CN110113314B - 用于动态威胁分析的网络安全领域知识图谱构建方法及装置 - Google Patents
用于动态威胁分析的网络安全领域知识图谱构建方法及装置 Download PDFInfo
- Publication number
- CN110113314B CN110113314B CN201910292305.7A CN201910292305A CN110113314B CN 110113314 B CN110113314 B CN 110113314B CN 201910292305 A CN201910292305 A CN 201910292305A CN 110113314 B CN110113314 B CN 110113314B
- Authority
- CN
- China
- Prior art keywords
- threat
- network
- vulnerability
- knowledge graph
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 25
- 238000010276 construction Methods 0.000 title claims description 16
- 238000012546 transfer Methods 0.000 claims abstract description 51
- 238000000034 method Methods 0.000 claims abstract description 42
- 230000003993 interaction Effects 0.000 claims abstract description 7
- 230000007704 transition Effects 0.000 claims description 28
- 230000006399 behavior Effects 0.000 claims description 11
- 238000005259 measurement Methods 0.000 claims description 8
- 238000012937 correction Methods 0.000 claims description 5
- 238000010207 Bayesian analysis Methods 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000001737 promoting effect Effects 0.000 claims 1
- 230000008685 targeting Effects 0.000 claims 1
- 238000011156 evaluation Methods 0.000 abstract 1
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000012800 visualization Methods 0.000 description 4
- 238000004880 explosion Methods 0.000 description 3
- 239000000969 carrier Substances 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000011002 quantification Methods 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010225 co-occurrence analysis Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000013139 quantization Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000003041 virtual screening Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于网络安全技术领域,特别涉及一种用于动态威胁分析的网络安全领域知识图谱构建方法及装置,该方法包含:刻画系统漏洞和网络服务导致的威胁转移关系;利用图论知识构建网络动态威胁分析知识图谱模型;结合通用漏洞评价标准和贝叶斯计算威胁转移概率;利用威胁与漏洞、服务间的关联规则,生成网络威胁知识图谱,并进行环路消解。本发明依据网络攻击与系统漏洞及业务应用之间相互影响关系,并结合通用漏洞评分标准及贝叶斯公式分析网络威胁转移概率,对构建知识图谱进行修正,消解多节点间威胁传递环路,可以完整地展现攻击全貌,提高网络取证效率,为威胁线索发现和溯源取证提供依据。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种用于动态威胁分析的网络安全领域知识图谱构建方法及装置。
背景技术
网络信息系统固有的脆弱性使其不可避免的面临外在威胁的影响,针对外在动态、变化的威胁开展有效分析,如何根据网络节点漏洞的时间、重要性、环境等因素量化分析威胁转移概率,对于实施针对性的防御决策具有重要支撑作用。
目前,网络动态威胁分析的方法主要有以下几种:(1)基于攻击者能力增长的网络安全分析方法,通过推演威胁路径,结合威胁转移概率量化网络安全性,然而现有属性攻击图只描述了系统漏洞导致的威胁变化,未刻画网络业务应用之间存取访问关系导致的威胁转移情况,导致威胁转移概率量化产生偏差;(2)状态攻击图方法,该方法将顶点表示主机,有向边表示状态之间的迁移,由于状态攻击图存在状态空间爆炸问题,因此很难适用于大规模网络环境下的威胁风险分析;(3)属性攻击图方法,该方法将网络中的安全要素作为独立的属性顶点,同一主机上的同一漏洞仅对应图中的一个属性顶点,有向边表示节点间的关联关系,相对状态攻击图能克服状态空间爆炸问题,然而目前生成的攻击图普遍存在威胁传递环路问题,影响了威胁路径和概率度量的准确性。知识图谱(Knowledge Graph)凭借其优越的可视化效果受到广泛关注,在自然语言处理领域,知识图谱的构建技术及应用已经非常成熟了,但是在网络安全领域,还没有高质量的大规模开放知识图谱。如何利用知识图谱进行威胁动态分析还未出现成熟的应用方法,结合现实网络环境生成威胁模式库,刻画网络业务应用之间存取访问关系导致的威胁转移,并准确度量节点间威胁转移概率,成为目前网络威胁知识图谱构建亟待解决的技术难题。
发明内容
为此,本发明提供一种用于动态威胁分析的网络安全领域知识图谱构建方法及装置,解决威胁传播环路对威胁分析影响,具有较强的实用性和可操作性。
按照本发明所提供的设计方案,一种用于动态威胁分析的网络安全领域知识图谱构建方法,包含如下内容:
A)依据网络攻击行为与系统漏洞及业务应用之间相互影响关系,初建网络安全领域知识图谱;
B)结合通用漏洞评分标准(Common Vulnerability Scoring System,CVSS)及贝叶斯分析网络威胁转移概率,对知识图谱进行修正,并消解多节点间威胁传递环路,获取最终网络威胁知识图谱。
上述的,A)中,考虑业务应用存取访问关系带来的威胁转移情况,采用图论知识,初建四元组知识图谱,该四元组知识图谱表示为TKG=(C,R,E,p),其中,C表示威胁转移条件属性集,R表示威胁转移条件属性间的关系集,E表示连接条件属性和关系的边集,p表示威胁转移概率。
优选的,威胁转移条件属性集包含前置条件中攻击者权限、攻击源IP、攻击目标IP、节点间连接端口、实施攻击漏洞及提升攻击者权限、存取访问关系,和攻击者实施攻击后获得权限、获得权限节点IP、攻击利用端口。
优选的,连接条件属性和关系的边集包含前置条件指向漏洞节点的边、漏洞节点指向后置条件的边、前置条件指向协议的边及协议指向后置条件的边。
优选的,威胁转移概率包含单步威胁转移概率和多步威胁传播概率。
更进一步,针对单步威胁转移概率度量,采用通用漏洞评分标准中漏洞可利用性得分和漏洞威胁影响得分进行威胁转移概率量化。
更进一步,针对多步威胁传播概率,依据攻击者依次进行漏洞利用和存取访问关系获得的权限,利用贝叶斯公式量化多步威胁传播概率值,实施多步威胁传播概率度量。
优选的,知识图谱建立,具体包含如下内容:
A1)确定前置条件和后置条件的关联规则,连接漏洞利用、协议访问,生成威胁传播模式;
A2)根据网络节点权限排序进行环路消解,结合广度搜索方法完成知识图谱构建。
更进一步,环路消解包含网络节点间权限排序环路消解和网络节点内权限排序环路消解。
一种用于动态威胁分析的网络安全领域知识图谱构建装置,包含:初建模块和修正模块,其中,
初建模块,用于依据网络攻击行为与系统漏洞及业务应用之间相互影响关系,初建网络安全领域知识图谱;
修正模块,用于结合通用漏洞评分标准及贝叶斯公式分析网络威胁转移概率,对知识图谱进行修正,并消解多节点间威胁传递环路,获取最终网络威胁知识图谱。
本发明的有益效果:
本发明通过构建用于动态威胁分析的网络安全领域知识图谱,相对现有威胁分析模型仅能描述漏洞引起的威胁转移关系,能够同时刻画系统漏洞和应用服务导致的威胁转移关系,并针对模型中的转移概率度量问题,进行单步威胁转移概率和多步威胁传播概率的测度;解决威胁传播环路对威胁分析的影响,具有较强的实用性和可操作性,实现可开展动态威胁行为的监测预警与追踪溯源工作,为收集网络犯罪证据、重返犯罪现场、诉讼案件等提供了可靠依据。
附图说明:
图1为实施例中威胁知识图谱构建流程示意图之一;
图2为实施例中威胁知识图谱初建示意图;
图3为实施例中威胁知识图谱构建装置示意图;
图4为实施例中威胁传播模式示意图;
图5为实施例中威胁知识图谱构建流程示意图之二;
图6为实施例中网络系统拓扑图;
图7为利用实施例技术方案生成的网络威胁知识图谱示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。实施例中涉及到的技术术语如下:
知识图谱(Knowledge Graph)又称为科学知识图谱,在图书情报界称为知识域可视化或知识领域映射地图,是显示知识发展进程与结构关系的一系列各种不同的图形,用可视化技术描述知识资源及其载体,挖掘、分析、构建、绘制和显示知识及它们之间的相互联系。通过将应用数学、图形学、信息可视化技术、信息科学等学科的理论与方法与计量学引文分析、共现分析等方法结合,并利用可视化的图谱形象地展示学科的核心结构、发展历史、前沿领域以及整体知识架构达到多学科融合目的的现代理论,为学科研究提供切实的、有价值的参考。本发明实施例,参见图1所示,提供一种用于动态威胁分析的网络安全领域知识图谱构建方法,包含:
依据网络攻击行为与系统漏洞及业务应用之间相互影响关系,初建网络安全领域知识图谱;
结合通用漏洞评分标准及贝叶斯分析网络威胁转移概率,对知识图谱进行修正,并消解多节点间威胁传递环路,获取最终网络威胁知识图谱。
网络威胁知识图谱将网络中的安全要素作为独立的属性节点,每个主机上的同一漏洞仅对应图中的一个属性节点,有向边表示节点间的关联规则。实施例中,网络威胁知识图谱构建分为初建与修正两步:在初建过程中,首先厘清网络攻击行为与系统漏洞、业务应用之间相互影响关系;然后基于图论知识初建网络安全领域知识图谱;其次结合通用漏洞评分标准(Common Vulnerability Scoring System,CVSS)和贝叶斯公式计算威胁转移概率;在修正过程中,针对知识图谱中存在的多节点间威胁传递环路,依据攻击权限递增原则对威胁传递环路进行消解,得到完整的威胁知识图谱;保证威胁路径和概率度量的准确性。
威胁知识图谱建模是实施网络动态威胁分析的理论基础。为避免状态爆炸问题,本发明另一个实施例中,在知识图谱模型构建采用图论技术。针对现有方法仅考虑了系统漏洞引起的威胁转移,结合考虑业务存取访问关系带来的威胁转移情况,网络动态威胁分析知识图谱(简称威胁知识图谱Threat Knowledge Graph,TKG)模型可描述为一个四元组:
TKG=(C,R,E,p)
其中,C表示威胁转移条件属性集,R表示威胁转移条件属性间的关系集,E表示连接条件属性和关系的边集,p表示威胁转移概率。并定义,表示攻击者攻击到网络节点IPi时具有的权限。当时,表示攻击者攻击到网络节点IPi时具有的权限小于攻击到网络节点IPj的权限。
威胁转移条件属性集C,C=CPro∪CPost,其中:
CPro=(ID,IPPro,IPPost,Port,Vul,Pr)
ID表示前置条件中攻击者的权限,且ID∈[0,1]。当ID=0时表示攻击者不具有该节点任何权限,当ID∈(0,1)时表示攻击者具有该节点部分权限,当ID=1时表示攻击者具有该节点全部权限;IPPro表示攻击的源IP;IPPost表示攻击的目标IP;Port表示节点间连接的端口;Vul表示实施攻击的漏洞;Pr表示能够提升攻击者权限的存取访问关系,存取访问关系具体体现为协议。
CPost=(ID',IP',Port',Vul',Pr')
ID'表示攻击者实施攻击后获得的权限;IP'表示获得权限节点的IP地址;Port'表示攻击利用的端口;Vul'表示实施攻击的漏洞;Pr'表示可提升权限的协议。
威胁转移条件属性间的关系集R,R={rVul,rPr}是通过系统漏洞或协议关联主机或服务的关系节点集,其中rVul=(IPPro,IPPost,Vul,0)和rPr=(IPPro,IPPost,0,Pr)分别表示漏洞节点和协议节点。
连接条件属性和关系的边集E表示为:
E={CPro×R}∪{R×CPost}
={CPro×rVul}∪{rVul×CPost}∪{CPro×rPr}∪{rPr×CPost}
其中,CPro×rVul表示前置条件指向漏洞节点的边;rVul×CPost表示漏洞节点指向后置条件的边;CPro×rPr表示前置条件指向协议的边;rPr×CPost表示协议指向后置条件的边。
威胁转移概率p是指攻击者利用系统漏洞或存取访问关系提升权限达到的威胁转移成功率,其进一步可划分为单步威胁转移概率和多步威胁传播概率,单步威胁转移概率是指攻击者根据CPro利用系统漏洞Vul或存取访问关系Pr实施单次威胁转移的成功率;多步威胁传播概率是指包含多步威胁传播序列造成的威胁转移的成功率。图7给出了利用本发明实施例中技术方案生成的网络威胁知识图谱事例,椭圆表示条件属性,矩形表示威胁转移的关系。
威胁转移概率的量化是网络威胁知识图谱构建需要解决的关键问题之一。威胁转移概率可划分为单步威胁转移概率和多步威胁传播概率。由于业务服务访问关系带来的威胁转移没有前置约束条件,因此本发明在单步转移概率度量中默认存取访问关系引起的转移概率为1。在单步威胁转移概率度量方面,本发明实施例中可采纳CVSS标准中给出的漏洞可利用性得分ExpSco和漏洞威胁影响得分ImpSco进行威胁转移概率的量化,具体计算公式如下:
ExpSco=20×AV×AC×AU (1)
ImpSco=10.41×(1-(1-C)×(1-I)×(1-A)) (2)
其中,AV表示攻击途径,AC表示攻击复杂度,AU表示身份认证,C表示机密性,I表示完整性,A表示可用性。根据美国国家漏洞数据库NVD可查询各参数具体值。
漏洞风险等级Risklevel的计算方法见公式3,其取值范围为[0,10]。漏洞的攻击成功概率p与Risklevel的函数关系见公式4。
Risklevel=ExpSco+ImpSco (3)
p=Risklevel/10 (4)
通过对Risklevel进行归一化处理,保证漏洞攻击成功概率p的取值范围控制在[0,1]。
利用贝叶斯公式量化多步威胁传播概率值,当攻击漏洞k需要依次利用漏洞rVul 1,rVul 2,...,rVul i和利用存取访问关系rPr i+1,rPr i+2,...,rPr k-1时,则漏洞k的多步威胁传播概率计算公式可表示为:
其中,Pk表示在多步攻击中,目标漏洞k被攻击成功概率,p1,p2,...,pk-1表示漏洞rVul 1,rVul 2,...,rVul i被攻击成功概率和基于存取访问关系rPr i+1,rPr i+2,...,rPr k-1的威胁转移概率,由于基于业务、服务和协议访问的威胁转移概率为1,因此可将公式表示为:
进一步地,参见图2所示,本发明实施例初建知识图谱过程包含:确定前置条件和后置条件的关联规则,连接漏洞、协议与条件,生成威胁传播模式;根据网络节点权限排序进行环路消解,结合广度搜索方法完成知识图谱构建。
威胁传播模式生成的过程中,前置条件和后置条件的关联规则的判定条件可设计为:
cPost j=(IDj,IPj,Portj,vulj,prj)
当IDi=0,IDj∈(0,1],IPPost i=IPj,Porti=Portj,vuli=vulj,pri=prj,则cPost j为cPro i的后置条件。
结合网络系统中漏洞和协议访问信息给出相应的前置条件和后置条件,然后连接漏洞、协议与条件,生成威胁传播模式TSP。图4给出威胁传播模式在威胁知识图谱的模式库(Threat Spread Pattern Library,TSPL)中的格式可表示为CPro i→R→CPost j。
在实际攻击中攻击者的权限变化通常遵循单调性原则,即攻击者一旦获取某一攻击能力将不会再次获取,因而攻击者能力符合权限增长原则,且同一威胁路径不会被重复利用。基于此,在初建知识图中,根据节点间和节点内权限排序给出消解威胁环路的方法。
1.网络节点间权限排序环路消解方法:通过扫描系统漏扫信息给出节点排序:当表示攻击者通过cPro i=(IDi,IPi,IPj,Porti,vuli,pri)利用漏洞vuli或者利用协议pri获得IPj的权限时,不符合权限增长原则,因此在初建图谱中删除该转移边。
2.网络节点内权限排序环路消解方法:当攻击者满足前置条件cPro i=(IDi,IPPro i,IPPost i,Porti,vuli,pri),通过利用vuli或者pri获取后置条件cPost j=(IDj,IPj,Portj,vulj,prj)时,若IDi>IDj,则在初建图谱中删除该转移边。
利用网络系统漏洞信息,结合威胁模式库TSPL中威胁模式的后置和前置条件,得到威胁传播规则。
基于上述的方法,本发明实施例提供一种用于动态威胁分析的网络安全领域知识图谱构建装置,参见图3所示,包含:初建模块和修正模块,其中,
初建模块,用于依据网络行为与漏洞利用及业务应用之间相互影响关系,初建网络安全领域知识图谱;
修正模块,用于结合通用漏洞评分标准及贝叶斯公式分析网络威胁转移概率,并消解多节点间威胁传递环路,对知识图谱进行修正,获取最终网络威胁知识图谱。
本发明实施例中,并进一步结合广度搜索方法进行知识图谱构建,网络威胁知识图谱构建算法,可设计为如下内容:
为了验证本发明实施例中威胁知识图谱构建方案的有效性,在如下网络环境中开展实验,参见图5和6,图6中,外部攻击者表示为user1,此外user2、user3和user4表示内部合法用户,攻击者通过开放的80端口访问内部网络,网络环境和漏洞信息分别如表1和表2:
表1网络环境信息表
表2漏洞信息表
其中权限等级排序为:
Wuser1<Wuser2<Wuser3<Wuser4<WWebServer<WFileServer<WDataServer<WMainServer。
(1)威胁转移条件属性集,通过系统脆弱性扫描,得到前置和后置条件集合如下:
前置条件CPro:
(1,user1,user2,80,HIDP,0),(1,user1,user3,80,GUN Wget,0),(1,user1,user4,445,NDproxy,0),(0,user2,user3,80,GUN Wget,0),(0,user2,WebServer,80,IIS,0),(0,user2,FileServer,80,Apache,0),(0,user2,MainServer,80,0,Protocol),(0, user3,user2,80,HIDP,0),(0,user3,WebServer,80,IIS,0),(0,user3,FileServer,80, Apache,0),(0,user3,FileServer,80,0,Protocol),(0,user3,MainServer,80,0,Protocol),(0,user4,DataServer,445,0,Protocol),(0,user4,MainSer-ver,445,0,Protocol)
后置条件CPost:
(1,user2,80,HIDP,0),(1,user3,80,GUN Wget,0),(1,user4,445,NDproxy,0),(1,WebServer,80,IIS,0),(1,FileServer,80,0,Proto-col),(1,FileServer,80,Apache,0),(1,DataServer,445,0,Protocol),(1,MainServer,80,0,Protocol),(1,MainServer,445,0,Protocol)
(2)威胁模式库生成
a(1,user1,user2,80,HIDP,0)→(user1,user2,HIDP,0)→(1,user2,80,HIDP,0)
b(1,user1,user3,80,GUN Wget,0)→(user1,user3,GUN Wget,0)→(1,user3,80,GUN Wget,0)
c(1,user1,user4,445,NDproxy,0)→(user1,user4,NDproxy,0)→(1,user4,445,NDproxy,0)
(3)威胁环路消解,图7中虚线指向的是同一个前置条件或后置条件。虚线方框分别表示攻击者以user2为跳板攻击user3、攻击者复用user3的主机权限攻击user2的模式库元素,由于该威胁知识图谱中存在环路,删掉威胁模式库中不符合权限增长原则的模式h,实现消解威胁环路的效果。删除模式h后,根据表2中漏洞信息和公式(3,4)计算得到单步威胁转移概率;然后根据图7中威胁路径和公式(5)计算多步威胁传播概率;最后得到所有威胁路径和威胁转移概率如表3所示。
表3威胁路径和威胁转移概率表
由表3可知,路径b→k和b→l的威胁转移概率最大,原因是user3与FileServer、MainServer具有数据存取访问关系Pr,且user3的漏洞风险值大,为了降低系统服务器的风险,需要修复user3的漏洞,或者修改user3与FileServer、MainServer之间的存取访问关系。
(4)动态威胁行为分析,根据权限增长原理可知,Wuser2<Wuser3,(0,user3,user2,80,HIDP,0)无法作为前置条件。且条件(0,user3,FileServer,80,Apache,0)与(0,user3,FileServer,80,0,Protocol)在利用user3的用户身份攻击FileServer时,有两条威胁路径,一是通过攻击Apache漏洞获得FileServer权限;二是通过Protocol攻击FileServer时。后者攻击成本更低,所以当攻击者具备user3权限时,利用Protocol获取FileServer权限的威胁行为发生概率更大。
进一步验证了本发明实施例中,利用图论相关知识构建用于动态威胁分析的网络安全领域知识图谱,具有较强的实用性和可操作性,可以完整地展现网络攻击场景的全貌,辅助动态威胁行为的快速监测预警与深度追踪溯源工作,提高网络取证效率。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的各实例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不认为超出本发明的范围。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如:只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (2)
1.一种用于动态威胁分析的网络安全领域知识图谱构建方法,其特征在于,包含如下内容:
A)依据网络攻击行为与系统漏洞及业务应用之间相互影响关系,初建网络安全领域知识图谱;
B)结合通用漏洞评分标准及贝叶斯分析网络威胁转移概率,对知识图谱进行修正,并消解多节点间威胁传递环路,获取最终网络威胁知识图谱;
A)中,考虑业务应用存取访问关系带来的威胁转移情况,采用图论知识,初建四元组知识图谱,该四元组知识图谱表示为TKG=(C,R,E,p),其中,C表示威胁转移条件属性集,R表示威胁转移条件属性间的关系集,E表示连接条件属性和关系的边集,p表示威胁转移概率;
威胁转移条件属性集包含前置条件中攻击者权限、攻击源IP、攻击目标IP、节点间连接端口、实施攻击漏洞及提升攻击者权限服务访问关系,和攻击者实施攻击后获得权限、获得权限节点IP、攻击利用端口、实施攻击漏洞计提升权限协议;
连接条件属性和关系的边集包含前置条件指向漏洞节点的边、漏洞节点指向后置条件的边、前置条件指向协议的边及协议指向后置条件的边;
威胁转移概率包含单步威胁转移概率和多步威胁传播概率;
针对单步威胁转移概率度量,采用通用漏洞评分标准中漏洞可利用性得分和漏洞威胁影响得分进行威胁转移概率量化;漏洞可利用性得分ExpSco表示为ExpSco=20×AV×AC×AU,漏洞威胁影响得分ImpSco表示为ImpSco=10.41×(1-(1-C)×(1-I)×(1-A)),其中,AV表示攻击途径,AC表示攻击复杂度,AU表示身份认证,C表示机密性,I表示完整性,A表示可用性;
针对多步威胁传播概率,依据攻击者攻击漏洞时依次进行漏洞攻击和业务访问关系获得的权限,利用贝叶斯量化多步威胁传播概率值进行多步威胁传播概率度量;目标漏洞k的多步威胁传播概率计算公式表示为:其中,Pk表示在多步攻击中目标漏洞k被攻击成功概率,ph表示漏洞rVul 1,rVul 2,...,rVul i被攻击成功概率,pj表示基于存取访问关系rPr i+1,rPr i+2,...,rPr k-1的威胁转移概率;
知识图谱建立,具体包含如下内容:
A1)确定前置条件和后置条件的关联规则,连接漏洞、协议与条件,生成威胁传播模式;
A2)根据网络节点权限排序进行环路消解,结合广度搜索方法完成知识图谱构建;
环路消解包含网络节点间权限排序环路消解和网络节点内权限排序环路消解。
2.一种用于动态威胁分析的网络安全领域知识图谱构建装置,其特征在于,基于权利要求1所述的方法实现,包含:初建模块和修正模块,其中,
初建模块,用于依据网络攻击行为与系统漏洞及业务应用之间相互影响关系,初建网络安全领域知识图谱;
修正模块,用于结合通用漏洞评分标准及贝叶斯分析网络威胁转移概率,对知识图谱进行修正,并消解多节点间威胁传递环路,获取最终网络威胁知识图谱。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910292305.7A CN110113314B (zh) | 2019-04-12 | 2019-04-12 | 用于动态威胁分析的网络安全领域知识图谱构建方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910292305.7A CN110113314B (zh) | 2019-04-12 | 2019-04-12 | 用于动态威胁分析的网络安全领域知识图谱构建方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110113314A CN110113314A (zh) | 2019-08-09 |
CN110113314B true CN110113314B (zh) | 2021-05-14 |
Family
ID=67484172
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910292305.7A Active CN110113314B (zh) | 2019-04-12 | 2019-04-12 | 用于动态威胁分析的网络安全领域知识图谱构建方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110113314B (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110113314B (zh) * | 2019-04-12 | 2021-05-14 | 中国人民解放军战略支援部队信息工程大学 | 用于动态威胁分析的网络安全领域知识图谱构建方法及装置 |
CN111010311B (zh) * | 2019-11-25 | 2022-07-08 | 江苏艾佳家居用品有限公司 | 一种基于知识图谱的智能网络故障诊断方法 |
CN111787000B (zh) * | 2020-06-30 | 2022-03-25 | 绿盟科技集团股份有限公司 | 网络安全评估方法及电子设备 |
CN112214614B (zh) * | 2020-10-16 | 2024-02-09 | 民生科技有限责任公司 | 基于知识图谱挖掘风险传播路径的方法及其系统 |
CN112364173B (zh) * | 2020-10-21 | 2022-03-18 | 中国电子科技网络信息安全有限公司 | 一种基于知识图谱的ip地址机构溯源方法 |
CN112600800B (zh) * | 2020-12-03 | 2022-07-05 | 中国电子科技网络信息安全有限公司 | 基于图谱的网络风险评估方法 |
CN112671716B (zh) * | 2020-12-03 | 2022-07-05 | 中国电子科技网络信息安全有限公司 | 基于图谱的漏洞知识挖掘方法及系统 |
CN113379053A (zh) * | 2020-12-17 | 2021-09-10 | 中国人民公安大学 | 应急响应决策方法、装置及电子设备 |
CN112732940B (zh) * | 2021-01-15 | 2023-07-14 | 医渡云(北京)技术有限公司 | 基于模型的医学知识图谱的推理方法、装置、设备及介质 |
CN112711753B (zh) * | 2021-02-23 | 2022-02-08 | 中科微点(南京)科技有限公司 | 基于区块链金融服务的信息认证方法及区块链服务系统 |
CN113193978B (zh) * | 2021-03-24 | 2022-05-24 | 中国人民解放军国防科技大学 | 基于贝叶斯网络模型的xss攻击风险分析方法和装置 |
CN113158180B (zh) * | 2021-04-06 | 2023-09-01 | 中国汽车技术研究中心有限公司 | 汽车网络安全威胁场景构建方法、装置、设备和可读存储介质 |
CN114422224B (zh) * | 2021-08-16 | 2023-08-29 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击溯源的威胁情报智能分析方法及系统 |
CN113688401B (zh) * | 2021-08-31 | 2022-06-17 | 浙江和仁科技股份有限公司 | 基于大数据漏洞挖掘的漏洞修复方法及人工智能挖掘系统 |
CN113783874B (zh) * | 2021-09-10 | 2023-08-29 | 国网数字科技控股有限公司 | 基于安全知识图谱的网络安全态势评估方法及系统 |
CN115225304B (zh) * | 2022-03-24 | 2023-05-05 | 国家计算机网络与信息安全管理中心 | 一种基于概率图模型的网络攻击路径预测方法及系统 |
CN115021979B (zh) * | 2022-05-18 | 2023-04-07 | 中国人民解放军国防科技大学 | 网络安全威胁底图生成方法、系统、存储介质和电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
CN108874878A (zh) * | 2018-05-03 | 2018-11-23 | 众安信息技术服务有限公司 | 一种知识图谱的构建系统及方法 |
CN108933793A (zh) * | 2018-07-24 | 2018-12-04 | 中国人民解放军战略支援部队信息工程大学 | 基于知识图谱的攻击图生成方法及其装置 |
CN109347801A (zh) * | 2018-09-17 | 2019-02-15 | 武汉大学 | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 |
CN109347798A (zh) * | 2018-09-12 | 2019-02-15 | 东软集团股份有限公司 | 网络安全知识图谱的生成方法、装置、设备及存储介质 |
CN110113314A (zh) * | 2019-04-12 | 2019-08-09 | 中国人民解放军战略支援部队信息工程大学 | 用于动态威胁分析的网络安全领域知识图谱构建方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10108803B2 (en) * | 2016-03-31 | 2018-10-23 | International Business Machines Corporation | Automatic generation of data-centric attack graphs |
-
2019
- 2019-04-12 CN CN201910292305.7A patent/CN110113314B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108874878A (zh) * | 2018-05-03 | 2018-11-23 | 众安信息技术服务有限公司 | 一种知识图谱的构建系统及方法 |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
CN108933793A (zh) * | 2018-07-24 | 2018-12-04 | 中国人民解放军战略支援部队信息工程大学 | 基于知识图谱的攻击图生成方法及其装置 |
CN109347798A (zh) * | 2018-09-12 | 2019-02-15 | 东软集团股份有限公司 | 网络安全知识图谱的生成方法、装置、设备及存储介质 |
CN109347801A (zh) * | 2018-09-17 | 2019-02-15 | 武汉大学 | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 |
CN110113314A (zh) * | 2019-04-12 | 2019-08-09 | 中国人民解放军战略支援部队信息工程大学 | 用于动态威胁分析的网络安全领域知识图谱构建方法及装置 |
Non-Patent Citations (3)
Title |
---|
A Network Vulnerability Assessment Method Based on Attack Graph;Shuo Wang;《2018 IEEE 4th International Conference on Computer and Communications (ICCC)》;20181210;全文 * |
一种基于攻击图的安全威胁识别和分析方法;吴迪;《计算机学报》;20120930;第35卷(第9期);全文 * |
基于攻击预测的网络安全态势量化方法;胡浩等;《通信学报》;20171031;第38卷(第10期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110113314A (zh) | 2019-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110113314B (zh) | 用于动态威胁分析的网络安全领域知识图谱构建方法及装置 | |
CN108933793B (zh) | 基于知识图谱的攻击图生成方法及其装置 | |
US20230319090A1 (en) | Consolidating structured and unstructured security and threat intelligence with knowledge graphs | |
El Sayed et al. | A flow-based anomaly detection approach with feature selection method against ddos attacks in sdns | |
US10313382B2 (en) | System and method for visualizing and analyzing cyber-attacks using a graph model | |
Wu et al. | Network security assessment using a semantic reasoning and graph based approach | |
Kotenko et al. | A cyber attack modeling and impact assessment framework | |
KR102295654B1 (ko) | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 | |
US20100192226A1 (en) | Intrusion Event Correlation System | |
Duy et al. | DIGFuPAS: Deceive IDS with GAN and function-preserving on adversarial samples in SDN-enabled networks | |
Thuraisingham et al. | A data driven approach for the science of cyber security: Challenges and directions | |
US20220030020A1 (en) | Graphical connection viewer for discovery of suspect network traffic | |
Zhang et al. | A survey on security and privacy threats to federated learning | |
CN113872943A (zh) | 网络攻击路径预测方法及装置 | |
CN112419820A (zh) | 一种区块链攻防虚拟仿真实验教学系统及方法 | |
Yuan et al. | An attack path generation methods based on graph database | |
Tayouri et al. | A survey of MulVAL extensions and their attack scenarios coverage | |
US10681068B1 (en) | System and method for analyzing data and using analyzed data to detect cyber threats and defend against cyber threats | |
Gylling et al. | Mapping cyber threat intelligence to probabilistic attack graphs | |
CN115186136A (zh) | 一种用于网络攻防对抗的知识图谱结构 | |
CN106411923B (zh) | 基于本体建模的网络风险评估方法 | |
Grata et al. | Artificial Intelligence for Threat Anomaly Detection Using Graph Databases–A Semantic Outlook | |
CN112667766A (zh) | 网络威胁情报元数据融合的方法与系统 | |
Ammi et al. | Cyber Threat Hunting Case Study using MISP. | |
WO2021016517A1 (en) | Methods and system for identifying infrastructure attack progressions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |