CN115225304B - 一种基于概率图模型的网络攻击路径预测方法及系统 - Google Patents

Abstract

本发明涉及一种基于概率图模型的网络攻击路径预测方法及系统，其方法包括：S1：获取已有的网络安全知识图谱，利用表示学习将网络实体节点转换为向量，计算向量在欧式空间中的相似度作为网络实体节点状态转移概率；其中网络实体节点包括：APT组织、威胁指标、安全漏洞和网络资产；S2：利用贝叶斯网络，基于网络实体节点状态转移概率，计算网络实体节点的联合概率分布，选择联合概率最大的攻击链路作为最可信的网络攻击路径。本发明提供的方法，构建网络安全实体之间的关系图谱，解决了因多源异构网络安全实体难以建模的难题，极大地提高了预测APT潜在攻击路径的能力。

Description

一种基于概率图模型的网络攻击路径预测方法及系统

技术领域

本发明涉及人工智能以及网络安全大数据领域，具体涉及一种基于概率图模型的网络攻击路径预测方法及系统。

背景技术

对APT攻击路径研判、溯源具有迫切的应用需求，面向网络资产防护，基于网络安全知识图谱发现潜在网络攻击路径可有效抵御、溯源APT威胁，当前这类方法仍然非常匮乏。以网络资产为核心构建网络安全知识图谱，发掘潜在APT攻击路径可显著提升我国网络资产细粒度监测和整体态势感知能力，强化APT攻击路径的全流程研判和溯源能力。网络安全知识图谱的规模庞大复杂到一定程度，则难以利用规则穷尽所有可能攻击路径。同时，基于谓词逻辑的推理规则构建耗费大量人工成本；基于公理匹配的推理过程，难以适应大规模知识图谱的运算效率需求，尤其是多步推理任务。因此，如何基于知识图谱预测网络攻击路径成为一个亟待解决的问题。

发明内容

为了解决上述技术问题，本发明提供一种基于概率图模型的网络攻击路径预测方法及系统。

本发明技术解决方案为：一种基于概率图模型的网络攻击路径预测方法，包括：

步骤S1：获取已有的网络安全知识图谱，利用表示学习将网络实体节点转换为向量，计算所述向量在欧式空间中的相似度作为所述网络实体节点状态转移概率；其中所述网络实体节点包括：APT组织、威胁指标、安全漏洞和网络资产；

步骤S2：利用贝叶斯网络，基于所述网络实体节点状态转移概率，计算所述网络实体节点的联合概率分布，选择所述联合概率最大的攻击链路作为最可信的网络攻击路径。

本发明与现有技术相比，具有以下优点：

本发明公开了一种基于概率图模型的网络攻击路径预测方法，针对网络安全实体相似性、关联性计算难以量化计算的特点，结合图谱表示学习技术需求，创造性提出基于表示学习的实体状态转移概率计算方法。利用基于贝叶斯网络等概率图模型算法，构建网络安全实体之间的关系图谱，解决了因多源异构网络安全实体难以建模的难题，极大提高了预测APT潜在攻击路径的能力。

附图说明

图1为本发明实施例中一种基于概率图模型的网络攻击路径预测方法的流程图；

图2为本发明实施例中网络安全知识图谱示意图；

图3为本发明实施例中翻译模型中的实体和关系的示意图；

图4为本发明实施例中一种基于概率图模型的网络攻击路径预测系统的结构框图。

具体实施方式

本发明提供了一种基于概率图模型的网络攻击路径预测方法，构建网络安全实体之间的关系图谱，解决了因多源异构网络安全实体难以建模的难题，极大提高了预测APT潜在攻击路径的能力。

为了使本发明的目的、技术方案及优点更加清楚，以下通过具体实施，并结合附图，对本发明进一步详细说明。

实施例一

如图1所示，本发明实施例提供的一种基于概率图模型的网络攻击路径预测方法，包括下述步骤：

步骤S1：获取已有的网络安全知识图谱，利用表示学习将网络实体节点转换为向量，计算向量在欧式空间中的相似度作为网络实体节点状态转移概率；其中网络实体节点包括：APT组织、威胁指标、安全漏洞和网络资产；

获取已有的典型的网络安全知识图谱，如图2所示，其中白色节点表示APT攻击组织及实体的属性信息，浅灰色节点表示威胁指标，深灰色节点表示安全漏洞，黑色节点表示网络资产。知识图谱中的实体的关系，用节点间的连线表示，则包括：利用(use)、绑定(Associate)、针对攻击(Target)、通联(Connect)和包含(Contain)等关系。

本发明实施例利用网络安全知识图谱中的网络攻击中的攻击组织及其威胁指标等威胁情报作为“源头数据”(源)，联通数据作为“管道数据”(管)，网络防护资产及安全漏洞作为“终端数据”(端)，在网络空间中建立覆盖“源-管-端”的网络安全知识图谱，进而进行APT攻击路径的全流程数据关联和挖掘。在实际环境下，数千万的网络实体节点互相连接为极其复杂的网状结构。本发明实施例利用概率化方法和机器学习算法进行推理，预测从APT攻击组织到网络资产之间的可能的攻击路径。

步骤S2：利用贝叶斯网络，基于网络实体节点状态转移概率，计算网络实体节点的联合概率分布，选择联合概率最大的攻击链路作为最可信的网络攻击路径。

APT组织在选择攻击路径时，节点状态转移概率表示从一个已确定的实体节点出发，选择某个相邻实体节点作为攻击跳板的概率。在概率图模型中，实体节点之间的状态转移概率需要基于大量样本的统计或者外部知识给出。本发明实施例首先利用表示学习技术先对知识图谱中的实体节点和关系分别用固定维度的向量表示，这些向量初始赋值通过随机初始化，随后根据精心设计的目标函数不断训练更新实体节点和关系的向量表示，最终得到各个实体节点和关系的稳定向量表示，这些向量蕴含了网络安全知识图谱中的语义关系；然后利用这些向量在欧式空间中的相似度作为实体节点状态转移概率。

在一个实施例中，上述步骤S1：获取已有的网络安全知识图谱，利用表示学习将网络实体节点转换为向量，计算向量在欧式空间中的相似度作为网络实体节点状态转移概率；其中，网络实体节点包括：APT组织、威胁指标、安全漏洞和网络资产，具体包括：

步骤S11：采用相似匹配模型构建目标函数，已知网络实体节点E_i-2,E_i-1,E_i+1,E_i+2的前提下，预测当前网络实体节点E_i出现的概率，如公式(1)所示：

其中，L表示目标函数，E_i表示当前网络实体节点，Context(E_i)表示E_i周围的网络实体节点，[p(E_i|Context(E_i))表示已知周围网络实体节点出现的情况下，当前网络实体节点E_i出现的概率；

或者，网络安全知识图谱也可以用翻译模型将实体和实体语义关系一同刻画表示。翻译模型通过向量空间的向量翻译来刻画实体与关系之间的相关性。跟相似匹配模型不同，翻译模型中的实体和关系都被显式地建立起来并且有了明确的语义关系，语义关系的显式表达极大提升了知识图谱嵌入表示的能力。

本发明实施例的翻译模型采用最大间隔方法构建目标函数，训练模型时，将最小化岭回归函数作为目标函数，如公式(2)所示：

其中，L表示目标函数，γ是margin超参数，S是正样本三元组{h，r，t}集合，代表正确的三元组，h表示头部网络节点，t表示尾部网络节点，如“攻击组织”“威胁指标”“安全漏洞”等实体节点，r表示实体节点之间的关系，如“use”、“Associate”等关系；S′_(h,r,t)是负样本集合，S′_(h,r,t)＝{(h′,r,t)|h′∈E}∪{(h,r,t′)|t′∈E}，h′、t′分别表示随机替换的错误头部网络节点和尾部网络节点；

如图3所示，对于公式(2)中f_r(h,t)，通过向量翻译构建网络安全知识图谱中网络实体节点与关系之间的相关性，如公式(3)所示：

f_r(h,t)＝||h+r-t||_l1 (3)

其中，f_r(h,t)表示目标函数，l1范数表示各个参数的绝对值之和；

步骤S12：通过公式(1)或公式(2)构建的目标函数L，将网络安全知识图谱中的网络实体节点转换为向量表示E_i和E_j，二者之间的语义关系或者相似度可以通过向量的夹角反映，如公式(4)所示：

其中，P(E_i|E_j)表示向量E_i和E_j之间的状态转移概率；n表示向量的维度，|E_i|和|E_j|分别表示E_i和E_j的模；w_ik表示E_i第k维的数值，w_jk表示E_j第k维的数值。

在欧式空间中，可利用空间中点的绝对距离度量来衡量节点之间的差异。因此，本发明实施例采用欧式空间中的余弦距离来度量网络实体节点向量E_i和E_j之间的状态转移概率。

在经过步骤S1得到网络实体节点状态转移概率后，需要基于概率图模型来预测网络实体节点之间可能形成的攻击路径。由于贝叶斯网络可模拟人的认知思维推理模式，用一组条件概率函数以及有向无环图对不确定性的因果推理关系建模，因此，本发明实施例利用贝叶斯网络的原理，即贝叶斯公式来描述两个条件概率之间的关系。

在一个实施例中，上述步骤S2：利用贝叶斯网络，基于网络实体节点状态转移概率，计算网络实体节点的联合概率分布，选择联合概率最大的攻击链路作为最可信的网络攻击路径，具体包括：

步骤S21：根据贝叶斯公式，拟合的网络实体节点向量之间的状态转移概率，如公式(5)所示：

其中，P(A),P(B)分别表示事件A和事件B发生的概率，P(A|B)表示B发生的情况下A发生的概率，P(A,B)表示事件A，B同时发生的概率；

步骤S22：令网络安全知识图谱G＝(I,E)为一个有向无环图，其中I代表所有的实体节点向量的集合，E代表实体关系的集合，且令X＝(X_i)i∈I为其有向无环图中的某一节点i所代表之随机变量，根据贝叶斯网络计算实体节点向量x_n的联合概率分布，如公式(6)所示：

P(x₁,x₂,…,x_n)＝P(x₁)P(x₂|x₁)P(x₃|x₁,x₂)…P(x_n|x₁,x₂,…x_n-1)  (6)

其中，x₁,x₂,…x_n-1为x_n的直接前驱实体节点向量；

在网络安全知识图谱上进行网络推理时，每一个安全节点在其直接前驱节点的值确定后，这个节点条件独立于其所有非直接前驱前辈节点。基于该特性，任意随机变量组合的联合条件概率分布可以利用下述步骤S23进行简化。

步骤S23：将公式(6)简化成公式(7)，计算所有可能的攻击路径的存在概率；

其中，Parents表示x_i的直接前驱节点的联合；

步骤S24：按上述方法计算G中网络实体节点间所有可能组合的攻击路径存在的概率；将攻击路径存在概率最大的攻击链路作为最可信APT攻击路径。

本发明实施例可以有效计算网络安全知识图谱中所有网络实体节点之间的转移概率，并以全概率的方式计算所有可能的攻击路径的存在概率。大部分知识图谱受限于来源渠道及成本等因素，无法做到覆盖全部实体和关系，因此，本发明提供的方法也可以一定程度上弥补知识图谱不完整造成的实体关联缺失问题。

本发明公开了一种基于概率图模型的网络攻击路径预测方法，针对网络安全实体相似性、关联性计算难以量化计算的特点，结合图谱表示学习技术需求，创造性提出基于表示学习的实体状态转移概率计算方法。利用基于贝叶斯网络等概率图模型算法，构建网络安全实体之间的关系图谱，解决了因多源异构网络安全实体难以建模的难题，极大提高了预测APT潜在攻击路径的能力。

实施例二

如图4所示，本发明实施例提供了一种基于概率图模型的网络攻击路径预测系统，包括下述模块：

计算实体节点状态转移概率模块31，用于获取已有的网络安全知识图谱，利用表示学习将网络实体节点转换为向量，计算向量在欧式空间中的相似度作为网络实体节点状态转移概率；

计算实体节点的联合概率分布模块32，用于利用贝叶斯网络，基于网络实体节点状态转移概率，计算网络实体节点的联合概率分布，选择联合概率最大的攻击链路作为最可信的网络攻击路径。

提供以上实施例仅仅是为了描述本发明的目的，而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改，均应涵盖在本发明的范围之内。

Claims (2)

1.一种基于概率图模型的网络攻击路径预测方法，其特征在于，包括：

步骤S1：获取已有的网络安全知识图谱，利用表示学习将网络实体节点转换为向量，计算所述向量在欧式空间中的相似度作为所述网络实体节点状态转移概率；其中，所述网络实体节点包括：APT组织、威胁指标、安全漏洞和网络资产，具体包括：

步骤S11：采用相似匹配模型构建目标函数，已知所述网络实体节点E_i-2，E_i-1，E_i+1，E_i+2的前提下，预测当前网络实体节点E_i出现的概率，如公式(1)所示：

其中，L表示目标函数，E_i表示当前网络实体节点，Context(E_i)表示E_i周围的网络实体节点，[p(E_i|Context(E_i))表示已知周围网络实体节点出现的情况下，当前网络实体节点E_i出现的概率；

或者，采用翻译模型构建目标函数，如公式(2)所示：

其中，L表示目标函数，γ是margin超参数，h、t分别表示头部网络实体、尾部网络实体，r表示所述网络实体节点之间的关系，S是正样本三元组{h，r，t}的集合，S′_{（h，r，t)}是负样本集合，S′_{（h，r，t)}＝{(h′，r，t)|h′∈E}∪{(h，r，t′)|t′∈E}，h′、t′表示随机替换的错误网络实体节点；

对于公式(2)中f_r(h，t)，通过向量翻译构建所述网络安全知识图谱中所述网络实体节点与关系之间的相关性，如公式(3)所示：

f_r(h，t)＝||h+r-t||_l1    (3)

其中，f_r(h，t)表示目标函数，l1范数表示各个参数的绝对值之和；

步骤S12：通过公式(1)或公式(2)构建的所述目标函数L，将所述网络安全知识图谱中的网络实体节点转换为向量表示E_i和E_j，二者之间的语义关系或者相似度可以通过向量的夹角反映，如公式(4)所示：

其中，P(E_i|E_j)表示所述向量E_i和E_j之间的状态转移概率；n表示向量的维度，|E_i|和|E_j|分别表示E_i和E_j的模；w_ik表示E_i第k维的数值，w_jk表示E_j第k维的数值；

步骤S2：利用贝叶斯网络，基于所述网络实体节点状态转移概率，计算所述网络实体节点的联合概率分布，选择所述联合概率最大的攻击链路作为最可信的网络攻击路径，具体包括：

步骤S21：根据贝叶斯公式，拟合的所述网络实体节点向量之间的状态转移概率，如公式(5)所示：

其中，P(A)，P(B)分别表示事件A和事件B发生的概率，P(A|B)表示B发生的情况下A发生的概率，P(A，B)表示事件A，B同时发生的概率；

步骤S22：令所述网络安全知识图谱G＝(I，E)为一个有向无环图，其中I代表所有的实体节点向量的集合，E代表实体关系的集合，且令X＝(X_i)i∈I为其有向无环图中的某一节点i所代表之随机变量，根据贝叶斯网络计算实体节点向量x_n的联合概率分布，如公式(6)所示：

P(x₁，x₂，...，x_n)＝P(x₁)P(x₂|x₁)P(x₃|x₁，x₂)...P(x_n|x₁，x₂，...x_n-1)    (6)

其中，x₁，x₂，...x_n-1为x_n的直接前驱实体节点向量；

步骤S23：将公式(6)简化成公式(7)，计算所有可能的攻击路径的存在概率；

其中，Parents表示x_i的直接前驱节点的联合；

步骤S24：按上述方法计算G中所述网络实体节点间所有可能组合的攻击路径存在的概率；将攻击路径存在概率最大的攻击链路作为最可信APT攻击路径。

2.一种基于概率图模型的网络攻击路径预测系统，其特征在于，包括下述模块：

计算实体节点状态转移概率模块，用于获取已有的网络安全知识图谱，利用表示学习将网络实体节点转换为向量，计算所述向量在欧式空间中的相似度作为所述网络实体节点状态转移概率，其中，所述网络实体节点包括：APT组织、威胁指标、安全漏洞和网络资产，具体包括：

步骤S11：采用相似匹配模型构建目标函数，已知所述网络实体节点E_i-2，E_i-1，E_i+1，E_i+2的前提下，预测当前网络实体节点E_i出现的概率，如公式(1)所示：

其中，L表示目标函数，E_i表示当前网络实体节点，Context(E_i)表示E_i周围的网络实体节点，[p(E_i|Context(E_i))表示已知周围网络实体节点出现的情况下，当前网络实体节点E_i出现的概率；

或者，采用翻译模型构建目标函数，如公式(2)所示：

其中，L表示目标函数，γ是margin超参数，h、t分别表示头部网络实体、尾部网络实体，r表示所述网络实体节点之间的关系，S是正样本三元组{h，r，t}的集合，S′_{（h，r，t)}是负样本集合，S′_(h，r，t)＝{(h′r，t)|h′∈E}∪{(h，r，t′)|t′∈E}，h′、t′表示随机替换的错误网络实体节点；

对于公式(2)中f_r(h，t)，通过向量翻译构建所述网络安全知识图谱中所述网络实体节点与关系之间的相关性，如公式(3)所示：

f_r(h，t)＝||h+r-t||_l1   (3)

其中，f_r(h，t)表示目标函数，l1范数表示各个参数的绝对值之和；

步骤S12：通过公式(1)或公式(2)构建的所述目标函数L，将所述网络安全知识图谱中的网络实体节点转换为向量表示E_i和E_j，二者之间的语义关系或者相似度可以通过向量的夹角反映，如公式(4)所示：

其中，P(E_i|E_j)表示所述向量E_i和E_j之间的状态转移概率；n表示向量的维度，|E_i|和|E_j|分别表示E_i和E_j的模；w_ik表示E_i第k维的数值，w_jk表示E_j第k维的数值；

计算实体节点的联合概率分布模块，用于利用贝叶斯网络，基于所述网络实体节点状态转移概率，计算所述网络实体节点的联合概率分布，选择所述联合概率最大的攻击链路作为最可信的网络攻击路径，具体包括：

步骤S21：根据贝叶斯公式，拟合的所述网络实体节点向量之间的状态转移概率，如公式(5)所示：

其中，P(A)，P(B)分别表示事件A和事件B发生的概率，P(A|B)表示B发生的情况下A发生的概率，P(A，B)表示事件A，B同时发生的概率；

步骤S22：令所述网络安全知识图谱G＝(I，E)为一个有向无环图，其中I代表所有的实体节点向量的集合，E代表实体关系的集合，且令X＝(X_i)i∈I为其有向无环图中的某一节点i所代表之随机变量，根据贝叶斯网络计算实体节点向量x_n的联合概率分布，如公式(6)所示：

P(x₁，x₂，...，x_n)＝P(x₁)P(x₂|x₁)P(x₃|x₁，x₂)...P(x_n|x₁，x₂，...x_n-1)   (6)

其中，x₁，x₂，...x_n-1为x_n的直接前驱实体节点向量；

步骤S23：将公式(6)简化成公式(7)，计算所有可能的攻击路径的存在概率；

其中，Parents表示x_i的直接前驱节点的联合；

步骤S24：按上述步骤计算G中所述网络实体节点间所有可能组合的攻击路径存在的概率；将攻击路径存在概率最大的攻击链路作为最可信APT攻击路径。

Images