[发明专利]基于网络安全应急响应知识图谱特征提取的预案匹配方法

说明书

本发明公开了一种基于网络安全应急响应知识图谱特征提取的预案匹配方法，包括步骤：S1：对于目标攻击手段的特征属性值，制定预案的限制类约束规则进行初次筛选，排除不适用于目标攻击手段的预案；S2：将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至加权图卷积神经网络中，获取预案特征向量的嵌入表示和目标攻击手段特征向量的嵌入表示；S3：通过余弦相似度算法计算S2中嵌入表示之间的相似度；S4：通过归一化指数函数对相似度进行处理，得到预案与目标攻击手段匹配度得分；S5：在S4中的匹配度得分进行降序排列，排序列表即为预案匹配结果列表；本方案能够解决传统方法的固有缺陷，提高预案匹配效率。

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于网络安全应急响应知识图谱特征提取的预案匹配方法。

背景技术

随着互联网产业的不断发展，网络安全问题也显得日益严峻，网络攻击规模日益呈现组织化，其攻击手段不断变化，呈现多样化、结构化，网络应急响应工作也显得尤为重要。

应急响应预案能够有效减少网络攻击的损害，并且能够根据不同的攻击手段执行不同的安全编排剧本。应急响应预案匹配即根据目标攻击手段的特征在预案库中选择适用于对抗目标攻击手段的预案，其核心为预案和目标攻击手段的特征提取以及智能匹配机制。安全编排响应自动化（SOAR）能够极大提高网络安全应急响应预案的执行速度，依靠剧本库中的剧本能够高效简单地处理攻击手段，而安全编排响应自动化（SOAR）能否高效地执行取决于预案的选择。

目前，预案匹配的传统方法如下几种：通过制定一些约束条件对预案库中的预案进行搜索，此种方法需要大量的人工对数据进行标注，且搜索效率低下，难以满足网络安全事件发生后预案快速响应的要求；还有基于关键字的预案匹配算法，此方法需要将攻击手段和预案的特征完全形式化、格式化、定量化表示，但是实际应用场景中，很难满足上述要求，并且在精确度等方面存在诸多不足；同时基于机器学习的网络安全应急预案智能匹配也是近些年来兴起的方法，但是该种方法需要大量的数据样本对模型进行训练，但是目前该研究领域专业数据集较少难以满足训练要求。可见，传统手段基于关键字或索引等特征进行预案匹配，传统手段存在匹配效率以及匹配准确率较低的缺点，难以解决日益复杂化的攻击手段和网络安全事件，并且传统手段需要大量的人工参与数据标注，对于特征信息的数据格式化要求较高，难以满足网络安全事件发生后预案匹配的实时性要求。

基于以上考虑，本发明采用基于网络安全应急响应知识图谱特征提取的预案匹配方法，其中网络安全应急响应知识图谱内容包括攻击手段信息以及预案的信息，通过网络安全应急响应知识图谱能够较好地描述预案与攻击手段的特征信息，此外基于图的存储结构能够以低耦合的方式保存预案和攻击手段的特征信息，通过此方法能够解决传统方法的固有缺陷，提高预案匹配效率。

发明内容

为实现上述目的，发明人提供了一种基于网络安全应急响应知识图谱特征提取的预案匹配方法，包括以下步骤：

S1：对于目标攻击手段的特征属性值，制定预案的限制类约束规则进行初次筛选，排除不适用于目标攻击手段的预案；

S2：将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至加权图卷积神经网络中，获取预案特征向量的嵌入表示和目标攻击手段特征向量的嵌入表示；

S3：通过余弦相似度算法计算S2中嵌入表示之间的相似度；

S4：通过归一化指数函数对相似度进行处理，得到预案与目标攻击手段匹配度得分；

S5：在S4中的匹配度得分进行降序排列，排序列表即为预案匹配结果列表。

作为本发明的一种优选方式，所述S1中的特征属性值包括：目标攻击手段的应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号。

作为本发明的一种优选方式，所述S1包括：对于目标攻击手段提取其应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号，这三个特征的离散属性值，通过图数据库查询语句制定预案的限制类约束规则进行初次筛选。