【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种基于知识图谱的互联网态势评估方法。
技术介绍
1、在当前网络环境中,黑客行为更加隐蔽和体系化,网络攻击已经向复杂化、定制化、多步化等方向发展,定向网络攻击已经成为影响当前网络安全状况的最关键因素,基于网络的入侵检测技术通过分析网络通信过程中的流量数据发现异常通信模式或带有恶意攻击样本的数据报文,然而随着智能电网、工业互联网等关键基础设施的发展,存在着网络设备多,不同网络设备之间各自支持的协议、日志格式不同等检测难点,针对单一来源数据的检测方法已经不能反映攻击事件的关联关系,且往往会有误报和漏洞现象。
2、因此,大数据关联分析方法可以实现更为全面的检测,能够有效涵盖攻击的各个阶段,参考威胁情报数据的引入,分别对收集到的海量审计日志和网络流量数据进行关联分析,已逐渐成为目前主要的检测手段。基于多源异构数据来进行定向网络攻击检测,借助主机日志、网络数据流、安全设备警告这些多元异构数据等网络空间数据辨识出攻击活动、理解攻击意图、预测攻击趋势,是网络空间安全态势感知的重要手段。
3、但对网络空间安全态势感知的现有方法难以全面地考虑到多源异构数据,评估方式过于片面,评估的准确性较低。
技术实现思路
1、为了解决现有技术中存在的上述问题,本专利技术提供了一种基于知识图谱的互联网态势评估方法。本专利技术要解决的技术问题通过以下技术方案实现:
2、一种基于知识图谱的互联网态势评估方法,包括:
3、构建网络安全知识图谱
4、收集多来源的网络数据,从中识别出威胁情报信息;对所述网络数据中的威胁情报信息依据威胁情报对象进行数据清洗,对其余数据进行常规数据清洗,根据清洗后的所有威胁情报信息得到多个不同的网络基本事件;
5、提取入侵检测系统或防火墙所检测到的告警信息形成告警事件库,并和清洗后的所有网络数据构成整体数据库;
6、确定所述整体数据库中每个数据所属的知识类别;对不同知识类别的数据构建对应的知识图谱并存储;其中,任一数据所属的知识类别为通用网络安全知识、网络攻击特征知识或网络基本事件知识之一。
7、对属于网络攻击特征知识的每个数据,得到其中各网络攻击特征对应的初始子图;对每个初始子图提取恶意事件特征得到第一批恶意事件、所述第一批恶意事件对应的新增子图,并对所述网络基本事件知识图谱进行基于属性图的图挖掘得到第二批恶意事件;其中,任一子图包含多个恶意事件;所述新增子图包含卷入此次攻击的网络资产;
8、将所有恶意事件转化为网络基本事件数据结构存入网络攻击特征事件知识图谱;计算自定义时间窗口内任意两次恶意事件之间的多维关联度;根据所述多维关联度确定所述两次恶意事件涉及的资产节点的初始风险权重;
9、对各资产节点基于对应的初始风险权重执行pagerank算法直至算法收敛,得到对应更新后的风险权重;其中,所有资产节点更新后的风险权重用于评估当前的互联网态势。
10、在本专利技术的一个实施例中,所述收集多来源的网络数据,包括:
11、采用爬虫技术结合外部库,收集多来源的网络数据;所述多来源的网络数据包括结构化、半结构化、非结构化三种结构。
12、在本专利技术的一个实施例中,从收集的多来源的网络数据中识别出威胁情报信息,包括:
13、针对收集的每一条网络数据,利用分词器将该条网络数据进行分词拆分,得到拆分出的多个分词;
14、将所述拆分出的多个分词逐一与预设的威胁情报词表进行匹配,若所述拆分出的多个分词符合匹配条件,则确定该条网络数据含有威胁情报信息。
15、在本专利技术的一个实施例中,所述确定所述整体数据库中每个数据所属的知识类别,包括:
16、利用预先训练完成的神经网络模型确定所述整体数据库中每个数据所属的知识类别。
17、在本专利技术的一个实施例中,所述对不同知识类别的数据构建对应的知识图谱并存储,包括:
18、对属于通用网络安全知识的数据构建通用网络安全知识图谱,利用mysql关系型数据库存储,并采用映射方法进行可视化;
19、对属于网络基本事件知识的数据利用所述告警事件库构建网络基本事件知识图谱,并利用hugegraph图数据库存储;
20、对属于网络攻击特征知识的数据构建网络攻击特征事件知识图谱,并利用hugegraph图数据库存储;
21、其中,hugegraph图数据库存储采用顶点-边-顶点结构的存储方式,每个顶点和边允许有其自身的属性。
22、在本专利技术的一个实施例中,所述对属于网络基本事件知识的数据利用所述告警事件库构建网络基本事件知识图谱,包括:
23、对属于网络基本事件知识的数据,利用所述告警事件库中的网络节点作为网络基本事件知识图谱中的点,事件作为网络基本事件知识图谱的边,构建出网络基本事件知识图谱。
24、在本专利技术的一个实施例中,所述对每个初始子图提取恶意事件特征得到第一批恶意事件、所述第一批恶意事件对应的新增子图,并对所述网络基本事件知识图谱进行基于属性图的图挖掘得到第二批恶意事件,包括:
25、对每个初始子图基于恶意事件星形拓扑结构的特征提取方法,提取恶意事件特征得到第一批恶意事件,基于提取出的五元组的恶意事件特征得到所述第一批恶意事件对应的新增子图;
26、基于提取出的五元组的恶意事件特征遍历所述网络基本事件知识图谱进行基于属性图的图挖掘,将匹配出的当前时间区间内的恶意事件作为第二批恶意事件。
27、在本专利技术的一个实施例中,所述计算自定义时间窗口内任意两次恶意事件之间的多维关联度,包括:
28、根据时序关系对所有恶意事件进行排序,在自定义时间窗口内,利用预设计算公式,计算前后两次恶意事件之间的多维关联度;其中,所述预设计算公式基于恶意事件时间间隔影响、恶意事件影响范围重叠度影响、恶意事件服务端口重叠度影响、恶意事件类型类似度影响以加权方式确定。
29、在本专利技术的一个实施例中,根据所述多维关联度确定所述两次恶意事件涉及的资产节点的初始风险权重,包括:
30、判断所述多维关联度是否大于预设关联度阈值,若是,根据两次恶意事件对应的恶意节点是否一致以及恶意节点的影响范围,确定在预设的多种情况中所述多维关联度所隶属的匹配情况;
31、根据所述匹配情况对应的预设数值区间,确定所述两次恶意事件涉及的资产节点的初始风险权重。
32、在本专利技术的一个实施例中,所述对各资产节点执行pagerank算法更新对应的初始风险权重,采用的公式为:
33、
34、其中,pr(a)表示资产节点a更新后的风险权重;pr(b)表示上一次迭代时资产节点b的风险权重,针对第一次迭代,pr(b)表示资产节点b的初始风险权重;d表示阻尼因子,根据本文档来自技高网...
【技术保护点】
1.一种基于知识图谱的互联网态势评估方法,其特征在于,包括:
2.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,所述收集多来源的网络数据,包括:
3.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,从收集的多来源的网络数据中识别出威胁情报信息,包括:
4.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,所述确定所述整体数据库中每个数据所属的知识类别,包括:
5.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,所述对不同知识类别的数据构建对应的知识图谱并存储,包括:
6.根据权利要求5所述的基于知识图谱的互联网态势评估方法,其特征在于,所述对属于网络基本事件知识的数据利用所述告警事件库构建网络基本事件知识图谱,包括:
7.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,所述对每个初始子图提取恶意事件特征得到第一批恶意事件、所述第一批恶意事件对应的新增子图,并对所述网络基本事件知识图谱进行基于属性图的图挖掘得到第二批恶意事
8.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,所述计算自定义时间窗口内任意两次恶意事件之间的多维关联度,包括:
9.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,根据所述多维关联度确定所述两次恶意事件涉及的资产节点的初始风险权重,包括:
10.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,所述对各资产节点执行Pagerank算法更新对应的初始风险权重,采用的公式为:
...【技术特征摘要】
1.一种基于知识图谱的互联网态势评估方法,其特征在于,包括:
2.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,所述收集多来源的网络数据,包括:
3.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,从收集的多来源的网络数据中识别出威胁情报信息,包括:
4.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,所述确定所述整体数据库中每个数据所属的知识类别,包括:
5.根据权利要求1所述的基于知识图谱的互联网态势评估方法,其特征在于,所述对不同知识类别的数据构建对应的知识图谱并存储,包括:
6.根据权利要求5所述的基于知识图谱的互联网态势评估方法,其特征在于,所述对属于网络基本事件知识的数据利用所述告警事件库构建网络基本事...
【专利技术属性】
技术研发人员:车沅熹,杨锐,黄泽宇,戚玉涛,张海宾,李晓军,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。