基于网络安全知识图谱的安全事件关联方法、系统、介质技术方案

本发明专利技术提供了基于网络安全知识图谱的安全事件关联方法、系统、介质，其可以提高安全事件生成的有效率，能够从海量的安全事件中关联属于同一复合攻击的攻击步骤所对应的安全事件，提高了攻击研判的准确率，其中方法包括以下步骤：步骤S1：构建网络安全本体模型，依据所述网络安全本体模型创建网络安全知识图谱；步骤S2：基于规则推理的方法扩充网络安全知识图谱；步骤S3：将采集数据生成安全事件；步骤S4：基于有限状态机和网络安全知识图谱对安全事件进行攻击研判，关联属于同一复合攻击的攻击步骤所对应的安全事件。

Security event correlation method, system and medium based on network security knowledge map

【技术实现步骤摘要】
基于网络安全知识图谱的安全事件关联方法、系统、介质
本专利技术涉及网络安全
，具体涉及基于网络安全知识图谱的安全事件关联方法、系统、介质。
技术介绍
知识图谱最显著的优势是可以表达实体之间的关系，在网络安全领域，也可以利用知识图谱来识别网络攻击及入侵行为。网络安全知识图谱包括已知漏洞信息、攻击信息、资产信息以及这些信息之间的关系等。这些已知的安全知识，可以从各个漏洞网站、攻击分析网站等获取信息，并且随着时间的推移逐步补充新的漏洞和攻击信息。通常，知识图谱构建的过程中，不可能直接获取到所有实体之间的关系，需要通过知识推理挖掘出实体之间隐藏的关系，丰富网络安全知识图谱。网络攻击通常包含一个或多个攻击步骤，各步骤之间有一定的关系，这些关系以安全事件的形式作为知识存储在网络安全知识图谱中，随着互联网技术的不断发展，网络攻击的方式越来越隐蔽和复杂，传统的检测方法已经无法准确识别，从攻击步骤的角度来说，攻击步骤，即网络攻击产生的安全事件之间不是孤立的，他们之间存在着时序关系、因果关系或者并列关系，因此，针对安全事件的关联分析技术应运而生。现有技术中，存在着基于属性特征、基于逻辑推理、基于概率统计和基于机器学习等不同技术方法，在安全事件关联分析中各有利弊，基于有限状态机的关联分析方法的优点是逻辑性强，安全事件之间的触发非常明确，但是，强逻辑性会导致通用性差，不能支持动态变化；基于规则的关联分析方法的优点是容易实现且高效，能够匹配前提条件和后置条件来关联安全事件，缺点是灵活性差，申请人旨在提供一种新的安全事件关联方法，综合基于有限状态机的关联分析方法和基于规则的关联分析方法的优点，在攻击方法多变性的情况下，可以提高攻击研判的准确率。
技术实现思路
针对上述问题，本专利技术提供了基于网络安全知识图谱的安全事件关联方法、系统、介质，其可以提高安全事件生成的有效率，能够从海量的安全事件中关联属于同一复合攻击的攻击步骤所对应的安全事件，提高了攻击研判的准确率。其技术方案是这样的：基于网络安全知识图谱的安全事件关联方法，其特征在于，包括以下步骤：步骤S1：构建网络安全本体模型，依据所述网络安全本体模型创建网络安全知识图谱；步骤S2：基于规则推理的方法扩充网络安全知识图谱；步骤S3：将采集数据生成安全事件；步骤S4：基于有限状态机对安全事件进行攻击研判，关联属于同一复合攻击的攻击步骤所对应的安全事件。进一步的，步骤S1中构建网络安全本体模型包括以下内容：构建网络安全本体模型的一级本体：攻击、资产、攻击检测和杀死链；在资产下构建二级本体：漏洞投递和漏洞利用；在攻击模式下构建二级本体：探测、投递、利用、命令和控制、攻击实施；在攻击检测下构建二级本体：探测、投递、利用、命令和控制、攻击实施；在杀死链下构建二级本体：探测、投递、利用、命令和控制、攻击实施；为本体添加实例及实例间的关系；其中，实例间的关系包括：a发生在b之前、a导致了b的发生、a和b的功能相同、a是b发生的原因、a和b相关联、a和b是顺序关系、a是b的实例，其中a和b分别代表实体。进一步的，步骤S2中基于规则推理的方法扩充网络安全知识图谱具体包括以下步骤：步骤S201：设定推理规则；步骤S202：基于推理规则，通过jena推理机推理出实例间隐含的关系。进一步的，在步骤S201中设定的推理规则包括：规则一：如果p和m功能相同，m是n的一个实例，则推断p是n的一个实例；规则二：如果p是m的一个实例，m和n相关联，则推断p和n相关联；规则三：如果p和m相关联，h和l相关联，m在l之前发生，则推断p在h之前发生；规则四：如果p和m相关联，h和l相关联，m是l发生的原因，则推断p是h发生的原因；规则五：如果p和m相关联，h和l相关联，m和l是顺序发生的，则推断p和h是顺序发生的；其中，h、l、m、n、p分别代表实体。进一步的，步骤S202中通过jena推理机推理出实例间隐含的关系具体包括以下步骤：步骤S202-1：解析网络安全本体模型，读取规则一，并将推理结果添加到本体模型中；步骤S202-2：解析网络安全本体模型，读取规则二，将推理结果添加到本体模型中；步骤S202-3：执行完规则一和规则二后，选择执行规则三至规则五中的任意一条或多条，或依次执行规则三至规则五。进一步的，在步骤S3中，对于采集的数据中的日志信息，通过特征匹配的方法，提取与网络安全相关的内容，从而获取安全事件，其中，日志信息包括系统日志、入侵检测设备日志、漏洞扫描结果、第三方安全厂商检测结果。进一步的，在步骤S3中，对于采集的数据中的流量数据，将流量数据经过snort规则过滤，产生告警信息，对告警信息进行分类，分别依据规则约束生成安全事件，规则约束具体包括：探测扫描：在设定的时间间隔内，首先分析告警的描述信息，根据描述信息确定具体的扫描探测，扫描探测包括网络层扫描探测、传输层扫描探测和应用层扫描探测，然后根据扫描探测的分类统计由不同源IP向相同目的IP尝试远程访问产生的告警次数，当统计的告警次数超过设定的阈值，则这些告警信息生成相应的安全事件；攻击突破：在设定的时间间隔内，首先分析告警的描述信息，首先根据描述信息确定具体的攻击突破，攻击突破包括流量劫持和网络服务修改，然后将告警信息依照时间关系和空间关系与网络安全知识图谱中的攻击突破信息进行匹配，统计匹配成功的个数，并计算匹配成功率，当匹配成功率超过设定的阈值，则这些告警信息生成相应的安全事件。进一步的，在步骤S4中具体包括以下步骤：设置有限状态机，设定有限状态机的所有状态和触发条件，有限状态机的所有状态的设置是依据网络安全知识图谱中的杀死链的各个步骤，对应杀死链中的二级本体：探测、投递、利用、命令和控制、攻击实施，有限状态机的触发条件包括网络安全知识图谱中设定的杀死链各步骤之间的关系和安全事件的时间及ip地址的约束；将安全事件去冗余、按时间先后排序，在设定的时间间隔内，遍历安全事件的IP，当源IP和目的IP相同时，考虑为同一个复合攻击的步骤，然后在设定的时间间隔内，分别将安全事件与有限状态机设置的初始状态进行匹配，若匹配不成功，则判定为单步攻击；若匹配成功，则依据设置的触发条件，继续匹配中间状态，若匹配成功，则继续匹配下一个中间状态直至终止状态，无论是否匹配到下一中间状态，均判定为复合攻击，且将匹配到的最后一个状态判定为安全事件对应的复合攻击当前结束的攻击步骤，若匹配不成功，则判定为单步攻击；根据匹配结果，关联属于同一复合攻击的攻击步骤所对应的安全事件。一种基于网络安全知识图谱的安全事件关联系统，其特征在于，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如上述的具有基于网络安全知识图谱的安全事件关联方法。一种计算机可读存储介质，本文档来自技高网...

【技术保护点】
1.基于网络安全知识图谱的安全事件关联方法，其特征在于，包括以下步骤：/n步骤S1：构建网络安全本体模型，依据所述网络安全本体模型创建网络安全知识图谱；/n步骤S2：基于规则推理的方法扩充网络安全知识图谱；/n步骤S3：将采集数据生成安全事件；/n步骤S4：基于有限状态机和网络安全知识图谱对安全事件进行攻击研判，关联属于同一复合攻击的攻击步骤所对应的安全事件。/n

【技术特征摘要】
1.基于网络安全知识图谱的安全事件关联方法，其特征在于，包括以下步骤：
步骤S1：构建网络安全本体模型，依据所述网络安全本体模型创建网络安全知识图谱；
步骤S2：基于规则推理的方法扩充网络安全知识图谱；
步骤S3：将采集数据生成安全事件；
步骤S4：基于有限状态机和网络安全知识图谱对安全事件进行攻击研判，关联属于同一复合攻击的攻击步骤所对应的安全事件。


2.根据权利要求1所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，步骤S1中构建网络安全本体模型包括以下内容：
构建网络安全本体模型的一级本体：攻击、资产、攻击检测和杀死链；
在资产下构建二级本体：漏洞投递和漏洞利用；
在攻击模式下构建二级本体：探测、投递、利用、命令和控制、攻击实施；
在攻击检测下构建二级本体：探测、投递、利用、命令和控制、攻击实施；
在杀死链下构建二级本体：探测、投递、利用、命令和控制、攻击实施；
为本体添加实例及实例间的关系；
其中，实例间的关系包括：a发生在b之前、a导致了b的发生、a和b的功能相同、a是b发生的原因、a和b相关联、a和b是顺序关系、a是b的实例，其中a和b分别代表实体。


3.根据权利要求2所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，步骤S2中基于规则推理的方法扩充网络安全知识图谱具体包括以下步骤：
步骤S201：设定推理规则；
步骤S202：基于推理规则，通过jena推理机推理出实例间隐含的关系。


4.根据权利要求3所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，在步骤S201中设定的推理规则包括：
规则一：如果p和m功能相同，m是n的一个实例，则推断p是n的一个实例；
规则二：如果p是m的一个实例，m和n相关联，则推断p和n相关联；
规则三：如果p和m相关联，h和l相关联，m在l之前发生，则推断p在h之前发生；
规则四：如果p和m相关联，h和l相关联，m是l发生的原因，则推断p是h发生的原因；
规则五：如果p和m相关联，h和l相关联，m和l是顺序发生的，则推断p和h是顺序发生的；
其中，h、l、m、n、p分别代表实体。


5.根据权利要求4所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，步骤S202中通过jena推理机推理出实例间隐含的关系具体包括以下步骤：
步骤S202-1：解析网络安全本体模型，读取规则一，并将推理结果添加到本体模型中；
步骤S202-2：解析网络安全本体模型，读取规则二，将推理结果添加到本体模型中；
步骤S202-3：执行完规则一和规则二后，选择执行规则三至规则五中的任意一条或多条，或依次执行规则三至规则五。


6.根据权利要求1所述的基于网络安全知识...

【专利技术属性】
技术研发人员：亓玉璐，贾焰，周斌，李爱平，江荣，涂宏魁，喻承，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：湖南;43