一种基于知识图谱的宽带卫星网络异常行为检测方法技术

本发明专利技术公开了一种基于知识图谱的宽带卫星网络异常行为检测方法，主要包括：采用流探针技术从数据中心

【技术实现步骤摘要】
一种基于知识图谱的宽带卫星网络异常行为检测方法


[0001]本专利技术涉及的是网络安全领域，具体涉及一种基于知识图谱的宽带卫星网络异常行为检测方法
。

技术介绍

[0002]目前网络安全技术多围绕地面网络展开，面向宽带卫星网络的安全技术研究还未成体系，而宽带卫星网络在民用
、
军事领域的应用已经开始探索，单纯使用现有网络安全防护技术不足以保证其网络安全需求，为适应当前形势发展，研究针对宽带卫星网络的异常行为智能检测技术，目的在于能够快速发现新型攻击行为，利用成熟的机器学习技术，辅助网络安全专业人员进行专项分析，支撑针对新型攻击的智能化判别，从而在宽带卫星网络的攻防过程中占据主动
。
[0003]异常行为检测就是对异常行动的发现，它收集计算机网络或系统中的关键点信息进行分析，从而判断网络或系统是否违反安全策略或者被攻击
。
大量的实践证明，保障网络系统的安全，仅仅依靠传统的被动防护是不够的，异常检测作为一门新兴的安全技术，以其对网络系统的实时监测特性，逐渐发展成为保障网络系统安全的关键部件
。
目前的异常行为检测技术主要包括四类：基于特征的异常行为检测
、
基于统计的异常行为检测
、
基于机器学习的异常行为检测和基于知识图谱的异常行为检测
。
网络空间
、
现实社会和物理世界的多源数据，富含各类网络安全的知识与线索，通过构建安全知识图谱对这些异常的成套分析能发现安全威胁和潜在重大事件，但是在卫星宽带网络大数据情境下，基于知识图谱的异常检测存在很多亟待解决的问题，包括：
[0004]面向宽带卫星网络的异常行为检测维度的图谱要素的定义仍在探索过程中；
[0005]目前的异常检测技术无法实现较高智能化的异常行为检测，环境适应性较差
。
[0006]综上所述，本专利技术设计了一种基于知识图谱的宽带卫星网络异常行为检测方法
。

技术实现思路

[0007]针对现有技术上存在的不足，本专利技术目的是在于提供一种基于知识图谱的宽带卫星网络异常行为检测方法，定义了面向异常检测维度的图谱要素，解决了目前异常检测技术中的环境适应性较差的问题，能够适应新型攻击，通过实施本专利技术，可以检测宽带卫星网络中的多种异常行为，包括
SQL
注入攻击
、
非法登录
、
矿池连接
、
广播风暴等
。
[0008]为了实现上述目的，本专利技术是通过如下的技术方案来实现：一种基于知识图谱的宽带卫星网络异常行为检测方法，包括：
[0009]从互联网上多种数据源获取公开的安全漏洞库
、
弱点库，平台库，采用流探针技术从数据中心
、
信关站
、
用户终端采集网络流量，从中解析出链路层信息
、IP
地址信息
、
报文的协议信息
、
域名请求信息；
[0010]对流量分析获得的信息，构建宽带卫星网络的异常行为检测知识图谱；
[0011]利用改进的
K
‑
means
聚类方法对知识图谱中的节点进行聚类分析，检测异常节点
。
[0012]作为优选，所述的对流量分析获得的信息，构建异常行为检测知识图谱，包括：
[0013]定义宽带卫星网络异常检测知识图谱中的实体及其属性如表1所示，实体间的关系如表2所示；
[0014]表3[0015][0016][0017]表4[0018][0019]采用
LSTM
‑
CRF
命名实体识别方法抽取实体，从链路层信息及
IP
地址信息中抽取“主机”、“攻击者”和“网络”，从链路层信息和域名请求信息中抽取“攻击事件”及其属性，从
链路层信息
、
报文协议信息和域名请求信息中抽取“工具”、“漏洞”、“服务”、“账号”和“用户”，同时结合漏洞库获取“漏洞”的属性信息，平台库获得“工具”、“服务”和“账号”的相关属性；
[0020]对标注好实体的句子进行关系抽取
。
[0021]作为优选，所述的对标注好实体的句子进行关系抽取，包括：
[0022]使用
CNN
提取句子的特征，将每一个标注了实体对的句子映射为
D
维的句子向量，将关系抽取任务视为句子的分类问题；
[0023]依据表1和表2中定义的异常检测图谱要素，从获取的数据中选取
Q
个句子，用句子中实体对的关系进行人工标注，标注好的数据构成种子集合，并初始化迭代次数
G
；
[0024]利用种子集合训练一个
SVM
分类器，得到用来对句子中实体对之间的关系进行预测的分类模型；
[0025]利用训练好的分类模型对未标注的数据集进行预测，获得标注的数据；
[0026]从分类模型预测得到的结果集中选出
N
个置信度较高的标注数据，加入到种子集中；
[0027]继续重复以上三个步骤，直至
G
次迭代结束
。
[0028]作为优选，所述的利用改进的
K
‑
means
聚类方法对知识图谱中的实体
‑
关系
‑
实体三元组进行聚类分析，实现异常节点的检测，包括：
[0029]将存储的知识图谱的实体
‑
关系
‑
实体三元组利用图嵌入技术映射为
n
维实数向量，一个聚类的中心就是聚类中所有点的均值向量；
[0030]初始化第一个聚类中心为分析的第一个实体关系对向量，设定一个聚类半径
r
，与聚类中心的距离小于聚类半径的实体关系对，同属于聚类中心所在的聚类；
[0031]分析后续的每一个实体关系对，计算与各个聚类中心的距离，若小于或等于聚类半径
r
，则将其归类到相应的聚类，并重新计算该聚类的中心，若距离大于
r
，则以该节点作为一个新的聚类中心；
[0032]设定一个阂值
θ
，如果一个聚类中包含的实体关系对的数目与知识图谱中所有实体关系对的数量比例大于或等于
θ
时，表明它是一个正常聚类，否则即为异常聚类，所有异常聚类中包含的实体关系对都为异常行为
。
[0033]本专利技术的有益效果：
[0034]1、
本专利技术采用的关系抽取方法不需要大量标注数据，有效克服了这一问题；对于初始的小规模的种子集合，采用
SVM
分类器，模型的准确率较高
。
[0035]2、
改进的
K
‑
means
不需要初始化
K
值，提本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于知识图谱的宽带卫星网络异常行为检测方法，其特征在于，包括：从互联网上多种数据源获取公开的安全漏洞库
、
弱点库，平台库，采用流探针技术从数据中心
、
信关站
、
用户终端采集网络流量，从中解析出链路层信息
、IP
地址信息
、
报文的协议信息
、
域名请求信息；对流量分析获得的信息，构建宽带卫星网络的异常行为检测知识图谱；利用改进的
K
‑
means
聚类方法对知识图谱中的节点进行聚类分析，检测异常节点
。2.
根据权利要求1所述的一种基于知识图谱的宽带卫星网络异常行为检测方法，其特征在于，所述的对流量分析获得的信息，构建异常行为检测知识图谱，包括：定义宽带卫星网络异常检测知识图谱中的实体及其属性如表1所示，实体间的关系如表2所示；表1实体属性主机
IP
地址
、
地理位置
、
系统版本
、
所属机构攻击者地理位置
、
所属机构
、
电话攻击事件事件类型
、
起始时间
、
结束时间
、
时间分布
、
特征码工具工具名称
、
工具版本
、
运行环境
、
来源漏洞漏洞名称
、
风险级别服务名称
、
域名
、
端口号
、
功能
、
运行环境账号账号名称
、
账号类型
、
注册机构用户身份
、
地理位置
、
所属机构网络
IP
地址
、
代理运营商表
22
采用
LSTM
‑
CRF
命名实体识别方法抽取实体，从链路层信息及
IP
地址信息中抽取“主
机”、“攻击者”和“网络”，从链路层信息和域名请求信息中抽取“攻击事件”及其属性，从链路层信息
、
报文协议信息和域名请求信息中抽...

【专利技术属性】
技术研发人员：刘艳梅，董坤，姚怡，李洋，李妍，
申请(专利权)人：中国卫通集团股份有限公司，
类型：发明
国别省市：