CN116707973A - 一种安全态势评估方法、装置、电子设备及存储介质 - Google Patents
一种安全态势评估方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116707973A CN116707973A CN202310822717.3A CN202310822717A CN116707973A CN 116707973 A CN116707973 A CN 116707973A CN 202310822717 A CN202310822717 A CN 202310822717A CN 116707973 A CN116707973 A CN 116707973A
- Authority
- CN
- China
- Prior art keywords
- network
- security
- situation
- ontology
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000005065 mining Methods 0.000 claims abstract description 33
- 238000006243 chemical reaction Methods 0.000 claims description 32
- 238000000605 extraction Methods 0.000 claims description 23
- 238000013515 script Methods 0.000 claims description 23
- 230000006399 behavior Effects 0.000 claims description 17
- 230000007246 mechanism Effects 0.000 claims description 16
- 230000008859 change Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 5
- 238000011156 evaluation Methods 0.000 abstract description 6
- 230000008569 process Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 8
- 238000010276 construction Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000001914 filtration Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002147 killing effect Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种安全态势评估方法、装置、电子设备及存储介质,该方法包括:使用安全本体模型从目标网络的网络流量数据中提取出目标网络的态势要素数据,安全本体模型是针对可扩展的网络安全态势感知系统构建的;对态势要素数据进行检测,获得网络事件;对网络事件进行挖掘,获得网络攻击信息;根据网络攻击信息评估目标网络的安全态势。通过使用安全本体模型从目标网络的网络流量数据中提取出的态势要素数据进行检测、挖掘和评估,由于安全本体模型是针对可扩展的网络安全态势感知系统构建的,因此安全本体模型是易于维护和更新的,从而改善了程序脚本难以维护和更新的情况,有效地提高了对目标网络进行安全态势评估的效率。
Description
技术领域
本申请涉及网络信息安全和人工智能的技术领域,具体而言,涉及一种安全态势评估方法、装置、电子设备及存储介质。
背景技术
安全态势评估是指对一个网络系统或网络组织的安全状况进行全面分析和评估的过程,其目的是评估系统的安全性,并帮助决策者了解当前的威胁情况,识别潜在的风险和漏洞,制定有效的安全策略和措施。
目前的安全态势评估过程大都是,通过人工研判或者依赖安全专家的方式,具体例如:从目标网络镜像出的离线流量数据中进行攻击特征建模和挖掘,获得攻击特征,并通过人工地根据攻击特征来分析和研判来评估出该目标网络的安全态势。在具体的实践过程中发现,通过人工研判或者依赖安全专家编写的程序脚本进行攻击特征建模和攻击分析挖掘的,这些程序脚本难以维护和更新,导致对目标网络进行安全态势评估的效率较低。
发明内容
本申请实施例的目的在于提供一种安全态势评估方法、装置、电子设备及存储介质,用于改善对目标网络进行安全态势评估的效率较低的问题。
本申请实施例提供了一种安全态势评估方法,包括:使用安全本体模型从目标网络的网络流量数据中提取出目标网络的态势要素数据,安全本体模型是针对可扩展的网络安全态势感知系统构建的;对态势要素数据进行检测,获得网络事件;对网络事件进行挖掘,获得网络攻击信息;根据网络攻击信息评估目标网络的安全态势。在上述方案的实现过程中,通过使用安全本体模型从目标网络的网络流量数据中提取出的态势要素数据进行检测、挖掘和评估,由于安全本体模型是针对可扩展的网络安全态势感知系统构建的,因此安全本体模型是易于维护和更新的,从而改善了程序脚本难以维护和更新的情况,有效地提高了对目标网络进行安全态势评估的效率。
可选地,在本申请实施例中,安全本体模型包括:主本体和子本体,主本体与子本体存在主从关系;在使用安全本体模型从目标网络的网络流量数据中提取出目标网络的态势要素数据之前,还包括:获取针对网络空间安全态势感知系统构建的一个主本体,以及,针对安全态势垂直领域应用构建的多个子本体。在上述方案的实现过程中,通过一个主本体以及多个子本体的主体体系结构设计,能够有效地提高安全本体模型的可扩展性,便于提高针对网络安全态势感知的需求变化迭代速度和敏捷性。
可选地,在本申请实施例中,态势要素数据包括:网络拓扑,多个子本体包括:拓扑提取子本体;使用安全本体模型从目标网络的网络流量数据中提取出目标网络的态势要素数据,包括:根据拓扑提取子本体从网络流量数据中的路由表数据提取出目标网络的网络拓扑。在上述方案的实现过程中,通过根据拓扑提取子本体从网络流量数据中的路由表数据提取出目标网络的网络拓扑,从而改善了难以获知目标网络的网络拓扑被攻击的情况,有效地提高了获取目标网络的网络拓扑被攻击的实时性。
可选地,在本申请实施例中,对态势要素数据进行检测,包括:获取网络事件响应式脚本中的转换规则,转换规则表征从态势要素数据到网络事件的转换机制策略;执行网络事件响应式脚本,以根据转换规则对态势要素数据中的攻击行为进行检测。在上述方案的实现过程中,通过执行网络事件响应式脚本,以根据转换规则对态势要素数据中的攻击行为进行检测,从而改善了难以对攻击行为进行检测的情况,有效地提高了对攻击行为进行检测的实时性。
可选地,在本申请实施例中,安全本体模型包括:攻击挖掘子本体和网络事件子本体;在获得网络事件之后,还包括:根据攻击挖掘子本体中的攻击特征子本体和事件生成约束构建网络事件本体的本体实例,攻击特征子本体用于描述网络事件的网络攻击特征,事件生成约束用于描述网络事件的生成机制规则;将网络事件填充至网络事件子本体的本体实例中。在上述方案的实现过程中,通过将网络事件填充至网络事件子本体的本体实例中,从而便于对网络事件中的网络攻击行为进行检测,从而改善了难以对攻击行为进行检测的情况,有效地提高了对攻击行为进行检测的实时性。
可选地,在本申请实施例中,对网络事件进行挖掘,包括:从攻击特征子本体的本体实例中解析出攻击源和攻击路径;根据攻击源和攻击路径在网络事件子本体的本体实例中进行图模式匹配挖掘。在上述方案的实现过程中,通过根据攻击源和攻击路径在网络事件子本体的本体实例中进行图模式匹配挖掘,从而改善了难以对攻击行为的攻击源和攻击路径进行检测的情况,有效地提高了对攻击行为进行检测的颗粒度。
可选地,在本申请实施例中,安全本体模型包括:态势评估子本体;根据网络攻击信息评估目标网络的安全态势,包括:通过态势评估子本体对网络攻击信息进行计算,获得目标网络的态势值;根据目标网络的态势值确定目标网络的安全态势,目标网络的安全态势包括:态势值的变化曲线。在上述方案的实现过程中,通过态势评估子本体对网络攻击信息进行计算,获得目标网络的态势值,并根据目标网络的态势值确定目标网络的安全态势,从而态势评估子本体是易于维护和更新的,从而改善了程序脚本难以维护和更新的情况,有效地提高了对目标网络进行安全态势评估的效率。
本申请实施例还提供了一种安全态势评估装置,包括:态势要素提取模块,用于使用安全本体模型从目标网络的网络流量数据中提取出目标网络的态势要素数据,安全本体模型是针对可扩展的网络安全态势感知系统构建的;网络事件获得模块,用于对态势要素数据进行检测,获得网络事件;网络事件挖掘模块,用于对网络事件进行挖掘,获得网络攻击信息;安全态势评估模块,用于根据网络攻击信息评估目标网络的安全态势。
可选地,在本申请实施例中,安全本体模型包括:主本体和子本体,主本体与子本体存在主从关系;安全态势评估装置,包括:主子本体获取模块,用于获取针对网络空间安全态势感知系统构建的一个主本体,以及,针对安全态势垂直领域应用构建的多个子本体。
可选地,在本申请实施例中,态势要素数据包括:网络拓扑,多个子本体包括:拓扑提取子本体;安全态势评估装置,还包括:网络拓扑提取模块,用于根据拓扑提取子本体从网络流量数据中的路由表数据提取出目标网络的网络拓扑。
可选地,在本申请实施例中,网络事件获得模块,包括:转换规则获取模块,用于获取网络事件响应式脚本中的转换规则,转换规则表征从态势要素数据到网络事件的转换机制策略;事件脚本执行模块,用于执行网络事件响应式脚本,以根据转换规则对态势要素数据中的攻击行为进行检测。
可选地,在本申请实施例中,安全本体模型包括:攻击挖掘子本体和网络事件子本体;安全态势评估装置,还包括:本体实例构建模块,用于根据攻击挖掘子本体中的攻击特征子本体和事件生成约束构建网络事件本体的本体实例,攻击特征子本体用于描述网络事件的网络攻击特征,事件生成约束用于描述网络事件的生成机制规则;本体实例填充模块,用于将网络事件填充至网络事件子本体的本体实例中。
可选地,在本申请实施例中,网络事件挖掘模块,包括:攻击路径解析模块,用于从攻击特征子本体的本体实例中解析出攻击源和攻击路径;模式匹配挖掘模块,用于根据攻击源和攻击路径在网络事件子本体的本体实例中进行图模式匹配挖掘。
可选地,在本申请实施例中,安全本体模型包括:态势评估子本体;安全态势评估模块,包括:网络态势计算子模块,用于通过态势评估子本体对网络攻击信息进行计算,获得目标网络的态势值;安全态势确定子模块,用于根据目标网络的态势值确定目标网络的安全态势,目标网络的安全态势包括:态势值的变化曲线。
本申请实施例还提供了一种电子设备,包括:处理器和存储器,存储器存储有处理器可执行的机器可读指令,机器可读指令被处理器执行时执行如上面描述的方法。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上面描述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请实施例中的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出的本申请实施例提供的安全态势评估方法的流程示意图;
图2示出的本申请实施例提供的安全本体模型的构建层次结构示意图;
图3示出的本申请实施例提供的安全态势评估装置的结构示意图;
图4示出的本申请实施例提供的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请实施例中的附图仅起到说明和描述的目的,并不用于限定本申请实施例的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请实施例中使用的流程图示出了根据本申请实施例的一些实施例实现的操作。应该理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请实施例内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请实施例的一部分,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请实施例的详细描述并非旨在限制要求保护的本申请实施例的范围,而是仅仅表示本申请实施例的选定实施例。
可以理解的是,本申请实施例中的“第一”“第二”用于区别类似的对象。本领域技术人员可以理解“第一”“第二”等字样并不对数量和执行次序进行限定,并且“第一”“第二”等字样也并不限定一定不同。在本申请实施例的描述中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。术语“多个”指的是两个以上(包括两个),同理,“多组”指的是两组以上(包括两组)。
在介绍本申请实施例提供的安全态势评估方法之前,先介绍本申请实施例中所涉及的一些概念:
安全本体(Security Ontology),是采用一种名为“本体”的知识表示方法,将安全领域内的知识以一种可共享且无歧义的方式表达出来,安全本体的具体表现形式是一个或若干个符合特定结构要求的文件,安全本体一种对安全领域知识的形式化描述,其呈现形式为本体文件。
需要说明的是,本申请实施例提供的安全态势评估方法可以被电子设备执行,这里的电子设备是指具有执行计算机程序功能的设备终端或者服务器,设备终端例如:智能手机、个人电脑、平板电脑、个人数字助理或者移动上网设备等。服务器是指通过网络提供计算服务的设备,服务器例如:x86服务器以及非x86服务器,非x86服务器包括:大型机、小型机和UNIX服务器。
下面介绍该安全态势评估方法适用的应用场景,这里的应用场景包括但不限于:可以使用该安全态势评估方法对目标网络进行态势要素提取、网络事件检测、网络攻击挖掘和/或安全态势评估等,还可以在网络攻击场景或网络防御场景中使用该安全态势评估方法来实现网络安全态势感知,还可以采用该安全态势评估方法中的安全本体模型完成网络安全事件提取、网络攻击检测和网络资产态势评估等工作。
请参见图1示出的本申请实施例提供的安全态势评估方法的流程示意图;该安全态势评估方法的主要思路是,由于安全本体模型是针对可扩展的网络安全态势感知系统构建的,因此安全本体模型是易于维护和更新的,从而改善了程序脚本难以维护和更新的情况,有效地提高了对目标网络进行安全态势评估的效率。上述的安全态势评估方法的实施方式可以包括:
步骤S110:使用安全本体模型从目标网络的网络流量数据中提取出目标网络的态势要素数据,安全本体模型是针对可扩展的网络安全态势感知系统构建的。
可以理解的是,上述的安全本体模型是从网络安全态势感知的场景需求出发,形成具备网络安全态势感知实际垂直应用的支撑能力核心的安全本体,具体的构建过程例如:先确定安全本体模型的领域和范围,再分析网络安全态势感知的场景任务需求,然后,根据场景任务需求考虑是否能够重用现有的安全本体模型,如果不能使用现有的安全本体模型,那么可以根据场景任务需求来构建面向安全态势感知的安全本体模型。
由于安全本体模型的设计和建立可以通过定义和描述特定领域的概念、关系和属性来提取目标网络的态势要素数据,且安全本体模型具有语义一致性、结构化表示、关系推理、属性过滤、领域专业性等特性,因此,能够使用安全本体模型从目标网络的网络流量数据中提取出目标网络的态势要素数据。其中,语义一致性是指安全本体模型使用统一的语义定义来描述领域中的概念和关系,使得数据的表示和解释更加一致和准确;结构化表示是指本体模型通过使用语义关系和属性来组织数据,提供了一种结构化的方式来表示和存储数据;关系推理是指本体模型可以定义和描述实体之间的关系和关联规则。通过利用本体模型中定义的关系和关联规则,可以进行关系推理,从而根据已知的数据提取出隐含的要素数据;属性过滤是指本体模型可以定义和描述实体的属性和特征;领域专业性是指本体模型是根据特定领域的知识和专业性进行设计和建立的。
态势要素(Situational Elements),指的是影响和构成某个目标网络系统的安全态势的因素或要素,在安全领域中,态势要素是指对安全态势产生影响的因素,这些因素包含了各种组织、技术、环境和人员等要素,决定了安全态势的形成和发展,上述的态势要素包括但不限于:网络流量、设备状态、源目标IP地址、协议类型、端口号、用户行为、日志记录、网络拓扑等。
步骤S120:对态势要素数据进行检测,获得网络事件。
网络事件(Network Events),是指网络攻击或网络防御的相关事件,网络事件的模式和存储信息可以遵从安全本体对网络事件的形式化描述,网络事件在存储时,可以存储的信息包括但不限于:网络事件的标签信息、时序信息、源信息、目的信息等。
可以理解的是,由于态势要素包括了网络流量、设备状态、源目标IP地址、协议类型、端口号、用户行为、日志记录、网络拓扑等网络相关的特征信息,因此通过可编程脚本可以通过对态势要素数据的特征提取、规则匹配和行为分析等操作来识别和发现与已知网络事件相似或相关的新事件,提高目标网络的安全性。
步骤S130:对网络事件进行挖掘,获得网络攻击信息。
可选地实施方式,可以将上面检测获得的网络事件的攻击信息进行记录存储,此处记录和存储的攻击信息包括但不限于:攻击节点IP地址、攻击节点MAC地址、受影响节点IP地址、受影响节点MAC地址、攻击开始时刻、攻击结束时刻等。
步骤S140:根据网络攻击信息评估目标网络的安全态势。
在上述方案的实现过程中,通过使用安全本体模型从目标网络的网络流量数据中提取出的态势要素数据进行检测、挖掘和评估,由于安全本体模型是针对可扩展的网络安全态势感知系统构建的,因此安全本体模型是易于维护和更新的,从而改善了程序脚本难以维护和更新的情况,有效地提高了对目标网络进行安全态势评估的效率。
请参见图2示出的本申请实施例提供的安全本体模型的构建层次结构示意图;由于在网络安全态势感知领域中的安全本体是属于领域本体的,所以,通常采用“自顶向下”式本体构建策略。上述的安全本体模型的具体构建过程包括:首先,确定构建安全的可利用上层资源,包括:Time时间本体、MALOnt恶意软件本体、Glossary安全领域叙词表本体、Killchain杀伤链本体、MalRank恶意软件排序本体、UCO统一安全领域本体、ThreatIntelligence威胁情报本体和/或STUCCO本体等。其次,根据能力问题和功能需求将本体需求分解为网络事件捕获、资源整合、资产管理、网络攻击检测、漏洞发现和/或态势评估等,上层资源可以在需求分解的过程中被复用。最后,再根据分解的本体需求来构建多个子本体,此处的多个子本体可以包括:拓扑提取子本体、攻击挖掘子本体、态势评估子本体和/或网络事件子本体等。
作为上述安全态势评估方法的一种可选实施方式,上述的安全本体模型可以包括:主本体和子本体,该主本体与子本体存在主从关系;在使用安全本体模型从目标网络的网络流量数据中提取出目标网络的态势要素数据之前,还包括:
步骤S101:获取针对网络空间安全态势感知系统构建的一个主本体,以及,针对安全态势垂直领域应用构建的多个子本体。
上述步骤S101的实施方式例如:可以按照软件工程的需求分析规范,对网络空间安全态势感知系统进行需求分析,从而确定构建安全本体所需的数据源以及安全本体的层次结构,其中,层次结构包括顶层开放域资源、本体需求分解、子本体等三个层次。可以遵循“自顶向下”设计原则来针对网络空间安全态势感知系统构建一个主本体,并针对安全态势垂直领域应用构建多个子本体,此处的多个子本体包括但不限于:拓扑提取子本体、网络事件抽取、网络挖掘与检测、网络态势评估等。
可选地,上述的主本体和子本体之间还可以通过概念间的同义关系或等价关系连结,主本体和子本体连结的作用是可以便于扩展或增加安全本体的易用性和灵活性。也就是说,当安全本体模型需要根据新需求继续开发时,只需要开发新需求对应的子本体即可,然后,通过一个或多个概念的同义关系或等价关系连结到主本体上面,就可以完成安全本体模型的扩展。
作为步骤S110的一种可选实施方式,上述的态势要素数据可以包括:网络拓扑,上述的多个子本体可以包括:拓扑提取子本体;使用安全本体模型从目标网络的网络流量数据中提取出目标网络的态势要素数据,包括:
步骤S111:根据拓扑提取子本体从网络流量数据中的路由表数据提取出目标网络的网络拓扑。
上述步骤S111的实施方式例如:首先,从网络设备或路由器中获取路由表数据,并对收集到的路由表数据进行预处理,此处的预处理可以包括去除冗余信息、过滤不相关的路由信息等,从而只保留与目标网络相关的路由信息。然后,对路由表数据进行解析,提取出各个网段(子网)的IP地址范围和相应的路由器信息。这些信息可以包括路由器的ID、AS号、邻居信息以及与其相连的接口等。最后,根据解析的路由信息,建立目标网络的拓扑关系,并根据构建好的网络拓扑,从中提取出目标网络所需的子本体。子本体可以是目标网络的子网拓扑、设备连接关系、邻居关系等。
作为上述步骤S120的一种可选实施方式,对态势要素数据进行检测的实施方式可以包括:
步骤S121:获取网络事件响应式脚本中的转换规则,转换规则表征从态势要素数据到网络事件的转换机制策略。
上述的网络事件响应式脚本可以是基于安全本体设计的网络事件检测算法来实现的脚本(例如Bro引擎脚本等),因此,在执行该网络事件响应式脚本时,可以根据转换规则对态势要素数据中的网络事件进行检测。由于转换规则表征从态势要素数据到网络事件的转换机制策略,而该转换机制策略是通过所关心的网络事件而设置的,可以实时地在网络流量数据中生成,以此来提高获得所关心的网络事件的效率。
上述步骤S121的实施方式例如:可以从网络事件响应式脚本(例如Bro引擎脚本等)中解析出转换规则,上述Bro引擎脚本中的转换规则可以表征从态势要素数据到网络事件的转换机制策略。通过该转换机制测量,可以将重放流量报文作为网卡设备的输入,或者,将Bro引擎脚本绑定在网卡设备上(此时输入网卡设备的是流经网卡设备的流量)。
步骤S122:执行网络事件响应式脚本,以根据转换规则对态势要素数据中的攻击行为进行检测,获得网络事件。
上述步骤S122的实施方式例如:上述的网络事件还可以是以图模型(graph)方式描述的,因此,在使用预设编程语言编译或者解释的可执行程序执行网络事件响应式脚本之后,网络事件响应式脚本可以从图模型描述的网络事件中根据该转换规则挖掘和关联出潜在的网络攻击事件,从而完成根据转换规则对态势要素数据中的攻击行为进行检测的功能。其中,可以使用的编程语言例如:C、C++、Java、BASIC、JavaScript、LISP、Shell、Perl、Ruby、Python和PHP等等。
作为上述安全态势评估方法的一种可选实施方式,上述的安全本体模型可以包括:攻击挖掘子本体和网络事件子本体;在上述步骤S120的获得网络事件之后,还可以包括:
步骤S123:根据攻击挖掘子本体中的攻击特征子本体和事件生成约束构建网络事件本体的本体实例,攻击特征子本体用于描述网络事件的网络攻击特征,事件生成约束用于描述网络事件的生成机制规则。
步骤S124:将网络事件填充至网络事件子本体的本体实例中。
上述步骤S123至步骤S124的实施方式例如:在网络事件本体的本体实例构建完成之后,还可以通过子图查询的方式完成网络事件的攻击检测,将检测到的网络攻击事件可以记录为子图,此处的子图代表某个时间段、一定范围内的网络事件,通过子图查询得到的子图同时还是满足图模式特征的,该子图可以包括攻击源、攻击范围、受影响实例等属性信息。子图查询是指在网络事件本体的实例中,查找满足预设图模式的子图,其中,图模式是指子图查询要查询的子图满足预设特征,此处的预设特征可以包括结构特征、标签属性限制等,上述的网络事件子本体是指针对网络事件构建的子本体,该网络事件子本体可以包括:网络节点的采集器类型、配置信息、设备信息等等。
作为上述步骤S130的一种可选实施方式,对网络事件进行挖掘的实施方式包括:
步骤S131:从攻击特征子本体的本体实例中解析出攻击源和攻击路径。
上述步骤S131的实施方式例如:可以理解的是,上述的攻击特征子本体的本体实例可以包括:CAPEC攻击特征库中的攻击源和攻击路径,和/或,众包资源库中的攻击源和攻击路径,因此,可以从攻击特征子本体的本体实例中解析出攻击源和攻击路径。
步骤S132:根据攻击源和攻击路径在网络事件子本体的本体实例中进行图模式匹配挖掘,获得网络攻击信息。
上述步骤S132的实施方式例如:在从攻击特征子本体的本体实例中解析出攻击源和攻击路径之后,还可以使用攻击源和攻击路径在网络事件子本体的本体实例中执行图模式的模糊匹配挖掘,从而匹配出单步攻击事件,并从单步攻击事件中解析出攻击源和攻击路径;其中,上述的网络事件子本体的本体实例可以是标注有时序的。
可选地,在从攻击特征子本体的本体实例中解析出攻击源和攻击路径之后,还可以根据攻击源和攻击路径来分析不同时间段、跨时间窗口的攻击事件之间的影响范围的覆盖关系,并依据时序关系和影响范围的交叉关系计算单步攻击事件之间的关联度,将关联度大于预设阈值的攻击事件构成多步攻击事件。可选地,还可以从攻击者、受影响范围等因素进行攻击对态势的影响分析以及攻击间的关联分析,分析不同的攻击者、受影响范围等因素的单步攻击事件之间的关联度,将关联度大于预设阈值的攻击事件构成多步攻击事件,从而使得态势分析结果(例如目标网络的安全态势)更具可解释性。
作为上述步骤S140的一种可选实施方式,上述的安全本体模型包括:态势评估子本体;上述根据网络攻击信息评估目标网络的安全态势的实施方式可以包括:
步骤S141:通过态势评估子本体对网络攻击信息进行计算,获得目标网络的态势值。
步骤S142:根据目标网络的态势值确定目标网络的安全态势,目标网络的安全态势包括:态势值的变化曲线。
上述步骤S141至步骤S142的实施方式例如:将目标网络的态势值进行初始化,即将目标网络中的全局资产节点的态势值均设置为0;以时间为单位,选取合适的时间间隔迭代态势值,采用结合PageRank和态势风险的方式对目标网络的态势值进行修正,也就是说,每当态势节点暴露于攻击事件之中,就赋予该节点定量的态势修正值。最后,记录目标网络的资产节点在一定时间段的态势变化情形,绘制目标网络中的资产节点的态势值的变化曲线。
请参见图3示出的本申请实施例提供的安全态势评估装置的结构示意图;本申请实施例提供了一种安全态势评估装置200,包括:
态势要素提取模块210,用于使用安全本体模型从目标网络的网络流量数据中提取出目标网络的态势要素数据,安全本体模型是针对可扩展的网络安全态势感知系统构建的。
网络事件获得模块220,用于对态势要素数据进行检测,获得网络事件。
网络事件挖掘模块230,用于对网络事件进行挖掘,获得网络攻击信息。
安全态势评估模块240,用于根据网络攻击信息评估目标网络的安全态势。
可选地,在本申请实施例中,安全本体模型包括:主本体和子本体,主本体与子本体存在主从关系;安全态势评估装置,包括:
主子本体获取模块,用于获取针对网络空间安全态势感知系统构建的一个主本体,以及,针对安全态势垂直领域应用构建的多个子本体。
可选地,在本申请实施例中,态势要素数据包括:网络拓扑,多个子本体包括:拓扑提取子本体;安全态势评估装置,还包括:
网络拓扑提取模块,用于根据拓扑提取子本体从网络流量数据中的路由表数据提取出目标网络的网络拓扑。
可选地,在本申请实施例中,网络事件获得模块,包括:
转换规则获取模块,用于获取网络事件响应式脚本中的转换规则,转换规则表征从态势要素数据到网络事件的转换机制策略。
事件脚本执行模块,用于执行网络事件响应式脚本,以根据转换规则对态势要素数据中的攻击行为进行检测。
可选地,在本申请实施例中,安全本体模型包括:攻击挖掘子本体和网络事件子本体;安全态势评估装置,还包括:
本体实例构建模块,用于根据攻击挖掘子本体中的攻击特征子本体和事件生成约束构建网络事件本体的本体实例,攻击特征子本体用于描述网络事件的网络攻击特征,事件生成约束用于描述网络事件的生成机制规则。
本体实例填充模块,用于将网络事件填充至网络事件子本体的本体实例中。
可选地,在本申请实施例中,网络事件挖掘模块,包括:
攻击路径解析模块,用于从攻击特征子本体的本体实例中解析出攻击源和攻击路径。
模式匹配挖掘模块,用于根据攻击源和攻击路径在网络事件子本体的本体实例中进行图模式匹配挖掘。
可选地,在本申请实施例中,安全本体模型包括:态势评估子本体;安全态势评估模块,包括:
网络态势计算子模块,用于通过态势评估子本体对网络攻击信息进行计算,获得目标网络的态势值。
安全态势确定子模块,用于根据目标网络的态势值确定目标网络的安全态势,目标网络的安全态势包括:态势值的变化曲线。
应理解的是,该装置与上述的安全态势评估方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,此处适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置的操作系统(operating system,OS)中的软件功能模块。
请参见图4示出的本申请实施例提供的电子设备的结构示意图。本申请实施例提供的一种电子设备300,包括:处理器310和存储器320,存储器320存储有处理器310可执行的机器可读指令,机器可读指令被处理器310执行时执行如上的方法。
本申请实施例还提供了一种计算机可读存储介质330,该计算机可读存储介质330上存储有计算机程序,该计算机程序被处理器310运行时执行如上的方法。
其中,计算机可读存储介质330可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其他的方式实现。以上所描述的装置实施例仅是示意性的,例如,附图中的流程图和框图显示了根据本申请实施例的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以和附图中所标注的发生顺序不同。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这主要根据所涉及的功能而定。
另外,在本申请实施例中的各个实施例的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。此外,在本说明书的描述中,参考术语“一个实施例”“一些实施例”“示例”“具体示例”“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
以上的描述,仅为本申请实施例的可选实施方式,但本申请实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请实施例的保护范围之内。
Claims (10)
1.一种安全态势评估方法,其特征在于,包括:
使用安全本体模型从目标网络的网络流量数据中提取出所述目标网络的态势要素数据,所述安全本体模型是针对可扩展的网络安全态势感知系统构建的;
对所述态势要素数据进行检测,获得网络事件;
对所述网络事件进行挖掘,获得网络攻击信息;
根据所述网络攻击信息评估所述目标网络的安全态势。
2.根据权利要求1所述的方法,其特征在于,所述安全本体模型包括:主本体和子本体,所述主本体与所述子本体存在主从关系;在所述使用安全本体模型从目标网络的网络流量数据中提取出所述目标网络的态势要素数据之前,还包括:
获取针对网络空间安全态势感知系统构建的一个主本体,以及,针对安全态势垂直领域应用构建的多个子本体。
3.根据权利要求2所述的方法,其特征在于,所述态势要素数据包括:网络拓扑,所述多个子本体包括:拓扑提取子本体;所述使用安全本体模型从目标网络的网络流量数据中提取出所述目标网络的态势要素数据,包括:
根据所述拓扑提取子本体从所述网络流量数据中的路由表数据提取出所述目标网络的网络拓扑。
4.根据权利要求1所述的方法,其特征在于,所述对所述态势要素数据进行检测,包括:
获取网络事件响应式脚本中的转换规则,所述转换规则表征从态势要素数据到网络事件的转换机制策略;
执行网络事件响应式脚本,以根据所述转换规则对所述态势要素数据中的攻击行为进行检测。
5.根据权利要求4所述的方法,其特征在于,所述安全本体模型包括:攻击挖掘子本体和网络事件子本体;在所述获得网络事件之后,还包括:
根据所述攻击挖掘子本体中的攻击特征子本体和事件生成约束构建所述网络事件本体的本体实例,所述攻击特征子本体用于描述所述网络事件的网络攻击特征,所述事件生成约束用于描述所述网络事件的生成机制规则;
将所述网络事件填充至所述网络事件子本体的本体实例中。
6.根据权利要求5所述的方法,其特征在于,所述对所述网络事件进行挖掘,包括:
从所述攻击特征子本体的本体实例中解析出攻击源和攻击路径;
根据所述攻击源和所述攻击路径在所述网络事件子本体的本体实例中进行图模式匹配挖掘。
7.根据权利要求1所述的方法,其特征在于,所述安全本体模型包括:态势评估子本体;所述根据所述网络攻击信息评估所述目标网络的安全态势,包括:
通过所述态势评估子本体对所述网络攻击信息进行计算,获得所述目标网络的态势值;
根据所述目标网络的态势值确定所述目标网络的安全态势,所述目标网络的安全态势包括:态势值的变化曲线。
8.一种安全态势评估装置,其特征在于,包括:
态势要素提取模块,用于使用安全本体模型从目标网络的网络流量数据中提取出所述目标网络的态势要素数据,所述安全本体模型是针对可扩展的网络安全态势感知系统构建的;
网络事件获得模块,用于对所述态势要素数据进行检测,获得网络事件;
网络事件挖掘模块,用于对所述网络事件进行挖掘,获得网络攻击信息;
安全态势评估模块,用于根据所述网络攻击信息评估所述目标网络的安全态势。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的方法。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310822717.3A CN116707973A (zh) | 2023-07-05 | 2023-07-05 | 一种安全态势评估方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310822717.3A CN116707973A (zh) | 2023-07-05 | 2023-07-05 | 一种安全态势评估方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116707973A true CN116707973A (zh) | 2023-09-05 |
Family
ID=87845112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310822717.3A Pending CN116707973A (zh) | 2023-07-05 | 2023-07-05 | 一种安全态势评估方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116707973A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117014230A (zh) * | 2023-10-07 | 2023-11-07 | 天云融创数据科技(北京)有限公司 | 基于大数据的网络安全态势感知方法及系统 |
| CN117040937A (zh) * | 2023-10-10 | 2023-11-10 | 广州市伍麦信息科技有限公司 | 一种基于计算机硬件的网络安全监护系统 |
-
2023
- 2023-07-05 CN CN202310822717.3A patent/CN116707973A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117014230A (zh) * | 2023-10-07 | 2023-11-07 | 天云融创数据科技(北京)有限公司 | 基于大数据的网络安全态势感知方法及系统 |
| CN117014230B (zh) * | 2023-10-07 | 2024-05-24 | 天云融创数据科技(北京)有限公司 | 基于大数据的网络安全态势感知方法及系统 |
| CN117040937A (zh) * | 2023-10-10 | 2023-11-10 | 广州市伍麦信息科技有限公司 | 一种基于计算机硬件的网络安全监护系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
| CN112131882B (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
| CN116707973A (zh) | 一种安全态势评估方法、装置、电子设备及存储介质 | |
| Homer et al. | Aggregating vulnerability metrics in enterprise networks using attack graphs | |
| Jakobson | Mission cyber security situation assessment using impact dependency graphs | |
| CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| Alserhani et al. | MARS: multi-stage attack recognition system | |
| Homer et al. | A sound and practical approach to quantifying security risk in enterprise networks | |
| US20210352095A1 (en) | Cybersecurity resilience by integrating adversary and defender actions, deep learning, and graph thinking | |
| KR102295654B1 (ko) | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 | |
| Barzegar et al. | Attack scenario reconstruction using intrusion semantics | |
| US20110292834A1 (en) | Maintaining Time Series Models for Information Technology System Parameters | |
| CN112269316A (zh) | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 | |
| Jajodia et al. | An integrated framework for cyber situation awareness | |
| CN115277127A (zh) | 基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置 | |
| Gylling et al. | Mapping cyber threat intelligence to probabilistic attack graphs | |
| Angelini et al. | An attack graph-based on-line multi-step attack detector | |
| Lv et al. | A heterogeneous graph learning model for cyber-attack detection | |
| Nath | Vulnerability assessment methods–a review | |
| Yeboah-Ofori et al. | Cyber resilience in supply chain system security using machine learning for threat predictions | |
| Sen et al. | On holistic multi-step cyberattack detection via a graph-based correlation approach | |
| CN114915446A (zh) | 一种融合先验知识的智能网络安全检测方法 | |
| Márquez et al. | Advisory: vulnerability analysis in software development project dependencies | |
| Garg et al. | A systematic review of attack graph generation and analysis techniques | |
| CN115130111B (zh) | 基于ai分析的系统运行漏洞修复方法及大数据服务系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240311 Address after: Room 101, 1st Floor, Building 11, West District, No.10 Northwest Wangdong Road, Haidian District, Beijing, 100193 Applicant after: Beijing Topsec Network Security Technology Co.,Ltd. Country or region after: China Address before: Room 604, Building 2, No. 1 Biaoying, Qinhuai District, Nanjing City, Jiangsu Province, 210007 Applicant before: Wang Yiqiong Country or region before: China Applicant before: Beijing Topsec Network Security Technology Co.,Ltd. |