本发明专利技术公开了一种基于知识图谱的网络攻击预测方法及装置,属于网络安全领域,包括步骤:S101,获取数据;S102,对获取的数据进行预处理;S103,构建面向网络攻击的网络安全本体;S104,按照定义好的知识表达模型抽取数据;S105,对抽取的各类数据进行融合修正,构建网络安全知识图谱;S106,利用构建的网络安全知识图谱对攻击事件进行预测。本发明专利技术提高了攻击行为的预测准确率。行为的预测准确率。行为的预测准确率。
【技术实现步骤摘要】
一种基于知识图谱的网络攻击预测方法及装置
[0001]本专利技术涉及网络安全领域,更为具体的,涉及一种基于知识图谱的网络攻击预测方法及装置。
技术介绍
[0002]目前网络已经从各个角落渗透到人们的生活中,各种攻击策略也在不断的涌现和翻新。网络恶意入侵攻击已经从初期的单一简单操作(破解口令、破坏文件、篡改网页等)向复杂的多种手段(漏洞攻击、病毒传播、域名劫持、拒绝服务、APT攻击等)发展。通过单步的攻击行为就能对攻击目标构成威胁的可能性很小,大多数攻击者都通过一系列的步骤和组合协调攻击来实现有具体目标的行动计划,这使得网络面临的安全问题日益严重,网络安全呈现出易攻难守的局面。现阶段,网络攻击预测是实现网络安全主动防御的关键环节。研究如何利用海量的网络安全数据发现黑客入侵的行为和规律,预测网络系统未来可能遭受到的多步攻击行为、黑客入侵的最终目标以及可能遭受威胁的设施和设备,才能采取有效的针对性措施,加以防御和阻止。
[0003]目前,对于网络攻击预测的方法很多,根据预测方法的模式分类,目前主流的预测方法分为基于神经网络的预测方法、基于博弈论的预测方法、基于攻击图的预测方法、基于数据挖掘的预测方法和其他方法等。
[0004]基于神经网络的预测方法以人工神经网络算法作为基础,在对网络攻击事件序列的非线性特征进行学习时具有绝对的优势,并且具有良好的拟合性、对目标样本的自学习和自记忆等特性,可以获取到智能攻击事件中复杂非线性数据的特征模式,代表性的工作有Tiresias、BRNN
‑
LSTM、ALEAP等。基于神经网络的预测方法基于大规模样本训练,对网络攻击事件之间的逻辑关系、规律的挖掘准确率较高,但对数据样本质量依赖性较强,训练耗时久,代价较高,且容易陷入局部最小点,易出现过度拟合而使得泛化能力较差。
[0005]基于博弈论的预测方法通常针对具有攻防博弈的对抗环境,根据攻击者和防御者掌握对手信息的完整性,而建立不同的博弈游戏模型,代表工作有NashSVM算法、双人零和静态博弈、随机预测博弈、基于动态贝叶斯博弈的预测模型等。基于博弈论的方法考虑收益型战略推理,可以更深刻地理解攻击者的意图,包括攻击目标、攻击来源、攻击行为之间的联系等,并描述行为之间的逻辑关系,以此和攻击者进行博弈和对抗,做出更具针对性的决策。
[0006]基于攻击图的预测方法以图网络结构构建模型,例如有向攻击图、马尔可夫链、贝叶斯网络图等,代表性的工作有僵尸网络依赖关系图、不确定性感知攻击图以及结合了攻击图和博弈论的双层攻防模型等。此类算法通常以身份作为节点,攻击手段作为图网络的边,表示“实体”之间的不同联系,在小规模的数据场景下表现较好,但需要一定的先验知识作为基础。
[0007]与前面3种预测方法相比,数据挖掘对数据深层的隐藏特征和内部模式具有较强的表征能力,但通常作为其过程中的一种技术手段,代表性的工作有情感分析方法、相似性
序列比对以及构建推荐系统。基于数据挖掘的预测方法通过对海量攻击警报、检测结果等先验知识进行统计分析、规则关联及分类归纳等,挖掘出攻击信息之间的规律,对未来攻击进行分类和预测;或结合攻击图、博弈论等算法建模预测,对钓鱼网站、社交网络攻击的预测具有良好的表现。
[0008]现有的网络攻击预测方法存在以下问题:(1)针对一些复合攻击,多次攻击行为之间可能无法具备直接的关联,或是行为特征的提取较为困难,例如已加密的路由器进出站流量、深度数据包等,针对这类攻击现有预测方法无法将同一攻击者发起的攻击事件关联起来,导致预测出现误差;(2)一般数据深层的隐藏特征和内部模式更能代表攻击行为之间的逻辑关联以及攻击者复杂的攻击意图,现有的方法无法对一些隐藏特征和隐含关系进行推理,导致预测正确率较低;(3)针对入侵检测系统的告警信息存在误报和漏报,作为网络攻击预测的一个重要数据来源,错误的告警信息会导致攻击路径预测出现错误,现有的攻击预测方法容错能力低,在实际应用中预测准确率很低。
技术实现思路
[0009]本专利技术的目的在于克服现有技术的不足,提供一种基于知识图谱的网络攻击预测方法及装置,提高了攻击行为的预测准确率等。
[0010]本专利技术的目的是通过以下方案实现的:一种基于知识图谱的网络攻击预测方法,包括以下步骤:S101,获取数据;S102,对获取的数据进行预处理;S103,构建面向网络攻击的网络安全本体;S104,按照定义好的知识表达模型抽取数据;S105,对抽取的各类数据进行融合修正,构建网络安全知识图谱;S106,利用构建的网络安全知识图谱对攻击事件进行预测。
[0011]进一步地,在步骤S101中,获取的数据包括网络资产探测数据、漏洞信息数据、威胁情报数据和安防设备日志数据。
[0012]进一步地,在步骤S102中,所述预处理,包括数据归一化处理、数据去重与归并处理、数据分类处理和数据时空配准处理。
[0013]进一步地,在步骤S103中,包括子步骤:定义知识表达模型,采用三元组进行知识表示。
[0014]进一步地,在步骤S104中,按照定义好的知识表达模型抽取各类数据三元组。
[0015]进一步地,在步骤S105中,所述修正包括对安全事件的聚合归并、事件可信度修正、互斥事件修正、误报事件去除和漏报事件补全;所述网络安全知识图谱包括攻击模式图谱、威胁情报图谱和网络资产图谱;具体包括子步骤:1)将相同设备的数据进行归并;2)对一致的事件数据进行归并;3)基于威胁情报数据对事件进行标签化,分析可信度,将互斥事件进行修正,剔除误报事件;4)利用专家知识,针对已知攻击建立攻击模式库;根据攻击模式库,对漏报事件进
行补全;通过攻击模式库中对攻击链的描述,在关联到的多步攻击中,如果发现少了其中一个攻击步骤,则判断少了的这个攻击步骤是否是所述多步攻击中此步骤的下一个攻击步骤的必要步骤,如是,则据此推断安防设备对攻击事件进行了漏报,对该多步攻击事件进行补全;如否,则直接进入步骤5);5)对修正后的数据进行图谱构建,形成攻击模式图谱、威胁情报图谱、网络资产图谱;利用基础数据库对图谱进行访问存储。
[0016]进一步地,所述基础数据库为Neo4J数据库。
[0017]进一步地,在步骤S106中,包括如下子步骤:1)针对网络安全知识图谱中的结构化知识表示为无向图G=(V,E),其中表示图谱中实体节点的集合,E表示实体间各种关系边的集合;网络安全知识图谱中的每个三元组被表示为,其中和分别表示被链接的头实体节点和尾实体节点,表示这两个实体节点间的关系;将网络安全知识图谱的异构网络嵌入到低维向量空间中,形成低维向量;2)在向量化的基础上,先加入约束规则条件,再将约束条件转换为基础数据库查询语句,获得候选子图,再对候选子图进行相似度计算,利用相似度计算算法来度量安防设备检测到的攻击事件序列和构建的知识图谱中攻击模式图谱的相似度,挖掘攻击事件序列的隐藏关系和路径,并对攻击路径和目标进行预测;所述约束规则条件包括攻击事件序列发生需要利用的漏洞、攻击目标的资本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于知识图谱的网络攻击预测方法,其特征在于,包括以下步骤:S101,获取数据;S102,对获取的数据进行预处理;S103,构建面向网络攻击的网络安全本体;S104,按照定义好的知识表达模型抽取数据;S105,对抽取的各类数据进行融合修正,构建网络安全知识图谱;S106,利用构建的网络安全知识图谱对攻击事件进行预测。2.根据权利要求1所述的基于知识图谱的网络攻击预测方法,其特征在于,在步骤S101中,获取的数据包括网络资产探测数据、漏洞信息数据、威胁情报数据和安防设备日志数据。3.根据权利要求1所述的基于知识图谱的网络攻击预测方法,其特征在于,在步骤S102中,所述预处理包括数据归一化处理、数据去重与归并处理、数据分类处理和数据时空配准处理。4.根据权利要求1所述的基于知识图谱的网络攻击预测方法,其特征在于,在步骤S103中,包括子步骤:定义知识表达模型,采用三元组进行知识表示。5.根据权利要求4所述的基于知识图谱的网络攻击预测方法,其特征在于,在步骤S104中,按照定义好的知识表达模型抽取各类数据三元组。6.根据权利要求1所述的基于知识图谱的网络攻击预测方法,其特征在于,在步骤S105中,所述修正包括对安全事件的聚合归并、事件可信度修正、互斥事件修正、误报事件去除和漏报事件补全;所述网络安全知识图谱包括攻击模式图谱、威胁情报图谱和网络资产图谱,具体包括子步骤:1)将相同设备的数据进行归并;2)对一致的事件数据进行归并;3)基于威胁情报数据对事件进行标签化,分析可信度,将互斥事件进行修正,剔除误报事件;4)利用专家知识,针对已知攻击建立攻击模式库;根据攻击模式库,对漏报事件进行补全;通过攻击模式库中对攻击链的描述,在关联到的多步攻击中,如果发现少了其中一个攻击步骤,则判断少了的这个攻击步骤是否是所述多步攻击中此步骤的下一个攻击步骤的必要步骤,如是,则据此推断安防设备对攻击事件进行了漏报,对该多步攻击事件进行补全;如否,则直接进入步骤5);5)对修正后的数据进行图谱构建,形成攻击模式图谱、威胁情报图谱、网络资产图谱;利用基础数据库对图谱进行...
【专利技术属性】
技术研发人员:饶志宏,刘方,徐锐,聂大成,陈剑锋,许卡,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。