CN117692242A - 一种基于图谱分析的网络攻击路径分析方法 - Google Patents

一种基于图谱分析的网络攻击路径分析方法 Download PDF

Info

Publication number
CN117692242A
CN117692242A CN202311803986.1A CN202311803986A CN117692242A CN 117692242 A CN117692242 A CN 117692242A CN 202311803986 A CN202311803986 A CN 202311803986A CN 117692242 A CN117692242 A CN 117692242A
Authority
CN
China
Prior art keywords
attack
path
entity
node
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311803986.1A
Other languages
English (en)
Inventor
李明柱
吴江
张胜
王一凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xinlian Technology Nanjing Co ltd
Original Assignee
Xinlian Technology Nanjing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xinlian Technology Nanjing Co ltd filed Critical Xinlian Technology Nanjing Co ltd
Priority to CN202311803986.1A priority Critical patent/CN117692242A/zh
Publication of CN117692242A publication Critical patent/CN117692242A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Animal Behavior & Ethology (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种基于图谱分析的网络攻击路径分析方法,针对攻击检测时间点前后时间,引入日志流量数据进行解析,确定其中实体、属性、关系下的各个知识三元组,构建相应知识图谱,进而分析确定由发起该攻击的实体节点出发的各条攻击路径,再对攻击路径上各知识三元组,执行攻击检测模型确定各条攻击路径上的实时攻击阶段;方案设计将知识图谱和网络杀伤链相结合,实现了推理、分析、以及展示完整攻击路径和揭示当前网络攻击所处阶段,利于安全人员评估当前环境下的网络安全态势,并且相较于分析入侵检测系统的日志提升了检测粒度并降低了漏报率。

Description

一种基于图谱分析的网络攻击路径分析方法
技术领域
本发明涉及一种基于图谱分析的网络攻击路径分析方法,属于网络安全技术领域。
背景技术
网络安全是当今互联网世界中的一项关键挑战,特别是在当前环境下,入侵和攻击事件层出不穷。入侵检测系统和系统日志分析一直是网络安全的重要组成部分。然而,随着网络威胁的不断演变,传统的入侵检测系统和日志分析技术面临许多挑战,主要表现为系统日志数量庞大、分析工作严重依赖人工,难以有效地从大规模数据中分析攻击事件、攻击路径和攻击过程。
攻击路径是指攻击者在攻击过程中,对于特定攻击目标所使用的一系列资产和攻击技术所构成的序列集合,可以很直观地显示整个攻击过程、关联的资产、使用的攻击技术以及它们之间的依赖关系。
为了有效降低网络攻击可能带来的威胁,并在发生攻击后追踪攻击的来源和路径,攻击路径的检测、以及攻击路径的过程分析至关重要,这一措施有助于提高网络安全水平,减少潜在风险,并使组织能够更好地保护其数字资产。
传统方案一般基于入侵检测系统的告警信息和日志进行检测,但入侵检测系统存在漏报和粗粒度的问题,不能很好的分析出完整的攻击路径,并且传统的攻击路径分析方法仅能给出一条存在的攻击路径,不能给出路径上各个节点所处的攻击阶段、以及当前网络攻击的进展,不能很好地帮助安全人员评估当前网络安全态势。
在攻击路径检测方面,现有方法具体包括基于标签传播的攻击路径检测,基于异常的攻击路径检测和基于机器学习的攻击路径检测。其中,基于标签传播的攻击路径检测方法,分为标签初始化和标签传播两个阶段,在标签初始化阶段,节点被分配特定标签,以提供起始信息;而标签传播阶段则基于规则,将标签在节点之间传递,帮助揭示潜在攻击路径,有助于安全分析人员识别网络攻击和威胁,提高系统安全性。基于机器学习的攻击路径检测,该方法通过提取用户特征,并应用机器学习对攻击行为进行建模来实现,依靠先进的模式识别和数据挖掘算法来识别攻击相关模式和规律。
现有技术中,基于标签传播的攻击路径检测方法在标签的初始化和传播过程中,需要大量的人工开发和维护启发式算法或传播规则,检测结果易受到网络拓扑结构和制定的传播规则的影响,可能导致误报和漏报,且基于系统日志所构建的图规模较大,容易产生搜索路径爆炸、且标签传播过程中容易出现标签爆炸等问题,导致大量误报路径。基于机器学习的攻击路径检测,虽然可以较为全面地检测攻击行为,但其中一个显著的缺点是机器学习算法的黑盒性,这使得理解算法对攻击路径的决策过程变得困难,无法知道该模型对攻击路径的判决依据。
此外,现有技术中分析攻击路径的方法通常采用马尔可夫链模型,以分析攻击路径中的过程和攻击节点所处的阶段。然而,马尔可夫链的基本假设是未来状态仅受当前状态的影响,这将导致其会忽略更为复杂的上下文信息,对长程依赖和复杂关系的理解不够充分等问题。
综上所述,现有攻击路径检测技术中存在搜索路径爆炸,可解释性差的问题。分析攻击路径和攻击所处阶段的技术则存在对复杂上下文理解不够充分的问题。
发明内容
本发明所要解决的技术问题是提供一种基于图谱分析的网络攻击路径分析方法,基于日志数据采集、构建图谱,高效实现攻击路径检测、以及攻击阶段确定。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种基于图谱分析的网络攻击路径分析方法,基于目标网络中发生攻击、以及目标网络中发起该攻击的实体的攻击检测,执行如下步骤,获得该攻击所对应的攻击路径;
步骤A. 基于以该攻击检测时间点前后预设时长的时间跨度的目标时间段,获得目标网络对应目标时间段的日志流量数据,并执行数据解析操作,获得其中关于预设各实体类型的各个实体、各实体分别关于其所属实体类型下预设各属性的属性值、以及各实体之间关系,然后进入步骤B;
步骤B. 针对各实体进行聚类操作,并分别针对所获各实体类簇,统一实体类簇中各实体的名称,更新各个实体;再针对各实体之间关系进行聚类操作,并分别针对所获各关系类簇,统一关系类簇中各关系的名称,更新各实体之间关系;然后进入步骤C;
步骤C. 针对彼此不同名称的各个实体、各实体分别对应的各属性值,按照各实体之间关系,构建各个知识三元组,进而基于各个知识三元组,以实体为节点、实体间存在关系建立对应节点之间连线,构建知识图谱,然后进入步骤D;
步骤D. 基于知识图谱,获得发起该攻击的实体的节点直接或间接连接的各个被攻击的实体的节点,作为各个待分析节点,然后进入步骤E;
步骤E. 分别针对各个待分析节点,获得发起该攻击的实体的节点与待分析节点之间各条路径分别对应的分数,并判断最大分数是否大于预设分数阈值,是则以最大分数所对应路径作为发起该攻击的实体的节点到该待分析节点之间的攻击路径;否则判定发起该攻击的实体的节点到该待分析节点之间不存在攻击路径;进而获得该攻击所对应的各条攻击路径。
作为本发明的一种优选技术方案:还包括步骤F如下,执行完步骤E之后,进入步骤F;
步骤F. 分别针对该攻击所对应的各条攻击路径,根据预设攻击链中各攻击阶段、以及各攻击阶段的顺序,获得攻击路径中所包含各知识三元组分别对应预设攻击链中相应攻击阶段,并选择其中排序最后一个攻击阶段作为该攻击路径在当前时刻所处的阶段,进而获得各条攻击路径分别在当前时刻所处的阶段。
作为本发明的一种优选技术方案:所述步骤F中,分别针对攻击路径中所包含的各个知识三元组,首先获得知识三元组对应的词向量,然后应用预训练好以知识三元组所对应词向量为输入、以知识三元组所对应预设攻击链中相应攻击阶段为输出的攻击检测模型,针对该知识三元组对应的词向量进行处理,获得该知识三元组对应预设攻击链中相应攻击阶段,进而获得该攻击路径中各知识三元组分别对应的攻击阶段。
作为本发明的一种优选技术方案:基于Bert模型,实现首先获得知识三元组对应的词向量,然后应用攻击检测模型,针对该知识三元组对应的词向量进行处理,获得该知识三元组对应预设攻击链中相应攻击阶段。
作为本发明的一种优选技术方案:所述预设攻击链中依次包括侦察跟踪、武器化开发、载荷投递、漏洞利用、安装植入命令与控制、目标达成各个攻击阶段。
作为本发明的一种优选技术方案:所述步骤B中,分别关于实体的对象的聚类操作、以及关于实体之间关系的对象的聚类操作,以对象所对应的词向量,结合词向量的余弦相似度作为密度,执行DBSCAN密度聚类算法。
作为本发明的一种优选技术方案:所述步骤E中,分别针对发起该攻击的实体的节点与待分析节点之间的各条路径,按如下步骤E1至步骤E2,获得路径对应的分数,进而获得发起该攻击的实体的节点与待分析节点之间各条路径分别对应的分数;
步骤E1. 分别针对路径中各个相邻节点之间边,以边所连两节点分别对应的度的和,作为该边对应的特征值,然后进入步骤E2;
步骤E2. 根据各实体间关系分别对应的预设权重值,针对该路径中各相邻节点之间边分别对应的特征值,进行加权处理,获得加权结果,即该路径所对应的分数。
作为本发明的一种优选技术方案:所述步骤E中,分别针对各个待分析节点,应用PRA算法,获得发起该攻击的实体的节点与待分析节点之间各条路径。
作为本发明的一种优选技术方案:所述预设各实体类型包括攻击者类型、资产类型、攻击事件类型、攻击工具类型、攻击方法类型、攻击阶段类型,其中,攻击者类型下预设各属性包括名称、IP地址、邮箱,资产类型下预设各属性包括名称、IP地址、生产厂商、操作系统、硬件信息,攻击事件类型下预设各属性包括发生时间、影响范围,攻击工具类型下预设各属性包括名称、版本、特征代码,攻击方法类型下预设各属性包括名称、权限等级、作用平台、影响范围,攻击阶段类型下预设网络杀伤链中各攻击阶段。
作为本发明的一种优选技术方案:所述各实体之间关系包括攻击、利用、使用、拥有、导致、属于。
本发明所述一种基于图谱分析的网络攻击路径分析方法及系统,采用以上技术方案与现有技术相比,具有以下技术效果:
本发明所设计一种基于图谱分析的网络攻击路径分析方法,针对攻击检测时间点前后时间,引入日志流量数据进行解析,确定其中实体、属性、关系下的各个知识三元组,构建相应知识图谱,进而分析确定由发起该攻击的实体节点出发的各条攻击路径,再对攻击路径上各知识三元组,执行攻击检测模型确定各条攻击路径上的实时攻击阶段;方案设计将知识图谱和网络杀伤链相结合,实现了推理、分析、以及展示完整攻击路径和揭示当前网络攻击所处阶段,利于安全人员评估当前环境下的网络安全态势,并且相较于分析入侵检测系统的日志提升了检测粒度并降低了漏报率。
附图说明
图1为本发明设计基于图谱分析的网络攻击路径分析方法的流程图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明所设计一种基于图谱分析的网络攻击路径分析方法,包括构建知识图谱、推理攻击路径、基于网络杀伤链解释路径和可视化呈现四部分,具体应用中,基于目标网络中发生攻击、以及目标网络中发起该攻击的实体的攻击检测,实际应用当中,如图1所示,具体设计执行如下步骤A至步骤E,获得该攻击所对应的攻击路径。
步骤A. 基于以该攻击检测时间点前后预设时长的时间跨度的目标时间段,获得目标网络对应目标时间段的日志流量数据,具体包括系统日志网络流量数据和操作日志流量数据数据,并执行数据解析操作,获得其中关于预设各实体类型的各个实体、各实体分别关于其所属实体类型下预设各属性的属性值、以及各实体之间关系,然后进入步骤B;
实际应用当中,这里预设各实体类型具体设计包括攻击者类型、资产类型、攻击事件类型、攻击工具类型、攻击方法类型、攻击阶段类型,并且进一步针对各实体类型下预设各属性,具体设计攻击者类型下预设各属性包括名称、IP地址、邮箱,资产类型下预设各属性包括名称、IP地址、生产厂商、操作系统、硬件信息,攻击事件类型下预设各属性包括发生时间、影响范围,攻击工具类型下预设各属性包括名称、版本、特征代码,攻击方法类型下预设各属性包括名称、权限等级、作用平台、影响范围,攻击阶段类型下预设网络杀伤链中各攻击阶段。
步骤B. 针对各实体进行聚类操作,并分别针对所获各实体类簇,统一实体类簇中各实体的名称,更新各个实体;再针对各实体之间关系进行聚类操作,并分别针对所获各关系类簇,统一关系类簇中各关系的名称,更新各实体之间关系;然后进入步骤C。
关于这里的聚类操作,即分别关于实体的对象的聚类操作、以及关于实体之间关系的对象的聚类操作,具体设计使用Doc2vec模型获得对象所对应的词向量,进一步以对象所对应的词向量,结合词向量的余弦相似度作为密度,执行DBSCAN密度聚类算法,即分别实现对实体的聚类、以及实体之间关系的聚类。
实际应用当中,这里实体间关系最终确定为攻击、利用、使用、拥有、导致、属于,结合上述关于实体的聚类,具体攻击者和攻击工具之间的关系是利用,攻击事件和攻击阶段之间的关系是属于,攻击工具和资产之间的关系是攻击,攻击者和资产之间的关系是拥有,资产和攻击事件之间的关系是导致,攻击事件和攻击方法之间的关系是使用,攻击工具和攻击阶段之间的关系是属于,攻击者和攻击阶段之间的关系是使用,攻击工具和攻击者之间的关系是属于,并且实际应用中,具体考虑如下:
攻击者和资产之间的关系是拥有:攻击者可以拥有特定的资产,可能是信息、系统权限或其他敏感资源,用于支持他们的攻击行为。
资产和攻击事件之间的关系是导致:特定的资产可能导致发生特定类型的攻击事件,因为攻击者可能会针对某些资产展开攻击,导致安全事件的发生。
攻击事件和攻击方法之间的关系是使用:在具体的攻击事件中,攻击者可能使用特定的攻击方法来实施攻击,通过这种方式达到他们的攻击目标。
攻击工具和攻击阶段之间的关系是属于:攻击工具通常可以被归类到特定的攻击阶段,例如渗透测试工具可能用于攻击的初期阶段,而横向移动工具可能属于后期阶段。
攻击者和攻击阶段之间的关系是使用:攻击者可能使用不同的攻击阶段来实施他们的攻击,例如初期入侵、权限提升、横向移动等阶段。
攻击工具和攻击者之间的关系是属于:攻击者可以拥有和使用特定的攻击工具,这些工具可以被视为攻击者的一部分资源,用于实施攻击。
步骤B即是一个知识融合的设计,实现了以较低知识图谱的复杂度表示日志,避免了发生搜索路径爆炸的问题,减轻了进行知识推理时的计算压力。
步骤C. 针对彼此不同名称的各个实体、各实体分别对应的各属性值,按照各实体之间关系,构建各个知识三元组,进而基于各个知识三元组,以实体为节点、实体间存在关系建立对应节点之间连线,构建知识图谱,然后进入步骤D。
步骤D. 基于知识图谱,获得发起该攻击的实体的节点直接或间接连接的各个被攻击的实体的节点,作为各个待分析节点,然后进入步骤E。
步骤E. 分别针对各个待分析节点,获得发起该攻击的实体的节点与待分析节点之间各条路径分别对应的分数,并判断最大分数是否大于预设分数阈值,是则以最大分数所对应路径作为发起该攻击的实体的节点到该待分析节点之间的攻击路径;否则判定发起该攻击的实体的节点到该待分析节点之间不存在攻击路径;进而获得该攻击所对应的各条攻击路径。
上述步骤E在实际应用当中,分别针对各个待分析节点,应用PRA算法,针对发起该攻击的实体的节点与待分析节点之间,通过随机游走方式,获得发起该攻击的实体的节点与待分析节点之间各条路径,PRA(Path Ranking Algorithm)算法是一种用于知识图谱中的关系预测和路径推理的算法。它主要用于基于知识图谱中的三元组(实体-关系-实体)来预测缺失的关系或评估可能的关系路径。
接着分别针对各个待分析节点,进一步分别针对发起该攻击的实体的节点与待分析节点之间的各条路径,具体设计按如下步骤E1至步骤E2,获得路径对应的分数,进而获得发起该攻击的实体的节点与待分析节点之间各条路径分别对应的分数。
步骤E1. 分别针对路径中各个相邻节点之间边,以边所连两节点分别对应的度的和,作为该边对应的特征值,然后进入步骤E2。
步骤E2. 根据各实体间关系分别对应的预设权重值,针对该路径中各相邻节点之间边分别对应的特征值,进行加权处理,获得加权结果,即该路径所对应的分数。
基于上述攻击检测下攻击所对应各条攻击路径的确定,进一步设计执行如下步骤F,对各条攻击路径上当前时刻的攻击阶段实现确定。
步骤F. 分别针对该攻击所对应的各条攻击路径,根据预设攻击链中各攻击阶段、以及各攻击阶段的顺序,获得攻击路径中所包含各知识三元组分别对应预设攻击链中相应攻击阶段,并选择其中排序最后一个攻击阶段作为该攻击路径在当前时刻所处的阶段,进而获得各条攻击路径分别在当前时刻所处的阶段。
实际应用当中,上述步骤F中关于知识三元组所对应攻击阶段的确定,具体设计分别针对攻击路径中所包含的各个知识三元组,首先获得知识三元组对应的词向量,然后应用预训练好以知识三元组所对应词向量为输入、以知识三元组所对应预设攻击链中相应攻击阶段为输出的攻击检测模型,针对该知识三元组对应的词向量进行处理,获得该知识三元组对应预设攻击链中相应攻击阶段,进而获得该攻击路径中各知识三元组分别对应的攻击阶段。由于这里是以知识三元组所对应词向量输入进行分析,并且知识三元组中包含了实体、属性、以及关系,即考虑了实体自身在特定时期、场景的自身表征,同时联系了实体之间关系,即将这两方面的实时客观数据作为最终攻击阶段确定的因素考虑,结果更加准确。
上述设计执行中,对知识三元组依次执行词向量转换、以及应用攻击检测模型对攻击阶段确定的全过程,基于Bert模型进行训练实现,即包含上述两阶段,实现以知识三元组为输入,知识三元组所对应攻击阶段为输出的应用。
Bert是一种自然语言处理模型。它基于Transformer架构,通过在大规模文本语料库上进行预训练,实现了双向上下文建模,这一特性对于理解自然语言中的复杂语境非常关键。Bert的预训练模型可以通过微调适应各种NLP任务,如文本分类、情感分析、命名实体识别、问答系统等。解决了马尔科夫链在处理长程依赖和复杂关系时,表达能力不足的问题。非常适用于此处的分类任务。
关于攻击检测模型的训练,应用中收集来源于ATT&CK的网络安全知识库,抓取其中的攻击技术文本数据,对这些数据进行处理,通过先验知识将其划分到网络杀伤链的各个攻击阶段,以此来构建标签,并通过数据增强技术,增加数据集数量,提升模型的泛化能力,最后生成数据集,即构建样本数据,对Bert模型进行训练,对模型参数进行微调,得到训练后的攻击检测模型。
在实际应用当中,设计预设攻击链中依次包括侦察跟踪、武器化开发、载荷投递、漏洞利用、安装植入命令与控制、目标达成各个攻击阶段,即在确定攻击路径后,按步骤F的执行,即实时确定攻击路径所处这里七个阶段中具体某个阶段,利于安全人员评估当前环境下的网络安全态势。
在执行上述步骤F获得各条攻击路径分别在当前时刻所处的阶段后,通过Neo4j图数据库提供的接口将攻击路径和网络杀伤链可视化呈现,用于后续分析。
上述技术方案所设计基于图谱分析的网络攻击路径分析方法,针对攻击检测时间点前后时间,引入日志流量数据进行解析,确定其中实体、属性、关系下的各个知识三元组,构建相应知识图谱,进而分析确定由发起该攻击的实体节点出发的各条攻击路径,再对攻击路径上各知识三元组,执行攻击检测模型确定各条攻击路径上的实时攻击阶段;方案设计将知识图谱和网络杀伤链相结合,实现了推理、分析、以及展示完整攻击路径和揭示当前网络攻击所处阶段,利于安全人员评估当前环境下的网络安全态势,并且相较于分析入侵检测系统的日志提升了检测粒度并降低了漏报率。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。

Claims (10)

1.一种基于图谱分析的网络攻击路径分析方法,其特征在于:基于目标网络中发生攻击、以及目标网络中发起该攻击的实体的攻击检测,执行如下步骤,获得该攻击所对应的攻击路径;
步骤A. 基于以该攻击检测时间点前后预设时长的时间跨度的目标时间段,获得目标网络对应目标时间段的日志流量数据,并执行数据解析操作,获得其中关于预设各实体类型的各个实体、各实体分别关于其所属实体类型下预设各属性的属性值、以及各实体之间关系,然后进入步骤B;
步骤B. 针对各实体进行聚类操作,并分别针对所获各实体类簇,统一实体类簇中各实体的名称,更新各个实体;再针对各实体之间关系进行聚类操作,并分别针对所获各关系类簇,统一关系类簇中各关系的名称,更新各实体之间关系;然后进入步骤C;
步骤C. 针对彼此不同名称的各个实体、各实体分别对应的各属性值,按照各实体之间关系,构建各个知识三元组,进而基于各个知识三元组,以实体为节点、实体间存在关系建立对应节点之间连线,构建知识图谱,然后进入步骤D;
步骤D. 基于知识图谱,获得发起该攻击的实体的节点直接或间接连接的各个被攻击的实体的节点,作为各个待分析节点,然后进入步骤E;
步骤E. 分别针对各个待分析节点,获得发起该攻击的实体的节点与待分析节点之间各条路径分别对应的分数,并判断最大分数是否大于预设分数阈值,是则以最大分数所对应路径作为发起该攻击的实体的节点到该待分析节点之间的攻击路径;否则判定发起该攻击的实体的节点到该待分析节点之间不存在攻击路径;进而获得该攻击所对应的各条攻击路径。
2.根据权利要求1所述一种基于图谱分析的网络攻击路径分析方法,其特征在于:还包括步骤F如下,执行完步骤E之后,进入步骤F;
步骤F. 分别针对该攻击所对应的各条攻击路径,根据预设攻击链中各攻击阶段、以及各攻击阶段的顺序,获得攻击路径中所包含各知识三元组分别对应预设攻击链中相应攻击阶段,并选择其中排序最后一个攻击阶段作为该攻击路径在当前时刻所处的阶段,进而获得各条攻击路径分别在当前时刻所处的阶段。
3.根据权利要求2所述一种基于图谱分析的网络攻击路径分析方法,其特征在于:所述步骤F中,分别针对攻击路径中所包含的各个知识三元组,首先获得知识三元组对应的词向量,然后应用预训练好以知识三元组所对应词向量为输入、以知识三元组所对应预设攻击链中相应攻击阶段为输出的攻击检测模型,针对该知识三元组对应的词向量进行处理,获得该知识三元组对应预设攻击链中相应攻击阶段,进而获得该攻击路径中各知识三元组分别对应的攻击阶段。
4.根据权利要求3所述一种基于图谱分析的网络攻击路径分析方法,其特征在于:基于Bert模型,实现首先获得知识三元组对应的词向量,然后应用攻击检测模型,针对该知识三元组对应的词向量进行处理,获得该知识三元组对应预设攻击链中相应攻击阶段。
5.根据权利要求2所述一种基于图谱分析的网络攻击路径分析方法,其特征在于:所述预设攻击链中依次包括侦察跟踪、武器化开发、载荷投递、漏洞利用、安装植入命令与控制、目标达成各个攻击阶段。
6.根据权利要求1所述一种基于图谱分析的网络攻击路径分析方法,其特征在于:所述步骤B中,分别关于实体的对象的聚类操作、以及关于实体之间关系的对象的聚类操作,以对象所对应的词向量,结合词向量的余弦相似度作为密度,执行DBSCAN密度聚类算法。
7.根据权利要求1所述一种基于图谱分析的网络攻击路径分析方法,其特征在于:所述步骤E中,分别针对发起该攻击的实体的节点与待分析节点之间的各条路径,按如下步骤E1至步骤E2,获得路径对应的分数,进而获得发起该攻击的实体的节点与待分析节点之间各条路径分别对应的分数;
步骤E1. 分别针对路径中各个相邻节点之间边,以边所连两节点分别对应的度的和,作为该边对应的特征值,然后进入步骤E2;
步骤E2. 根据各实体间关系分别对应的预设权重值,针对该路径中各相邻节点之间边分别对应的特征值,进行加权处理,获得加权结果,即该路径所对应的分数。
8.根据权利要求1所述一种基于图谱分析的网络攻击路径分析方法,其特征在于:所述步骤E中,分别针对各个待分析节点,应用PRA算法,获得发起该攻击的实体的节点与待分析节点之间各条路径。
9.根据权利要求1所述一种基于图谱分析的网络攻击路径分析方法,其特征在于:所述预设各实体类型包括攻击者类型、资产类型、攻击事件类型、攻击工具类型、攻击方法类型、攻击阶段类型,其中,攻击者类型下预设各属性包括名称、IP地址、邮箱,资产类型下预设各属性包括名称、IP地址、生产厂商、操作系统、硬件信息,攻击事件类型下预设各属性包括发生时间、影响范围,攻击工具类型下预设各属性包括名称、版本、特征代码,攻击方法类型下预设各属性包括名称、权限等级、作用平台、影响范围,攻击阶段类型下预设网络杀伤链中各攻击阶段。
10.根据权利要求1所述一种基于图谱分析的网络攻击路径分析方法,其特征在于:所述各实体之间关系包括攻击、利用、使用、拥有、导致、属于。
CN202311803986.1A 2023-12-26 2023-12-26 一种基于图谱分析的网络攻击路径分析方法 Pending CN117692242A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311803986.1A CN117692242A (zh) 2023-12-26 2023-12-26 一种基于图谱分析的网络攻击路径分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311803986.1A CN117692242A (zh) 2023-12-26 2023-12-26 一种基于图谱分析的网络攻击路径分析方法

Publications (1)

Publication Number Publication Date
CN117692242A true CN117692242A (zh) 2024-03-12

Family

ID=90131872

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311803986.1A Pending CN117692242A (zh) 2023-12-26 2023-12-26 一种基于图谱分析的网络攻击路径分析方法

Country Status (1)

Country Link
CN (1) CN117692242A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117952205A (zh) * 2024-03-26 2024-04-30 电子科技大学(深圳)高等研究院 一种针对知识图谱嵌入模型的后门攻击方法、系统及介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117952205A (zh) * 2024-03-26 2024-04-30 电子科技大学(深圳)高等研究院 一种针对知识图谱嵌入模型的后门攻击方法、系统及介质

Similar Documents

Publication Publication Date Title
CN108718310B (zh) 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN109347801B (zh) 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
Dewa et al. Data mining and intrusion detection systems
CN105740712A (zh) 基于贝叶斯网络的Android恶意行为检测方法
CN113204745B (zh) 基于模型剪枝和逆向工程的深度学习后门防御方法
CN110704846B (zh) 一种人在回路的智能化安全漏洞发现方法
CN105072214A (zh) 基于域名特征的c&c域名识别方法
CN117692242A (zh) 一种基于图谱分析的网络攻击路径分析方法
Bateni et al. Using Artificial Immune System and Fuzzy Logic for Alert Correlation.
CN116366376B (zh) 一种apt攻击溯源图分析方法
Kaiser et al. Attack hypotheses generation based on threat intelligence knowledge graph
CN116405246A (zh) 一种基于攻防结合的漏洞利用链构建技术
Karanam et al. Intrusion detection mechanism for large scale networks using CNN-LSTM
CN110716957B (zh) 类案可疑对象智能挖掘分析方法
CN115225336A (zh) 一种面向网络环境的漏洞可利用性的计算方法及装置
Song et al. Generating fake cyber threat intelligence using the gpt-neo model
CN117725592A (zh) 一种基于有向图注意力网络的智能合约漏洞检测方法
CN111967003A (zh) 基于黑盒模型与决策树的风控规则自动生成系统及方法
Zhu et al. Business process mining based insider threat detection system
Molina et al. Tackling Cyberattacks through AI-based Reactive Systems: A Holistic Review and Future Vision
Hao et al. A novel vulnerability severity assessment method for source code based on a graph neural network
Kaiser et al. Attack Forecast and Prediction
CN110766338A (zh) 一种基于人工智能和区块链技术eos.io的dpos分叉预测模型方法
Preethi et al. Leveraging network vulnerability detection using improved import vector machine and Cuckoo search based Grey Wolf Optimizer
Li et al. On Testing and Evaluation of Artificial Intelligence Models

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination