[发明专利]基于知识图谱的攻击图生成方法及其装置

说明书

本发明属于网络安全技术领域，特别涉及一种基于知识图谱的攻击图生成方法及其装置，该方法包含：依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。本发明通过利用知识图谱的多源信息融合及信息抽取和推理能力，实现攻击图的实时构建和精确评估，能够更加准确的反应当前网络安全状态，解决现有攻击图生成和分析技术中由于相关信息获取不全面导致的不能及时准确反映当前网络安全状态的问题，为指导网络防御措施的采取提供了更加完善的依据。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于知识图谱的攻击图生成方法及其装置。

背景技术

攻击图技术是一种图形化的网络脆弱性分析技术，通过对目标网络和可能遭受的攻击行为进行建模，展示攻击者对目标网络发动攻击时可能采取的攻击路径，既可指导防御方采取针对性修复和防御措施，也可为攻击者的攻击行动策划提供依据。目前攻击图主要分为状态攻击图和属性攻击图两类。状态攻击图以网络安全状态为顶点，边表示网络安全状态的转换。由于同一状态可能对应图中多个顶点，使用状态攻击图对大规模网络进行脆弱性分析时会产生状态爆炸问题，因此现在已少有对状态攻击图的研究。属性攻击图通常以漏洞和节点权限为顶点，边表示漏洞和权限间的依赖或获得关系。属性攻击图由于缓解了状态攻击图的状态爆炸问题、且可以较为直观地向防御方反映出当前网络中的潜在安全隐患而得到了广泛的应用，并衍生出渗透依赖攻击图和属性依赖攻击图等拓展。

现有攻击图技术存在以下问题：1)随着攻击技术的不断发展、漏洞数量的日渐增多，传统的基于CVSS(Common Vulnerability Scoring System，通用漏洞评分系统)的漏洞评估方式越来越难以精确地反映出漏洞的危险等级，主要表现为部分高危漏洞综合评分较低，同时也存在部分低危漏洞综合评分较高的现象。这些问题使得基于漏洞扫描的攻击图生成和分析技术难以精确地反映当前网络的安全状态，导致防御方采取的防御措施难以有效阻止或响应攻击。2)随着大数据分析、威胁情报等技术的发展，大量新漏洞、新攻击方式、旧漏洞的新利用方式在互联网上被快速公开。同时，新的防御手段也在对已知漏洞的利用难度和利用方式产生影响。这些信息既为安全研究人员及相关厂商提供帮助，也为攻击者提供了新思路、新手段。在这种现状下，攻防双方对攻击图的自动构建、精确评估等能力提出了更高的要求。现有技术依然难以满足攻防双方对攻击成功率、攻击收益进行实时、精确评估的需求。

发明内容

针对现有技术中的不足，本发明提供一种基于知识图谱的攻击图生成方法及其装置，通过利用知识图谱的多源信息融合及信息抽取和推理能力，实现攻击图的实时构建和精确评估，能够更加准确的反应当前网络安全状态。

按照本发明所提供的设计方案，一种基于知识图谱的攻击图生成方法，包含：

依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；

依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；

对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

上述的，抽取用于构建知识图谱的安全相关信息时，依据目标网络的网络特征，选取网络安全知识库，并通过爬虫技术，从安全相关信息源中抽取安全相关信息，该安全相关信息源至少包含漏洞信息库、安全论坛和互联网安全应急响应中心。

上述的，抽取安全相关信息时，通过设计原子攻击本体，明确抽取的安全相关信息种类；该原子攻击本体包含四种实体，该四种实体具体为：目标网路中使用的各类存在已知漏洞的软件，目标网络中使用的各类存在已知漏洞的硬件，目标网络中存在的已知软硬件的漏洞，和攻击者采取具体漏洞利用行为的攻击。