CN109922075B - 网络安全知识图谱构建方法和装置、计算机设备 - Google Patents
网络安全知识图谱构建方法和装置、计算机设备 Download PDFInfo
- Publication number
- CN109922075B CN109922075B CN201910220853.9A CN201910220853A CN109922075B CN 109922075 B CN109922075 B CN 109922075B CN 201910220853 A CN201910220853 A CN 201910220853A CN 109922075 B CN109922075 B CN 109922075B
- Authority
- CN
- China
- Prior art keywords
- asset
- attack
- entity
- network security
- security knowledge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010276 construction Methods 0.000 title claims abstract description 19
- 238000001514 detection method Methods 0.000 claims abstract description 16
- 238000000034 method Methods 0.000 claims description 52
- 239000013598 vector Substances 0.000 claims description 52
- 238000004590 computer program Methods 0.000 claims description 14
- 238000000605 extraction Methods 0.000 claims description 8
- 230000000694 effects Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络安全知识图谱构建方法和装置、计算机设备、计算机存储介质。上述网络安全知识图谱构建方法包括:从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱。本发明可以更加完整地对目标网络进行网络安全问题检测,提高了网络安全问题的检测效果。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络安全知识图谱构建方法和装置、计算机设备、计算机存储介质。
背景技术
随着网络技术的高速发展,网络在人们的生活和工作中得到广泛应用。网络安全维护是网络技术的重要组成部分,其能为用户提供安全稳定的网络环境,是基于网络开展的各类活动顺利进行的重要保障。网络攻击检测等网络安全问题的检测可以对网络安全问题得到有效预防,传统的网络安全检测技术需要分别针对各类网络安全问题进行相应检测,具有局限性,容易影响网络安全问题的检测效果。
发明内容
基于此,有必要针对传统方案容易影响网络安全问题的检测效果的技术问题,提供一种网络安全知识图谱构建方法和装置、计算机设备、计算机存储介质。
一种网络安全知识图谱构建方法,包括:
从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;
检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;
分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱。
在其中一个实施例中,所述从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体的过程之前,还包括:
采集目标网络的威胁事件特征向量、资产特征向量和威胁情报信息,根据所述威胁事件特征向量、资产特征向量和威胁情报信息构建网络安全知识库。
在其中一个实施例中,所述分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱的过程之后,还包括:
从所述网络安全知识图谱提取所述资产实体的告警信息,识别所述告警信息关联的原始攻击数据,根据所述原始攻击数据提取所述攻击实体的攻击手段,根据所述攻击手段构建攻击特征向量。
作为一个实施例,所述分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱的过程之后,还包括:
从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量。
作为一个实施例,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述攻击特征向量和所述资产脆弱性特征向量构建攻击链路,根据所述攻击链路构建攻击图谱。
作为一个实施例,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述攻击图谱推演目标网络的黑客画像图谱。
在其中一个实施例中,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述资产脆弱性特征向量构建目标网络的安全态势推演图谱。
一种网络安全知识图谱构建装置,包括:
抽取模块,用于从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;
检测模块,用于检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;
第一提取模块,用于分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱。
一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一实施例提供的网络安全知识图谱构建方法。
一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一实施例提供的网络安全知识图谱构建方法。
上述网络安全知识图谱构建方法、装置、计算机设备和计算机存储介质,可以构建表征目标网络各类信息的网络安全知识图谱,使网络安全知识图谱对目标网络的各个资产实体,各个资产实体分别对应的资产属性,以及资产实体中攻击实体和被攻击实体之间的实体间关系进行完整且准确地表达,这样便可以依据上述网络安全知识图谱进行目标网络的网络攻击等安全问题的检测和推演,可以更加完整地对目标网络进行网络安全问题检测,提高了网络安全问题的检测效果。
附图说明
图1为一个实施例的网络安全知识图谱构建方法流程图;
图2为一个实施例的网络安全知识图谱构建过程示意图;
图3为一个实施例的网络安全知识图谱构建装置结构示意图;
图4为一个实施例的计算机设备内部结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
需要说明的是,本发明实施例所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换,以使这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
本发明实施例的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
参考图1所示,图1为一个实施例的网络安全知识图谱构建方法流程图,包括:
S10,从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;
上述网络安全知识库可以包括目标网络的各个资产实体、各个资产实体分别关联的资产属性,还包括网络安全漏洞库、威胁事件知识库和网络安全事件处置经验库等单元数据库;依据上述网络安全知识库的网络安全漏洞库可以抽取攻击源信息和攻击目标信息,从而识别攻击源信息关联的攻击实体,以及攻击目标信息关联的被攻击实体。上述攻击实体为目标网络中的某个或者某些资产实体,上述被攻击实体为目标网络中的某个或者某些资产实体。
具体地,上述目标网络可以为需要进行网络安全知识图谱构建的企业网络;资产实体包括上述目标网络的各个网络设备。攻击源信息包括攻击源IP(互联网协议地址),依据上述攻击源信息可以对其关联的攻击实体进行准确识别。攻击源信息包括攻击源IP,依据上述攻击目标信息可以对其关联的被攻击实体进行准确识别。上述攻击实体和被攻击实体可以形成网络安全知识图谱中的最基本的元素,在进行攻击实体和被攻击实体的识别之后,可以对攻击实体和被攻击实体进行数据增强处理,以确定网络安全知识图谱的基本元素。
S20,检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;
上述步骤依据攻击实体到被攻击实体之间形成的威胁告警事件可以形成实体关系上下文信息,以确定目标网络的实体间关系,以解决网络攻击的语义问题,形成确定性的关联关系。
S30,分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱。
上述资产属性可以包括相应资产实体对应的IP地址、开放端口、进程列表、操作系统、运行软件信息、网络连接关系、归属业务系统和归属人员等属性信息;资产属性值为表征相应资产属性状态的数据。对资产实体的属性进行提取,可以为每个资产实体语义类构造资产属性和资产属性值键值对,上述资产属性和资产属性值可以形成完整的实体概念的知识图谱维度。上述网络安全知识图谱可以清楚完整地表征目标网络的各个资产实体,各个资产实体分别对应的资产属性,以及资产实体中攻击实体和被攻击实体之间的实体间关系。
本实施例提供的网络安全知识图谱构建方法,可以构建表征目标网络各类信息的网络安全知识图谱,使网络安全知识图谱对目标网络的各个资产实体,各个资产实体分别对应的资产属性,以及资产实体中攻击实体和被攻击实体之间的实体间关系进行完整且准确地表达,这样便可以依据上述网络安全知识图谱进行目标网络的网络攻击等安全问题的检测和推演,可以更加完整地对目标网络进行网络安全问题检测,提高了网络安全问题的检测效果。
在一个实施例中,所述从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体的过程之前,还包括:
采集目标网络的威胁事件特征向量、资产特征向量和威胁情报信息,根据所述威胁事件特征向量、资产特征向量和威胁情报信息构建网络安全知识库。
上述威胁事件特征向量所包括的信息来源于目标网络的各个网络安全设备,可以根据目标网络中各个资产实体的入侵检测设备、Web应用防火墙、入侵防御设备等网络安全设备所产生的网络安全数据构建威胁事件特征向量。上述资产特征向量包括IP地址、操作系统、中间件、数据库等资产实体的属性特征信息,其可以通过IP地址、操作系统、中间件、数据库等属性特征数据进行构建。上述威胁情报信息可以从目标网络的防病毒软件以及上述目标网络的外部情报共享库中获取,威胁情报信息可以包括恶意代码家族图谱、恶意代码Hash值、IP信誉值和DNS域名情报。
本实施例构建网络安全知识库可以包括目标网络中各个资产实体的各类信息,可以保证依据上述网络安全知识库所构建的网络安全知识图谱的准确性。
在一个实施例中,所述分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱的过程之后,还包括:
从所述网络安全知识图谱提取所述资产实体的告警信息,识别所述告警信息关联的原始攻击数据,根据所述原始攻击数据提取所述攻击实体的攻击手段,根据所述攻击手段构建攻击特征向量。
本实施例可以从网络安全知识图谱中准确快捷地对告警信息进行相应提取,对上述告警信息关联的原始攻击数据进行快速识别,可以提高构建目标网络的攻击特征向量的效率,从而提高检测目标网络安全问题的效率。
作为一个实施例,所述分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱的过程之后,还包括:
从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量。
从网络安全知识图谱可以准确高效地对资产实体的成功攻击日志和该资产实体的资产属性进行提取,保证了构建资产脆弱性特征向量的高效性和准确性。
作为一个实施例,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述攻击特征向量和所述资产脆弱性特征向量构建攻击链路,根据所述攻击链路构建攻击图谱。
上述网络安全知识图谱融合目标网络各个资产实体的信息,包括资产特征、漏洞特征和攻击告警特征,从上述网络安全知识图谱可以挖掘网络安全知识价值,上述网络安全知识价值可以包括攻击向量理解、实体资产脆弱性理解和攻击意图理解,基于不同阶段的网络安全知识价值可以融合构建攻击链路,确定目标网络的攻击特征与资产实体的脆弱性;根据资产实体与资产实体间的攻击路径信息将目标网络的各个攻击链路进行串联,可以构建目标网络的攻击图谱。上述攻击图谱可以表征目标网络中各资产实体的脆弱性关联关系,以及威胁网络安全的攻击路径,以进行相应的图谱分析。
作为一个实施例,依据上述基于经验知识和攻击链融合分析,可以推理并挖掘网络安全知识图谱中的APT(高级持续性威胁)攻击行为图谱。
作为一个实施例,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述攻击图谱推演目标网络的黑客画像图谱。
本实施例可以对目标网络的黑客画像图谱进行相应推演,以对目标网络的黑客进行全面有效的检测。
在一个实施例中,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述资产脆弱性特征向量构建目标网络的安全态势推演图谱。
本实施例可以对目标网络的安全态势推演图谱进行构建,以对目标网络的各类安全态势进行全面监测。
作为一个实施例,上述网络安全知识图谱构建过程可以参考图2所示,可以构建包括目标网络的网络安全攻击数据、公司资产数据以及威胁情报等各类数据的网络安全知识库,通过各类支撑技术进行知识提取、知识表示等处理,以构建网络安全知识图谱,再进行知识融合和/或知识推理等处理,以获得进行网络安全问题检测所需的图谱,使目标网络的网络安全问题得到全面检测。
本实施例可以使用人工智能算法进行技术支撑,构建网络安全知识图谱,以解决网络安全领域的知识理解、攻击推演等问题,能够通过知识图谱挖掘高级威胁攻击。
参考图3,图3所示为一个实施例的网络安全知识图谱构建装置结构示意图,包括:
抽取模块10,用于从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;
检测模块20,用于检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;
提取模块30,用于分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱。
在一个实施例中,上述网络安全知识图谱构建装置,还包括:
采集模块,用于采集目标网络的威胁事件特征向量、资产特征向量和威胁情报信息,根据所述威胁事件特征向量、资产特征向量和威胁情报信息构建网络安全知识库。
在一个实施例中,上述网络安全知识图谱构建装置,还包括:
第二提取模块,用于从所述网络安全知识图谱提取所述资产实体的告警信息,识别所述告警信息关联的原始攻击数据,根据所述原始攻击数据提取所述攻击实体的攻击手段,根据所述攻击手段构建攻击特征向量。
作为一个实施例,上述网络安全知识图谱构建装置,还包括:
第三提取模块,用于从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量。
作为一个实施例,上述网络安全知识图谱构建装置,还包括:
第一构建模块,用于根据所述攻击特征向量和所述资产脆弱性特征向量构建攻击链路,根据所述攻击链路构建攻击图谱。
作为一个实施例,上述网络安全知识图谱构建装置,还包括:
推演模块,用于根据所述攻击图谱推演目标网络的黑客画像图谱。
在一个实施例中,上述网络安全知识图谱构建装置,还包括:
第二构建模块,用于根据所述资产脆弱性特征向量构建目标网络的安全态势推演图谱。
关于网络安全知识图谱构建装置的具体限定可以参见上文中对于网络安全知识图谱构建方法的限定,在此不再赘述。上述网络安全知识图谱构建装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网络安全知识库。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络安全知识图谱构建方法。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
基于如上所述的示例,在一个实施例中还提供一种计算机设备,该计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行所述程序时实现如上述各实施例中的任意一种网络安全知识图谱构建方法。
上述计算机设备,通过所述处理器上运行的计算机程序,实现了网络安全问题检测效果的提升。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性的计算机可读取存储介质中,如本发明实施例中,该程序可存储于计算机系统的存储介质中,并被该计算机系统中的至少一个处理器执行,以实现包括如上述网络安全知识图谱构建方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
据此,在一个实施例中还提供一种计算机存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如上述各实施例中的任意一种网络安全知识图谱构建方法。
上述计算机存储介质,通过其存储的计算机程序,能够更加完整地对目标网络进行网络安全问题检测,提高了网络安全问题的检测效果。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络安全知识图谱构建方法,其特征在于,包括如下步骤:
从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;
检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;
分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱;
从所述网络安全知识图谱提取所述资产实体的成功攻击日志和所述资产实体的资产属性,根据所述成功攻击日志和所述资产属性构建被攻击实体的资产脆弱性特征向量。
2.根据权利要求1所述的网络安全知识图谱构建方法,其特征在于,所述从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体的过程之前,还包括:
采集目标网络的威胁事件特征向量、资产特征向量和威胁情报信息,根据所述威胁事件特征向量、资产特征向量和威胁情报信息构建网络安全知识库。
3.根据权利要求1或2所述的网络安全知识图谱构建方法,其特征在于,所述分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱的过程之后,还包括:
从所述网络安全知识图谱提取所述资产实体的告警信息,识别所述告警信息关联的原始攻击数据,根据所述原始攻击数据提取所述攻击实体的攻击手段,根据所述攻击手段构建攻击特征向量。
4.根据权利要求3所述的网络安全知识图谱构建方法,其特征在于,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述攻击特征向量和所述资产脆弱性特征向量构建攻击链路,根据所述攻击链路构建攻击图谱。
5.根据权利要求4所述的网络安全知识图谱构建方法,其特征在于,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和所述资产实体的资产属性,根据所述成功攻击日志和所述资产属性构建被攻击实体的资产脆弱性特征向量的过程之后,还包括:
根据所述攻击图谱推演目标网络的黑客画像图谱。
6.根据权利要求1或5任一项所述的网络安全知识图谱构建方法,其特征在于,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和所述资产实体的资产属性,根据所述成功攻击日志和所述资产属性构建被攻击实体的资产脆弱性特征向量的过程之后,还包括:
根据所述资产脆弱性特征向量构建目标网络的安全态势推演图谱。
7.根据权利要求1所述的网络安全知识图谱构建方法,其特征在于,所述检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系包括:
依据所述攻击实体和被攻击实体之间的威胁告警事件,形成实体关系上下文信息;
根据所述实体关系上下文信息,确定目标网络的实体间关系,并形成确定性的关联关系;
将所述确定性的关联关系确定为所述实体间关系。
8.一种网络安全知识图谱构建装置,其特征在于,包括:
抽取模块,用于从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;
检测模块,用于检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;
第一提取模块,用于分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱;
构建模块,用于从所述网络安全知识图谱提取所述资产实体的成功攻击日志和所述资产实体的资产属性,根据所述成功攻击日志和所述资产属性构建被攻击实体的资产脆弱性特征向量。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任意一项所述的网络安全知识图谱构建方法。
10.一种计算机存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7任意一项所述的网络安全知识图谱构建方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910220853.9A CN109922075B (zh) | 2019-03-22 | 2019-03-22 | 网络安全知识图谱构建方法和装置、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910220853.9A CN109922075B (zh) | 2019-03-22 | 2019-03-22 | 网络安全知识图谱构建方法和装置、计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109922075A CN109922075A (zh) | 2019-06-21 |
| CN109922075B true CN109922075B (zh) | 2020-06-02 |
Family
ID=66966271
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910220853.9A Active CN109922075B (zh) | 2019-03-22 | 2019-03-22 | 网络安全知识图谱构建方法和装置、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109922075B (zh) |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110472226A (zh) * | 2019-07-03 | 2019-11-19 | 五邑大学 | 一种基于知识图谱的网络安全态势预测方法及装置 |
| CN110321394A (zh) * | 2019-07-09 | 2019-10-11 | 中国电子科技集团公司第二十八研究所 | 基于知识图谱的网络安全数据组织方法及计算机存储介质 |
| CN110532480B (zh) * | 2019-07-15 | 2022-06-17 | 中国科学院信息工程研究所 | 一种用于人读威胁情报推荐的知识图谱构建方法及威胁情报推荐方法 |
| CN110611651B (zh) * | 2019-07-19 | 2022-05-27 | 中国工商银行股份有限公司 | 网络监控方法、网络监控装置和电子设备 |
| CN110717049B (zh) * | 2019-08-29 | 2020-12-04 | 四川大学 | 一种面向文本数据的威胁情报知识图谱构建方法 |
| CN110535866B (zh) * | 2019-09-02 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 系统画像的生成方法、装置及服务器 |
| CN112491636B (zh) * | 2019-09-11 | 2023-04-18 | 华为技术有限公司 | 数据处理方法及装置、计算机存储介质 |
| CN110609910B (zh) * | 2019-09-18 | 2023-01-31 | 金色熊猫有限公司 | 医学知识图谱构建方法及装置、存储介质和电子设备 |
| CN110807104B (zh) * | 2019-11-08 | 2023-04-14 | 上海明胜品智人工智能科技有限公司 | 异常信息的确定方法及装置、存储介质、电子装置 |
| CN110933101B (zh) * | 2019-12-10 | 2022-11-04 | 腾讯科技(深圳)有限公司 | 安全事件日志处理方法、装置及存储介质 |
| CN111181959A (zh) * | 2019-12-30 | 2020-05-19 | 论客科技(广州)有限公司 | 一种基于邮件数据的威胁情报知识图谱构建方法及装置 |
| CN111224981B (zh) * | 2019-12-31 | 2022-05-17 | 北京天融信网络安全技术有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
| CN111259088B (zh) * | 2020-01-13 | 2024-04-26 | 中孚安全技术有限公司 | 一种基于画像技术的用户网络行为审计建模方法 |
| CN111431939B (zh) * | 2020-04-24 | 2022-03-22 | 郑州大学体育学院 | 基于cti的sdn恶意流量防御方法 |
| CN111698207B (zh) * | 2020-05-07 | 2023-02-28 | 北京华云安信息技术有限公司 | 网络信息安全的知识图谱的生成方法、设备和存储介质 |
| CN111581397A (zh) * | 2020-05-07 | 2020-08-25 | 南方电网科学研究院有限责任公司 | 一种基于知识图谱的网络攻击溯源方法、装置及设备 |
| CN111641621B (zh) * | 2020-05-21 | 2022-05-20 | 杭州安恒信息技术股份有限公司 | 物联网安全事件识别方法、装置和计算机设备 |
| CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
| CN111787000B (zh) * | 2020-06-30 | 2022-03-25 | 绿盟科技集团股份有限公司 | 网络安全评估方法及电子设备 |
| CN112073415B (zh) * | 2020-09-08 | 2022-11-15 | 北京天融信网络安全技术有限公司 | 一种网络安全知识图谱的构建方法及装置 |
| CN112165462A (zh) * | 2020-09-11 | 2021-01-01 | 哈尔滨安天科技集团股份有限公司 | 基于画像的攻击预测方法、装置、电子设备及存储介质 |
| CN114430355A (zh) * | 2020-10-15 | 2022-05-03 | 华为技术有限公司 | 路径确定方法及装置、计算机存储介质 |
| CN112291261A (zh) * | 2020-11-13 | 2021-01-29 | 福建奇点时空数字科技有限公司 | 一种知识图谱驱动的网络安全日志审计分析方法 |
| CN112600800B (zh) * | 2020-12-03 | 2022-07-05 | 中国电子科技网络信息安全有限公司 | 基于图谱的网络风险评估方法 |
| CN112468347B (zh) * | 2020-12-14 | 2022-02-25 | 中国科学院信息工程研究所 | 一种云平台的安全管理方法、装置、电子设备及存储介质 |
| CN112487208B (zh) * | 2020-12-14 | 2023-06-30 | 杭州安恒信息技术股份有限公司 | 一种网络安全数据关联分析方法、装置、设备及存储介质 |
| CN112738071B (zh) * | 2020-12-25 | 2023-07-28 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN112887285B (zh) * | 2021-01-15 | 2022-03-11 | 中国科学院地理科学与资源研究所 | 一种跨空间图层映射的网络行为智能画像分析方法 |
| CN112910851B (zh) * | 2021-01-16 | 2021-10-15 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的数据包标记溯源装置 |
| CN113067812B (zh) * | 2021-03-17 | 2023-02-28 | 安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
| CN112925921B (zh) * | 2021-04-21 | 2022-02-22 | 海南大学 | 基于dikw图谱的资源识别方法、相关装置及可读介质 |
| CN113282759B (zh) * | 2021-04-23 | 2024-02-20 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于威胁情报的网络安全知识图谱生成方法 |
| CN113315760A (zh) * | 2021-05-13 | 2021-08-27 | 杭州木链物联网科技有限公司 | 一种基于知识图谱的态势感知方法、系统、设备及介质 |
| CN113282764B (zh) * | 2021-06-29 | 2023-05-23 | 南方电网科学研究院有限责任公司 | 一种网络安全数据知识图谱构建方法及装置 |
| CN113591077B (zh) * | 2021-07-30 | 2024-03-19 | 北京邮电大学 | 一种网络攻击行为预测方法、装置、电子设备及存储介质 |
| CN113612763B (zh) * | 2021-07-30 | 2022-06-03 | 北京交通大学 | 基于网络安全恶意行为知识库的网络攻击检测装置和方法 |
| CN113726784B (zh) * | 2021-08-31 | 2023-05-12 | 深圳平安医疗健康科技服务有限公司 | 一种网络数据的安全监控方法、装置、设备及存储介质 |
| CN113783874B (zh) * | 2021-09-10 | 2023-08-29 | 国网数字科技控股有限公司 | 基于安全知识图谱的网络安全态势评估方法及系统 |
| CN114172701B (zh) * | 2021-11-25 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 基于知识图谱的apt攻击检测方法及装置 |
| CN114257420B (zh) * | 2021-11-29 | 2024-01-09 | 中国人民解放军63891部队 | 一种基于知识图谱的网络安全测试的生成方法 |
| CN114301716B (zh) * | 2022-02-22 | 2023-05-26 | 绿盟科技集团股份有限公司 | 一种网络安全评估方法、装置、网络安全设备及存储介质 |
| CN114710392B (zh) * | 2022-03-23 | 2024-03-12 | 阿里云计算有限公司 | 事件信息的获取方法及装置 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
| CN114745183B (zh) * | 2022-04-14 | 2023-10-27 | 浙江网商银行股份有限公司 | 告警方法以及装置 |
| CN115134122B (zh) * | 2022-05-30 | 2024-04-26 | 上海安锐信科技有限公司 | 一种基于工业系统网络实体的威胁图谱的构建方法 |
| CN115048533B (zh) * | 2022-06-21 | 2023-06-27 | 四维创智(北京)科技发展有限公司 | 知识图谱构建的方法、装置、电子设备及可读存储介质 |
| CN115208684B (zh) * | 2022-07-26 | 2023-03-14 | 中国电子科技集团公司第十五研究所 | 一种基于超图关联的apt攻击线索拓展方法和装置 |
| CN115098705B (zh) * | 2022-08-25 | 2022-11-11 | 成都航空职业技术学院 | 基于知识图谱推理的网络安全事件分析方法及系统 |
| CN115296924B (zh) * | 2022-09-22 | 2023-01-31 | 中国电子科技集团公司第三十研究所 | 一种基于知识图谱的网络攻击预测方法及装置 |
| CN115878713B (zh) * | 2022-10-27 | 2023-10-20 | 浙江大学 | 一种复杂大规模sdn网络实体快速查询方法及平台 |
| CN116155548B (zh) * | 2022-12-22 | 2024-08-23 | 新浪技术(中国)有限公司 | 一种威胁识别方法及系统 |
| CN116545740B (zh) * | 2023-05-30 | 2024-05-14 | 阿锐巴数据科技(上海)有限公司 | 一种基于大数据的威胁行为分析方法及服务器 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101151868A (zh) * | 2005-03-31 | 2008-03-26 | 朗迅科技公司 | 防止3g无线网络被信令攻击的方法和设备 |
| CN104462227A (zh) * | 2014-11-13 | 2015-03-25 | 中国测绘科学研究院 | 一种图形化知识谱系自动构建方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964730B (zh) * | 2010-01-28 | 2012-09-26 | 北京邮电大学 | 一种网络脆弱性评估方法 |
| US9591359B2 (en) * | 2015-06-26 | 2017-03-07 | Rovi Guides, Inc. | Systems and methods for automatic formatting of images for media assets based on prevalence |
| CN106934042B (zh) * | 2017-03-16 | 2020-05-29 | 中国人民解放军国防科学技术大学 | 一种知识图谱表示系统及其实施方法 |
| CN107526799B (zh) * | 2017-08-18 | 2021-01-08 | 武汉红茶数据技术有限公司 | 一种基于深度学习的知识图谱构建方法 |
| CN108092981B (zh) * | 2017-12-22 | 2021-03-02 | 北京明朝万达科技股份有限公司 | 一种数据安全保护方法、装置及存储介质 |
| CN108932340A (zh) * | 2018-07-13 | 2018-12-04 | 华融融通(北京)科技有限公司 | 一种不良资产经营领域下金融知识图谱的构建方法 |
-
2019
- 2019-03-22 CN CN201910220853.9A patent/CN109922075B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101151868A (zh) * | 2005-03-31 | 2008-03-26 | 朗迅科技公司 | 防止3g无线网络被信令攻击的方法和设备 |
| CN104462227A (zh) * | 2014-11-13 | 2015-03-25 | 中国测绘科学研究院 | 一种图形化知识谱系自动构建方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《基于攻击图的变电站控制系统脆弱性量化分析》;黄家辉;《中国优秀硕士学位论文库全文库 信息科技辑》;20160831;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109922075A (zh) | 2019-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| US10051010B2 (en) | Method and system for automated incident response | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| CN106796639B (zh) | 用于可信执行环境的数据挖掘算法 | |
| EP2955895B1 (en) | Threat indicator analytics system | |
| US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
| US12069076B2 (en) | System and method for detecting and classifying malware | |
| CN110598404A (zh) | 安全风险监控方法、监控装置、服务器和存储介质 | |
| US12081569B2 (en) | Graph-based analysis of security incidents | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| CN113992386A (zh) | 一种防御能力的评估方法、装置、存储介质及电子设备 | |
| CN108429746B (zh) | 一种面向云租户的隐私数据保护方法及系统 | |
| US10645107B2 (en) | System and method for detecting and classifying malware | |
| Kumar et al. | A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques | |
| CN109218315B (zh) | 一种安全管理方法和安全管理装置 | |
| US20230018096A1 (en) | Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program | |
| US11030309B2 (en) | Threat detection system | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| US11449610B2 (en) | Threat detection system | |
| US20230121158A1 (en) | Virus autonomous defense system (vads) | |
| Mahdi et al. | Role of YARA Tool in Intrusion Detection Systems (IDS) | |
| CN118432940A (zh) | 网络安全检测方法、装置、电子设备及计算机可读介质 | |
| CN114640529A (zh) | 攻击防护方法、装置、设备、存储介质和计算机程序产品 | |
| CN118171283A (zh) | 安全策略确定方法及装置、计算设备以及存储介质 | |
| CN115664831A (zh) | 一种网络安全防护方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 510000 Guangdong city of Guangzhou province Luogang District Science City Kexiang Road No. 11 Applicant after: CHINA SOUTHERN POWER GRID Co.,Ltd. Applicant after: Southern Power Grid Digital Grid Research Institute Co.,Ltd. Address before: 510000 Guangdong city of Guangzhou province Luogang District Science City Kexiang Road No. 11 Applicant before: CHINA SOUTHERN POWER GRID Co.,Ltd. Applicant before: DINGXIN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240322 Address after: 518101, 3rd Floor, Building 40, Baotian Industrial Zone, Chentian Community, Xixiang Street, Bao'an District, Shenzhen City, Guangdong Province Patentee after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd. Country or region after: China Address before: 510000 No. 11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province Patentee before: CHINA SOUTHERN POWER GRID Co.,Ltd. Country or region before: China Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |