CN111177417B - 基于网络安全知识图谱的安全事件关联方法、系统、介质 - Google Patents

Abstract

本发明提供了基于网络安全知识图谱的安全事件关联方法、系统、介质，其可以提高安全事件生成的有效率，能够从海量的安全事件中关联属于同一复合攻击的攻击步骤所对应的安全事件，提高了攻击研判的准确率，其中方法包括以下步骤：步骤S1：构建网络安全本体模型，依据所述网络安全本体模型创建网络安全知识图谱；步骤S2：基于规则推理的方法扩充网络安全知识图谱；步骤S3：将采集数据生成安全事件；步骤S4：基于有限状态机和网络安全知识图谱对安全事件进行攻击研判，关联属于同一复合攻击的攻击步骤所对应的安全事件。

Description

基于网络安全知识图谱的安全事件关联方法、系统、介质

技术领域

本发明涉及网络安全技术领域，具体涉及基于网络安全知识图谱的安全事件关联方法、系统、介质。

背景技术

知识图谱最显著的优势是可以表达实体之间的关系，在网络安全领域，也可以利用知识图谱来识别网络攻击及入侵行为。网络安全知识图谱包括已知漏洞信息、攻击信息、资产信息以及这些信息之间的关系等。这些已知的安全知识，可以从各个漏洞网站、攻击分析网站等获取信息，并且随着时间的推移逐步补充新的漏洞和攻击信息。

通常，知识图谱构建的过程中，不可能直接获取到所有实体之间的关系，需要通过知识推理挖掘出实体之间隐藏的关系，丰富网络安全知识图谱。

网络攻击通常包含一个或多个攻击步骤，各步骤之间有一定的关系，这些关系以安全事件的形式作为知识存储在网络安全知识图谱中，随着互联网技术的不断发展，网络攻击的方式越来越隐蔽和复杂，传统的检测方法已经无法准确识别，从攻击步骤的角度来说，攻击步骤，即网络攻击产生的安全事件之间不是孤立的，他们之间存在着时序关系、因果关系或者并列关系，因此，针对安全事件的关联分析技术应运而生。

现有技术中，存在着基于属性特征、基于逻辑推理、基于概率统计和基于机器学习等不同技术方法，在安全事件关联分析中各有利弊，基于有限状态机的关联分析方法的优点是逻辑性强，安全事件之间的触发非常明确，但是，强逻辑性会导致通用性差，不能支持动态变化；基于规则的关联分析方法的优点是容易实现且高效，能够匹配前提条件和后置条件来关联安全事件，缺点是灵活性差，申请人旨在提供一种新的安全事件关联方法，综合基于有限状态机的关联分析方法和基于规则的关联分析方法的优点，在攻击方法多变性的情况下，可以提高攻击研判的准确率。

发明内容

针对上述问题，本发明提供了基于网络安全知识图谱的安全事件关联方法、系统、介质，其可以提高安全事件生成的有效率，能够从海量的安全事件中关联属于同一复合攻击的攻击步骤所对应的安全事件，提高了攻击研判的准确率。

其技术方案是这样的：基于网络安全知识图谱的安全事件关联方法，其特征在于，包括以下步骤：

步骤S1：构建网络安全本体模型，依据所述网络安全本体模型创建网络安全知识图谱；

步骤S2：基于规则推理的方法扩充网络安全知识图谱；

步骤S3：将采集数据生成安全事件；

步骤S4：基于有限状态机对安全事件进行攻击研判，关联属于同一复合攻击的攻击步骤所对应的安全事件。

进一步的，步骤S1中构建网络安全本体模型包括以下内容：

构建网络安全本体模型的一级本体：攻击模式、资产、攻击检测和杀死链；

在资产下构建二级本体：漏洞投递和漏洞利用；

在攻击模式下构建二级本体：探测、投递、利用、命令和控制、攻击实施；

在攻击检测下构建二级本体：探测、投递、利用、命令和控制、攻击实施；

在杀死链下构建二级本体：探测、投递、利用、命令和控制、攻击实施；

为本体添加实例及实例间的关系；

其中，实例间的关系包括：a发生在b之前、a导致了b的发生、a和b的功能相同、a是b发生的原因、a和b相关联、a和b是顺序关系、a是b的实例，其中a和b分别代表实体。

进一步的，步骤S2中基于规则推理的方法扩充网络安全知识图谱具体包括以下步骤：

步骤S201：设定推理规则；

步骤S202：基于推理规则，通过jena推理机推理出实例间隐含的关系。

进一步的，在步骤S201中设定的推理规则包括：

规则一：如果p和m功能相同，m是n的一个实例，则推断p是n的一个实例；

规则二：如果p是m的一个实例，m和n相关联，则推断p和n相关联；

规则三：如果p和m相关联，h和l相关联，m在l之前发生，则推断p在h之前发生；

规则四：如果p和m相关联，h和l相关联，m是l发生的原因，则推断p是h发生的原因；

规则五：如果p和m相关联，h和l相关联，m和l是顺序发生的，则推断p和h是顺序发生的；

其中，h、l、m、n、p分别代表实体。

进一步的，步骤S202中通过jena推理机推理出实例间隐含的关系具体包括以下步骤：

步骤S202-1：解析网络安全本体模型，读取规则一，并将推理结果添加到本体模型中；

步骤S202-2：解析网络安全本体模型，读取规则二，将推理结果添加到本体模型中；

步骤S202-3：执行完规则一和规则二后，选择执行规则三至规则五中的任意一条或多条，或依次执行规则三至规则五。

进一步的，在步骤S3中，对于采集的数据中的日志信息，通过特征匹配的方法，提取与网络安全相关的内容，从而获取安全事件，其中，日志信息包括系统日志、入侵检测设备日志、漏洞扫描结果、第三方安全厂商检测结果。

进一步的，在步骤S3中，对于采集的数据中的流量数据，将流量数据经过snort规则过滤，产生告警信息，对告警信息进行分类，分别依据规则约束生成安全事件，规则约束具体包括：

探测扫描：在设定的时间间隔内，首先分析告警的描述信息，根据描述信息确定具体的扫描探测，扫描探测包括网络层扫描探测、传输层扫描探测和应用层扫描探测，然后根据扫描探测的分类统计由不同源IP向相同目的IP尝试远程访问产生的告警次数，当统计的告警次数超过设定的阈值，则这些告警信息生成相应的安全事件；

攻击突破：在设定的时间间隔内，首先分析告警的描述信息，根据描述信息确定具体的攻击突破，攻击突破包括流量劫持和网络服务修改，然后将告警信息依照时间关系和空间关系与网络安全知识图谱中的攻击突破信息进行匹配，统计匹配成功的个数，并计算匹配成功率，当匹配成功率超过设定的阈值，则这些告警信息生成相应的安全事件。

进一步的，在步骤S4中具体包括以下步骤：

设置有限状态机，设定有限状态机的所有状态和触发条件，有限状态机的所有状态的设置是依据网络安全知识图谱中的杀死链的各个步骤，对应杀死链中的二级本体：探测、投递、利用、命令和控制、攻击实施，有限状态机的触发条件包括网络安全知识图谱中设定的杀死链各步骤之间的关系和安全事件的时间及ip地址的约束；

将安全事件去冗余、按时间先后排序，在设定的时间间隔内，遍历安全事件的IP，当源IP和目的IP相同时，考虑为同一个复合攻击的步骤，然后在设定的时间间隔内，分别将安全事件与有限状态机设置的初始状态进行匹配，若匹配不成功，则判定为单步攻击；若匹配成功，则依据设置的触发条件，继续匹配中间状态，若匹配成功，则继续匹配下一个中间状态直至终止状态，无论是否匹配到下一中间状态，均判定为复合攻击，且将匹配到的最后一个状态判定为安全事件对应的复合攻击当前结束的攻击步骤，若匹配不成功，则判定为单步攻击；

根据匹配结果，关联属于同一复合攻击的攻击步骤所对应的安全事件。

一种基于网络安全知识图谱的安全事件关联系统，其特征在于，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如上述的具有基于网络安全知识图谱的安全事件关联方法。

一种计算机可读存储介质，其上存储有程序，其特征在于：所述程序被处理器执行时实现如上述的基于网络安全知识图谱的安全事件关联方法。

与现有技术相比本发明具有以下有益效果：

依托于现有的网络安全知识图谱、已知网络攻击各步骤之间的关系和攻击步骤与攻击方法、攻击工具之间的关系，从现有网络安全知识图谱不完备的实际需求出发，在新的知识加入时，通过规则推理的方法推理出新的实体间的关系，即新的攻击步骤与攻击方法、攻击工具之间的关系，从而丰富和扩充了网络安全知识图谱；攻击步骤在网络安全知识图谱中以安全事件存储，安全事件需要从采集的数据中生成，本发明在从采集的数据中生成安全事件的过程中对流量数据生成安全事件添加了约束规则，从而提高安全事件生成的有效率；当采集的数据经过预处理、并且生成安全事件后，海量的安全事件可以看作是无数的攻击步骤，通过攻击研判关联属于同一复合攻击的攻击步骤所对应的安全事件，利用有限状态机的触发机制，根据复合攻击各步骤之间的关系，依据时空约束和攻击步骤的关系设置触发条件、容错阈值和分析的时间间隔，从而提高攻击研判的准确率。

附图说明

图1为本发明的基于网络安全知识图谱的安全事件关联方法的流程示意图；

图2为本发明的基于网络安全知识图谱的安全事件关联方法的工作示意框图；

图3为具体实施方式中规则推理的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

本发明的基于网络安全知识图谱的安全事件关联方法，至少包括以下步骤：

步骤S1：构建网络安全本体模型，依据所述网络安全本体模型创建网络安全知识图谱；

步骤S2：基于规则推理的方法扩充网络安全知识图谱；

步骤S3：将采集数据生成安全事件；

步骤S4：基于有限状态机对安全事件进行攻击研判，关联属于同一复合攻击的攻击步骤所对应的安全事件。

具体在本实施例，步骤S1中构建网络安全本体模型包括以下内容：

构建网络安全本体模型的一级本体：资产、攻击模式、攻击检测和杀死链；

在资产下构建二级本体：漏洞投递和漏洞利用；

在攻击模式下构建二级本体：探测、投递、利用、命令和控制、攻击实施；

在攻击检测下构建二级本体：探测、投递、利用、命令和控制、攻击实施；

在杀死链下构建二级本体：探测、投递、利用、命令和控制、攻击实施；

为本体添加实例及实例间的关系，这些实例间的关系包括：a发生在b之前、a导致了b的发生、a和b的功能相同、a是b发生的原因、a和b相关联、a和b是顺序关系、a是b的实例，其中a和b分别代表实体。

网络安全本体模型以网络攻击相关的攻击步骤、攻击方法等作为最小的信息单位。各知识点间存在相互关联，形成了关于攻击知识的网络结构。本实施例中对网络攻击的关键步骤进行描述，网络攻击首先根据攻击步骤分为固定的杀死链，这里是依据杀死链模型确定的攻击步骤，每一个杀死链对应一种攻击模式，攻击模式为单步攻击的分类，单步攻击的排列组合构成复合攻击，攻击模式是分析现有攻击的特征得到的，因此攻击模式与攻击检测和资产是对应关系，即同一个攻击检测的结果和资产的分析结果都是对应同一个攻击模式的。

实施例中在protégé软件中构建本体模型，Assets、Attackpattern、AttackDetection and Killchain分别为一级本体：资产、攻击模式、攻击检测和杀死链，VulnerabilityDelivery and VulnerabilityUtilization为资产下构建的二级本体：漏洞投递和漏洞利用，Investigation，Delivery, Utilization, C&C and Action为攻击模式下构建的二级本体：探测、投递、利用、命令和控制、攻击实施，SnortInvestigation,SnortDelivery, SnortUtilization, SnortC2 and SnortAction为攻击检测下构建的二级本体：探测、投递、利用、命令和控制、攻击实施，KillchainInvestigation,KillchainDelivery, KillchainUtilization, KillchainC&C and KillchainAction为杀死链下构建的二级本体：探测、投递、利用、命令和控制、攻击实施；二级分类通过添加不同的前缀，以示区别，在实施例中为了避免累赘，采用简化表述。

具体的，步骤S2中基于规则推理的方法扩充网络安全知识图谱具体包括以下步骤：

步骤S201：设定推理规则，在步骤S201中设定的推理规则包括：

规则一：如果p和m功能相同，m是n的一个实例，则推断p是n的一个实例；

规则二：如果p是m的一个实例，m和n相关联，则推断p和n相关联；

规则三：如果p和m相关联，h和l相关联，m在l之前发生，则推断p在h之前发生；

规则四：如果p和m相关联，h和l相关联，m是l发生的原因，则推断p是h发生的原因；

规则五：如果p和m相关联，h和l相关联，m和l是顺序发生的，则推断p和h是顺序发生的；

其中，h、l、m、n、p分别代表实体；

步骤S202：基于推理规则，通过jena推理机推理出实例间隐含的关系；

具体的，步骤S202中通过jena推理机推理出实例间隐含的关系具体包括以下步骤：

步骤S202-1：解析网络安全本体模型，读取规则一，并将推理结果添加到本体模型中；

步骤S202-2：解析网络安全本体模型，读取规则二，将推理结果添加到本体模型中；

步骤S202-3：执行完规则一和规则二后，选择执行规则三至规则五中的任意一条或多条，或依次执行规则三至规则五；

这里，规则一和规则二的执行结果是规则三到规则五执行的前提，而规则三、规则四和规则五的执行结果互不影响。

在步骤2中使用上述规则的目的是将所有的网络安全知识都与单步攻击联系起来，将单步攻击按照攻击的分类与杀死链对应起来，而杀死链中包含不同的关系：顺序、依赖、因果，那么单步攻击对应的分类之间也有顺序、依赖、因果的关系，相应的，单步攻击对应的威胁要素之间也有顺序、依赖和因果的关系，每一类单步攻击与它所对应的威胁要素之间还有一个可选择的关系，即每一类单步攻击会对应不同的威胁要素，因为不同的威胁要素会产生相同的攻击效果，正因为如此，复合攻击的模式是固定的，但是表现方式是多种多样的，基于规则的推理就是把每一个威胁要素准确定位于单步攻击的类别下，然后根据杀死链的顺序、因果和依赖关系确定和其他威胁要素之间的关系，这样，复合攻击的模式就更加丰富了，使用网络安全知识图谱进行分析网络安全状态时，只需要将采集的数据进行提取威胁要素，按照时间排列等操作，依据源/目的IP，将不同攻击目标产生的威胁要素与网络安全知识图谱匹配即可得到攻击的详情。

以实例关系(CVE-2000-1353，equal_function，snort-966)、(snort-966，ISA，CAPEC-utilization)和规则一[rule1: (

p omni:equal_function

m), (

m omni:ISA

n)->(

p omni:ISA

n)]为例，可以推出(CVE-2000-1353，ISA，CAPEC-utilization)，推理预期示意图如图3所示，规则一[rule1: (

p omni:equal_function

m), (

m omni:ISA

n)->(

p omni:ISA

n)]是jena推理机可以读取的代码语言。

具体在本实施例中，在步骤S3中，对于采集的数据中的日志信息，通过特征匹配的方法，提取与网络安全相关的内容获取安全事件，其中，日志信息包括系统日志、检测设备日志、漏洞扫描结果、第三方安全厂商检测结果。

具体在本实施例中，在步骤S3中，对于采集的数据中的流量数据，将流量数据经过snort规则过滤，snort规则是入侵检测规则中的一种，产生告警信息，对告警信息进行分类，分别依据规则约束生成安全事件，规则约束具体包括：

探测扫描：在设定的时间间隔内，首先分析告警的描述信息，根据描述信息确定具体的扫描探测，扫描探测包括网络层扫描探测、传输层扫描探测和应用层扫描探测，然后根据扫描探测的分类统计由不同源IP向相同目的IP尝试远程访问产生的告警次数，当统计的告警次数超过设定的阈值，则这些告警信息生成相应的安全事件；

攻击突破：在设定的时间间隔内，首先分析告警的描述信息，根据描述信息确定具体的攻击突破，攻击突破包括流量劫持和网络服务修改，然后将告警信息依照时间关系和空间关系与网络安全知识图谱中的攻击突破信息进行匹配，统计匹配成功的个数，并计算匹配成功率，当匹配成功率超过设定的阈值，则这些告警信息生成相应的安全事件。

由于采集的数据有多种，比如：流量、日志等，对于流量和日志的处理是不一样的，日志数据是直接提取出与网络安全相关的内容即可，而流量数据包含的内容非常多，这里考虑经过snort规则过滤后产生的告警信息，即如何将告警信息经过规则过滤和关联分析生成安全事件，对经过snort规则过滤后产生的告警信息进行分类，即探测扫描和攻击突破，从而实现提高安全事件生成的有效率，随后，将生成的安全事件使用图数据库的形式展示。

具体在本实施例中，在步骤S4中具体包括以下步骤：

设置有限状态机，设定有限状态机的所有状态和触发条件，有限状态机的所有状态的设置是依据网络安全知识图谱中的杀死链的各个步骤，对应杀死链中的二级本体：探测、投递、利用、命令和控制、攻击实施，有限状态机的触发条件包括网络安全知识图谱中设定的杀死链各步骤之间的关系和安全事件的时间及ip地址的约束；

把安全事件看作是攻击的步骤，将安全事件去冗余、按时间先后排序，利用有限状态机的触发机制，然后在设定的时间间隔内，遍历安全事件的IP，当源IP和目的IP相同时，考虑为一个复合攻击的步骤；在设定的时间间隔内，分别将安全事件与有限状态机设置的初始状态进行匹配，若匹配不成功，则判定为单步攻击；若匹配成功，则依据设置的触发条件，继续匹配中间状态，若匹配成功，则继续匹配下一个中间状态直至终止状态，无论是否匹配到下一中间状态，均判定为复合攻击，且将匹配到的最后一个状态判定为安全事件对应的复合攻击当前结束的攻击步骤，若匹配不成功，则判定为单步攻击；

根据匹配结果，关联属于同一复合攻击的攻击步骤所对应的安全事件。

因为网络攻击分为单步攻击和复合攻击，所以单步攻击由单个安全事件产生，复合攻击由多个安全事件产生，单步攻击的发生不是持续性的，但复合攻击可能会持续很长时间，而在步骤S4的攻击研判中需要设定时间间隔，在设定的时间间隔内，网络攻击会产生如下几种情况：

1、在设定的时间间隔内，网络攻击完成了从开始到结束；

2、在设定的时间间隔内，网络攻击只有开始，没有结束；

3、在设定的时间间隔内，网络攻击没有开始，只有结束；

通过采用步骤S4中攻击研判方法，复合攻击的第一步对应初始状态、复合攻击的第二、三、四步对应中间状态、复合攻击的第五步对应终止状态，对于第一种情况，认为其满足完成了复合攻击的所有步骤，判定为复合攻击；对于第二种情况，判定为复合攻击，举例，第一步匹配成功，第二步匹配成功，则判定为复合攻击的第二步，如果第一步匹配成功，第二步匹配成功，第四步匹配成功，缺少第三步，则判定为复合攻击的第四步；而对于第三种情况则认为是单步攻击，如果没有复合攻击的第一步，即使第二、三、四和五步都连续发生，也会把他们分别当作单步攻击。

本发明在攻击研判方法中增加了容错机制，包括了在设定的时间间隔内，遍历安全事件的IP，当源IP和目的IP相同时，考虑为同一个复合攻击的步骤，在满足上述条件的情况下，才将安全事件与网络安全知识图谱进行匹配，如果第一步匹配成功，则继续进行匹配，如果匹配不成功，则判定为单步攻击；如果第一步匹配成功，第二步匹配成功，则判定为复合攻击的第二步，如果第一步匹配成功，第二步匹配成功，第四步匹配成功，缺少第三步，则判定为复合攻击的第四步，如此类推，上述容错机制的设置，可以大大避免将复合攻击误判为多个单步攻击，减少误判率和错判率。

本发明的基于网络安全知识图谱的安全事件关联方法，在已经构建的网络安全知识图谱的前提下，加入新的知识，通过规则推理的方法推理出新的关系，即补全新的知识与网络安全知识图谱中知识的新关系从而丰富网络安全知识图谱；网络攻击通常包含一个或多个攻击步骤，各步骤之间有一定的关系，这些关系以安全事件的形式作为知识存储在网络安全知识图谱中，因此，需要将采集的数据生成安全事件，才可以与网络安全知识图谱进行匹配，采集的数据主要包括系统日志、入侵检测设备日志、第三方安全厂商检测结果、流量数据、漏洞扫描结果等，对于日志和报告，可以通过特征匹配的方法获取安全事件，对于流量数据，主要是将由流量数据经过snort规则约束后产生告警信息经规则约束生成安全事件，从而提高安全事件生成的有效率；对于全网来说，安全事件生成后，可以看作是海量的离散的攻击步骤，利用有限状态机的触发机制，通过设置不同的触发条件并加上时空属性的规则约束、安全事件之间的关系规则约束和容错机制的约束，从海量的安全事件中关联出属于同一复合攻击的攻击步骤所对应的安全事件，从而提高了攻击研判的准确率。

在本发明的实施例中，还提供了一种基于网络安全知识图谱的安全事件关联系统，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，处理器执行所述程序时实现如上述的具有基于网络安全知识图谱的安全事件关联方法。

该系统可包括，但不仅限于处理器、存储器。本领域技术人员可以理解，本实施例仅仅是系统的举例，并不构成对系统的限定，可以包括比本实施例更多或更少的部件，或者组合某些部件，或者不同的部件，例如还可以包括输入输出设备、网络接入设备等。

存储器可以是，但不限于，随机存取存储器(Random Access Memory，简称：RAM)，只读存储器(Read Only Memory，简称：ROM)，可编程只读存储器(Programmable Read-OnlyMemory，简称：PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，简称：EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，简称：EEPROM)等。其中，存储器用于存储程序，处理器在接收到执行指令后，执行程序。

处理器可以是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，简称：CPU)、网络处理器(NetworkProcessor，简称：NP)等。该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的数据处理程序，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。数据处理程序可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

在本发明的实施例中，还提供了一种计算机可读存储介质，其上存储有程序，程序被处理器执行时实现如上述的基于网络安全知识图谱的安全事件关联方法。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、系统、和计算机程序产品的流程图和/或框图来描述的。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图和或中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图中指定的功能的步骤。

以上对本发明所提供的基于网络安全知识图谱的安全事件关联方法、基于网络安全知识图谱的安全事件关联系统、一种计算机可读存储介质的应用进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.基于网络安全知识图谱的安全事件关联方法，其特征在于，包括以下步骤：

步骤S1：构建网络安全本体模型，依据所述网络安全本体模型创建网络安全知识图谱；

步骤S2：基于规则推理的方法扩充网络安全知识图谱；

步骤S3：将采集数据生成安全事件；

步骤S4：基于有限状态机和网络安全知识图谱对安全事件进行攻击研判，关联属于同一复合攻击的攻击步骤所对应的安全事件。

2.根据权利要求1所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，步骤S1中构建网络安全本体模型包括以下内容：

构建网络安全本体模型的一级本体：攻击模式、资产、攻击检测和杀死链；

在资产下构建二级本体：漏洞投递和漏洞利用；

在攻击模式下构建二级本体：探测、投递、利用、命令和控制、攻击实施；

在攻击检测下构建二级本体：探测、投递、利用、命令和控制、攻击实施；

在杀死链下构建二级本体：探测、投递、利用、命令和控制、攻击实施；

为本体添加实例及实例间的关系；

其中，实例间的关系包括：a发生在b之前、a导致了b的发生、a和b的功能相同、a是b发生的原因、a和b相关联、a和b是顺序关系、a是b的实例，其中a和b分别代表实体。

3.根据权利要求2所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，步骤S2中基于规则推理的方法扩充网络安全知识图谱具体包括以下步骤：

步骤S201：设定推理规则；

步骤S202：基于推理规则，通过jena推理机推理出实例间隐含的关系。

4.根据权利要求3所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，在步骤S201中设定的推理规则包括：

规则一：如果p和m功能相同，m是n的一个实例，则推断p是n的一个实例；

规则二：如果p是m的一个实例，m和n相关联，则推断p和n相关联；

规则三：如果p和m相关联，h和l相关联，m在l之前发生，则推断p在h之前发生；

规则四：如果p和m相关联，h和l相关联，m是l发生的原因，则推断p是h发生的原因；

规则五：如果p和m相关联，h和l相关联，m和l是顺序发生的，则推断p和h是顺序发生的；

其中，h、l、m、n、p分别代表实体。

5.根据权利要求4所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，步骤S202中通过jena推理机推理出实例间隐含的关系具体包括以下步骤：

步骤S202-1：解析网络安全本体模型，读取规则一，并将推理结果添加到本体模型中；

步骤S202-2：解析网络安全本体模型，读取规则二，将推理结果添加到本体模型中；

步骤S202-3：执行完规则一和规则二后，选择执行规则三至规则五中的任意一条或多条，或依次执行规则三至规则五。

6.根据权利要求1所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，在步骤S3中，对于采集的数据中的日志信息，通过特征匹配的方法，提取与网络安全相关的内容，从而获取安全事件，其中，日志信息包括系统日志、入侵检测设备日志、漏洞扫描结果、第三方安全厂商检测结果。

7.根据权利要求1所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，在步骤S3中，对于采集的数据中的流量数据，将流量数据经过snort规则过滤，产生告警信息，对告警信息进行分类，分别依据规则约束生成安全事件，规则约束具体包括：

探测扫描：在设定的时间间隔内，首先分析告警的描述信息，根据描述信息确定具体的扫描探测，扫描探测包括网络层扫描探测、传输层扫描探测和应用层扫描探测，然后根据扫描探测的分类统计由不同源IP向相同目的IP尝试远程访问产生的告警次数，当统计的告警次数超过设定的阈值，则这些告警信息生成相应的安全事件；

攻击突破：在设定的时间间隔内，首先分析告警的描述信息，根据描述信息确定具体的攻击突破，攻击突破包括流量劫持和网络服务修改，然后将告警信息依照时间关系和空间关系与网络安全知识图谱中的攻击突破信息进行匹配，统计匹配成功的个数，并计算匹配成功率，当匹配成功率超过设定的阈值，则这些告警信息生成相应的安全事件。

8.根据权利要求1所述的基于网络安全知识图谱的安全事件关联方法，其特征在于，在步骤S4中具体包括以下步骤：

设置有限状态机，设定有限状态机的所有状态和触发条件，有限状态机的所有状态的设置是依据网络安全知识图谱中的杀死链的各个步骤，对应杀死链中的二级本体：探测、投递、利用、命令和控制、攻击实施，有限状态机的触发条件包括网络安全知识图谱中设定的杀死链各步骤之间的关系和安全事件的时间及ip地址的约束；

将安全事件去冗余、按时间先后排序，在设定的时间间隔内，遍历安全事件的IP，当源IP和目的IP相同时，考虑为同一个复合攻击的步骤，然后在设定的时间间隔内，分别将安全事件与有限状态机设置的初始状态进行匹配，若匹配不成功，则判定为单步攻击；若匹配成功，则依据设置的触发条件，继续匹配中间状态，若匹配成功，则继续匹配下一个中间状态直至终止状态，无论是否匹配到下一中间状态，均判定为复合攻击，且将匹配到的最后一个状态判定为安全事件对应的复合攻击当前结束的攻击步骤，若匹配不成功，则判定为单步攻击；

根据匹配结果，关联属于同一复合攻击的攻击步骤所对应的安全事件。

9.一种基于网络安全知识图谱的安全事件关联系统，其特征在于，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如权利要求1所述的具有基于网络安全知识图谱的安全事件关联方法。

10.一种计算机可读存储介质，其上存储有程序，其特征在于：所述程序被处理器执行时实现如权利要求1所述的基于网络安全知识图谱的安全事件关联方法。

Images