一种基于知识图谱的漏洞关联图生成方法及存储介质技术

本发明专利技术的一种基于知识图谱的漏洞关联图生成方法及存储介质，包括获取原始漏洞信息和实际网络数据，并进行数据预处理；并根据预先设计的漏洞知识图谱本体模型，构建漏洞知识图谱；根据预设的漏洞关联图生成算法，生成漏洞关联图，用于后续漏洞关联评估、漏洞修复、漏洞管理。本发明专利技术采用知识图谱组织、存储数据，利用知识图谱图形化存储知识的能力，可以直观的显示出漏洞之间的关联关系，解决漏洞库可视化程度差、可读性差的问题。利用知识图谱的实体和关系可以实现利用弱点和攻击以及已有的攻击之间的关系、攻击和弱点的关系、弱点和漏洞的关系，将数据组织起来，获得理想状态下漏洞的关联关系，实现对漏洞相关数据的高效组织和推理。理。理。

【技术实现步骤摘要】
一种基于知识图谱的漏洞关联图生成方法及存储介质


[0001]本专利技术涉及网络安全
，具体涉及一种基于知识图谱的漏洞关联图生成方法及存储介质。

技术介绍

[0002]如何更好地管理漏洞、针对漏洞进行修复的研究逐渐成为安全领域的研究重点。而如何评估不同漏洞的危害性大小，从而帮助企业解决漏洞修复的优先级问题，将有限的资源投入到修复和解决更容易被攻击并且被攻击后产生的后果和损失更为严重的高危害性漏洞，是研究修复工作的痛点问题。
[0003]美国通用漏洞评估体系(CVSS)是目前行业内通用的漏洞评估体系，但是该评估体系仅仅从技术层面评估单个漏洞的危害性，没有考虑漏之间存在关联关系。
[0004]在评估漏洞的危害性时有必要研究漏洞的关联评估。随着网络防御能力的提升，仅仅依靠单步攻击即可完成入侵目的几乎不可能实现，多步攻击已经成为网络攻击主要手段。多步攻击往往是以一系列典型的单步攻击手段组合而成，在攻击过程中利用不同漏洞之间的关联关系，发起攻击。
[0005]研究漏洞的关联评估前，需要获得漏洞之间的关联关系(即多步攻击中漏洞的利用顺序关系)。漏洞关联图可以建立一个比较完整的漏洞攻击模型，能够反映系统中各个漏洞节点在攻击路径上的关联关系。
[0006]目前主流的漏洞关联图生成方法是先利用传统攻击图生成算法生成攻击图，再根据漏洞关联规则将攻击图简化为漏洞关联图。常用的漏洞关联规则是权限提升规则，即攻击者在利用漏洞前后所拥有的受害主机上的权限的提升。
[0007]该过程生成的漏洞关联图的质量不仅取决于攻击图生成算法的质量，还与定义的漏洞关联规则有关，引入了更多误差。而且漏洞之间的关联规则是人为定义的，漏洞之间存在的关联关系可解释性较差；在攻击图简化为漏洞关联图过程中还存在资源浪费问题。
[0008]传统的漏洞关联评估数据存储在漏洞库中，漏洞和漏洞属性以及漏洞之间的关联关系以文字形式表现，信息可视化程度差、可读性差，漏洞之间潜在的相关性难以直观表达，难以判断漏洞关联图生成的准确性，导致漏洞评估过程可解释性差。
[0009]如图1所示美国国家漏洞库(NVD)将漏洞和弱点对应起来，如图2所示通用攻击模式和枚举(CAPEC)将攻击模式和弱点关联起来，可以利用通用攻击模式和弱点将漏洞关联起来。首先利用CAPEC数据集的Relationships将攻击关联起来，获得多步攻击中的攻击顺序；利用CAPEC数据集的Related Weakness将攻击和弱点关联起来，获得多步攻击中利用的弱点顺序；再利用NVD数据集中弱点和漏洞的关系，将漏洞和弱点关联起来，获得多步攻击中漏洞的利用顺序，即可得到理想状态下的漏洞关联关系。

技术实现思路

[0010]本专利技术提出的一种基于知识图谱的漏洞关联图生成方法，可解决上述技术问题。
[0011]为实现上述目的，本专利技术采用了以下技术方案：
[0012]一种基于知识图谱的漏洞关联图生成方法，包括以下步骤，
[0013]S1、获取原始漏洞信息，获取待评估的网络的实际网络数据，提取评估方案所需数据进行数据预处理；
[0014]S2、基于步骤S1得到的数据，并根据预先设计的漏洞知识图谱本体模型，构建漏洞知识图谱；
[0015]S3、基于步骤S2构建好的漏洞知识图谱，根据预设的漏洞关联图生成算法，生成漏洞关联图，所述漏洞关联图用于后续漏洞关联评估、漏洞修复、漏洞管理。
[0016]进一步的，步骤S1中所述原始漏洞信息包括json格式的美国国家漏洞库NVD 数据集、csv格式的攻击模式和枚举CAPEC数据集、xml格式的中国国家信息安全共享平台CNVD数据集中的原始数据；
[0017]所述实际网络数据包括网络拓扑结构、网络节点漏洞扫描信息、网络节点资产重要性信息。
[0018]进一步的，所述数据预处理包括对采集到的json格式的美国国家漏洞库NVD 数据集、csv格式的攻击模式和枚举CAPEC数据集、xml格式的中国国家信息安全共享平台CNVD数据集中的原始数据进行预处理，提取出评估需要的数据包括漏洞CVE编号、弱点CWE编号、攻击模式编号、Relationships、Related Weakness 等，并生成对应的csv文件，方便后续利用构建算法将数据导入图数据库；
[0019]数据预处理还需要对采集到的实际网络数据进行预处理，获得网络节点关系矩阵、网络节点漏洞关系、网络节点资产重要性信息，生成网络节点和对应漏洞的csv文件，方便后续利用构建算法将数据导入图数据库。
[0020]进一步的，所述构建漏洞知识图谱包括：
[0021]第一步：设计的漏洞知识图谱本体模型。设计漏洞知识图谱本体模型，其中本体包括资产、漏洞、弱点、攻击四大类，关系包括漏洞指向资产affect、弱点指向漏洞relate、攻击指向弱点utilize、多步攻击中攻击上一步指向攻击下一步ChildOf、攻击指向同等级攻击PeerOf五大类；其中资产即漏洞所在节点的属性包括资产的价格price、资产在网络中扮演的角色即客户端/服务器，这两个属性反映了资产的重要性；
[0022]第二步：选择图数据库；
[0023]第三步：设计漏洞知识图谱构建算法，根据漏洞知识图谱本体模型组织数据预处理模块得到的漏洞数据集数据、网络节点集合、网络节点漏洞关系矩阵、网络节点资产重要度属性；构建漏洞知识图谱模块的知识图谱构建算法调用Python 提供的Py2neo库操作Neo4j，构建并存储漏洞知识图谱。
[0024]进一步的，漏洞关联图生成包括：
[0025]漏洞关联图生成是基于漏洞知识图谱以及实际网络节点邻接矩阵、网络节点漏洞关系，利用设计的漏洞关联图生成算法生成漏洞关联图；
[0026]漏洞关联图生成算法是根据实际网络数据获得节点间的关系、节点和漏洞的关系，遍历节点及节点上的漏洞，在节点关系数据中查询两漏洞所在节点是否关联，在漏洞知识图谱漏中查询两漏洞之间是否存在攻击上下步关系，从而生成漏洞关联图。
[0027]进一步的，漏洞关联图生成包括：
[0028]第一步：获取数据预处理模块得到的节点集合、漏洞集合、网络节点邻接矩阵、网络节点漏洞关系矩阵；具体为基于实际网络拓扑结构，获取网络节点集合 Nodes：[host1 host2 host3 host4 host5]、该网络对应的网络节点邻接矩阵Nodes_Adjacent：Nodes_Adjacent[i][j]值为1代表网络节点集合Nodes中第i+1个节点和第j+1个节点邻接，Nodes_Adjacent[i][j]值为 0代表网络节点集合Nodes中第i+1个节点和第j+1个节点不邻接；当节点漏洞扫描信息显示host1存在漏洞vul1，节点host2存在漏洞vul1、vul2，节点host3存在漏洞vul3，节点host4存在漏洞vul4，节点host5存在漏洞vul4，则可获得漏洞集合Vuls：[vul1 vul2 vul3 vul4]、网络节点本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于知识图谱的漏洞关联图生成方法，其特征在于，包括以下步骤，S1、获取原始漏洞信息，获取待评估的网络的实际网络数据，提取评估方案所需数据进行数据预处理；S2、基于步骤S1得到的数据，并根据预先设计的漏洞知识图谱本体模型，构建漏洞知识图谱；S3、基于步骤S2构建好的漏洞知识图谱，根据预设的漏洞关联图生成算法，生成漏洞关联图，所述漏洞关联图用于后续漏洞关联评估、漏洞修复、漏洞管理。2.根据权利要求1所述的基于知识图谱的漏洞关联图生成方法，其特征在于：步骤S1中所述原始漏洞信息包括json格式的美国国家漏洞库NVD数据集、csv格式的攻击模式和枚举CAPEC数据集、xml格式的中国国家信息安全共享平台CNVD数据集中的原始数据；所述实际网络数据包括网络拓扑结构、网络节点漏洞扫描信息、网络节点资产重要性信息。3.根据权利要求2所述的基于知识图谱的漏洞关联图生成方法，其特征在于：所述数据预处理包括对采集到的json格式的美国国家漏洞库NVD数据集、csv格式的攻击模式和枚举CAPEC数据集、xml格式的中国国家信息安全共享平台CNVD数据集中的原始数据进行预处理，提取出评估需要的数据包括漏洞CVE编号、弱点CWE编号、攻击模式编号、Relationships、Related Weakness等，并生成对应的csv文件，方便后续利用构建算法将数据导入图数据库；数据预处理还需要对采集到的实际网络数据进行预处理，获得网络节点关系矩阵、网络节点漏洞关系、网络节点资产重要性信息，生成网络节点和对应漏洞的csv文件，方便后续利用构建算法将数据导入图数据库。4.根据权利要求1所述的基于知识图谱的漏洞关联图生成方法，其特征在于：所述构建漏洞知识图谱包括：第一步：设计的漏洞知识图谱本体模型。设计漏洞知识图谱本体模型，其中本体包括资产、漏洞、弱点、攻击四大类，关系包括漏洞指向资产affect、弱点指向漏洞relate、攻击指向弱点utilize、多步攻击中攻击上一步指向攻击下一步ChildOf、攻击指向同等级攻击PeerOf五大类；其中资产即漏洞所在节点的属性包括资产的价格price、资产在网络中扮演的角色即客户端/服务器，这两个属性反映了资产的重要性；第二步：选择图数据库；第三步：设计漏洞知识图谱构建算法，根据漏洞知识图谱本体模型组织数据预处理模块得到的漏洞数据集数据、网络节点集合、网络节点漏洞关系矩阵、网络节点资产重要度属性；构建漏洞知识图谱模块的知识图谱构建算法调用Python提供的Py2neo库操作Neo4j，构建并存储漏洞知识图谱。5.根据权利要求1所述的基于知识图谱的漏洞关联图生成方法，其特征在于：漏洞关联图生成包括：漏洞关联图生成是基于漏洞知识图谱以及实际网络节点邻接矩阵、网络节点漏洞关系，利用设计的漏洞关联图生成算法生成漏洞关联图；漏洞关联图生成算法是根据实际网络数据获得节点间的关系、节点和漏洞的关系，遍
历节点及节点上的漏洞，在节点关系数据中查询两漏洞所在节点是否关联，在漏洞知识图谱漏中查询两漏洞之间是否存在攻击上下步关系，从而生成漏洞关联图。6.根据权利要求5所述的基于知识图谱的漏...

【专利技术属性】
技术研发人员：谭小彬，程进燕，彭闯，姜晓枫，施钱宝，
申请(专利权)人：合肥综合性国家科学中心人工智能研究院安徽省人工智能实验室，
类型：发明
国别省市：