基于分布式知识图谱未知攻击溯源方法、主节点和子节点与流程

本发明涉及网络安全，具体涉及基于分布式知识图谱未知攻击溯源方法、主节点和子节点。

背景技术：

1、随着信息技术的发展，网络安全威胁日益增多和复杂化，传统的网络安全产品已经无法满足人们对网络安全防护要求，特别是新的网络攻击行为具有隐蔽性、分布式、规模化的特点，为应对新型网络攻击行为需要寻找新的技术手段进行未知攻击检测和溯源。知识图谱作为一种图的数据结构，“实体-关系-实体”的表达形式，更加直观的反映不同实体间的直接和间接关系。

2、对于网络攻击更加复杂，局限于对单步攻击的分析与告警，往往难以确定攻击者的真实意图，攻击都常通过复杂的多步攻击来达成最终的攻击目标，安全分析经常需要关联多个攻击行为来判断攻击目的。现有分析方法在确定攻击源、攻击目标和攻击路线上不够准确，难以更有针对性地制定防护与反制策略，达到主动防御的效果。

技术实现思路

1、为了解决现有技术在确定攻击源、攻击目标和攻击路线上不够准确，难以更有针对性地制定防护与反制策略，达到主动防御的效果的问题，本发明提出了一种基于分布式知识图谱未知攻击溯源方法，包括：

2、子节点获取网络访问的相关数据；

3、子节点基于所述相关数据，利用预先获取的正常访问操作行为模型和网络安全对策模型对所述网络访问的行为进行判定，确定所述网络访问的行为是否为未知攻击行为；

4、当所述网络访问的行为是未知攻击行为时，确定告警信息并利用预先获取的分布式知识图谱进行溯源得到溯源信息；然后将告警信息和溯源信息同步至其他子节点和主节点；

5、其中，所述正常访问操作行为模型和网络安全对策模型由主节点预先下发至各子节点；

6、所述分布式知识图谱由主节点汇集的各子节点的网络安全知识图谱进行构建并下发至各子节点。

7、优选的，子节点的网络安全知识图谱包括如下构建过程：

8、子节点对获取的历史网络访问的相关数据进行处理并进行特征提取得到关键特征；

9、子节点将所述关键特征转化为图结构，构建子节点的网络安全知识图谱。

10、优选的，所述网络访问的相关数据包括：网络流量数据、系统日志和安全事件记录。

11、优选的，所述利用预先获取的正常访问操作行为模型和网络安全对策模型对所述网络访问的行为进行判定，确定所述网络访问的行为是否为未知攻击行为，包括：

12、根据所述网络访问的相关数据利用正常访问操作行为模型进行匹配，找出与正常访问操作行为不符合的行为，判定为攻击行为；

13、根据所述攻击行为利用网络安全对策模型进行匹配，找出与已知攻击模式不符合的攻击行为，判定为未知攻击行为。

14、优选的，所述利用预先获取的分布式知识图谱进行溯源得到溯源信息，包括：

15、基于未知攻击行为利用分布式知识图谱，对行为轨迹和目标进行追踪和识别，并结合入侵检测系统对网络流量进行监测和分析，确定溯源信息；

16、将所述溯源信息以时间轴列出攻击源信息、攻击目标信息、攻击特征和攻击路径信息；

17、其中，所述溯源信息包括：访问的网际互连协议、端口、访问的资产、访问方法、操作行为和访问时间中的一种或多种。

18、基于同一发明构思，本发明还提供了一种基于分布式知识图谱未知攻击溯源的子节点，包括：

19、数据获取模块，用于获取网络访问的相关数据；

20、行为判定模块，用于基于所述相关数据，利用预先获取的正常访问操作行为模型和网络安全对策对所述网络访问的行为进行判定，确定所述网络访问的行为是否为未知攻击行为；

21、攻击溯源模块，用于当所述网络访问的行为是未知攻击行为时，确定告警信息并利用预先获取的分布式知识图谱进行溯源得到溯源信息；然后将告警信息和溯源信息同步至其他子节点和主节点；

22、其中，所述正常访问操作行为模型和网络安全对策模型由主节点预先下发至各子节点；

23、所述分布式知识图谱由主节点汇集的各子节点的网络安全知识图谱进行构建并下发至各子节点。

24、优选的，还包括网络安全知识图谱构建模块，具体用于：

25、子节点对获取的历史网络访问的相关数据进行处理并进行特征提取得到关键特征；

26、子节点将所述关键特征转化为图结构，构建子节点的网络安全知识图谱。

27、优选的，所述行为判定模块中的网络访问的相关数据包括：网络流量数据、系统日志和安全事件记录。

28、优选的，所述行为判定模块，具体用于：

29、根据所述网络访问的相关数据利用正常访问操作行为模型进行匹配，找出与正常访问操作行为不符合的行为，判定为攻击行为；

30、根据所述攻击行为利用网络安全对策模型进行匹配，找出与已知攻击模式不符合的攻击行为，判定为未知攻击行为。

31、优选的，所述攻击溯源模块，具体用于：

32、基于未知攻击行为利用分布式知识图谱，对行为轨迹和目标进行追踪和识别，并结合入侵检测系统对网络流量进行监测和分析，确定溯源信息；

33、将所述溯源信息以时间轴列出攻击源信息、攻击目标信息、攻击特征和攻击路径信息；

34、其中，所述溯源信息包括：访问的网际互连协议、端口、访问的资产、访问方法、操作行为和访问时间。

35、再一方面，本发明还提供了一种基于分布式知识图谱未知攻击溯源方法，包括下述几个步骤，且步骤间无先后顺序：

36、主节点将获取的各子节点上传的网络安全知识图谱进行融合，得到分布式知识图谱，并下发；

37、主节点基于统计学习的机器学习算法建立正常访问操作行为模型，并下发；

38、主节点基于att&ck框架确定网络安全对策模型，并下发。

39、优选的，所述主节点基于统计学习的机器学习算法建立正常访问操作行为模型，包括：

40、基于获取的训练集对机器学习模型进行训练使其学习正常的访问操作行为模式，得到训练好的模型；

41、基于获取的测试集对所述训练好的模型进行测试得到准确率和召回率的测试结果；

42、根据准确率和召回率的测试结果进行参数调优，得到正常访问操作行为模型。

43、优选的，所述主节点基于att&ck框架确定网络安全对策模型，包括：

44、基于网络安全威胁框架结合att&ck框架进行映射，确定网络安全对策模型。

45、再一方面，本发明还提供了一种基于分布式知识图谱未知攻击溯源的主节点，包括：

46、分布式知识图谱构建模块，用于获取各子节点上传的网络安全知识图谱进行融合得到分布式知识图谱，并下发；

47、正常访问操作行为模型构建模块，用于基于统计学习的机器学习算法建立正常访问操作行为模型，并下发；

48、网络安全对策模型构建模块，用于基于att&ck框架确定网络安全对策模型，并下发。

49、优选的，所述正常访问操作行为模型构建模块，具体用于

50、基于获取的训练集对机器学习模型进行训练使其学习正常的访问操作行为模式，得到训练好的模型；

51、基于获取的测试集对所述训练好的模型进行测试得到准确率和召回率的测试结果；

52、根据准确率和召回率的测试结果进行参数调优，得到正常访问操作行为模型。

53、优选的，所述网络安全对策模型构建模块，具体用于：

54、基于网络安全威胁框架结合att&ck框架进行映射，确定网络安全对策模型。

55、再一方面，本发明还提供了一种基于分布式知识图谱未知攻击溯源系统，其特征在于，包括主节点和若干子节点；

56、主节点如上述任一所述的一种基于分布式知识图谱未知攻击溯源的主节点；

57、子节点如上述任一所述的一种基于分布式知识图谱未知攻击溯源的子节点。

58、与现有技术相比，本发明的有益效果为：

59、一种基于分布式知识图谱未知攻击溯源方法、主节点和子节点，包括：子节点获取网络访问的相关数据；子节点基于所述相关数据，利用预先获取的正常访问操作行为模型和网络安全对策模型对所述网络访问的行为进行判定，确定所述网络访问的行为是否为未知攻击行为；当所述网络访问的行为是未知攻击行为时，确定告警信息并利用预先获取的分布式知识图谱进行溯源得到溯源信息；然后将告警信息和溯源信息同步至其他子节点和主节点；其中，所述正常访问操作行为模型和网络安全对策模型由主节点预先下发至各子节点；所述分布式知识图谱由主节点汇集的各子节点的网络安全知识图谱进行构建并下发至各子节点；本发明基于知识图谱进行攻击行为检测，可以有效的预测潜在的未知攻击，提高攻击发现的准确性和效率；本发明利用溯源技术可以准确追溯攻击来源和路径，为应对和防范网络安全威胁提供了有力的支持，达到主动防御的效果。