[发明专利]基于蜜罐实战生成的网络攻击知识图谱的行为预测方法

说明书

本发明提供了一种基于蜜罐实战生成的网络攻击知识图谱的行为预测方法，通过部署一定数量的网络节点和绑定蜜罐，然后收集和记录网络攻击行为、攻击路径和攻击对象等信息。然后根据这些攻击信息，通过Neo4j搭建网络攻防的实战知识图谱。在搭建的知识图谱基础上，通过聚类算法分析攻击事件的关联性，然后通过得到的平均聚类系数分析和预测攻击事件，可以对网络攻防进行有效的归类展示和行为预测，对于网络攻击防御有一定的指导意义。

技术领域

本发明涉及网络攻防及知识图谱领域，尤其涉及一种基于蜜罐实战生成的网络攻击知识图谱的行为预测方法。

背景技术

知识图谱作为一种显示知识发展进程与结构关系的一系列各种不同的图形，目前在被广泛应用于各个分析学科。其优势在于作为一个可视化数据库，能够更加生动描述知识资源及其载体，挖掘、分析、构建、绘制和显示知识及它们之间的相互联系，并以此为基础，再做行为分析和预测。

同时，网络攻击行为在现实生活中时常发生，由于攻防双方技术能力不对等，经常在放生攻击行为后，普通非技术人员不知道如何防范和解决，并且可能随着黑客的进一步行为，会导致更大的损失。

专利申请文献CN108933793A提供了一种基于知识图谱的攻击图生成方法及其装置，该方法包含：依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。专利申请文献CN109639670A提供了一种基于知识图谱的工控网络安全态势量化评估方法，主要步骤包括：定义和构造网络安全知识图谱、定义网络安全知识图谱中节点的业务权重、根据攻击事件计算威胁指数；本发明所述基于知识图谱的工控网络安全态势量化评估方法使用知识图谱技术，基于图数据库，支持快速进行图计算，通过广度遍历和深度遍历，计算攻击事件带来的间接威胁；

上述第一个专利申请文献CN108933793A通过利用知识图谱的多源信息融合及信息抽取和推理能力，实现攻击图的实时构建和精确评估；第二专利申请文献CN109639670A能够面评估风险，方便对未发生的威胁进行预警。但是上述两个文献均是构造网络安全知识图谱，而不是网络攻击知识图谱，并不能对攻击行为进行有效分析。

鉴于此，有必要设计一种基于蜜罐实战生成的网络攻击知识图谱及行为预测方法，能够将黑客攻击行为具象化，形成知识图谱，并且据此来做其行为分析从而有遇见性地给出防范方法。

发明内容

为解决现有技术中存在的技术问题，本发明提供了一种基于蜜罐实战生成的网络攻击知识图谱及行为预测方法，通过部署一定数量的网络节点和绑定蜜罐，然后收集和记录网络攻击行为、攻击路径和攻击对象等信息。然后根据这些攻击信息，通过Neo4j搭建网络攻防的实战知识图谱。在搭建的知识图谱基础上，通过聚类算法分析攻击事件的关联性，然后通过得到的平均聚类系数分析和预测攻击事件，可实现对于网络攻击具现化并作出行为分析和预测。

其中，Neo4j是一个嵌入式，基于磁盘的，支持完整事务的Java持久化引擎，它在图(网络)中而不是表中存储数据。Neo4j由于还提供了非常快的图算法、推荐系统和OLAP风格的分析，使得其在知识图谱构建和AI等领域拥有很大的优势。

为实现上述目的，本发明的解决方案是：

1、选取特定的几台计算机，安装诱捕节点和蜜罐，记录节点信息和蜜罐信息。于此同时，任由黑客进行攻击和扫描，并且记录下所有包括攻击行为、攻击时间和攻击路径等全部信息。

2、根据上一步骤记录下的所有信息，在知识谱图上进行绘制。

3、通过聚类分析，k中心点算法，以攻击行为分类，任意选取k个中心点，通过计算节点距离不断迭代，直到中心点不再变化，此时得到k个簇。