[发明专利]一种网络攻击中恶意代码的知识图谱展示方法

说明书

本发明公开了一种网络攻击中恶意代码的知识图谱展示方法，其步骤包括：1)基于OWL本体语言对目标恶意代码图谱进行建模，得到OWL本体库；然后结合OWL规则库对该OWL本体库进行OWL推理，得到新内容并确定该新内容的分类、属性和实例信息；2)根据得到的分类、属性和实例计算目标恶意代码图谱的通用度量，并根据度量结果计算各节点的重要性对目标恶意代码图谱过滤；然后对目标恶意代码图谱进行不同实体间的关联分析，计算关联度；并计算恶意代码间的相似度；3)对目标恶意代码图谱中的恶意代码进行家族分类，然后在分类信息更新后的目标恶意代码图谱上进行恶意代码评估值计算；然后对目标恶意代码图谱进行分层的布局和渲染展示。

技术领域

本发明涉及网络空间安全领域和知识图谱技术领域，具体涉及一种基于OWL的网络攻击中恶意代码的知识图谱展示方法。

背景技术

网络攻击(Cyber Attacks，也称赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。网络攻击可以是对计算机或计算机网络的恶意篡改破坏、未经授权的访问窃取信息或者通过某种手段使其丧失本该具有的功能服务等等，而网络攻击中的恶意代码就是在网络攻击过程中帮助攻击者实现网络攻击的手段工具，以计算机程序(代码)的形式存在。

随着互联网的发展，网络攻击越来越泛滥，网络攻击技术日益复杂。网络攻击从最初自发式、分散式攻击转向专业化的有组织行为，于此同时恶意代码也展现出专业化、目的商业化、行为组织化等趋势。随着恶意代码逐渐复杂化，代码的多变性、隐蔽性增加，使得检测、预防以及追踪变得更为困难。为了应对这一现状，现阶段的做法是通过对恶意代码进行特征提取，包括静态、动态行为特征，整体学习评估后建立相应的检测模型，通过检测模型判断代码的恶意性以及家族性。而恶意代码更新极为迅速，为了能保证识别的准确率，会及时的学习新型恶意代码用于更新检测模型。通常的学习方式是借助机器学习、深度学习以及关联分析等现有技术实现的。而现有的恶意代码研究侧重于行为分析和分类研究，展示也侧重于具体节点间的关系，缺少对整体代码的不同性能的总结和直观展示。

知识图谱以其直观有效的表达实体关系的优势，可以表达复杂网络，为人们提供了从“关系”的角度分析问题的能力。强大的表达能力和可扩展、可推理性，可以使恶意代码的关联关系直观表达，并为其进一步的推理分析提供了技术基础。知识图谱近几年的发展迅速，研究出结合卷积神经网络的图学习方法，从CNN到GCN的演变经历了几年后，Semi-Supervised GCN的出现为图谱的学习训练提供了架构支持，随后进一步的研究针对GCN的不足做出了不同的改进，如GAT、GraphSAGE等典型例子为图卷积技术的进一步成熟奠定了方向基础。知识图谱的通过三元组形式保存到知识库中，进行进一步计算分析操作。从RDF到现在的OWL(Web Ontology Language)，作为核心的语义网技术，为网络本体的构建提供了丰富的建模原语。本体是一组精确的描述性陈述，用声明性的逻辑方式描述一个事务的状态。OWL除了拥有像RDFs一样灵活的数据建模能力之外，还提供了一套可以帮助计算机进行自动推理的功能强大的词汇。通过定义类以及类的属性来形式化某个领域，定义个体并说明它们之间的属性，在OWL语言的形式化语义允许的层次上对类和个体进行推理实现OWL推理机功能。OWL的出现作为扩展弥补了RDFs的不足，其较强的表达能力、快速灵活的数据建模能力和高效的自动推理，成为了知识图谱语义网络描述的不二选择，同时为不同领域的推理提供了可依赖推理机架构。

可视化将抽象的数据映射为图形元素,并以人机交互手段作为辅助,帮助用户有效地感知和分析数据。现有的图形可视化工具有Gephi、Tom Sawyer Perspectives、GraphX等集成好的高级可视化软件，操作体验更高效，但可定制性较低；也有D3等基础工具，只对一些基本算法进行了封装，使用灵活可以实现丰富的定制化效果，但使用复杂性较高。图谱可视化工具的基础功能一般包括：布局、分割、排序、过滤、统计。布局常用的力导向图(SVG/Canvas)、圆形布局和胡一凡布局(Yifan Hu)等，还有图谱中心性度量、关联分析、子图抽取等常用功能。