[发明专利]一种基于知识图谱的网络安全预警系统

权利要求书

1.一种基于知识图谱的网络安全预警系统，其特征在于包括如下步骤：

S1：获取安全预警相关知识，所述安全预警相关知识包括网络攻击数据领域知识和网络防御领域知识；

S2：建立网络安全知识图谱：根据各分析数据间的关联性，组件相互关联的图谱框架来表示知识库，通过提取图谱框架中的名称以及各个关系名称将图谱框架转化为相互关联的知识库，再通过构建框体数据库的方式将相互关联的知识库数据转化为知识图谱，最终形成面向网络攻击数据领域知识和网络防御领域知识的知识库；

S3：网络安全预警领域的查询和信息获取：在建立的知识图谱中，通过不同的文件分析得到用户需要查询的内容，分析的内容包括关键词、型号、关系以及疑问词在内的数据信息，通过将这些信息转化为知识图谱中的结点和边，寻找到问题所包含的知识框图，通过知识框图匹配的方法不断寻找知识框图得到最佳匹配，最终获得目标查询答案。

2.根据权利要求1所述的一种基于知识图谱的网络安全预警系统，其特征在于：所述网络防御领域知识信息包括物理安全、网络系统安全、数据安全、信息内容安全和信息基础设备安全等。

3.根据权利要求2所述的一种基于知识图谱的网络安全预警系统，其特征在于：所述信息内容安全包括安全的密码算法、安全协议、网络安全、系统安全以及应用安全。

4.根据权利要求1所述的一种基于知识图谱的网络安全预警系统，其特征在于：所述网络攻击数据领域包括口令入侵、电子邮件入侵、节点攻击、网络监听、黑客软件以及端口扫描。

5.根据权利要求4所述的一种基于知识图谱的网络安全预警系统，其特征在于：所述口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

6.根据权利要求4所述的一种基于知识图谱的网络安全预警系统，其特征在于：所述电子邮件入侵是使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，更有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。

7.根据权利要求4所述的一种基于知识图谱的网络安全预警系统，其特征在于：所述节点攻击是指攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)，他们能使用网络监听方法，尝试攻破同一网络内的其他主机；也能通过IP欺骗和主机信任关系，攻击其他主机。

8.根据权利要求4所述的一种基于知识图谱的网络安全预警系统，其特征在于：所述端口扫描利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等，常用的扫描方式有：Connect扫描，Fragmentation扫描。