[发明专利]基于网络安全恶意行为知识库的网络攻击检测装置和方法

权利要求书

1.一种基于网络安全恶意行为知识库的网络攻击检测装置，其特征在于，包括：图谱构建模块、数据收集模块、行为推理模块和知识反馈模块；

所述的图谱构建模块，用于根据预设网络安全的实体和实体间关系，基于包括DDoS攻击特征数据在内的原始数据构建包括流量行为知识图谱、恶意行为特征图谱、实体行为感知图谱和恶意行为溯源图谱的网络安全恶意行为知识库；

所述的数据收集模块，用于收集与处理面向网络安全恶意行为知识库的多源异构网络安全数据，根据所述多源异构网络安全数据提取DDoS攻击特征数据，将DDoS攻击特征数据传输给图谱构建模块；

所述的行为推理模块，用于基于多源异构网络安全数据推理实体行为感知图谱与恶意行为溯源图谱中的攻击宿主机位置；利用图算法对流量行为知识图谱与恶意行为特征图谱中的网络安全知识进行推理，捕获更有效的实体对及实体间关系，将推理和捕获的DDoS攻击相关信息传输给知识反馈模块；

所述的知识反馈模块，用于将所述行为推理模块传输过来的DDoS攻击相关信息反馈给后续的检测处理过程;

所述的图谱构建模块，具体用于获取用于构造单节点中四张网络安全知识图谱的原始数据，所述原始数据包含四个部分：来自通用弱点枚举库CWE与国家信息安全漏洞库CNNVD的网络安全知识数据；来自特征提取工具提取的DDoS攻击特征数据；来自部署知识库的网关记录的设备和用户接入数据；以及来自其他知识图谱的反馈数据；

所述流量行为知识图谱负责网络安全恶意行为知识库中第三方知识的存储和更新，包含通用弱点枚举库CWE和国家信息安全漏洞库CNNVD，在保留原有第三方库中实体关系的基础上，基于攻击节点描述中关联的弱点名称创建关系来链接攻击节点和弱点节点，构建起攻击和弱点关联的流量行为知识图谱；

所述恶意行为特征图谱负责网络攻击，提供网络恶意行为与特征的关系展示，采用分级的方案将DDoS攻击类型细分成五个大类，总计21种DDoS攻击类型，并通过特征提取工具与统计方法确定DDoS攻击与流量特征的对应关系，建立恶意行为特征图；

所述实体行为感知图谱负责感知部署网络安全恶意行为知识库网关邻居节点的拓扑环境，并对拓扑环境中的设备和用户添加多种属性和属性值来对设备和用户进行管理，进而控制设备和用户的接入，实体行为感知图谱中存储信息包含用户、设备、资源三大实体以及与其相关的子实体；

所述恶意行为溯源图谱负责攻击溯源工作，基于其他三个图谱中的各维度信息对攻击进行溯源，发掘出攻击的完整路径以及攻击所使用的恶意操作和漏洞信息，恶意行为溯源图谱存储信息包含攻击者主机、被攻击者主机、攻击方式以及持续时间实体。

2.根据权利要求1所述的装置，其特征在于，所述的装置还包括：

分布式传输模块，用于基于安全传输协议格式化周期性传输分布式知识库中知识图谱内容，根据缺失的网络安全知识对所述网络安全恶意行为知识库进行更新，得到具备统一知识的网络安全恶意行为知识库。

3.根据权利要求1或者2所述的装置，其特征在于，所述的数据收集模块，具体用于提供一种面向结构化或半结构化的网络安全知识的收集与处理方法，从包含网络安全领域中的各种漏洞库和弱点库中获取网络安全数据；采用流特征提取工具以及统计图的分析方法对所述网络安全数据进行各种DDoS攻击特征集的分析和筛选，获取针对每种DDoS攻击对应的有效特征数据，将收集的有效特征数据转化为包含特征的样本集，并保存为可供后续图谱读取的格式化数据；通过部署网络安全恶意行为知识库的网关感知邻居节点的拓扑环境，获取设备和用户的接入数据。

4.根据权利要求1或者2所述的装置，其特征在于，所述的行为推理模块，具体用于采用的推理算法包括图推理算法、聚类算法以及机器学习算法，利用图推理算法对实体行为感知图谱和恶意行为溯源图谱进行推理，为攻击主机溯源和攻击主机位置感知提供依据；利用聚类算法或机器学习算法对恶意行为特征图谱中的不同种类DDoS攻击的特征进行重要性筛选。