CN108933793B

CN108933793B - 基于知识图谱的攻击图生成方法及其装置

Info

Publication number: CN108933793B
Application number: CN201810819190.8A
Authority: CN
Inventors: 郭渊博; 叶子维; 李涛; 琚安康; 刘春辉
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2018-07-24
Filing date: 2018-07-24
Publication date: 2020-09-29
Anticipated expiration: 2038-07-24
Also published as: CN108933793A

Abstract

本发明属于网络安全技术领域，特别涉及一种基于知识图谱的攻击图生成方法及其装置，该方法包含：依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。本发明通过利用知识图谱的多源信息融合及信息抽取和推理能力，实现攻击图的实时构建和精确评估，能够更加准确的反应当前网络安全状态，解决现有攻击图生成和分析技术中由于相关信息获取不全面导致的不能及时准确反映当前网络安全状态的问题，为指导网络防御措施的采取提供了更加完善的依据。

Description

基于知识图谱的攻击图生成方法及其装置

技术领域

本发明属于网络安全技术领域，特别涉及一种基于知识图谱的攻击图生成方法及其装置。

背景技术

攻击图技术是一种图形化的网络脆弱性分析技术，通过对目标网络和可能遭受的攻击行为进行建模，展示攻击者对目标网络发动攻击时可能采取的攻击路径，既可指导防御方采取针对性修复和防御措施，也可为攻击者的攻击行动策划提供依据。目前攻击图主要分为状态攻击图和属性攻击图两类。状态攻击图以网络安全状态为顶点，边表示网络安全状态的转换。由于同一状态可能对应图中多个顶点，使用状态攻击图对大规模网络进行脆弱性分析时会产生状态爆炸问题，因此现在已少有对状态攻击图的研究。属性攻击图通常以漏洞和节点权限为顶点，边表示漏洞和权限间的依赖或获得关系。属性攻击图由于缓解了状态攻击图的状态爆炸问题、且可以较为直观地向防御方反映出当前网络中的潜在安全隐患而得到了广泛的应用，并衍生出渗透依赖攻击图和属性依赖攻击图等拓展。

现有攻击图技术存在以下问题：1)随着攻击技术的不断发展、漏洞数量的日渐增多，传统的基于CVSS(Common Vulnerability Scoring System，通用漏洞评分系统)的漏洞评估方式越来越难以精确地反映出漏洞的危险等级，主要表现为部分高危漏洞综合评分较低，同时也存在部分低危漏洞综合评分较高的现象。这些问题使得基于漏洞扫描的攻击图生成和分析技术难以精确地反映当前网络的安全状态，导致防御方采取的防御措施难以有效阻止或响应攻击。2)随着大数据分析、威胁情报等技术的发展，大量新漏洞、新攻击方式、旧漏洞的新利用方式在互联网上被快速公开。同时，新的防御手段也在对已知漏洞的利用难度和利用方式产生影响。这些信息既为安全研究人员及相关厂商提供帮助，也为攻击者提供了新思路、新手段。在这种现状下，攻防双方对攻击图的自动构建、精确评估等能力提出了更高的要求。现有技术依然难以满足攻防双方对攻击成功率、攻击收益进行实时、精确评估的需求。

发明内容

针对现有技术中的不足，本发明提供一种基于知识图谱的攻击图生成方法及其装置，通过利用知识图谱的多源信息融合及信息抽取和推理能力，实现攻击图的实时构建和精确评估，能够更加准确的反应当前网络安全状态。

按照本发明所提供的设计方案，一种基于知识图谱的攻击图生成方法，包含：

依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；

依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；

对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

上述的，抽取用于构建知识图谱的安全相关信息时，依据目标网络的网络特征，选取网络安全知识库，并通过爬虫技术，从安全相关信息源中抽取安全相关信息，该安全相关信息源至少包含漏洞信息库、安全论坛和互联网安全应急响应中心。

上述的，抽取安全相关信息时，通过设计原子攻击本体，明确抽取的安全相关信息种类；该原子攻击本体包含四种实体，该四种实体具体为：目标网路中使用的各类存在已知漏洞的软件，目标网络中使用的各类存在已知漏洞的硬件，目标网络中存在的已知软硬件的漏洞，和攻击者采取具体漏洞利用行为的攻击。

优选的，软件实体以软件名称和版本号进行标识；硬件实体以硬件品牌和型号进行标识；漏洞实体以漏洞ID进行标识；攻击实体包含攻击条件、攻击方式、攻击成功率和攻击收益四种属性。

优选的，构建知识图谱中，从信息源中抽取实体与实体间，及实体与属性间的关系；从信息源中获取指定实体的属性；并通过条件随机场模型对关系和属性进行抽取；根据知识图谱中已有实体、关系和属性，并根据攻击条件和攻击方式对攻击成功率和攻击收益进行知识推理，建立新的关系或属性，以扩展知识图谱。

优选的，建立新的关系或属性中，采用路径排序方法，通过三元组{<实例，关系，实例>|<实例，关系，属性>|<实体，关系，实例>}表示实体间关系和属性的推理规则，及实体间的连接路径，判断两者是否存在潜在关系，以扩展知识图谱。

优选的，对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，通过查询漏洞ID，对应攻击实体的攻击条件、攻击方式、攻击成功率及攻击收益，并指导从目标节点出发的反向路径搜索，以漏洞作为攻击图的顶点，通过每个漏洞对应攻击的攻击条件属性和攻击收益属性两个属性中与权限相关的部分来获取攻击者利用该漏洞所需要的权限和成功利用漏洞后获取的权限，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

优选的，指导从目标节点出发的反向路径搜索过程，包含如下内容：

C1)依次选取节点集合中的节点作为目标节点，获取该目标节点漏洞；

C2)查找与该目标节点相邻的未读取节点，将该相邻的未读取节点标记为已读取；

C3)若该相邻的未读取节点存在漏洞，且该漏洞的攻击收益满足目标节点漏洞的攻击条件，则为该漏洞和目标节点漏洞建立连接关系，即设定该漏洞为目标节点漏洞的前置漏洞，若该相邻的未读取节点不存在漏洞，则返回C2)执行，重复查找该目标节点相邻的未读取节点，直至其全部邻接节点都标记为已读取，再执行C4)；

C4)返回C1)执行，直至遍历节点集合中的全部节点。

上述的，攻击图中，对于包含x个节点的攻击路径，设其从初始节点到目标节点的节点序号依次为1至x，则该路径的综合攻击成功率：

路径的综合攻击收益：

单个攻击实体的攻击成功率为其a个影响攻击成功率因素下的攻击成功率叠加，表示为：

单个攻击实体的攻击收益为其b个攻击收益属性的叠加，表示为：

node∈N，N为攻击图中节点集合的节点总数，l为每个影响攻击成功率因素各自的权重。

一种基于知识图谱的攻击图生成装置，包含信息抽取模块、图谱构建模块和攻击图生成模块，其中，

信息抽取模块，用于依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；

图谱构建模块，用于依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；

攻击图生成模块，用于对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

本发明的有益效果：

本发明基于原子攻击本体及知识图谱，利用知识图谱来辅助构建和分析攻击图；通过对来自多种信息源的漏洞和攻击信息的抽取和关联，实现对原子攻击的方式、成功率和收益的智能化分析，实现对攻击路径的攻击成功率和收益的高效精确判断；适用于各种一般或特种网络环境，具体适用的网络类型取决于构建知识图谱时选择的知识库；解决了现有攻击图生成和分析技术中由于相关信息获取不全面导致的不能及时准确反映当前网络安全状态的问题，为指导网络防御措施的采取提供了更加完善的依据。

附图说明：

图1为实施例中方法流程示意图；

图2为实施例中原子攻击本体示意图；

图3为实施例中网络拓扑结构示意图；

图4为实施例中使用现有传统方法生成的攻击图；

图5为实施例中使用本发明生成的攻击图。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。实施例中涉及到的技术术语如下：

针对现有状态攻击图和属性攻击图，无法满足攻防双方对攻击成功率、攻击收益进行实时、精确评估等情形。本发明实施例提供一种基于知识图谱的攻击图生成方法，参见图1所示，包含：依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

知识图谱是一种在语义网络基础之上实现智能化语义检索和关联分析的技术，通过从互联网页面中抽取与所研究领域相关的实体和属性信息，并对实体间可能具有的关系进行抽取或推理，从而实现一种新的信息检索模式，使用户可以很容易地获取与所检索内容相关联的各类信息。知识图谱技术的多源信息融合及信息抽取和推理的能力为解决现有攻击图技术在实时构建和精确评估方面存在的问题提供了一种可行的解决方案。可利用知识图谱技术对互联网上的各类安全相关信息进行关键属性抽取和关联分析，并将结果储存在知识库中用于指导攻击条件的推理、攻击成功率和攻击收益的计算等。通过对来自多种信息源(特别是安全论坛等非结构化信息源)的信息进行关联分析，可以判断软硬件的重要程度和历史安全性，获取安全研究人员对漏洞的分析结果，并推理出对同一漏洞的不同利用方式可能导致的不同利用结果，从而指导对漏洞的危险等级和利用成功率的修正。当从信息源中发现有新的漏洞或攻击方式时，更新后的知识图谱可用于快速检索目标网络中是否存在可能受到新漏洞或新攻击方式影响的软硬件，并进一步指导自动化漏洞扫描和攻击图的局部更新。通过上述方式可以提高攻击图的时效性和构建分析效率，使攻击图能更加精确地反映当前网络的安全状态，为防御方采取更合理的防御策略或攻击方制定更好的攻击策略提供依据。

本发明的实施例中，可通过使用爬虫技术，从漏洞信息库、安全论坛和应急响应中心等多种信息源抽取信息。为明确需要抽取的信息的种类，设计原子攻击本体。在攻击图相关技术中，最小攻击单位称为原子攻击。根据攻击图的类型不同，顶点或边均可以表示一次原子攻击；且原子攻击表示的实际意义可以是一次漏洞利用，或仅表示网络安全状态的变化而不表示具体的攻击行为。本发明再一个实施例中，原子攻击本体包含软件、硬件、漏洞和攻击四种实体，四种实体间的关系如图2所示，其中，

软件：目标网络中使用的各类存在已知漏洞的软件，以软件的名称和版本号进行标识。软件与漏洞之间为多对多映射关系，即特定版本的软件可能存在多个漏洞，而同一漏洞可能存在于同一软件的多个版本之中。

硬件：目标网络中使用的各类存在已知漏洞的硬件，以硬件的品牌和型号进行标识。和软件与漏洞之间的关系相似，硬件与漏洞之间同样为多对多映射关系。

漏洞：目标网络中存在的已知软硬件漏洞，以漏洞ID对每个漏洞进行标识。由于各漏洞库收录的漏洞不完全相同，且每个漏洞库都有独立的漏洞ID编码方式，因此应尽可能采用某个收录漏洞全面、应用范围广泛、评分方式公认合理的数据库的漏洞ID。

攻击：攻击者可能采取的具体的漏洞利用行为。每个攻击实例包含四种属性，分别为攻击条件、攻击方式、攻击成功率和攻击收益。攻击条件指发动攻击需具备的基本条件，如远程访问、本地访问、本地管理权限等；攻击方式指具体的漏洞利用途径，如缓冲区溢出、格式化字符串、SQL注入等；攻击成功率指成功实施攻击所需要的知识、时间、经济成本，及单次攻击的成功概率；攻击收益指攻击成功实施后攻击者的收益或网络可能遭受到的损失，如信息获取、节点拒绝服务或权限提升等。

在本发明另一个实施例中，依据安全相关信息，通过关系抽取、属性抽取和知识推理，其中，关系抽取是从信息源中抽取实体与实体间、实体与属性间的关系，属性抽取是从信息源中获取特定实体的属性信息。本实施例中可使用条件随机场模型对关系和属性进行抽取。知识推理是根据知识图谱中已有的实体、关系和属性，通过推理方法建立新的关系或发现新的属性，从而对知识图谱进行扩展。知识推理中，根据攻击条件和攻击方式对攻击成功率和攻击收益进行推理，在实施例中可通过采用路径排序算法进行知识推理，其核心思想是根据两个实体间的连接路径来判断是否存在潜在的关系，如假设漏洞v可对软件s1发动缓冲区溢出攻击，则同样存在漏洞v的软件S2也可能受到由漏洞v引发的缓冲区溢出攻击。以集合Rule＝{<实例，关系，实例>|<实例，关系，属性>|<实体，关系，实例>}表示推理规则，三个三元组分别表示对实例间关系的推理、对实例具有的属性的推理、对实体和实例间关系的推理。

对目标网络进行拓扑扫描和漏洞扫描，在本发明再一实施例中，在完成知识图谱构建、网络拓扑扫描和节点漏洞扫描后，结合知识图谱，即可针对具体的目标网络环境进行基于知识图谱的攻击图生成。在生成攻击图时，知识图谱主要用于查询漏洞的编号、对应的攻击实例的攻击条件、方式、成功率和收益，并指导从目标节点出发的反向路径搜索。以漏洞作为攻击图中的顶点，每个漏洞对应的攻击的攻击条件属性和攻击收益属性中与权限相关的部分表明攻击者利用该漏洞所需要的权限和成功利用漏洞后可获取的权限。具体攻击图生成算法可设计如下：

算法1基于知识图谱的攻击图生成算法

输入节点集合N＝{n₁,n₂,……,n_p}，漏洞集合V＝{v₁,v₂,……,v_q}，网络节点邻接矩阵AM，原子攻击知识图谱AKG

输出全局攻击图AG

1)～2)对于全部v∈V，在知识图谱AKG中检索对应的原子攻击本体，读取和记录该漏洞对应的攻击实体的攻击条件、攻击方式、攻击成功率和攻击收益属性，攻击条件Con作为漏洞的前置条件，攻击收益Pro作为后置条件；

3)～16)依次将N中的节点作为攻击目标节点，执行步骤4)～15)，查找其前置节点并建立连接关系，直到遍历N中的全部节点；

4)获取攻击目标节点n_i存在的漏洞v_i；

5)～6)若n_i不存在漏洞则选择N中下一节点作为攻击目标节点；

7)～14)若n_i存在漏洞v_i，则在邻接矩阵AM中查找与n_i相邻的未读取节点，设为n_j，并将n_j标记为已读取；若n_j存在漏洞v_j，且v_j的攻击收益能满足vi的攻击条件，则为v_i和v_j建立连接关系，v_j为v_i的前置漏洞；若n_j不存在符合条件的v_j，则重复步骤8)～13)，直至n_i的全部邻接节点都被标记为已读取；

15)清除全部节点的已读取状态，以便为下一个节点建立连接关系；

17)完成全局攻击图的生成。

在本发明中，各属性与攻击图构建有关的只有攻击条件和攻击收益中与权限相关的部分。在攻击图构建完成后，攻击方式属性用于指导防御方采取针对性防御措施，攻击成功率用于判断对全部网络节点的防御优先级。攻击条件和攻击收益中与权限无关的部分分别用于对这两项属性的量化计算，以便于对攻击路径被选择的可能性进行比较。本发明的一实施例中，攻击成功率和攻击收益采用如下方式计算：

对于单个原子攻击，在不考虑攻击者攻击能力变化的前提下，其攻击成功率应当是根据所有可能影响成功率的因素综合评估得到的唯一值。设其共有a个影响攻击成功率的因素，每个要素各自的权重为l，则该原子攻击的攻击成功率

node∈N。

而单个原子攻击的攻击收益，可能会由于攻击者的攻击目的、攻击手段不同而产生多种攻击结果，因此同一攻击实体可以具有多个攻击收益属性。设其共有b个攻击收益属性，则该原子攻击的综合攻击收益为

node∈N。

对于任意包含x个节点的攻击路径，设其从初始节点到目标节点的节点序号依次为1至x，则该路径的综合攻击成功率

路径的综合攻击收益

基于上述方法，本发明实施例还提供一种基于知识图谱的攻击图生成装置，包含信息抽取模块、图谱构建模块和攻击图生成模块，其中，

为验证本发明的有效性，下面结合现有攻击图生成方式做对比，对本发明技术方案做进一步解释说明：

如图3所示，网络拓扑为一个简易的典型内部网络模型。防火墙将互联网与内网路由器隔离；主机1、主机2和FTP直接连接到路由器上，主机1和主机2可访问FTP服务器；数据库服务器连接到FTP服务器上，接收和响应来自FTP服务器的请求。网络中存在的漏洞列表如表1所示，各项属性从CVE获取。

表1漏洞信息

假设攻击者在穿透防火墙后对内部网络发起攻击，则使用传统方法生成的攻击图如图4所示。使用传统攻击图对网络脆弱性进行分析，可得出如下结论：1)路由器是所有攻击路径的第一个节点，保证路由器的安全即可保证整个内部网络的安全；2)攻陷路由器后，对主机1仅需实施一次攻击即可获取root权限，且主机1存在的漏洞评分最高、攻击后果最严重；3)对主机2需实施两次攻击才能获取root权限，两次攻击的目的分别是获取local权限和将local权限提升为root权限；4)对FTP服务器实施一次攻击即可获取root权限，但FTP服务器存在的漏洞评分较低，攻击后果较轻；5)对于数据库服务器，在攻陷FTP服务器后需再实施一次攻击才能获取数据库服务器的root权限，且数据库服务器存在的漏洞评分更低，攻击后果也较轻。

根据上述结论，可得出各节点的防御优先级为路由器>主机1>主机2>FTP服务器>数据库服务器。然而实际上，FTP服务器和数据库服务器上存在的漏洞都是OpenSSL协议的漏洞，实践中其危险等级应当为高危，而CVSS给出中等评分的原因是这两个漏洞的利用后果中不包括破坏系统。

本发明中，基于知识图谱技术的方法，首先从安全论坛、安全新闻网站等信息来源中推理出OpenSSL协议的重要性及两个服务器上存在的漏洞的真实危险等级。根据FreeBuf、知道创宇等网站或团队发布的分析报告，CVE-2014-0160可用于获取服务器内存中存储的用户名、密码、私钥等信息，CVE-2014-3566可用于窃取使用SSLv3协议加密的通信内容。而OpenSSL协议广泛应用于电子商务、VPN隧道建立等领域，该协议存在的信息泄露漏洞显然较一般软件的信息泄露漏洞存在更大的安全隐患。由此可知这两个漏洞的危险等级评分应当由来自漏洞库的中危评分修正为高危，即表示该攻击具有很高的攻击收益。此外，对于CVE-2017-8464和CVE-2017-0290两个漏洞，从多个应急响应中心的公开信息可知，这两个漏洞的攻击收益都包括了一般信息泄露和系统破坏，因此这两个漏洞的综合攻击收益应为这两项独立攻击收益之和。对于本案例中其余漏洞的攻击成功率和攻击收益，从各类知识库中获取的信息与CVE给出的结果相同，因此直接采用CVE的结论。图5所示为基于本发明技术方案生成的攻击图，漏洞顶点左侧的攻击实例属性框中列出的依次为攻击方式、攻击条件、攻击成功率、攻击收益。由图5可以看出，相对于传统的攻击图，基于知识图谱生成的攻击图可以对同一攻击实例的同一属性进行多值标记，更加直观精确地反映各网络节点的攻击成功率、攻击收益等安全相关信息。根据改进后的攻击图，各节点的防御优先级为路由器>主机1≈FTP服务器>数据库服务器>主机2。参考上述内容，对两个服务器上存在的漏洞的危险等级分析，可知使用基于知识图谱的攻击图分析出的防御优先级序列，比使用信息源单一的传统攻击图分析出的防御优先级序列更加符合实际情况。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种基于知识图谱的攻击图生成方法，其特征在于，包含：

对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图；

抽取安全相关信息时，通过设计原子攻击本体，明确抽取的安全相关信息种类；该原子攻击本体包含四种实体，该四种实体具体为：目标网络中使用的各类存在已知漏洞的软件，目标网络中使用的各类存在已知漏洞的硬件，目标网络中存在的已知软硬件的漏洞，和攻击者采取具体漏洞利用行为的攻击；

软件实体以软件名称和版本号进行标识；硬件实体以硬件品牌和型号进行标识；漏洞实体以漏洞ID进行标识；攻击实体包含攻击条件、攻击方式、攻击成功率和攻击收益四种属性；

构建知识图谱中，从信息源中抽取实体与实体间，及实体与属性间的关系；从信息源中获取指定实体的属性；并通过条件随机场模型对关系和属性进行抽取；根据知识图谱中已有实体、关系和属性，并根据攻击条件和攻击方式对攻击成功率和攻击收益进行知识推理，建立新的关系或属性，以扩展知识图谱；

建立新的关系或属性中，采用路径排序方法，通过三元组{<实例，关系，实例>|<实例，关系，属性>|<实体，关系，实例>}表示实体间关系和属性的推理规则，及实体间的连接路径，判断两者是否存在潜在关系，以扩展知识图谱；

对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，通过查询漏洞ID，对应攻击实体的攻击条件、攻击方式、攻击成功率及攻击收益，并指导从目标节点出发的反向路径搜索；以漏洞作为攻击图的顶点，通过每个漏洞对应的攻击的攻击条件属性和攻击收益属性两个属性中与权限相关的部分来获取攻击者利用该漏洞所需要的权限和成功利用漏洞后获取的权限，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

2.根据权利要求1所述的基于知识图谱的攻击图生成方法，其特征在于，抽取用于构建知识图谱的安全相关信息时，依据目标网络的网络特征，选取网络安全知识库，并通过爬虫技术，从安全相关信息源中抽取安全相关信息，该安全相关信息源至少包含漏洞信息库、安全论坛和互联网安全应急响应中心。

3.根据权利要求1所述的基于知识图谱的攻击图生成方法，其特征在于，指导从目标节点出发的反向路径搜索过程，包含如下内容：

C4)返回C1)执行，直至遍历节点集合中的全部节点。

4.根据权利要求1所述的基于知识图谱的攻击图生成方法，其特征在于，攻击图中，对于包含x个节点的攻击路径，设其从初始节点到目标节点的节点序号依次为1至x，则该路径的综合攻击成功率：

路径的综合攻击收益：

5.一种基于知识图谱的攻击图生成装置，其特征在于，基于权利要求1所述的基于知识图谱的攻击图生成方法实现，包含信息抽取模块、图谱构建模块和攻击图生成模块，其中，