CN111741023A

CN111741023A - 面向网络攻防试验平台的攻击研判方法、系统及介质

Info

Publication number: CN111741023A
Application number: CN202010768493.9A
Authority: CN
Inventors: 亓玉璐; 贾焰; 周斌; 李爱平; 江荣; 涂宏魁; 喻承
Original assignee: National University of Defense Technology
Current assignee: National University of Defense Technology
Priority date: 2020-08-03
Filing date: 2020-08-03
Publication date: 2020-10-02
Anticipated expiration: 2040-08-03
Also published as: CN111741023B

Abstract

本发明提供了一种面向网络攻防试验平台的攻击研判方法、系统及介质，其可以有效提高对于复合攻击的研判的准确率，方法包括以下步骤：构建安全知识图谱的安全本体模型，基于规则推理的方法构建并扩充安全知识图谱；在网络攻防试验平台上模拟网络攻击，依据模拟的网络攻击的信息，构建场景知识图谱；依据复合攻击的通用规律来构建攻击规则库；对模拟的网络攻击进行数据采集和检测，提取对应的威胁要素，将威胁要素与安全知识图谱进行匹配，匹配成功，则返回相应的单步攻击；通过场景知识图谱过滤单步攻击，去除无效的单步攻击，保留有效的单步攻击；将有效的单步攻击与攻击规则库进行匹配，同时通过时空属性的约束，输出对应的网络攻击的攻击链。

Description

面向网络攻防试验平台的攻击研判方法、系统及介质

技术领域

本发明涉及网络安全技术领域，具体涉及面向网络攻防试验平台的攻击研判方法、系统及介质。

背景技术

网络攻击，最早是从计算机病毒开始的，到现在发展到高级的持续性威胁的复合攻击，相应的，网络攻击造成的后果也随之越来越严重，目前，网络安全问题不仅仅是学术界的研究课题，更是关乎着国家的政治、经济、军事和社会的稳定。

网络安全的问题主要包括两个方面：攻和防。为了达到最好的防御效果，必须了解攻击的原理和方法。鉴于实际情况，不可能在真实的网络上发动真正的攻击来进行研究，因此，当前对于网络攻击的研究，都是依靠网络攻防试验平台，以仿真的形式来完成的，网络攻防试验平台的推出正是为了满足这一日益增长的社会需求，其集成了网络安全攻防领域内的各类常见设备，使用专业的攻防手段，在完全可控的环境中构造网络攻防的真实场景并对其进行解析和分析呈现，从而使学员能够直观、快捷、全面和细致的掌握网络攻防的各种概念和技术细节。

目前，仿真的攻击都是已知的攻击，对于已知的攻击，安全厂商已经有了成熟的检测方法和检测工具。我们知道，复合攻击是单步攻击的排列组合，即使单步攻击是已知的，单步攻击之间新的排列组合形成的复合攻击千变万化，对于安全厂商来说，其只能做到对于单步攻击的检测，而对于复合攻击，其仍然是未知攻击，无法实现有效的检测。

当前对于复合攻击的分析主要有两个方面：一是异常检测，这种方法只能返回是否正常，无法提供详细的攻击信息；一是含有大量人工操作的关联分析，这种方法需要大量的先验知识，其效率较低，且耗费大量人工，同时由于相关领域内的人才紧缺，也使得这种分析方式难以大范围的应用；这些方法可以检测到已知的复合攻击，而即使是同一个黑客组织，也不可能每次发动攻击都采用同样的工具和方法，在具体每一步攻击的实施过程可以选择不同的攻击工具或者攻击手段，那么同一目的的攻击可能有无数种单步攻击的排列组合，同时，一个复合攻击持续的时间过长，涉及到的节点过多，同一单步攻击在多个节点传播的时候，当前的检测方法显然不适用了。从攻击的角度来说，基于攻击目的向特定攻击目标发动攻击，目的是要实实在在的对攻击目标造成预期的危害，而网络攻击能否成功，主要取决于跳板机、控制机和目标机当前的状态，例如软硬件中存在的漏洞和后门等、开/关机状态、端口和服务开启情况以及所属网络的归属（内网、外网和局域网）条件及当前是否处于联网状态等条件。对攻击目标造成了预期的攻击是有效攻击，反之为无效攻击。当前对有效攻击的分析和检测方法的研究非常少。

发明内容

针对上述问题，本发明提供了一种面向网络攻防试验平台的攻击研判方法、系统及介质，其可以有效提高对于复合攻击的研判的准确率。

其技术方案是这样的：面向网络攻防试验平台的攻击研判方法，其特征在于，包括以下步骤：

步骤1：构建安全知识图谱的安全本体模型，基于规则推理的方法构建并扩充安全知识图谱；

步骤2：在网络攻防试验平台上模拟网络攻击，依据模拟的网络攻击的信息，构建场景知识图谱；

步骤3：依据复合攻击的通用规律来构建攻击规则库；

步骤4：对模拟的网络攻击进行数据采集和检测，提取对应的威胁要素，将威胁要素与安全知识图谱进行匹配，匹配成功则返回相应的单步攻击；

步骤5：通过场景知识图谱过滤单步攻击，去除无效的单步攻击，保留有效的单步攻击；

步骤6：将有效的单步攻击与攻击规则库进行匹配，同时通过时空属性的约束，输出对应的网络攻击的攻击链。

进一步的，安全知识图谱的构建包括以下过程：

构建安全本体模型，依据所述安全本体模型构建安全知识图谱，其中，构建安全本体模型包括以下内容：

构建第一类安全本体模型，具体如下：构建第一类安全本体模型的一级本体：一级攻击本体、一级安全事件本体、一级漏洞本体、一级木马本体、一级蠕虫本体、一级snort 告警本体，分别在各个一级本体下划分二级本体，二级攻击本体与二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体分别具有一一对应的关系，然后为二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体添加实例；

构建第二类安全本体模型，具体如下：构建第二类安全本体模型的一级本体：一级攻击本体、一级安全事件本体、一级漏洞本体、一级木马本体、一级蠕虫本体、一级snort 告警本体；分别在各个一级本体下划分二级本体，二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体分别能够对应多个二级攻击本体，然后为二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体添加实例；

构建第三类安全本体模型，具体如下：构建第三类安全本体模型的一级本体：一级攻击本体、一级安全事件本体、一级漏洞本体、一级木马本体、一级蠕虫本体、一级snort 告警本体；分别在各个一级本体下划分二级本体，不同的二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体对应相同的二级攻击本体，然后为二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体添加实例。

进一步的，步骤1中用的推理规则包括以下推理规则：

推理一：根据二级攻击本体与其他二级本体之间的关系，以及其他二级本体与实例之间的关系，通过推理将其他二级本体的实例与二级攻击本体关联起来；

推理二：当有新的实例加入，根据实例与已知实例的关系，结合已知实例与二级攻击本体的关系，推理得到新的实例与二级攻击本体的关系；

推理三：根据其他二级本体与二级攻击本体的关系，以及二级攻击本体之间的关系，推理得到其他二级本体的实例之间的关系；

对于安全知识中的漏洞、木马和蠕虫，采用命名实体识别结合分类的方式从网上公开的信息中获取漏洞、木马和蠕虫相关的安全知识，并依据分类添加到相应的安全本体模型的数据模型中，基于推理机，通过推理一进行推理，将漏洞、木马和蠕虫与对应的网络攻击关联起来，以三元组的形式存入安全知识图谱中，然后再通过推理二、推理三，对安全知识图谱进行扩充；

对于安全知识中的snort告警和安全事件，由第三方安全厂商提供分类结果，并依据分类添加到相应的安全本体模型的数据模型中，基于推理机，通过推理一进行推理，将snort告警和安全事件与对应的网络攻击关联起来，以三元组的形式存入安全知识图谱中，然后再通过推理二、推理三，对安全知识图谱进行扩充。

进一步的，构建场景知识图谱具体包括以下步骤：

构建场景本体模型，包括：节点本体、软件本体、硬件本体、后门本体、待机状态本体、联网状态本体、端口本体、服务本体、漏洞本体，确定节点本体的属性，节点本体与其他本体的关系，然后依据攻击的具体信息为构建的场景本体模型添加实例。

进一步的，构建攻击规则库包括以下步骤：

步骤301：对现有公开的网络攻击知识进行分析，包括公开的漏洞库、病毒库、安全公告、复合攻击分析报告、snort告警和安全厂商报出的安全事件，找到漏洞、病毒、安全事件和snort告警的分类及对应的单步攻击、单步攻击排列组合成为复合攻击的规律；

步骤302：对单步攻击和复合攻击进行分类，并且确定每一类复合攻击包含的单步攻击；

步骤303：依据获得的分析结果和分类结果，构建攻击规则库；

步骤304：有新的网络攻击知识出现时，重复执行步骤301和步骤302，将获得的分析结果和分类结果添加到攻击规则库中。

进一步的，在步骤4中，当输入的威胁要素为snort告警或安全事件，先查询输入的威胁要素是否为设定的需要进行威胁要素关联计算的snort告警或安全事件，如果是，则在时间窗口内统计由目的IP产生相同威胁要素的次数以及目的IP产生的不同威胁要素与设定的威胁要素组合中匹配能成功的个数，然后与设定的阈值进行比较，大于等于阈值的情况则与安全知识图谱进行匹配，小于阈值的情况则将威胁要素缓存，与下一时间窗口内的威胁要素一起进行计算。

进一步的，在步骤5中，依据节点IP在场景知识图谱中寻找对应的实例的属性，根据属性值判断是否具备被攻击的条件，如果具备被攻击的条件，则认为是有效的单步攻击，反之认为是无效攻击，将其过滤。

进一步的，在步骤6中，对于单步攻击的时空属性的约束包括单步攻击发生的时间先后顺序和IP地址的传播，基于spark分析框架，在每个时间窗口内，将有效的单步攻击与攻击规则库进行匹配，如果匹配成功，则将匹配得到攻击链缓存并输出，随着时间窗口的偏移，将属于一个复合攻击的匹配结果排序组合后迭代输出，当复合攻击结束时，输出完整的攻击链。

一种面向网络攻防试验平台的攻击研判系统，其特征在于，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如上述的面向网络攻防试验平台的攻击研判方法。

一种计算机可读存储介质，其上存储有程序，其特征在于：所述程序被处理器执行时实现上述的面向网络攻防试验平台的攻击研判方法。

与现有技术相比本发明具有以下有益效果：

本发明的面向网络攻防试验平台的攻击研判方法，在分析了大量的单步攻击和复合攻击分析报告后，依据现有的攻击描述框架，分析总结出了复合攻击的攻击规则、复合攻击与单步攻击之间的关系和单步攻击与威胁要素之间的关系，在此基础上，构建了网络安全知识相关的安全知识图谱和攻击规则库；在充分调研了在网络攻防试验平台的中进行模拟网络攻击时涉及到的仿真节点的信息，构建了网络安全知识相关的场景知识图谱。前者用于复合攻击的研判，后者用于有效攻击的研判，安全知识图谱可以通过推理规则的方式进行构建并扩充，场景知识图谱可以根据模拟攻击的具体需求提取相应信息并扩充，扩充后的网络安全知识图谱可以提高复合攻击研判和有效攻击研判的准确率；

安全知识图谱构建完成后，在网络攻防试验平台上仿真网络攻击，平台自带的采集程序会自动采集数据，平台还集成了第三方安全厂商的检测系统，本发明的输入数据是第三方安全厂商的检测结果，其中，snort告警和安全厂商报出的安全事件有两种特殊情况，需要分别在时间窗口内统计报出的次数和报出的个数，然后与设定的阈值进行比较，大于等于阈值的情况可以当作威胁要素与安全知识图谱进行匹配，小于阈值的情况需要将输入的数据与下一时间窗口的数据一起进行计算，这样做的优点是可以减少单步攻击的误报率；

由于第三方安全厂商的检测结果会出现误报的情况，当威胁要素与安全知识图谱匹配的到单步攻击后，利用场景知识图谱进行过滤，确定节点是否满足被攻击的条件，具体操作是依据节点IP在场景知识图谱中寻找对应的实例属性，根据属性值判断是否具备被攻击的条件，如果满足，则可以判定为有效攻击，如果不能满足，则判定为无效攻击；此外，当需要对特定节点发动特定攻击时，先查询特定节点是否满足被攻击的条件，如果满足，则可以判定为有效攻击，如果不能满足，则判定为无效攻击；

然后利用攻击规则库，通过将单步攻击与攻击规则库进行匹配，同时判断单步攻击发生的先后顺序及IP地址的传播关系，在两者同时满足的情况下，可以生成相应的攻击链，这样做的优点是不管复合攻击的范围多么广、涉及到的节点多么多，或者是发生在同一节点上的若干单步攻击可能分别属于不同的复合攻击，而不同节点上发生的单步攻击可能属于同一个攻击，都可以将不同的攻击路径以攻击链的形式分别还原出来；

本发明将复合攻击相关的先验知识和规则存入网络安全知识图谱和攻击规则库中，网络安全知识图谱存储的是已知的单步攻击的先验知识，攻击规则库存储的是复合攻击的通用规律，当单步攻击出现新的排列组合的时候，只要符合通用规律，即使不知道是什么复合攻击，也可以先以攻击链的形式输出，然后再做复盘和分析工作。本发明中增加了网络安全知识图谱和攻击规则库，可以实现自动、准确、实时的反应当前网络状态，同时还原攻击路径。

附图说明

图1为本发明的面向网络攻防试验平台的攻击研判方法的流程示意图；

图2为本发明的面向网络攻防试验平台的攻击研判方法的流程框图；

图3为本发明中安全知识图谱的第一类安全本体模型示意图；

图4为本发明中安全知识图谱的第二类安全本体模型示意图；

图5为本发明中安全知识图谱的第三类安全本体模型示意图；

图6为本发明中场景知识图谱的本体模型示意图。

具体实施方式

见图1，2，本发明的面向网络攻防试验平台的攻击研判方法，至少包括以下步骤：

步骤3：依据复合攻击的通用规律来构建攻击规则库；

具体在本实施例中，将攻击与其他安全知识之间的关系分为一对一、多对一和一对多三种情况，鉴于此，本发明将安全本体模型分为三类：攻击本体与其他本体一对一的数据模型；攻击本体与其他本体多对一的数据模型；攻击本体与其他本体一对多的数据模型。

安全知识图谱的构建包括以下过程：

构建安全本体模型，依据安全本体模型构建安全知识图谱，其中，构建安全本体模型包括以下内容：

第一类安全本体模型为攻击本体与其他本体一对一的数据模型，构建第一类安全本体模型：构建第一类安全本体模型的一级本体：一级攻击本体、一级安全事件本体、一级漏洞本体、一级木马本体、一级蠕虫本体、一级snort 告警本体，分别在各个一级本体下划分二级本体，二级攻击本体与二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体分别具有一一对应的关系，并且漏洞、木马、蠕虫、snort告警和安全事件的二级本体之间无关系，然后为二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体添加实例，

其表示某一类漏洞只对应一个攻击、某一类木马只对应一个攻击，某一类蠕虫只对应一个攻击，某一类安全事件只对应一个攻击，某一类snort告警只对应一个攻击，第一类安全本体模型示意图如图3所示；

第二类安全本体模型为攻击本体与其他本体多对一的数据模型，构建第二类安全本体模型：构建第二类安全本体模型的一级本体：一级攻击本体、一级安全事件本体、一级漏洞本体、一级木马本体、一级蠕虫本体、一级snort 告警本体；分别在各个一级本体下划分二级本体，二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体分别能够对应多个二级攻击本体，并且漏洞、木马、蠕虫、snort告警和安全事件的二级本体之间无关系，然后为二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体添加实例，

其表示一类漏洞可以导致多个攻击，一类木马可以导致多个攻击，一类蠕虫可以导致多个攻击，多个snort告警对应一个攻击，多个安全事件对应一个攻击，不同的漏洞、木马、蠕虫、snort告警和安全事件可以导致同一个攻击，这里要对本体之间的关系进行统计分类，第二类安全本体模型示意图如图4所示；

第三类安全本体模型为攻击本体与其他本体一对多的数据模型，

构建第三类安全本体模型的一级本体：一级攻击本体、一级安全事件本体、一级漏洞本体、一级木马本体、一级蠕虫本体、一级snort 告警本体；分别在各个一级本体下划分二级本体，不同的二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort告警本体对应相同的二级攻击本体，并且漏洞、木马、蠕虫、snort告警和安全事件的二级本体之间无关系，然后为二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体、二级snort 告警本体添加实例，

其表示不同的漏洞、木马、蠕虫、snort告警和安全事件可以导致同一个攻击，第三类安全本体模型示意图如图5所示。

在安全知识获取后，可以通过基于规则推理的方法将安全知识以三元组的形式构建并扩充安全知识图谱，推理可以基于jena推理机实现，具体包括以下推理：

推理一：根据二级攻击本体与其他二级本体之间的关系，以及其他二级本体与实例之间的关系，推理将实例与二级攻击本体关联起来，

推理一是将已知的漏洞、木马、蠕虫、snort告警和安全事件的实例进行分类，分别添加到一对一数据模型和一对多数据模型中，并使用规则（实例1，属于，本体1），（本体1，关系，攻击本体1）->（实例1，关系，攻击本体）进行推理，将漏洞、木马、蠕虫的实例与攻击的子类本体关联起来，作为网络安全知识存入安全知识图谱中；

无论哪种存储情况，都不可能把所有的知识全部存入，当有新的知识加入，需要把新的知识与已有知识关联起来，从而丰富网络安全知识图谱，

我们知道，病毒的命名方法通常是根据病毒的特性来进行分类命名的，一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。由于漏洞没有统一的命名规则，同一个漏洞不同的组织给出的编码不一样，但是都会对应到CVE，这里，我们只对CVE进行分类。病毒会产生变种，漏洞会随着技术的发展而更新换代，当我们知道某一新的漏洞是已知漏洞的变种，某一新的漏洞和已知漏洞的作用相同，某一新的木马是已知木马的变种，某一新的木马和已知木马的作用相同，某一新的蠕虫是已知蠕虫的变种，某一新的蠕虫和已知蠕虫的作用相同，那么我们就可以使用规则（实例1，关系1，实例2），（实例2，关系2，攻击本体）->（实例1，关系2，攻击本体）进行推理，将新的漏洞、木马、蠕虫实例与攻击的子类本体关联起来。

推理三：根据其他二级本体与二级攻击本体的关系，以及二级攻击本体之间的关系，推理得到其他二级本体的实例之间的关系，

攻击本体的子类本体之间的关系确定后，推理一和推理二完成后，还可以通过推理规则（实例1，属于，本体1），（本体1，关系1，攻击本体1），（实例2，属于，本体2），（本体2，关系2，攻击本体2），（攻击本体1，关系，攻击本体2）->（实例1，关系，实例2），将漏洞、木马、蠕虫、snort告警和安全事件实例之间的关系推理出来。

在网络攻防试验平台上模拟网络攻击，本实施例中用到的场景知识是针对模拟网络攻击而设定的，那么场景知识里就要包含模拟网络攻击涉及到的所有节点，节点对应的IP，此外，还要包含其他信息，比如，节点中包含的软件和硬件，这些软件和硬件中存在哪些漏洞，节点中存在哪些后门，节点是否开机，节点是否联网，节点开启了哪些服务和端口。

具体的，构建场景知识图谱具体包括以下步骤：

构建场景本体模型，包括：节点本体、软件本体、硬件本体、后门本体、待机状态本体、联网状态本体、端口本体、服务本体、漏洞本体，确定节点本体的属性，节点本体与其他本体的关系，然后依据攻击的具体信息为构建的场景本体模型添加实例，这里实例可以是上述本体内容的子集，场景知识图谱的示意图如图6所示。

具体的，在步骤3中，构建攻击规则库包括以下步骤：

具体的，在步骤4中，当输入的威胁要素为snort告警或安全事件，先查询输入的威胁要素是否为设定的需要进行威胁要素关联计算的snort告警或安全事件，如果是，则在时间窗口内统计由目的IP产生相同威胁要素的次数以及目的IP产生的不同威胁要素与设定的威胁要素组合中匹配能成功的个数，然后与设定的阈值进行比较，大于等于阈值的情况则与安全知识图谱进行匹配，小于阈值的情况则将威胁要素缓存，与下一时间窗口内的威胁要素一起进行计算。

步骤4中的威胁要素是第三方检测工具或者第三方安全厂商给出的初步检测的结果，输入的格式为（time，sip，dip，threatElement），其中，threatElement是威胁要素，sip是起始ip，dip为目的ip，time是时间，主要包含漏洞名、木马名、蠕虫名、snort告警描述信息、安全事件描述信息，这些漏洞名、木马名、蠕虫名、snort告警描述信息、安全事件描述信息分别对应于安全知识图谱中漏洞、木马、蠕虫、snort告警、安全事件的实例。威胁要素关联分析的目的是要将输入的数据经过与安全知识图谱的匹配，返回相应的单步攻击，在这些威胁要素中，漏洞、木马、蠕虫、部分snort告警和部分安全事件可以直接与知识图谱进行匹配，而另一部分snort告警和另一部分安全事件可能会有两种特殊的情况：

1、一个IP节点在一定的时间间隔内，报出的同一个snort告警次数超过某一值时，可以认为发生了该snort告警对应的攻击，安全事件的判断条件同理。

2、一个IP节点在一定的时间间隔内，多个不同的snort告警依次报出，可以认为发生了该多个snort告警对应的攻击。安全事件的判断条件同理。针对上述snort告警和安全事件出现的两种特殊情况，本实施例中对这两种情况分别进行阐述。

具体的，威胁要素关联计算包括以下步骤：

针对威胁要素为snort告警或安全事件的情况：

判断是否是需要统计次数的关联计算，

需要则设定威胁要素关联分析的时间窗口、被匹配的snort告警或安全事件、阈值，在设定的时间窗口内，分析snort告警或安全事件的描述信息，根据描述信息确定其分类，分类统计由相同目的IP产生相同snort告警或安全事件的次数，当统计的snort告警或安全事件次数及大于等于设定的阈值时，将对应的snort告警或安全事件与安全知识图谱进行匹配，返回其关联的单步攻击，当统计的snort告警或安全事件次数小于设定的阈值时，缓存统计的结果，与下一时间窗口内的威胁要素一起进行计算；

告警信息的计算公式如下：

其中，key_i代表不同的IP， alert_k代表同一个IP在（t₀,t₁）时间段内不同的告警信息。

安全事件的计算公式如下：

其中，key_i代表不同的IP， se_k代表同一个IP在（t₀,t₁）时间段内不同的安全事件；

举例表示：需要统计次数的数据库表示为：（snort，88），（securityevent，10），前者代表威胁要素名称，后者代表统计次数的阈值，统计的次数超过阈值的才可以参与到与安全知识图谱的匹配中去。

然后判断是否是需要统计个数的关联计算，

需要则设定威胁要素关联分析的时间窗口、被匹配的snort告警组合或安全事件组合中snort告警或安全事件的个数和阈值，在设定的时间窗口内，分析snort告警或安全事件的描述信息，根据描述信息确定其分类，分类统计相同目的IP产生的snort告警与snort告警组合或者安全事件与安全事件组合中匹配能成功的个数，当匹配成功的个数大于等于设定的阈值时，将最后一条snort告警或者安全事件与知识图谱进行匹配，返回其关联的单步攻击，当统计的snort告警或安全事件次数小于设定的阈值时，将告警或安全事件缓存，与下一时间窗口内的威胁要素一起进行计算。

告警信息的计算公式如下：

其中，key_i代表不同的IP，alert₁, alert₂ … alert_k代表同一个IP在（t₀,t₁）时间段内对应的多个告警信息。

安全事件的计算公式如下：

其中，key_i代表不同的IP，se₁,se₂ … se_k代表同一个IP在（t₀,t₁）时间段内对应的多个安全事件。

举例表示：需要统计个数的snort告警库或安全事件库表示为：[（snort1，snort2，snort3，snort4），0.75]，[（securityevent1，securityevent2，securityevent3，securityevent4，securityevent5），0.6]，当多个不同的snort告警或者securityevent（安全事件）出现时，与snort告警库或安全事件库中已知的多个数据进行匹配，成功匹配的个数与snort告警库或安全事件库中的存储的个数相除，得到的结果与后边的阈值进行比较，超过阈值的才可以参与到与安全知识图谱的匹配中去。

具体的，在步骤5中，依据节点IP在场景知识图谱中寻找对应的实例的属性，根据属性值判断是否具备被攻击的条件，如果具备被攻击的条件，则认为是有效的单步攻击，反之认为是无效攻击，将其过滤。

比如：场景知识图谱中存储的攻击节点的一些状态信息，如果分析出其中一个节点发生了某攻击，利用的是某漏洞，而场景知识图谱中的节点的信息中没有记录该节点存在该漏洞，那么对该节点分析得到的某攻击就是无效的。

比如：输入的数据与安全知识图谱进行匹配后，返回的结果显示，在其中一个节点上发生了5个单步攻击，这5个单步攻击发生的条件是开启了3306端口，存在Trojan.Win32.Crypt.exx木马，打开了Backdoor.IRCBot后门，存在CVE-2015-0437漏洞，并且要处于联网的状态，那么，就需要依据该节点的IP，到场景知识图谱中去查找该节点的状态信息，如果上述五个状态的属性值均为真，那么这五个单步攻击都为有效攻击，如果其中有几个状态的属性值为假，则对应的单步攻击为无效攻击。

具体的，在步骤6中，对于单步攻击的时空属性的约束包括单步攻击发生的时间先后顺序和IP地址的传播，基于spark分析框架，在每个时间窗口内，将有效的单步攻击与攻击规则库进行匹配，如果匹配成功，则将匹配得到攻击链缓存并输出，随着时间窗口的偏移，将属于一个复合攻击的匹配结果排序组合后迭代输出，当复合攻击结束时，输出完整的攻击链，

基于spark框架来处理海量的流数据，将数据流分成小的时间窗口，以类似batch批量处理的方式来处理这小部分数据并将计算的中间结果进行缓存和输出，通过设置时间窗口及偏移量，将缓存的中间结果进行迭代计算、缓存和输出，从而可以实时、准确、动态的了解当前网络上每个节点发生的安全事件及复合攻击的攻击路径。

针对时间较短的复合攻击，其可能在一个时间窗口内就完成，只需要在时间窗口内，将有效的单步攻击与攻击规则库进行匹配，将匹配得到攻击链缓存并输出；而当复合攻击持续的时间较长时，其可能跨越多个时间窗口，则需要每个时间窗口匹配到的攻击链缓存，然后随着时间窗口的偏移，将属于一个复合攻击的匹配结果排序组合后迭代输出，当复合攻击结束时，输出完整的攻击链。

与现有技术相比本发明具有以下有益效果：

由于第三方安全厂商的检测结果会出现误报的情况，当威胁要素与安全知识图谱匹配的到单步攻击后，利用场景知识图谱进行过滤，确定节点是否满足被攻击的条件，具体操作是依据节点IP在场景知识图谱中寻找对应的实例属性，根据属性值判断是否具备被攻击的条件，如果满足，则可以判定为有效攻击，如果不满足，则判定为无效攻击；此外，当需要对特定节点发动特定攻击时，先查询特定节点是否满足被攻击的条件，如果满足，则可以判定为有效攻击，如果不能满足，则判定为无效攻击；

在本发明的实施例中，还提供了一种面向网络攻防试验平台的攻击研判系统，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，处理器执行所述程序时实现如上述的面向网络攻防试验平台的攻击研判方法。

该系统可包括，但不仅限于处理器、存储器。本领域技术人员可以理解，本实施例仅仅是系统的举例，并不构成对系统的限定，可以包括比本实施例更多或更少的部件，或者组合某些部件，或者不同的部件，例如还可以包括输入输出设备、网络接入设备等。

存储器可以是，但不限于，随机存取存储器(Random Access Memory，简称：RAM)，只读存储器(Read Only Memory，简称：ROM)，可编程只读存储器(Programmable Read-OnlyMemory，简称：PROM)，可擦除只读存储器(Erasable Programmable Read-OnlyMemory，简称：EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，简称：EEPROM)等。其中，存储器用于存储程序，处理器在接收到执行指令后，执行程序。

处理器可以是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，简称：CPU)、网络处理器(NetworkProcessor，简称：NP)等。该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的数据处理程序，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。数据处理程序可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

在本发明的实施例中，还提供了一种计算机可读存储介质，其上存储有程序，程序被处理器执行时实现如上述的面向网络攻防试验平台的攻击研判方法。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、系统、和计算机程序产品的流程图和/或框图来描述的。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图和或中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图中指定的功能的步骤。

以上对本发明所提供的面向网络攻防试验平台的攻击研判方法、面向网络攻防试验平台的攻击研判系统、一种计算机可读存储介质的应用进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.面向网络攻防试验平台的攻击研判方法，其特征在于，包括以下步骤：

步骤3：依据复合攻击的通用规律来构建攻击规则库；

2.根据权利要求1所述的面向网络攻防试验平台的攻击研判方法，其特征在于，安全知识图谱的构建包括以下过程：

3.根据权利要求2所述的面向网络攻防试验平台的攻击研判方法，其特征在于：步骤1中用的推理规则包括以下推理规则：

推理三：根据其他二级本体与二级攻击本体的关系，以及二级攻击本体之间的关系，推理得到其他二级本体的之间的关系；

4.根据权利要求1所述的面向网络攻防试验平台的攻击研判方法，其特征在于，构建场景知识图谱具体包括以下步骤：

5.根据权利要求1所述的面向网络攻防试验平台的攻击研判方法，其特征在于，构建攻击规则库包括以下步骤：

6.根据权利要求1所述的面向网络攻防试验平台的攻击研判方法，其特征在于：在步骤4中，当输入的威胁要素为snort告警或安全事件，先查询输入的威胁要素是否为设定的需要进行威胁要素关联计算的snort告警或安全事件，如果是，则在时间窗口内分别统计由目的IP产生相同威胁要素的次数以及由目的IP产生的不同威胁要素与设定的威胁要素组合中匹配能成功的个数，然后与设定的阈值进行比较，大于等于阈值的情况则与安全知识图谱进行匹配，小于阈值的情况则将威胁要素缓存，与下一时间窗口内的威胁要素一起进行计算。

7.根据权利要求4所述的面向网络攻防试验平台的攻击研判方法，其特征在于：在步骤5中，依据节点IP在场景知识图谱中寻找对应的实例的属性，根据属性值判断是否具备被攻击的条件，如果具备被攻击的条件，则认为是有效的单步攻击，反之认为是无效攻击，将其过滤。

8.根据权利要求1所述的面向网络攻防试验平台的攻击研判方法，其特征在于：在步骤6中，对于单步攻击的时空属性的约束包括单步攻击发生的时间先后顺序和IP地址的传播，基于spark分析框架，在每个时间窗口内，将有效的单步攻击与攻击规则库进行匹配，如果匹配成功，则将匹配得到攻击链缓存并输出，随着时间窗口的偏移，将属于一个复合攻击的匹配结果排序组合后迭代输出，当复合攻击结束时，输出完整的攻击链。

9.一种面向网络攻防试验平台的攻击研判系统，其特征在于，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如权利要求1所述的面向网络攻防试验平台的攻击研判方法。

10.一种计算机可读存储介质，其上存储有程序，其特征在于：所述程序被处理器执行时实现如权利要求1所述的面向网络攻防试验平台的攻击研判方法。