CN109005069B - 基于天地一体化网络的网络安全知识图谱的关联分析方法 - Google Patents

Abstract

本发明提供了基于天地一体化网络的网络安全知识图谱的关联分析方法，给出准确的攻击判定，包括构建基于天地一体化网络的网络安全知识图谱，包括概念、实例、属性、关系、规则，概念包括攻击、事件、告警，攻击为互联网上网络攻击，事件为攻击的具体步骤，告警为与攻击相关联的告警编号；构建事件本体，事件本体的模型包括事件号、时间、设备号、来源、事件序列关系，网络安全知识图谱的事件采用事件本体的模型来描述，存入所述网络安全知识图谱中，攻击发生后，得到攻击信息，通过安全分析系统将得到攻击信息处理后与网络安全知识图谱中的事件进行匹配，匹配成功则将攻击与网络安全知识图谱中的告警进行关联，还原攻击的攻击场景。

Description

基于天地一体化网络的网络安全知识图谱的关联分析方法

技术领域

本发明涉及网络安全技术领域，具体为基于天地一体化网络的网络安全知识图谱的关联分析方法。

背景技术

天地一体化网络是以地面网络为基础、以空间网络为延伸，覆盖太空、空中、陆地、海洋等自然空间，为天基、陆基、海基等各类用户活动提供信息保障的基础设施。

近两年来，网络安全攻击事件法还是能的次数越来越多，造成的危害越来越大，尤其是对公共设施造成的影响，因此，引起了国内外学者们对网络安全攻击事件的高度关注，同时，大数据技术发展的也越来越成熟，考虑将网络安全攻击事件与运行环境等其他辅助因素进行关联，用以识别攻击的类型，因此，网络安全攻击事件关联分析技术应运而生。现有的安全事件关联分析技术有基于属性特征的关联分析、基于逻辑推理的关联分析、基于概率统计的关联分析和基于机器学习的关联分析等。但是，在实际的网络攻击中，攻击的形式和攻击工具的组合都是动态变化的，上述提到的关联分析方法就不能随着攻击的变化而给出相对准确的攻击判定了，尤其是针对天地一体化网络特有的攻击。

2012年，谷歌提出知识图谱的概念，知识图谱(Knowledge Graph)旨在描述客观世界的概念、实体、事件及其之间的关系，知识图谱本质上是一种叫做语义网络(SemanticNetwork)的知识库，即具有有向图结构的知识库，其中，图中的节点代表实体(Entity)或者概念(Concept),图中的边代表实体/概念之间的各种语义关系，一般用三元组形式表示：(实体1，关系，实体2)和(实体，属性，属性值)。

知识图谱构建的方法通常有两种：自顶向下和自底向上。知识图谱构建的步骤大体分为两步：一是知识获取，包括从结构化数据、半结构化数据和非结构化数据中获取知识；二是数据融合，将不同数据源获取的知识进行融合，构建数据之间的关系。在知识获取中又分为两步：知识图谱本体层构建和实体层的学习。目前，在世界范围内有很多知名的高质量的大规模开放知识图谱，比如DBpedia、Yago、Wikidata、BabelNet、ConceptNet以及Microsoft Concept Graph和中文开放知识图谱平台OpenKG。

在自然语言处理领域，知识图谱的构建技术及应用已经非常成熟了，但是，在网络安全领域，还没有高质量的大规模开放知识图谱，在不同领域中的知识本体构建和实体层的学习是不一样的。在网络安全领域，有和自然语言处理领域一样的结构化数据、半结构化数据和非结构化数据，比如漏洞库、snort规则库、操作系统和应用软件介绍等等，还有网络攻击的步骤。对于前者，可以使用通用的实体抽取、实体对齐等方法，但是对于网络攻击的步骤，需要描述清楚攻击步骤之间的关系，比如顺序、因果和选择等等，而且还要把时间先后和因果条件描述清楚，通用的方法显然不适用。

发明内容

本发明所要解决的技术问题是提供一种基于天地一体化网络的网络安全知识图谱的关联分析方法，用于克服现有技术存在的问题。

其技术方案是这样的：基于天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：包括以下步骤：

步骤1：构建基于天地一体化网络的网络安全知识图谱，所述网络安全知识图谱的模型包括概念、实例、属性、关系、规则，所述概念包括攻击、事件、告警，所述攻击为互联网上网络攻击，所述事件为攻击的具体步骤，所述告警为与所述攻击相关联的告警编号；

步骤2：构建事件本体，所述事件本体的模型包括事件号、时间、设备号、来源、事件序列关系，所述网络安全知识图谱的事件采用所述事件本体的模型来描述，存入所述网络安全知识图谱中；

步骤3：在天地一体化网络建立安全分析系统，攻击发生后，得到攻击信息，通过安全分析系统将得到攻击信息处理后与网络安全知识图谱中的事件进行匹配，匹配成功则将攻击的事件信息与网络安全知识图谱中的告警进行关联，还原攻击的攻击场景。

进一步的，所述实例包括所述概念中的攻击、事件、告警的具体描述；所述属性包括所述实例中的攻击、事件、告警的具体类型的属性值；所述关系包括攻击与事件、攻击与告警之间的关系；所述规则用于约束攻击与事件、攻击与告警的关联。

进一步的，攻击包括的信息：攻击的名称、攻击的类型、攻击的描述以及每种攻击的危害程度；事件包括的信息：事件的编号、事件发生的时间、事件发生的位置、事件的来源以及事件之间的关系；告警包括的信息：告警名称、告警类型、告警描述以及告警等级。

进一步的，在所述事件本体中，所述编号为事件本体中确定的唯一编号；所述时间为事件发生的时间；所述设备号为事件发生的位置，所述来源为转发事件的卫星；所述事件序列关系为攻击的各个攻击事件发生的先后顺序、因果关系和选择关系。

进一步的，步骤3具体包括如下步骤：当攻击发生后，通过数据采集系统采集日志信息，从数据库获取日志信息集合L，从日志中抽取出攻击的事件信息，采用所述事件本体的模型来描述事件信息，获得唯一事件号；

去除日志信息集合L中的冗余的事件，得到事件集合E；

对事件集合E中的事件按时间先后顺序进行排序，得到事件列表S，并把事件列表S按时间窗口长度α划分为n个事件列表T_n＝[T₁，T₂，…，T_i](1≤i≤n)，每一个时间窗口包含一组事件序列T_i＝[E_i1，E_i2，…，E_ij](j≥1)；

遍历时间窗口，将该时间窗口下事件序列中的每个事件E_ij分别与网络安全知识库里的网络安全知识图谱中事件中的实例进行匹配，统计匹配成功次数n，并计算匹配成功率，匹配成功率是匹配成功的事件数与知识图谱中预存的攻击的事件数相比，设定告警阈值β，若匹配成功率大于告警阈值β，则认为与网络安全知识图谱的攻击匹配成功，继而遍历与此攻击关联的告警信息，并将得到的关联的告警信息A_i与该时间窗口的事件序列一起放入事件-告警集合R中，否则只把该事件序列放入事件-告警集合R中，最后返回得到事件-告警集合R，根据事件-告警集合R还原攻击场景。

进一步的，所述日志分别包括系统日志、防火墙日志和IDS日志。

进一步的，所述网络安全知识图谱是基于天地一体化网络的网络安全知识库构建的，所述事件本体用于构建基于天地一体化网络的网络安全事件库，并扩充基于天地一体化网络的网络安全知识库。

进一步的，所述天地一体化网络包括天基骨干网、天基接入网、地基节点网，所述天地一体化网络与地面互联网和移动通信网互联互通，分别在天基骨干网、天基接入网、地基节点网部署安全设备监测与处置模块，将采集到的数据分别通过异构网间安全互联网关汇集组件和地面网间安全互联网关汇集组件集中传入数据库，然后由网络安全分析系统得出分析结果。

进一步的，还原攻击场景为网络安全分析系统的前端展示界面从后端图数据库中读取事件-告警集合R，并以图形化的形式展示出来。

本发明的基于天地一体化网络的网络安全知识图谱的关联分析方法，针对天地一体化网络特有的攻击，通过网络安全知识图谱的构建，能够涵盖与网络安全相关的知识，通过事件本体的构建，涵盖对于网络攻击事件的步骤描述以及步骤之间的关系描述，在实际的网络攻击中，攻击的形式和攻击工具的组合都是动态变化的，虽然攻击的方式多种多样，但每类攻击都有固定的攻击模式，通过采用本发明的本发明的基于天地一体化网络的网络安全知识图谱的关联分析方法，即使使不同的攻击工具，也不会影响对攻击类型的研判，知识图谱中存在攻击相关信息，当真实的攻击的步骤与知识图谱中的攻击的步骤的匹配，超过提出的阈值，就可以判断出攻击的类型，匹配成功则将攻击与对应的网络安全知识图谱中的告警进行关联，还原攻击的攻击场景，本发明提出的基于天地一体化网络的网络安全知识图谱的关联分析方法不仅适用于样本数量多的情况，也适用于样本数量少的情况，在样本数量多的情况下，还原出来的攻击场景会十分接近真实的攻击情况，在样本数量少的情况下，还原出来的攻击场景可能是真实攻击情况的一部分，换言之，只要有样本，就可以还原攻击场景。

附图说明

图1为事件本体构建的关系的示意图；

图2为攻击事件关联分析的流程图。

具体实施方式

本发明的基于天地一体化网络的网络安全知识图谱的关联分析方法，包括以下步骤：

步骤1：构建基于天地一体化网络的网络安全知识库，在网络安全知识库中构建网络安全知识图谱，网络安全知识图谱的维度包括：概念、实例、属性、关系、规则，K表示知识图谱，K＝<概念，实例，属性，关系，规则>，其中：

概念表示为Concept＝{concept_i|i＝1，…，n}，概念是抽象本体的集合，包括攻击、事件、告警，攻击为互联网上网络攻击，事件为攻击的具体步骤，告警为与攻击相关联的告警信号。

实例表示为Instance＝{instance_i|i＝1，…，m}，实例包括概念中的攻击、事件、告警的具体类型，如木马、扫描端口、告警ID:1503等。

属性表示为Properties＝{<instance_i,Pro_ij,value_j>}，包括实例中的攻击、事件、告警的具体类型的属性值，属性是实例的属性值的集合。

关系表示为Relation＝<attack_i,Rcc,alarm_j>|<attack_i,R_ci,event_j>，关系包括攻击与事件、攻击与告警之间的关系，例如subClassOf,instanceOf,beRaletedTo等。

规则表示为Rule＝{rule|rule＝<attack_i,newR_ij,event_j>|<attavk_i,newR_ij,alarm_j>,based on K}，用于约束攻击与事件、攻击与告警的关联。

攻击包括的信息有攻击的名称、攻击的类型、攻击的描述以及每种攻击的危害程度，通过网络爬虫爬取网站上关于攻击的描述信息，将互联网上非结构化数据处理成结构化数据，存入数据库。

事件包括的信息有事件的编号、事件发生的时间、事件发生的位置、事件的来源以及事件之间的关系，通过网络爬虫爬取网站上关于攻击步骤的描述信息来获取信息，比如，snort规则库和IDS日志等，将互联网上非结构化数据处理成结构化数据，存入数据库。

告警包括的信息有告警名称、告警类型、告警描述以及告警等级，主要来自入侵检测系统(IDS)产生的告警，将互联网上非结构化数据处理成结构化数据，存入数据库。

根据上述的信息来源可以构建网络安全知识图谱和相应的网络安全知识库。

步骤2：构建基于天地一体化网络的网络安全事件库，在网络安全事件库中针对攻击构建事件本体，并扩充基于天地一体化网络的网络安全知识库，所述事件本体的模型包括事件号、时间、设备号、来源、事件序列关系，所述网络安全知识图谱的事件采用所述事件本体的模型来描述，存入所述网络安全知识图谱中；

由于天地一体化网络具有的时间属性和空间属性的特点，而知识图谱中的属性指的是实例的属性，而很多实例是不具备时间属性和空间属性的，因此在知识图谱构建的基础上，细化事件的内容，故提出事件本体的构建。

E表示事件本体，E＝<事件号、时间、设备号、来源、事件序列关系>，其中：

编号为事件本体中确定的唯一编号；时间为事件发生的时间；设备号为事件发生的位置，来源为转发事件的卫星；事件序列关系为攻击的各个事件发生的先后顺序、因果关系和选择关系。

图1展示了事件本体构建的关系。

步骤3：攻击事件关联分析

天地一体化网络包括天基骨干网、天基接入网、地基节点网，天地一体化网络与地面互联网和移动通信网互联互通，分别在天基骨干网、天基接入网、地基节点网部署安全设备监测与处置模块，将采集到的数据分别通过异构网间安全互联网关汇集组件和地面网间安全互联网关汇集组件集中传入数据库，然后由网络安全分析系统得出分析结果；在天地一体化网络建立安全分析系统，攻击发生后，得到攻击信息，通过安全分析系统将得到攻击信息处理后与网络安全知识图谱中的事件进行匹配，匹配成功则将攻击的事件信息与网络安全知识图谱中的告警进行关联，还原攻击的攻击场景。

见图2，步骤3具体包括如下步骤：

当攻击发生后，通过数据采集系统采集日志信息，从数据库获取日志信息集合L，从日志中抽取出攻击的事件信息，采用所述事件本体的模型来描述事件信息，获得唯一事件号；

去除日志信息集合L中的冗余的事件，得到事件集合E；

对事件集合E中的事件按时间先后顺序进行排序，得到事件列表S，并把事件列表S按时间窗口长度α划分为n个事件列表T_n＝[T₁，T₂，…，T_i](1≤i≤n)，每一个时间窗口包含一组事件序列T_i＝[E_i1，E_i2，…，E_ij](j≥1)；

遍历时间窗口，将该时间窗口下事件序列中的每个事件E_ij分别与网络安全知识库里的网络安全知识图谱中事件中的实例进行匹配，统计匹配成功次数n，并计算匹配成功率，匹配成功率是匹配成功的事件数与知识图谱中预存的攻击的事件数相比，设定告警阈值β，若匹配成功率大于告警阈值β，则认为与网络安全知识图谱的攻击匹配成功，继而遍历与此攻击关联的告警信息，并将得到的关联的告警信息A_i与该时间窗口的事件序列一起放入事件-告警集合R中，否则只把该事件序列放入事件-告警集合R中，最后返回得到事件-告警集合R，根据事件-告警集合R还原攻击场景。

以下通过一次模拟攻击对步骤3中的攻击事件关联分析进行详细说明：

模拟攻击结束后，数据采集系统采集跳板机、僵尸机和目标机的系统日志、防火墙日志以及IDS日志，从这些日志信息中抽取事件信息10个，并根据时间戳对这些事件信息进行去冗余的预处理操作，然后按时间顺序将剩下的7个事件排序，将这些事件列表按时间窗口长度10秒划分为4个事件序列，将这4个事件序列的事件与知识图谱中的事件匹配，第一个事件序列包含3个事件：use ssh、open phishing email和scan port。这3个事件与知识图谱中事件的匹配成功率为90％，大于设置的阈值60％，与事件匹配成功后，遍历与此事件关联的告警，然后将这3个事件与告警关联起来；然后进行第二个事件序列的匹配，第二个事件序列包含2个事件：get permission和steal information，这2个事件与知识图谱中事件的匹配成功率为75％，大于设置的阈值60％，与事件匹配成功后，遍历与此事件关联的告警，将这2个事件与告警关联起来；第三个事件序列包含1个事件：host paralysis，这一个事件与知识图谱中事件的匹配成功率为25％，小于设置的阈值60％，不遍历与此事件的关联；第四个事件序列包含1个事件：network interruption，这一个事件与知识图谱中事件序列的匹配成功率为68％，大于设置的阈值60％，遍历与此事件的关联，将这1个事件与告警关联起来。最后，按时间顺序将所有的事件和告警都关联起来，还原出此次模拟攻击的攻击场景。

本发明的基于天地一体化网络的网络安全知识图谱的关联分析方法，针对天地一体化网络特有的攻击，通过网络安全知识图谱的构建，能够涵盖与网络安全相关的知识，通过事件本体的构建，涵盖对于网络攻击事件的步骤描述以及步骤之间的关系描述，在实际的网络攻击中，攻击的形式和攻击工具的组合都是动态变化的，虽然攻击的方式多种多样，但每类攻击都有固定的攻击模式，通过采用本发明的本发明的基于天地一体化网络的网络安全知识图谱的关联分析方法，即使使不同的攻击工具，也不会影响对攻击类型的研判，知识图谱中存在攻击相关信息，当真实的攻击的步骤与知识图谱中的攻击的步骤的匹配，超过提出的阈值，就可以判断出攻击的类型，匹配成功则将攻击与对应的网络安全知识图谱中的告警进行关联，还原攻击的攻击场景，本发明提出的基于天地一体化网络的网络安全知识图谱的关联分析方法不仅适用于样本数量多的情况，也适用于样本数量少的情况，在样本数量多的情况下，还原出来的攻击场景会十分接近真实的攻击情况，在样本数量少的情况下，还原出来的攻击场景可能是真实攻击情况的一部分，换言之，只要有样本，就可以还原攻击场景。

Claims (5)

1.基于天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：包括以下步骤：

步骤1：构建基于天地一体化网络的网络安全知识图谱，所述网络安全知识图谱的模型包括概念、实例、属性、关系、规则，所述概念包括攻击、事件、告警，所述攻击为互联网上网络攻击，所述事件为攻击的具体步骤，所述告警为与所述攻击相关联的告警编号；

步骤2：构建事件本体，所述事件本体的模型包括事件号、时间、设备号、来源、事件序列关系，所述网络安全知识图谱的事件采用所述事件本体的模型来描述，存入所述网络安全知识图谱中；

步骤3：在天地一体化网络建立安全分析系统，攻击发生后，得到攻击的事件信息，通过安全分析系统将得到攻击信息处理后与网络安全知识图谱中的事件进行匹配，匹配成功则将攻击的事件信息与网络安全知识图谱中的告警进行关联，还原攻击的攻击场景；

所述实例包括所述概念中的攻击、事件、告警的具体描述；所述属性包括所述实例中的攻击、事件、告警的具体类型的属性值；所述关系包括攻击与事件、攻击与告警之间的关系；所述规则用于约束攻击与事件、攻击与告警的关联；

攻击包括的信息：攻击的名称、攻击的类型、攻击的描述以及每种攻击的危害程度；事件包括的信息：事件的编号、事件发生的时间、事件发生的位置、事件的来源以及事件之间的关系；告警包括的信息：告警名称、告警类型、告警描述以及告警等级；

在所述事件本体中，所述编号为事件本体中确定的唯一编号；所述时间为事件发生的时间；所述设备号为事件发生的位置，所述来源为转发事件的卫星；所述事件序列关系为攻击的各个事件发生的先后顺序、因果关系和选择关系；

步骤3具体包括如下步骤：当攻击发生后，通过数据采集系统采集日志信息，从数据库获取日志信息集合L，从日志中抽取出攻击的事件信息，采用所述事件本体的模型来描述事件信息，获得唯一事件号；

去除日志信息集合L中的冗余的事件，得到事件集合E；

对事件集合E中的事件按时间先后顺序进行排序，得到事件列表S，并把事件列表S按时间窗口长度α划分为n个事件列表T_n＝[T₁，T₂，…，T_i](1≤i≤n)，每一个时间窗口包含一组事件序列T_i＝[E_i1，E_i2，…，E_ij](j≥1)；

遍历时间窗口，将该时间窗口下事件序列中的每个事件E_ij分别与网络安全知识库里的网络安全知识图谱中事件中的实例进行匹配，统计匹配成功次数n，并计算匹配成功率，匹配成功率是匹配成功的事件数与知识图谱中预存的攻击的事件数相比，设定告警阈值β，若匹配成功率大于告警阈值β，则认为与网络安全知识图谱的攻击匹配成功，继而遍历与此攻击关联的告警信息，并将得到的关联的告警信息A_i与该时间窗口的时间序列一起放入事件-告警集合R中，否则只把该事件序列放入事件-告警集合R中，最后返回得到事件-告警集合R，根据事件-告警集合R还原攻击场景。

2.根据权利要求1所述的天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：所述日志分别包括系统日志、防火墙日志和IDS日志。

3.根据权利要求1所述的基于天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：所述网络安全知识图谱是基于天地一体化网络的网络安全知识库构建的，所述事件本体用于构建基于天地一体化网络的网络安全事件库，并扩充基于天地一体化网络的网络安全知识库。

4.根据权利要求1所述的基于天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：所述天地一体化网络包括天基骨干网、天基接入网、地基节点网，所述天地一体化网络与地面互联网和移动通信网互联互通，分别在天基骨干网、天基接入网、地基节点网部署安全设备监测与处置模块，将采集到的数据分别通过异构网间安全互联网关汇集组件和地面网间安全互联网关汇集组件集中传入数据库，然后由网络安全分析系统得出分析结果。

5.根据权利要求1所述的基于天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：还原攻击场景为网络安全分析系统的前端展示界面从后端图数据库中读取事件-告警集合R，并以图形化的形式展示出来。

Images