[发明专利]基于网络安全恶意行为知识库的网络攻击检测装置和方法

说明书

本发明提供了一种基于网络安全恶意行为知识库的网络攻击检测装置和方法。该装置包括：图谱构建模块根据预设网络安全的实体和实体间关系，基于原始数据构建包括流量行为知识图谱、恶意行为特征图谱、实体行为感知图谱和恶意行为溯源图谱的网络安全恶意行为知识库；数据收集模块收集多源异构网络安全数据，提取DDoS攻击流特征；行为推理模块基于网络安全恶意行为知识库进行感知和推理，获取DDoS攻击相关信息；知识反馈模块将DDoS攻击相关信息反馈给后续的检测处理过程。本发明装置能够自动完成网络安全恶意行为知识库的知识收集、构建、推理、反馈以及分布式传输过程，安全性高和可扩展性强，从而有效地利用网络安全恶意行为知识库进行DDoS攻击检测。

技术领域

本发明涉及网络安全检测技术领域，尤其涉及一种基于网络安全恶意行为知识库的网络攻击检测装置和方法。

背景技术

随着5G通信技术的迅速发展，海量终端设备的接入为现有互联网带来了新的安全风险，进而威胁用户隐私保护，冲击关键信息基础设施安全。为了检测网络威胁，通过采集各种复杂的仿真或实际网络环境下的恶意攻击设计了一系列网络安全数据集，如UNSW-NB15、CICDDoS2019等，以二维表的形式保存在逗号分隔符CSV文件中，旨在通过设计包含正常和异常行为的全面数据集来反映现代复杂多变的攻击环境。该方法的缺点为：首先，网络安全数据集通过数据包的形式来捕获与分析流量，并将流量的特征全部放入数据行中，从而丢失了网络实体及各项特征之间的明确关系，难以针对现有数据完成逻辑性保存；其次，每个安全数据集都以各自的规则来统计流量与设计特征值，相互之间缺乏有效关联，难以进行全面准确的安全分析；最后，安全数据集通过在特定网络环境下收集与分析而来，当面对多种来源的流量信息时，无法在原有规则下更新与扩充数据集。因此，如何有效利用网络安全领域的大量现有知识和历史积累，实现安全数据的规范与整合，不断存储与更新海量连接终端下的恶意流量信息，已成为亟待解决的关键问题。

知识图谱作为一种新的知识表示方法，以图的形式表示实体之间的关系，本质是一种揭示实体间关系的语义网络，具备高效的查询与展示能力、灵活的存储机制与更新能力。利用知识图谱技术能够规范与整合网络安全、恶意攻击的相关情报，解决多源异构数据共享重用困难的问题，协助网络安全分析人员全面直观地进行安全分析。

目前，现有技术中的网络安全恶意行为知识库方法基于单一知识图谱构建，通过预设网络中实体和实体间的关系，统一描述网络安全中的元素信息，进而收集多源异构数据，构建网络安全恶意行为知识库。

上述现有技术中的网络安全恶意行为知识库方法的缺点为：单节点知识库获取知识的途径有限、图谱结构单一，随着部署在单节点知识库中的图谱规模不断增加，导致系统资源占用率高、查询耗时长以及不可扩展性，最终影响构建的网络安全恶意行为知识库的可信度。

发明内容

本发明的实施例提供了一种基于网络安全恶意行为知识库的网络攻击检测装置和方法，以实现有效地利用网络安全恶意行为知识库进行DDoS攻击检测。

为了实现上述目的，本发明采取了如下技术方案。

一种基于网络安全恶意行为知识库的网络攻击检测装置，包括：图谱构建模块、数据收集模块、行为推理模块和知识反馈模块；

所述的图谱构建模块，用于根据预设网络安全的实体和实体间关系，基于包括DDoS攻击特征数据在内的原始数据构建包括流量行为知识图谱、恶意行为特征图谱、实体行为感知图谱和恶意行为溯源图谱的网络安全恶意行为知识库；

所述的数据收集模块，用于收集与处理面向网络安全恶意行为知识库的多源异构网络安全数据，根据所述多源异构网络安全数据提取DDoS攻击特征数据，将DDoS攻击特征数据传输给图谱构建模块；