CN115208684B - 一种基于超图关联的apt攻击线索拓展方法和装置 - Google Patents

一种基于超图关联的apt攻击线索拓展方法和装置 Download PDF

Info

Publication number
CN115208684B
CN115208684B CN202210885821.2A CN202210885821A CN115208684B CN 115208684 B CN115208684 B CN 115208684B CN 202210885821 A CN202210885821 A CN 202210885821A CN 115208684 B CN115208684 B CN 115208684B
Authority
CN
China
Prior art keywords
information
entity
hypergraph
apt attack
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210885821.2A
Other languages
English (en)
Other versions
CN115208684A (zh
Inventor
任传伦
俞赛赛
刘晓影
谭震
乌吉斯古愣
孟祥頔
任秋洁
王玥
王明琛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 15 Research Institute
CETC 30 Research Institute
Original Assignee
CETC 15 Research Institute
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 15 Research Institute, CETC 30 Research Institute filed Critical CETC 15 Research Institute
Priority to CN202210885821.2A priority Critical patent/CN115208684B/zh
Publication of CN115208684A publication Critical patent/CN115208684A/zh
Application granted granted Critical
Publication of CN115208684B publication Critical patent/CN115208684B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Animal Behavior & Ethology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于超图关联的APT攻击线索拓展方法和装置,所述方法,其具体包括:利用互联网开源的威胁情报库获取开源安全情报信息,构建定制化安全情报图库;利用安全告警实体关系,构建得到针对APT攻击线索的知识图谱超图;对所构建的知识图谱超图进行实体抽取,得到安全信息关联数据,利用更新后的实体和超边对知识图谱超图进行更新,将更新后的知识图谱超图中的超边和顶点的交替循环序列作为超边链接序列,将超边链接序列作为APT攻击线索关联拓展规则模式,利用该APT攻击线索关联拓展规则模式完成对APT攻击事件的线索拓展。本发明可有效实现弱信息线索下的APT攻击线索关联拓展,支撑网络攻击实现追踪溯源和攻击过程还原。

Description

一种基于超图关联的APT攻击线索拓展方法和装置
技术领域
本发明属于网络安全技术领域,具体涉及一种基于超图关联的APT攻击线索拓展方法和装置。
背景技术
网络攻击威胁,特别是APT攻击威胁,通常具备分散性、持续性、高隐蔽性等特征,其攻击目标广泛、技术手段多样也造成了攻击行为和攻击事件间的弱关联性,但同一组织、为了同一目的开展的攻击在资源、武器、人员、账户、效果等方面还是会留下可关联的痕迹,因此,可以通过详细分析攻击告警、攻击事件间的关系,拓展溯源线索、还原攻击踪迹。目前,针对定位拓展溯源线索,主要还是通过流量样本异常检测、威胁情报关联分析以及各类线索的同源性判证方面开展,通过引入领域专家知识配合机器学习算法模型,完成相关的检测判断。但这种方法往往难以满足全天候、海量威胁攻击行为的检测要求,且领域专家知识掌握程度有限,提炼的规则可应用范围有限,同时需要不断地进行调参处理并尽可能地优化检测模型,其实施过程较为复杂,无法迅速获得稳定、可靠的结果。
发明内容
针对现有的APT攻击威胁线索关联拓展方法所存在的海量关联线索计算效率低、线索拓展关联性差、线索拓展支撑证据不足等问题,本发明公开了一种基于超图关联的APT攻击线索拓展方法和装置。
为了解决上述技术问题,本发明实施例第一方面公开了一种基于超图关联的APT攻击线索拓展方法,其具体包括:
S1,利用互联网开源的威胁情报库获取开源安全情报信息,利用开源安全情报信息,构建开源安全情报知识图谱,根据开源安全情报知识图谱,构建定制化安全情报图库;
S2,对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,利用安全告警实体关系,构建得到针对APT攻击线索的知识图谱超图;
S3,获取APT攻击安全告警数据,对所构建的知识图谱超图进行实体抽取,得到安全信息关联数据,对安全信息关联数据以超图形式进行推理分析计算,得到更新后的实体和超边,利用更新后的实体和超边对知识图谱超图进行更新,将更新后的知识图谱超图中的超边和顶点的交替循环序列作为超边链接序列,将超边链接序列作为APT攻击线索关联拓展规则模式,利用该APT攻击线索关联拓展规则模式完成对APT攻击事件的线索拓展;
作为一种可选的实施方式,在本发明实施例第一方面中,所述的步骤S1,其具体包括:
利用互联网开源的威胁情报库获取开源安全情报信息,利用开源安全情报信息,构建开源安全情报知识图谱,根据开源安全情报知识图谱,利用开源安全情报信息所包含的攻击地址、攻击资源、协议类型等,对开源安全情报信息进行关联关系标注,得到标注结果,利用标注结果,对开源安全情报信息所包含的APT攻击线索信息利用聚类方法进行聚合,得到定制化安全情报图库,定制化安全情报图库中包含同类关联的APT攻击线索信息;
作为一种可选的实施方式,在本发明实施例第一方面中,所述的步骤S1,其具体包括:
按照网络威胁信息的结构化语言标准,对开源安全情报信息进行预处理和格式整编,得到无冗余、格式化的安全情报信息,对该安全情报信息进行知识抽取、知识融合和知识加工,得到开源安全情报知识图谱。利用开源安全情报信息所包含的攻击地址、攻击资源、协议类型等,对开源安全情报信息进行关联关系标注,得到标注结果,根据标注结果,对开源安全情报信息所包含的APT攻击线索信息利用聚类方法进行聚合,得到聚合后的开源安全情报信息,以聚合后的开源安全情报信息中的实体为顶点,以实体的关联关系为边,构建适用于APT攻击线索信息关联拓展的定制化安全情报图库。
作为一种可选的实施方式,在本发明实施例第一方面中,所述的步骤S2,其具体包括:
对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系;利用安全告警实体关系,对具有关联关系的多个安全告警实体进行链接,得到安全告警实体链接信息;利用安全告警实体链接信息构建得到知识图谱超图中的超边,将同类关联的APT攻击线索信息作为知识图谱超图中的顶点,利用顶点和超边构建得到针对APT攻击线索的知识图谱超图;
作为一种可选的实施方式,在本发明实施例第一方面中,步骤S2中所述的对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,其具体包括:
对定制化安全情报图库中的APT攻击线索信息,根据APT攻击线索信息类别和关联关系特性进行分类,得到威胁情报实体簇,对威胁情报实体簇通过基于深度强化学习的关联关系抽取方法,得到安全告警实体和其对应的安全告警实体关系;
作为一种可选的实施方式,在本发明实施例第一方面中,所述的APT攻击线索信息类别包括人员、组织、IP、设备、样本和域名等信息,关联关系特性是指是否在同一攻击事件中关联出现的APT攻击线索信息。
作为一种可选的实施方式,在本发明实施例第一方面中,步骤S2中所述的对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,其具体包括:
对定制化安全情报图库中的APT攻击线索信息,按照实体类别和实体关系进行分类,得到安全分类情报信息;对安全分类情报信息通过实体关系抽取方法,得到安全告警实体和其对应的安全告警实体关系。
作为一种可选的实施方式,在本发明实施例第一方面中,所述的步骤S3,其具体包括:
S31,获取APT攻击安全告警数据,对APT攻击安全告警数据进行实体抽取,得到APT攻击安全告警实体,从实体类别和实体特征关联关系对APT攻击安全告警实体进行分类,得到告警实体簇,将告警实体簇作为顶点,增加到知识图谱超图中。
所述的获取APT攻击安全告警数据,可从互联网开源的威胁情报库中获取。
S32,利用语义匹配模型和超图学习方法计算知识图谱超图中的新增顶点与原有顶点间的关联关系,将有关联关系的顶点之间进行链接,从而在有关联关系的顶点之间形成知识图谱超图中的超边;
S33,对所有告警实体簇对应的新增顶点重复步骤S32,完成对知识图谱超图的更新;将更新后的知识图谱超图中的超边和顶点的交替循环序列作为超边链接序列;
S34,将超边链接序列以树的形式进行存储,作为APT攻击线索关联拓展规则模式,利用该APT攻击线索关联拓展规则模式完成对APT攻击事件的线索拓展。
本发明实施例第二方面公开了一种基于超图关联的APT攻击线索拓展装置,其具体包括:
定制化安全情报图库构建模块,用于利用互联网开源的威胁情报库获取开源安全情报信息,利用开源安全情报信息,构建开源安全情报知识图谱,根据开源安全情报知识图谱,构建定制化安全情报图库;
知识图谱超图构建模块,用于对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,利用安全告警实体关系,构建得到针对APT攻击线索的知识图谱超图;
APT攻击事件的线索拓展模块,用于获取APT攻击安全告警数据,对所构建的知识图谱超图进行实体抽取,得到安全信息关联数据,对安全信息关联数据以超图形式进行推理分析计算,得到更新后的实体和超边,利用更新后的实体和超边对知识图谱超图进行更新,将更新后的知识图谱超图中的超边和顶点的交替循环序列作为超边链接序列,将超边链接序列作为APT攻击线索关联拓展规则模式,利用该APT攻击线索关联拓展规则模式完成对APT攻击事件的线索拓展;
定制化安全情报图库构建模块与知识图谱超图构建模块相连接,知识图谱超图构建模块与APT攻击事件的线索拓展模块相连接。
本发明实施例第三方面公开了另一种基于超图关联的APT攻击线索拓展装置,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明实施例第一方面公开的基于超图关联的APT攻击线索拓展方法中的部分或全部步骤。
本发明实施例第四方面公开了一种计算机存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本发明实施例第一方面公开的基于超图关联的APT攻击线索拓展方法中的部分或全部步骤。
与现有技术相比,本发明的有益效果在于:本发明提供一种新型的网络攻击威胁线索关联拓展方法和装置,可有效实现弱信息线索下的APT攻击线索关联拓展,支撑网络攻击实现追踪溯源和攻击过程还原。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的APT攻击线索关联拓展规则模式示意图;
图2为本发明的APT攻击线索关联拓展过程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本发明公开了一种基于本发明主要利用以威胁攻击线索为主体,采用超图推理方式对线索信息进行推理分析,结合图库数据模型对威胁实体进行拓展形成超边,经过多次关联检索生成的超边关系,形成线索信息膨化蔓延模式。本发明公开了一种基于超图关联的APT攻击线索拓展方法。该方法在情报线索关联关系的基础上,构建线索关联超图,实现线索自动化拓展关联。
以下分别进行详细说明。
图1为本发明的APT攻击线索关联拓展规则模式示意图;
图2为本发明的APT攻击线索关联拓展过程示意图。
实施例一
本发明实施例公开了一种基于超图关联的APT攻击线索拓展方法,其具体包括:
S1,利用互联网开源的威胁情报库获取开源安全情报信息,利用开源安全情报信息,构建开源安全情报知识图谱,根据开源安全情报知识图谱,构建定制化安全情报图库;
S2,对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,利用安全告警实体关系,构建得到针对APT攻击线索的知识图谱超图;
S3,获取APT攻击安全告警数据,对所构建的知识图谱超图进行实体抽取与实体消歧,得到安全信息关联数据,对安全信息关联数据以超图形式进行推理分析计算,得到更新后的实体和超边,利用更新后的实体和超边对知识图谱超图进行更新,将更新后的知识图谱超图中的超边和顶点的交替循环序列作为超边链接序列,将超边链接序列作为APT攻击线索关联拓展规则模式,利用该APT攻击线索关联拓展规则模式完成对APT攻击事件的线索拓展;
作为一种可选的实施方式,在本发明实施例中,所述的步骤S1,其具体包括:
利用互联网开源的威胁情报库获取开源安全情报信息,利用开源安全情报信息,构建开源安全情报知识图谱,根据开源安全情报知识图谱,利用开源安全情报信息所包含的攻击地址、攻击资源、协议类型等,对开源安全情报信息进行关联关系标注,得到标注结果,利用标注结果,对开源安全情报信息所包含的APT攻击线索信息利用聚类方法进行聚合,得到定制化安全情报图库,定制化安全情报图库中包含同类关联的APT攻击线索信息;
所述的互联网开源的威胁情报库包括微步在线威胁情报社区、百度威胁情报平台、启明星辰威胁情报中心、奇安信威胁情报中心等数据库;
所述的开源安全情报信息,还可使用开源情报工具进行获取;
作为一种可选的实施方式,在本发明实施例中,所述的步骤S1,其具体包括:
按照网络威胁信息的结构化语言标准,对开源安全情报信息进行预处理和格式整编,得到无冗余、格式化的安全情报信息,对该安全情报信息进行知识抽取、知识融合和知识加工,得到开源安全情报知识图谱。利用开源安全情报信息所包含的攻击地址、攻击资源、协议类型等,对开源安全情报信息进行关联关系标注,得到标注结果,根据标注结果,对开源安全情报信息所包含的APT攻击线索信息利用聚类方法进行聚合,得到聚合后的开源安全情报信息,以聚合后的开源安全情报信息中的实体为顶点,以实体的关联关系为边,构建适用于APT攻击线索信息关联拓展的定制化安全情报图库,为后续获得的安全告警威胁信息分析提供情报数据和知识推理依据。
所述的对开源安全情报信息进行预处理,包括对开源安全情报信息进行数据清洗。
所述的网络威胁信息的结构化语言标准,可以是STIX2.0标准。
作为一种可选的实施方式,在本发明实施例中,所述的步骤S2,其具体包括:
对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,利用安全告警实体关系,对具有关联关系的多个安全告警实体进行链接,得到安全告警实体链接信息,利用安全告警实体链接信息构建得到知识图谱超图中的超边,将同类关联的APT攻击线索信息作为知识图谱超图中的顶点,利用顶点和超边构建得到针对APT攻击线索的知识图谱超图,完成对安全情报图库数据模型的拓展;
作为一种可选的实施方式,在本发明实施例中,步骤S2中所述的对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,其具体包括:
对定制化安全情报图库中的APT攻击线索信息,根据APT攻击线索信息类别和关联关系特性进行分类,得到威胁情报实体簇,对威胁情报实体簇通过基于深度强化学习的关联关系抽取方法,得到安全告警实体和其对应的安全告警实体关系;
作为一种可选的实施方式,在本发明实施例中,所述的APT攻击线索信息类别包括人员、组织、IP、设备、样本和域名等,关联关系特性是指是否在同一攻击事件中关联出现的APT攻击线索信息。
作为一种可选的实施方式,在本发明实施例中,步骤S2中所述的对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,其具体包括:
对定制化安全情报图库中的APT攻击线索信息,按照实体类别和实体关系进行分类,得到安全分类情报信息;对安全分类情报信息通过实体关系抽取方法,得到安全告警实体和其对应的安全告警实体关系,
作为一种可选的实施方式,在本发明实施例中,所述的步骤S3,其具体包括:
S31,获取APT攻击安全告警数据,对APT攻击安全告警数据进行实体抽取,得到APT攻击安全告警实体,从实体类别和实体特征关联关系对APT攻击安全告警实体进行分类,得到告警实体簇,将告警实体簇作为顶点,增加到知识图谱超图中。
所述的获取APT攻击安全告警数据,可从互联网开源的威胁情报库中获取。
S32,利用语义匹配模型和超图学习方法计算知识图谱超图中的新增顶点与原有顶点间的关联关系,有关联关系的顶点之间进行链接,从而在有关联关系的顶点之间形成知识图谱超图中的超边;
S33,对所有告警实体簇对应的新增顶点重复步骤S132,完成对知识图谱超图的更新;将更新后的知识图谱超图中的超边和顶点的交替循环序列作为超边链接序列;
S34,将超边链接序列以树的形式进行存储,作为APT攻击线索关联拓展规则模式,利用该关联拓展规则模式完成对APT攻击事件的线索拓展。
本发明提供一种新型的网络攻击威胁线索关联拓展方法,可有效实现弱信息线索下的APT攻击线索关联拓展,支撑网络攻击实现追踪溯源和攻击过程还原。
实施例二
本实施例公开了一种基于超图关联的APT攻击线索拓展装置,其具体包括:
定制化安全情报图库构建模块,用于利用互联网开源的威胁情报库获取开源安全情报信息,利用开源安全情报信息,构建开源安全情报知识图谱,根据开源安全情报知识图谱,构建定制化安全情报图库;
知识图谱超图构建模块,用于对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,利用安全告警实体关系,构建得到针对APT攻击线索的知识图谱超图;
APT攻击事件的线索拓展模块,用于获取APT攻击安全告警数据,对所构建的知识图谱超图进行实体抽取与实体消歧,得到安全信息关联数据,对安全信息关联数据以超图形式进行推理分析计算,得到更新后的实体和超边,利用更新后的实体和超边对知识图谱超图进行更新,将更新后的知识图谱超图中的超边和顶点的交替循环序列作为超边链接序列,将超边链接序列作为APT攻击线索关联拓展规则模式,利用该APT攻击线索关联拓展规则模式完成对APT攻击事件的线索拓展;
定制化安全情报图库构建模块与知识图谱超图构建模块相连接,知识图谱超图构建模块与APT攻击事件的线索拓展模块相连接。
实施例三
本实施例公开了另一种基于超图关联的APT攻击线索拓展装置,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明实施例一公开的基于超图关联的APT攻击线索拓展方法中的部分或全部步骤。
实施例四
本实施例公开了一种计算机存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本发明实施例一公开的基于超图关联的APT攻击线索拓展方法中的部分或全部步骤。
实施例五
本发明实施例公开了一种基于超图关联的APT攻击线索拓展方法,其具体包括:
利用开源安全情报知识图谱架构,引接领域专家对情报数据的标注结果,构建形成适用于线索信息膨化蔓延的定制化安全情报图库,对关联的情报数据按照类别进行分类形成超图中的顶点,将多个安全告警实体关系进行链接,根据不断链接构建的告警机制超边,将线索信息数据与历史情报数据以超图形式进行内存计算推理分析,提取关联分析过程中产生的超边,形成膨化蔓延规则模式;
本发明方法具备包括:
S1,以STIX2.0标准为基础,针对实战场景相关安全情报数据进行标准化管理,在国外先进开源安全情报知识图谱项目STUCCO的理论基础上,对图库数据模型进行丰富,增加图数据库的可扩展性,同时能够引接领域专家对情报数据的标注结果,构建形成适用于线索信息膨化蔓延的定制化安全情报图库,为安全告警威胁性分析提供优质情报数据和知识推理依据。
S2,采用安全情报图库模型作为超边的链接依据,对关联的情报数据按照类别进行分类,形成超图中的顶点,以图库数据模型进行进一步拓展,从而形成针对信息线索的超图,其中形成的超边链接序列即为膨化蔓延模式。如图1所示,其基于内存计算的规则模式推理自学习流程如下:
(1)分解安全告警数据,获取线索信息并根据实体类别形成顶点数据集V1、V11;
(2)基于安全情报图数据库获取V1、V11相关的情报数据,并根据实体类别形成V2、V3、V7、V12、V13;
(3)根据图数据模型的实体关系定义,在内存中进行计算形成超边H1、H2、H3、H9;
(4)对V2、V3、V7、V12、V13重复上述过程,直至不能挖掘出新的超边;
(5)将超图中的超边以树的形式进行存储,作为最终生成的膨化蔓延规则模式,如图2所示。
以上所述部分过程仅为本申请的实例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (6)

1.一种基于超图关联的APT攻击线索拓展方法,其特征在于,其具体包括:
S1,利用互联网开源的威胁情报库获取开源安全情报信息,利用开源安全情报信息,构建开源安全情报知识图谱,根据开源安全情报知识图谱,构建定制化安全情报图库;
所述的步骤S1,其具体包括:
按照网络威胁信息的结构化语言标准,对开源安全情报信息进行预处理和格式整编,得到无冗余、格式化的安全情报信息,对该安全情报信息进行知识抽取、知识融合和知识加工,得到开源安全情报知识图谱;
利用开源安全情报信息所包含的攻击地址、攻击资源和协议类型,对开源安全情报信息进行关联关系标注,得到标注结果,根据标注结果,对开源安全情报信息所包含的APT攻击线索信息利用聚类方法进行聚合,得到聚合后的开源安全情报信息,以聚合后的开源安全情报信息中的实体为顶点,以实体的关联关系为边,构建适用于APT攻击线索信息关联拓展的定制化安全情报图库;
S2,对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,利用安全告警实体关系,构建得到针对APT攻击线索的知识图谱超图;
所述的步骤S2,其具体包括:
对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系;利用安全告警实体关系,对具有关联关系的多个安全告警实体进行链接,得到安全告警实体链接信息;利用安全告警实体链接信息构建得到知识图谱超图中的超边,将同类关联的APT攻击线索信息作为知识图谱超图中的顶点,利用顶点和超边构建得到针对APT攻击线索的知识图谱超图;
S3,获取APT攻击安全告警数据,对所构建的知识图谱超图进行实体抽取,得到安全信息关联数据,对安全信息关联数据以超图形式进行推理分析计算,得到更新后的实体和超边,利用更新后的实体和超边对知识图谱超图进行更新,将更新后的知识图谱超图中的超边和顶点的交替循环序列作为超边链接序列,将超边链接序列作为APT攻击线索关联拓展规则模式,利用该APT攻击线索关联拓展规则模式完成对APT攻击事件的线索拓展。
2.如权利要求1所述的基于超图关联的APT攻击线索拓展方法,其特征在于,步骤S2中所述的对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,其具体包括:
对定制化安全情报图库中的APT攻击线索信息,根据APT攻击线索信息类别和关联关系特性进行分类,得到威胁情报实体簇,对威胁情报实体簇通过基于深度强化学习的关联关系抽取方法,得到安全告警实体和其对应的安全告警实体关系。
3.如权利要求2所述的基于超图关联的APT攻击线索拓展方法,其特征在于,
所述的APT攻击线索信息类别包括人员、组织、IP、设备、样本和域名信息,关联关系特性是指是否在同一攻击事件中关联出现的APT攻击线索信息。
4.如权利要求1所述的基于超图关联的APT攻击线索拓展方法,其特征在于,步骤S2中所述的对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取,得到安全告警实体和其对应的安全告警实体关系,其具体包括:
对定制化安全情报图库中的APT攻击线索信息,按照实体类别和实体关系进行分类,得到安全分类情报信息;对安全分类情报信息通过实体关系抽取方法,得到安全告警实体和其对应的安全告警实体关系。
5.如权利要求1所述的基于超图关联的APT攻击线索拓展方法,其特征在于,所述的步骤S3,其具体包括:
S31,获取APT攻击安全告警数据,对APT攻击安全告警数据进行实体抽取,得到APT攻击安全告警实体,从实体类别和实体特征关联关系对APT攻击安全告警实体进行分类,得到告警实体簇,将告警实体簇作为顶点,增加到知识图谱超图中;
S32,利用语义匹配模型和超图学习方法计算知识图谱超图中的新增顶点与原有顶点间的关联关系,将有关联关系的顶点之间进行链接,从而在有关联关系的顶点之间形成知识图谱超图中的超边;
S33,对所有告警实体簇对应的新增顶点重复步骤S32,完成对知识图谱超图的更新;将更新后的知识图谱超图中的超边和顶点的交替循环序列作为超边链接序列;
S34,将超边链接序列以树的形式进行存储,作为APT攻击线索关联拓展规则模式,利用该APT攻击线索关联拓展规则模式完成对APT攻击事件的线索拓展。
6.一种基于超图关联的APT攻击线索拓展装置,其特征在于,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1至5中任一项所述的基于超图关联的APT攻击线索拓展方法中的部分或全部步骤。
CN202210885821.2A 2022-07-26 2022-07-26 一种基于超图关联的apt攻击线索拓展方法和装置 Active CN115208684B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210885821.2A CN115208684B (zh) 2022-07-26 2022-07-26 一种基于超图关联的apt攻击线索拓展方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210885821.2A CN115208684B (zh) 2022-07-26 2022-07-26 一种基于超图关联的apt攻击线索拓展方法和装置

Publications (2)

Publication Number Publication Date
CN115208684A CN115208684A (zh) 2022-10-18
CN115208684B true CN115208684B (zh) 2023-03-14

Family

ID=83583540

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210885821.2A Active CN115208684B (zh) 2022-07-26 2022-07-26 一种基于超图关联的apt攻击线索拓展方法和装置

Country Status (1)

Country Link
CN (1) CN115208684B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109922075A (zh) * 2019-03-22 2019-06-21 中国南方电网有限责任公司 网络安全知识图谱构建方法和装置、计算机设备
CN113282759A (zh) * 2021-04-23 2021-08-20 国网辽宁省电力有限公司电力科学研究院 一种基于威胁情报的网络安全知识图谱生成方法
CN114172701A (zh) * 2021-11-25 2022-03-11 北京天融信网络安全技术有限公司 基于知识图谱的apt攻击检测方法及装置
CN114706997A (zh) * 2022-03-31 2022-07-05 中国人民解放军战略支援部队信息工程大学 基于超网络的网络空间行为知识图谱构建方法及架构

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180159876A1 (en) * 2016-12-05 2018-06-07 International Business Machines Corporation Consolidating structured and unstructured security and threat intelligence with knowledge graphs
CN108259449B (zh) * 2017-03-27 2020-03-06 新华三技术有限公司 一种防御apt攻击的方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109922075A (zh) * 2019-03-22 2019-06-21 中国南方电网有限责任公司 网络安全知识图谱构建方法和装置、计算机设备
CN113282759A (zh) * 2021-04-23 2021-08-20 国网辽宁省电力有限公司电力科学研究院 一种基于威胁情报的网络安全知识图谱生成方法
CN114172701A (zh) * 2021-11-25 2022-03-11 北京天融信网络安全技术有限公司 基于知识图谱的apt攻击检测方法及装置
CN114706997A (zh) * 2022-03-31 2022-07-05 中国人民解放军战略支援部队信息工程大学 基于超网络的网络空间行为知识图谱构建方法及架构

Also Published As

Publication number Publication date
CN115208684A (zh) 2022-10-18

Similar Documents

Publication Publication Date Title
CN109347801B (zh) 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
Arpteg et al. Software engineering challenges of deep learning
CN112612902A (zh) 一种电网主设备的知识图谱构建方法及设备
CN111538842A (zh) 网络空间态势的智能感知和预测方法、装置和计算机设备
CN110909364B (zh) 面向源代码双极性软件安全漏洞图谱构建方法
CN113672599B (zh) 政务信息化项目建设管理的可视化辅助决策方法
CN113239208A (zh) 一种基于知识图谱的标注训练模型
CN117033571A (zh) 知识问答系统构建方法及系统
CN115358397A (zh) 一种基于数据采样的并行图规则挖掘方法及装置
CN112000929A (zh) 一种跨平台数据分析方法、系统、设备及可读存储介质
Anand et al. Multimodal language modelling on knowledge graphs for deep video understanding
CN113767403B (zh) 知识图中过指定和欠指定的自动解析
CN116402166B (zh) 一种预测模型的训练方法、装置、电子设备及存储介质
CN115208684B (zh) 一种基于超图关联的apt攻击线索拓展方法和装置
CN113268370A (zh) 一种根因告警分析方法、系统、设备及存储介质
CN116739408A (zh) 基于数据标签的电网调度安全监控方法、系统及电子设备
CN112182225A (zh) 一种多模态场景目标基于半监督深度学习的知识管理方法
CN115129896B (zh) 基于对比学习的网络安全应急响应知识图谱关系提取方法
Li et al. An automated evaluation system for app inventor apps
Chen et al. Research on automatic vulnerability mining model based on knowledge graph
CN115221347A (zh) 图像文本检索模型的建模方法
GB2572760A (en) Method and system for generating insight
CN114610576A (zh) 一种日志生成监控方法和装置
ALI et al. A Novel Leader Election Algorithm for Honeycomb Mesh Networks
Toapanta et al. Analysis to predict cybercrime using information technology in a globalized environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant