信息安全风险事件要素关系与路径关联分析方法及装置

1.本发明属于信息安全技术领域，具体涉及一种信息安全风险事件要素关系与路径关联分析方法及装置。


背景技术：

2.互联网给人们的生活带来了各种便利的同时也引发了很多网络信息安全风险事件。网络空间安全专业人员更加深刻认识到，建立信息安全管理体系针对风险事件实施主动防御，是应对日益突出的网络空间安全问题行之有效的方法。信息安全风险评估是建立及保障网络空间安全主动防御体系的关键手段。准确分析风险事件要素之间的关系，迅速挖掘风险事件关联路径，乃是保证信息安全管理体系质量的关键，始终是信息安全风险评估领域重中之重的问题。
3.信息安全风险评估是指测评信息安全领域风险事件或事故带来的影响及造成损失的可能程度，是构建信息安全管理体系的关键步骤，其流程主要包括风险评估准备、风险要素识别、风险分析、风险评价和处理。风险分析方法指风险评估过程中分析风险事件的方法，是风险评估中的重要工作环节，一般分为定性分析方法、定量分析方法、以及定性与定量融合的方法。常见的信息安全风险分析方法包括有层次分析法、灰色评估法、基于d-s证据理论的方法和基于贝叶斯网络的方法等。其中，层次分析法将复杂问题分解为分层次的组合因素，进而分析风险要素与风险之间的关系。其存在问题是，经常受到专家自身知识经验和知识领域的限制及影响，缺乏统一的度量标准和权重确定方法。无法对整个系统进行整体定量评价，只适用于指标数量少、数据统计计算量小的信息安全风险分析过程。灰色评估法以灰色关联分析理论为指导，基于专家评判的风险分析方法。该方法存在问题是，其中的关联度只能体现数据列的正相关，不能体现负相关，同时定义时间变量几何曲线程度比较困难。基于d-s证据理论的方法通过合并多种证据，对网络安全的不确定性做出分析决策。该方法要求合成证据之间必须相互独立，然而网络中各种信息的关联是必然的，因此该方法具有一定的局限性。基于贝叶斯网络的方法将所有变量的联合概率分布分解为条件概率之积，以图的形式表示联合概率及其变量之间的条件独立关系和依赖关系。贝叶斯网络只适用于无环攻击图，并且计算复杂度很高，面临组合爆炸问题，推理算法的效率受到节点规模的限制，不适用于大规模网络。
4.总体来说，现有风险分析方法存在以下问题：信息安全风险分析需要领域知识，现有风险分析方法在风险要素之间的关系及其产生影响方面的分析依赖于人为的判断，主观性较强；现有风险分析方法大都聚焦于局部，难以从全局视角分析考虑问题，不能充分利用知识及知识间的依赖关系，尚缺乏关联性分析；现有风险分析方法大都孤立分析，着重定量方法，缺乏风险链条上推理逻辑的可解释性。


技术实现要素：

5.为了解决现有技术中存在的上述问题，本发明提供一种信息安全风险事件要素关
系与路径关联分析方法及装置。
6.为了实现上述目的，本发明采用以下技术方案。
7.第一方面，本发明提供一种信息安全风险事件要素关系与路径关联分析方法，包括以下步骤：
8.步骤101，以信息安全风险事件要素类型为实体，构建信息安全风险事件图，图的节点表示实体，边表示实体间的关系；
9.步骤102，建立实体关系表示学习模型，将由实体和关系构成的实体三元组输入到训练好的模型，输出表示实体关系的语义相似度的低维稠密向量；
10.步骤103，建立风险事件路径关联学习模型，采用强化学习对所述模型进行训练，通过智能体与环境的交互，得到风险事件路径的关联链。
11.进一步地，所述信息安全风险事件要素类型包括：威胁，脆弱性，资产，安全属性。
12.进一步地，实体间的关系包括信息安全领域关系和事件逻辑类型关系，信息安全领域关系包括：利用，影响，具有；事件逻辑类型关系包括：扩展，因果，条件，时序。
13.进一步地，所述步骤102还包括：
14.将头实体h和尾实体t沿着超平面的法向量wr投影到关系dr所对应的超平面上，其中‖wr‖2＝1，投影后的头实体向量、尾实体向量表示为：
15.h1＝h-w
rt
hwr16.t1＝t-w
rt
twr17.式中，h1、t1分别为投影后的头实体向量和尾实体向量；
18.投影后的评分函数表示为：
19.f(h,t)＝‖h1+d
r-t1‖＝‖(h-w
rt
hwr)+d
r-(t-w
rt
twr)‖
20.式中，f(h,t)为投影后的评分函数；
21.统计头实体在信息安全领域关系和事件逻辑关系不同组合下的尾实体的平均个数tph，以及尾实体在信息安全领域关系和逻辑关系不同组合下的头实体的平均个数hpt，以概率tph/(tph+pht)替换正样本三元组的头实体，以概率 hpt/(tph+pht)替换正样本三元组中的尾实体，其损失函数定义为：
22.l＝∑
(h,r,t)∈s
∑
(h’,r,t’)∈s’max{[γ+f(h,t)-f(h’,t’)],0}
[0023]
式中，s表示风险事件中正样本三元组集合，s’表示风险事件中负样本三元组集合，r表示信息安全领域关系和事件逻辑关系，γ为大于0的超参数，表示正样本三元组与负样本三元组间的间隔。
[0024]
进一步地，所述强化学习中的马尔可夫元组环境为：
[0025]
状态：s
t
＝multrans(e)，表示将实体三元组e输入实体关系表示学习模型 multrans得到的低维稠密向量；
[0026]
动作：as＝{(ec,a,en)∈e:s＝{s
t
}；a∈r；ec,en∈e}；
[0027]
状态转移概率：p＝{s
′
|(s,a)；s∈s,a∈a}；
[0028]
奖励函数：r＝rg+rc+rs，rg、rc、rs分别为全局报酬、路径关联报酬和单步负向报酬。
[0029]
第二方面，本发明提供一种信息安全风险事件要素关系与路径关联分析装置，包括：
[0030]
事件图构建模块，用于以信息安全风险事件要素类型为实体，构建信息安全风险
事件图，图的节点表示实体，边表示实体间的关系；
[0031]
第一模型建立模块，用于建立实体关系表示学习模型，将由实体和关系构成的实体三元组输入到训练好的模型，输出表示实体关系的语义相似度的低维稠密向量；
[0032]
第二模型建立模块，用于建立风险事件路径关联学习模型，采用强化学习对所述模型进行训练，通过智能体与环境的交互，得到风险事件路径的关联链。
[0033]
进一步地，所述信息安全风险事件要素类型包括：威胁，脆弱性，资产，安全属性。
[0034]
进一步地，实体间的关系包括信息安全领域关系和事件逻辑类型关系，信息安全领域关系包括：利用，影响，具有；事件逻辑类型关系包括：扩展，因果，条件，时序。
[0035]
进一步地，所述第一模型建立模块还用于：
[0036]
将头实体h和尾实体t沿着超平面的法向量wr投影到关系dr所对应的超平面上，其中‖wr‖2＝1，投影后的头实体向量、尾实体向量表示为：
[0037]
h1＝h-w
rt
hwr[0038]
t1＝t-w
rt
twr[0039]
式中，h1、t1分别为投影后的头实体向量和尾实体向量；
[0040]
投影后的评分函数表示为：
[0041]
f(h,t)＝‖h1+d
r-t1‖＝‖(h-w
rt
hwr)+d
r-(t-w
rt
twr)‖
[0042]
式中，f(h,t)为投影后的评分函数；
[0043]
统计头实体在信息安全领域关系和事件逻辑关系不同组合下的尾实体的平均个数tph，以及尾实体在信息安全领域关系和逻辑关系不同组合下的头实体的平均个数hpt，以概率tph/(tph+pht)替换正样本三元组的头实体，以概率hpt/(tph+pht)替换正样本三元组中的尾实体，其损失函数定义为：
[0044]
l＝∑
(h,r,t)∈s
∑
(h’,r,t’)∈s’max{[γ+f(h,t)-f(h’,t’)],0}
[0045]
式中，s表示风险事件中正样本三元组集合，s’表示风险事件中负样本三元组集合，r表示信息安全领域关系和事件逻辑关系，γ为大于0的超参数，表示正样本三元组与负样本三元组间的间隔。
[0046]
进一步地，所述强化学习中的马尔可夫元组环境为：
[0047]
状态：s
t
＝multrans(e)，表示将实体三元组e输入实体关系表示学习模型 multrans得到的低维稠密向量；
[0048]
动作：as＝{(ec,a,en)∈e:s＝{s
t
}；a∈r；ec,en∈e}；
[0049]
状态转移概率：p＝{s
′
|(s,a)；s∈s,a∈a}；
[0050]
奖励函数：r＝rg+rc+rs，rg、rc、rs分别为全局报酬、路径关联报酬和单步负向报酬。
[0051]
与现有技术相比，本发明具有以下有益效果。
[0052]
本发明通过以信息安全风险事件要素类型为实体，构建信息安全风险事件图，对风险要素以及它们之间的关系构成的原始数据实体进行组织和管理，可充分保持数据和方法的客观性；本发明通过建立实体关系表示学习模型及风险事件路径关联学习模型，充分利用风险事件全局视角下的知识要素关系及知识间的关联，实现了将事件和事件关系转化为分布式向量表示以及关联分析，提供了数据的高效利用，为数据的关联分析提供了支持；本发明建立的风险事件路径关联学习模型，基于事件以及事件关系的向量空间，建模强化学习环境，使强化学习智能体在与环境交互过程中，挖掘事件要素关系与路径关联信息，对
风险评估中的风险进行识别，实现了可解释性的风险分析。
附图说明
[0053]
图1为本发明实施例一种信息安全风险事件要素关系与路径关联分析方法的流程图。
[0054]
图2为风险要素关系与路径关联分析框架示意图。
[0055]
图3为分析模型整体流程示意图。
[0056]
图4为路径关联报酬计算示意图。
[0057]
图5为本发明实施例一种信息安全风险事件要素关系与路径关联分析装置的方框图。
具体实施方式
[0058]
为使本发明的目的、技术方案及优点更加清楚、明白，以下结合附图及具体实施方式对本发明作进一步说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0059]
图1为本发明实施例一种信息安全风险事件要素关系与路径关联分析方法的流程图，包括以下步骤：
[0060]
步骤101，以信息安全风险事件要素类型为实体，构建信息安全风险事件图，图的节点表示实体，边表示实体之间的关系；
[0061]
步骤102，建立实体关系表示学习模型，将由实体和关系构成的实体三元组输入到训练好的模型，输出表示实体关系的语义相似度的低维稠密向量；
[0062]
步骤103，建立风险事件路径关联学习模型，采用强化学习对所述模型进行训练，通过智能体与环境的交互，得到风险事件路径的关联链。
[0063]
本实施例针对信息安全风险评估中的事件要素(威胁、脆弱性、资产、及安全属性)构建信息安全风险事件图，采用实体关系表示学习模型将事件要素三元组映射为低维稠密向量，定义强化学习智能体学习环境马尔可夫元组，设计强化学习智能体和环境交互的策略网络深度学习方法，实现了风险关系路径关联分析推理。风险要素关系与路径关联分析框架示意图及分析模型整体流程示意图如图2、3所示。
[0064]
本实施例中，步骤101主要用于构建信息安全风险事件图。本实施例首先对信息安全风险事件要素进行分类(可依据国家标准(gb/t 20984-2007)《信息安全技术信息安全风险评价规范》进行分类)，将风险事件要素类型作为实体，构建信息安全风险事件图，将实体表示为图的节点，实体间的关系表示为连接节点的边。本实施例对事件要素类型及事件间的关系不作限定，后面的实施例将对所述类型及关系进行详细分析。
[0065]
本实施例中，步骤102主要用于建立实体关系表示学习模型。建立实体关系表示学习模型，将描述实体关系的语义信息表示为低维稠密实值向量，所述向量间的距离代表实体间的相似程度，距离越小表示语义相似度越高，反之亦然。因此，实体关系表示学习模型(一般记为multrans)的输入设计为由实体和关系构成的实体三元组，输出为三元组的低维稠密实值向量，该向量能够表示出实体关系的语义相似度。
[0066]
本实施例中，步骤103主要用于建立风险事件路径关联学习模型。本实施例采用强化学习对所述模型进行训练，通过智能体与环境的交互，得到风险事件路径的关联链。强化学习属于无监督机器学习，包括5个核心组成部分：环境(environment)，智能体(agent)，状态(state)，动作(action)，奖励 (reward)。强化学习把学习看作试探评价过程，智能体选择一个动作用于环境，环境接受该动作后状态发生变化，同时产生一个奖励值反馈给智能体，智能体根据奖励值和环境当前状态再选择下一个动作，选择的原则是使受到正奖励值最大。
[0067]
作为一可选实施例，所述信息安全风险事件要素类型包括：威胁，脆弱性，资产，安全属性。
[0068]
本实施例给出了具体的4种风险事件要素类型。本实施例中，风险事件要素类型包括威胁、脆弱性、资产和安全属性。威胁是指对资产构成潜在破坏的可能性起因要素，例如“黑客输入恶意sql语句”。脆弱性是指资产中可能被威胁所利用的薄弱环节，例如“web未审查用户输入参数”。资产是指具有价值的信息或资源，是安全策略保护的对象，例如“数据库”。安全属性是指资产所具有的信息安全特性，例如“保密性”。4种风险要素事件类型即实体可用符号表示如下：
[0069]
et＝{(s+v+o)|(s+v)|(v+o)}
[0070]
ev＝{(s+v+o)|(s+v)|(v+o)}
[0071]
ea＝{s}
[0072]
esp＝{s}
[0073]
其中，et表示威胁事件类实体，ev表示脆弱性事件类实体，ea表示资产类实体，esp表示安全属性类实体。s表示事件的主体，v表示事件的动作集合， o表示事件发生的客体。“+”表示拼接，“|”表示或者。例如，“黑客输入恶意sql语句”为威胁事件，“黑客”为此威胁事件的主体s，“输入”为此事件的动作v，“恶意sql语句”为此威胁时间的客体。“黑客输入恶意sql 语句”表示为(et)＝“黑客”(s)+“输入”(v)+“恶意sql语句”(o)；例如{“黑客(s)输入(v)恶意sql语句(o)”|“黑客(s)攻击(v)”}。
[0074]
作为一可选实施例，实体间的关系包括信息安全领域关系和事件逻辑类型关系，信息安全领域关系包括：利用，影响，具有；事件逻辑类型关系包括：扩展，因果，条件，时序。
[0075]
本实施例给出了具体的实体间的关系。本实施例中，实体关系分为两类：第一类是信息安全领域关系，包括利用、影响、具有；第二类是事件逻辑类型关系，包括扩展、因果、条件、时序。为了便于理解，下面针对每个关系分别给出一个例子。
[0076]
利用：“黑客输入恶意sql语句”利用“web未审查用户输入参数”。
[0077]
影响：“web未审查用户输入参数”影响“数据库”。
[0078]
具有：“数据库”具有“保密性”。
[0079]
扩展：“黑客输入恶意sql语句”与“黑客攻击”。
[0080]
因果：“数据库被攻击”与“保密性遭到破坏”。
[0081]
条件：“web未审查用户输入参数”与“黑客获得管理员权限”；
[0082]
时序：“黑客输入恶意sql语句”与“黑客获得管理员权限”。
[0083]
信息安全领域关系一般用rd表示，事件逻辑类型关系一般用rl表示。由实体和关系组成的三元组有以下几种形式：
[0084]
形式1：(et，rd，ev)。例如(威胁，利用，脆弱性)
[0085]
形式2：(ev，rd&rl，ea)。例如(脆弱性，影响&事件逻辑，资产)
[0086]
形式3：(ea，rd，esp)。例如(资产，具有，安全属性)。
[0087]
事件间路径关联形式为：(et，f，esp)。例如(威胁，攻击&事件逻辑，安全属性)。其中f表示关联路径，可表示为：f＝{esrs...exrx...reee}，es为关联路径的起始实体，rs为关联路径的起始关系，ex为关联路径的中间实体、 rx为关联路径的中间关系，re为关联路径的结束关系，ee为关联路径的结束实体。
[0088]
作为一可选实施例，所述步骤102还包括：
[0089]
将头实体h和尾实体t沿着超平面的法向量wr投影到关系dr所对应的超平面上，其中‖wr‖2＝1，投影后的头实体向量、尾实体向量表示为：
[0090]
h1＝h-w
rt
hwr[0091]
t1＝t-w
rt
twr[0092]
式中，h1、t1分别为投影后的头实体向量和尾实体向量；
[0093]
投影后的评分函数表示为：
[0094]
f(h,t)＝‖h1+d
r-t1‖＝‖(h-w
rt
hwr)+d
r-(t-w
rt
twr)‖
[0095]
式中，f(h,t)为投影后的评分函数；
[0096]
统计头实体在信息安全领域关系和事件逻辑关系不同组合下的尾实体的平均个数tph，以及尾实体在信息安全领域关系和逻辑关系不同组合下的头实体的平均个数hpt，以概率tph/(tph+pht)替换正样本三元组的头实体，以概率 hpt/(tph+pht)替换正样本三元组中的尾实体，其损失函数定义为：
[0097]
l＝∑
(h,r,t)∈s
∑
(h’,r,t’)∈s’max{[γ+f(h,t)-f(h’,t’)],0}
[0098]
式中，s表示风险事件中正样本三元组集合，s’表示风险事件中负样本三元组集合，r表示信息安全领域关系和事件逻辑关系，γ为大于0的超参数，表示正样本三元组与负样本三元组间的间隔。
[0099]
本实施例中，考虑到信息安全风险事件要素存在大量实体，关系数量相对较少，但普遍存在一对多、多对一和多对多的复杂关系，将头实体和尾实体沿着超平面的法向量投影到关系向量所对应的超平面上。实际处理时，头尾实体是低维稠密向量，但头尾实体可以看作两个点，连接两个点的线段是关系；扩展到三维，关系线段的两个点可以看作是不同实体(不同的点)投影在关系所在平面上，这样一个关系就可以对应不同头尾实体对，从而解决了一对多的问题。
[0100]
本实施例中，风险事件实体关系学习过程中，正样本三元组(原数据集中的数据)使得评分函数尽可能小、负样本三元组(将原三元组以替换头实体或者尾实体的方法得到的新三元组数据)距离增大。为保证风险事件要素负样本三元组评分函数尽可能大，在考虑头、尾实体替换的同时，本实施例同时考虑事件领域关系和逻辑关系组合的替换。由于三元组越接近事实时，得分函数越低，如果三元组与事实不符，则距离越远得分越高，所以关系的替换可以使负样本更加不符合事实，评分函数也尽可能更大。负样本采集时，为进一步有效降低假负例(假负例是指通过筛选方法生成的负三元组，实际上是知识图谱已经存储的正三元组)，统计头实体在领域关系和逻辑关系不同组合下的尾实体的平均个数，记为tph，及尾实体在领域关系和逻辑关系不同组合下的头实体的平均个数，记为hpt；然后以概率
tph/(tph+pht)替换正样本三元组的头实体，以概率hpt/(tph+pht)替换正样本三元组中的尾实体。
[0101]
作为一可选实施例，所述强化学习中的马尔可夫元组环境为：
[0102]
状态：s
t
＝multrans(e)，表示将实体三元组e输入实体关系表示学习模型 multrans得到的低维稠密向量；
[0103]
动作：as＝{(ec,a,en)∈e:s＝{s
t
}；a∈r；ec,en∈e}；
[0104]
状态转移概率：p＝{s
′
|(s,a)；s∈s,a∈a}；
[0105]
奖励函数：r＝rg+rc+rs，rg、rc、rs分别为全局报酬、路径关联报酬和单步负向报酬。
[0106]
本实施例给出了强化学习中的马尔可夫元组环境表示。一个马尔可夫决策过程由一个四元组构成，包括状态、动作、状态转移概率和奖励函数。本实施例的状态可表示为s
t
＝multrans(e)，是将实体三元组e输入实体关系表示学习模型multrans得到的低维稠密向量。动作是关系集合中的元素。状态转移概率是当前状态下经动作a后转移到新状态的概率。本实施例的奖励函数包括全局报酬、路径关联报酬和单步负向报酬三部分。下面分别给出三种报酬的确定方法：
[0107]
全局报酬：如果智能体在与环境的交互过程中，从起始状态成功达到目标状态，则给予智能体正向报酬；否则无报酬。
[0108]
路径关联报酬：当智能体选择的动作序列位于目标实体路径上，且智能体动作序列的关系向量的加和向量与关联向量的相似度增大或达到一定的阈值 (设定为超参数)时，给予智能体正向路径关联报酬。路径关系向量的加和向量及关联向量示意图如图4所示。
[0109]
单步负向报酬：当智能体选择的动作偏离目标实体路径且单步路径相似性减小时给予负向报酬。
[0110]
本实施例通过全局报酬，可激励达成最短目标路径；通过路径关联报酬，可增加路径关联性；通过单步负向报酬，可抑制动作偏离目标路径同时降低非路径关联性。因此，通过整体报酬可得到有效的风险路径的关联链。
[0111]
图5为本发明实施例一种信息安全风险事件要素关系与路径关联分析装置的组成示意图，所述装置包括：
[0112]
事件图构建模块11，用于以信息安全风险事件要素类型为实体，构建信息安全风险事件图，图的节点表示实体，边表示实体间的关系；
[0113]
第一模型建立模块12，用于建立实体关系表示学习模型，将由实体和关系构成的实体三元组输入到训练好的模型，输出表示实体关系的语义相似度的低维稠密向量；
[0114]
第二模型建立模块13，用于建立风险事件路径关联学习模型，采用强化学习对所述模型进行训练，通过智能体与环境的交互，得到风险事件路径的关联链。
[0115]
本实施例的装置，可以用于执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。后面的实施例也是如此，均不再展开说明。
[0116]
作为一可选实施例，所述信息安全风险事件要素类型包括：威胁，脆弱性，资产，安全属性。
[0117]
作为一可选实施例，实体间的关系包括信息安全领域关系和事件逻辑类型关系，信息安全领域关系包括：利用，影响，具有；事件逻辑类型关系包括：扩展，因果，条件，时序。
[0118]
作为一可选实施例，所述第一模型建立模块12还用于：
[0119]
将头实体h和尾实体t沿着超平面的法向量wr投影到关系dr所对应的超平面上，其中‖wr‖2＝1，投影后的头实体向量、尾实体向量表示为：
[0120]
h1＝h-w
rt
hwr[0121]
t1＝t-w
rt
twr[0122]
式中，h1、t1分别为投影后的头实体向量和尾实体向量；
[0123]
投影后的评分函数表示为：
[0124]
f(h,t)＝‖h1+d
r-t1‖＝‖(h-w
rt
hwr)+d
r-(t-w
rt
twr)‖
[0125]
式中，f(h,t)为投影后的评分函数；
[0126]
统计头实体在信息安全领域关系和事件逻辑关系不同组合下的尾实体的平均个数tph，以及尾实体在信息安全领域关系和逻辑关系不同组合下的头实体的平均个数hpt，以概率tph/(tph+pht)替换正样本三元组的头实体，以概率 hpt/(tph+pht)替换正样本三元组中的尾实体，其损失函数定义为：
[0127]
l＝∑
(h,r,t)∈s
∑
(h’,r,t’)∈s’max{[γ+f(h,t)-f(h’,t’)],0}
[0128]
式中，s表示风险事件中正样本三元组集合，s’表示风险事件中负样本三元组集合，r表示信息安全领域关系和事件逻辑关系，γ为大于0的超参数，表示正样本三元组与负样本三元组间的间隔。
[0129]
作为一可选实施例，所述强化学习中的马尔可夫元组环境为：
[0130]
状态：s
t
＝multrans(e)，表示将实体三元组e输入实体关系表示学习模型 multrans得到的低维稠密向量；
[0131]
动作：as＝{(ec,a,en)∈e:s＝{s
t
}；a∈r；ec,en∈e}；
[0132]
状态转移概率：p＝{s
′
|(s,a)；s∈s,a∈a}；
[0133]
奖励函数：r＝rg+rc+rs，rg、rc、rs分别为全局报酬、路径关联报酬和单步负向报酬。
[0134]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。