攻击子链的“事件源”,以攻击子链的“事件目标”做为其下一跳攻击子链的“事件源”。
4.根据权利要求3所述的一种基于事理知识图谱的网络攻击预警及溯源方法,其特征在于,步骤(2)中,针对攻击子链中的事件源节点和事件目标节点,遍历知识图谱层应用系统实体名称,基于相似度将节点聚合为一类形成泛化节点,泛化节点名称为对应满足相似度阈值的应用系统实体名称;针对攻击子链中的事件操作节点,结合威胁情报关联分析基于相似度将其与att&ck攻击战术进行匹配,并映射至杀伤链模型攻击阶段,对事件操作节点进行聚类,计算攻击手段与其他所有同类攻击手段间相似度的均值,取最大值所对应的攻击手段名称对聚类后事件操作的泛化节点进行命名。
...【专利技术属性】
技术研发人员:李丁炜,董佳艺,林叶明,孙钢,陈宇磊,虞轩昂,楼胤成,
申请(专利权)人:浙商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。