【技术实现步骤摘要】
基于网络安全知识图谱的安全事件关联方法、系统、介质
本专利技术涉及网络安全
,具体涉及基于网络安全知识图谱的安全事件关联方法、系统、介质。
技术介绍
知识图谱最显著的优势是可以表达实体之间的关系,在网络安全领域,也可以利用知识图谱来识别网络攻击及入侵行为。网络安全知识图谱包括已知漏洞信息、攻击信息、资产信息以及这些信息之间的关系等。这些已知的安全知识,可以从各个漏洞网站、攻击分析网站等获取信息,并且随着时间的推移逐步补充新的漏洞和攻击信息。通常,知识图谱构建的过程中,不可能直接获取到所有实体之间的关系,需要通过知识推理挖掘出实体之间隐藏的关系,丰富网络安全知识图谱。网络攻击通常包含一个或多个攻击步骤,各步骤之间有一定的关系,这些关系以安全事件的形式作为知识存储在网络安全知识图谱中,随着互联网技术的不断发展,网络攻击的方式越来越隐蔽和复杂,传统的检测方法已经无法准确识别,从攻击步骤的角度来说,攻击步骤,即网络攻击产生的安全事件之间不是孤立的,他们之间存在着时序关系、因果关系或者并列关系,因此,针对安全事件的关联分析技术应运而生。现有技术中,存在着基于属性特征、基于逻辑推理、基于概率统计和基于机器学习等不同技术方法,在安全事件关联分析中各有利弊,基于有限状态机的关联分析方法的优点是逻辑性强,安全事件之间的触发非常明确,但是,强逻辑性会导致通用性差,不能支持动态变化;基于规则的关联分析方法的优点是容易实现且高效,能够匹配前提条件和后置条件来关联安全事件,缺点是灵活性差,申请人旨在提供一 ...
【技术保护点】
1.基于网络安全知识图谱的安全事件关联方法,其特征在于,包括以下步骤:/n步骤S1:构建网络安全本体模型,依据所述网络安全本体模型创建网络安全知识图谱;/n步骤S2:基于规则推理的方法扩充网络安全知识图谱;/n步骤S3:将采集数据生成安全事件;/n步骤S4:基于有限状态机和网络安全知识图谱对安全事件进行攻击研判,关联属于同一复合攻击的攻击步骤所对应的安全事件。/n
【技术特征摘要】
1.基于网络安全知识图谱的安全事件关联方法,其特征在于,包括以下步骤:
步骤S1:构建网络安全本体模型,依据所述网络安全本体模型创建网络安全知识图谱;
步骤S2:基于规则推理的方法扩充网络安全知识图谱;
步骤S3:将采集数据生成安全事件;
步骤S4:基于有限状态机和网络安全知识图谱对安全事件进行攻击研判,关联属于同一复合攻击的攻击步骤所对应的安全事件。
2.根据权利要求1所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,步骤S1中构建网络安全本体模型包括以下内容:
构建网络安全本体模型的一级本体:攻击、资产、攻击检测和杀死链;
在资产下构建二级本体:漏洞投递和漏洞利用;
在攻击模式下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
在攻击检测下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
在杀死链下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
为本体添加实例及实例间的关系;
其中,实例间的关系包括:a发生在b之前、a导致了b的发生、a和b的功能相同、a是b发生的原因、a和b相关联、a和b是顺序关系、a是b的实例,其中a和b分别代表实体。
3.根据权利要求2所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,步骤S2中基于规则推理的方法扩充网络安全知识图谱具体包括以下步骤:
步骤S201:设定推理规则;
步骤S202:基于推理规则,通过jena推理机推理出实例间隐含的关系。
4.根据权利要求3所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,在步骤S201中设定的推理规则包括:
规则一:如果p和m功能相同,m是n的一个实例,则推断p是n的一个实例;
规则二:如果p是m的一个实例,m和n相关联,则推断p和n相关联;
规则三:如果p和m相关联,h和l相关联,m在l之前发生,则推断p在h之前发生;
规则四:如果p和m相关联,h和l相关联,m是l发生的原因,则推断p是h发生的原因;
规则五:如果p和m相关联,h和l相关联,m和l是顺序发生的,则推断p和h是顺序发生的;
其中,h、l、m、n、p分别代表实体。
5.根据权利要求4所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,步骤S202中通过jena推理机推理出实例间隐含的关系具体包括以下步骤:
步骤S202-1:解析网络安全本体模型,读取规则一,并将推理结果添加到本体模型中;
步骤S202-2:解析网络安全本体模型,读取规则二,将推理结果添加到本体模型中;
步骤S202-3:执行完规则一和规则二后,选择执行规则三至规则五中的任意一条或多条,或依次执行规则三至规则五。
6.根据权利要求1所述的基于网络安全知识...
【专利技术属性】
技术研发人员:亓玉璐,贾焰,周斌,李爱平,江荣,涂宏魁,喻承,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。