[发明专利]一种基于知识图谱的网络攻击溯源方法、系统及设备

说明书

本申请公开了一种基于知识图谱的网络攻击溯源方法、系统及设备，主要涉及网络攻击溯源技术领域，用以解决现有的溯源方法准确率低、适用范围窄等问题。包括：构建设备运行状态信息；创建网络安全本体和攻击集合；获取预设行为检测设备上传的行为数据，确定网络安全本体中各个节点之间的行为关系；将网络安全本体和行为关系作为知识图谱存储于预设图数据库；在获得被攻击的设备节点时，获取被攻击的设备节点关联的病毒漏洞节点；从攻击集合中确定关联的病毒漏洞节点对应的攻击条件和攻击方式；进而根据攻击条件、攻击方式和Cypher语法，确定网络攻击的节点集合，完成网络攻击溯源。本申请通过上述方法提高了溯源准确率，扩大了溯源范围。

技术领域

本申请涉及网络攻击溯源技术领域，尤其涉及一种基于知识图谱的网络攻击溯源方法、系统及设备。

背景技术

随着互联网等一系列新兴网络技术的发展，网络攻击威胁也越来越多，大量的传统网络防御措施基本失去作用。找寻攻击者，从根源解决问题，网络攻击溯源的需求由此而生。

目前攻击溯源的主流方案大致分为三种，分别是基于日志存储查询的溯源方法、基于路由器输入调试的回溯方法、基于机器学习的网络攻击挖掘回溯方法。

但是，基于日志存储查询的回溯方法过多地依赖分析人员的知识储备及操作；基于路由器输入调试的回溯准确率不能保证；基于机器学习训练的模型依赖于数据，以部分数据训练的模型适用范围受限，并不能涵盖多变的网络攻击。

发明内容

针对现有技术的上述不足，本发明提供一种基于知识图谱的网络攻击溯源方法、系统及设备，以解决上述技术问题。

第一方面，本申请提供了一种基于知识图谱的网络攻击溯源方法，方法包括：获取设备信息、设备安全防护日志和设备运维信息，以构建设备运行状态信息；其中，设备运行状态信息至少包括设备信息、漏洞扫描信息、病毒检测信息、应用部署信息和端口状态信息；根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合；其中，网络安全本体包括：病毒漏洞节点、攻击者节点、服务应用节点、设备节点和端口节点，攻击集合用于存储漏洞/病毒对应的攻击条件和攻击方式；获取预设行为检测设备上传的行为数据，以确定网络安全本体中各个节点之间的行为关系；将网络安全本体和行为关系作为知识图谱存储于预设图数据库；在获得被攻击的设备节点时，从预设图数据库获取被攻击的设备节点关联的病毒漏洞节点；从攻击集合中确定关联的病毒漏洞节点对应的攻击条件和攻击方式；进而根据攻击条件、攻击方式和Cypher语法，确定网络攻击的节点集合，完成网络攻击溯源。

进一步地，根据设备运行状态信息和预设病毒/漏洞数据库，创建网络安全本体和攻击集合，具体包括：根据设备运行状态信息中的设备信息，确定设备节点；根据设备运行状态信息中的漏洞扫描信息和病毒检测信息，确定病毒漏洞节点；根据设备运行状态信息中的应用部署信息，确定服务应用节点；根据设备运行状态信息中的端口状态信息，确定端口节点；基于漏洞扫描信息和病毒检测信息中的漏洞/病毒名称，从预设病毒/漏洞数据库中获取漏洞/病毒名称对应的攻击条件和攻击方式，以创建攻击集合。

进一步地，在获取预设行为检测设备上传的行为数据之前，方法还包括：通过预设行为检测设备获取原始行为数据；其中，预设行为检测设备至少包括防火墙和检测器，原始行为数据至少包括防火墙日志和检测器流量数据；根据预设数据清洗算法，去除原始行为数据中的无效数据、缺失数据，以获得行为数据。

进一步地，根据攻击条件、攻击方式和Cypher语法，确定网络攻击的起始节点集合，具体包括：根据攻击条件、攻击方式和Cypher语法，确定被攻击的设备节点在预设图数据库中对应的最近一跳节点；进而将最近一跳节点作为下一被攻击的设备节点迭代计算下一最近一跳节点，直至被下一被攻击的设备节点在预设图数据库中无关联的病毒漏洞节点；确定起始被攻击的设备节点和迭代过程中产生的若干下一被攻击的设备节点组成的集合为节点集合。