[发明专利]面向网络攻防试验平台的攻击研判方法、系统及介质

权利要求书

1.面向网络攻防试验平台的攻击研判方法，其特征在于，包括以下步骤：

步骤1：构建安全知识图谱的安全本体模型，基于规则推理的方法构建并扩充安全知识图谱；

步骤2：在网络攻防试验平台上模拟网络攻击，依据模拟的网络攻击的信息，构建场景知识图谱；

步骤3：依据复合攻击的通用规律来构建攻击规则库；

步骤4：对模拟的网络攻击进行数据采集和检测，提取对应的威胁要素，将威胁要素与安全知识图谱进行匹配，匹配成功则返回相应的单步攻击；

步骤5：通过场景知识图谱过滤单步攻击，依据节点IP在场景知识图谱中寻找对应的实例的属性，根据属性值判断是否具备被攻击的条件，如果具备被攻击的条件，则认为是有效的单步攻击，反之认为是无效攻击，将其过滤；

步骤6：将有效的单步攻击与攻击规则库进行匹配，同时通过时空属性的约束，输出对应的网络攻击的攻击链。

2.根据权利要求1所述的面向网络攻防试验平台的攻击研判方法，其特征在于，安全知识图谱的构建包括以下过程：

构建安全本体模型，依据所述安全本体模型构建安全知识图谱，其中，构建安全本体模型包括以下内容：

构建第一类安全本体模型，具体如下：构建第一类安全本体模型的一级本体：一级攻击本体、一级安全事件本体、一级漏洞本体、一级木马本体、一级蠕虫本体和一级snort 告警本体，分别在各个一级本体下划分二级本体，二级攻击本体与二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体和二级snort 告警本体分别具有一一对应的关系，然后为二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体和二级snort 告警本体添加实例；

构建第二类安全本体模型，具体如下：构建第二类安全本体模型的一级本体：一级攻击本体、一级安全事件本体、一级漏洞本体、一级木马本体、一级蠕虫本体和一级snort 告警本体；分别在各个一级本体下划分二级本体，二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体和二级snort 告警本体分别能够对应多个二级攻击本体，然后为二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体和二级snort 告警本体添加实例；

构建第三类安全本体模型，具体如下：构建第三类安全本体模型的一级本体：一级攻击本体、一级安全事件本体、一级漏洞本体、一级木马本体、一级蠕虫本体和一级snort 告警本体；分别在各个一级本体下划分二级本体，不同的二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体和二级snort 告警本体对应相同的二级攻击本体，然后为二级安全事件本体、二级漏洞本体、二级木马本体、二级蠕虫本体和二级snort 告警本体添加实例。

3.根据权利要求2所述的面向网络攻防试验平台的攻击研判方法，其特征在于：步骤1中用的推理规则包括以下推理规则：

推理一：根据二级攻击本体与其他二级本体之间的关系，以及其他二级本体与实例之间的关系，通过推理将其他二级本体的实例与二级攻击本体关联起来；

推理二：当有新的实例加入，根据实例与已知实例的关系，结合已知实例与二级攻击本体的关系，推理得到新的实例与二级攻击本体的关系；

推理三：根据其他二级本体与二级攻击本体的关系，以及二级攻击本体之间的关系，推理得到其他二级本体的之间的关系；

对于安全知识中的漏洞、木马和蠕虫，采用命名实体识别结合分类的方式从网上公开的信息中获取漏洞、木马和蠕虫相关的安全知识，并依据分类添加到相应的安全本体模型的数据模型中，基于推理机，通过推理一进行推理，将漏洞、木马和蠕虫与对应的网络攻击关联起来，以三元组的形式存入安全知识图谱中，然后再通过推理二、推理三，对安全知识图谱进行扩充；

对于安全知识中的snort告警和安全事件，由第三方安全厂商提供分类结果，并依据分类添加到相应的安全本体模型的数据模型中，基于推理机，通过推理一进行推理，将snort告警和安全事件与对应的网络攻击关联起来，以三元组的形式存入安全知识图谱中，然后再通过推理二、推理三，对安全知识图谱进行扩充。