基于知识图谱的网络攻击安全风险评估系统及方法技术方案

本发明专利技术提供了一种基于知识图谱的网络攻击安全风险评估系统及方法，系统包括：网络空间安全知识图谱模块：将获取的入侵检测系统的告警信息输入知识图谱中，告警信息为入侵检测系统检测到网络攻击后生成的；推理引擎模块：根据预设规则和知识图谱，得到网络攻击对特定资产造成的攻击结果，并将攻击结果以及对应的推理路径发送至结果展示模块；结果展示模块：对攻击结果和推理路径进行可视化展示。与现有技术相比，本发明专利技术将知识图谱引入复杂网络攻击的关联识别领域，根据知识图谱及系统结构、实时告警等信息，推断出复杂网络攻击可能造成的后果，解决了入侵检测系统缺乏对长期、跨资产的复杂网络攻击的关联分析的问题。的复杂网络攻击的关联分析的问题。的复杂网络攻击的关联分析的问题。

【技术实现步骤摘要】
基于知识图谱的网络攻击安全风险评估系统及方法


[0001]本专利技术涉及计算机网络安全
，具体地，涉及一种基于知识图谱的网络攻击安全风险评估系统及方法。

技术介绍

[0002]复杂网络攻击是指在发生在较长时间段内，包含多个攻击步骤的网络攻击；复杂网络攻击的攻击对象较广，既可能类似传统网络攻击，以窃取数据为目的，对服务器发起攻击；也可能以获取目标系统控制权为目的，针对工业控制网络发起攻击。尽管现代企业中部署入侵检测系统(Intrusion Detection System，IDS)实时检测网络攻击行为，但IDS系统每天会生成大量的威胁告警信息，需要安全专家研判告警事件是否为复杂网络攻击的一部分；同时IDS告警数目大，且存在误报，安全专家难以处理，往往使得真实的攻击事件淹没在大量的攻击告警中而未被察觉；同时，IDS系统往往针对单个网络攻击的检测设计，无法判定复杂网络攻击的进程，同时不能对攻击可能造成的后果进行预估，而这些信息对系统的防护与降低攻击损失有十分重要的作用。
[0003]针对复杂网络攻击的检测，仅使用IDS告警是不充分的，检测系统应有能力判定是否发生复杂网络攻击、复杂网络攻击的进展情况、现阶段复杂网络攻击可能造成的后果及其发生的可能性。
[0004]专利文献CN109347801B公开了一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法，根据信息安全知识图谱，构建网络安全相关的数据源本体，然后从不同在线数据源中获取最新的在线信息；对数据进行预处理并利用词嵌入进行词向量化；把词向量化的数据依据知识图谱映射为一个实体与实体之间的关系图；结合历史数据集合和知识图谱构建漏洞利用风险评估模型，进行漏洞利用风险评估，并给出漏洞利用风险的评估依据。但该方法并未解决复杂网络攻击的造成的结果进行判定的问题。

技术实现思路

[0005]针对现有技术中的缺陷，本专利技术的目的是提供一种基于知识图谱的网络攻击安全风险评估方法及系统。
[0006]根据本专利技术提供的一种基于知识图谱的网络攻击安全风险评估系统，包括：
[0007]网络空间安全知识图谱模块：将获取的入侵检测系统的告警信息输入知识图谱中，告警信息为入侵检测系统检测到网络攻击后生成的；
[0008]推理引擎模块：根据预设规则和知识图谱，得到网络攻击对特定资产造成的攻击结果，并将攻击结果以及对应的推理路径发送至结果展示模块；
[0009]结果展示模块：对攻击结果和推理路径进行可视化展示。
[0010]优选地，网络空间安全知识图谱模块，包括：
[0011]知识子图构建子模块：根据网络漏洞数据库，将网络空间安全概念作为节点，网络空间安全概念之间的关系作为边，构建知识子图；
[0012]资产信息子图构建子模块：根据待部署系统的资产拓扑以及每个资产包含的CVE漏洞构建资产信息子图，资产信息子图与知识子图互联；
[0013]攻击信息子图构建子模块：攻击信息子图包含攻击事件节点，通过攻击事件节点分别与知识子图和资产信息子图互联；
[0014]知识图谱包括知识子图、资产信息子图和攻击信息子图。
[0015]优选地，推理引擎模块，包括：
[0016]推理引擎子模块：根据预设规则和知识图谱，通过路径排序，得到网络攻击对特定资产造成的攻击结果，并将攻击结果以及对应的推理路径发送至结果展示模块。
[0017]优选地，预设规则包括以下至少一种：
[0018]特定资产本身包含的CVE漏洞造成的第一攻击子结果；
[0019]特定资产遭遇的网络攻击造成的第二攻击子结果；
[0020]与特定资产在拓扑上相连的其他资产存在的CVE漏洞被利用或者遭遇网络攻击后，对特定资产造成的第三攻击子结果；
[0021]根据第一攻击子结果、第二攻击子结果和第三攻击子结果，得到攻击结果。
[0022]优选地，结果展示模块，包括：
[0023]结果展示子模块：通过选择日期，查看不同时间点的攻击结果和推理路径。
[0024]根据本专利技术提供的一种基于知识图谱的网络攻击安全风险评估方法，包括：采用上述基于知识图谱的网络攻击安全风险评估系统，执行步骤：
[0025]步骤1：将获取的入侵检测系统的告警信息输入知识图谱中，告警信息为入侵检测系统检测到网络攻击后生成的；
[0026]步骤2：根据预设规则和知识图谱，得到网络攻击对特定资产造成的攻击结果；
[0027]步骤3：对攻击结果和推理路径进行可视化展示。
[0028]优选地，步骤1，包括：
[0029]步骤101：根据网络漏洞数据库，将网络空间安全概念作为节点，网络空间安全概念之间的关系作为边，构建知识子图；
[0030]步骤102：根据待部署系统的资产拓扑以及每个资产包含的CVE漏洞构建资产信息子图，资产信息子图与知识子图互联；
[0031]步骤103：攻击信息子图包含攻击事件节点，通过攻击事件节点分别与知识子图和资产信息子图互联，知识图谱包括知识子图、资产信息子图和攻击信息子图。
[0032]优选地，步骤101，包括：
[0033]步骤1011：获取网络漏洞数据库，并对网络漏洞数据库进行数据解析，得到网络空间安全概念和网络空间安全概念之间的关系；
[0034]步骤1012：将网络空间安全概念作为节点，网络空间安全概念之间的关系作为边，构建知识子图。
[0035]优选地，步骤2，包括：
[0036]步骤201：每隔预设时间，根据知识图谱和预设规则，使用路径排序算法，得到网络攻击对特定资产造成的攻击结果和对应的推理路径。
[0037]优选地，预设规则包括以下至少一种：
[0038]特定资产本身包含的CVE漏洞造成的第一攻击子结果；
[0039]特定资产遭遇的网络攻击造成的第二攻击子结果；
[0040]与特定资产在拓扑上相连的其他资产存在的CVE漏洞被利用或者遭遇网络攻击后，对特定资产造成的第三攻击子结果；
[0041]步骤201，包括：
[0042]步骤2011：根据第一攻击子结果、第二攻击子结果和第三攻击子结果，得到攻击结果。
[0043]与现有技术相比，本专利技术具有如下的有益效果：
[0044]1、本专利技术通过构建推理引擎，接受并过滤来自IDS的告警信息，即使长期运行，图数据库中数据量也不会过大，无需对图数据库进行定时删除操作，必要信息可保存足够长的时间进行关联分析。
[0045]2、本专利技术采用模块化设计，知识图谱可以按需更新，推理规则与风险阈值均可自行设定，部署灵活，适合企业级用户使用。
附图说明
[0046]通过阅读参照以下附图对非限制性实施例所作的详细描述，本专利技术的其它特征、目的和优点将会变得更明显：
[0047]图1为本专利技术的网络空间安全知识图谱模块的结构示意图；
[0048]图2为本专利技术的流程示意图；
[0049]图3为本专利技术的应用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于知识图谱的网络攻击安全风险评估系统，其特征在于，包括：网络空间安全知识图谱模块：将获取的入侵检测系统的告警信息输入知识图谱中，所述告警信息为所述入侵检测系统检测到网络攻击后生成的；推理引擎模块：根据预设规则和所述知识图谱，得到所述网络攻击对特定资产造成的攻击结果，并将所述攻击结果以及对应的推理路径发送至结果展示模块；结果展示模块：对所述攻击结果和所述推理路径进行可视化展示。2.根据权利要求1所述的基于知识图谱的网络攻击安全风险评估系统，其特征在于，所述网络空间安全知识图谱模块，包括：知识子图构建子模块：根据网络漏洞数据库，将网络空间安全概念作为节点，所述网络空间安全概念之间的关系作为边，构建知识子图；资产信息子图构建子模块：根据待部署系统的资产拓扑以及每个资产包含的CVE漏洞构建资产信息子图，所述资产信息子图与所述知识子图互联；攻击信息子图构建子模块：攻击信息子图包含攻击事件节点，通过所述攻击事件节点分别与所述知识子图和所述资产信息子图互联；所述知识图谱包括所述知识子图、所述资产信息子图和所述攻击信息子图。3.根据权利要求1所述的基于知识图谱的网络攻击安全风险评估系统，其特征在于，所述推理引擎模块，包括：推理引擎子模块：根据所述预设规则和所述知识图谱，通过路径排序，得到所述网络攻击对特定资产造成的攻击结果，并将所述攻击结果以及对应的推理路径发送至结果展示模块。4.根据权利要求2或3所述的基于知识图谱的网络攻击安全风险评估系统，其特征在于，所述预设规则包括以下至少一种：所述特定资产本身包含的所述CVE漏洞造成的第一攻击子结果；所述特定资产遭遇的所述网络攻击造成的第二攻击子结果；与所述特定资产在拓扑上相连的所述其他资产存在的所述CVE漏洞被利用或者遭遇所述网络攻击后，对所述特定资产造成的第三攻击子结果；根据所述第一攻击子结果、所述第二攻击子结果和所述第三攻击子结果，得到所述攻击结果。5.根据权利1所述的基于知识图谱的网络攻击安全风险评估系统，其特征在于，所述结果展示模块，包括：结果展示子模块：通过选择日期，查看不同时间点的所述攻击结果和所述推理路径。6.一种基于知识图谱的网络攻击...

【专利技术属性】
技术研发人员：陈秀真，马颖华，赖柏希，于海洋，裘炜程，杨华，侯书凝，
申请(专利权)人：上海交通大学，
类型：发明
国别省市：