网络安全知识图谱构建方法和装置、计算机设备与流程
本发明涉及网络安全技术领域,特别是涉及一种网络安全知识图谱构建方法和装置、计算机设备、计算机存储介质。
背景技术:
随着网络技术的高速发展,网络在人们的生活和工作中得到广泛应用。网络安全维护是网络技术的重要组成部分,其能为用户提供安全稳定的网络环境,是基于网络开展的各类活动顺利进行的重要保障。网络攻击检测等网络安全问题的检测可以对网络安全问题得到有效预防,传统的网络安全检测技术需要分别针对各类网络安全问题进行相应检测,具有局限性,容易影响网络安全问题的检测效果。
技术实现要素:
基于此,有必要针对传统方案容易影响网络安全问题的检测效果的技术问题,提供一种网络安全知识图谱构建方法和装置、计算机设备、计算机存储介质。
一种网络安全知识图谱构建方法,包括:
从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;
检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;
分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱。
在其中一个实施例中,所述从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体的过程之前,还包括:
采集目标网络的威胁事件特征向量、资产特征向量和威胁情报信息,根据所述威胁事件特征向量、资产特征向量和威胁情报信息构建网络安全知识库。
在其中一个实施例中,所述分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱的过程之后,还包括:
从所述网络安全知识图谱提取所述资产实体的告警信息,识别所述告警信息关联的原始攻击数据,根据所述原始攻击数据提取所述攻击实体的攻击手段,根据所述攻击手段构建攻击特征向量。
作为一个实施例,所述分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱的过程之后,还包括:
从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量。
作为一个实施例,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述攻击特征向量和所述资产脆弱性特征向量构建攻击链路,根据所述攻击链路构建攻击图谱。
作为一个实施例,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述攻击图谱推演目标网络的黑客画像图谱。
在其中一个实施例中,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述资产脆弱性特征向量构建目标网络的安全态势推演图谱。
一种网络安全知识图谱构建装置,包括:
抽取模块,用于从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;
检测模块,用于检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;
第一提取模块,用于分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱。
一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一实施例提供的网络安全知识图谱构建方法。
一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一实施例提供的网络安全知识图谱构建方法。
上述网络安全知识图谱构建方法、装置、计算机设备和计算机存储介质,可以构建表征目标网络各类信息的网络安全知识图谱,使网络安全知识图谱对目标网络的各个资产实体,各个资产实体分别对应的资产属性,以及资产实体中攻击实体和被攻击实体之间的实体间关系进行完整且准确地表达,这样便可以依据上述网络安全知识图谱进行目标网络的网络攻击等安全问题的检测和推演,可以更加完整地对目标网络进行网络安全问题检测,提高了网络安全问题的检测效果。
附图说明
图1为一个实施例的网络安全知识图谱构建方法流程图;
图2为一个实施例的网络安全知识图谱构建过程示意图;
图3为一个实施例的网络安全知识图谱构建装置结构示意图;
图4为一个实施例的计算机设备内部结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
需要说明的是,本发明实施例所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换,以使这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
本发明实施例的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,a和/或b,可以表示:单独存在a,同时存在a和b,单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
参考图1所示,图1为一个实施例的网络安全知识图谱构建方法流程图,包括:
s10,从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;
上述网络安全知识库可以包括目标网络的各个资产实体、各个资产实体分别关联的资产属性,还包括网络安全漏洞库、威胁事件知识库和网络安全事件处置经验库等单元数据库;依据上述网络安全知识库的网络安全漏洞库可以抽取攻击源信息和攻击目标信息,从而识别攻击源信息关联的攻击实体,以及攻击目标信息关联的被攻击实体。上述攻击实体为目标网络中的某个或者某些资产实体,上述被攻击实体为目标网络中的某个或者某些资产实体。
具体地,上述目标网络可以为需要进行网络安全知识图谱构建的企业网络;资产实体包括上述目标网络的各个网络设备。攻击源信息包括攻击源ip(互联网协议地址),依据上述攻击源信息可以对其关联的攻击实体进行准确识别。攻击源信息包括攻击源ip,依据上述攻击目标信息可以对其关联的被攻击实体进行准确识别。上述攻击实体和被攻击实体可以形成网络安全知识图谱中的最基本的元素,在进行攻击实体和被攻击实体的识别之后,可以对攻击实体和被攻击实体进行数据增强处理,以确定网络安全知识图谱的基本元素。
s20,检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;
上述步骤依据攻击实体到被攻击实体之间形成的威胁告警事件可以形成实体关系上下文信息,以确定目标网络的实体间关系,以解决网络攻击的语义问题,形成确定性的关联关系。
s30,分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱。
上述资产属性可以包括相应资产实体对应的ip地址、开放端口、进程列表、操作系统、运行软件信息、网络连接关系、归属业务系统和归属人员等属性信息;资产属性值为表征相应资产属性状态的数据。对资产实体的属性进行提取,可以为每个资产实体语义类构造资产属性和资产属性值键值对,上述资产属性和资产属性值可以形成完整的实体概念的知识图谱维度。上述网络安全知识图谱可以清楚完整地表征目标网络的各个资产实体,各个资产实体分别对应的资产属性,以及资产实体中攻击实体和被攻击实体之间的实体间关系。
本实施例提供的网络安全知识图谱构建方法,可以构建表征目标网络各类信息的网络安全知识图谱,使网络安全知识图谱对目标网络的各个资产实体,各个资产实体分别对应的资产属性,以及资产实体中攻击实体和被攻击实体之间的实体间关系进行完整且准确地表达,这样便可以依据上述网络安全知识图谱进行目标网络的网络攻击等安全问题的检测和推演,可以更加完整地对目标网络进行网络安全问题检测,提高了网络安全问题的检测效果。
在一个实施例中,所述从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体的过程之前,还包括:
采集目标网络的威胁事件特征向量、资产特征向量和威胁情报信息,根据所述威胁事件特征向量、资产特征向量和威胁情报信息构建网络安全知识库。
上述威胁事件特征向量所包括的信息来源于目标网络的各个网络安全设备,可以根据目标网络中各个资产实体的入侵检测设备、web应用防火墙、入侵防御设备等网络安全设备所产生的网络安全数据构建威胁事件特征向量。上述资产特征向量包括ip地址、操作系统、中间件、数据库等资产实体的属性特征信息,其可以通过ip地址、操作系统、中间件、数据库等属性特征数据进行构建。上述威胁情报信息可以从目标网络的防病毒软件以及上述目标网络的外部情报共享库中获取,威胁情报信息可以包括恶意代码家族图谱、恶意代码hash值、ip信誉值和dns域名情报。
本实施例构建网络安全知识库可以包括目标网络中各个资产实体的各类信息,可以保证依据上述网络安全知识库所构建的网络安全知识图谱的准确性。
在一个实施例中,所述分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱的过程之后,还包括:
从所述网络安全知识图谱提取所述资产实体的告警信息,识别所述告警信息关联的原始攻击数据,根据所述原始攻击数据提取所述攻击实体的攻击手段,根据所述攻击手段构建攻击特征向量。
本实施例可以从网络安全知识图谱中准确快捷地对告警信息进行相应提取,对上述告警信息关联的原始攻击数据进行快速识别,可以提高构建目标网络的攻击特征向量的效率,从而提高检测目标网络安全问题的效率。
作为一个实施例,所述分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱的过程之后,还包括:
从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量。
从网络安全知识图谱可以准确高效地对资产实体的成功攻击日志和该资产实体的资产属性进行提取,保证了构建资产脆弱性特征向量的高效性和准确性。
作为一个实施例,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述攻击特征向量和所述资产脆弱性特征向量构建攻击链路,根据所述攻击链路构建攻击图谱。
上述网络安全知识图谱融合目标网络各个资产实体的信息,包括资产特征、漏洞特征和攻击告警特征,从上述网络安全知识图谱可以挖掘网络安全知识价值,上述网络安全知识价值可以包括攻击向量理解、实体资产脆弱性理解和攻击意图理解,基于不同阶段的网络安全知识价值可以融合构建攻击链路,确定目标网络的攻击特征与资产实体的脆弱性;根据资产实体与资产实体间的攻击路径信息将目标网络的各个攻击链路进行串联,可以构建目标网络的攻击图谱。上述攻击图谱可以表征目标网络中各资产实体的脆弱性关联关系,以及威胁网络安全的攻击路径,以进行相应的图谱分析。
作为一个实施例,依据上述基于经验知识和攻击链融合分析,可以推理并挖掘网络安全知识图谱中的apt(高级持续性威胁)攻击行为图谱。
作为一个实施例,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述攻击图谱推演目标网络的黑客画像图谱。
本实施例可以对目标网络的黑客画像图谱进行相应推演,以对目标网络的黑客进行全面有效的检测。
在一个实施例中,所述从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量的过程之后,还包括:
根据所述资产脆弱性特征向量构建目标网络的安全态势推演图谱。
本实施例可以对目标网络的安全态势推演图谱进行构建,以对目标网络的各类安全态势进行全面监测。
作为一个实施例,上述网络安全知识图谱构建过程可以参考图2所示,可以构建包括目标网络的网络安全攻击数据、公司资产数据以及威胁情报等各类数据的网络安全知识库,通过各类支撑技术进行知识提取、知识表示等处理,以构建网络安全知识图谱,再进行知识融合和/或知识推理等处理,以获得进行网络安全问题检测所需的图谱,使目标网络的网络安全问题得到全面检测。
本实施例可以使用人工智能算法进行技术支撑,构建网络安全知识图谱,以解决网络安全领域的知识理解、攻击推演等问题,能够通过知识图谱挖掘高级威胁攻击。
参考图3,图3所示为一个实施例的网络安全知识图谱构建装置结构示意图,包括:
抽取模块10,用于从预设的网络安全知识库中抽取攻击源信息和攻击目标信息,分别识别所述攻击源信息关联的攻击实体和所述攻击目标信息关联的被攻击实体;
检测模块20,用于检测所述攻击实体和所述被攻击实体之间的威胁告警事件,根据所述威胁告警事件确定实体间关系;
提取模块30,用于分别提取各个资产实体的资产属性,根据所述资产实体、所述资产属性以及所述实体间关系构建网络安全知识图谱。
在一个实施例中,上述网络安全知识图谱构建装置,还包括:
采集模块,用于采集目标网络的威胁事件特征向量、资产特征向量和威胁情报信息,根据所述威胁事件特征向量、资产特征向量和威胁情报信息构建网络安全知识库。
在一个实施例中,上述网络安全知识图谱构建装置,还包括:
第二提取模块,用于从所述网络安全知识图谱提取所述资产实体的告警信息,识别所述告警信息关联的原始攻击数据,根据所述原始攻击数据提取所述攻击实体的攻击手段,根据所述攻击手段构建攻击特征向量。
作为一个实施例,上述网络安全知识图谱构建装置,还包括:
第三提取模块,用于从所述网络安全知识图谱提取所述资产实体的成功攻击日志和该资产实体的资产属性,根据所述成功攻击日志和资产属性构建被攻击实体的所述资产脆弱性特征向量。
作为一个实施例,上述网络安全知识图谱构建装置,还包括:
第一构建模块,用于根据所述攻击特征向量和所述资产脆弱性特征向量构建攻击链路,根据所述攻击链路构建攻击图谱。
作为一个实施例,上述网络安全知识图谱构建装置,还包括:
推演模块,用于根据所述攻击图谱推演目标网络的黑客画像图谱。
在一个实施例中,上述网络安全知识图谱构建装置,还包括:
第二构建模块,用于根据所述资产脆弱性特征向量构建目标网络的安全态势推演图谱。
关于网络安全知识图谱构建装置的具体限定可以参见上文中对于网络安全知识图谱构建方法的限定,在此不再赘述。上述网络安全知识图谱构建装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网络安全知识库。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络安全知识图谱构建方法。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
基于如上所述的示例,在一个实施例中还提供一种计算机设备,该计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行所述程序时实现如上述各实施例中的任意一种网络安全知识图谱构建方法。
上述计算机设备,通过所述处理器上运行的计算机程序,实现了网络安全问题检测效果的提升。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性的计算机可读取存储介质中,如本发明实施例中,该程序可存储于计算机系统的存储介质中,并被该计算机系统中的至少一个处理器执行,以实现包括如上述网络安全知识图谱构建方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)或随机存储记忆体(randomaccessmemory,ram)等。
据此,在一个实施例中还提供一种计算机存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如上述各实施例中的任意一种网络安全知识图谱构建方法。
上述计算机存储介质,通过其存储的计算机程序,能够更加完整地对目标网络进行网络安全问题检测,提高了网络安全问题的检测效果。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
- 还没有人留言评论。精彩留言会获得点赞!