[发明专利]基于天地一体化网络的网络安全知识图谱的关联分析方法

说明书

本发明提供了基于天地一体化网络的网络安全知识图谱的关联分析方法，给出准确的攻击判定，包括构建基于天地一体化网络的网络安全知识图谱，包括概念、实例、属性、关系、规则，概念包括攻击、事件、告警，攻击为互联网上网络攻击，事件为攻击的具体步骤，告警为与攻击相关联的告警编号；构建事件本体，事件本体的模型包括事件号、时间、设备号、来源、事件序列关系，网络安全知识图谱的事件采用事件本体的模型来描述，存入所述网络安全知识图谱中，攻击发生后，得到攻击信息，通过安全分析系统将得到攻击信息处理后与网络安全知识图谱中的事件进行匹配，匹配成功则将攻击与网络安全知识图谱中的告警进行关联，还原攻击的攻击场景。

技术领域

本发明涉及网络安全技术领域，具体为基于天地一体化网络的网络安全知识图谱的关联分析方法。

背景技术

天地一体化网络是以地面网络为基础、以空间网络为延伸，覆盖太空、空中、陆地、海洋等自然空间，为天基、陆基、海基等各类用户活动提供信息保障的基础设施。

近两年来，网络安全攻击事件法还是能的次数越来越多，造成的危害越来越大，尤其是对公共设施造成的影响，因此，引起了国内外学者们对网络安全攻击事件的高度关注，同时，大数据技术发展的也越来越成熟，考虑将网络安全攻击事件与运行环境等其他辅助因素进行关联，用以识别攻击的类型，因此，网络安全攻击事件关联分析技术应运而生。现有的安全事件关联分析技术有基于属性特征的关联分析、基于逻辑推理的关联分析、基于概率统计的关联分析和基于机器学习的关联分析等。但是，在实际的网络攻击中，攻击的形式和攻击工具的组合都是动态变化的，上述提到的关联分析方法就不能随着攻击的变化而给出相对准确的攻击判定了，尤其是针对天地一体化网络特有的攻击。

2012年，谷歌提出知识图谱的概念，知识图谱(Knowledge Graph)旨在描述客观世界的概念、实体、事件及其之间的关系，知识图谱本质上是一种叫做语义网络(SemanticNetwork)的知识库，即具有有向图结构的知识库，其中，图中的节点代表实体(Entity)或者概念(Concept),图中的边代表实体/概念之间的各种语义关系，一般用三元组形式表示：(实体1，关系，实体2)和(实体，属性，属性值)。

知识图谱构建的方法通常有两种：自顶向下和自底向上。知识图谱构建的步骤大体分为两步：一是知识获取，包括从结构化数据、半结构化数据和非结构化数据中获取知识；二是数据融合，将不同数据源获取的知识进行融合，构建数据之间的关系。在知识获取中又分为两步：知识图谱本体层构建和实体层的学习。目前，在世界范围内有很多知名的高质量的大规模开放知识图谱，比如DBpedia、Yago、Wikidata、BabelNet、ConceptNet以及Microsoft Concept Graph和中文开放知识图谱平台OpenKG。

在自然语言处理领域，知识图谱的构建技术及应用已经非常成熟了，但是，在网络安全领域，还没有高质量的大规模开放知识图谱，在不同领域中的知识本体构建和实体层的学习是不一样的。在网络安全领域，有和自然语言处理领域一样的结构化数据、半结构化数据和非结构化数据，比如漏洞库、snort规则库、操作系统和应用软件介绍等等，还有网络攻击的步骤。对于前者，可以使用通用的实体抽取、实体对齐等方法，但是对于网络攻击的步骤，需要描述清楚攻击步骤之间的关系，比如顺序、因果和选择等等，而且还要把时间先后和因果条件描述清楚，通用的方法显然不适用。

发明内容

本发明所要解决的技术问题是提供一种基于天地一体化网络的网络安全知识图谱的关联分析方法，用于克服现有技术存在的问题。

其技术方案是这样的：基于天地一体化网络的网络安全知识图谱的关联分析方法，其特征在于：包括以下步骤：

步骤1：构建基于天地一体化网络的网络安全知识图谱，所述网络安全知识图谱的模型包括概念、实例、属性、关系、规则，所述概念包括攻击、事件、告警，所述攻击为互联网上网络攻击，所述事件为攻击的具体步骤，所述告警为与所述攻击相关联的告警编号；