CN113094715B - 一种基于知识图谱的网络安全动态预警系统 - Google Patents
一种基于知识图谱的网络安全动态预警系统 Download PDFInfo
- Publication number
- CN113094715B CN113094715B CN202110421626.XA CN202110421626A CN113094715B CN 113094715 B CN113094715 B CN 113094715B CN 202110421626 A CN202110421626 A CN 202110421626A CN 113094715 B CN113094715 B CN 113094715B
- Authority
- CN
- China
- Prior art keywords
- early warning
- security
- network
- module
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computing Systems (AREA)
- Animal Behavior & Ethology (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种基于知识图谱的网络安全动态预警系统,预警系统包括采集装置、校准装置、核验装置、处理装置、预警装置和处理器,采集装置对知识图谱的元素进行安全网络的搭建;校准装置基于采集装置搭建的安全网络,并对各个组件的元素进行操作数地址的校准;核验装置对安全网络进行模拟核验;处理装置对采集装置、校准装置和核验装置的数据进行处理;预警装置从防护设备或路由设备的安全应用接收接入公共网络的请求,基于所接收的请求参数和针对无线网络的安全策略,向防护设备或路由设备的安全应用发送安全动作。通过校验机构还对用户指令的步长进行核验并带入异常值评估函数中,并基于不同的异常值进行监控,提升系统的防护能力。
Description
技术领域
本发明涉及安全防护技术领域,尤其涉及一种基于知识图谱的网络安全动态预警系统。
背景技术
随着网络技术和规模的不断发展,网络信息安全成为世界各国共同关注的焦点。主要表现有:一方面,针对信息泄露、篡改,系统入侵等网络违法犯罪活动缺乏高技术监管手段和设备,不适应网络攻防技术的发展;另一方面,企业普遍存在技术和管理水平有限、网络安全防护能力薄弱、人员和资金投入不足等问题,其网站服务器成为遭受攻击的“重灾区”。因此,能否主动、有效地应对各种安全事件,已经成为网络安全监管的关键任务之一
如CN109347801B现有技术公开了一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法,当前,随着互联网、云计算、大数据等现代信息技术已经渗透到经济和社会生活的方方面面,网络入侵和攻击事件也越来越多,网络安全管理形势日趋严峻。而网络入侵和攻击事件的产生往往与软硬件系统存在一些安全漏洞以及对这些漏洞的利用有关。
经过大量检索发现存在的现有技术如KR101654719B1、EP2484216B1和US08754296B1,现有攻击图技术存在以下问题:随着攻击技术的不断发展、漏洞数量的日渐增多,传统的通用漏洞评分系统)的漏洞评估方式越来越难以精确地反映出漏洞的危险等级,主要表现为部分高危漏洞综合评分较低,同时也存在部分低危漏洞综合评分较高的现象。随着大数据分析、威胁情报等技术的发展,大量新漏洞、新攻击方式、旧漏洞的新利用方式在互联网上被快速公开。同时,新的防御手段也在对已知漏洞的利用难度和利用方式产生影响。现有技术依然难以满足攻防双方对攻击成功率、攻击收益进行实时、精确评估的需求。
为了解决本领域普遍存在预警手段缺乏、自动识别性能差、无法实时检防护和评估手段差等等问题,作出了本发明。
发明内容
本发明的目的在于,针对目前安全防护预警所存在的不足,提出了一种基于知识图谱的网络安全动态预警系统。
为了克服现有技术的不足,本发明采用如下技术方案:
一种基于知识图谱的网络安全动态预警系统,所述预警系统包括采集装置、校准装置、核验装置、处理装置、预警装置和处理器,所述采集装置对知识图谱的元素进行安全网络的搭建;所述校准装置基于所述采集装置搭建的安全网络,并对各个组件的元素进行操作数地址的校准;所述核验装置对所述安全网络进行模拟核验;所述处理装置对所述采集装置、所述校准装置和所述核验装置的数据进行处理;所述预警装置从设备或路由设备的安全应用接收接入公共网络的请求,基于所接收的请求参数和针对无线网络的安全策略,向防护设备或路由设备的安全应用发送安全动作。
可选的,所述采集装置包括采集机构、模型工具模块和连接模块,所述采集机构对所述模型工具模块与所述连接模块的连接关系进行检测;所述模型工具模块用于确定实体的位置;所述连接模块用于连接所述模型工具模块之间的位置,并基于位置生成相对应的数据地址。
可选的,所述采集机构包括采集板、位置检测件和拖动指示模块,所述位置检测件与所述拖动指示检程序应用在所述采集板上,并对模型工具模块进行选择;所述位置检测件用于对所述采集板上的元素位置进行检测;所述拖动指示模块用于对所述元素之间的连接关系进行检测。
可选的,所述校准装置包括工作监控模块和校验机构,所述校验机构用于对所述网络进行监控;所述工作监控模块用于对工作进程进行监控;所述校验机构还响应对工作流进行监控;所述工作流存在于在软件和硬件上,并对所述数据网络上的数据进行传输,并且能够即时调整或重新配置代理的行为和收集数据的能力,以便调查可疑事件和警报并收集尚未收集的数据。
可选的,所述校验机构识别各个用户操作的指令,并采集各个步长的长度,步长设置为h(x),并将带入异常值评估函数s(x,n)中,得到异常值分数,并基于异常分数触发对路径的安全防护;
其中,H(k)=ln(k)+ζ,ξ为欧拉常数;s(x,n)就是记录x在由n个样本的预警数据构成的异常指数,s(x,n)取值范围为[0,1],越接近1表示是异常点的可能性高,越接近0表示是正常点的可能性比较高,如果大部分的预警样本的s(x,n)都接近于0.5,说明整个数据集都没有明显的异常值。
可选的,所述核验装置基于对网络的最新威胁信息创建初始工作流,以执行包括监视网络、检测异常、识别所需的取证数据或执行任何其他指定任务在内的任务;通过使用校验用于验证工作流的执行信息,创建用于检测先前未知和未发现风险的工作流程;同时,使用新发现的风险数据扩展其库,从中将创建进一步的防护屏障。
可选的,所述处理装置基于接收到的请求参数,访问数据库,该数据库包括将信誉指示符和类别与接收到的请求参数相关联的条目;将信誉指示符、接收到的请求参数相关联的类别分别与安全策略的多个安全规则中的至少一个安全规则进行比较,至少一个安全规则包括信誉指示符和作为输入的类别,以及安全动作作为输出。
可选的,所述预警装置过收集和关联来自安全网络中不同位置的取证信息来处理多步骤攻击;
当检测到异常之后,通过执行相关的工作流程来调查异常事件,以收集异常数据,验证事件并追踪攻击路径。
可选的,所述预警装置还被配合为进行异常检测、IDS规则、签名和黑名单。
可选的,所述预警装置包括预警模块和预警隔离模块,所述预警模块对采集的数据进行处理,并对数据的位置和操作数地址进行检测,并对动态链接库的升级操作以及触发升级操作的运行动作进行验证。
本发明所取得的有益效果是:
1.通过采用校验机构还对用户指令的步长进行核验并带入异常值评估函数中,并基于不同的异常值进行自动的监控,提升对威胁的防护能力;同时,对异常值进行检测并进行处理的过程中还依托对异常信号进行预判,使得用户操作与由用户操作操作引发的防护手段能够被提前处理,并保证用户的操作或者运行的数据能够进行校验的操作;
2.通过采用核验机构还对异常值或者威胁进行核验,若存在非用户授权或者私自捆绑则与该执行程序相关的程序均被拦截;
3.通过采用过对执行信息进行核验未知风险的工作流程,使得风险能够被精准的定位;若存储的风险数据中并未存在,则会存储在库中,并不断的更新风险库,提升整个系统的防护能力;
4.通过采用预警装置还对异常数据的触发的地址与事件的攻击路径进行验证,若执行程序的动作为非用户进行触发的,则会触发通过预警隔离模块对执行程序进行隔离;
5.通过采用核验装置对采集装置、校验装置采集的数据进行核验,同时保证数据能够进行高效的动作;处理装置与预警装置相互配合,使得对危险或者威胁能够被精准的采集,极大的保证整个系统的防护水平;
6.通过采用姿势检测构件被构造为对操作者的动作和移动的轨迹进行检测,并配合与采集板之间相互配合,使得知识图谱连接关系或者分布格局能够生成相应的数据码,有效的保证知识图谱能够高效的绘制完成;
7.通过对知识图谱中各个元素之间的位置被精准的定位后,对连接模块对各个元素之间进行连接关系的确定,使得各个元素之间的位置能够被高效的定位。
附图说明
从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制,而是将重点放在示出实施例的原理上。在不同的视图中,相同的附图标记指定对应的部分。
图1为本发明的控制流程示意图。
图2为所述操作笔绘制知识图谱的控制流程示意图。
图3为所述操作笔与所述采集板的结构示意图。
图4为所述操作笔的结构示意图。
图5为所述异常参数的控制流程示意图。
附图标号说明:1-采集板;2-操作笔;3-检测模块。
具体实施方式
为了使得本发明的目的.技术方案及优点更加清楚明白,以下结合其实施例,对本发明进行进一步详细说明;应当理解,此处所描述的具体实施例仅用于解释本发明,并不用于限定本发明。对于本领域技术人员而言,在查阅以下详细描述之后,本实施例的其它系统.方法和/或特征将变得显而易见。旨在所有此类附加的系统.方法.特征和优点都包括在本说明书内.包括在本发明的范围内,并且受所附权利要求书的保护。在以下详细描述描述了所公开的实施例的另外的特征,并且这些特征根据以下将详细描述将是显而易见的。
本发明实施例的附图中相同或相似的标号对应相同或相似的部件;在本发明的描述中,需要理解的是,若有术语“上”.“下”.“左”.“右”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或组件必须具有特定的方位.以特定的方位构造和操作,因此附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
实施例一:一种基于知识图谱的网络安全动态预警系统,所述预警系统包括采集装置、校准装置、核验装置、处理装置、预警装置和处理器,所述采集装置对知识图谱的元素进行安全网络的搭建;所述校准装置基于所述采集装置搭建的安全网络,并对各个组件的元素进行操作数地址的校准;所述核验装置对所述安全网络进行模拟核验;所述处理装置对所述采集装置、所述校准装置和所述核验装置的数据进行处理;所述预警装置从设备或路由设备的安全应用接收接入公共网络的请求,基于所接收的请求参数和针对无线网络的安全策略,向防护设备或路由设备的安全应用发送安全动作;
进一步的,所述采集装置包括采集机构、模型工具模块和连接模块,所述采集机构对所述模型工具模块与所述连接模块的连接关系进行检测;所述模型工具模块用于确定实体的位置;所述连接模块用于连接所述模型工具模块之间的位置,并基于位置生成相对应的数据地址;
进一步的,所述采集机构包括采集板、位置检测件和拖动指示模块,所述位置检测件与所述拖动指示检程序应用在所述采集板上,并对模型工具模块进行选择;所述位置检测件用于对所述采集板上的元素位置进行检测;所述拖动指示模块用于对所述元素之间的连接关系进行检测;
进一步的,所述校准装置包括工作监控模块和校验机构,所述校验机构用于对所述网络进行监控;所述工作监控模块用于对工作进程进行监控;所述校验机构还响应对工作流进行监控;所述工作流存在于在软件和硬件上,并对所述数据网络上的数据进行传输,并且能够即时调整或重新配置代理的行为和收集数据的能力,以便调查可疑事件和警报并收集尚未收集的数据;
进一步的,所述校验机构识别各个用户操作的指令,并采集各个步长的长度,步长设置为h(x),并将带入异常值评估函数s(x,n)中,得到异常值分数,并基于异常分数触发对路径的安全防护;
其中,H(k)=ln(k)+ζ,ξ为欧拉常数;s(x,n)就是记录x在由n个样本的预警数据构成的异常指数,s(x,n)取值范围为[0,1],越接近1表示是异常点的可能性高,越接近0表示是正常点的可能性比较高,如果大部分的预警样本的s(x,n)都接近于0.5,说明整个数据集都没有明显的异常值;
进一步的,所述核验装置基于对网络的最新威胁信息创建初始工作流,以执行包括监视网络、检测异常、识别所需的取证数据或执行任何其他指定任务在内的任务;通过使用校验用于验证工作流的执行信息,创建用于检测先前未知和未发现风险的工作流程;同时,使用新发现的风险数据扩展其库,从中将创建进一步的防护屏障;
进一步的,所述处理装置基于接收到的请求参数,访问数据库,该数据库包括将信誉指示符和类别与接收到的请求参数相关联的条目;将信誉指示符、接收到的请求参数相关联的类别分别与安全策略的多个安全规则中的至少一个安全规则进行比较,至少一个安全规则包括信誉指示符和作为输入的类别,以及安全动作作为输出;
进一步的,所述预警装置过收集和关联来自安全网络中不同位置的取证信息来处理多步骤攻击;
当检测到异常之后,通过执行相关的工作流程来调查异常事件,以收集异常数据,验证事件并追踪攻击路径;
进一步的,所述预警装置还被配合为进行异常检测、IDS规则、签名和黑名单;
进一步的,所述预警装置包括预警模块和预警隔离模块,所述预警模块对采集的数据进行处理,并对数据的位置和操作数地址进行检测,并对动态链接库的升级操作以及触发升级操作的运行动作进行验证。
实施例二:本实施例应当理解为至少包含前述任一一个实施例的全部特征,并在其基础上进一步改进;提供一种基于知识图谱的网络安全动态预警系统,所述预警系统包括采集装置、校准装置、核验装置、处理装置、预警装置和处理器,所述采集装置对知识图谱的元素进行安全网络的搭建;所述校准装置基于所述采集装置搭建的安全网络,并对各个组件的元素进行操作数地址的校准;所述核验装置对所述安全网络进行模拟核验;所述处理装置对所述采集装置、所述校准装置和所述核验装置的数据进行处理;所述预警装置从设备或路由设备的安全应用接收接入公共网络的请求,基于所接收的请求参数和针对无线网络的安全策略,向防护设备或路由设备的安全应用发送安全动作;所述处理器分别与所述采集装置、所述校准装置、所述核验装置、所述调整装置、所述处理装置、处理装置和预警装置控制连接,并与所述处理器的集中控制下对各个装置的操作进行控制;
所述采集装置与所述校准装置相互配合,使得所述校准装置能够对所述采集装置的数据进行核验,保证所述采集装置的数据能够被精准的校验,用于校验整个知识图谱的合理性;另外,所述核验装置对所述采集装置、所述校验装置采集的数据进行核验,同时保证所述数据能够进行高效的动作;所述处理装置与所述预警装置相互配合,使得对危险或者威胁能够被精准的采集,极大的保证整个系统的防护水平;
所述采集装置包括采集机构、模型工具模块和连接模块,所述采集机构对所述模型工具模块与所述连接模块的连接关系进行检测;所述模型工具模块用于确定实体的位置;所述连接模块用于连接所述模型工具模块之间的位置,并基于位置生成相对应的数据地址;所述采集机构包括采集板、位置检测件和拖动指示模块,所述位置检测件与所述拖动指示检程序应用在所述采集板上,并对模型工具模块进行选择;所述位置检测件用于对所述采集板上的元素位置进行检测;所述拖动指示模块用于对所述元素之间的连接关系进行检测;所述采集机构可以采用外部拓展设备,使得所述知识图谱能够被采集到处理器中,并存储在与所述处理器连接的存储器中;当需要知识图谱进行调整时,则通过所述知识图谱进行导入,并基于知识图谱进行安全的防护;特别的,对存储在所述存储器中的知识图谱设置为优先级为最高,才能据此所述知识图谱进行安全动作的防护;所述知识图谱还能实时的采集操作者绘制的知识图谱,并对知识图谱的防护图进行安全防护;通过所述采集板进行知识图谱进行绘制,并通过对不同的状态进行工具的调用,使得知识图谱能够被精准的建立起来;所述采集机构还包括操作笔,所述操作笔与所述采集板进行配合,使得所述采集板上能够通过所述操作笔进行绘制;所述模型工具模块对选用的工具进行检测,同时,还能够与操作笔进行控制,有效的提升整个知识图谱绘制的高效性;另外,所述操作笔上设有若干个控制按钮和姿势检测构件,所述姿势检测构件被构造为对操作者的动作和移动的轨迹进行检测,并配合与所述采集板之间相互配合,使得知识图谱连接关系或者分布格局能够生成相应的数据码,有效的保证所述知识图谱能够高效的绘制完成;所述位置检测件、所述拖动指示模块和所述操作笔之间相互配合,并对各个知识图谱中元素能够进行配合,使得各个所述知识图谱中的元素的位置能够被所述位置检测件进行记录,用于对各个所述位置检测件的位置进行存储;同时,所述位置检测件还与所述拖动指示模块进行配合,使得各个知识图谱中的元素进行拖动的过程中能够获知该位置,使得各个所述元素的位置能够被精准的获取;当所述元素进行拖动的过程中,所述位置检测件就会实时对所述元素的位置进行检测,在通过拖动的过程中,需要在数据层对对应元素的位置进行检测,有效的保证各个所述元素的位置的精准定位和可靠;同时,各个元素之间的位置被精准的定位后,可以通过所述连接模块对各个元素之间进行连接关系的确定,使得各个元素之间的位置能够被高效的定位;
所述检测模块上设有检测模块,所述检测模块用于对所述操作笔的动作进行反馈;所述检测模块还包括若干个反馈板,各个所述反馈板对所述模型的接触或模型的转动方向进行反馈;各个所述反馈板设置在所述操作笔的笔杆外周,在所述操作者对所述模型进行方向转动的过程中,需要通过所述操作者的一只手进行模型的接触,并通过所述操作者的另一手接触反馈板获取所述反馈板的反馈振动,使得所述操作者能够获知对所述模型的拨动的指令,已经被所述检测模块进行收集;
所述校准装置包括工作监控模块和校验机构,所述校验机构用于对所述网络进行监控;所述工作监控模块用于对工作进程进行监控;所述校验机构还响应对工作流进行监控;所述工作流存在于在软件和硬件上,并对所述数据网络上的数据进行传输,并且能够即时调整或重新配置代理的行为和收集数据的能力,以便调查可疑事件和警报并收集尚未收集的数据;所述工作监控模块对所述知识图谱的位置以及图谱的完整性进行核验,若存在不完整,则触发预警操作,警示所述操作者进行知识图谱的完善;同时,所述工作监控模块对所述知识图谱的工作进程进行监控,监控整个知识图谱的基本要素的完整性,同时,对所述知识图谱的各个基本要素之间的合理性进行验证,使得整个过程能够进行验证;同时,所述工作监控模块还配置为对所述知识图谱的搭建的过程进行监控,提示所述操作者的执行操作能够的完整性;另外,所述校验机构响应对工作流进行监控和验证,其中,所述工作流包括所述知识图谱的连接关系、数据层的数据之间的联系等状态等能够进行连接;所述工作流包括但是不局限于以下的几种:传输的方向、传输的地址、反馈信息等;
所述校验机构识别各个用户操作的指令,并采集各个步长的长度,步长设置为h(x),并将带入异常值评估函数s(x,n)中,得到异常值分数,并基于异常分数触发对路径的安全防护;
其中,H(k)=ln(k)+ξ,ξ为欧拉常数;s(x,n)就是记录x在由n个样本的预警数据构成的异常指数,s(x,n)取值范围为[0,1],越接近1表示是异常点的可能性高,越接近0表示是正常点的可能性比较高,如果大部分的预警样本的s(x,n)都接近于0.5,说明整个数据集都没有明显的异常值;
所述校验机构还能够对所述操作者或者用户的指令进行验证,并对所述工作流中的数据进行验证;若现在执行的操作不是用户触发的动作,则会对该指令或者与改指令相关的数据进行处理,有效的提升整个防护的水平,保证整个系统的安全;所述校验机构还对用户指令的步长进行核验并带入所述异常值评估函数s(x,n)中,并基于不同的异常值进行自动的监控,提升对威胁的防护能力;同时,对所述异常值进行检测并进行处理的过程中还依托对所述异常信号进行预判,使得所述用户操作与由所述用户操作操作引发的所述防护手段能够被提前处理,并保证所述用户的操作或者运行的数据能够进行校验的操作;在本实施例中,所述步长包括但是不局限于以下举例的:字符串的长度、数据的长度或者执行程序的长度等数据;
所述核验装置基于对网络的最新威胁信息创建初始工作流,以执行包括监视网络、检测异常、识别所需的取证数据或执行任何其他指定任务在内的任务;通过使用校验用于验证工作流的执行信息,创建用于检测先前未知和未发现风险的工作流程;同时,使用新发现的风险数据扩展其库,从中将创建进一步的防护屏障;所述核验装置与所述预警装置相互配合,使得所述威胁的信息建立初始工作流,所述初始工作流执行监视数据网路的任务、检测异常的任务、识别所需的取证数据的任务;所述核验机构还对所述异常值或者威胁进行核验,若存在非用户授权或者私自捆绑则与该执行程序相关的程序均被拦截;另外,实现对风险的位置创建对所述未知风险的工作流程,同时,通过对执行信息进行核验未知风险的工作流程,使得所述风险能够被精准的定位;若存储的风险数据中并未存在,则会存储在库中,并不断的更新风险库,提升整个系统的防护能力;
所述处理装置基于接收到的请求参数,访问数据库,该数据库包括将信誉指示符和类别与接收到的请求参数相关联的条目;将信誉指示符、接收到的请求参数相关联的类别分别与安全策略的多个安全规则中的至少一个安全规则进行比较,至少一个安全规则包括信誉指示符和作为输入的类别,以及安全动作作为输出;所述处理装置还与所述预警装置相互配合,并基于所述处理装置的数据进行动作,使得整个系统的防护能够提升;同时,所述处理装置能够接收执行程序的请求参数,并对所述参数指向的地址进行数据库的访问,并对该执行程序进行信誉值得评估的操作,进一步的提升防护的能力;在本实施例中,所述信誉指示符用于对请求参数进行评估并基于评估的结果生成信用值;在进行防护的过程中,需要通过对地址的信誉值进行处理,若该请求参数的信誉值并未超过设定的阀值,则会触发防护或者预警操作;同时,还欲所述安全策略进行比较,若与安全策略相近或者相同,则中断触发该请求参数的执行程序,同时,对触发该请求参数执行程序相关联或者捆绑的其他程序进行拦截;
所述预警装置过收集和关联来自安全网络中不同位置的取证信息来处理多步骤攻击;当检测到异常之后,通过执行相关的工作流程来调查异常事件,以收集异常数据,验证事件并追踪攻击路径;所述预警装置还被配合为进行异常检测、IDS规则、签名和黑名单;所述预警装置包括预警模块和预警隔离模块,所述预警模块对采集的数据进行处理,并对数据的位置和操作数地址进行检测,并对动态链接库的升级操作以及触发升级操作的运行动作进行验证;所述动态链接库用于对出现异常参数的执行程序进行拦截,并在拦截的过程中能够对防止所述执行程序进一步被限制,用于限制所述执行程序的动作;同时,所述预警装置还对所述异常数据的触发的地址与事件的攻击路径进行验证,若执行程序的动作为非用户进行触发的,则会触发通过所述预警隔离模块对所述执行程序进行隔离;在本实施例中,所述预警模块与所述预警隔离模块之间相互配合,并对网络中的动态进行验证,并验证所述异常状态或者异常的参数的位置,同时,还能够对触发的数据的位置和操作数地址,并把预警提供给用户或者操作者。
实施例三:本实施例应当理解为至少包含前述任一一个实施例的全部特征,并在其基础上进一步改进;提供一种基于知识图谱的网络安全动态预警系统,所述预警系统包括采集装置、校准装置、核验装置、处理装置、预警装置和处理器,所述采集装置对知识图谱的元素进行安全网络的搭建;所述校准装置基于所述采集装置搭建的安全网络,并对各个组件的元素进行操作数地址的校准;所述核验装置对所述安全网络进行模拟核验;所述处理装置对所述采集装置、所述校准装置和所述核验装置的数据进行处理;所述预警装置从设备或路由设备的安全应用接收接入公共网络的请求,基于所接收的请求参数和针对无线网络的安全策略,向防护设备或路由设备的安全应用发送安全动作;所述处理器分别与所述采集装置、所述校准装置、所述核验装置、所述调整装置、所述处理装置、处理装置和预警装置控制连接,并与所述处理器的集中控制下对各个装置的操作进行控制;
所述采集装置与所述校准装置相互配合,使得所述校准装置能够对所述采集装置的数据进行核验,保证所述采集装置的数据能够被精准的校验,用于校验整个知识图谱的合理性;另外,所述核验装置还对所述采集装置、所述校验装置的数据进行核验,同时保证所述数据能够进行高效的动作;
所述处理装置与所述预警装置相互配合,使得对危险或者威胁能够被精准的采集,极大的保证整个系统的防护水平;
所述采集装置包括采集机构、模型工具模块和连接模块,所述采集机构对所述模型工具模块与所述连接模块的连接关系进行检测;所述模型工具模块用于确定实体的位置;所述连接模块用于连接所述模型工具模块之间的位置,并基于位置生成相对应的数据地址;所述采集机构包括采集板、位置检测件和拖动指示模块,所述位置检测件与所述拖动指示检程序应用在所述采集板上,并对模型工具模块进行选择;所述位置检测件用于对所述采集板上的元素位置进行检测;所述拖动指示模块用于对所述元素之间的连接关系进行检测;所述采集机构可以采用外部拓展设备,使得所述知识图谱能够被采集到处理器中,并存储在与所述处理器连接的存储器中;当需要知识图谱进行调整时,则通过所述知识图谱进行导入,并基于知识图谱进行安全的防护;特别的,对存储在所述存储器中的知识图谱设置为优先级为最高,才能据此所述知识图谱进行安全动作的防护;所述知识图谱还能实时的采集操作者绘制的知识图谱,并对知识图谱的防护图进行安全防护;通过所述采集板进行知识图谱进行绘制,并通过对不同的状态进行工具的调用,使得知识图谱能够被精准的建立起来;所述采集机构还包括操作笔,所述操作笔与所述采集板进行配合,使得所述采集板上能够通过所述操作笔进行绘制;所述模型工具模块对选用的工具进行检测,同时,还能够与操作笔进行控制,有效的提升整个知识图谱绘制的高效性;另外,所述操作笔上设有若干个控制按钮和姿势检测构件,所述姿势检测构件被构造为对操作者的动作和移动的轨迹进行检测,并配合与所述采集板之间相互配合,使得知识图谱连接关系或者分布格局能够生成相应的数据码,有效的保证所述知识图谱能够高效的绘制完成;所述位置检测件、所述拖动指示模块和所述操作笔之间相互配合,并对各个知识图谱中元素能够进行配合,使得各个所述知识图谱中的元素的位置能够被所述位置检测件进行记录,用于对各个所述位置检测件的位置进行存储;同时,所述位置检测件还与所述拖动指示模块进行配合,使得各个知识图谱中的元素进行拖动的过程中能够获知该位置,使得各个所述元素的位置能够被精准的获取;当所述元素进行拖动的过程中,所述位置检测件就会实时对所述元素的位置进行检测,在通过拖动的过程中,需要在数据层对对应元素的位置进行检测,有效的保证各个所述元素的位置的精准定位和可靠;同时,各个元素之间的位置被精准的定位后,可以通过所述连接模块对各个元素之间进行连接关系的确定,使得各个元素之间的位置能够被高效的定位;
所述操作笔上设有方向检测模块和姿势检测模块,所述姿势检测模块被构造为对所述操作者或者用户在绘制知识图谱的过程中出现的状况进行数据的采集;所述方向检测模块对所述操作者的方向进行检测,并与所述采集板进行配合,对所述知识图谱的绘制的大小进行精准的检测;
所述方向检测模块对当前操作笔的角度TR(Wn,Hm)进行检测,沿着假定的位置移动了Vt*Δt的距离
ΔW=VΔt cos(θt) (3)
ΔH=VΔt sin(θt) (4)
其中,θt为t时刻中偏移的角度,V为移动速度;ΔW为横向累计计算的第一偏移量;ΔH为纵向累计计算的第二偏移量;所述方向检测模块基于所述模型的当前的角度进行角度的检测,并依据角度TR(Wn,Hm)的调整,对所述模型的偏转进行检测;另外,当所述模型的当前姿势的调整速度与所述操作笔的移动速度呈等比例映射;同时,所述操作笔与所述方向检测模块的移动速度通过所述速度调节模块进行调整,即:调整所述操作笔与所述速度检测模块对所述模型转动的速度进行调整;
所述预警装置过收集和关联来自安全网络中不同位置的取证信息来处理多步骤攻击;当检测到异常之后,通过执行相关的工作流程来调查异常事件,以收集异常数据,验证事件并追踪攻击路径;所述预警装置还被配合为进行异常检测、IDS规则、签名和黑名单;所述预警装置包括预警模块和预警隔离模块,所述预警模块对采集的数据进行处理,并对数据的位置和操作数地址进行检测,并对动态链接库的升级操作以及触发升级操作的运行动作进行验证;所述动态链接库用于对出现异常参数的执行程序进行拦截,并在拦截的过程中能够对防止所述执行程序进一步被限制,用于限制所述执行程序的动作;同时,所述预警装置还对所述异常数据的触发的地址与事件的攻击路径进行验证,若执行程序的动作为非用户进行触发的,则会触发通过所述预警隔离模块对所述执行程序进行隔离;在本实施例中,所述预警模块与所述预警隔离模块之间相互配合,并对网络中的动态进行验证,并验证所述异常状态或者异常的参数的位置,同时,还能够对触发的数据的位置和操作数地址,并把预警提供给用户或者操作者;
所述预警装置还包括请求参数预警处理模块;预警处理模块包括预警处理单元
所述预警处理单元确定是否将作为由请求参数处理装置执行的处理的目标的请求参数用作关键字提取目标;所述预警处理模块包括文本读取单元和关键字提取单元,所述文本读取单元配置为从由请求参数处理装置处理的请求参数中读取文本;
所述预警处理模块还包括关键字提取单元,从目标确定单元确定为关键字提取目标的请求参数中,从文本读取单元读取的文本中提取关键字;其中,目标确定单元根据由文本读取单元读取的文本是否包括预定的特定字符串来确定是否执行关键字提取;其中,特定字符串包括在从请求参数读取的文本中但以预定的特定形式记录在请求参数中的情况时,目标确定单元具有与在以下情况下获得的确定结果不同的确定结果:特定字符串以与特定形式不同的形式记录;其中,目标确定单元通过使用根据由请求参数处理装置执行的处理的类型而确定的确定条件来确定是否将请求参数用作关键词提取目标;其中,关键词提取模块通过使用根据由请求参数处理装置执行的处理的类型识别的提取条件来提取关键词;其中,关键词提取模块根据请求参数处理装置执行的处理的类型对所提取的关键词进行加权;认证模块对请求参数执行处理的操作者进行认证;另外,所述预警装置还包括关键词提取模块和认证模块,所述关键词提取模块对所述请求指令进行关键词的提取;所述认证模块对请求指令的身份或运营商进行确定其中,关键词提取模块根据认证模块进行的认证所识别出的运营商,对提取出的关键词进行加权;所述关键词提取模块包括用于获取要处理的请求参数的多个接口,其中,关键词提取模块根据用于获取用作关键词提取目标的请求参数的多个接口之一的类型,对所提取的关键词进行加权;同时,所述关键词提取模块还包括管理单元,所述管理单元管理与关键词提取模块提取的关键词有关的信息;
同时,所述管理单元还用于与其他文档处理设备交换数据的通信单元,其中,管理单元通过通信单元获取与由不同文档处理设备提取的关键字有关的信息,并将该信息与由文档处理设备的提取单元提取的关键字有关的信息一起进行管理;特别的,在你没有升级的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全、稳定。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
虽然上面已经参考各种实施例描述了本发明,但是应当理解,在不脱离本发明的范围的情况下,可以进行许多改变和修改。也就是说上面讨论的方法,系统和设备是示例。各种配置可以适当地省略,替换或添加各种过程或组件。例如,在替代配置中,可以以与所描述的顺序不同的顺序执行方法,和/或可以添加,省略和/或组合各种部件。而且,关于某些配置描述的特征可以以各种其他配置组合,如可以以类似的方式组合配置的不同方面和元素。此外,随着技术发展其中的元素可以更新,即许多元素是示例,并不限制本公开或权利要求的范围。
在说明书中给出了具体细节以提供对包括实现的示例性配置的透彻理解。然而,可以在没有这些具体细节的情况下实践配置例如,已经示出了众所周知的电路,过程,算法,结构和技术而没有不必要的细节,以避免模糊配置。该描述仅提供示例配置,并且不限制权利要求的范围,适用性或配置。相反,前面对配置的描述将为本领域技术人员提供用于实现所描述的技术的使能描述。在不脱离本公开的精神或范围的情况下,可以对元件的功能和布置进行各种改变。
综上,其旨在上述详细描述被认为是例示性的而非限制性的,并且应当理解,以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。
Claims (1)
1.一种基于知识图谱的网络安全动态预警系统,其特征在于,所述预警系统包括采集装置、校准装置、核验装置、处理装置、预警装置和处理器,所述采集装置对知识图谱的元素进行安全网络的搭建;所述校准装置基于所述采集装置搭建的安全网络,对各个组件的元素进行操作数地址的校准;所述核验装置对所述安全网络进行模拟核验;所述处理装置对所述采集装置、所述校准装置和所述核验装置的数据进行处理;所述预警装置从设备或路由设备的安全应用接收接入公共网络的请求,基于所接收的请求参数和针对无线网络的安全策略,向防护设备或路由设备的安全应用发送安全动作;
所述采集装置包括采集机构、模型工具模块和连接模块,所述采集机构对所述模型工具模块与所述连接模块的连接关系进行检测;所述模型工具模块用于确定实体的位置;所述连接模块用于连接所述模型工具模块之间的位置,并基于位置生成相对应的数据地址;
所述采集机构包括采集板、位置检测件和拖动指示模块,所述位置检测件与所述拖动指示模块应用在所述采集板上,并对模型工具模块进行选择;所述位置检测件用于对所述采集板上的元素位置进行检测;所述拖动指示模块用于对所述元素之间的连接关系进行检测;
所述校准装置包括工作监控模块和校验机构,所述校验机构用于对所述网络进行监控;所述工作监控模块用于对工作进程进行监控;所述校验机构还响应对工作流进行监控;所述工作流存在于在软件和硬件上,并对所述网络上的数据进行传输,并且能够即时调整或重新配置代理的行为和收集数据的能力,以便调查可疑事件和警报并收集尚未收集的数据;
所述校验机构识别各个用户操作的指令,并采集各个步长的长度,步长设置为h(t),并将其带入异常值评估函数s(x,n)中,得到异常值分数,并基于异常分数触发对路径的安全防护;
其中,H(x)=l(x)+ζ,ξ为欧拉常数;s(x,n)就是记录x在由n个样本的预警数据构成的异常指数,s(x,n)取值范围为[0,1],越接近1表示是异常点的可能性高,越接近0表示是正常点的可能性比较高,如果大部分的预警样本的s(x,n)都接近于0.5,说明整个数据集都没有明显的异常值;
所述核验装置基于对网络的最新威胁信息创建初始工作流,以执行包括监视网络、检测异常、识别所需的取证数据或执行任何其他指定任务在内的任务;通过使用校验用于验证工作流的执行信息,创建用于检测先前未知和未发现风险的工作流程;同时,使用新发现的风险数据扩展其库,从中将创建进一步的防护屏障;
所述处理装置基于接收到的请求参数,访问数据库,该数据库包括将信誉指示符和类别与接收到的请求参数相关联的条目;将信誉指示符、接收到的请求参数相关联的类别分别与安全策略的多个安全规则中的至少一个安全规则进行比较,至少一个安全规则包括信誉指示符和作为输入的类别,以及安全动作作为输出;
所述预警装置通过收集和关联来自安全网络中不同位置的取证信息来处理多步骤攻击;
当检测到异常之后,通过执行相关的工作流程来调查异常事件,以收集异常数据,验证事件并追踪攻击路径;所述预警装置还被配置为进行异常检测、IDS规则、签名和黑名单;
所述预警装置包括预警模块和预警隔离模块,所述预警模块对采集的数据进行处理,对数据的位置和操作数地址进行检测,并对动态链接库的升级操作以及触发升级操作的运行动作进行验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110421626.XA CN113094715B (zh) | 2021-04-20 | 2021-04-20 | 一种基于知识图谱的网络安全动态预警系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110421626.XA CN113094715B (zh) | 2021-04-20 | 2021-04-20 | 一种基于知识图谱的网络安全动态预警系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113094715A CN113094715A (zh) | 2021-07-09 |
CN113094715B true CN113094715B (zh) | 2023-08-04 |
Family
ID=76678573
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110421626.XA Active CN113094715B (zh) | 2021-04-20 | 2021-04-20 | 一种基于知识图谱的网络安全动态预警系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113094715B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115296873A (zh) * | 2022-07-26 | 2022-11-04 | 北京科能腾达信息技术股份有限公司 | 一种计算机网络安全控制器、介质、设备及终端 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101282332A (zh) * | 2008-05-22 | 2008-10-08 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
CN101867498A (zh) * | 2009-04-17 | 2010-10-20 | 中国科学院软件研究所 | 一种网络安全态势评估方法 |
CN112131882A (zh) * | 2020-09-30 | 2020-12-25 | 绿盟科技集团股份有限公司 | 一种多源异构网络安全知识图谱构建方法及装置 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
CN105681338B (zh) * | 2016-03-04 | 2018-10-30 | 西北大学 | 漏洞利用成功概率计算方法及网络安全风险管理方法 |
US10491627B1 (en) * | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
CN106341414B (zh) * | 2016-09-30 | 2019-04-23 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
CN106897273B (zh) * | 2017-04-12 | 2018-02-06 | 福州大学 | 一种基于知识图谱的网络安全动态预警方法 |
IL258345B2 (en) * | 2018-03-25 | 2024-01-01 | B G Negev Technologies And Applications Ltd At Ben Gurion Univ – 907553 | A rapid framework for ensuring cyber protection, inspired by biological systems |
CN108595708A (zh) * | 2018-05-10 | 2018-09-28 | 北京航空航天大学 | 一种基于知识图谱的异常信息文本分类方法 |
CN108494810B (zh) * | 2018-06-11 | 2021-01-26 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
WO2020046286A1 (en) * | 2018-08-29 | 2020-03-05 | General Electronic Company | Integrated cybersecurity risk assessment and state monitoring for electrical power grid |
CN109347801B (zh) * | 2018-09-17 | 2021-03-16 | 武汉大学 | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 |
EP3874390A4 (en) * | 2018-11-02 | 2022-07-06 | Arizona Board of Regents on behalf of the University of Arizona | ADAPTIVE EXECUTION RISK ASSESSMENT AND AUTOMATED MITIGATION |
CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
US11308211B2 (en) * | 2019-06-18 | 2022-04-19 | International Business Machines Corporation | Security incident disposition predictions based on cognitive evaluation of security knowledge graphs |
CN110351250A (zh) * | 2019-06-18 | 2019-10-18 | 国家计算机网络与信息安全管理中心 | 一种多数据源安全知识归集系统 |
CN112149135B (zh) * | 2020-09-16 | 2023-05-02 | 国网河北省电力有限公司电力科学研究院 | 一种安全漏洞的评估方法及装置、计算机可读存储介质 |
-
2021
- 2021-04-20 CN CN202110421626.XA patent/CN113094715B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101282332A (zh) * | 2008-05-22 | 2008-10-08 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
CN101867498A (zh) * | 2009-04-17 | 2010-10-20 | 中国科学院软件研究所 | 一种网络安全态势评估方法 |
CN112131882A (zh) * | 2020-09-30 | 2020-12-25 | 绿盟科技集团股份有限公司 | 一种多源异构网络安全知识图谱构建方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113094715A (zh) | 2021-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10924514B1 (en) | Machine learning detection of fraudulent validation of financial institution credentials | |
CN113542279B (zh) | 一种网络安全风险评估方法、系统及装置 | |
CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
CN104040554A (zh) | 计算定量资产风险 | |
CN109167794B (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
CN111683157A (zh) | 一种物联网设备的网络安全防护方法 | |
JP7204247B2 (ja) | 脅威対応自動化方法 | |
CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
CN112907321A (zh) | 一种基于大数据的数据挖掘与分析的信息安全异常感知平台 | |
CN102546641A (zh) | 一种在应用安全系统中进行精确风险检测的方法及系统 | |
Riadi et al. | Vulnerability analysis of E-voting application using open web application security project (OWASP) framework | |
CN105141573A (zh) | 一种基于web访问合规性审计的安全防护方法和系统 | |
CN113094715B (zh) | 一种基于知识图谱的网络安全动态预警系统 | |
CN111611590A (zh) | 涉及应用程序的数据安全的方法及装置 | |
JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
CN104200162A (zh) | 信息安全监控与防御的计算机程序产品及其方法 | |
CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
Ahmed et al. | CCF based system framework in federated learning against data poisoning attacks | |
KR101081875B1 (ko) | 정보시스템 위험에 대한 예비경보 시스템 및 그 방법 | |
KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
CN115150137B (zh) | 一种基于Redis的高频访问预警方法及设备 | |
CN114422257B (zh) | 信息处理方法、装置、设备、介质 | |
CN115913756A (zh) | 一种基于已知漏洞条目的网络设备漏洞验证方法 | |
CN109743303B (zh) | 应用保护方法、装置、系统和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |