[发明专利]用于动态威胁分析的网络安全领域知识图谱构建方法及装置

说明书

本发明属于网络安全技术领域，特别涉及一种用于动态威胁分析的网络安全领域知识图谱构建方法及装置，该方法包含：刻画系统漏洞和网络服务导致的威胁转移关系；利用图论知识构建网络动态威胁分析知识图谱模型；结合通用漏洞评价标准和贝叶斯计算威胁转移概率；利用威胁与漏洞、服务间的关联规则，生成网络威胁知识图谱，并进行环路消解。本发明依据网络攻击与系统漏洞及业务应用之间相互影响关系，并结合通用漏洞评分标准及贝叶斯公式分析网络威胁转移概率，对构建知识图谱进行修正，消解多节点间威胁传递环路，可以完整地展现攻击全貌，提高网络取证效率，为威胁线索发现和溯源取证提供依据。

技术领域

本发明属于网络安全技术领域，特别涉及一种用于动态威胁分析的网络安全领域知识图谱构建方法及装置。

背景技术

网络信息系统固有的脆弱性使其不可避免的面临外在威胁的影响，针对外在动态、变化的威胁开展有效分析，如何根据网络节点漏洞的时间、重要性、环境等因素量化分析威胁转移概率，对于实施针对性的防御决策具有重要支撑作用。

目前，网络动态威胁分析的方法主要有以下几种：(1)基于攻击者能力增长的网络安全分析方法，通过推演威胁路径，结合威胁转移概率量化网络安全性，然而现有属性攻击图只描述了系统漏洞导致的威胁变化，未刻画网络业务应用之间存取访问关系导致的威胁转移情况，导致威胁转移概率量化产生偏差；(2)状态攻击图方法，该方法将顶点表示主机，有向边表示状态之间的迁移，由于状态攻击图存在状态空间爆炸问题，因此很难适用于大规模网络环境下的威胁风险分析；(3)属性攻击图方法，该方法将网络中的安全要素作为独立的属性顶点，同一主机上的同一漏洞仅对应图中的一个属性顶点，有向边表示节点间的关联关系，相对状态攻击图能克服状态空间爆炸问题，然而目前生成的攻击图普遍存在威胁传递环路问题，影响了威胁路径和概率度量的准确性。知识图谱(Knowledge Graph)凭借其优越的可视化效果受到广泛关注，在自然语言处理领域，知识图谱的构建技术及应用已经非常成熟了，但是在网络安全领域，还没有高质量的大规模开放知识图谱。如何利用知识图谱进行威胁动态分析还未出现成熟的应用方法，结合现实网络环境生成威胁模式库，刻画网络业务应用之间存取访问关系导致的威胁转移，并准确度量节点间威胁转移概率，成为目前网络威胁知识图谱构建亟待解决的技术难题。

发明内容

为此，本发明提供一种用于动态威胁分析的网络安全领域知识图谱构建方法及装置，解决威胁传播环路对威胁分析影响，具有较强的实用性和可操作性。

按照本发明所提供的设计方案，一种用于动态威胁分析的网络安全领域知识图谱构建方法，包含如下内容：

A)依据网络攻击行为与系统漏洞及业务应用之间相互影响关系，初建网络安全领域知识图谱；

B)结合通用漏洞评分标准(Common Vulnerability Scoring System,CVSS)及贝叶斯分析网络威胁转移概率，对知识图谱进行修正，并消解多节点间威胁传递环路，获取最终网络威胁知识图谱。

上述的，A)中，考虑业务应用存取访问关系带来的威胁转移情况，采用图论知识，初建四元组知识图谱，该四元组知识图谱表示为TKG＝(C,R,E,p)，其中，C表示威胁转移条件属性集，R表示威胁转移条件属性间的关系集，E表示连接条件属性和关系的边集，p表示威胁转移概率。

优选的，威胁转移条件属性集包含前置条件中攻击者权限、攻击源IP、攻击目标IP、节点间连接端口、实施攻击漏洞及提升攻击者权限、存取访问关系，和攻击者实施攻击后获得权限、获得权限节点IP、攻击利用端口。

优选的，连接条件属性和关系的边集包含前置条件指向漏洞节点的边、漏洞节点指向后置条件的边、前置条件指向协议的边及协议指向后置条件的边。

优选的，威胁转移概率包含单步威胁转移概率和多步威胁传播概率。