[发明专利]一种基于知识图谱的网络攻击溯源方法、系统及设备

权利要求书

1.一种基于知识图谱的网络攻击溯源方法，其特征在于，所述方法包括：

获取设备信息、设备安全防护日志和设备运维信息，以构建设备运行状态信息；其中，设备运行状态信息至少包括设备信息、漏洞扫描信息、病毒检测信息、应用部署信息和端口状态信息；

根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合；其中，所述网络安全本体包括：病毒漏洞节点、攻击者节点、服务应用节点、设备节点和端口节点，所述攻击集合用于存储漏洞/病毒对应的攻击条件和攻击方式；

获取预设行为检测设备上传的行为数据，以确定网络安全本体中各个节点之间的行为关系；将网络安全本体和行为关系作为知识图谱存储于预设图数据库；

在获得被攻击的设备节点时，从预设图数据库获取被攻击的设备节点关联的病毒漏洞节点；从攻击集合中确定关联的病毒漏洞节点对应的攻击条件和攻击方式；进而根据攻击条件、攻击方式和Cypher语法，确定网络攻击的节点集合，完成网络攻击溯源；

其中，根据攻击条件、攻击方式和Cypher语法，确定网络攻击的起始节点集合，具体包括：根据攻击条件、攻击方式和Cypher语法，确定被攻击的设备节点在预设图数据库中对应的最近一跳节点；进而将最近一跳节点作为下一被攻击的设备节点迭代计算下一最近一跳节点，直至被下一被攻击的设备节点在预设图数据库中无关联的病毒漏洞节点；确定起始被攻击的设备节点和迭代过程中产生的若干下一被攻击的设备节点组成的集合为节点集合。

2.根据权利要求1所述的基于知识图谱的网络攻击溯源方法，其特征在于，根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合，具体包括：

根据设备运行状态信息中的设备信息，确定设备节点；

根据设备运行状态信息中的漏洞扫描信息和病毒检测信息，确定病毒漏洞节点；

根据设备运行状态信息中的应用部署信息，确定服务应用节点；

根据设备运行状态信息中的端口状态信息，确定端口节点；

基于漏洞扫描信息和病毒检测信息中的漏洞/病毒名称，从预设病毒/漏洞数据库中获取漏洞/病毒名称对应的攻击条件和攻击方式，以创建攻击集合。

3.根据权利要求1所述的基于知识图谱的网络攻击溯源方法，其特征在于，在获取预设行为检测设备上传的行为数据之前，所述方法还包括：

通过预设行为检测设备获取原始行为数据；其中，预设行为检测设备至少包括防火墙和检测器，原始行为数据至少包括防火墙日志和检测器流量数据；

根据预设数据清洗算法，去除原始行为数据中的无效数据、缺失数据，以获得行为数据。

4.根据权利要求1所述的基于知识图谱的网络攻击溯源方法，其特征在于，在确定网络攻击的节点集合之后，所述方法还包括：

根据Cypher语法、节点集合和行为关系，构建包含节点和行为的攻击路径图，并发送至预设分析终端。