CN111614696B - 一种基于知识图谱的网络安全应急响应方法及其系统 - Google Patents

一种基于知识图谱的网络安全应急响应方法及其系统 Download PDF

Info

Publication number
CN111614696B
CN111614696B CN202010489130.1A CN202010489130A CN111614696B CN 111614696 B CN111614696 B CN 111614696B CN 202010489130 A CN202010489130 A CN 202010489130A CN 111614696 B CN111614696 B CN 111614696B
Authority
CN
China
Prior art keywords
information
event
knowledge graph
safety
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010489130.1A
Other languages
English (en)
Other versions
CN111614696A (zh
Inventor
陈昊
孙强强
陈霖
匡晓云
杨祎巍
许爱东
陈晓
徐培明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CSG Electric Power Research Institute
Shenzhen Power Supply Bureau Co Ltd
Original Assignee
CSG Electric Power Research Institute
Shenzhen Power Supply Bureau Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CSG Electric Power Research Institute, Shenzhen Power Supply Bureau Co Ltd filed Critical CSG Electric Power Research Institute
Priority to CN202010489130.1A priority Critical patent/CN111614696B/zh
Publication of CN111614696A publication Critical patent/CN111614696A/zh
Application granted granted Critical
Publication of CN111614696B publication Critical patent/CN111614696B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Animal Behavior & Ethology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Alarm Systems (AREA)

Abstract

本申请公开了一种基于知识图谱的网络安全应急响应方法及其系统,通过爬虫技术和知识图谱构建策略库,策略库包括安全情报库和知识图谱库;当监测到网络安全事件发生时,基于网络安全事件的事件信息在安全情报库中匹配对应的响应策略,基于事件信息在知识图谱库中获得对应的知识图谱,基于知识图谱获取事件信息相关的实体和关联关系;基于响应策略、事件信息相关的实体和关联关系生成安全应急预案,安全应急预案至少包括响应策略和安全应急人员;将安全应急预案发送至安全应急人员,并提醒安全应急人员快速响应,从而解决了现有技术在面临突发网络安全事件时,多方异构资源的联动仅依靠人工操作,降低了应急响应的时效性和全面性的技术问题。

Description

一种基于知识图谱的网络安全应急响应方法及其系统
技术领域
本申请涉及计算机网络技术领域,尤其涉及一种基于知识图谱的网络安全应急响应方法及其系统。
背景技术
随着网络安全事件的频发和网络安全态势的愈发严重,网络安全应急响应工作已经逐渐得到重视。目前,网络安全应急响应工作普遍依赖于应急预案与应急演练,具体过程为:分析系统面临的网络安全风险,根据风险设定网络安全事件场景,依据安全事件场景制定网络安全应急响应预案与措施,根据预案和措施编制应急演练脚本,根据脚本开展应急演练,分析应急演练的效果。由于网络安全事件的突发性和不确定性决定了其很难通过场景枚举的方式进行有效的模拟,并且在面临没有准备的突发网络安全事件时,多方异构资源的联动仅依靠人工操作,降低了应急响应的时效性和全面性。
发明内容
本申请提供了一种基于知识图谱的网络安全应急响应方法及其系统,用于解决现有技术在面临突发网络安全事件时,多方异构资源的联动仅依靠人工操作,降低了应急响应的时效性和全面性的技术问题。
有鉴于此,本申请第一方面提供了一种基于知识图谱的网络安全应急响应方法,包括:
构建策略库,所述策略库包括安全情报库和知识图谱库,所述安全情报库包括历史网络安全事件和响应策略,所述历史网络安全事件和所述响应策略通过爬虫技术从网络获取,所述历史网络安全事件与所述响应策略存在对应关系,所述知识图谱库由所述历史网络安全事件的事件信息构建的知识图谱构成;
当监测到网络安全事件发生时,基于所述网络安全事件的事件信息在所述安全情报库中匹配对应的响应策略,基于所述事件信息在所述知识图谱库中获得对应的知识图谱,基于所述知识图谱获取所述事件信息相关的实体和关联关系;
基于所述响应策略、所述事件信息相关的实体和关联关系生成安全应急预案,所述安全应急预案至少包括所述响应策略和安全应急人员;
将所述安全应急预案发送至所述安全应急人员,并提醒所述安全应急人员快速响应。
可选的,所述基于所述网络安全事件的事件信息在所述安全情报库中匹配对应的响应策略,包括:
基于所述网络安全事件的事件信息在所述安全情报库中匹配最相似的所述历史网络安全事件;
基于所述历史网络安全事件和所述响应策略的对应关系,得到所述历史网络安全事件对应的所述响应策略,将所述响应策略作为所述网络安全事件的响应策略。
可选的,所述基于所述事件信息在所述知识图谱库中获得对应的知识图谱,基于所述知识图谱获取所述事件信息相关的实体和关联关系,包括:
基于所述事件信息在所述知识图谱库进行检索,得到所述事件信息对应的知识图谱;
对所述知识图谱进行解析,得到与所述事件信息相关的实体和关联关系。
可选的,所述将所述安全应急预案发送至所述安全应急人员,并提醒所述安全应急人员快速响应,之后还包括:
接收所述安全应急人员的反馈,对所述安全应急人员的反馈进行分析,基于分析结果对所述策略库进行更新。
可选的,所述将所述安全应急预案下发至所述安全应急人员,之前还包括:
将所述安全应急预案发送至管理人员,使得所述管理人员对所述安全应急预案进行确认。
可选的,所述事件信息至少包括:所述网络安全事件的发生时间、源Mac地址、目的Mac地址、源IP地址、目的IP地址、源端口、目的端口、网络安全事件类型、网络安全事件名称或告警级别。
本申请第二方面提供了一种基于知识图谱的网络安全应急响应系统,包括:
构建模块,用于构建策略库,所述策略库包括安全情报库和知识图谱库,所述安全情报库包括历史网络安全事件和响应策略,所述历史网络安全事件和所述响应策略通过爬虫技术从网络获取,所述历史网络安全事件与所述响应策略存在对应关系,所述知识图谱库由所述历史网络安全事件的事件信息构建的知识图谱构成;
提取模块,用于当监测到网络安全事件发生时,基于所述网络安全事件的事件信息在所述安全情报库中匹配对应的响应策略,基于所述事件信息在所述知识图谱库中获得对应的知识图谱,基于所述知识图谱获取所述事件信息相关的实体和关联关系;
预案生成模块,用于基于所述响应策略、所述事件信息相关的实体和关联关系生成安全应急预案,所述安全应急预案至少包括所述响应策略和安全应急人员;
发送模块,用于将所述安全应急预案发送至所述安全应急人员,并提醒所述安全应急人员快速响应。
可选的,所述提取模块包括:
匹配子模块,用于当监测到网络安全事件发生时,基于所述网络安全事件的事件信息在所述安全情报库中匹配最相似的所述历史网络安全事件;
响应策略得到子模块,用于基于所述历史网络安全事件和所述响应策略的对应关系,得到所述历史网络安全事件对应的所述响应策略,将所述响应策略作为所述网络安全事件的响应策略;
检索子模块,用于基于所述事件信息在所述知识图谱库进行检索,得到所述事件信息对应的知识图谱;
解析子模块,用于对所述知识图谱进行解析,得到与所述事件信息相关的实体和关联关系。
可选的,还包括:
更新模块,用于接收所述安全应急人员的反馈,对所述安全应急人员的反馈进行分析,基于分析结果对所述策略库进行更新。
可选的,还包括:
确认模块,用于将所述安全应急预案发送至管理人员,使得所述管理人员对所述安全应急预案进行确认。
从以上技术方案可以看出,本申请具有以下优点:
本申请提供了一种基于知识图谱的网络安全应急响应方法,包括:构建策略库,策略库包括安全情报库和知识图谱库,安全情报库包括历史网络安全事件和响应策略,历史网络安全事件和响应策略通过爬虫技术从网络获取,历史网络安全事件与响应策略存在对应关系,知识图谱库由历史网络安全事件的事件信息构建的知识图谱构成;当监测到网络安全事件发生时,基于网络安全事件的事件信息在安全情报库中匹配对应的响应策略,基于事件信息在知识图谱库中获得对应的知识图谱,基于知识图谱获取事件信息相关的实体和关联关系;基于响应策略、事件信息相关的实体和关联关系生成安全应急预案,安全应急预案至少包括响应策略和安全应急人员;将安全应急预案发送至安全应急人员,并提醒安全应急人员快速响应。
本申请中的基于知识图谱的网络安全应急响应方法,通过爬虫技术从网络获取大量的历史网络安全事件及其对应的响应策略,通过提取历史网络安全事件的事件信息,构建知识图谱,从而得到策略库;当监测到网络安全事件时,基于网络安全事件的事件信息在安全情报库中匹配对应的响应策略,基于事件信息在知识图谱库中获得对应的知识图谱,基于知识图谱获取事件信息相关的实体和关联关系;基于响应策略、事件信息相关的实体和关联关系生成安全应急预案,通过知识图谱的方式关联出与网络安全事件相关的所有实体和关联关系,使得生成的安全应急预案更加全面可靠,也避免了人工操作来关联网络安全事件相关的多方异构资源,提高了应急响应的时效性和全面性,从而解决了现有技术在面临突发网络安全事件时,多方异构资源的联动仅依靠人工操作,降低了应急响应的时效性和全面性的技术问题。
附图说明
图1为本申请实施例提供的一种基于知识图谱的网络安全应急响应方法的一个流程示意图;
图2为本申请实施例提供的一种知识图谱的一个示意图;
图3为本申请实施例提供的一种基于知识图谱的网络安全应急响应系统的一个结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了便于理解,请参阅图1,本申请提供的一种基于知识图谱的网络安全应急响应方法的一个实施例,包括:
步骤101、构建策略库,策略库包括安全情报库和知识图谱库。
安全情报库包括历史网络安全事件和响应策略,安全监测预警系统可以通过网络爬虫技术从网络定期获取历史网络安全事件和响应策略,将获取的历史网络安全事件及其对应的响应策略按照结构化储存的方式存储进安全情报库,其中,历史网络安全事件可以包括木马安全事件、病毒安全事件、攻击安全事件和其他安全事件,历史网络安全事件与响应策略存在对应关系。知识图谱库由历史网络安全事件的事件信息构建的知识图谱构成,知识图谱库中的每个知识图谱由对象与关系组成,对象可以包括:资料信息、系统信息、漏洞信息和相关人员信息等,关系可以包括:从属关系、操作关系和匹配关系等。知识图谱的构建可以借助于公司人力资源库、漏洞信息库以及资产信息库的信息同步,不断从人力资源库中提取人员的岗位角色信息,从漏洞信息库中提取漏洞信息以及从资产信息库中提取属性信息来不断丰富知识图谱中的实体及实体之间的联系,可以实现知识图谱的动态更新。
步骤102、当监测到网络安全事件发生时,基于网络安全事件的事件信息在安全情报库中匹配对应的响应策略,基于事件信息在知识图谱库中获得对应的知识图谱,基于知识图谱获取事件信息相关的实体和关联关系。
当安全监测预警系统检测到网络安全事件发生时,安全监测预警系统提取该网络安全事件的事件信息,事件信息至少包括:网络安全事件的发生时间、源Mac地址、目的Mac地址、源IP地址、目的IP地址、源端口、目的端口、网络安全事件类型、网络安全事件名称或告警级别。当网络安全事件为木马安全事件时,提取的事件信息可以为木马安全事件的发生时间、源Mac地址、目的Mac地址、源IP地址、目的IP地址、源端口、目的端口、木马报警类型、木马报警规则名称或告警级别;当网络安全事件为病毒安全事件时,提取的事件信息可以为木马安全事件的发生时间、源Mac地址、目的Mac地址、源IP地址、目的IP地址、源端口、目的端口、病毒类型、病毒名称或告警级别;当网络安全事件为攻击事件时,提取的事件信息可以为攻击事件的发生时间、源Mac地址、目的Mac地址、源IP地址、目的IP地址、源端口、目的端口、攻击类型、攻击名称或告警级别;当网络安全事件为其他安全事件时,提取的事件信息可以为安全事件的发生时间、源Mac地址、目的Mac地址、源IP地址、目的IP地址、源端口、目的端口、安全事件摘要或告警级别。
基于网络安全事件的事件信息在安全情报库中匹配对应的响应策略,具体可以为:
安全监测预警系统基于网络安全事件的事件信息在安全情报库中匹配最相似的历史网络安全事件,安全监测预警系统可以采用文本余弦相似度的方法来匹配最相似的历史网络安全事件;安全监测预警系统基于历史网络安全事件和响应策略的对应关系,得到历史网络安全事件对应的响应策略,将响应策略作为网络安全事件的响应策略。
基于事件信息在知识图谱库中获得对应的知识图谱,基于知识图谱获取事件信息相关的实体和关联关系,具体可以为:
安全监测预警系统基于事件信息在知识图谱库进行检索,得到事件信息对应的知识图谱;安全监测预警系统对知识图谱进行解析,得到与事件信息相关的实体和关联关系。假设,安全监测预警系统监测到网络中的一个IP地址为xx.xx.xx.01的主机发生木马事件,该主机所在的知识图谱如图2所示,通过图2可知,该主机为网络中的关键资产,并且该资产上部署了公司财务管理系统的数据库服务,并与网络上一系列的内外网服务器相连,同时还能得知每台服务器的安全运维人员信息以及每台服务器和所关联系统的漏洞整改信息。可以通过该知识图谱中实体与实体之间的关联关系生成一个全面的安全事件应急链,从而能够囊括一个网络安全事件发生的对象及其影响范围以及相关的安全应急人员。需要说明的是,安全监测预警系统中的该知识图谱的构建可以借助于公司人力资源库、漏洞信息库以及资产信息库的信息同步,不断从人力资源库中提取人员的岗位角色信息,从漏洞信息库中提取漏洞信息以及从资产信息库中提取属性信息来不断丰富知识图谱中的实体及实体之间的联系,可以实现知识图谱的动态更新。
步骤103、基于响应策略、事件信息相关的实体和关联关系生成安全应急预案,安全应急预案至少包括响应策略和安全应急人员。
安全监测预警系统基于上述步骤得到的响应策略、事件信息相关的实体和关联关系生成安全应急预案,安全应急预案可以包括:网络安全事件信息、该网络安全事件对应的响应策略、受威胁的资产与系统、相关漏洞整改情况以及相关的安全应急人员。
步骤104、将安全应急预案发送至安全应急人员,并提醒安全应急人员快速响应。
安全监测预警系统生成安全应急预案后,可以将该安全应急预案发送至每位安全应急人员的手机,并提醒相关安全应急人员快速响应,执行相关的响应策略。
作为进一步地改进,在步骤104之前还包括:将安全应急预案发送至管理人员,使得管理人员对安全应急预案进行确认。
安全监测预警系统生成安全应急预案后,可以先将该安全应急预案发送给相关的管理人员,管理人员可以对该安全应急预案进行确认,当管理人员确认安全应急预案无误,可以返回确认指令至安全监测预警系统,安全监测预警系统再将该安全应急预案发送给安全应急人员;当管理人员对该安全应急预案进行了修改时,可以将修改后的安全应急预案发送给安全监测预警系统,安全监测预警系统再将修改后的安全应急预案发送给安全应急人员,使得安全应急人员执行修改后的安全应急预案。通过管理人员的进一步确认或修改,进一步提高安全应急预案的可靠性。
作为进一步地改进,在步骤104之后还包括:接收安全应急人员的反馈,对安全应急人员的反馈进行分析,基于分析结果对策略库进行更新。
当安全应急人员执行相关的操作后,安全监测预警系统可以发送一张反馈记录表给安全应急人员进行填写,该反馈记录表可以包括:网络安全事件基本信息和简述、网络安全事件的响应策略有效性、响应策略的待补充信息、网络安全事件相关实体的待补充信息等。通过对网络安全事件的响应策略的有效性评价,能够对历史网络安全事件对应的响应策略进行打分,从而促进对响应策略进行更新;通过对响应策略进行补充,可以对历史网络安全事件对应的响应策略进行更新,从而使得后续推荐的响应策略更加贴近实际情况;通过对相关实体进行信息补充,可以对实际应急响应过程中发现的关联关系进行查漏补缺,更新策略库中的知识图谱。
安全监测预警系统接收安全应急人员的反馈,对安全应急人员的反馈进行分析,基于分析结果对策略库进行更新,从而实现每次网络安全事件后的自我学习和升级,随着网络安全事件的处理越多,策略库越完善,通过策略库的不断升级和更新,提高生成的安全应急预案的全面性。
本申请实施例中的基于知识图谱的网络安全应急响应方法,通过爬虫技术从网络获取大量的历史网络安全事件及其对应的响应策略,通过提取历史网络安全事件的事件信息,构建知识图谱,从而得到策略库;当监测到网络安全事件时,基于网络安全事件的事件信息在安全情报库中匹配对应的响应策略,基于事件信息在知识图谱库中获得对应的知识图谱,基于知识图谱获取事件信息相关的实体和关联关系;基于响应策略、事件信息相关的实体和关联关系生成安全应急预案,通过知识图谱的方式关联出与网络安全事件相关的所有实体和关联关系,使得生成的安全应急预案更加全面可靠,也避免了人工操作来关联网络安全事件相关的多方异构资源,提高了应急响应的时效性和全面性,从而解决了现有技术在面临突发网络安全事件时,多方异构资源的联动仅依靠人工操作,降低了应急响应的时效性和全面性的技术问题。
为了便于理解,请参阅图3,本申请提供的一种基于知识图谱的网络安全应急响应系统的一个实施例,包括:
构建模块201,用于构建策略库,策略库包括安全情报库和知识图谱库,安全情报库包括历史网络安全事件和响应策略,历史网络安全事件和响应策略通过爬虫技术从网络获取,历史网络安全事件与响应策略存在对应关系,知识图谱库由历史网络安全事件的事件信息构建的知识图谱构成。
提取模块202,用于当监测到网络安全事件发生时,基于网络安全事件的事件信息在安全情报库中匹配对应的响应策略,基于事件信息在知识图谱库中获得对应的知识图谱,基于知识图谱获取事件信息相关的实体和关联关系。
预案生成模块203,用于基于响应策略、事件信息相关的实体和关联关系生成安全应急预案,安全应急预案至少包括响应策略和安全应急人员。
发送模块204,用于将安全应急预案发送至安全应急人员,并提醒安全应急人员快速响应。
作为进一步地改进,提取模块202包括:
匹配子模块2021,用于当监测到网络安全事件发生时,基于网络安全事件的事件信息在安全情报库中匹配最相似的历史网络安全事件;
响应策略得到子模块2022,用于基于历史网络安全事件和响应策略的对应关系,得到历史网络安全事件对应的响应策略,将响应策略作为网络安全事件的响应策略;
检索子模块2023,用于基于事件信息在知识图谱库进行检索,得到事件信息对应的知识图谱;
解析子模块2024,用于对知识图谱进行解析,得到与事件信息相关的实体和关联关系。
作为进一步地改进,还包括:
更新模块205,用于接收安全应急人员的反馈,对安全应急人员的反馈进行分析,基于分析结果对策略库进行更新。
作为进一步地改进,还包括:
确认模块206,用于将安全应急预案发送至管理人员,使得管理人员对安全应急预案进行确认。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (6)

1.一种基于知识图谱的网络安全应急响应方法,其特征在于,包括:
构建策略库,所述策略库包括安全情报库和知识图谱库,所述安全情报库包括历史网络安全事件和响应策略,所述历史网络安全事件和所述响应策略通过爬虫技术从网络获取,所述历史网络安全事件与所述响应策略存在对应关系,所述知识图谱库由所述历史网络安全事件的事件信息构建的知识图谱构成,所述知识图谱库中的每个知识图谱由对象与关系组成,对象包括:资料信息、系统信息、漏洞信息和相关人员信息,关系包括:从属关系、操作关系和匹配关系;所述知识图谱的构建借助于公司人力资源库、漏洞信息库以及资产信息库的信息同步,不断从人力资源库中提取人员的岗位角色信息,从漏洞信息库中提取漏洞信息以及从资产信息库中提取属性信息来不断丰富所述知识图谱中的实体及实体之间的联系,以实现所述知识图谱的动态更新;
当监测到网络安全事件发生时,基于所述网络安全事件的事件信息在所述安全情报库中匹配对应的响应策略,基于所述事件信息在所述知识图谱库中获得对应的知识图谱,基于所述知识图谱获取所述事件信息相关的实体和关联关系,所述事件信息至少包括:所述网络安全事件的发生时间、源Mac地址、目的Mac地址、源IP地址、目的IP地址、源端口、目的端口、网络安全事件类型、网络安全事件名称或告警级别;
基于所述响应策略、所述事件信息相关的实体和关联关系生成安全应急预案,所述安全应急预案包括所述网络安全事件信息、受威胁的资产与系统、相关漏洞整改情况、所述响应策略和安全应急人员;
将所述安全应急预案发送至所述安全应急人员,并提醒所述安全应急人员快速响应;
所述基于所述网络安全事件的事件信息在所述安全情报库中匹配对应的响应策略,包括:
基于所述网络安全事件的事件信息在所述安全情报库中采用文本余弦相似度方法匹配最相似的所述历史网络安全事件;
基于所述历史网络安全事件和所述响应策略的对应关系,得到所述历史网络安全事件对应的所述响应策略,将所述响应策略作为所述网络安全事件的响应策略;
所述基于所述事件信息在所述知识图谱库中获得对应的知识图谱,基于所述知识图谱获取所述事件信息相关的实体和关联关系,包括:
基于所述事件信息在所述知识图谱库进行检索,得到所述事件信息对应的知识图谱;
对所述知识图谱进行解析,得到与所述事件信息相关的实体和关联关系,其中,所述事件信息相关的实体和关联关系用于生成一个全面的安全事件应急链,所述安全事件应急链囊括了所述网络安全事件发生的对象及其影响范围以及相关的安全应急人员。
2.根据权利要求1所述的基于知识图谱的网络安全应急响应方法,其特征在于,所述将所述安全应急预案发送至所述安全应急人员,并提醒所述安全应急人员快速响应,之后还包括:
接收所述安全应急人员的反馈,对所述安全应急人员的反馈进行分析,基于分析结果对所述策略库进行更新。
3.根据权利要求1所述的基于知识图谱的网络安全应急响应方法,其特征在于,所述将所述安全应急预案下发至所述安全应急人员,之前还包括:
将所述安全应急预案发送至管理人员,使得所述管理人员对所述安全应急预案进行确认。
4.一种基于知识图谱的网络安全应急响应系统,其特征在于,包括:
构建模块,用于构建策略库,所述策略库包括安全情报库和知识图谱库,所述安全情报库包括历史网络安全事件和响应策略,所述历史网络安全事件和所述响应策略通过爬虫技术从网络获取,所述历史网络安全事件与所述响应策略存在对应关系,所述知识图谱库由所述历史网络安全事件的事件信息构建的知识图谱构成,所述知识图谱库中的每个知识图谱由对象与关系组成,对象包括:资料信息、系统信息、漏洞信息和相关人员信息,关系包括:从属关系、操作关系和匹配关系;所述知识图谱的构建借助于公司人力资源库、漏洞信息库以及资产信息库的信息同步,不断从人力资源库中提取人员的岗位角色信息,从漏洞信息库中提取漏洞信息以及从资产信息库中提取属性信息来不断丰富所述知识图谱中的实体及实体之间的联系,以实现所述知识图谱的动态更新;
提取模块,用于当监测到网络安全事件发生时,基于所述网络安全事件的事件信息在所述安全情报库中匹配对应的响应策略,基于所述事件信息在所述知识图谱库中获得对应的知识图谱,基于所述知识图谱获取所述事件信息相关的实体和关联关系,所述事件信息至少包括:所述网络安全事件的发生时间、源Mac地址、目的Mac地址、源IP地址、目的IP地址、源端口、目的端口、网络安全事件类型、网络安全事件名称或告警级别;
预案生成模块,用于基于所述响应策略、所述事件信息相关的实体和关联关系生成安全应急预案,所述安全应急预案包括所述网络安全事件信息、受威胁的资产与系统、相关漏洞整改情况、所述响应策略和安全应急人员;
发送模块,用于将所述安全应急预案发送至所述安全应急人员,并提醒所述安全应急人员快速响应;
所述提取模块包括:
匹配子模块,用于当监测到网络安全事件发生时,基于所述网络安全事件的事件信息在所述安全情报库中采用文本余弦相似度方法匹配最相似的所述历史网络安全事件;
响应策略得到子模块,用于基于所述历史网络安全事件和所述响应策略的对应关系,得到所述历史网络安全事件对应的所述响应策略,将所述响应策略作为所述网络安全事件的响应策略;
检索子模块,用于基于所述事件信息在所述知识图谱库进行检索,得到所述事件信息对应的知识图谱;
解析子模块,用于对所述知识图谱进行解析,得到与所述事件信息相关的实体和关联关系,其中,所述事件信息相关的实体和关联关系用于生成一个全面的安全事件应急链,所述安全事件应急链囊括了所述网络安全事件发生的对象及其影响范围以及相关的安全应急人员。
5.根据权利要求4所述的基于知识图谱的网络安全应急响应系统,其特征在于,还包括:
更新模块,用于接收所述安全应急人员的反馈,对所述安全应急人员的反馈进行分析,基于分析结果对所述策略库进行更新。
6.根据权利要求4所述的基于知识图谱的网络安全应急响应系统,其特征在于,还包括:
确认模块,用于将所述安全应急预案发送至管理人员,使得所述管理人员对所述安全应急预案进行确认。
CN202010489130.1A 2020-06-02 2020-06-02 一种基于知识图谱的网络安全应急响应方法及其系统 Active CN111614696B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010489130.1A CN111614696B (zh) 2020-06-02 2020-06-02 一种基于知识图谱的网络安全应急响应方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010489130.1A CN111614696B (zh) 2020-06-02 2020-06-02 一种基于知识图谱的网络安全应急响应方法及其系统

Publications (2)

Publication Number Publication Date
CN111614696A CN111614696A (zh) 2020-09-01
CN111614696B true CN111614696B (zh) 2022-11-18

Family

ID=72205369

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010489130.1A Active CN111614696B (zh) 2020-06-02 2020-06-02 一种基于知识图谱的网络安全应急响应方法及其系统

Country Status (1)

Country Link
CN (1) CN111614696B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112487419A (zh) * 2020-11-30 2021-03-12 扬州大自然网络信息有限公司 一种计算机网络信息安全事件处理方法
CN112800896A (zh) * 2021-01-18 2021-05-14 北京明略软件系统有限公司 一种基于知识图谱的安防应急措施自响应方法及系统
CN113179245B (zh) * 2021-03-19 2023-01-13 北京双湃智安科技有限公司 网络安全应急响应方法、系统、计算机设备及存储介质
CN113259397B (zh) * 2021-07-07 2021-09-28 奇安信科技集团股份有限公司 一种执行预案的方法、装置、设备及可读存储介质
CN114124859B (zh) * 2021-08-17 2023-04-07 北京邮电大学 一种网络维护平台智能客户服务机器人及维护方法
CN113904838A (zh) * 2021-09-30 2022-01-07 北京天融信网络安全技术有限公司 一种传感器数据检测方法、装置、电子设备及存储介质
CN115544267B (zh) * 2022-09-27 2023-06-06 广东师大维智信息科技有限公司 一种基于知识图谱的多次应急处理的仿真动态验证方法
CN117038103B (zh) * 2023-10-07 2023-12-08 长春中医药大学 基于大数据的卫生事件临床护理训练应急预案优化方法
CN117273139B (zh) * 2023-11-21 2024-02-09 北京网智天元大数据科技有限公司 基于开放数据的知识图谱动态风险识别方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102013083A (zh) * 2010-12-01 2011-04-13 深圳市天维尔通讯技术有限公司 一种基于预案生成应急行动方案的方法及系统
CN108989336A (zh) * 2018-08-19 2018-12-11 杭州安恒信息技术股份有限公司 一种用于网络安全事件的应急处置系统及应急处置方法
CN109302380A (zh) * 2018-08-15 2019-02-01 全球能源互联网研究院有限公司 一种安全防护设备联动防御策略智能决策方法及系统
CN109347798A (zh) * 2018-09-12 2019-02-15 东软集团股份有限公司 网络安全知识图谱的生成方法、装置、设备及存储介质
CN110968864A (zh) * 2019-11-26 2020-04-07 西安四叶草信息技术有限公司 安全事件的应急响应处理方法及装置
CN111131253A (zh) * 2019-12-24 2020-05-08 北京优特捷信息技术有限公司 基于场景的安全事件全局响应方法以及装置、设备、存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102013083A (zh) * 2010-12-01 2011-04-13 深圳市天维尔通讯技术有限公司 一种基于预案生成应急行动方案的方法及系统
CN109302380A (zh) * 2018-08-15 2019-02-01 全球能源互联网研究院有限公司 一种安全防护设备联动防御策略智能决策方法及系统
CN108989336A (zh) * 2018-08-19 2018-12-11 杭州安恒信息技术股份有限公司 一种用于网络安全事件的应急处置系统及应急处置方法
CN109347798A (zh) * 2018-09-12 2019-02-15 东软集团股份有限公司 网络安全知识图谱的生成方法、装置、设备及存储介质
CN110968864A (zh) * 2019-11-26 2020-04-07 西安四叶草信息技术有限公司 安全事件的应急响应处理方法及装置
CN111131253A (zh) * 2019-12-24 2020-05-08 北京优特捷信息技术有限公司 基于场景的安全事件全局响应方法以及装置、设备、存储介质

Also Published As

Publication number Publication date
CN111614696A (zh) 2020-09-01

Similar Documents

Publication Publication Date Title
CN111614696B (zh) 一种基于知识图谱的网络安全应急响应方法及其系统
US11971898B2 (en) Method and system for implementing machine learning classifications
US9602530B2 (en) System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment
US20160226893A1 (en) Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
US6604208B1 (en) Incremental alarm correlation method and apparatus
US10885185B2 (en) Graph model for alert interpretation in enterprise security system
WO2018195252A1 (en) Field content based pattern generation for heterogeneous logs
CN103827810A (zh) 资产模型导入连接器
US20120158454A1 (en) Method and system for monitoring high risk users
CN112422484B (zh) 确定用于处理安全事件的剧本的方法、装置及存储介质
US20170034200A1 (en) Flaw Remediation Management
US20200153865A1 (en) Sensor based rules for responding to malicious activity
US9961047B2 (en) Network security management
CN112560029A (zh) 基于智能分析技术的网站内容监测和自动化响应防护方法
CN114548706A (zh) 一种业务风险的预警方法以及相关设备
US20180295145A1 (en) Multicomputer Digital Data Processing to Provide Information Security Control
KR20190104759A (ko) 지능형 장비 이상 증상 사전 탐지 시스템 및 방법
Kawakani et al. Discovering attackers past behavior to generate online hyper-alerts
CN113055396B (zh) 一种跨终端溯源分析的方法、装置、系统和存储介质
CN116614260A (zh) 复杂网络攻击检测方法、系统、电子设备及存储介质
CN117614705A (zh) 攻击链路的展示方法和装置、计算机设备及存储介质
Zou et al. Research on Situation Awareness of Universities’ Network Information Security in the Big Data Environment
CN117272320A (zh) 风险资产的分析方法及系统、计算设备和存储介质
CN112751876A (zh) 消息采集系统的控制方法、装置、电子设备及存储介质
CN117319044A (zh) 一种linux违规操作监测方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant