[发明专利]基于知识图谱的攻击图生成方法及其装置

权利要求书

1.一种基于知识图谱的攻击图生成方法，其特征在于，包含：

依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；

依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；

对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图；

抽取安全相关信息时，通过设计原子攻击本体，明确抽取的安全相关信息种类；该原子攻击本体包含四种实体，该四种实体具体为：目标网络中使用的各类存在已知漏洞的软件，目标网络中使用的各类存在已知漏洞的硬件，目标网络中存在的已知软硬件的漏洞，和攻击者采取具体漏洞利用行为的攻击；

软件实体以软件名称和版本号进行标识；硬件实体以硬件品牌和型号进行标识；漏洞实体以漏洞ID进行标识；攻击实体包含攻击条件、攻击方式、攻击成功率和攻击收益四种属性；

构建知识图谱中，从信息源中抽取实体与实体间，及实体与属性间的关系；从信息源中获取指定实体的属性；并通过条件随机场模型对关系和属性进行抽取；根据知识图谱中已有实体、关系和属性，并根据攻击条件和攻击方式对攻击成功率和攻击收益进行知识推理，建立新的关系或属性，以扩展知识图谱；

建立新的关系或属性中，采用路径排序方法，通过三元组{实例，关系，实例|实例，关系，属性|实体，关系，实例}表示实体间关系和属性的推理规则，及实体间的连接路径，判断两者是否存在潜在关系，以扩展知识图谱；

对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，通过查询漏洞ID，对应攻击实体的攻击条件、攻击方式、攻击成功率及攻击收益，并指导从目标节点出发的反向路径搜索；以漏洞作为攻击图的顶点，通过每个漏洞对应的攻击的攻击条件属性和攻击收益属性两个属性中与权限相关的部分来获取攻击者利用该漏洞所需要的权限和成功利用漏洞后获取的权限，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

2.根据权利要求1所述的基于知识图谱的攻击图生成方法，其特征在于，抽取用于构建知识图谱的安全相关信息时，依据目标网络的网络特征，选取网络安全知识库，并通过爬虫技术，从安全相关信息源中抽取安全相关信息，该安全相关信息源至少包含漏洞信息库、安全论坛和互联网安全应急响应中心。

3.根据权利要求1所述的基于知识图谱的攻击图生成方法，其特征在于，指导从目标节点出发的反向路径搜索过程，包含如下内容：

C1)依次选取节点集合中的节点作为目标节点，获取该目标节点漏洞；

C2)查找与该目标节点相邻的未读取节点，将该相邻的未读取节点标记为已读取；

C3)若该相邻的未读取节点存在漏洞，且该漏洞的攻击收益满足目标节点漏洞的攻击条件，则为该漏洞和目标节点漏洞建立连接关系，即设定该漏洞为目标节点漏洞的前置漏洞，若该相邻的未读取节点不存在漏洞，则返回C2)执行，重复查找该目标节点相邻的未读取节点，直至其全部邻接节点都标记为已读取，再执行C4)；

C4)返回C1)执行，直至遍历节点集合中的全部节点。

4.根据权利要求1所述的基于知识图谱的攻击图生成方法，其特征在于，攻击图中，对于包含x个节点的攻击路径，设其从初始节点到目标节点的节点序号依次为1至x，则该路径的综合攻击成功率：路径的综合攻击收益：单个攻击实体的攻击成功率为其a个影响攻击成功率因素下的攻击成功率叠加，表示为：单个攻击实体的攻击收益为其b个攻击收益属性的叠加，表示为：node∈N，N为攻击图中节点集合的节点总数，l为每个影响攻击成功率因素各自的权重。

5.一种基于知识图谱的攻击图生成装置，其特征在于，基于权利要求1所述的基于知识图谱的攻击图生成方法实现，包含信息抽取模块、图谱构建模块和攻击图生成模块，其中，

信息抽取模块，用于依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；

图谱构建模块，用于依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；

攻击图生成模块，用于对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。