首页 > 学术百科

基于知识图谱的攻击图生成方法及其装置[发明专利]

(19)中华人民共和国国家知识产权局

(12)发明专利申请

(10)申请公布号 (43)申请公布日 (21)申请号 201810819190.8

(22)申请日 2018.07.24

(71)申请人中国人民解放军战略支援部队信息

工程大学

地址 450000 河南省郑州市高新区科学大

道62号

(72)发明人郭渊博　叶子维　李涛　琚安康　

刘春辉　

(74)专利代理机构郑州大通专利商标代理有限

公司 41111

代理人周艳巧

(51)Int.Cl.

H04L 29/06(2006.01)

(54)发明名称

基于知识图谱的攻击图生成方法及其装置

(57)摘要

本发明属于网络安全技术领域，特别涉及一

种基于知识图谱的攻击图生成方法及其装置，该

方法包含：依据目标网络的网络特征，选取网络

安全知识库并抽取用于构建知识图谱的安全相

关信息；依据安全相关信息，通过关系抽取、属性

抽取和知识推理，构建知识图谱；对目标网络进

行拓扑扫描和漏洞扫描，并结合知识图谱，生成

用于分析原子攻击及攻击路径的攻击成功率和

攻击收益的攻击图。本发明通过利用知识图谱的

多源信息融合及信息抽取和推理能力，实现攻击

图的实时构建和精确评估，能够更加准确的反应

当前网络安全状态，解决现有攻击图生成和分析

技术中由于相关信息获取不全面导致的不能及

时准确反映当前网络安全状态的问题，为指导网

络防御措施的采取提供了更加完善的依据。权利要求书2页说明书8页附图2页CN 108933793 A 2018.12.04

C N 108933793

1.一种基于知识图谱的攻击图生成方法，其特征在于，包含：

依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；

依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；

对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

2.根据权利要求1所述的基于知识图谱的攻击图生成方法，其特征在于，抽取用于构建知识图谱的安全相关信息时，依据目标网络的网络特征，选取网络安全知识库，并通过爬虫技术，从安全相关信息源中抽取安全相关信息，该安全相关信息源至少包含漏洞信息库、安全论坛和互联网安全应急响应中心。

3.根据权利要求1或2所述的基于知识图谱的攻击图生成方法，其特征在于，抽取安全相关信息时，通过设计原子攻击本体，明确抽取的安全相关信息种类；该原子攻击本体包含四种实体，该四种实体具体为：目标网络中使用的各类存在已知漏洞的软件，目标网络中使用的各类存在已知漏洞的硬件，目标网络中存在的已知软硬件的漏洞，和攻击者采取具体漏洞利用行为的攻击。

4.根据权利要求3所述的基于知识图谱的攻击图生成方法，其特征在于，软件实体以软件名称和版本号进行标识；硬件实体以硬件品牌和型号进行标识；漏洞实体以漏洞ID进行标识；攻击实体包含攻击条件、攻击方式、攻击成功率和攻击收益四种属性。

5.根据权利要求4所述的基于知识图谱的攻击图生成方法，其特征在于，构建知识图谱中，从信息源中抽取实体与实体间，及实体与属性间的关系；从信息源中获取指定实体的属性；并通过条件随机场模型对关系和属性进行抽取；根据知识图谱中已有实体、关系和属性，并根据攻击条件和攻击方式对攻击成功率和攻击收益进行知识推理，建立新的关系或属性，以扩展知识图谱。

6.根据权利要求5所述的基于知识图谱的攻击图生成方法，其特征在于，建立新的关系或属性中，采用路径排序方法，通过三元组{<；实例，关系，实例>|<；实例，关系，属性>|<；实体，关系，实例>}表示实体间关系和属性的推理规则，及实体间的连接路径，判断两者是否存在潜在关系，以扩展知识图谱。

7.根据权利要求6所述的基于知识图谱的攻击图生成方法，其特征在于，对目标网络进行拓扑扫描和漏洞

扫描，并结合知识图谱，通过查询漏洞ID，对应攻击实体的攻击条件、攻击方式、攻击成功率及攻击收益，并指导从目标节点出发的反向路径搜索；以漏洞作为攻击图的顶点，通过每个漏洞对应的攻击的攻击条件属性和攻击收益属性两个属性中与权限相关的部分来获取攻击者利用该漏洞所需要的权限和成功利用漏洞后获取的权限，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

8.根据权利要求7所述的基于知识图谱的攻击图生成方法，其特征在于，指导从目标节点出发的反向路径搜索过程，包含如下内容：

C1)依次选取节点集合中的节点作为目标节点，获取该目标节点漏洞；

C2)查与该目标节点相邻的未读取节点，将该相邻的未读取节点标记为已读取；

C3)若该相邻的未读取节点存在漏洞，且该漏洞的攻击收益满足目标节点漏洞的攻击条件，则为该漏洞和目标节点漏洞建立连接关系，即设定该漏洞为目标节点漏洞的前置漏

洞，若该相邻的未读取节点不存在漏洞，则返回C2)执行，重复查该目标节点相邻的未读取节点，直至其全部邻接节点都标记为已读取，再执行C4)；

C4)返回C1)执行，直至遍历节点集合中的全部节点。

9.根据权利要求1所述的基于知识图谱的攻击图生成方法，其特征在于，攻击图中，对于包含x个节点的攻击路径，设其从初始节点到目标节点的节点序号依次为1至x，则该路径

的综合攻击成功率：路径的综合攻击收益：单个

攻击实体的攻击成功率为其a个影响攻击成功率因素下的攻击成功率叠加，表示为：

单个攻击实体的攻击收益为其b个攻击收益属性的叠加，表示为：

node∈N，N为攻击图中节点集合的节点总数，l为每个影响攻击成功率因

素各自的权重。

10.一种基于知识图谱的攻击图生成装置，其特征在于，包含信息抽取模块、图谱构建模块和攻击图生成模块，其中，

信息抽取模块，用于依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；

图谱构建模块，用于依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；

攻击图生成模块，用于对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

基于知识图谱的攻击图生成方法及其装置

技术领域

[0001]本发明属于网络安全技术领域，特别涉及一种基于知识图谱的攻击图生成方法及其装置。

背景技术

[0002]攻击图技术是一种图形化的网络脆弱性分析技术，通过对目标网络和可能遭受的攻击行为进行建

模，展示攻击者对目标网络发动攻击时可能采取的攻击路径，既可指导防御方采取针对性修复和防御措施，也可为攻击者的攻击行动策划提供依据。目前攻击图主要分为状态攻击图和属性攻击图两类。状态攻击图以网络安全状态为顶点，边表示网络安全状态的转换。由于同一状态可能对应图中多个顶点，使用状态攻击图对大规模网络进行脆弱性分析时会产生状态爆炸问题，因此现在已少有对状态攻击图的研究。属性攻击图通常以漏洞和节点权限为顶点，边表示漏洞和权限间的依赖或获得关系。属性攻击图由于缓解了状态攻击图的状态爆炸问题、且可以较为直观地向防御方反映出当前网络中的潜在安全隐患而得到了广泛的应用，并衍生出渗透依赖攻击图和属性依赖攻击图等拓展。[0003]现有攻击图技术存在以下问题：1)随着攻击技术的不断发展、漏洞数量的日渐增多，传统的基于CVSS(Common Vulnerability Scoring System，通用漏洞评分系统)的漏洞评估方式越来越难以精确地反映出漏洞的危险等级，主要表现为部分高危漏洞综合评分较低，同时也存在部分低危漏洞综合评分较高的现象。这些问题使得基于漏洞扫描的攻击图生成和分析技术难以精确地反映当前网络的安全状态，导致防御方采取的防御措施难以有效阻止或响应攻击。2)随着大数据分析、威胁情报等技术的发展，大量新漏洞、新攻击方式、旧漏洞的新利用方式在互联网上被快速公开。同时，新的防御手段也在对已知漏洞的利用难度和利用方式产生影响。这些信息既为安全研究人员及相关厂商提供帮助，也为攻击者提供了新思路、新手段。在这种现状下，攻防双方对攻击图的自动构建、精确评估等能力提出了更高的要求。现有技术依然难以满足攻防双方对攻击成功率、攻击收益进行实时、精确评估的需求。

发明内容

[0004]针对现有技术中的不足，本发明提供一种基于知识图谱的攻击图生成方法及其装置，通过利用知识图谱的多源信息融合及信息抽取和推理能力，实现攻击图的实时构建和精确评估，能够更加准确的反应当前网络安全状态。

[0005]按照本发明所提供的设计方案，一种基于知识图谱的攻击图生成方法，包含：[0006]依据目标网络的网络特征，选取网络安全知识库并抽取用于构建知识图谱的安全相关信息；

[0007]依据安全相关信息，通过关系抽取、属性抽取和知识推理，构建知识图谱；[0008]对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

[0009]上述的，抽取用于构建知识图谱的安全相关信息时，依据目标网络的网络特征，选取网络安全知识库，并通过爬虫技术，从安全相关信息源中抽取安全相关信息，该安全相关信息源至少包含漏洞信息库、安全论坛和互联网安全应急响应中心。

[0010]上述的，抽取安全相关信息时，通过设计原子攻击本体，明确抽取的安全相关信息种类；该原子攻击本体包含四种实体，该四种实体具体为：目标网路中使用的各类存在已知漏洞的软件，目标网络中使用的各类存在已知漏洞的硬件，目标网络中存在的已知软硬件的漏洞，和攻击者采取具体漏洞利用行为的攻击。

[0011]优选的，软件实体以软件名称和版本号进行标识；硬件实体以硬件品牌和型号进行标识；漏洞实体以漏洞ID进行标识；攻击实体包含攻击条件、攻击方式、攻击成功率和攻击收益四种属性。

[0012]优选的，构建知识图谱中，从信息源中抽取实体与实体间，及实体与属性间的关系；从信息源中获取指定实体的属性；并通过条件随机场模型对关系和属性进行抽取；根据知识图谱中已有实体、关系和属性，并根据攻击条件和攻击方式对攻击成功率和攻击收益进行知识推理，建立新的关系或属性，以扩展知识图谱。

[0013]优选的，建立新的关系或属性中，采用路径排序方法，通过三元组{<；实例，关系，实例>|<；实例，关系，属性>|<；实体，关系，实例>}表示实体间关系和属性的推理规则，及实体间的连接路径，判断两者是否存在潜在关系，以扩展知识图谱。

[0014]优选的，对目标网络进行拓扑扫描和漏洞扫描，并结合知识图谱，通过查询漏洞ID，对应攻击实体的攻击条件、攻击方式、攻击成功率及攻击收益，并指导从目标节点出发的反向路径搜索，以漏洞作为攻击图的顶点，通过每个漏洞对应攻击的攻击条件属性和攻击收益属性两个属性中与权限相关的部分来获取攻击者利用该漏洞所需要的权限和成功利用漏洞后获取的权限，生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。

[0015]优选的，指导从目标节点出发的反向路径搜索过程，包含如下内容：

[0016]C1)依次选取节点集合中的节点作为目标节点，获取该目标节点漏洞；

[0017]C2)查与该目标节点相邻的未读取节点，将该相邻的未读取节点标记为已读取；[0018]C3)若该相邻的未读取节点存在漏洞，且该漏洞的攻击收益满足目标节点漏洞的攻击条件，则为该漏洞和目标节点漏洞建立连接关系，即设定该漏洞为目标节点漏洞的前置漏洞，若该相邻的未读取节点不存在漏洞，则返回C2)执行，重复查该目标节点相邻的未读取节点，直至其全部邻接节点都标记为已读取，再执行C4)；

[0019]C4)返回C1)执行，直至遍历节点集合中的全部节点。

[0020]上述的，攻击图中，对于包含x个节点的攻击路径，设其从初始节点到目标节点的节点序号依次为1至x，则该路径的综合攻击成功率：路径的综合攻击收益：单个攻击实体的攻击成功率为其a个影响攻击成功率因素下的攻击成功率叠加，表示为：单个攻击实体的攻击收益为其b个攻击收益属

本文发布于:2024-09-20 13:31:00，感谢您对本站的认可！

本文链接：https://www.17tex.com/xueshu/766093.html

上一篇：一种装备体系作战发展趋势转折点的判别方法

下一篇：断气刹式制动器[发明专利]