CN111177417B - 基于网络安全知识图谱的安全事件关联方法、系统、介质 - Google Patents
基于网络安全知识图谱的安全事件关联方法、系统、介质 Download PDFInfo
- Publication number
- CN111177417B CN111177417B CN202010284095.XA CN202010284095A CN111177417B CN 111177417 B CN111177417 B CN 111177417B CN 202010284095 A CN202010284095 A CN 202010284095A CN 111177417 B CN111177417 B CN 111177417B
- Authority
- CN
- China
- Prior art keywords
- attack
- security
- rule
- network security
- knowledge graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了基于网络安全知识图谱的安全事件关联方法、系统、介质,其可以提高安全事件生成的有效率,能够从海量的安全事件中关联属于同一复合攻击的攻击步骤所对应的安全事件,提高了攻击研判的准确率,其中方法包括以下步骤:步骤S1:构建网络安全本体模型,依据所述网络安全本体模型创建网络安全知识图谱;步骤S2:基于规则推理的方法扩充网络安全知识图谱;步骤S3:将采集数据生成安全事件;步骤S4:基于有限状态机和网络安全知识图谱对安全事件进行攻击研判,关联属于同一复合攻击的攻击步骤所对应的安全事件。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及基于网络安全知识图谱的安全事件关联方法、系统、介质。
背景技术
知识图谱最显著的优势是可以表达实体之间的关系,在网络安全领域,也可以利用知识图谱来识别网络攻击及入侵行为。网络安全知识图谱包括已知漏洞信息、攻击信息、资产信息以及这些信息之间的关系等。这些已知的安全知识,可以从各个漏洞网站、攻击分析网站等获取信息,并且随着时间的推移逐步补充新的漏洞和攻击信息。
通常,知识图谱构建的过程中,不可能直接获取到所有实体之间的关系,需要通过知识推理挖掘出实体之间隐藏的关系,丰富网络安全知识图谱。
网络攻击通常包含一个或多个攻击步骤,各步骤之间有一定的关系,这些关系以安全事件的形式作为知识存储在网络安全知识图谱中,随着互联网技术的不断发展,网络攻击的方式越来越隐蔽和复杂,传统的检测方法已经无法准确识别,从攻击步骤的角度来说,攻击步骤,即网络攻击产生的安全事件之间不是孤立的,他们之间存在着时序关系、因果关系或者并列关系,因此,针对安全事件的关联分析技术应运而生。
现有技术中,存在着基于属性特征、基于逻辑推理、基于概率统计和基于机器学习等不同技术方法,在安全事件关联分析中各有利弊,基于有限状态机的关联分析方法的优点是逻辑性强,安全事件之间的触发非常明确,但是,强逻辑性会导致通用性差,不能支持动态变化;基于规则的关联分析方法的优点是容易实现且高效,能够匹配前提条件和后置条件来关联安全事件,缺点是灵活性差,申请人旨在提供一种新的安全事件关联方法,综合基于有限状态机的关联分析方法和基于规则的关联分析方法的优点,在攻击方法多变性的情况下,可以提高攻击研判的准确率。
发明内容
针对上述问题,本发明提供了基于网络安全知识图谱的安全事件关联方法、系统、介质,其可以提高安全事件生成的有效率,能够从海量的安全事件中关联属于同一复合攻击的攻击步骤所对应的安全事件,提高了攻击研判的准确率。
其技术方案是这样的:基于网络安全知识图谱的安全事件关联方法,其特征在于,包括以下步骤:
步骤S1:构建网络安全本体模型,依据所述网络安全本体模型创建网络安全知识图谱;
步骤S2:基于规则推理的方法扩充网络安全知识图谱;
步骤S3:将采集数据生成安全事件;
步骤S4:基于有限状态机对安全事件进行攻击研判,关联属于同一复合攻击的攻击步骤所对应的安全事件。
进一步的,步骤S1中构建网络安全本体模型包括以下内容:
构建网络安全本体模型的一级本体:攻击模式、资产、攻击检测和杀死链;
在资产下构建二级本体:漏洞投递和漏洞利用;
在攻击模式下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
在攻击检测下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
在杀死链下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
为本体添加实例及实例间的关系;
其中,实例间的关系包括:a发生在b之前、a导致了b的发生、a和b的功能相同、a是b发生的原因、a和b相关联、a和b是顺序关系、a是b的实例,其中a和b分别代表实体。
进一步的,步骤S2中基于规则推理的方法扩充网络安全知识图谱具体包括以下步骤:
步骤S201:设定推理规则;
步骤S202:基于推理规则,通过jena推理机推理出实例间隐含的关系。
进一步的,在步骤S201中设定的推理规则包括:
规则一:如果p和m功能相同,m是n的一个实例,则推断p是n的一个实例;
规则二:如果p是m的一个实例,m和n相关联,则推断p和n相关联;
规则三:如果p和m相关联,h和l相关联,m在l之前发生,则推断p在h之前发生;
规则四:如果p和m相关联,h和l相关联,m是l发生的原因,则推断p是h发生的原因;
规则五:如果p和m相关联,h和l相关联,m和l是顺序发生的,则推断p和h是顺序发生的;
其中,h、l、m、n、p分别代表实体。
进一步的,步骤S202中通过jena推理机推理出实例间隐含的关系具体包括以下步骤:
步骤S202-1:解析网络安全本体模型,读取规则一,并将推理结果添加到本体模型中;
步骤S202-2:解析网络安全本体模型,读取规则二,将推理结果添加到本体模型中;
步骤S202-3:执行完规则一和规则二后,选择执行规则三至规则五中的任意一条或多条,或依次执行规则三至规则五。
进一步的,在步骤S3中,对于采集的数据中的日志信息,通过特征匹配的方法,提取与网络安全相关的内容,从而获取安全事件,其中,日志信息包括系统日志、入侵检测设备日志、漏洞扫描结果、第三方安全厂商检测结果。
进一步的,在步骤S3中,对于采集的数据中的流量数据,将流量数据经过snort规则过滤,产生告警信息,对告警信息进行分类,分别依据规则约束生成安全事件,规则约束具体包括:
探测扫描:在设定的时间间隔内,首先分析告警的描述信息,根据描述信息确定具体的扫描探测,扫描探测包括网络层扫描探测、传输层扫描探测和应用层扫描探测,然后根据扫描探测的分类统计由不同源IP向相同目的IP尝试远程访问产生的告警次数,当统计的告警次数超过设定的阈值,则这些告警信息生成相应的安全事件;
攻击突破:在设定的时间间隔内,首先分析告警的描述信息,根据描述信息确定具体的攻击突破,攻击突破包括流量劫持和网络服务修改,然后将告警信息依照时间关系和空间关系与网络安全知识图谱中的攻击突破信息进行匹配,统计匹配成功的个数,并计算匹配成功率,当匹配成功率超过设定的阈值,则这些告警信息生成相应的安全事件。
进一步的,在步骤S4中具体包括以下步骤:
设置有限状态机,设定有限状态机的所有状态和触发条件,有限状态机的所有状态的设置是依据网络安全知识图谱中的杀死链的各个步骤,对应杀死链中的二级本体:探测、投递、利用、命令和控制、攻击实施,有限状态机的触发条件包括网络安全知识图谱中设定的杀死链各步骤之间的关系和安全事件的时间及ip地址的约束;
将安全事件去冗余、按时间先后排序,在设定的时间间隔内,遍历安全事件的IP,当源IP和目的IP相同时,考虑为同一个复合攻击的步骤,然后在设定的时间间隔内,分别将安全事件与有限状态机设置的初始状态进行匹配,若匹配不成功,则判定为单步攻击;若匹配成功,则依据设置的触发条件,继续匹配中间状态,若匹配成功,则继续匹配下一个中间状态直至终止状态,无论是否匹配到下一中间状态,均判定为复合攻击,且将匹配到的最后一个状态判定为安全事件对应的复合攻击当前结束的攻击步骤,若匹配不成功,则判定为单步攻击;
根据匹配结果,关联属于同一复合攻击的攻击步骤所对应的安全事件。
一种基于网络安全知识图谱的安全事件关联系统,其特征在于,包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现如上述的具有基于网络安全知识图谱的安全事件关联方法。
一种计算机可读存储介质,其上存储有程序,其特征在于:所述程序被处理器执行时实现如上述的基于网络安全知识图谱的安全事件关联方法。
与现有技术相比本发明具有以下有益效果:
依托于现有的网络安全知识图谱、已知网络攻击各步骤之间的关系和攻击步骤与攻击方法、攻击工具之间的关系,从现有网络安全知识图谱不完备的实际需求出发,在新的知识加入时,通过规则推理的方法推理出新的实体间的关系,即新的攻击步骤与攻击方法、攻击工具之间的关系,从而丰富和扩充了网络安全知识图谱;攻击步骤在网络安全知识图谱中以安全事件存储,安全事件需要从采集的数据中生成,本发明在从采集的数据中生成安全事件的过程中对流量数据生成安全事件添加了约束规则,从而提高安全事件生成的有效率;当采集的数据经过预处理、并且生成安全事件后,海量的安全事件可以看作是无数的攻击步骤,通过攻击研判关联属于同一复合攻击的攻击步骤所对应的安全事件,利用有限状态机的触发机制,根据复合攻击各步骤之间的关系,依据时空约束和攻击步骤的关系设置触发条件、容错阈值和分析的时间间隔,从而提高攻击研判的准确率。
附图说明
图1为本发明的基于网络安全知识图谱的安全事件关联方法的流程示意图;
图2为本发明的基于网络安全知识图谱的安全事件关联方法的工作示意框图;
图3为具体实施方式中规则推理的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本发明的基于网络安全知识图谱的安全事件关联方法,至少包括以下步骤:
步骤S1:构建网络安全本体模型,依据所述网络安全本体模型创建网络安全知识图谱;
步骤S2:基于规则推理的方法扩充网络安全知识图谱;
步骤S3:将采集数据生成安全事件;
步骤S4:基于有限状态机对安全事件进行攻击研判,关联属于同一复合攻击的攻击步骤所对应的安全事件。
具体在本实施例,步骤S1中构建网络安全本体模型包括以下内容:
构建网络安全本体模型的一级本体:资产、攻击模式、攻击检测和杀死链;
在资产下构建二级本体:漏洞投递和漏洞利用;
在攻击模式下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
在攻击检测下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
在杀死链下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
为本体添加实例及实例间的关系,这些实例间的关系包括:a发生在b之前、a导致了b的发生、a和b的功能相同、a是b发生的原因、a和b相关联、a和b是顺序关系、a是b的实例,其中a和b分别代表实体。
网络安全本体模型以网络攻击相关的攻击步骤、攻击方法等作为最小的信息单位。各知识点间存在相互关联,形成了关于攻击知识的网络结构。本实施例中对网络攻击的关键步骤进行描述,网络攻击首先根据攻击步骤分为固定的杀死链,这里是依据杀死链模型确定的攻击步骤,每一个杀死链对应一种攻击模式,攻击模式为单步攻击的分类,单步攻击的排列组合构成复合攻击,攻击模式是分析现有攻击的特征得到的,因此攻击模式与攻击检测和资产是对应关系,即同一个攻击检测的结果和资产的分析结果都是对应同一个攻击模式的。
实施例中在protégé软件中构建本体模型,Assets、Attackpattern、AttackDetection and Killchain分别为一级本体:资产、攻击模式、攻击检测和杀死链,VulnerabilityDelivery and VulnerabilityUtilization为资产下构建的二级本体:漏洞投递和漏洞利用,Investigation,Delivery, Utilization, C&C and Action为攻击模式下构建的二级本体:探测、投递、利用、命令和控制、攻击实施,SnortInvestigation,SnortDelivery, SnortUtilization, SnortC2 and SnortAction为攻击检测下构建的二级本体:探测、投递、利用、命令和控制、攻击实施,KillchainInvestigation,KillchainDelivery, KillchainUtilization, KillchainC&C and KillchainAction为杀死链下构建的二级本体:探测、投递、利用、命令和控制、攻击实施;二级分类通过添加不同的前缀,以示区别,在实施例中为了避免累赘,采用简化表述。
具体的,步骤S2中基于规则推理的方法扩充网络安全知识图谱具体包括以下步骤:
步骤S201:设定推理规则,在步骤S201中设定的推理规则包括:
规则一:如果p和m功能相同,m是n的一个实例,则推断p是n的一个实例;
规则二:如果p是m的一个实例,m和n相关联,则推断p和n相关联;
规则三:如果p和m相关联,h和l相关联,m在l之前发生,则推断p在h之前发生;
规则四:如果p和m相关联,h和l相关联,m是l发生的原因,则推断p是h发生的原因;
规则五:如果p和m相关联,h和l相关联,m和l是顺序发生的,则推断p和h是顺序发生的;
其中,h、l、m、n、p分别代表实体;
步骤S202:基于推理规则,通过jena推理机推理出实例间隐含的关系;
具体的,步骤S202中通过jena推理机推理出实例间隐含的关系具体包括以下步骤:
步骤S202-1:解析网络安全本体模型,读取规则一,并将推理结果添加到本体模型中;
步骤S202-2:解析网络安全本体模型,读取规则二,将推理结果添加到本体模型中;
步骤S202-3:执行完规则一和规则二后,选择执行规则三至规则五中的任意一条或多条,或依次执行规则三至规则五;
这里,规则一和规则二的执行结果是规则三到规则五执行的前提,而规则三、规则四和规则五的执行结果互不影响。
在步骤2中使用上述规则的目的是将所有的网络安全知识都与单步攻击联系起来,将单步攻击按照攻击的分类与杀死链对应起来,而杀死链中包含不同的关系:顺序、依赖、因果,那么单步攻击对应的分类之间也有顺序、依赖、因果的关系,相应的,单步攻击对应的威胁要素之间也有顺序、依赖和因果的关系,每一类单步攻击与它所对应的威胁要素之间还有一个可选择的关系,即每一类单步攻击会对应不同的威胁要素,因为不同的威胁要素会产生相同的攻击效果,正因为如此,复合攻击的模式是固定的,但是表现方式是多种多样的,基于规则的推理就是把每一个威胁要素准确定位于单步攻击的类别下,然后根据杀死链的顺序、因果和依赖关系确定和其他威胁要素之间的关系,这样,复合攻击的模式就更加丰富了,使用网络安全知识图谱进行分析网络安全状态时,只需要将采集的数据进行提取威胁要素,按照时间排列等操作,依据源/目的IP,将不同攻击目标产生的威胁要素与网络安全知识图谱匹配即可得到攻击的详情。
以实例关系(CVE-2000-1353,equal_function,snort-966)、(snort-966,ISA,CAPEC-utilization)和规则一[rule1: (p omni:equal_function m), (m omni:ISAn)->( p omni:ISA n)]为例,可以推出(CVE-2000-1353,ISA,CAPEC-utilization),推理预期示意图如图3所示,规则一[rule1: (p omni:equal_function m), (m omni:ISA n)->( p omni:ISA n)]是jena推理机可以读取的代码语言。
具体在本实施例中,在步骤S3中,对于采集的数据中的日志信息,通过特征匹配的方法,提取与网络安全相关的内容获取安全事件,其中,日志信息包括系统日志、检测设备日志、漏洞扫描结果、第三方安全厂商检测结果。
具体在本实施例中,在步骤S3中,对于采集的数据中的流量数据,将流量数据经过snort规则过滤,snort规则是入侵检测规则中的一种,产生告警信息,对告警信息进行分类,分别依据规则约束生成安全事件,规则约束具体包括:
探测扫描:在设定的时间间隔内,首先分析告警的描述信息,根据描述信息确定具体的扫描探测,扫描探测包括网络层扫描探测、传输层扫描探测和应用层扫描探测,然后根据扫描探测的分类统计由不同源IP向相同目的IP尝试远程访问产生的告警次数,当统计的告警次数超过设定的阈值,则这些告警信息生成相应的安全事件;
攻击突破:在设定的时间间隔内,首先分析告警的描述信息,根据描述信息确定具体的攻击突破,攻击突破包括流量劫持和网络服务修改,然后将告警信息依照时间关系和空间关系与网络安全知识图谱中的攻击突破信息进行匹配,统计匹配成功的个数,并计算匹配成功率,当匹配成功率超过设定的阈值,则这些告警信息生成相应的安全事件。
由于采集的数据有多种,比如:流量、日志等,对于流量和日志的处理是不一样的,日志数据是直接提取出与网络安全相关的内容即可,而流量数据包含的内容非常多,这里考虑经过snort规则过滤后产生的告警信息,即如何将告警信息经过规则过滤和关联分析生成安全事件,对经过snort规则过滤后产生的告警信息进行分类,即探测扫描和攻击突破,从而实现提高安全事件生成的有效率,随后,将生成的安全事件使用图数据库的形式展示。
具体在本实施例中,在步骤S4中具体包括以下步骤:
设置有限状态机,设定有限状态机的所有状态和触发条件,有限状态机的所有状态的设置是依据网络安全知识图谱中的杀死链的各个步骤,对应杀死链中的二级本体:探测、投递、利用、命令和控制、攻击实施,有限状态机的触发条件包括网络安全知识图谱中设定的杀死链各步骤之间的关系和安全事件的时间及ip地址的约束;
把安全事件看作是攻击的步骤,将安全事件去冗余、按时间先后排序,利用有限状态机的触发机制,然后在设定的时间间隔内,遍历安全事件的IP,当源IP和目的IP相同时,考虑为一个复合攻击的步骤;在设定的时间间隔内,分别将安全事件与有限状态机设置的初始状态进行匹配,若匹配不成功,则判定为单步攻击;若匹配成功,则依据设置的触发条件,继续匹配中间状态,若匹配成功,则继续匹配下一个中间状态直至终止状态,无论是否匹配到下一中间状态,均判定为复合攻击,且将匹配到的最后一个状态判定为安全事件对应的复合攻击当前结束的攻击步骤,若匹配不成功,则判定为单步攻击;
根据匹配结果,关联属于同一复合攻击的攻击步骤所对应的安全事件。
因为网络攻击分为单步攻击和复合攻击,所以单步攻击由单个安全事件产生,复合攻击由多个安全事件产生,单步攻击的发生不是持续性的,但复合攻击可能会持续很长时间,而在步骤S4的攻击研判中需要设定时间间隔,在设定的时间间隔内,网络攻击会产生如下几种情况:
1、在设定的时间间隔内,网络攻击完成了从开始到结束;
2、在设定的时间间隔内,网络攻击只有开始,没有结束;
3、在设定的时间间隔内,网络攻击没有开始,只有结束;
通过采用步骤S4中攻击研判方法,复合攻击的第一步对应初始状态、复合攻击的第二、三、四步对应中间状态、复合攻击的第五步对应终止状态,对于第一种情况,认为其满足完成了复合攻击的所有步骤,判定为复合攻击;对于第二种情况,判定为复合攻击,举例,第一步匹配成功,第二步匹配成功,则判定为复合攻击的第二步,如果第一步匹配成功,第二步匹配成功,第四步匹配成功,缺少第三步,则判定为复合攻击的第四步;而对于第三种情况则认为是单步攻击,如果没有复合攻击的第一步,即使第二、三、四和五步都连续发生,也会把他们分别当作单步攻击。
本发明在攻击研判方法中增加了容错机制,包括了在设定的时间间隔内,遍历安全事件的IP,当源IP和目的IP相同时,考虑为同一个复合攻击的步骤,在满足上述条件的情况下,才将安全事件与网络安全知识图谱进行匹配,如果第一步匹配成功,则继续进行匹配,如果匹配不成功,则判定为单步攻击;如果第一步匹配成功,第二步匹配成功,则判定为复合攻击的第二步,如果第一步匹配成功,第二步匹配成功,第四步匹配成功,缺少第三步,则判定为复合攻击的第四步,如此类推,上述容错机制的设置,可以大大避免将复合攻击误判为多个单步攻击,减少误判率和错判率。
本发明的基于网络安全知识图谱的安全事件关联方法,在已经构建的网络安全知识图谱的前提下,加入新的知识,通过规则推理的方法推理出新的关系,即补全新的知识与网络安全知识图谱中知识的新关系从而丰富网络安全知识图谱;网络攻击通常包含一个或多个攻击步骤,各步骤之间有一定的关系,这些关系以安全事件的形式作为知识存储在网络安全知识图谱中,因此,需要将采集的数据生成安全事件,才可以与网络安全知识图谱进行匹配,采集的数据主要包括系统日志、入侵检测设备日志、第三方安全厂商检测结果、流量数据、漏洞扫描结果等,对于日志和报告,可以通过特征匹配的方法获取安全事件,对于流量数据,主要是将由流量数据经过snort规则约束后产生告警信息经规则约束生成安全事件,从而提高安全事件生成的有效率;对于全网来说,安全事件生成后,可以看作是海量的离散的攻击步骤,利用有限状态机的触发机制,通过设置不同的触发条件并加上时空属性的规则约束、安全事件之间的关系规则约束和容错机制的约束,从海量的安全事件中关联出属于同一复合攻击的攻击步骤所对应的安全事件,从而提高了攻击研判的准确率。
在本发明的实施例中,还提供了一种基于网络安全知识图谱的安全事件关联系统,包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序,处理器执行所述程序时实现如上述的具有基于网络安全知识图谱的安全事件关联方法。
该系统可包括,但不仅限于处理器、存储器。本领域技术人员可以理解,本实施例仅仅是系统的举例,并不构成对系统的限定,可以包括比本实施例更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
存储器可以是,但不限于,随机存取存储器(Random Access Memory,简称:RAM),只读存储器(Read Only Memory,简称:ROM),可编程只读存储器(Programmable Read-OnlyMemory,简称:PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,简称:EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,简称:EEPROM)等。其中,存储器用于存储程序,处理器在接收到执行指令后,执行程序。
处理器可以是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称:CPU)、网络处理器(NetworkProcessor,简称:NP)等。该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的数据处理程序,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。数据处理程序可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
在本发明的实施例中,还提供了一种计算机可读存储介质,其上存储有程序,程序被处理器执行时实现如上述的基于网络安全知识图谱的安全事件关联方法。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、系统、和计算机程序产品的流程图和/或框图来描述的。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图和或中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图中指定的功能的步骤。
以上对本发明所提供的基于网络安全知识图谱的安全事件关联方法、基于网络安全知识图谱的安全事件关联系统、一种计算机可读存储介质的应用进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.基于网络安全知识图谱的安全事件关联方法,其特征在于,包括以下步骤:
步骤S1:构建网络安全本体模型,依据所述网络安全本体模型创建网络安全知识图谱;
步骤S2:基于规则推理的方法扩充网络安全知识图谱;
步骤S3:将采集数据生成安全事件;
步骤S4:基于有限状态机和网络安全知识图谱对安全事件进行攻击研判,关联属于同一复合攻击的攻击步骤所对应的安全事件。
2.根据权利要求1所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,步骤S1中构建网络安全本体模型包括以下内容:
构建网络安全本体模型的一级本体:攻击模式、资产、攻击检测和杀死链;
在资产下构建二级本体:漏洞投递和漏洞利用;
在攻击模式下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
在攻击检测下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
在杀死链下构建二级本体:探测、投递、利用、命令和控制、攻击实施;
为本体添加实例及实例间的关系;
其中,实例间的关系包括:a发生在b之前、a导致了b的发生、a和b的功能相同、a是b发生的原因、a和b相关联、a和b是顺序关系、a是b的实例,其中a和b分别代表实体。
3.根据权利要求2所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,步骤S2中基于规则推理的方法扩充网络安全知识图谱具体包括以下步骤:
步骤S201:设定推理规则;
步骤S202:基于推理规则,通过jena推理机推理出实例间隐含的关系。
4.根据权利要求3所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,在步骤S201中设定的推理规则包括:
规则一:如果p和m功能相同,m是n的一个实例,则推断p是n的一个实例;
规则二:如果p是m的一个实例,m和n相关联,则推断p和n相关联;
规则三:如果p和m相关联,h和l相关联,m在l之前发生,则推断p在h之前发生;
规则四:如果p和m相关联,h和l相关联,m是l发生的原因,则推断p是h发生的原因;
规则五:如果p和m相关联,h和l相关联,m和l是顺序发生的,则推断p和h是顺序发生的;
其中,h、l、m、n、p分别代表实体。
5.根据权利要求4所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,步骤S202中通过jena推理机推理出实例间隐含的关系具体包括以下步骤:
步骤S202-1:解析网络安全本体模型,读取规则一,并将推理结果添加到本体模型中;
步骤S202-2:解析网络安全本体模型,读取规则二,将推理结果添加到本体模型中;
步骤S202-3:执行完规则一和规则二后,选择执行规则三至规则五中的任意一条或多条,或依次执行规则三至规则五。
6.根据权利要求1所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,在步骤S3中,对于采集的数据中的日志信息,通过特征匹配的方法,提取与网络安全相关的内容,从而获取安全事件,其中,日志信息包括系统日志、入侵检测设备日志、漏洞扫描结果、第三方安全厂商检测结果。
7.根据权利要求1所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,在步骤S3中,对于采集的数据中的流量数据,将流量数据经过snort规则过滤,产生告警信息,对告警信息进行分类,分别依据规则约束生成安全事件,规则约束具体包括:
探测扫描:在设定的时间间隔内,首先分析告警的描述信息,根据描述信息确定具体的扫描探测,扫描探测包括网络层扫描探测、传输层扫描探测和应用层扫描探测,然后根据扫描探测的分类统计由不同源IP向相同目的IP尝试远程访问产生的告警次数,当统计的告警次数超过设定的阈值,则这些告警信息生成相应的安全事件;
攻击突破:在设定的时间间隔内,首先分析告警的描述信息,根据描述信息确定具体的攻击突破,攻击突破包括流量劫持和网络服务修改,然后将告警信息依照时间关系和空间关系与网络安全知识图谱中的攻击突破信息进行匹配,统计匹配成功的个数,并计算匹配成功率,当匹配成功率超过设定的阈值,则这些告警信息生成相应的安全事件。
8.根据权利要求1所述的基于网络安全知识图谱的安全事件关联方法,其特征在于,在步骤S4中具体包括以下步骤:
设置有限状态机,设定有限状态机的所有状态和触发条件,有限状态机的所有状态的设置是依据网络安全知识图谱中的杀死链的各个步骤,对应杀死链中的二级本体:探测、投递、利用、命令和控制、攻击实施,有限状态机的触发条件包括网络安全知识图谱中设定的杀死链各步骤之间的关系和安全事件的时间及ip地址的约束;
将安全事件去冗余、按时间先后排序,在设定的时间间隔内,遍历安全事件的IP,当源IP和目的IP相同时,考虑为同一个复合攻击的步骤,然后在设定的时间间隔内,分别将安全事件与有限状态机设置的初始状态进行匹配,若匹配不成功,则判定为单步攻击;若匹配成功,则依据设置的触发条件,继续匹配中间状态,若匹配成功,则继续匹配下一个中间状态直至终止状态,无论是否匹配到下一中间状态,均判定为复合攻击,且将匹配到的最后一个状态判定为安全事件对应的复合攻击当前结束的攻击步骤,若匹配不成功,则判定为单步攻击;
根据匹配结果,关联属于同一复合攻击的攻击步骤所对应的安全事件。
9.一种基于网络安全知识图谱的安全事件关联系统,其特征在于,包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现如权利要求1所述的具有基于网络安全知识图谱的安全事件关联方法。
10.一种计算机可读存储介质,其上存储有程序,其特征在于:所述程序被处理器执行时实现如权利要求1所述的基于网络安全知识图谱的安全事件关联方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010284095.XA CN111177417B (zh) | 2020-04-13 | 2020-04-13 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010284095.XA CN111177417B (zh) | 2020-04-13 | 2020-04-13 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111177417A CN111177417A (zh) | 2020-05-19 |
CN111177417B true CN111177417B (zh) | 2020-06-30 |
Family
ID=70655205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010284095.XA Active CN111177417B (zh) | 2020-04-13 | 2020-04-13 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111177417B (zh) |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111641621B (zh) * | 2020-05-21 | 2022-05-20 | 杭州安恒信息技术股份有限公司 | 物联网安全事件识别方法、装置和计算机设备 |
CN111881300A (zh) * | 2020-07-03 | 2020-11-03 | 扬州大学 | 面向第三方库依赖的知识图谱构建方法及系统 |
CN111741023B (zh) * | 2020-08-03 | 2020-11-17 | 中国人民解放军国防科技大学 | 面向网络攻防试验平台的攻击研判方法、系统及介质 |
CN111914569B (zh) * | 2020-08-10 | 2023-07-21 | 安天科技集团股份有限公司 | 基于融合图谱的预测方法、装置、电子设备及存储介质 |
CN112073396A (zh) * | 2020-08-27 | 2020-12-11 | 北京天融信网络安全技术有限公司 | 一种内网横向移动攻击行为的检测方法及装置 |
CN112073415B (zh) * | 2020-09-08 | 2022-11-15 | 北京天融信网络安全技术有限公司 | 一种网络安全知识图谱的构建方法及装置 |
CN112149135B (zh) * | 2020-09-16 | 2023-05-02 | 国网河北省电力有限公司电力科学研究院 | 一种安全漏洞的评估方法及装置、计算机可读存储介质 |
CN112187773B (zh) * | 2020-09-23 | 2022-07-08 | 支付宝(杭州)信息技术有限公司 | 一种网络安全漏洞的挖掘方法和装置 |
CN111930932B (zh) * | 2020-09-25 | 2021-01-01 | 中国人民解放军国防科技大学 | 网络空间安全领域知识图谱表示学习方法和装置 |
CN112073441B (zh) * | 2020-11-10 | 2021-01-29 | 中国人民解放军国防科技大学 | 基于本体推理的网络空间关键地形生成方法 |
CN112738071B (zh) * | 2020-12-25 | 2023-07-28 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
CN112784025B (zh) * | 2021-01-12 | 2023-08-18 | 青岛明略软件技术开发有限公司 | 一种目标事件的确定方法和装置 |
EP4315665A1 (en) * | 2021-03-31 | 2024-02-07 | Nokia Technologies Oy | Device and method for generating a response to an attack in a communication network using machine learning |
CN112953971B (zh) * | 2021-04-01 | 2023-05-16 | 长扬科技(北京)股份有限公司 | 一种网络安全流量入侵检测方法和系统 |
CN113194084B (zh) * | 2021-04-27 | 2021-12-31 | 中国人民解放军国防科技大学 | 卫星网络安全分析方法、装置、系统和存储介质 |
CN113179267B (zh) * | 2021-04-27 | 2022-12-06 | 长扬科技(北京)股份有限公司 | 一种网络安全事件关联分析方法和系统 |
CN113259364B (zh) * | 2021-05-27 | 2021-10-22 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
CN114039765A (zh) * | 2021-11-04 | 2022-02-11 | 全球能源互联网研究院有限公司 | 一种配电物联网的安全管控方法、装置及电子设备 |
CN114048856B (zh) * | 2022-01-11 | 2022-05-03 | 中孚信息股份有限公司 | 基于知识推理的安全事件自动处置方法及系统 |
CN116633567A (zh) * | 2022-02-11 | 2023-08-22 | 三六零数字安全科技集团有限公司 | 模拟攻击杀伤链的方法、装置、存储介质及电子设备 |
CN114726634B (zh) * | 2022-04-14 | 2023-07-25 | 北京金睛云华科技有限公司 | 一种基于知识图谱的黑客攻击场景构建方法和设备 |
CN114745183B (zh) * | 2022-04-14 | 2023-10-27 | 浙江网商银行股份有限公司 | 告警方法以及装置 |
CN115048533B (zh) * | 2022-06-21 | 2023-06-27 | 四维创智(北京)科技发展有限公司 | 知识图谱构建的方法、装置、电子设备及可读存储介质 |
CN115225338B (zh) * | 2022-06-28 | 2023-12-12 | 合肥综合性国家科学中心人工智能研究院(安徽省人工智能实验室) | 一种基于知识图谱的漏洞关联图生成方法及存储介质 |
CN115050085B (zh) * | 2022-08-15 | 2022-11-01 | 珠海翔翼航空技术有限公司 | 基于图谱的模拟机管理系统对象识别方法、系统及设备 |
CN115098705B (zh) * | 2022-08-25 | 2022-11-11 | 成都航空职业技术学院 | 基于知识图谱推理的网络安全事件分析方法及系统 |
CN115296924B (zh) * | 2022-09-22 | 2023-01-31 | 中国电子科技集团公司第三十研究所 | 一种基于知识图谱的网络攻击预测方法及装置 |
CN115378746B (zh) * | 2022-10-26 | 2022-12-23 | 北京华云安信息技术有限公司 | 网络入侵检测规则生成方法、装置、设备以及存储介质 |
CN116032527A (zh) * | 2022-11-08 | 2023-04-28 | 广东广信通信服务有限公司 | 一种基于云计算的数据安全漏洞感知系统及方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10542015B2 (en) * | 2016-08-15 | 2020-01-21 | International Business Machines Corporation | Cognitive offense analysis using contextual data and knowledge graphs |
CN109413109B (zh) * | 2018-12-18 | 2021-03-05 | 中国人民解放军国防科技大学 | 基于有限状态机的面向天地一体化网络安全状态分析方法 |
CN110472226A (zh) * | 2019-07-03 | 2019-11-19 | 五邑大学 | 一种基于知识图谱的网络安全态势预测方法及装置 |
-
2020
- 2020-04-13 CN CN202010284095.XA patent/CN111177417B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111177417A (zh) | 2020-05-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111177417B (zh) | 基于网络安全知识图谱的安全事件关联方法、系统、介质 | |
CN111741023B (zh) | 面向网络攻防试验平台的攻击研判方法、系统及介质 | |
Navarro et al. | A systematic survey on multi-step attack detection | |
CN108520180B (zh) | 一种基于多维度的固件Web漏洞检测方法及系统 | |
Gutiérrez‐Madroñal et al. | Evolutionary mutation testing for IoT with recorded and generated events | |
CN112487208A (zh) | 一种网络安全数据关联分析方法、装置、设备及存储介质 | |
Ibarra-Fiallos et al. | Effective filter for common injection attacks in online web applications | |
Nour et al. | A survey on threat hunting in enterprise networks | |
Naeem et al. | Scalable mutation testing using predictive analysis of deep learning model | |
Angelini et al. | An attack graph-based on-line multi-step attack detector | |
CN113987492A (zh) | 一种告警事件的确定方法及装置 | |
CN117729027A (zh) | 异常行为检测方法、装置、电子设备及存储介质 | |
CN102982282B (zh) | 程序漏洞的检测系统和方法 | |
Tylman | Misuse-based intrusion detection using Bayesian networks | |
Rouached et al. | An efficient formal framework for intrusion detection systems | |
Czekster et al. | BDMPathfinder: a tool for exploring attack paths in models defined by Boolean logic Driven Markov Processes | |
CN111190813B (zh) | 基于自动化测试的安卓应用网络行为信息提取系统及方法 | |
CN114205146A (zh) | 一种多源异构安全日志的处理方法及装置 | |
US10121008B1 (en) | Method and process for automatic discovery of zero-day vulnerabilities and expoits without source code access | |
Li et al. | A threat recognition solution of edge data security in industrial internet | |
CN113542204A (zh) | 防护规则生成方法、装置和存储介质 | |
Khairkar | Intrusion Detection System based on Ontology for Web Applications | |
Lavieille et al. | IsoEx: an explainable unsupervised approach to process event logs cyber investigation | |
CN116627466B (zh) | 一种业务路径提取方法、系统、设备及介质 | |
CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |