一种基于知识图谱的网络攻击溯源方法、系统及设备与流程

1.本技术涉及网络攻击溯源技术领域，尤其涉及一种基于知识图谱的网络攻击溯源方法、系统及设备。


背景技术：

2.随着互联网等一系列新兴网络技术的发展，网络攻击威胁也越来越多，大量的传统网络防御措施基本失去作用。找寻攻击者，从根源解决问题，网络攻击溯源的需求由此而生。
3.目前攻击溯源的主流方案大致分为三种，分别是基于日志存储查询的溯源方法、基于路由器输入调试的回溯方法、基于机器学习的网络攻击挖掘回溯方法。
4.但是，基于日志存储查询的回溯方法过多地依赖分析人员的知识储备及操作；基于路由器输入调试的回溯准确率不能保证；基于机器学习训练的模型依赖于数据，以部分数据训练的模型适用范围受限，并不能涵盖多变的网络攻击。


技术实现要素：

5.针对现有技术的上述不足，本发明提供一种基于知识图谱的网络攻击溯源方法、系统及设备，以解决上述技术问题。
6.第一方面，本技术提供了一种基于知识图谱的网络攻击溯源方法，方法包括：获取设备信息、设备安全防护日志和设备运维信息，以构建设备运行状态信息；其中，设备运行状态信息至少包括设备信息、漏洞扫描信息、病毒检测信息、应用部署信息和端口状态信息；根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合；其中，网络安全本体包括：病毒漏洞节点、攻击者节点、服务应用节点、设备节点和端口节点，攻击集合用于存储漏洞/病毒对应的攻击条件和攻击方式；获取预设行为检测设备上传的行为数据，以确定网络安全本体中各个节点之间的行为关系；将网络安全本体和行为关系作为知识图谱存储于预设图数据库；在获得被攻击的设备节点时，从预设图数据库获取被攻击的设备节点关联的病毒漏洞节点；从攻击集合中确定关联的病毒漏洞节点对应的攻击条件和攻击方式；进而根据攻击条件、攻击方式和cypher语法，确定网络攻击的节点集合，完成网络攻击溯源。
7.进一步地，根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合，具体包括：根据设备运行状态信息中的设备信息，确定设备节点；根据设备运行状态信息中的漏洞扫描信息和病毒检测信息，确定病毒漏洞节点；根据设备运行状态信息中的应用部署信息，确定服务应用节点；根据设备运行状态信息中的端口状态信息，确定端口节点；基于漏洞扫描信息和病毒检测信息中的漏洞/病毒名称，从预设病毒/漏洞数据库中获取漏洞/病毒名称对应的攻击条件和攻击方式，以创建攻击集合。
8.进一步地，在获取预设行为检测设备上传的行为数据之前，方法还包括：通过预设行为检测设备获取原始行为数据；其中，预设行为检测设备至少包括防火墙和检测器，原始
行为数据至少包括防火墙日志和检测器流量数据；根据预设数据清洗算法，去除原始行为数据中的无效数据、缺失数据，以获得行为数据。
9.进一步地，根据攻击条件、攻击方式和cypher语法，确定网络攻击的起始节点集合，具体包括：根据攻击条件、攻击方式和cypher语法，确定被攻击的设备节点在预设图数据库中对应的最近一跳节点；进而将最近一跳节点作为下一被攻击的设备节点迭代计算下一最近一跳节点，直至被下一被攻击的设备节点在预设图数据库中无关联的病毒漏洞节点；确定起始被攻击的设备节点和迭代过程中产生的若干下一被攻击的设备节点组成的集合为节点集合。
10.进一步地，在确定网络攻击的节点集合之后，方法还包括：根据cypher语法、节点集合和行为关系，构建包含节点和行为的攻击路径图，并发送至预设分析终端。
11.第二方面，本技术提供了一种基于知识图谱的网络攻击溯源系统，系统包括：构建模块，用于获取设备信息、设备安全防护日志和设备运维信息，以构建设备运行状态信息；其中，设备运行状态信息至少包括设备信息、漏洞扫描信息、病毒检测信息、应用部署信息和端口状态信息；创建模块，用于根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合；其中，网络安全本体包括：病毒漏洞节点、攻击者节点、服务应用节点、设备节点和端口节点，攻击集合用于存储漏洞/病毒对应的攻击条件和攻击方式；存储模块，用于获取预设行为检测设备上传的行为数据，以确定网络安全本体中各个节点之间的行为关系；将网络安全本体和行为关系作为知识图谱存储于预设图数据库；完成模块，用于在获得被攻击的设备节点时，从预设图数据库获取被攻击的设备节点关联的病毒漏洞节点；从攻击集合中确定关联的病毒漏洞节点对应的攻击条件和攻击方式；进而根据攻击条件、攻击方式和cypher语法，确定网络攻击的节点集合，完成网络攻击溯源。
12.进一步地，完成模块还包括集合生成单元；集合生成单元，用于根据攻击条件、攻击方式和cypher语法，确定被攻击的设备节点在预设图数据库中对应的最近一跳节点；进而将最近一跳节点作为下一被攻击的设备节点迭代计算下一最近一跳节点，直至被下一被攻击的设备节点在预设图数据库中无关联的病毒漏洞节点；确定起始被攻击的设备节点和迭代过程中产生的若干下一被攻击的设备节点组成的集合为节点集合。
13.第三方面，本技术提供了一种基于知识图谱的网络攻击溯源设备，设备包括：处理器；以及存储器，其上存储有可执行代码，当可执行代码被执行时，使得处理器执行如上述任一项的一种基于知识图谱的网络攻击溯源方法。
14.本领域技术人员能够理解的是，本发明至少具有如下有益效果：（1）更新预设图数据库：相比于分析人员的实操过重，通过建立本体模型，构建信息知识网络，以专家抽象提炼的知识点，应对多变的网络攻击；将人的知识数据化、程序化，极大程度地减少人为的参与，达到回溯的自动化。
15.（2）根据攻击条件、攻击方式和cypher语法，确定网络攻击的节点集合：相比于机器学习和训练模型的针对性以及数据依赖性，以知识图谱为主导依据，机器主动进行路径探索的方式更具有适用性，结合知识图谱、行为数据对被攻击节点的攻击路径探索，覆盖率更高。
附图说明
16.下面参照附图来描述本公开的部分实施例，附图中：图1是本技术实施例提供的一种基于知识图谱的网络攻击溯源方法流程图。
17.图2是本技术实施例提供的一种基于知识图谱的网络攻击溯源系统内部结构示意图。
18.图3是本技术实施例提供的一种基于知识图谱的网络攻击溯源设备内部结构示意图。
具体实施方式
19.本领域技术人员应当理解的是，下文所描述的实施例仅仅是本公开的优选实施例，并不表示本公开仅能通过该优选实施例实现，该优选实施例仅仅是用于解释本公开的技术原理，并非用于限制本公开的保护范围。基于本公开提供的优选实施例，本领域普通技术人员在没有付出创造性劳动的情况下所获得的其它所有实施例，仍应落入到本公开的保护范围之内。
20.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
21.下面通过附图对本技术实施例提出的技术方案进行详细的说明。
22.本技术实施例提供了一种基于知识图谱的网络攻击溯源方法，如图1所示，本技术实施例提供的方法，主要包括以下步骤：步骤110、获取设备信息、设备安全防护日志和设备运维信息，以构建设备运行状态信息。
23.需要说明的是，设备运行状态信息至少包括设备信息、漏洞扫描信息、病毒检测信息、应用部署信息和端口状态信息；设备运维信息可以从第三方运维数据库中获得。具体获取设备运行状态信息的方法为从设备信息、设备安全防护日志和设备运维信息抽取。其中，抽取的具体过程可由现有方法实现，本技术对此不作限定。
24.步骤120、根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合。
25.需要说明的是，网络安全本体包括：病毒漏洞节点、攻击者节点、服务应用节点、设备节点和端口节点，攻击集合用于存储漏洞/病毒对应的攻击条件和攻击方式。其中，预设病毒/漏洞数据库可以来自各国政府或安全企业建立的漏洞信息库。执行主体可以通过漏洞扫描信息和病毒检测信息，获得漏洞/病毒名称，进而从预设病毒/漏洞数据库中提取该漏洞/病毒名称对应的攻击条件和攻击方式。
26.作为示例地，根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合，具体可以为：根据设备运行状态信息中的设备信息，确定设备节点；根据设备运行状态信息中的漏洞扫描信息和病毒检测信息，确定病毒漏洞节点；根据设备运行状态信息中的应用部署信息，确定服务应用节点；根据设备运行状态信息中的端口状态信息，确
定端口节点；基于漏洞扫描信息和病毒检测信息中的漏洞/病毒名称，从预设病毒/漏洞数据库中获取漏洞/病毒名称对应的攻击条件和攻击方式，以创建攻击集合。
27.步骤130、获取预设行为检测设备上传的行为数据，以确定网络安全本体中各个节点之间的行为关系；将网络安全本体和行为关系作为知识图谱存储于预设图数据库。
28.为了提高溯源准确率，本技术在获取预设行为检测设备上传的行为数据之前，可以对行为关系进行预处理。具体地：通过预设行为检测设备获取原始行为数据；其中，预设行为检测设备至少包括防火墙和检测器，原始行为数据至少包括防火墙日志和检测器流量数据；根据预设数据清洗算法，去除原始行为数据中的无效数据、缺失数据，以获得行为数据。
29.步骤140、在获得被攻击的设备节点时，从预设图数据库获取被攻击的设备节点关联的病毒漏洞节点；从攻击集合中确定关联的病毒漏洞节点对应的攻击条件和攻击方式；进而根据攻击条件、攻击方式和cypher语法，确定网络攻击的节点集合，完成网络攻击溯源。
30.其中，根据攻击条件、攻击方式和cypher语法，确定网络攻击的起始节点集合，具体包括：根据攻击条件、攻击方式和cypher语法，确定被攻击的设备节点在预设图数据库中对应的最近一跳节点；进而将最近一跳节点作为下一被攻击的设备节点迭代计算下一最近一跳节点，直至被下一被攻击的设备节点在预设图数据库中无关联的病毒漏洞节点；确定起始被攻击的设备节点和迭代过程中产生的若干下一被攻击的设备节点组成的集合为节点集合。
31.此外，在确定网络攻击的节点集合之后，本技术还可以构建攻击路径图，并发送至分析人员对应的预设分析终端。作为示例地，根据cypher语法、节点集合和行为关系，构建包含节点和行为的攻击路径图，并发送至预设分析终端。
32.除此之外，图2为本技术实施例提供的一种基于知识图谱的网络攻击溯源系统。如图2所示，本技术实施例提供的系统，主要包括：构建模块210，用于获取设备信息、设备安全防护日志和设备运维信息，以构建设备运行状态信息；其中，设备运行状态信息至少包括设备信息、漏洞扫描信息、病毒检测信息、应用部署信息和端口状态信息；创建模块220，用于根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合；其中，网络安全本体包括：病毒漏洞节点、攻击者节点、服务应用节点、设备节点和端口节点，攻击集合用于存储漏洞/病毒对应的攻击条件和攻击方式；存储模块230，用于获取预设行为检测设备上传的行为数据，以确定网络安全本体中各个节点之间的行为关系；将网络安全本体和行为关系作为知识图谱存储于预设图数据库；完成模块240，用于在获得被攻击的设备节点时，从预设图数据库获取被攻击的设备节点关联的病毒漏洞节点；从攻击集合中确定关联的病毒漏洞节点对应的攻击条件和攻击方式；进而根据攻击条件、攻击方式和cypher语法，确定网络攻击的节点集合，完成网络攻击溯源。
33.其中，完成模块240还包括集合生成单元240；用于根据攻击条件、攻击方式和cypher语法，确定被攻击的设备节点在预设图数据库中对应的最近一跳节点；进而将最近
一跳节点作为下一被攻击的设备节点迭代计算下一最近一跳节点，直至被下一被攻击的设备节点在预设图数据库中无关联的病毒漏洞节点；确定起始被攻击的设备节点和迭代过程中产生的若干下一被攻击的设备节点组成的集合为节点集合。
34.除此之外，本技术实施例还提供了一种基于知识图谱的网络攻击溯源设备，如图3所示，其上存储有可执行指令，在该可执行指令被执行时，实现如上述的一种基于知识图谱的网络攻击溯源方法。具体地，服务器端通过总线向存储器发送执行指令，当存储器接收到执行指令时，通过总线向处理器发送执行信号，以激活处理器。
35.需要说明的是，处理器用于获取设备信息、设备安全防护日志和设备运维信息，以构建设备运行状态信息；其中，设备运行状态信息至少包括设备信息、漏洞扫描信息、病毒检测信息、应用部署信息和端口状态信息；根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合；其中，网络安全本体包括：病毒漏洞节点、攻击者节点、服务应用节点、设备节点和端口节点，攻击集合用于存储漏洞/病毒对应的攻击条件和攻击方式；获取预设行为检测设备上传的行为数据，以确定网络安全本体中各个节点之间的行为关系；将网络安全本体和行为关系作为知识图谱存储于预设图数据库；在获得被攻击的设备节点时，从预设图数据库获取被攻击的设备节点关联的病毒漏洞节点；从攻击集合中确定关联的病毒漏洞节点对应的攻击条件和攻击方式；进而根据攻击条件、攻击方式和cypher语法，确定网络攻击的节点集合，完成网络攻击溯源。
36.至此，已经结合前文的多个实施例描述了本公开的技术方案，但是，本领域技术人员容易理解的是，本公开的保护范围并不仅限于这些具体实施例。在不偏离本公开技术原理的前提下，本领域技术人员可以对上述各个实施例中的技术方案进行拆分和组合，也可以对相关技术特征作出等同的更改或替换，凡在本公开的技术构思和/或技术原理之内所做的任何更改、等同替换、改进等都将落入本公开的保护范围之内。