1.本发明是一种基于知识图谱的网络安全预警系统,属于网络技术领域。
背景技术:
2.随着网络技术和规模的不断发展,网络信息安全成为世界各国共同关注的焦点。主要表现有:一方面,针对信息泄露、篡改,系统入侵等网络违法犯罪活动缺乏高技术监管手段和设备,不适应网络攻防技术的发展;另一方面,企业普遍存在技术和管理水平有限、网络安全防护能力薄弱、人员和资金投入不足等问题,其网站服务器成为遭受攻击的“重灾区”。因此,能否主动、有效地应对各种安全事件,已经成为网络安全监管的关键任务之一。因此我们提出建立了预警系统来解决该问题。
技术实现要素:
3.针对现有技术存在的不足,本发明目的是提供一种基于知识图谱的网络安全预警系统,以解决上述背景技术中提出的问题。
4.为了实现上述目的,本发明是通过如下的技术方案来实现:一种基于知识图谱的网络安全预警系统,包括如下步骤:
5.s1:获取安全预警相关知识,所述安全预警相关知识包括网络攻击数据领域知识和网络防御领域知识;
6.s2:建立网络安全知识图谱:根据各分析数据间的关联性,组件相互关联的图谱框架来表示知识库,通过提取图谱框架中的名称以及各个关系名称将图谱框架转化为相互关联的知识库,再通过构建框体数据库的方式将相互关联的知识库数据转化为知识图谱,最终形成面向网络攻击数据领域知识和网络防御领域知识的知识库;
7.s3:网络安全预警领域的查询和信息获取:在建立的知识图谱中,通过不同的文件分析得到用户需要查询的内容,分析的内容包括关键词、型号、关系以及疑问词在内的数据信息,通过将这些信息转化为知识图谱中的结点和边,寻找到问题所包含的知识框图,通过知识框图匹配的方法不断寻找知识框图得到最佳匹配,最终获得目标查询答案。
8.进一步地,所述网络防御领域知识信息包括物理安全、网络系统安全、数据安全、信息内容安全和信息基础设备安全等。
9.进一步地,所述信息内容安全包括安全的密码算法、安全协议、网络安全、系统安全以及应用安全。
10.进一步地,所述网络攻击数据领域包括口令入侵、电子邮件入侵、节点攻击、网络监听、黑客软件以及端口扫描。
11.进一步地,所述口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
12.进一步地,所述电子邮件入侵是使用一些邮件炸弹软件或cgi程式向目的邮箱发
送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,更有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。
13.进一步地,所述节点攻击是指攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹),他们能使用网络监听方法,尝试攻破同一网络内的其他主机;也能通过ip欺骗和主机信任关系,攻击其他主机。
14.进一步地,所述端口扫描利用socket编程和目标主机的某些端口建立tcp连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等,常用的扫描方式有:connect扫描。fragmentation扫描。
15.本发明的有益效果:本发明的一种基于知识图谱的网络安全预警系统,针对复杂异构环境的网络安全数据和领域知识进行知识图谱的构建后,使用面向网络安全领域的图查询方法进行目标信息的抽取,通过对安全数据的整理和分析,精确的描述最终得到目标信息。通过分析平台本发明可以清楚的找出需要得到的信息,将复杂的网络安全数据统一管理。因此,本发明能够降低网络安全数据处理的难度和复杂度。
具体实施方式
16.为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
17.本发明提供一种技术方案:一种基于知识图谱的网络安全预警系统,包括如下步骤:
18.s1:获取安全预警相关知识,所述安全预警相关知识包括网络攻击数据领域知识和网络防御领域知识;
19.s2:建立网络安全知识图谱:根据各分析数据间的关联性,组件相互关联的图谱框架来表示知识库,通过提取图谱框架中的名称以及各个关系名称将图谱框架转化为相互关联的知识库,再通过构建框体数据库的方式将相互关联的知识库数据转化为知识图谱,最终形成面向网络攻击数据领域知识和网络防御领域知识的知识库;
20.s3:网络安全预警领域的查询和信息获取:在建立的知识图谱中,通过不同的文件分析得到用户需要查询的内容,分析的内容包括关键词、型号、关系以及疑问词在内的数据信息,通过将这些信息转化为知识图谱中的结点和边,寻找到问题所包含的知识框图,通过知识框图匹配的方法不断寻找知识框图得到最佳匹配,最终获得目标查询答案。
21.所述网络防御领域知识信息包括物理安全、网络系统安全、数据安全、信息内容安全和信息基础设备安全等。
22.所述信息内容安全包括安全的密码算法、安全协议、网络安全、系统安全以及应用安全。
23.所述网络攻击数据领域包括口令入侵、电子邮件入侵、节点攻击、网络监听、黑客软件以及端口扫描。
24.所述口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
25.所述电子邮件入侵是使用一些邮件炸弹软件或cgi程式向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,更有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。
26.所述节点攻击是指攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹),他们能使用网络监听方法,尝试攻破同一网络内的其他主机;也能通过ip欺骗和主机信任关系,攻击其他主机。
27.所述端口扫描利用socket编程和目标主机的某些端口建立tcp连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等,常用的扫描方式有:connect扫描。fragmentation扫描。
28.实施例1,获取安全预警相关知识,所述安全预警相关知识包括网络攻击数据领域知识和网络防御领域知识,建立网络安全知识图谱:根据各分析数据间的关联性,组件相互关联的图谱框架来表示知识库,通过提取图谱框架中的名称以及各个关系名称将图谱框架转化为相互关联的知识库,再通过构建框体数据库的方式将相互关联的知识库数据转化为知识图谱,最终形成面向网络攻击数据领域知识和网络防御领域知识的知识库,网络安全预警领域的查询和信息获取:在建立的知识图谱中,通过不同的文件分析得到用户需要查询的内容,分析的内容包括关键词、型号、关系以及疑问词在内的数据信息,通过将这些信息转化为知识图谱中的结点和边,寻找到问题所包含的知识框图,通过知识框图匹配的方法不断寻找知识框图得到最佳匹配,最终获得目标查询答案。
29.其中所述网络防御领域知识信息包括物理安全、网络系统安全、数据安全、信息内容安全和信息基础设备安全等,所述信息内容安全包括安全的密码算法、安全协议、网络安全、系统安全以及应用安全,所述网络攻击数据领域包括口令入侵、电子邮件入侵、节点攻击、网络监听、黑客软件以及端口扫描,所述口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译,所述电子邮件入侵是使用一些邮件炸弹软件或cgi程式向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,更有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,所述节点攻击是指攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹),他们能使用网络监听方法,尝试攻破同一网络内的其他主机;也能通过ip欺骗和主机信任关系,攻击其他主机,所述端口扫描利用socket编程和目标主机的某些端口建立tcp连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等,常用的扫描方式有:connect扫描。fragmentation扫描。
30.以上显示和描述了本发明的基本原理和主要特征和本发明的优点,对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求视为限制所涉及的权利要求。
31.此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。