[发明专利]用于动态威胁分析的网络安全领域知识图谱构建方法及装置

权利要求书

1.一种用于动态威胁分析的网络安全领域知识图谱构建方法，其特征在于，包含如下内容：

A)依据网络攻击行为与系统漏洞及业务应用之间相互影响关系，初建网络安全领域知识图谱；

B)结合通用漏洞评分标准及贝叶斯分析网络威胁转移概率，对知识图谱进行修正，并消解多节点间威胁传递环路，获取最终网络威胁知识图谱；

A)中，考虑业务应用存取访问关系带来的威胁转移情况，采用图论知识，初建四元组知识图谱，该四元组知识图谱表示为TKG＝(C,R,E,p)，其中，C表示威胁转移条件属性集，R表示威胁转移条件属性间的关系集，E表示连接条件属性和关系的边集，p表示威胁转移概率；

威胁转移条件属性集包含前置条件中攻击者权限、攻击源IP、攻击目标IP、节点间连接端口、实施攻击漏洞及提升攻击者权限服务访问关系，和攻击者实施攻击后获得权限、获得权限节点IP、攻击利用端口、实施攻击漏洞计提升权限协议；

连接条件属性和关系的边集包含前置条件指向漏洞节点的边、漏洞节点指向后置条件的边、前置条件指向协议的边及协议指向后置条件的边；

威胁转移概率包含单步威胁转移概率和多步威胁传播概率；

针对单步威胁转移概率度量，采用通用漏洞评分标准中漏洞可利用性得分和漏洞威胁影响得分进行威胁转移概率量化；漏洞可利用性得分ExpSco表示为ExpSco＝20×AV×AC×AU，漏洞威胁影响得分ImpSco表示为ImpSco＝10.41×(1-(1-C)×(1-I)×(1-A))，其中，AV表示攻击途径，AC表示攻击复杂度，AU表示身份认证，C表示机密性，I表示完整性，A表示可用性；

针对多步威胁传播概率，依据攻击者攻击漏洞时依次进行漏洞攻击和业务访问关系获得的权限，利用贝叶斯量化多步威胁传播概率值进行多步威胁传播概率度量；目标漏洞k的多步威胁传播概率计算公式表示为：其中，P_k表示在多步攻击中目标漏洞k被攻击成功概率，p_h表示漏洞r_Vul¹,r_Vul²,...,r_Vulⁱ被攻击成功概率，p_j表示基于存取访问关系r_Prⁱ⁺¹,r_Prⁱ⁺²,...,r_Pr^k-1的威胁转移概率；

知识图谱建立，具体包含如下内容：

A1)确定前置条件和后置条件的关联规则，连接漏洞、协议与条件，生成威胁传播模式；

A2)根据网络节点权限排序进行环路消解，结合广度搜索方法完成知识图谱构建；

环路消解包含网络节点间权限排序环路消解和网络节点内权限排序环路消解。

2.一种用于动态威胁分析的网络安全领域知识图谱构建装置，其特征在于，基于权利要求1所述的方法实现，包含：初建模块和修正模块，其中，

初建模块，用于依据网络攻击行为与系统漏洞及业务应用之间相互影响关系，初建网络安全领域知识图谱；

修正模块，用于结合通用漏洞评分标准及贝叶斯分析网络威胁转移概率，对知识图谱进行修正，并消解多节点间威胁传递环路，获取最终网络威胁知识图谱。