[发明专利]一种基于知识图谱的黑客攻击场景构建方法和设备

说明书

本发明的实施例提供了一种基于知识图谱的黑客攻击场景构建方法和设备。所述方法包括获取告警信息，对所述告警信息进行预处理，得到多维矩阵关联模型；将所述多维矩阵关联模型中的一类逻辑链条映射到知识图谱结构中；对所述多维矩阵关联模型中的二类逻辑链条和三类逻辑链条进行补充，将补充后形成的一类逻辑链条映射到所述知识图谱结构中，构建知识图谱。以此方式，可以对知识图谱的完整性进行改良完善，更好的推理出黑客攻击场景，对攻击场景的补全和逻辑分析拥有较好的效果。

技术领域

本发明一般涉及网络安全领域，并且更具体地，涉及一种基于知识图谱的黑客攻击场景构建方法和设备。

背景技术

随着互联网的普及与网络技术的发展，任何的公司以及个人都离不开使用网络系统进行办公或学习。然而随着网络发展，上世纪五十年代的麻省理工诞生了第一批黑客，从此越来越多的网络系统遭受到了黑客与病毒的威胁。“魔高一尺道高一丈”这些年来黑客与反黑客进行着历经多年的数次迭代，最终来到了今天。黑客的手段越发强大，他们制作发送危险诡秘的病毒，在旁人的系统端口进进出出，于此同时还发送大量的干扰信息迷惑计算系统。这一切都让黑客的网络行踪扑朔迷离。我们很难识别出一个黑客具体的攻击模型，自然也需要更多的力气去阻挡他的攻击以此保护自己的电脑。然而，在这场将近一个世纪的迭代过程中，守方也在不断发展进步。目前很多有识之士提出了一些可以在一定程度上构建识别黑客攻击模型的方法，比如基于权能赋值的黑客建模，基于某种数学规律的识别建模，抑或是基于机器学习的攻击建模。然而，这些方式虽然各自都展现出其发明者的聪明才智和独具匠心，却也有一定的缺陷。

由于黑客的攻击较难被系统识别，而同时系统还有大量误报警，两者对黑客攻击场景的建模有着极大的干扰，目前已有的建模方式都在试图排除误告警以及补全正确攻击过程，但是效果都比较差，而且少数效果较好的方法又没有很好的普适性。因为我们通过现有的告警信息进行黑客攻击模型的构建时，由于这种告警信息的驳杂性，充斥着大量无用信息。并且由于黑客攻击的隐蔽性，一定存在相当程度的攻击行为没有被捕捉，这就造成无法直接通过告警信息进行黑客攻击模型的构建，这种构建一定是不完整的。因此，针对这种信息误差严重的问题，可以考虑使用构建知识图谱的方式进行解决，这样可以基于知识很好的推演出缺失的攻击场景，同时知识具有较强的普适性，能够以更低的成本，基于较高的可移植性进行不同具体环境下的构建。然而，构建知识图谱相对是一个长期高资源的过程，不论是数据层还是模式层，都需要大量的专家进行构筑，需要人为的添加实体，这个过程无疑是具有较高的成本。现在存在一些方法针对这种构建中的补全机制进行作用，比如通过不同的告警关联模型或者某种时空属性的聚类进行一定的优化，以此达到对攻击模型的构建和补全。

目前对攻击模型的构建和补全技术都有一定的缺陷，其表现在正确率与成本不可兼得，可移植性和准确性也不可兼得。具体来说，例如，通过构建某种数学模型去计算当前攻击场景内的空缺部位，那么这种模型必须具有相当程度的精度，才能在大量的黑客攻击信息中算出相应的攻击序列，而由于黑客性格、技术、能力、目的、手法的不同，自然这种模型较难描绘出另一种环境下的攻击场景。相反，如果这种数学模型能够在一定程度上描绘当前整个系统的黑客攻击场景，那么势必很难精确到具体的步骤和操作。目前针对攻击场景的建模，大都是通过引入辅助功能联合处理或特化攻击问题，并没有达到实施上的普适性，而是根据不同的场景库进行针对特化处理。在知识图谱的构建中，离不开对应大量专家只是和数据信息作为挖掘主体。对于知识图谱的补全，大都引用某固定的模型，因而缺少灵活性。

发明内容

根据本发明的实施例，提供了一种基于知识图谱的黑客攻击场景构建方案。本方案能够对知识图谱的完整性进行改良完善，更好的推理出黑客攻击场景，对攻击场景的补全和逻辑分析拥有较好的效果。

在本发明的第一方面，提供了一种基于知识图谱的黑客攻击场景构建方法。该方法包括：

获取告警信息，对所述告警信息进行预处理，得到多维矩阵关联模型；

将所述多维矩阵关联模型中的一类逻辑链条映射到知识图谱结构中；