[发明专利]基于天地一体化网络的网络安全知识图谱的关联分析方法

权利要求书

1.基于天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：包括以下步骤：

步骤1：构建基于天地一体化网络的网络安全知识图谱，所述网络安全知识图谱的模型包括概念、实例、属性、关系、规则，所述概念包括攻击、事件、告警，所述攻击为互联网上网络攻击，所述事件为攻击的具体步骤，所述告警为与所述攻击相关联的告警编号；

步骤2：构建事件本体，所述事件本体的模型包括事件号、时间、设备号、来源、事件序列关系，所述网络安全知识图谱的事件采用所述事件本体的模型来描述，存入所述网络安全知识图谱中；

步骤3：在天地一体化网络建立安全分析系统，攻击发生后，得到攻击的事件信息，通过安全分析系统将得到攻击信息处理后与网络安全知识图谱中的事件进行匹配，匹配成功则将攻击的事件信息与网络安全知识图谱中的告警进行关联，还原攻击的攻击场景；

所述实例包括所述概念中的攻击、事件、告警的具体描述；所述属性包括所述实例中的攻击、事件、告警的具体类型的属性值；所述关系包括攻击与事件、攻击与告警之间的关系；所述规则用于约束攻击与事件、攻击与告警的关联；

攻击包括的信息：攻击的名称、攻击的类型、攻击的描述以及每种攻击的危害程度；事件包括的信息：事件的编号、事件发生的时间、事件发生的位置、事件的来源以及事件之间的关系；告警包括的信息：告警名称、告警类型、告警描述以及告警等级；

在所述事件本体中，所述编号为事件本体中确定的唯一编号；所述时间为事件发生的时间；所述设备号为事件发生的位置，所述来源为转发事件的卫星；所述事件序列关系为攻击的各个事件发生的先后顺序、因果关系和选择关系；

步骤3具体包括如下步骤：当攻击发生后，通过数据采集系统采集日志信息，从数据库获取日志信息集合L，从日志中抽取出攻击的事件信息，采用所述事件本体的模型来描述事件信息，获得唯一事件号；

去除日志信息集合L中的冗余的事件，得到事件集合E；

对事件集合E中的事件按时间先后顺序进行排序，得到事件列表S，并把事件列表S按时间窗口长度α划分为n个事件列表T_n＝[T₁，T₂，…，T_i](1≤i≤n)，每一个时间窗口包含一组事件序列T_i＝[E_i1，E_i2，…，E_ij](j≥1)；

遍历时间窗口，将该时间窗口下事件序列中的每个事件E_ij分别与网络安全知识库里的网络安全知识图谱中事件中的实例进行匹配，统计匹配成功次数n，并计算匹配成功率，匹配成功率是匹配成功的事件数与知识图谱中预存的攻击的事件数相比，设定告警阈值β，若匹配成功率大于告警阈值β，则认为与网络安全知识图谱的攻击匹配成功，继而遍历与此攻击关联的告警信息，并将得到的关联的告警信息A_i与该时间窗口的时间序列一起放入事件-告警集合R中，否则只把该事件序列放入事件-告警集合R中，最后返回得到事件-告警集合R，根据事件-告警集合R还原攻击场景。

2.根据权利要求1所述的天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：所述日志分别包括系统日志、防火墙日志和IDS日志。

3.根据权利要求1所述的基于天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：所述网络安全知识图谱是基于天地一体化网络的网络安全知识库构建的，所述事件本体用于构建基于天地一体化网络的网络安全事件库，并扩充基于天地一体化网络的网络安全知识库。

4.根据权利要求1所述的基于天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：所述天地一体化网络包括天基骨干网、天基接入网、地基节点网，所述天地一体化网络与地面互联网和移动通信网互联互通，分别在天基骨干网、天基接入网、地基节点网部署安全设备监测与处置模块，将采集到的数据分别通过异构网间安全互联网关汇集组件和地面网间安全互联网关汇集组件集中传入数据库，然后由网络安全分析系统得出分析结果。

5.根据权利要求1所述的基于天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：还原攻击场景为网络安全分析系统的前端展示界面从后端图数据库中读取事件-告警集合R，并以图形化的形式展示出来。