CN114579765B - 一种基于开源情报分析的网络靶场武器库构建方法 - Google Patents
一种基于开源情报分析的网络靶场武器库构建方法 Download PDFInfo
- Publication number
- CN114579765B CN114579765B CN202210238984.1A CN202210238984A CN114579765B CN 114579765 B CN114579765 B CN 114579765B CN 202210238984 A CN202210238984 A CN 202210238984A CN 114579765 B CN114579765 B CN 114579765B
- Authority
- CN
- China
- Prior art keywords
- open source
- source information
- weapon
- ontology
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于开源情报分析的网络靶场武器库构建方法,涉及网络安全技术领域,方法包括:获取开源情报数据;根据开源情报数据,构建领域本体;基于开源情报数据抽取与领域本体对应的数据信息,获得知识库实体;根据领域本体和知识库实体,构建武器知识图谱;根据武器知识图谱,得到网络靶场武器库。本发明解决了现有技术中网络靶场武器库构建方法存在效率较低的问题,实现了自顶而下构建知识图谱数据库的目的,具有构建方法简单且效率较高的效果。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于开源情报分析的网络靶场武器库构建方法。
背景技术
网络靶场是一种支持构建虚拟或物理的演习环境,进行网络武器装备试验和攻防对抗演练的技术或产品。目前,基于网络靶场进行网络安全演练时,使用的网络攻击武器具有数据量大、分布范围广、数据样式不一的特点。基于此,需要耗费大量的精力和时间阅读文本数据,进行收集、整理和维护网络靶场武器库。这种构建网络靶场武器库的方法存在效率较低的问题。
发明内容
本发明的主要目的在于:提供一种基于开源情报分析的网络靶场武器库构建方法,旨在解决现有技术中网络靶场武器库构建方法存在效率较低的技术问题。
为实现上述目的,本发明采用如下技术方案:
第一方面,本发明提供了一种基于开源情报分析的网络靶场武器库构建方法,所述方法包括:
获取开源情报数据;
根据所述开源情报数据,构建领域本体;
基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体;
根据所述领域本体和所述知识库实体,构建武器知识图谱;
根据所述武器知识图谱,得到网络靶场武器库。
可选地,上述基于开源情报分析的网络靶场武器库构建方法中,所述获取开源情报数据的步骤,具体包括:
通过开源情报知识库获取开源情报数据;其中,所述开源情报知识库包括漏洞数据库、通用漏洞与披露、通用平台枚举、通用弱点枚举和漏洞利用数据库中的至少一种。
可选地,上述基于开源情报分析的网络靶场武器库构建方法中,所述根据所述开源情报数据,构建领域本体的步骤,具体包括:
根据所述开源情报数据,确定子本体类型及其定义;其中,所述子本体类型包括至少两种;
根据所述子本体类型及其定义,构建所述子本体类型之间的关系图;
根据所述开源情报数据,确定所述关系图中各子本体类型的属性;
根据所述子本体类型、所述关系图和所述关系图中各子本体类型的属性,构建语义模型,获得领域本体。
可选地,上述基于开源情报分析的网络靶场武器库构建方法中,所述基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体的步骤,具体包括:
根据所述开源情报数据,编写Python脚本;
通过所述Python脚本,在所述开源情报数据中获取半结构化文本数据;
根据所述文本数据,对所述领域本体进行实例化,获得知识库实体。
可选地,上述基于开源情报分析的网络靶场武器库构建方法中,所述根据所述文本数据,对所述领域本体进行实例化,获得知识库实体的步骤,具体包括:
对所述文本数据进行实体抽取和属性抽取,得到实例和所述实例的属性;
根据所述领域本体,匹配所述实例的相关实例,得到所述实例与所述相关实例之间的关系;所述相关实例为与所述实例属同一所述文本数据的其他实例;
根据所述实例、所述实例的属性、以及所述实例与所述相关实例之间的关系,确定子实体;
遍历所述开源情报数据,得到知识库实体;所述知识库实体包括至少一个子实体。
可选地,上述基于开源情报分析的网络靶场武器库构建方法中,所述根据所述领域本体和所述知识库实体,构建武器知识图谱的步骤,具体包括:
根据所述领域本体,确定所述知识库实体中各子实体之间的关系;
根据所述知识库实体以及所述知识库实体中各子实体之间的关系,构建图结构,得到武器知识图谱。
可选地,上述基于开源情报分析的网络靶场武器库构建方法中,所述根据所述武器知识图谱,得到网络靶场武器库的步骤,具体包括:
对所述武器知识图谱进行质量评估;
若评估通过,则对所述武器知识图谱进行可视化展示和存储,得到网络靶场武器库;
若评估不通过,则返回所述根据所述开源情报构建领域本体的步骤,直到评估通过。
第二方面,本发明提供了一种基于开源情报分析的网络靶场武器库构建装置,所述装置包括:
数据获取模块,用于获取开源情报数据;
本体构建模块,用于根据所述开源情报数据,构建领域本体;
数据抽取模块,用于基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体;
图谱构建模块,用于根据所述领域本体和所述知识库实体,构建武器知识图谱;
数据库获取模块,用于根据所述武器知识图谱,得到网络靶场武器库。
第三方面,本发明提供了一种基于开源情报分析的网络靶场武器库构建设备,所述设备包括处理器和存储器,所述存储器中存储有网络靶场武器库构建程序,所述网络靶场武器库构建程序被所述处理器执行时,实现如上述的基于开源情报分析的网络靶场武器库构建方法。
第四方面,本发明提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序可被一个或多个处理器执行,以实现如上述的基于开源情报分析的网络靶场武器库构建方法。
本发明提供的上述一个或多个技术方案,可以具有如下优点或至少实现了如下技术效果:
本发明提出的一种基于开源情报分析的网络靶场武器库构建方法,通过获取开源情报数据,根据开源情报数据,构建领域本体,再基于开源情报数据抽取与领域本体对应的数据信息,获得知识库实体,然后根据领域本体和知识库实体,构建武器知识图谱,得到网络靶场武器库,实现了自顶而下构建知识图谱数据库的目的。本发明先构建模式层的领域本体,再构建数据层的知识库实体,最后构建得到武器知识图谱,从而得到网络靶场武器库,构建方法简单且效率较高,可充分利用开源情报数据获取大量知识,拥有整合多源异构数据的优势;利用该方法得到的网络靶场武器库,能有效提高信息检索效率,为网络靶场攻防演练知识共享提供新范式。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的这些附图获得其他的附图。
图1为本发明基于开源情报分析的网络靶场武器库构建方法第一实施例的流程示意图;
图2为本发明涉及的基于开源情报分析的网络靶场武器库构建设备的硬件结构示意图;
图3为本发明基于开源情报分析的网络靶场武器库构建方法第二实施例的步骤S220中关系图的示意图;
图4为本发明基于开源情报分析的网络靶场武器库构建方法第二实施例的步骤S240中领域本体的示意图;
图5为本发明基于开源情报分析的网络靶场武器库构建方法第二实施例的步骤S330中进行实例化的示意图;
图6为本发明基于开源情报分析的网络靶场武器库构建方法第二实施例的步骤S334中知识库实体的示意图;
图7为本发明基于开源情报分析的网络靶场武器库构建方法第二实施例的步骤S420中武器知识图谱的示意图;
图8为本发明基于开源情报分析的网络靶场武器库构建方法第二实施例的信息查询试验的试验结果对比图;
图9为本发明基于开源情报分析的网络靶场武器库构建装置第一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明,在本发明中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。另外,在本发明中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。另外,各个实施例的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时,应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
对现有技术的分析发现,近年来,全球范围内的网络安全事件呈现复杂化趋势,新式的网络攻击技术和工具不断涌现。提高公众的网络安全意识并培训从业人员的专业技能,科普最新的攻击技术工具及其伴生的潜在威胁是应对网络攻击的第一道防线。
网络靶场是一种支持构建虚拟或物理的演习环境,进行网络武器装备试验和攻防对抗演练的技术或产品。基于网络靶场进行网络安全演练一般有多个不同团队参与,其中,与攻防演练密切相关的团队至少包括三个,第一团队主要负责构建演练模拟环境并部署靶标,第二团队主要负责利用网络攻击武器对靶标中的漏洞进行攻击,第三团队主要负责保护靶标免遭攻击侵害。三者是网络安全演练过程中的重要组成部分,对新兴攻击手段的复盘与应对具有启发式的作用。
目前,基于网络靶场进行网络安全演练时,使用的网络攻击武器及其描述,一般以附件或代码的形式随着漏洞披露发布至安全社区论坛、漏洞库等,而这些信息大多呈半结构化或非结构化的文本形式孤立存在。因此,网络攻击武器具有数据量大、分布范围广、数据样式不一的特点。基于此,第二团队需要耗费大量的精力和时间阅读文本数据,进行收集、整理和维护网络靶场武器库。这种构建网络靶场武器库的方法存在效率较低的问题,并且,利用该方法得到的网络靶场武器库后期维护困难,很难利用实体关系辅助决断。
鉴于现有技术中的网络靶场武器库构建方法存在效率较低的技术问题,本发明提供了一种基于开源情报分析的网络靶场武器库构建方法,总体思路如下:
获取开源情报数据;根据所述开源情报数据,构建领域本体;基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体;根据所述领域本体和所述知识库实体,构建武器知识图谱;根据所述武器知识图谱,得到网络靶场武器库。
通过上述技术方案,实现了自顶而下构建知识图谱数据库的目的。本发明先构建模式层的领域本体,再构建数据层的知识库实体,最后构建得到武器知识图谱,从而得到网络靶场武器库,构建方法简单且效率较高,可充分利用开源情报数据获取大量知识,拥有整合多源异构数据的优势;利用该方法得到的网络靶场武器库,能有效提高信息检索效率,为网络靶场攻防演练知识共享提供新范式。
下面结合附图,通过具体的实施例和实施方式对本发明提供的一种基于开源情报分析的网络靶场武器库构建方法进行详细说明。
实施例一
参照图1的流程示意图,提出本发明基于开源情报分析的网络靶场武器库构建方法的第一实施例,该方法应用于基于开源情报分析的网络靶场武器库构建设备。所述设备是指能够实现网络连接的终端设备或网络设备,所述设备可以是手机、电脑、平板电脑、嵌入式工控机等终端设备,也可以是服务器、云平台等网络设备。
如图2所示,为基于开源情报分析的网络靶场武器库构建设备的硬件结构示意图。所述设备可以包括:处理器1001,例如CPU(Central Processing Unit,中央处理器),通信总线1002,用户接口1003,网络接口1004,存储器1005。
本领域技术人员可以理解,图2中示出的硬件结构并不构成对本发明基于开源情报分析的网络靶场武器库构建设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
具体的,通信总线1002用于实现这些组件之间的连接通信;
用户接口1003用于连接客户端,与客户端进行数据通信,用户接口1003可以包括输出单元,如显示屏、输入单元,如键盘,可选的,用户接口1003还可以包括其他输入/输出接口,比如标准的有线接口、无线接口;
网络接口1004用于连接后台服务器,与后台服务器进行数据通信,网络接口1004可以包括输入/输出接口,比如标准的有线接口、无线接口,如Wi-Fi接口;
存储器1005用于存储各种类型的数据,这些数据例如可以包括该基于开源情报分析的网络靶场武器库构建设备中任何应用程序或方法的指令,以及应用程序相关的数据,存储器1005可以是高速RAM存储器,也可以是稳定的存储器,例如磁盘存储器,可选的,存储器1005还可以是独立于所述处理器1001的存储装置;
具体的,继续参照图2,存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络靶场武器库构建程序,其中,网络通信模块主要用于连接服务器,与服务器进行数据通信;
处理器1001用于调用存储器1005中存储的网络靶场武器库构建程序,并执行以下操作:
获取开源情报数据;
根据所述开源情报数据,构建领域本体;
基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体;
根据所述领域本体和所述知识库实体,构建武器知识图谱;
根据所述武器知识图谱,得到网络靶场武器库。
基于上述的基于开源情报分析的网络靶场武器库构建设备,下面结合图1所示的流程示意图,对本实施例的基于开源情报分析的网络靶场武器库构建方法进行详细描述。所述方法可以包括以下步骤:
步骤S100:获取开源情报数据。
具体的,开源情报数据包括各种网络安全数据,比如,漏洞、攻击工具、软件弱点等等数据,这些数据可以是从已知开源数据库中获取,比如,从NVD(National VulnerabilityDatabase,漏洞数据库)、CPE(Common Platform Enumeration,通用平台枚举)、CWE(CommonWeakness Enumeration,通用弱点枚举)等等开源情报知识库中获取。
步骤S200:根据所述开源情报数据,构建领域本体。
具体的,本体是概念(类)的集合,是数据库的模式层;基于本实施例要构建的网络靶场武器库,在网络靶场环境中,采用自顶而下的构建方式,在获取到开源情报数据后,先构建模式层的领域本体。其中,领域本体中定义了多个子本体、各子本体之间的关系以及各子本体的属性。
步骤S300:基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体。
具体的,在构建领域本体之后,再根据开源情报数据,进行数据抽取,基于领域本体中定义的子本体、子本体之间的关系和子本体的属性,对应地在开源情报数据中进行实体抽取、属性抽取和关系抽取,得到一个或多个实例,这些实例及其属性以及相互之间的关系便可构成一子实体;遍历开源情报数据,可得到多个子实体,这些子实体便构成知识库实体,也就是要构建的网络靶场武器库的数据层的数据。
步骤S400:根据所述领域本体和所述知识库实体,构建武器知识图谱。
具体的,在获得模式层的领域本体和数据层的知识库实体后,可根据领域本体中定义的各子本体之间的关系得到知识库实体中个子实体的关系,便可绘制结构图,构建知识图谱,即得到武器知识图谱。网络靶场攻防演练需要网络靶场武器库提供大数据分析支持,而知识图谱能有效整合多源异构数据,因此,先构建武器知识图谱,以便得到基于知识图谱的网络靶场武器库。
步骤S500:根据所述武器知识图谱,得到网络靶场武器库。
具体的,在构建得到武器知识图谱后,可对该图进行存储和可视化展示,比如,存储在网络靶场,展示到用户界面等等,从而得到基于知识图谱的网络靶场武器库。具体可以使用Neo4j图数据库进行知识的存储和可视化实现。优选地,还可以对武器知识图谱进行质量评估,待质量评估通过后再进行存储和可视化展示。
本实施例提供的基于开源情报分析的网络靶场武器库构建方法,通过获取开源情报数据,根据开源情报数据,构建领域本体,再基于开源情报数据抽取与领域本体对应的数据信息,获得知识库实体,然后根据领域本体和知识库实体,构建武器知识图谱,得到网络靶场武器库,实现了自顶而下构建知识图谱数据库的目的。本发明先构建模式层的领域本体,再构建数据层的知识库实体,最后构建得到武器知识图谱,从而得到网络靶场武器库,构建方法简单且效率较高,可充分利用开源情报数据获取大量知识,拥有整合多源异构数据的优势;利用该方法得到的网络靶场武器库,能有效提高信息检索效率,为网络靶场攻防演练知识共享提供新范式。
实施例二
基于同一发明构思,在实施例一的基础上,提出本发明基于开源情报分析的网络靶场武器库构建方法的第二实施例,该方法同样应用于基于开源情报分析的网络靶场武器库构建设备。下面对本实施例的基于开源情报分析的网络靶场武器库构建方法进行详细描述。所述方法可以包括以下步骤:
步骤S100:获取开源情报数据。
进一步地,步骤S100可以包括:
步骤S110:通过开源情报知识库获取开源情报数据;其中,所述开源情报知识库包括漏洞数据库、通用漏洞与披露、通用平台枚举、通用弱点枚举和漏洞利用数据库中的至少一种。
开源情报(OSINT)是网络安全威胁情报的重要来源,也是网络靶场武器库的首要知识来源。虽然在网络安全方面已经提出了相关的开源情报共享标准,例如STIX2.1,但是基于该标准的文本信息数量匮乏,大多是基于自然语言的文本。再加上网络安全方面的语料库质量很低且十分匮乏,使得基于自然语言分析抽取知识十分困难。因此,不能任意选择在网络安全方面使用的开源情报来构建网络靶场武器库。
基于此,本实施例中,采用NVD(National Vulnerability Database,漏洞数据库)、CVE(Common Vulnerabilities&Exposures,通用漏洞与披露)、CPE(Common PlatformEnumeration,通用平台枚举)、CWE(Common Weakness Enumeration,通用弱点枚举)、Exploit-db(Exploit Database,漏洞利用数据库)等开源情报知识库。其中,NVD、CVE是漏洞实例的来源,NVD中记录了漏洞的属性和相关的实例信息,例如该漏洞影响的基础设施、该漏洞拥有的弱点等。CVE用于识别、定义、编码每一个已经披露的安全漏洞,并提供每个漏洞的一致性描述。NVD是一个大型的漏洞管理数据存储库,在CVE编号的基础上提供了更多外部信息的关联,例如涉及弱点、受影响的软件、超链接等。CPE和NVD中使用URI对基础设施进行编码,用于唯一标识。CWE是基于社群开发创建的基础设施弱点列表,CWE包含了弱点的属性信息,以及潜在的缓解措施。exploit-db是一个专业的漏洞披露知识库,其中包含了大量漏洞可以利用的恶意软件和恶意代码。这些开源情报知识库区别于存在前述缺陷的网络安全开源情报知识库,具有针对网络靶场进行攻防演练的特定场景,包含更适合该场景使用的攻防演练工具的优点。
利用上述知识库足以获取得到信息完备、准确的开源情报数据。在漏洞、威胁情报等方面定义了良好的开源情报数据,目前尚未有人基于这些开源情报知识库来构建网络靶场武器库。
步骤S200:根据所述开源情报数据,构建领域本体。
专业领域知识图谱的构建依赖于相关领域的知识体系和专家经验,构建知识图谱时,从模式层出发,构建专业领域本体,再用其捕获该领域的知识。现有技术中虽然提出了一些基于本体构建网络安全知识图谱的方法,比如,整合来自不同网络安全系统的异构数据和本体模式,构建统一网络安全本体(UCO)的方法;结合STIX对UCO进行了改进,提出UCO2.0的方法;定义漏洞、资产、软件、操作系统和攻击等五种实体类型,从网络安全知识库构建知识图谱的方法;以及定义六类威胁情报领域本体,并额外定义36种原子本体,直接实例化知识图谱中的实体,对网络威胁情报进行分析的方法等等。这些方法存在的问题是,提出的本体细粒度极高,过分依赖专家经验,难以对大数据进行应用分析。因此,无法直接利用现有技术中的本体来构建网络靶场武器知识图谱。
本实施例中,通过分析开源情报数据,结合网络攻击工具的属性,自行构建适合网络靶场进行攻防演练场景的规范化的语义框架,即领域本体,用来构建网络靶场武器库的武器知识图谱,该领域本体区别于现有本体,不需要依赖专家经验,拥有精简领域概念和减少术语分歧的作用。
进一步地,步骤S200可以包括:
步骤S210:根据所述开源情报数据,确定子本体类型及其定义;其中,所述子本体类型包括至少两种,具体可以包括恶意软件、漏洞、基础设施、弱点和行动方针中的至少两种。
通过领域本体可以定义与描述网络靶场武器库中的实体概念、关系和属性,要构建领域本体,需要先定义子本体类型。本实施例中,根据步骤S110中通过五种开源情报知识库获取到的开源情报数据,结合攻击模式,确定出五种子本体类型,并将行动方针单独罗列成为一类子本体,也就是得到恶意软件、漏洞、基础设施、弱点和行动方针等五种子本体类型。这五类子本体类型的定义为:
恶意软件(Malware):可被用以执行网络攻击的工具或代码,会对基础设施的保密性、完整性或可用性造成破坏;
漏洞(Vulnerability):存在于基础设施中,因设计或实现的不完善而形成的缺陷,可使用恶意软件对其进行利用;
基础设施(Infrastructure):软件、操作系统等受漏洞和恶意软件影响的资源;
弱点(Weakness):由CWE定义,对基础设施存在的漏洞进行基于弱点的标识和分类;
行动方针(Course of Action):对潜在的攻击行为的预防方案以及对正在进行的攻击行为的应对方案。
步骤S220:根据所述子本体类型及其定义,构建所述子本体类型之间的关系图。
根据恶意软件、漏洞、基础设施、弱点和行动方针这五种子本体类型及其定义,构建子本体类型之间的关系图。关系包括应对、利用、拥有、缓解、补救等等网络攻击演练中不同对象之间可能存在的关系,具体根据实际设置的子本体类型确定。本实施例中,如图3所示为构建得到的关系图的示意图。
步骤S230:根据所述开源情报数据,确定所述关系图中各子本体类型的属性。
为了区别同一类子本体类型中的不同子本体,通过定义其属性的方式区别,而针对不同子本体类型,可以基于该子本体类型的常规数据信息或者在开源情报数据中的数据信息来定义其属性,具体定义属性的类别。比如,可以定义恶意软件的属性包括名字、测试平台、超链接等等。
本实施例中,根据确定的五种子本体类型及其相互之间存在的关系,得到如下表1所示的属性:
表1
在实际应用中,可以根据实际情况设定子本体类型,对应的也可以根据实际情况设定子本体类型的属性。
步骤S240:根据所述子本体类型、所述关系图和所述关系图中各子本体类型的属性,构建语义模型,获得领域本体。
构建网络靶场武器库模式层的本体结构,用于形式化规范网络攻击工具的描述、属性和关系。语义模型是在关系的基础上增加全新的数据构造器和数据处理原语,用来表达复杂的结构和丰富的语义的一类新的数据模型。本实施例中,结合上述表1中的子本体类型和各子本体类型的属性,在各子本体类型的关系图的基础上,构建语义模型,即可得到领域本体,该领域本体包括本体信息与本体之间的关系。
本实施例中,选取基础设施、漏洞和恶意软件这三类具有代表性的子本体类型为例进行具体说明。如图4所示为本实施例中获得的领域本体的示意图。可以看出,该领域本体包含了基础设施、漏洞和恶意软件等子本体类型,包含了拥有、利用和目标等关系构建的关系图,以及基础设施的属性,即经销商和版本、漏洞的属性,即发布日期和恶意软件的属性,即发布日期和测试平台。
步骤S300:基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体。
进一步地,步骤S300可以包括:
步骤S310:根据所述开源情报数据,编写Python脚本;
步骤S320:通过所述Python脚本,在所述开源情报数据中获取半结构化文本数据;
步骤S330:根据所述文本数据,对所述领域本体进行实例化,获得知识库实体。
通过编写python脚本,比如编写对应的目标函数,可根据实际情况编写函数。通过编写的函数,从开源情报数据中抽取一份或多份半结构化文本数据,依次进行分析,对领域本体进行实例化。本实施例中,具体从NVD、CVE、CWE、CPE和/或exploit-db中获取半结构化文本数据,如图5所示为本实施例进行实例化的示意图,图5(a)为从NVD中获取的文本数据,图5(b)为抽取得到的实例及其属性。由图5可看出,获取半结构化文本数据后,从该文本数据中抽取具体实例和实例的名字、描述等属性值。然后,还可以基于该实例及其属性,获取该实例的相关实例,其中,获取到相关实例等同于获取到该实例与相关实例的关系,最后根据该实例及其属性,以及与相关实例的关系来构建子实体。遍历开源情报数据后,可获得一个或多个子实体,从而构成包含子实体的知识库实体。
更进一步地,步骤S330可以包括:
步骤S331:对所述文本数据进行实体抽取和属性抽取,得到实例和所述实例的属性。
本实施例中,结合图5所示的示意图,如图5(a)所示为获取到的半结构化文本数据,进行实例化时,需要对其进行数据抽取,本实施例中先对其进行实体抽取和属性抽取,通过抽取可以得到如图5(b)所示的漏洞CVF-2021-3730实例及其属性,包括ID(图中<id>)、数据(date)、描述(description)、链接(link)和名称(name)等属性。
步骤S332:根据所述领域本体,匹配所述实例的相关实例,得到所述实例与所述相关实例之间的关系;所述相关实例为与所述实例属同一所述文本数据的其他实例。
在得到实例和实例的属性后,该文本数据中可能还包含有其他实例,如果两个实例同时出现在一组半结构化数据中,那么它们之间的关系即为领域本体中对应子本体之间定义的关系。以漏洞为例,在得到漏洞实例后,若图5(a)的文本数据中还包含有基础设施、弱点等实例(图中未示出),那么这些实例都为该漏洞实例的相关实例,对应地,在领域本体中已经定义漏洞分别与基础设施、弱点等相关实例的关系的情况下,可以直接确定该漏洞实例与相关实例的关系,从而可得到该漏洞实例与其所有相关实例之间的关系(图中未示出)。
步骤S333:根据所述实例、所述实例的属性、以及所述实例与所述相关实例之间的关系,确定子实体。
根据获取到的漏洞实例、漏洞实例的属性以及该漏洞实例分别与基础设施、弱点等相关实例之间的关系,可以确定一子实体。本实施例中,假设获取到的漏洞实例为CVE-2021-43617,该漏洞实例的属性为发布日期2021年11月14日,该漏洞实例与基础设施的关系为基础设施拥有漏洞,与弱点的关系为漏洞拥有弱点,从而可以构建得到以该漏洞实例为中心的子实体。以图结构展示的话,便是由表示漏洞实例本身的方框、两侧表示关系的箭头线条、表示发布日期属性的椭圆构成的图结构。
步骤S334:遍历所述开源情报数据,得到知识库实体;所述知识库实体包括至少一个子实体。
由于开源情报数据具有多源异构的特点,需要对开源情报数据进行更全面的数据抽取,通过迭代方法遍历该开源情报数据,得到一个或多个子实体,这些子实体构成的集合便是知识库实体。本实施例中,假设得到三个子实体,分别为基础设施Laravel Framework、漏洞CVE-2021-43617和恶意软件XSS to CSRF,便可得到如图6所示的知识库实体的示意图。
步骤S400:根据所述领域本体和所述知识库实体,构建武器知识图谱。
知识库实体是子实体的集合,其中并不包含子实体之间的关系,因此,在构建足够全面的知识图谱时,还需要确认各子实体之间的关系,以便更好地嵌入图结构,构建知识图谱。
进一步地,步骤S400可以包括:
步骤S410:根据所述领域本体,确定所述知识库实体中各子实体之间的关系;
步骤S420:根据所述知识库实体以及所述知识库实体中各子实体之间的关系,构建图结构,得到武器知识图谱。
本实施例中,根据已获得的领域本体,也就是图4所示的领域本体,可确定图6所示的知识库实体即三个子实体之间的关系,构建图结构,具体可以通过编写Python代码定义规范,在Neo4J平台上实现领域本体到图数据库实例实现的映射,得到如图7所示的武器知识图谱的示意图。
知识图谱使用图形的形式存储实体和它们之间的关系,相较于传统的关系型数据库,其查询的手段更加便捷、查询效率更高、可视化实现更加方便。依赖于其灵活的图结构,图谱中的数据也便于修改和更新。
步骤S500:根据所述武器知识图谱,得到网络靶场武器库。
进一步地,步骤S500可以包括:
步骤S510:对所述武器知识图谱进行质量评估。
质量评估包括评估武器知识图谱是否完整表述了知识库现有的实体类型、属性及关系。评估方式可以是人为评估,也可以是利用判别模型等深度学习模型进行质量评估,此处不再赘述。
步骤S520:若评估通过,则对所述武器知识图谱进行可视化展示和存储,得到网络靶场武器库。
评估通过,说明该武器知识图谱足够完整,可以投入使用。具体可以对该武器知识图谱进行存储,以及可视化展示,方便用户后续调用,以及更直观地知晓武器库中的数据结构。
步骤S530:若评估不通过,则返回所述根据所述开源情报构建领域本体的步骤,直到评估通过。
评估不通过,说明前述步骤可能存在误差,或者抽取数据不完整等情况,则可以返回步骤S200重新构建领域本体以及后续工作,直到评估通过得到最终网络靶场武器库。在实际应用中,也可以直接在评估不通过时,结束流程,无需返回,可方便用户及时确认问题,并解决问题。
通过本实施例的方法,也就是按照模式层构建、数据层知识抽取、数据层存储的流程自顶向下构建网络靶场武器库,将得到的武器库应用到具体的网络安全演练中,参与的团队使用不同的颜色进行标识,包括白方、红方和蓝方。白方负责构建演练模拟环境并部署靶标,红方负责利用网络攻击武器对靶标中的漏洞进行利用,蓝方负责保护靶标免遭攻击侵害。
假设当前需要对一漏洞进行攻防演练,则红方可以从武器库中获取到可利用该漏洞的恶意软件和相关信息。工具和代码通过local(本体储存地址)获得,红方还可以获取受影响的基础设施列表,以筛选靶标实施攻防演练。该武器库除了为红方提供知识外,白方和蓝方也可以从中获益,例如,白方可以从拥有该漏洞的基础设施的列表中选取搭建靶标环境,蓝方也可以分析相关弱点和行动方针来确定应对方案。可见,通过本实施例的方法构建得到的武器库利用率较高,且包含的知识较全面。
为了更好地验证本实施例的方法的效果,采用定量和定性的方法对得到的武器库进行比对分析。
在信息查询效率方面,设计了三个对比试验:
试验1:利用本实施例的方法对武器库相关信息进行检索;
试验2:在未构建武器库的前提下,通过信息库官网的搜索引擎对信息进行检索;
实验3:在未构建武器库的前提下,通过编写python函数对下载的半结构化数据进行检索;
得到如图8所示的信息查询试验的试验结果对比图,图中,横轴表示时间,竖轴分别表示具体的查询信息。
由图8可以看出,由于方法2采用HTTP请求方式对远程数据库进行检索,影响的主要因素是网络延迟和网站后端检索实现,并且在没有网络的情况下难以实施;方法3可以离线进行,但是其效率受限于文件解析速率和检索实现速率;但方法1,也就是本实施例得到的武器库进行信息检索的方法,不仅在查询效率上优于人工检索方法,还提供了可视化能力和关联分析能力,为专业人员和非专业人员提供大数据分析支持。因此,可以看出,本实施例的方法构建得到的网络靶场武器库,确实能有效提高信息检索效率,为网络靶场攻防演练知识共享提供新范式。
本实施例提供的基于开源情报分析的网络靶场武器库构建方法,从网络安全的开源情报数据出发,基于其数据特征与格式,提出了一种自顶而下的基于开源情报分析的网络靶场武器库构建方法。依次进行开源情报数据的获取、本体规范化知识组织结构的构建、网络靶场武器库相关实例和属性的抽取,以及使用Neo4j图数据库进行知识的存储和可视化实现。
实施例三
基于同一发明构思,参照图9,提出本发明基于开源情报分析的网络靶场武器库构建装置的第一实施例,该装置可以为虚拟装置,应用于基于开源情报分析的网络靶场武器库构建设备。
下面结合图9所示的功能模块示意图,对本实施例提供的基于开源情报分析的网络靶场武器库构建装置进行详细描述,所述装置可以包括:
数据获取模块,用于获取开源情报数据;
本体构建模块,用于根据所述开源情报数据,构建领域本体;
数据抽取模块,用于基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体;
图谱构建模块,用于根据所述领域本体和所述知识库实体,构建武器知识图谱;
数据库获取模块,用于根据所述武器知识图谱,得到网络靶场武器库。
进一步地,数据获取模块可以包括:
数据获取单元,用于通过开源情报知识库获取开源情报数据;其中,所述开源情报知识库包括漏洞数据库、通用漏洞与披露、通用平台枚举、通用弱点枚举和漏洞利用数据库中的至少一种。
进一步地,本体构建模块可以包括:
子本体类型定义单元,用于根据所述开源情报数据,确定子本体类型及其定义;其中,所述子本体类型包括至少两种;
关系图构建单元,用于根据所述子本体类型及其定义,构建所述子本体类型之间的关系图;
属性确定单元,用于根据所述开源情报数据,确定所述关系图中各子本体类型的属性;
模型构建单元,用于根据所述子本体类型、所述关系图和所述关系图中各子本体类型的属性,构建语义模型,获得领域本体。
进一步地,数据抽取模块可以包括:
脚本编写单元,用于根据所述开源情报数据,编写Python脚本;
文本获取单元,用于通过所述Python脚本,在所述开源情报数据中获取半结构化文本数据;
实例化单元,用于根据所述文本数据,对所述领域本体进行实例化,获得知识库实体。
更进一步地,实例化单元具体可以用于:
对所述文本数据进行实体抽取和属性抽取,得到实例和所述实例的属性;
根据所述领域本体,匹配所述实例的相关实例,得到所述实例与所述相关实例之间的关系;所述相关实例为与所述实例属同一所述文本数据的其他实例;
根据所述实例、所述实例的属性、以及所述实例与所述相关实例之间的关系,确定子实体;
遍历所述开源情报数据,得到知识库实体;所述知识库实体包括至少一个子实体。
进一步地,图谱构建模块可以包括:
关系确定单元,用于根据所述领域本体,确定所述知识库实体中各子实体之间的关系;
知识图谱构建单元,用于根据所述知识库实体以及所述知识库实体中各子实体之间的关系,构建图结构,得到武器知识图谱。
进一步地,数据库获取模块具体可以用于:
质量评估单元,用于对所述武器知识图谱进行质量评估;
可视化展示单元,用于若评估通过,则对所述武器知识图谱进行可视化展示和存储,得到网络靶场武器库;
循环单元,用于若评估不通过,则返回所述根据所述开源情报构建领域本体的步骤,直到评估通过。
需要说明,本实施例提供的基于开源情报分析的网络靶场武器库构建装置中各个模块可实现的功能和对应达到的技术效果可以参照本发明基于开源情报分析的网络靶场武器库构建方法各个实施例中具体实施方式的描述,为了说明书的简洁,此处不再赘述。
实施例四
基于同一发明构思,参照图2,为本发明各实施例涉及的基于开源情报分析的网络靶场武器库构建设备的硬件结构示意图。本实施例提供了一种基于开源情报分析的网络靶场武器库构建设备,所述设备可以包括处理器和存储器,所述存储器中存储有网络靶场武器库构建程序,所述网络靶场武器库构建程序被所述处理器执行时,实现本发明基于开源情报分析的网络靶场武器库构建方法各个实施例的全部或部分步骤。所述基于开源情报分析的网络靶场武器库构建设备是指能够实现网络连接的终端设备或网络设备,可以是手机、电脑、平板电脑、便携计算机等终端设备,也可以是服务器、云平台等网络设备。
可以理解,所述基于开源情报分析的网络靶场武器库构建设备还可以包括通信总线,用户接口和网络接口。
其中,通信总线用于实现这些组件之间的连接通信。
用户接口用于连接客户端,与客户端进行数据通信,用户接口可以包括输出单元,如显示屏、输入单元,如键盘,可选的,用户接口还可以包括其他输入/输出接口,比如标准的有线接口、无线接口。
网络接口用于连接后台服务器,与后台服务器进行数据通信,网络接口可以包括输入/输出接口,比如标准的有线接口、无线接口,如Wi-Fi接口。
存储器用于存储各种类型的数据,这些数据例如可以包括该基于开源情报分析的网络靶场武器库构建设备中任何应用程序或方法的指令,以及应用程序相关的数据。存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),随机存取存储器(Random AccessMemory,简称RAM),电可擦除可编程只读存储器(Electrically Erasable ProgrammableRead-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable ProgrammableRead-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘,可选的,存储器还可以是独立于所述处理器的存储装置。
处理器用于调用存储器中存储的网络靶场武器库构建程序,并执行如上述的基于开源情报分析的网络靶场武器库构建方法,处理器可以是专用集成电路(ApplicationSpecific Integrated Circuit,简称ASIC)、数字信号处理器(Digital SignalProcessor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件,用于执行如上述基于开源情报分析的网络靶场武器库构建方法各个实施例的全部或部分步骤。
实施例五
基于同一发明构思,本实施例提供了一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、磁性存储器、磁盘、光盘、服务器等等,所述存储介质上存储有计算机程序,所述计算机程序可被一个或多个处理器执行,所述计算机程序被处理器执行时可以实现本发明基于开源情报分析的网络靶场武器库构建方法各个实施例的全部或部分步骤。
需要说明,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上所述仅为本发明的可选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均包括在本发明的专利保护范围内。
Claims (7)
1.一种基于开源情报分析的网络靶场武器库构建方法,其特征在于,所述方法包括:
获取开源情报数据;
根据所述开源情报数据,构建领域本体;
基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体;
根据所述领域本体和所述知识库实体,构建武器知识图谱;
根据所述武器知识图谱,得到网络靶场武器库;
所述根据所述开源情报数据,构建领域本体的步骤,具体包括:
根据所述开源情报数据,确定子本体类型及其定义;其中,所述子本体类型包括至少两种;
根据所述子本体类型及其定义,构建所述子本体类型之间的关系图;
根据所述开源情报数据,确定所述关系图中各子本体类型的属性;
根据所述子本体类型、所述关系图和所述关系图中各子本体类型的属性,构建语义模型,获得领域本体;
所述基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体的步骤,具体包括:
根据所述开源情报数据,编写Python脚本;
通过所述Python脚本,在所述开源情报数据中获取半结构化文本数据;
根据所述文本数据,对所述领域本体进行实例化,获得知识库实体;
其中,所述根据所述文本数据,对所述领域本体进行实例化,获得知识库实体的步骤,具体包括:
对所述文本数据进行实体抽取和属性抽取,得到实例和所述实例的属性;
根据所述领域本体,匹配所述实例的相关实例,得到所述实例与所述相关实例之间的关系;所述相关实例为与所述实例属同一所述文本数据的其他实例;
根据所述实例、所述实例的属性、以及所述实例与所述相关实例之间的关系,确定子实体;
遍历所述开源情报数据,得到知识库实体;所述知识库实体包括至少一个子实体。
2.如权利要求1所述的基于开源情报分析的网络靶场武器库构建方法,其特征在于,所述获取开源情报数据的步骤,具体包括:
通过开源情报知识库获取开源情报数据;其中,所述开源情报知识库包括漏洞数据库、通用漏洞与披露、通用平台枚举、通用弱点枚举和漏洞利用数据库中的至少一种。
3.如权利要求1所述的基于开源情报分析的网络靶场武器库构建方法,其特征在于,所述根据所述领域本体和所述知识库实体,构建武器知识图谱的步骤,具体包括:
根据所述领域本体,确定所述知识库实体中各子实体之间的关系;
根据所述知识库实体以及所述知识库实体中各子实体之间的关系,构建图结构,得到武器知识图谱。
4.如权利要求1所述的基于开源情报分析的网络靶场武器库构建方法,其特征在于,所述根据所述武器知识图谱,得到网络靶场武器库的步骤,具体包括:
对所述武器知识图谱进行质量评估;
若评估通过,则对所述武器知识图谱进行可视化展示和存储,得到网络靶场武器库;
若评估不通过,则返回所述根据所述开源情报构建领域本体的步骤,直到评估通过。
5.一种基于开源情报分析的网络靶场武器库构建装置,其特征在于,所述装置包括:
数据获取模块,用于获取开源情报数据;
本体构建模块,用于根据所述开源情报数据,构建领域本体;
数据抽取模块,用于基于所述开源情报数据抽取与所述领域本体对应的数据信息,获得知识库实体;
图谱构建模块,用于根据所述领域本体和所述知识库实体,构建武器知识图谱;
数据库获取模块,用于根据所述武器知识图谱,得到网络靶场武器库;
所述本体构建模块包括:
子本体类型定义单元,用于根据所述开源情报数据,确定子本体类型及其定义;其中,所述子本体类型包括至少两种;
关系图构建单元,用于根据所述子本体类型及其定义,构建所述子本体类型之间的关系图;
属性确定单元,用于根据所述开源情报数据,确定所述关系图中各子本体类型的属性;
模型构建单元,用于根据所述子本体类型、所述关系图和所述关系图中各子本体类型的属性,构建语义模型,获得领域本体;
所述数据抽取模块包括:
脚本编写单元,用于根据所述开源情报数据,编写Python脚本;
文本获取单元,用于通过所述Python脚本,在所述开源情报数据中获取半结构化文本数据;
实例化单元,用于根据所述文本数据,对所述领域本体进行实例化,获得知识库实体;
其中,所述实例化单元具体用于:
对所述文本数据进行实体抽取和属性抽取,得到实例和所述实例的属性;
根据所述领域本体,匹配所述实例的相关实例,得到所述实例与所述相关实例之间的关系;所述相关实例为与所述实例属同一所述文本数据的其他实例;
根据所述实例、所述实例的属性、以及所述实例与所述相关实例之间的关系,确定子实体;
遍历所述开源情报数据,得到知识库实体;所述知识库实体包括至少一个子实体。
6.一种基于开源情报分析的网络靶场武器库构建设备,其特征在于,所述设备包括处理器和存储器,所述存储器上存储有网络靶场武器库构建程序,所述网络靶场武器库构建程序被所述处理器执行时,实现如权利要求1至4中任一项所述的基于开源情报分析的网络靶场武器库构建方法。
7.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序可被一个或多个处理器执行,以实现如权利要求1至4中任一项所述的基于开源情报分析的网络靶场武器库构建方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210238984.1A CN114579765B (zh) | 2022-03-07 | 2022-03-07 | 一种基于开源情报分析的网络靶场武器库构建方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210238984.1A CN114579765B (zh) | 2022-03-07 | 2022-03-07 | 一种基于开源情报分析的网络靶场武器库构建方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114579765A CN114579765A (zh) | 2022-06-03 |
| CN114579765B true CN114579765B (zh) | 2023-08-15 |
Family
ID=81775555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210238984.1A Active CN114579765B (zh) | 2022-03-07 | 2022-03-07 | 一种基于开源情报分析的网络靶场武器库构建方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114579765B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296924B (zh) * | 2022-09-22 | 2023-01-31 | 中国电子科技集团公司第三十研究所 | 一种基于知识图谱的网络攻击预测方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108694177A (zh) * | 2017-04-06 | 2018-10-23 | 北大方正集团有限公司 | 知识图谱构建方法及系统 |
| CN110162980A (zh) * | 2019-05-31 | 2019-08-23 | 上交所技术有限责任公司 | 一种软件开发过程中一站式安全测试和管理的方法 |
| CN110717049A (zh) * | 2019-08-29 | 2020-01-21 | 四川大学 | 一种面向文本数据的威胁情报知识图谱构建方法 |
| CN111163086A (zh) * | 2019-12-27 | 2020-05-15 | 北京工业大学 | 一种多源异构的网络安全知识图谱构建与应用方法 |
| CN111597353A (zh) * | 2020-05-18 | 2020-08-28 | 中国人民解放军国防科技大学 | 网络空间威胁知识抽取方法和装置 |
| CN112131882A (zh) * | 2020-09-30 | 2020-12-25 | 绿盟科技集团股份有限公司 | 一种多源异构网络安全知识图谱构建方法及装置 |
| CN113076396A (zh) * | 2021-03-29 | 2021-07-06 | 中国医学科学院医学信息研究所 | 一种面向人机协同的实体关系处理方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11003716B2 (en) * | 2017-01-10 | 2021-05-11 | International Business Machines Corporation | Discovery, characterization, and analysis of interpersonal relationships extracted from unstructured text data |
| US20180232443A1 (en) * | 2017-02-16 | 2018-08-16 | Globality, Inc. | Intelligent matching system with ontology-aided relation extraction |
| US20210042344A1 (en) * | 2019-08-06 | 2021-02-11 | Koninklijke Philips N.V. | Generating or modifying an ontology representing relationships within input data |
| CN115827895A (zh) * | 2022-12-12 | 2023-03-21 | 绿盟科技集团股份有限公司 | 一种漏洞知识图谱处理方法、装置、设备及介质 |
-
2022
- 2022-03-07 CN CN202210238984.1A patent/CN114579765B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108694177A (zh) * | 2017-04-06 | 2018-10-23 | 北大方正集团有限公司 | 知识图谱构建方法及系统 |
| CN110162980A (zh) * | 2019-05-31 | 2019-08-23 | 上交所技术有限责任公司 | 一种软件开发过程中一站式安全测试和管理的方法 |
| CN110717049A (zh) * | 2019-08-29 | 2020-01-21 | 四川大学 | 一种面向文本数据的威胁情报知识图谱构建方法 |
| CN111163086A (zh) * | 2019-12-27 | 2020-05-15 | 北京工业大学 | 一种多源异构的网络安全知识图谱构建与应用方法 |
| CN111597353A (zh) * | 2020-05-18 | 2020-08-28 | 中国人民解放军国防科技大学 | 网络空间威胁知识抽取方法和装置 |
| CN112131882A (zh) * | 2020-09-30 | 2020-12-25 | 绿盟科技集团股份有限公司 | 一种多源异构网络安全知识图谱构建方法及装置 |
| CN113076396A (zh) * | 2021-03-29 | 2021-07-06 | 中国医学科学院医学信息研究所 | 一种面向人机协同的实体关系处理方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于知识图谱的网络靶场武器库构建;叶阳等;《网络安全技术与应用》(第5期);19-22 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114579765A (zh) | 2022-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112131882A (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
| US8719179B2 (en) | Recruiting service graphical user interface | |
| Ren et al. | CSKG4APT: A cybersecurity knowledge graph for advanced persistent threat organization attribution | |
| CN109361643B (zh) | 一种恶意样本的深度溯源方法 | |
| Jimenez et al. | Vulnerability prediction models: A case study on the linux kernel | |
| CN112699382B (zh) | 物联网网络安全风险的评估方法、装置及计算机存储介质 | |
| Li et al. | Security attack analysis using attack patterns | |
| CN110909364B (zh) | 面向源代码双极性软件安全漏洞图谱构建方法 | |
| CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
| CN112613038A (zh) | 一种基于知识图谱的安全漏洞分析方法 | |
| CN114091034A (zh) | 一种安全渗透测试方法、装置、电子设备及存储介质 | |
| CN116405246A (zh) | 一种基于攻防结合的漏洞利用链构建技术 | |
| CN114547415A (zh) | 工业物联网中基于网络威胁情报的攻击模拟方法 | |
| CN114579765B (zh) | 一种基于开源情报分析的网络靶场武器库构建方法 | |
| CN113961923A (zh) | 一种威胁情报获取方法、装置、设备及存储介质 | |
| CN114091042A (zh) | 风险预警方法 | |
| CN116527288A (zh) | 基于知识图谱的网络攻击安全风险评估系统及方法 | |
| Tok et al. | Identifying threats, cybercrime and digital forensic opportunities in Smart City Infrastructure via threat modeling | |
| CN110659493A (zh) | 威胁告警方式生成的方法、装置、电子设备及存储介质 | |
| Quinn et al. | Understanding threats to crowdsourced geographic data quality through a study of OpenStreetMap contributor bans | |
| Onyebuchi | Signature based network intrusion detection system using feature selection on android | |
| Beksultanova et al. | Analysis tools for smart contract security | |
| CN116132101A (zh) | 一种验证威胁情报误报的方法、装置及电子设备 | |
| CN114817928A (zh) | 网络空间数据融合分析方法、系统、电子设备及存储介质 | |
| CN115333806A (zh) | 渗透测试攻击路径规划方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |