CN116527288A - 基于知识图谱的网络攻击安全风险评估系统及方法 - Google Patents

基于知识图谱的网络攻击安全风险评估系统及方法 Download PDF

Info

Publication number
CN116527288A
CN116527288A CN202210073641.4A CN202210073641A CN116527288A CN 116527288 A CN116527288 A CN 116527288A CN 202210073641 A CN202210073641 A CN 202210073641A CN 116527288 A CN116527288 A CN 116527288A
Authority
CN
China
Prior art keywords
attack
result
asset
knowledge
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210073641.4A
Other languages
English (en)
Inventor
陈秀真
马颖华
赖柏希
于海洋
裘炜程
杨华
侯书凝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN202210073641.4A priority Critical patent/CN116527288A/zh
Publication of CN116527288A publication Critical patent/CN116527288A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/338Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computational Linguistics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Animal Behavior & Ethology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于知识图谱的网络攻击安全风险评估系统及方法,系统包括:网络空间安全知识图谱模块:将获取的入侵检测系统的告警信息输入知识图谱中,告警信息为入侵检测系统检测到网络攻击后生成的;推理引擎模块:根据预设规则和知识图谱,得到网络攻击对特定资产造成的攻击结果,并将攻击结果以及对应的推理路径发送至结果展示模块;结果展示模块:对攻击结果和推理路径进行可视化展示。与现有技术相比,本发明将知识图谱引入复杂网络攻击的关联识别领域,根据知识图谱及系统结构、实时告警等信息,推断出复杂网络攻击可能造成的后果,解决了入侵检测系统缺乏对长期、跨资产的复杂网络攻击的关联分析的问题。

Description

基于知识图谱的网络攻击安全风险评估系统及方法
技术领域
本发明涉及计算机网络安全技术领域,具体地,涉及一种基于知识图谱的网络攻击安全风险评估系统及方法。
背景技术
复杂网络攻击是指在发生在较长时间段内,包含多个攻击步骤的网络攻击;复杂网络攻击的攻击对象较广,既可能类似传统网络攻击,以窃取数据为目的,对服务器发起攻击;也可能以获取目标系统控制权为目的,针对工业控制网络发起攻击。尽管现代企业中部署入侵检测系统(Intrusion Detection System,IDS)实时检测网络攻击行为,但IDS系统每天会生成大量的威胁告警信息,需要安全专家研判告警事件是否为复杂网络攻击的一部分;同时IDS告警数目大,且存在误报,安全专家难以处理,往往使得真实的攻击事件淹没在大量的攻击告警中而未被察觉;同时,IDS系统往往针对单个网络攻击的检测设计,无法判定复杂网络攻击的进程,同时不能对攻击可能造成的后果进行预估,而这些信息对系统的防护与降低攻击损失有十分重要的作用。
针对复杂网络攻击的检测,仅使用IDS告警是不充分的,检测系统应有能力判定是否发生复杂网络攻击、复杂网络攻击的进展情况、现阶段复杂网络攻击可能造成的后果及其发生的可能性。
专利文献CN109347801B公开了一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法,根据信息安全知识图谱,构建网络安全相关的数据源本体,然后从不同在线数据源中获取最新的在线信息;对数据进行预处理并利用词嵌入进行词向量化;把词向量化的数据依据知识图谱映射为一个实体与实体之间的关系图;结合历史数据集合和知识图谱构建漏洞利用风险评估模型,进行漏洞利用风险评估,并给出漏洞利用风险的评估依据。但该方法并未解决复杂网络攻击的造成的结果进行判定的问题。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种基于知识图谱的网络攻击安全风险评估方法及系统。
根据本发明提供的一种基于知识图谱的网络攻击安全风险评估系统,包括:
网络空间安全知识图谱模块:将获取的入侵检测系统的告警信息输入知识图谱中,告警信息为入侵检测系统检测到网络攻击后生成的;
推理引擎模块:根据预设规则和知识图谱,得到网络攻击对特定资产造成的攻击结果,并将攻击结果以及对应的推理路径发送至结果展示模块;
结果展示模块:对攻击结果和推理路径进行可视化展示。
优选地,网络空间安全知识图谱模块,包括:
知识子图构建子模块:根据网络漏洞数据库,将网络空间安全概念作为节点,网络空间安全概念之间的关系作为边,构建知识子图;
资产信息子图构建子模块:根据待部署系统的资产拓扑以及每个资产包含的CVE漏洞构建资产信息子图,资产信息子图与知识子图互联;
攻击信息子图构建子模块:攻击信息子图包含攻击事件节点,通过攻击事件节点分别与知识子图和资产信息子图互联;
知识图谱包括知识子图、资产信息子图和攻击信息子图。
优选地,推理引擎模块,包括:
推理引擎子模块:根据预设规则和知识图谱,通过路径排序,得到网络攻击对特定资产造成的攻击结果,并将攻击结果以及对应的推理路径发送至结果展示模块。
优选地,预设规则包括以下至少一种:
特定资产本身包含的CVE漏洞造成的第一攻击子结果;
特定资产遭遇的网络攻击造成的第二攻击子结果;
与特定资产在拓扑上相连的其他资产存在的CVE漏洞被利用或者遭遇网络攻击后,对特定资产造成的第三攻击子结果;
根据第一攻击子结果、第二攻击子结果和第三攻击子结果,得到攻击结果。
优选地,结果展示模块,包括:
结果展示子模块:通过选择日期,查看不同时间点的攻击结果和推理路径。
根据本发明提供的一种基于知识图谱的网络攻击安全风险评估方法,包括:采用上述基于知识图谱的网络攻击安全风险评估系统,执行步骤:
步骤1:将获取的入侵检测系统的告警信息输入知识图谱中,告警信息为入侵检测系统检测到网络攻击后生成的;
步骤2:根据预设规则和知识图谱,得到网络攻击对特定资产造成的攻击结果;
步骤3:对攻击结果和推理路径进行可视化展示。
优选地,步骤1,包括:
步骤101:根据网络漏洞数据库,将网络空间安全概念作为节点,网络空间安全概念之间的关系作为边,构建知识子图;
步骤102:根据待部署系统的资产拓扑以及每个资产包含的CVE漏洞构建资产信息子图,资产信息子图与知识子图互联;
步骤103:攻击信息子图包含攻击事件节点,通过攻击事件节点分别与知识子图和资产信息子图互联,知识图谱包括知识子图、资产信息子图和攻击信息子图。
优选地,步骤101,包括:
步骤1011:获取网络漏洞数据库,并对网络漏洞数据库进行数据解析,得到网络空间安全概念和网络空间安全概念之间的关系;
步骤1012:将网络空间安全概念作为节点,网络空间安全概念之间的关系作为边,构建知识子图。
优选地,步骤2,包括:
步骤201:每隔预设时间,根据知识图谱和预设规则,使用路径排序算法,得到网络攻击对特定资产造成的攻击结果和对应的推理路径。
优选地,预设规则包括以下至少一种:
特定资产本身包含的CVE漏洞造成的第一攻击子结果;
特定资产遭遇的网络攻击造成的第二攻击子结果;
与特定资产在拓扑上相连的其他资产存在的CVE漏洞被利用或者遭遇网络攻击后,对特定资产造成的第三攻击子结果;
步骤201,包括:
步骤2011:根据第一攻击子结果、第二攻击子结果和第三攻击子结果,得到攻击结果。
与现有技术相比,本发明具有如下的有益效果:
1、本发明通过构建推理引擎,接受并过滤来自IDS的告警信息,即使长期运行,图数据库中数据量也不会过大,无需对图数据库进行定时删除操作,必要信息可保存足够长的时间进行关联分析。
2、本发明采用模块化设计,知识图谱可以按需更新,推理规则与风险阈值均可自行设定,部署灵活,适合企业级用户使用。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明的网络空间安全知识图谱模块的结构示意图;
图2为本发明的流程示意图;
图3为本发明的应用场景的示意图;
图4为本发明的结果展示模块中展示的五条推理依据。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
本发明提供了一种基于知识图谱的网络攻击安全风险评估系统,包括:网络空间安全知识图谱模块、推理引擎模块和结果展示模块。
网络空间安全知识图谱模块:将获取的入侵检测系统的告警信息输入知识图谱中,告警信息为入侵检测系统检测到网络攻击后生成的。
优选地,网络空间安全知识图谱模块,包括:知识子图构建子模块:根据网络漏洞数据库,将网络空间安全概念作为节点,网络空间安全概念之间的关系作为边,构建知识子图;资产信息子图构建子模块:根据待部署系统的资产拓扑以及每个资产包含的CVE漏洞构建资产信息子图,资产信息子图与知识子图互联;攻击信息子图构建子模块:攻击信息子图包含攻击事件节点,通过攻击事件节点分别与知识子图和资产信息子图互联;知识图谱包括知识子图、资产信息子图和攻击信息子图。
具体地,图1为本发明的网络空间安全知识图谱模块的结构示意图,如图1所示,网络空间安全知识图谱本体包括知识子图、资产信息子图和攻击信息子图。知识子图通过网络漏洞数据库构建,知识子图储存常见缺陷列表节点(Common Weakness Enumeration,CWE)、攻击类型枚举和分类数据集节点(Common Attack Pattern Enumeration andClassification,CAPEC)、技术节点(TECHNIQUE)和攻击节点(INSTANCE)以及节点之间的关系信息;资产信息子图可通过待部署系统的资产拓扑以及每个资产包含的通用漏洞披露(Common Vulnerabilities&Exposures,CVE)漏洞构建,资产信息子图存储资产节点(ASSET)和CVE节点以及节点间的关系,同时,资产信息子图通过CVE与CWE的关系与知识子图互联;攻击信息子图包含攻击事件节点(INSTANCE),INSTANCE节点通过与TECHNIQUE节点的关系与知识子图互联,INSTANCE节点通过与ASSET节点的关系与资产信息子图互联。
本发明中对于网络漏洞信息库不做限制,示例性的,可以为国家漏洞数据库(美国国家标准与技术研究院)(National Vulnerability Database(National Institute ofStandards and Technology),NVD)、对抗性战术,技术以及公共知识库(AdversarialTactics,Techniques,and Common Knowledge,ATT&CK)。
其中,CVE是国际上一个出名的公共漏洞和暴露信息库,里面含有漏洞的统一名称与标准化描述;CWE是一个常见缺陷列表,它可以发现和识别缺陷和易受攻击点;CAPEC提供了一个与漏洞有关的常见攻击模式目录;NVD是美国政府使用安全内容自动化协议(SCAP)表示的基于标准的漏洞管理数据的存储库;ATT&CK是由MITRE机构开发的攻击模型框架,是一个基于现实世界所观察到的攻击向量所组成的一个公开的对抗性战术和技术知识库,其可被用于私营机构、政府部门、网络安全产品和服务社区作为特定威胁模型和方法的开发基础。
具体地,网络空间安全知识图谱模块的构建方法如下:首先,根据NVD、MITRE ATT&CK等网络漏洞数据库中的信息,获取TECHNIQUE节点、CAPEC节点、CWE节点和IMPACT节点以及节点间的关系,存入图数据库,构建知识子图;然后,获取待部署系统资产拓扑,扫描各个资产含有的CVE漏洞,通过网络漏洞数据库获取CVE节点与CWE节点间的关系,一并存入图数据库,构建资产信息子图;最后,在部署完成后,接收来自IDS的告警信息,若一个告警信息是独特的,即该告警信息对应的ASSET节点上,该告警类型是之前未发生过的,那么在攻击信息子图中为该告警创建一个INSTANCE节点,并根据告警信息建立INSTANCE节点与ASSET节点和TECHNIQUE节点的连接;若某告警信息在图数据库中存在同类INSTANCE节点,那么更新同类INSTANCE节点的时间戳信息,而不创建新的INSTANCE节点。
推理引擎模块:根据预设规则和知识图谱,得到网络攻击对特定资产造成的攻击结果,并将攻击结果以及对应的推理路径发送至结果展示模块。
优选地,推理引擎模块,包括:推理引擎子模块:根据预设规则和知识图谱,通过路径排序,得到网络攻击对特定资产造成的攻击结果,并将攻击结果以及对应的推理路径发送至结果展示模块。
优选地,预设规则包括以下至少一种:特定资产本身包含的CVE漏洞造成的第一攻击子结果;特定资产遭遇的网络攻击造成的第二攻击子结果;与特定资产在拓扑上相连的其他资产存在的CVE漏洞被利用或者遭遇网络攻击后,对特定资产造成的第三攻击子结果;根据第一攻击子结果、第二攻击子结果和第三攻击子结果,得到攻击结果。
具体地,推理引擎模块以网络空间安全知识图谱和预设规则为输入,输出复杂网络攻击的发生概率及推理依据。
本发明使用路径排序算法(Path Ranking Algorithm,PRA)进行推理,路径排序算法的方法为:输入一个或数个查询实体后,路径排序算法在知识图谱上进行随机游走,并会根据不同的路径到达多种结果,且每种结果由多条路径到达。为了评估每种结果的可靠性,每一条路径都会对应一个权值和一个分配值,一个推理结果的评分为到达该结果的所有路径所对应的权值与分配值之积求和。推理完成后,推理引擎模块输出该特定资产面临的风险及其分数,以及最重要的数条推理依据,即知识图谱中的路径,并输出至结果展示模块。推理引擎模块随着网络攻击的进展,实时地、动态地反应特定资产面临的安全风险,允许安全管理专家及时地做出反应,且掌握攻击发展的全貌。
具体地,推理引擎的工作的逻辑步骤如下:首先,由安全专家给定预设规则,规定推理引擎模块的推理路径模式,减少推理的噪音;然后,每隔预设时间,读取网络空间安全知识图谱,使用PRA算法推理特定资产可能面临的风险及其分值,即攻击结果;最后,将攻击结果推送至结果展示模块。
示例性的,安全专家可从三个角度构建推理规则:特定资产本身包含的CVE漏洞可能造成的后果;特定资产遭遇的攻击可能造成的后果;与特定资产在拓扑上相连的其它资产存在的CVE漏洞被利用或被攻击后,对特定资产可能造成的后果。
结果展示模块:对攻击结果和推理路径进行可视化展示。
优选地,结果展示模块,包括:结果展示子模块:通过选择日期,查看不同时间点的攻击结果和推理路径。
具体地,结果展示界面使用图表方式可视化展示攻击结果和推理路径,给出特定资产当前面临的风险列表及其可能性分值。此外,可以通过选择日期,查看不同时间点的攻击结果,以帮助网络安全审计人员掌握复杂网络攻击的发展过程。
本发明旨在解决复杂网络攻击检测困难的问题,本发明接收来自IDS等系统的安全告警事件,并将告警事件信息结构化处理后存入知识图谱中,利用推理引擎模块进行对网络攻击可能造成的后果进行推理,最后将复杂网络攻击可能导致的后果以及推理依据展示在管理员审查界面上,以便安全审计专家查阅。
可知的是,本申请对网络攻击不做限制。示例性的,可以为复杂网络攻击。
本发明将知识图谱(Knowledge Graph,KG)引入复杂网络攻击的关联识别领域,将攻击实例、攻击技术、CVE漏洞、资产等实体表示为图谱的节点,将知识间的概念联系、资产的漏洞利用、攻击的技术与目标等关系表示为图谱的边,进一步根据知识图谱及系统结构、实时告警等信息,推断出复杂网络攻击可能造成的后果。
图2为本发明的流程示意图,如图2所示,本发明提供了一种基于知识图谱的网络攻击安全风险评估方法,包括:采用上述的基于知识图谱的网络攻击安全风险评估系统,执行以下步骤:
步骤1:将获取的入侵检测系统的告警信息输入知识图谱中,告警信息为入侵检测系统检测到网络攻击后生成的。
优选地,步骤1,包括:步骤101:根据网络漏洞数据库,将网络空间安全概念作为节点,网络空间安全概念之间的关系作为边,构建知识子图;步骤102:根据待部署系统的资产拓扑以及每个资产包含的CVE漏洞构建资产信息子图,资产信息子图与知识子图互联;步骤103:攻击信息子图包含攻击事件节点,通过攻击事件节点分别与知识子图和资产信息子图互联,知识图谱包括知识子图、资产信息子图和攻击信息子图。
进一步地,步骤101,包括:步骤1011:获取网络漏洞数据库,并对网络漏洞数据库进行数据解析,得到网络空间安全概念和网络空间安全概念之间的关系;步骤1012:将网络空间安全概念作为节点,网络空间安全概念之间的关系作为边,构建知识子图。
下面对于知识图谱中知识子图、资产信息子图和攻击信息子图的构建方式进行说明。
示例性的,知识子图部分包含ATT&CK节点,CAPEC节点和CWE节点等,本发明从网络漏洞数据库网站上获取并解析数据,将解析出的网络空间安全概念转化为节点,网络空间安全概念之间的关系转化为边,从而形成知识子图,表格1为本发明提供的知识子图中的节点类型名称和对应的节点数目,本实施例中知识子图信息如表格1所示:
表格1
节点类型名称 节点数目
TECHNIQUE 545
CAPEC 522
CWE 939
IMPACT 19
资产信息子图包含两部分内容:资产间的拓扑连接关系和每一个资产所包含的CVE漏洞信息。通过接收待部署集群的资产拓扑,本发明将资产转换为节点,资产间的连接关系转化为边,建立起资产间的连接关系,示例性的,可以将资产的IP号转换为节点;本发明将每个资产所含有的CVE漏洞的信息转化为节点,将CVE节点与包含CVE漏洞的资产建立连接;最后,本发明整理从网络漏洞数据库网站上获取到的CVE节点与CWE节点之间的关系,以边的形式添加到知识图谱中,使得资产信息子图通过图1中的“ASSET-CVE-CWE”的路径与知识子图相连。
在本发明中攻击信息子图的初始状态为空,随着待部署系统的运行,本发明将接受并解析来自IDS的告警事件或攻击报告的形成的告警信息,并自动进行解析,将每一次独特的告警作为一个INSTANCE节点加入到攻击信息子图中;同时,通过分析告警事件或攻击报告形成的告警信息,本发明会将告警或攻击中攻击者所运用的攻击技术映射到知识子图的TECHNIQUE节点中,将攻击目标映射到资产信息子图中的对应ASSET节点,并将它们与对应INSTANCE节点相连;这样,攻击信息子图可以通过图1中“INSTANCE-TECHNIQUE”与知识子图相连,同时通过“INSTANCE-ASSET”与资产信息子图相连。随着待部署系统的不断运行,攻击信息子图的内容也会不断扩充。
在本发明中图数据库的输入是未经处理的告警信息,这些信息中往往含有冗余告警,如:攻击者对敏感资产的登录界面进行密码爆破攻击,并进行1000次尝试,此时上级告警系统可能相应发出1000次安全告警,如果将这些冗余的信息全部加入图数据库中,在长期运行后将影响图数据库的稳定性,因此,图数据库需要对告警事件进行过滤。每次存在告警事件输入时,图数据库将判断每一个攻击告警是否为“独特”的,并仅为“独特”的攻击告警创建INSTANCE类节点。判定一个攻击告警是否“独特”的方法如下:每一个攻击告警都会与TECHNIQUE、ASSET类型的节点建立连接,若一个攻击告警与TECHNIQUE和ASSET类节点的连接关系与图数据库中其它所有的INSTANCE类节点都不同,那么称该告警事件是“独特”的,图数据库会为其单独创建一个节点;若一个告警不是“独特”的,那么图数据库会将其匹配到图数据库中已存在的INSTANCE节点上,并仅更新该节点的时间戳等信息。
步骤2:根据预设规则和知识图谱,得到网络攻击对特定资产造成的攻击结果。
优选地,步骤2,包括:步骤201:每隔预设时间,根据知识图谱和预设规则,使用路径排序算法,得到网络攻击对特定资产造成的攻击结果和对应的推理路径。
在本发明中,预设规则包括以下至少一种:特定资产本身包含的CVE漏洞造成的第一攻击子结果;特定资产遭遇的网络攻击造成的第二攻击子结果;与特定资产在拓扑上相连的其他资产存在的CVE漏洞被利用或者遭遇网络攻击后,对特定资产造成的第三攻击子结果;步骤201,包括:步骤2011:根据第一攻击子结果、第二攻击子结果和第三攻击子结果,得到攻击结果。
具体地,推理引擎模块接收安全专家设定的预设规则,使用路径排序算法在网络空间安全知识图谱上进行推理。每一次启动推理时,推理引擎首先会检查两次推理间隔期间图数据库是否存在新增的告警事件,即新增的INSTANCE节点,若存在,推理引擎将使用PRA算法,根据预设规则计算单个告警事件对特定资产可能造成的后果,并将该值存入图数据库中;当推理引擎完成对两次推理间隔内所有新增的INSTANCE节点风险分析后,推理引擎将使用PRA算法推理所有告警事件对特定资产可能造成何种后果,并对每种后果的严重程度评分。
下面简述本实施例中PRA算法的实现方法。
在网络空间安全知识图谱中,给定一个查询请求,即给定起始节点与目标节点约束后,通过多条不同的路径可以抵达多种不同的答案,PRA算法通过设置评分函数为每种得到的答案计算可靠性:设存在一以Eq为出发点的查询请求,在知识图谱中通过路径P1,P2,…,Pn抵达结果节点e,那么该结果的评分可通过公式(1)表示:
其中,n表示路径的数量,为正整数;θi表示路径Pi对应的权值;表示路径以Eq为起点,以e为终点的路径Pi对应的分配值。公式(1)表明,一个查询结果的评分由到达它的路径的权值与分配值共同决定,下面介绍权值与分配值的计算方法。
具体地,路径的权值是反应知识图谱中的路径在逻辑上可靠程度的指标,由安全专家给定。以某资产节点为起点,推理该节点被攻击时可能造成哪些后果时存在多种推理路径模式,不同路径模式符合逻辑的程度是不同的,因此每条路径对最终结果的贡献度也不同,对于更符合逻辑的推理模式,赋予更高的权值。表格2为本发明提供的路径模式及其权值。
表格2
如表格2所示,在本实施例的复杂网络攻击场景下共设置了12条推理路径,它们依照其合理程度被赋予了不同的权值。1-2号路径模式的推理逻辑为:根据特定资产遭遇的攻击所使用的攻击技术推理可能发生的后果,3-4号路径模式的推理逻辑为:根据特定资产存在的CVE漏洞推理其当CVE漏洞被利用时,可能造成的后果。由于1-2号路径模式根据既定事实,即已经发生过的攻击实例,进行推理,而3-4号路径模式根据尚未发生的、仅存在可能的知识进行推理,因此由1-2号路径模式推理得到的结果的可信度更高,应赋予更大的权值。5-6以及9-10号路径模式与1-2号路径模式分别对应,区别在于在路径模式的开始增加了额外的一至两项“ASSET”,此时,路径模式反映特定资产在拓扑上相连的其它资产被攻击后对特定资产可能造成的后果,攻击到拓扑上有连接关系的资产固然对特定资产造成了威胁,但与直接攻击到特定资产相比威胁更低,因此相比于1-2号路径模式,赋予5-6和9-10号路径更低的权值。7-8号路径模式和11-12号路径模式分别与3-4号路径对应,它们反映与特定资产在拓扑上相连的资产含有的CVE漏洞可能对特定资产造成的威胁,相比与特定资产本身的CVE漏洞,威胁更低,因此赋予它们相对于3-4号路径模式更低的权值。
路径Pi的分配值hi由知识图谱的拓扑决定,可通过递归计算得到。定义R为知识图谱中的关系,即边,R(e,e′)表示头实体e与尾实体e′通过关系R相连。一条推理路径P可以写作一组关系序列,如P=R1R2…Rl-1Rl。对于任意一条推理路径P=R1R2…Rl-1Rl,给定查询请求Eq、推理结果e,当P是一条空路径时,定义路径分配值可以通过公式(2):
当路径P不是空路径时,设P=R1R2…Rl-1Rl,P′=R1R2…Rl-1,,定义Range(P′)为与路径P′相连的所有尾实体的集合,此时路径P的分配值将递归计算,具体地,可以通过公式(3)计算:
其中,I(Rl(e′,e))表示激活函数,当节点e′和节点e通过Rl相连时取1,否则取0。
图3为本发明的应用场景的示意图,如图3所示,本实施例的场景中包含3个主机,分别为外围主机(H1),中间主机(H2)和敏感主机(H3)。他们的重要性程度依次上升,从拓扑结构上来讲,外围主机与中间主机相连,中间主机与外围主机和敏感主机相连。外围主机已知存在远程桌面服务漏洞(CVE-2019-0708),中间主机存在命令注入漏洞(CVE-2017-14480)和权限提升漏洞(CVE-2018-17160),在如此构建的场景下,假设存在一个针对窃取敏感主机中敏感文件的复杂网络攻击,其攻击场景由9步构成,表格3为本发明提供的攻击场景的9个步骤。
表格3
对如表格3所示的九个步骤的攻击进行推理,当结果计算完成后,推理引擎输出每种结果对应的评分s,并汇总在一张表内,并将该表的内容传递给结果显示模块,表格4为本发明提供的、为推理结果实例,如表格4所示,表格4内“结果名称”列为特定资产可能面临的风险,“评分”列指出了每种可能面临的风险的相对可能性大小,评分越高,代表这种风险发生的可能性越大。
表格4
ID 结果名称 评分1 评分2
1 Read Application Data 9.45 42.65
2 Modify Application Data 2.59 13.13
3 Gain Privileges or Assume Identity 7.49 25.56
4 Read Files or Directories 0.25 4.38
5 Varies by Context 1.37 4.25
6 Read Memory 0.05 2.10
7 Bypass Protection Mechanism 4.11 11.56
8 Modify Memory 0.79 2.49
9 Hide Activities 0.08 0.55
10 Execute Unauthorized Code or Commands 2.06 3.49
11 Reduce Reliability 0.64 0.51
12 Other 2.67 1.06
13 Unexpected State 0 0.03
14 DoS 0.88 0.68
15 Alter Execution Logic 0.01 0.01
表格4中评分1表示攻击进行到表格3中的攻击场景的步骤3时推理系统给出的评分,评分2表示攻击进行到步骤8时推理系统出的评分。根据表格4内数据可以看出,推理引擎判断攻击者的目的为“Read Application Data”,与实施例中假设攻击者实行数据窃取攻击一致,表明本系统可以判断出攻击者目的;同时,从时间维度上看,随着攻击的进展,特定资产面临的各项风险评分上升,表明特定资产受到的威胁逐渐变大,该指标指示复杂网络攻击存在的可能性上升,同时“Read Application Data”上升的幅度最大,从另一角度表明该资产面临的最大风险为数据窃取。
步骤3:对攻击结果和推理路径进行可视化展示。
具体地,推理过程结束后,推理引擎模块会将推理结果发送至结果展示模块。本发明的结果展示模块会显示当前最有可能发生的攻击后果以及部分推理依据;本发明的结果展示模块将推理依据可视化,推理依据是指图推理引擎根据预先设定的推理规则在知识图谱中找到的具体存在的路径,即推理路径。图4为本发明的结果展示模块中展示的五条推理依据,如图4所示,以第一条路径为例,其含义为,资产(ASSET)节点“sensitive_host”,即实施例中的H3,遭受了ID为“7ATTACK7”,即实施例攻击中的第8步的攻击(INSTANCE),ID为“7ATTACK7”的攻击事件使用的战术(TECHNIQUE)为“T1005”,该战术可以被映射到CAPEC类型中的“CAPEC-117”,而该CAPEC类型会造成后果“READ APPLICATION DATA”。该路径就解释了推理引擎模块判定资产“sensitive_host”面临“READ APPLICATION DATA”风险的依据,以此类推,可以对图4中的所有路径进行解释。此外,结果展示模块可支持历史日志功能,即可以通过切换日期展示在不同时间节点上特定资产面临的威胁及其评分,以及做出这样判断的推理依据。
本发明解决的技术问题是:
1、入侵检测系统(Intrusion Detection System,IDS)实时检测网络攻击行为,但IDS系统每天会生成大量的威胁告警信息,需要安全专家研判告警事件是否为复杂网络攻击的一部分。
2、IDS告警数目大,且存在误报,安全专家难以处理,往往使得真实的攻击事件淹没在大量的攻击告警中而未被察觉。
3、IDS系统往往针对单个网络攻击的检测设计,无法判定复杂网络攻击的进程,同时不能对攻击可能造成的后果进行预估,而这些信息对系统的防护与降低攻击损失有十分重要的作用。
本发明的技术原理是:
接收来自IDS等系统的安全告警事件,并将告警事件信息结构化处理后存入知识图谱中,利用推理引擎进行对攻击可能造成的后果进行推理,最后将复杂网络攻击可能导致的后果以及推理依据展示在管理员审查界面上,以便安全审计专家查阅。
与现有技术相比,本发明具有以下有益效果:
1、本发明通过构建推理引擎,接受并过滤来自IDS的告警信息,即使长期运行,图数据库中数据量也不会过大,无需对图数据库进行定时删除操作,必要信息可保存足够长的时间进行关联分析。
2、本发明采用模块化设计,知识图谱可以按需更新,推理规则与风险阈值均可自行设定,部署灵活,适合企业级用户使用。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法子模块M进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。

Claims (10)

1.一种基于知识图谱的网络攻击安全风险评估系统,其特征在于,包括:
网络空间安全知识图谱模块:将获取的入侵检测系统的告警信息输入知识图谱中,所述告警信息为所述入侵检测系统检测到网络攻击后生成的;
推理引擎模块:根据预设规则和所述知识图谱,得到所述网络攻击对特定资产造成的攻击结果,并将所述攻击结果以及对应的推理路径发送至结果展示模块;
结果展示模块:对所述攻击结果和所述推理路径进行可视化展示。
2.根据权利要求1所述的基于知识图谱的网络攻击安全风险评估系统,其特征在于,所述网络空间安全知识图谱模块,包括:
知识子图构建子模块:根据网络漏洞数据库,将网络空间安全概念作为节点,所述网络空间安全概念之间的关系作为边,构建知识子图;
资产信息子图构建子模块:根据待部署系统的资产拓扑以及每个资产包含的CVE漏洞构建资产信息子图,所述资产信息子图与所述知识子图互联;
攻击信息子图构建子模块:攻击信息子图包含攻击事件节点,通过所述攻击事件节点分别与所述知识子图和所述资产信息子图互联;
所述知识图谱包括所述知识子图、所述资产信息子图和所述攻击信息子图。
3.根据权利要求1所述的基于知识图谱的网络攻击安全风险评估系统,其特征在于,所述推理引擎模块,包括:
推理引擎子模块:根据所述预设规则和所述知识图谱,通过路径排序,得到所述网络攻击对特定资产造成的攻击结果,并将所述攻击结果以及对应的推理路径发送至结果展示模块。
4.根据权利要求2或3所述的基于知识图谱的网络攻击安全风险评估系统,其特征在于,所述预设规则包括以下至少一种:
所述特定资产本身包含的所述CVE漏洞造成的第一攻击子结果;
所述特定资产遭遇的所述网络攻击造成的第二攻击子结果;
与所述特定资产在拓扑上相连的所述其他资产存在的所述CVE漏洞被利用或者遭遇所述网络攻击后,对所述特定资产造成的第三攻击子结果;
根据所述第一攻击子结果、所述第二攻击子结果和所述第三攻击子结果,得到所述攻击结果。
5.根据权利1所述的基于知识图谱的网络攻击安全风险评估系统,其特征在于,所述结果展示模块,包括:
结果展示子模块:通过选择日期,查看不同时间点的所述攻击结果和所述推理路径。
6.一种基于知识图谱的网络攻击安全风险评估方法,其特征在于,包括步骤:
步骤1:将获取的入侵检测系统的告警信息输入知识图谱中,所述告警信息为所述入侵检测系统检测到网络攻击后生成的;
步骤2:根据预设规则和所述知识图谱,得到所述网络攻击对特定资产造成的攻击结果;
步骤3:对所述攻击结果和所述推理路径进行可视化展示。
7.根据权利要求6所述的基于知识图谱的网络攻击安全风险评估方法,其特征在于,所述步骤1,包括:
步骤101:根据网络漏洞数据库,将网络空间安全概念作为节点,所述网络空间安全概念之间的关系作为边,构建知识子图;
步骤102:根据待部署系统的资产拓扑以及每个资产包含的CVE漏洞构建资产信息子图,所述资产信息子图与所述知识子图互联;
步骤103:攻击信息子图包含攻击事件节点,通过所述攻击事件节点分别与所述知识子图和所述资产信息子图互联,所述知识图谱包括所述知识子图、所述资产信息子图和所述攻击信息子图。
8.根据权利要求5或6所述的基于知识图谱的网络攻击安全风险评估方法,其特征在于,所述步骤101,包括:
步骤1011:获取所述网络漏洞数据库,并对所述网络漏洞数据库进行数据解析,得到网络空间安全概念和所述网络空间安全概念之间的关系;
步骤1012:将所述网络空间安全概念作为节点,所述网络空间安全概念之间的关系作为边,构建所述知识子图。
9.根据权利要求6所述的基于知识图谱的网络攻击安全风险评估方法,其特征在于,所述步骤2,包括:
步骤201:每隔预设时间,根据所述知识图谱和所述预设规则,使用路径排序算法,得到网络攻击对特定资产造成的攻击结果和对应的推理路径。
10.根据权利7或8所述的基于知识图谱的网络攻击安全风险评估方法,其特征在于,所述预设规则包括以下至少一种:
所述特定资产本身包含的所述CVE漏洞造成的第一攻击子结果;
所述特定资产遭遇的所述网络攻击造成的第二攻击子结果;
与所述特定资产在拓扑上相连的所述其他资产存在的所述CVE漏洞被利用或者遭遇所述网络攻击后,对所述特定资产造成的第三攻击子结果;
所述步骤201,包括:
步骤2011:根据所述第一攻击子结果、所述第二攻击子结果和所述第三攻击子结果,得到所述攻击结果。
CN202210073641.4A 2022-01-21 2022-01-21 基于知识图谱的网络攻击安全风险评估系统及方法 Pending CN116527288A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210073641.4A CN116527288A (zh) 2022-01-21 2022-01-21 基于知识图谱的网络攻击安全风险评估系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210073641.4A CN116527288A (zh) 2022-01-21 2022-01-21 基于知识图谱的网络攻击安全风险评估系统及方法

Publications (1)

Publication Number Publication Date
CN116527288A true CN116527288A (zh) 2023-08-01

Family

ID=87396348

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210073641.4A Pending CN116527288A (zh) 2022-01-21 2022-01-21 基于知识图谱的网络攻击安全风险评估系统及方法

Country Status (1)

Country Link
CN (1) CN116527288A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116723052A (zh) * 2023-08-04 2023-09-08 北京微步在线科技有限公司 一种网络攻击响应方法、装置、计算机设备及存储介质
CN117220961A (zh) * 2023-09-20 2023-12-12 中国电子科技集团公司第十五研究所 一种基于关联规则图谱的入侵检测方法及装置
CN117749534A (zh) * 2024-02-21 2024-03-22 鹏城实验室 网络安全分析方法、装置、电子设备及可读存储介质

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116723052A (zh) * 2023-08-04 2023-09-08 北京微步在线科技有限公司 一种网络攻击响应方法、装置、计算机设备及存储介质
CN116723052B (zh) * 2023-08-04 2023-10-20 北京微步在线科技有限公司 一种网络攻击响应方法、装置、计算机设备及存储介质
CN117220961A (zh) * 2023-09-20 2023-12-12 中国电子科技集团公司第十五研究所 一种基于关联规则图谱的入侵检测方法及装置
CN117220961B (zh) * 2023-09-20 2024-05-07 中国电子科技集团公司第十五研究所 一种基于关联规则图谱的入侵检测方法、装置及存储介质
CN117749534A (zh) * 2024-02-21 2024-03-22 鹏城实验室 网络安全分析方法、装置、电子设备及可读存储介质
CN117749534B (zh) * 2024-02-21 2024-05-07 鹏城实验室 网络安全分析方法、装置、电子设备及可读存储介质

Similar Documents

Publication Publication Date Title
US11683333B1 (en) Cybersecurity and threat assessment platform for computing environments
CN108933793B (zh) 基于知识图谱的攻击图生成方法及其装置
CN109347801B (zh) 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
CN116527288A (zh) 基于知识图谱的网络攻击安全风险评估系统及方法
EP3216193B1 (en) Recombinant threat modeling
US9426169B2 (en) System and method for cyber attacks analysis and decision support
Kotenko et al. Security analysis of information systems taking into account social engineering attacks
CN112637115A (zh) 执行网络安全风险评估的系统和方法
CN112131882A (zh) 一种多源异构网络安全知识图谱构建方法及装置
CN115277127B (zh) 基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置
WO2019028341A1 (en) SIMILARITY SEARCH FOR DISCOVERY OF MULTI-VECTOR ATTACKS
CN114547415A (zh) 工业物联网中基于网络威胁情报的攻击模拟方法
CN102185858A (zh) 一种应用于应用层的web入侵防御方法及系统
CN116405246A (zh) 一种基于攻防结合的漏洞利用链构建技术
CN115630374B (zh) 可信数控系统的测试方法、装置、计算机设备和存储介质
CN111030972A (zh) 一种资产信息管理及可视化展示的方法、装置及存储设备
Dehmer et al. Collaborative risk management for national security and strategic foresight: Combining qualitative and quantitative operations research approaches
CN116566674A (zh) 自动化渗透测试方法、系统、电子设备及存储介质
CN113055362B (zh) 异常行为的预防方法、装置、设备及存储介质
CN113518086B (zh) 网络攻击预测的方法、装置及存储介质
Legg Human-machine decision support systems for insider threat detection
Kotenko et al. Analyzing network security using malefactor action graphs
Möller Cyberattacker Profiles, Cyberattack Models and Scenarios, and Cybersecurity Ontology
Rimsha et al. Database Design for Threat Modeling and Risk Assessment Tool of Automated Control Systems
Aouad et al. Defender-centric Conceptual Cyber Exposure Ontology for Adaptive Cyber Risk Assessment.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination