CN113612763B - 基于网络安全恶意行为知识库的网络攻击检测装置和方法 - Google Patents

Abstract

本发明提供了一种基于网络安全恶意行为知识库的网络攻击检测装置和方法。该装置包括：图谱构建模块根据预设网络安全的实体和实体间关系，基于原始数据构建包括流量行为知识图谱、恶意行为特征图谱、实体行为感知图谱和恶意行为溯源图谱的网络安全恶意行为知识库；数据收集模块收集多源异构网络安全数据，提取DDoS攻击流特征；行为推理模块基于网络安全恶意行为知识库进行感知和推理，获取DDoS攻击相关信息；知识反馈模块将DDoS攻击相关信息反馈给后续的检测处理过程。本发明装置能够自动完成网络安全恶意行为知识库的知识收集、构建、推理、反馈以及分布式传输过程，安全性高和可扩展性强，从而有效地利用网络安全恶意行为知识库进行DDoS攻击检测。

Description

基于网络安全恶意行为知识库的网络攻击检测装置和方法

技术领域

本发明涉及网络安全检测技术领域，尤其涉及一种基于网络安全恶意行为知识库的网络攻击检测装置和方法。

背景技术

随着5G通信技术的迅速发展，海量终端设备的接入为现有互联网带来了新的安全风险，进而威胁用户隐私保护，冲击关键信息基础设施安全。为了检测网络威胁，通过采集各种复杂的仿真或实际网络环境下的恶意攻击设计了一系列网络安全数据集，如UNSW-NB15、CICDDoS2019等，以二维表的形式保存在逗号分隔符CSV文件中，旨在通过设计包含正常和异常行为的全面数据集来反映现代复杂多变的攻击环境。该方法的缺点为：首先，网络安全数据集通过数据包的形式来捕获与分析流量，并将流量的特征全部放入数据行中，从而丢失了网络实体及各项特征之间的明确关系，难以针对现有数据完成逻辑性保存；其次，每个安全数据集都以各自的规则来统计流量与设计特征值，相互之间缺乏有效关联，难以进行全面准确的安全分析；最后，安全数据集通过在特定网络环境下收集与分析而来，当面对多种来源的流量信息时，无法在原有规则下更新与扩充数据集。因此，如何有效利用网络安全领域的大量现有知识和历史积累，实现安全数据的规范与整合，不断存储与更新海量连接终端下的恶意流量信息，已成为亟待解决的关键问题。

知识图谱作为一种新的知识表示方法，以图的形式表示实体之间的关系，本质是一种揭示实体间关系的语义网络，具备高效的查询与展示能力、灵活的存储机制与更新能力。利用知识图谱技术能够规范与整合网络安全、恶意攻击的相关情报，解决多源异构数据共享重用困难的问题，协助网络安全分析人员全面直观地进行安全分析。

目前，现有技术中的网络安全恶意行为知识库方法基于单一知识图谱构建，通过预设网络中实体和实体间的关系，统一描述网络安全中的元素信息，进而收集多源异构数据，构建网络安全恶意行为知识库。

上述现有技术中的网络安全恶意行为知识库方法的缺点为：单节点知识库获取知识的途径有限、图谱结构单一，随着部署在单节点知识库中的图谱规模不断增加，导致系统资源占用率高、查询耗时长以及不可扩展性，最终影响构建的网络安全恶意行为知识库的可信度。

发明内容

本发明的实施例提供了一种基于网络安全恶意行为知识库的网络攻击检测装置和方法，以实现有效地利用网络安全恶意行为知识库进行DDoS攻击检测。

为了实现上述目的，本发明采取了如下技术方案。

一种基于网络安全恶意行为知识库的网络攻击检测装置，包括：图谱构建模块、数据收集模块、行为推理模块和知识反馈模块；

所述的图谱构建模块，用于根据预设网络安全的实体和实体间关系，基于包括DDoS攻击特征数据在内的原始数据构建包括流量行为知识图谱、恶意行为特征图谱、实体行为感知图谱和恶意行为溯源图谱的网络安全恶意行为知识库；

所述的数据收集模块，用于收集与处理面向网络安全恶意行为知识库的多源异构网络安全数据，根据所述多源异构网络安全数据提取DDoS攻击特征数据，将DDoS攻击特征数据传输给图谱构建模块；

所述的行为推理模块，用于基于多源异构网络安全数据推理实体行为感知图谱与恶意行为溯源图谱中的攻击宿主机位置；利用图算法对流量行为知识图谱与恶意行为特征图谱中的网络安全知识进行推理，捕获更有效的实体对及实体间关系，将推理和捕获的DDoS攻击相关信息传输给知识反馈模块；

所述的知识反馈模块，用于将所述行为推理模块传输过来的DDoS攻击相关信息反馈给后续的检测处理过程。

优选地，所述的装置还包括：

分布式传输模块，用于基于安全传输协议格式化周期性传输分布式知识库中知识图谱内容，根据缺失的网络安全知识对所述网络安全恶意行为知识库进行更新，得到具备统一知识的网络安全恶意行为知识库。

优选地，所述的图谱构建模块，具体用于获取用于构造单节点中四张网络安全知识图谱的原始数据，所述原始数据包含四个部分：来自通用弱点枚举库CWE与国家信息安全漏洞库CNNVD的网络安全知识数据；来自特征提取工具提取的DDoS攻击特征数据；来自部署知识库的网关记录的设备和用户接入数据；以及来自其他知识图谱的反馈数据；

所述流量行为知识图谱负责网络安全恶意行为知识库中第三方知识的存储和更新，包含通用弱点枚举库CWE和国家信息安全漏洞库CNNVD，在保留原有第三方库中实体关系的基础上，基于攻击节点描述中关联的弱点名称创建关系来链接攻击节点和弱点节点，构建起攻击和弱点关联的流量行为知识图谱；

所述恶意行为特征图谱负责网络攻击，提供网络恶意行为与特征的关系展示，采用分级的方案将DDoS攻击类型细分成五个大类，总计21种DDoS攻击类型，并通过特征提取工具与统计方法确定DDoS攻击与流量特征的对应关系，建立恶意行为特征图；

所述实体行为感知图谱负责感知部署网络安全恶意行为知识库网关邻居节点的拓扑环境，并对拓扑环境中的设备和用户添加多种属性和属性值来对设备和用户进行管理，进而控制设备和用户的接入，实体行为感知图谱中存储信息包含用户、设备、资源三大实体以及与其相关的子实体；

所述恶意行为溯源图谱负责攻击溯源工作，基于所述前三张图谱中的各维度信息对攻击进行溯源，发掘出攻击的完整路径以及攻击所使用的恶意操作和漏洞信息，恶意行为溯源图谱存储信息包含攻击者主机、被攻击者主机、攻击方式以及持续时间实体。

优选地，所述的数据收集模块，具体用于提供一种面向结构化或半结构化的网络安全知识的收集与处理方法，从包含网络安全领域中的各种漏洞库和弱点库中获取网络安全数据；采用流特征提取工具以及统计图的分析方法对所述网络安全数据进行各种DDoS攻击特征集的分析和筛选，获取针对每种DDoS攻击对应的有效特征数据，将收集的有效特征数据转化为包含特征的样本集，并保存为可供后续图谱读取的格式化数据；通过部署网络安全恶意行为知识库的网关感知邻居节点的拓扑环境，获取设备和用户的接入数据。

优选地，所述的行为推理模块，具体用于采用的推理算法包括图推理算法、聚类算法以及机器学习算法，利用图推理算法对实体行为感知图谱和恶意行为溯源图谱进行推理，为攻击主机溯源和攻击主机位置感知提供依据；利用聚类算法或机器学习算法对恶意行为特征图谱中的不同种类DDoS攻击的特征进行重要性筛选。

优选地，所述的知识反馈模块，具体用于将四张知识图谱输出信息进行反馈，所述流量行为知识图谱为整个知识库提供相应的DDoS攻击缓解措施信息，所述恶意行为特征图谱将筛选过后的不同种类DDoS攻击对应的特征反馈给检测模块，所述实体行为感知图谱将网络环境中的正常流量和攻击流量一并反馈给检测模块，所述恶意行为溯源图谱接收其他三个图谱以及检测模块检测的DDoS攻击信息，对攻击进行溯源推理。

一种基于网络安全恶意行为知识库的网络攻击检测方法，应用于所述的基于网络安全恶意行为知识库的网络攻击检测装置，所述方法包括：

将所述网络安全恶意行为知识库部署在DOTS服务端主机，所述DOTS服务端主机通过数据通道周期性实现知识库间的数据交换，通过信令通道实现请求保护信息的传输；

当正常流量和恶意流量发往DOTS客户端主机，客户端主机通过信令通道向服务端请求网络安全恶意行为知识库对输入流量进行检测，若检测为正常流量，则数据正常转发；若检测为恶意流量，则基于网络安全恶意行为知识库解析其攻击的五元组信息，并为客户端提供保护，DOTS服务器接受并处理客户端通过数据通道周期性发送的分布式数据传输请求，实现网络安全恶意行为知识库的知识同步与更新。

优选地，所述方法还包括：

所述的DOTS拥有两种传输数据的信道：信令通道和数据通道，信令通道用于请求保护信息的传输，为DOTS客户端向服务器发送请求以及服务器响应请求时使用的信道；数据通道传递知识库数据和配置信息，是客户端发送知识库配置更新命令以及知识库之间数据交互时使用的信道；

对于所述信令通道，DOTS服务器相应DOTS客户端的请求并对申请保护的地址段进行保护并分发攻击恶意流量缓解措施；对于所述数据通道，DOTS服务器接受DOTS客户端自定义的数据模型，提取传输文件中的知识库更新资源，并对知识库进行知识更新操作。

优选地，所述方法还包括：

DOTS客户端自定义四张知识图谱的数据传输模型；DOTS客户端向服务端通过数据通道周期性传输符合传输模型的知识库配置更新文件；DOTS服务器解析配置更新文件并对部署在服务器上的知识库进行知识更新；

DOTS用来承载有关受到DDoS攻击的网络资源或网络信息的协议，作为网络安全恶意行为知识库数据传输的可信协议；

基于yang-data和json文件格式构建知识库数据传输模型，作为DOTS数据通道的标准数据传输格式。

优选地，所述方法还包括：

DOTS客户端以周期性规律向服务端传输符合yang-data和json格式的知识库配置更新文件；

DOTS服务端根据预设的传输模型解析配置更新文件，转换为知识库可识别的json文件格式并读入数据，与当前知识图谱中存储的数据对比，完成数据的增删查改。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例的方法能够自动完成网络安全恶意行为知识库的知识收集、构建、推理、反馈以及分布式传输过程，无需人工参与，知识来源广、安全性高和可扩展性强，有利于提升网络安全恶意行为知识库的可信度，从而有效地利用网络安全恶意行为知识库进行DDoS攻击检测。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于网络安全恶意行为知识库的网络攻击检测装置的结构图；

图2为本发明实施例提供的一种构建单节点网络安全恶意行为知识库的流程示意图；

图3为本发明实施例提供的一种基于安全传输协议传输网络安全恶意行为知识库数据的流程示意图；

图4为本发明实施例提供的一种部署网络安全恶意行为知识库的拓扑示意图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例一

本申请实施例提供的一种基于网络安全恶意行为知识库的网络攻击检测装置的结构图如图1所示，包括：分布式传输模块10、图谱构建模块20、数据收集模块30、行为推理模块40和知识反馈模块50。

图谱构建模块20，用于根据预设网络安全的实体和实体间关系，构建包括流量行为知识图谱、恶意行为特征图谱、实体行为感知图谱和恶意行为溯源图谱四张知识图谱组成的网络安全恶意行为知识库。

数据收集模块30，用于收集与处理面向网络安全恶意行为知识库的四张知识图谱的多源异构网络安全数据，将收集的多源异构网络安全数据传输给行为推理模块30。所述多源异构网络安全数据包含结构化与半结构化数据。

行为推理模块40，用于推理实体行为感知图谱与恶意行为溯源图谱中的攻击宿主机位置，为攻击溯源提供依据。同时，利用图算法对所述流量行为知识图谱与恶意行为特征图谱中的网络安全知识进行推理，捕获更有效的实体对及实体间关系，将推理和捕获的信息传输给知识反馈模块40。

知识反馈模块50，用于将所述四张知识图谱的输出信息相互反馈以及反馈给检测模块，指导与优化检测模块的DDoS攻击检测性能。

分布式传输模块10，用于基于安全传输协议格式化并周期性传输分布式知识库中知识图谱内容，根据缺失的网络安全知识对所述网络安全恶意行为知识库进行更新，得到所述具备统一知识的网络安全恶意行为知识库。

具体的，所述图谱构建模块20，用于提供一种包括流量行为知识图谱、恶意行为特征图谱、实体行为感知图谱和恶意行为溯源图谱四张知识图谱的超融合知识图谱的构建方法。网络安全恶意行为知识库的主体由四张知识图谱及其接口构成，网络安全恶意行为知识库在知识层面上包含了DDoS攻击在时间维度、空间维度和特征维度上的多元信息。

具体的，所述数据收集模块，用于提供一种面向结构化或半结构化的网络安全知识的收集与处理方法。从包含网络安全领域中的各种漏洞库和弱点库中获取网络安全数据；利用特征选择技术以及统计图的分析方法对上述网络安全数据进行各种DDoS攻击特征集的分析和筛选，获取针对每种DDoS攻击对应的有效特征数据；通过部署网络安全恶意行为知识库的网关感知邻居节点的拓扑环境，获取设备和用户的接入数据。

具体的，所述行为推理模块，用于提供一种面向四张知识图谱的网络安全知识与攻击宿主机位置的推理方法。行为推理部分利用图推理算法和攻击溯源推理算法对实体行为感知图谱和恶意行为溯源图谱进行推理，为攻击主机溯源和攻击主机位置感知提供依据。利用聚类算法对不同种类DDoS攻击的特征进行筛选。

具体的，所述知识反馈模块，用于提供一种基于四张知识图谱的输出信息反馈方法。实体行为感知图谱将网络环境中的接入信息一并反馈给检测模块，以便检测模块进行DDoS攻击的检测；恶意行为特征图谱将筛选过后的不同种类DDoS攻击对应的特征反馈给检测模块，以提高检测模块的检测精确率；恶意行为溯源图谱接受检测模块检测的DDoS攻击信息，对攻击进行溯源推理；流量行为知识图谱为整个知识库提供相应的DDoS攻击缓解措施等信息。

具体的，所述分布式传输模块，用于提供一种基于安全传输协议格式化并周期性传输分布式知识库中知识图谱内容的分布式传输方法。采用所述DOTS的数据通道在分布式知识库间传输缺失的知识图谱内容，采用所述DOTS的信号通道在各知识库与检测系统间传输缓解措施，防止DDoS攻击破坏分布式知识库间的传输进程。

图2为本发明实施例提供的一种构建单节点网络安全恶意行为知识库的示意图。该过程包括：获取用于构造单节点中四张网络安全知识图谱的原始数据；基于预设网络安全的实体和实体间关系，构建多个知识图谱组成的网络安全恶意行为知识库；采用推理算法推理与补全攻击宿主机位置与网络安全知识；基于反馈接口实现知识图谱间以及知识库与检测模块间的信息反馈。

可选地，所述原始数据包含四个部分，包括来自通用弱点枚举库CWE与国家信息安全漏洞库CNNVD的网络安全知识数据；来自特征提取工具提取的DDoS攻击流量特征数据；来自部署知识库的网关记录的设备和用户接入数据；以及来自其他知识图谱的反馈数据。

可选地，采用流特征提取工具CICFlowMeter等工具提取DDoS攻击流量的特征信息，将收集的网络流量信息转为包含特征的样本集，并保存为可供后续图谱读取的格式化数据。

可选地，采用区块链等技术记录海量的设备和用户接入数据，以保护数据安全性与隐私性。

可选地，所述四张网络安全知识图谱组成的超融合知识图谱包括流量行为知识图谱、恶意行为特征图谱、实体行为感知图谱和恶意行为溯源图谱。

所述流量行为知识图谱负责网络安全恶意行为知识库中第三方知识的存储和更新，包含CWE(Common Weakness Enumernation，通用弱点枚举库)与CNNVD(China NationalVulnerability Database of Information Security，国家信息安全漏洞库)。在保留原有第三方库中实体关系的基础上，基于攻击节点描述中关联的弱点名称创建关系来链接攻击节点和弱点节点，构建起攻击和弱点关联的流量行为知识图谱。参考表1为流量行为知识图谱存储信息的示意表，包括CAPEC库和CWE库实体对齐后的实体表述以及两个库相互关联的关系表示。

由表1可知，所述流量行为知识图谱存储了网络安全知识库中的漏洞或攻击方式名称、详细描述、后果、缓解措施、严重性以及攻击间的关联。因此，流量行为知识图谱的构建能够提供特定环境和场景(如DDoS攻击)下恶意行为的关联知识，评估恶意行为的影响范围和深度，对这些恶意行为做出预警，并给出相应的缓解措施。

表1

所述恶意行为特征图谱负责网络攻击，尤其是DDoS攻击的细致化分类和特征匹配，提供网络恶意行为与特征的关系展示。采用分级的方案将DDoS攻击类型细分成五个大类，总计21种DDoS攻击类型，并通过特征提取工具与统计方法确定DDoS攻击与流量特征的对应关系，从而建立恶意行为特征图。参考表2为恶意行为特征图谱存储信息的示意表，包括21种DDoS攻击类型所对应的流量特征。

由表2可知，所述恶意行为特征图谱存储了5种大类DDoS攻击类型，21种细致DDoS攻击类型以及每种DDoS攻击对应的基于特征提取攻击提取的流量特征，共计69种。因此，恶意行为特征图谱的构建一方面展示了每种攻击与具体流量特征种类之间存在关联，另一方面体现了多种攻击类型受一种流量特征的影响，简化了流量特征的处理难度。

表2

所述实体行为感知图谱负责感知部署网络安全恶意行为知识库网关邻居节点的拓扑环境，并对拓扑环境中的设备和用户添加多种属性和属性值来对设备和用户进行管理，进而控制设备和用户的接入。具体的，分析海量接入用户与设备信息以发掘攻击者使用设备的信息，为检测模块提供攻击信息输出。参考表3为实体行为感知图谱存储信息的示意表，包含用户、设备、资源三大实体以及与其相关的子实体。

表3

由表3可知，所述实体行为感知图谱存储了用户、设备、资源以及对应属性，并建立了实体间的关联。因此，实体行为感知图谱的构建能够用于分析海量接入用户与设备信息以发掘攻击者使用设备的信息，为检测模块提供攻击信息输出。

所述恶意行为溯源图谱负责攻击溯源工作，基于所述前三张图谱中的各维度信息对攻击进行溯源，发掘出攻击的完整路径以及攻击所使用的恶意操作和漏洞等信息。参考表4为恶意行为溯源图谱存储信息的示意表，记录一次攻击发起到结束的过程，包含了攻击者主机、被攻击者主机、攻击方式以及持续时间等实体。

表4

由表4可知，所述恶意行为溯源图谱存储了攻击节点、被攻击节点、攻击持续时间以及攻击方式。因此，恶意行为溯源图谱的构建能够对引起恶意流量的攻击行为进行追溯，追踪攻击数据的来源以定位攻击者。

可选地，所述推理算法包括图推理算法、聚类算法以及机器学习算法。利用图推理算法对实体行为感知图谱和恶意行为溯源图谱进行推理，为攻击主机溯源和攻击主机位置感知提供依据；利用聚类算法或机器学习算法对恶意行为特征图谱中的不同种类DDoS攻击的特征进行重要性筛选。

可选地，所述反馈接口用于将四张知识图谱输出信息进行反馈。流量行为知识图谱则为整个知识库提供相应的DDoS攻击缓解措施等信息；恶意行为特征图谱将筛选过后的不同种类DDoS攻击对应的特征反馈给检测模块以提高检测精确率；实体行为感知图谱将网络环境中的正常流量和攻击流量一并反馈给检测模块进行DDoS攻击的检测；恶意行为溯源图谱接收其他三个图谱以及检测模块检测的DDoS攻击信息，对攻击进行溯源推理。

目前的网络安全恶意行为知识库的构建方法多数是将告警日志信息或网络威胁情报以知识图谱的形式存储，但是该观点没有以全局视角将数据结构抽象统一，难以建立高质量的融合数据基础。本发明实施例针对多源异构的网络安全知识建立超融合知识图谱，实现多源、多维、多层次的网络安全恶意行为数据的融合建模。

实施例二

图3为本发明实施例提供的一种基于网络安全恶意行为知识库的网络攻击检测方法的流程示意图，包括如下的处理过程：DOTS客户端自定义四张知识图谱的数据传输模型；DOTS客户端向服务端通过数据通道周期性传输符合传输模型的知识库配置更新文件；DOTS服务器解析配置更新文件并对部署在服务器上的知识库进行知识更新。

可选地，DOTS是用来承载有关受到DDoS攻击的网络资源或网络信息的协议，能够用来作为网络安全恶意行为知识库数据传输的可信协议，以防止DDoS攻击破坏分布式知识库间的传输进程。

所述的DOTS拥有两种传输数据的信道：信令通道和数据通道。信令通道用于请求保护信息的传输，为DOTS客户端向服务器发送请求以及服务器响应请求时使用的信道；数据通道传递知识库数据和配置信息，是客户端发送知识库配置更新命令以及知识库之间数据交互时使用的信道。

可选地，基于yang-data和json文件格式构建所述知识库数据传输模型，作为DOTS数据通道的标准数据传输格式。

可选地，DOTS客户端应以周期性规律向服务端传输符合yang-data和json格式的知识库配置更新文件。本发明实施例将传输周期设置为1小时，每小时进行一次分布式数据传输，实现知识库的及时更新。

可选地，DOTS服务端根据预设的传输模型解析配置更新文件，转换为知识库可识别的json文件格式并读入数据，与当前知识图谱中存储的数据对比，完成数据的增删查改。

图4为本发明实施例提供的一种部署网络安全恶意行为知识库的拓扑示意图。参见图4，分布式知识库部署在DOTS服务端主机，通过数据通道周期性实现知识库间的数据交换，通过信令通道实现请求保护信息的传输。DOTS客户端为主要请求发送部分，DOTS服务器为反馈提供部分。

具体的，随着正常流量和恶意流量发往DOTS客户端主机，客户端主机通过信令通道向服务端请求网络安全恶意行为知识库对输入流量进行检测。若检测为正常流量，则数据正常转发；若检测为恶意流量，则基于网络安全恶意行为知识库解析其攻击的五元组信息，并为客户端提供保护。此外，DOTS服务器接受并处理客户端通过数据通道周期性发送的分布式数据传输请求，实现网络安全恶意行为知识库的知识同步与更新。

对于所述信令通道，DOTS服务器能够正确相应DOTS客户端的请求并对申请保护的地址段进行保护并分发攻击恶意流量缓解措施；对于所述数据通道，DOTS服务器能接受DOTS客户端自定义的数据模型，提取传输文件中的知识库更新资源，并对知识库进行知识更新操作。

本发明实施例在单节点网络安全恶意行为知识库中构造四张知识图谱用于存储网络安全知识，采用DOTS协议构建网络安全恶意行为知识库，能够提升网络安全恶意行为知识库的可信度。

综上所述，本发明实施例的该方法能够自动完成网络安全恶意行为知识库的知识收集、构建、推理、反馈以及分布式传输过程，无需人工参与，知识来源广、安全性高和可扩展性强，进一步提升网络安全恶意行为知识库的可信度。

本发明实施例能够在多个网关处部署网络安全恶意行为知识库并提供可靠传输通道，各节点能够有效规范与整合网络安全领域中的多源异构数据，获取网络恶意行为的多层关系，基于四张知识图谱直观呈现网络攻击或漏洞全景图并快速定位风险点，结合知识推理方法与反馈接口能够有效利用网络安全恶意行为知识库进行DDoS攻击检测，降低网络中的恶意流量。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (9)

1.一种基于网络安全恶意行为知识库的网络攻击检测装置，其特征在于，包括：图谱构建模块、数据收集模块、行为推理模块和知识反馈模块；

所述的图谱构建模块，用于根据预设网络安全的实体和实体间关系，基于包括DDoS攻击特征数据在内的原始数据构建包括流量行为知识图谱、恶意行为特征图谱、实体行为感知图谱和恶意行为溯源图谱的网络安全恶意行为知识库；

所述的数据收集模块，用于收集与处理面向网络安全恶意行为知识库的多源异构网络安全数据，根据所述多源异构网络安全数据提取DDoS攻击特征数据，将DDoS攻击特征数据传输给图谱构建模块；

所述的行为推理模块，用于基于多源异构网络安全数据推理实体行为感知图谱与恶意行为溯源图谱中的攻击宿主机位置；利用图算法对流量行为知识图谱与恶意行为特征图谱中的网络安全知识进行推理，捕获更有效的实体对及实体间关系，将推理和捕获的DDoS攻击相关信息传输给知识反馈模块；

所述的知识反馈模块，用于将所述行为推理模块传输过来的DDoS攻击相关信息反馈给后续的检测处理过程;

所述的图谱构建模块，具体用于获取用于构造单节点中四张网络安全知识图谱的原始数据，所述原始数据包含四个部分：来自通用弱点枚举库CWE与国家信息安全漏洞库CNNVD的网络安全知识数据；来自特征提取工具提取的DDoS攻击特征数据；来自部署知识库的网关记录的设备和用户接入数据；以及来自其他知识图谱的反馈数据；

所述流量行为知识图谱负责网络安全恶意行为知识库中第三方知识的存储和更新，包含通用弱点枚举库CWE和国家信息安全漏洞库CNNVD，在保留原有第三方库中实体关系的基础上，基于攻击节点描述中关联的弱点名称创建关系来链接攻击节点和弱点节点，构建起攻击和弱点关联的流量行为知识图谱；

所述恶意行为特征图谱负责网络攻击，提供网络恶意行为与特征的关系展示，采用分级的方案将DDoS攻击类型细分成五个大类，总计21种DDoS攻击类型，并通过特征提取工具与统计方法确定DDoS攻击与流量特征的对应关系，建立恶意行为特征图；

所述实体行为感知图谱负责感知部署网络安全恶意行为知识库网关邻居节点的拓扑环境，并对拓扑环境中的设备和用户添加多种属性和属性值来对设备和用户进行管理，进而控制设备和用户的接入，实体行为感知图谱中存储信息包含用户、设备、资源三大实体以及与其相关的子实体；

所述恶意行为溯源图谱负责攻击溯源工作，基于其他三个图谱中的各维度信息对攻击进行溯源，发掘出攻击的完整路径以及攻击所使用的恶意操作和漏洞信息，恶意行为溯源图谱存储信息包含攻击者主机、被攻击者主机、攻击方式以及持续时间实体。

2.根据权利要求1所述的装置，其特征在于，所述的装置还包括：

分布式传输模块，用于基于安全传输协议格式化周期性传输分布式知识库中知识图谱内容，根据缺失的网络安全知识对所述网络安全恶意行为知识库进行更新，得到具备统一知识的网络安全恶意行为知识库。

3.根据权利要求1或者2所述的装置，其特征在于，所述的数据收集模块，具体用于提供一种面向结构化或半结构化的网络安全知识的收集与处理方法，从包含网络安全领域中的各种漏洞库和弱点库中获取网络安全数据；采用流特征提取工具以及统计图的分析方法对所述网络安全数据进行各种DDoS攻击特征集的分析和筛选，获取针对每种DDoS攻击对应的有效特征数据，将收集的有效特征数据转化为包含特征的样本集，并保存为可供后续图谱读取的格式化数据；通过部署网络安全恶意行为知识库的网关感知邻居节点的拓扑环境，获取设备和用户的接入数据。

4.根据权利要求1或者2所述的装置，其特征在于，所述的行为推理模块，具体用于采用的推理算法包括图推理算法、聚类算法以及机器学习算法，利用图推理算法对实体行为感知图谱和恶意行为溯源图谱进行推理，为攻击主机溯源和攻击主机位置感知提供依据；利用聚类算法或机器学习算法对恶意行为特征图谱中的不同种类DDoS攻击的特征进行重要性筛选。

5.根据权利要求1或者2所述的装置，其特征在于，所述的知识反馈模块，具体用于将四张知识图谱输出信息进行反馈，所述流量行为知识图谱为整个知识库提供相应的DDoS攻击缓解措施信息，所述恶意行为特征图谱将筛选过后的不同种类DDoS攻击对应的特征反馈给检测模块，所述实体行为感知图谱将网络环境中的正常流量和攻击流量一并反馈给检测模块，所述恶意行为溯源图谱接收其他三个图谱以及检测模块检测的DDoS攻击信息，对攻击进行溯源推理。

6.一种基于网络安全恶意行为知识库的网络攻击检测方法，其特征在于，应用于权利要求1-5任一项所述的基于网络安全恶意行为知识库的网络攻击检测装置，所述方法包括：

将所述网络安全恶意行为知识库部署在DOTS服务端主机，所述DOTS服务端主机通过数据通道周期性实现知识库间的数据交换，通过信令通道实现请求保护信息的传输；

当正常流量和恶意流量发往DOTS客户端主机，客户端主机通过信令通道向服务端请求网络安全恶意行为知识库对输入流量进行检测，若检测为正常流量，则数据正常转发；若检测为恶意流量，则基于网络安全恶意行为知识库解析其攻击的五元组信息，并为客户端提供保护，DOTS服务器接受并处理客户端通过数据通道周期性发送的分布式数据传输请求，实现网络安全恶意行为知识库的知识同步与更新。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

所述的DOTS拥有两种传输数据的信道：信令通道和数据通道，信令通道用于请求保护信息的传输，为DOTS客户端向服务器发送请求以及服务器响应请求时使用的信道；数据通道传递知识库数据和配置信息，是客户端发送知识库配置更新命令以及知识库之间数据交互时使用的信道；

对于所述信令通道，DOTS服务器相应DOTS客户端的请求并对申请保护的地址段进行保护并分发攻击恶意流量缓解措施；对于所述数据通道，DOTS服务器接受DOTS客户端自定义的数据模型，提取传输文件中的知识库更新资源，并对知识库进行知识更新操作。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：

DOTS客户端自定义四张知识图谱的数据传输模型；DOTS客户端向服务端通过数据通道周期性传输符合传输模型的知识库配置更新文件；DOTS服务器解析配置更新文件并对部署在服务器上的知识库进行知识更新；

DOTS用来承载有关受到DDoS攻击的网络资源或网络信息的协议，作为网络安全恶意行为知识库数据传输的可信协议；

基于yang-data和json文件格式构建知识库数据传输模型，作为DOTS数据通道的标准数据传输格式。

9.根据权利要求8所述的方法，其特征在于，所述方法还包括：

DOTS客户端以周期性规律向服务端传输符合yang-data和json格式的知识库配置更新文件；

DOTS服务端根据预设的传输模型解析配置更新文件，转换为知识库可识别的json文件格式并读入数据，与当前知识图谱中存储的数据对比，完成数据的增删查改。

Images