一种基于知识图谱的态势感知方法、系统、设备及介质

摘要

本发明公开了一种基于知识图谱的态势感知方法，包括以下步骤：S1、采集网络设备镜像或分光来的原始流量；S2、对原始流量进行知识抽取；S3、对抽取后的知识按照预设规则进行加工；S4、将加工后的知识存入图数据库构建知识图谱；S5、根据知识图谱进行威胁检测。本发明提供的一种基于知识图谱的态势感知方法、系统、设备及介质，将知识图谱应用于态势感知过程，使态势感知与人工智能相结合，通过对网络设备所有流量的知识图谱的构建，以清晰明了的方式展现态势元素以及态势元素之间的关系，在此基础上辅助进行威胁检测，能够得到更准确的态势感知结果。

说明书

技术领域

本发明涉及互联网领域，尤其是一种基于知识图谱的态势感知方法、系统、设备及介质。

背景技术

随着互联网技术的高速发展，网络安全得到了越来越多的关注。网络安全和个人隐私、社会财产密不可分。网络入侵和攻击行为朝着分布化、规模化、间接化的趋势发展，传统的网络安全产品已经越来越难以满足人们对网络安全的需要，尤其是在网络规模比较大的情况下，网络安全技术面临着前所未有的挑战。

网络态势感知是指在对网络态势状况进行实时监控，在潜在的、恶意的网络行为失去控制之前发出预警并能给出相应的对策。网络态势感知系统继承了传统的网络安全工具，如入侵检测系统、防火墙，并以这些网络安全工具提供的原始数据为基础进行分析，以期获得更有用的信息，为网络安全分析提供决策支持。网络安全态势感知技术为网络态势感知系统提供了技术支持，网络安全态势感知技术根据原始数据进行一定抽象层次的分析，主要涉及入侵检测与告警关联、利用攻击图实现漏洞分析、因果关系分析、取证分析、信息流分析、攻击趋势分析和入侵响应等方面。

知识图谱作为人工智能的重要分支，在大数据分析和决策方面有其独有的优势，它能够将数据表示为以“实体-关系-实体”为基础的网状知识结构，通过语义链接帮助理解大数据，获得对大数据的整体洞察，提供决策支持。

发明内容

针对现有技术中的缺陷，本发明提供了一种基于知识图谱的态势感知方法、系统、设备及介质，将态势感知与人工智能相结合，能够得到更准确的态势感知结果。

第一方面，本发明提供了一种基于知识图谱的态势感知方法，包括以下步骤：

S1、采集网络设备镜像或分光来的原始流量；

S2、对原始流量进行知识抽取；

S3、对抽取后的知识按照预设规则进行加工；

S4、将加工后的知识存入图数据库构建知识图谱；

S5、根据所述知识图谱进行威胁检测。

优选地，所述步骤S1具体包括：将流探针设置在网络出口处，接收各网络设备镜像或分光来的原始流量。

优选地，所述威胁检测具体包括：

邮件异常检测，对互联网出口的SMTP/POP3/IMAP协议流量进行检查；

加密流量检测，在不解密的前提下，通过加密流量的握手过程信息和加密通信过程中的传输模式提取相关特征，并根据特征实现恶意加密流量的检测；

流量基线异常检测，用于检测网络内部的主机和区域之间的异常访问情况；

WEB异常检测，提取HTTP流量元数据，检测通过WEB进行的渗透和异常通信。

优选地，还包括步骤：S6、将威胁检测的结果进行可视化展示。

第二方面

本发明提供了一种基于知识图谱的态势感知系统，包括：

信息采集模块，采集网络设备镜像或分光来的原始流量；

知识抽取模块，对原始流量进行知识抽取；

知识加工模块，对抽取后的知识按照预设规则进行加工；

构建知识图谱模块，将加工后的知识存入图数据库构建知识图谱；

威胁检测模块，根据所述知识图谱进行威胁检测。

优选地，所述信息采集模块具体用于将流探针设置在网络出口处，接收各网络设备镜像或分光来的原始流量。

优选地，所述威胁检测模块包括：

邮件异常检测模块，对互联网出口的SMTP/POP3/IMAP协议流量进行检查；

加密流量检测模块，在不解密的前提下，通过加密流量的握手过程信息和加密通信过程中的传输模式提取相关特征，并根据特征实现恶意加密流量的检测；

流量基线异常检测模块，用于检测网络内部的主机和区域之间的异常访问情况；

WEB异常检测模块，提取HTTP流量元数据，检测通过WEB进行的渗透和异常通信。

优选地，还包括：

展示模块，将威胁检测的结果进行可视化展示。

第三方面

本发明提供了一种基于知识图谱的态势感知设备，包括存储器和处理器；所述存储器用于存储可执行程序代码；

所述处理器用于读取所述存储器中存储的可执行程序代码，以执行第一方面所述的一种基于知识图谱的态势感知方法。

第四方面

本发明提供了一种介质，所述介质存储有权利要求9中所述的可执行程序代码。

本发明提供的一种基于知识图谱的态势感知方法、系统、设备及介质，将知识图谱应用于态势感知过程，使态势感知与人工智能相结合，通过对网络设备所有流量的知识图谱的构建，以清晰明了的方式展现态势元素以及态势元素之间的关系，在此基础上辅助进行威胁检测，能够得到更准确的态势感知结果。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1为本发明一种基于知识图谱的态势感知方法的实施例流程图；

图2为本发明一种基于知识图谱的态势感知系统的实施例的结构示意图；

图3为本发明一种基于知识图谱的态势感知设备的硬件架构图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

实施例一

如图1所示，本发明实施例提供了一种基于知识图谱的态势感知方法，包括以下步骤：

S1、采集网络设备镜像或分光来的原始流量；

步骤S1具体为：将流探针设置在网络出口处，接收各网络设备镜像或分光来的原始流量。其中，流探针对所有网络流量进行采集，流探针对原始流量的处理类型有提取信息源和提取netflow数据流。

S2、对原始流量进行知识抽取；

对原始流量进行实体抽取和关系抽取，实体抽取得到实体及实体对应的属性，关系抽取得到实体和属性之间的关系。

S3、对抽取后的知识按照预设规则进行加工；

步骤S3还包括数据清洗，将数据中的错误识别出来，提高数据质量。

S4、将加工后的知识存入图数据库构建知识图谱；

S5、根据知识图谱进行威胁检测；

威胁检测主要包括：

邮件异常检测，对互联网出口的SMTP/POP3/IMAP协议流量进行检查，结合沙箱的文件检测结果检测通过邮件的外部渗透行为；

加密流量检测，在不解密的前提下，通过加密流量的握手过程信息和加密通信过程中的传输模式提取相关特征，并根据特征实现恶意加密流量的检测，其中，恶意加密流量是指攻击阶段中的命令与控制阶段产生的流量；

流量基线异常检测，用于检测网络内部的主机和区域之间的异常访问情况；流量基线是指网络内部主机之间、区域之间或者内外网之间的访问规则，包括指定时间段内是否允许访问、访问的频次范围、流量大小范围等；

WEB异常检测，从历史数据中提取HTTP流量元数据，检测通过WEB进行的渗透和异常通信。

S6、将威胁检测的结果进行图表可视化展示，方便快速直观知晓威胁检测结果。

实施例二

如图2所示，本发明实施例提供了一种基于知识图谱的态势感知系统，包括：

信息采集模块，采集网络设备镜像或分光来的原始流量。信息采集模块具用于将流探针设置在网络出口处，接收各网络设备镜像或分光来的原始流量。其中，流探针对所有网络流量进行采集，流探针对原始流量的处理类型有提取信息源和提取netflow数据流；

知识抽取模块，对原始流量进行知识抽取。知识抽取模块对原始流量进行实体抽取和关系抽取，实体抽取得到实体及实体对应的属性，关系抽取得到实体和属性之间的关系；

知识加工模块，对抽取后的知识按照预设规则进行加工。知识加工模块还包括数据清洗，将数据中的错误识别出来，提高数据质量；

构建知识图谱模块，将加工后的知识存入图数据库构建知识图谱；

威胁检测模块，根据知识图谱进行威胁检测。威胁检测模块具体包括：

邮件异常检测模块，对互联网出口的SMTP/POP3/IMAP协议流量进行检查，结合沙箱的文件检测结果检测通过邮件的外部渗透行为；

加密流量检测模块，在不解密的前提下，通过加密流量的握手过程信息和加密通信过程中的传输模式提取相关特征，并根据特征实现恶意加密流量的检测，其中，恶意加密流量是指攻击阶段中的命令与控制阶段产生的流量；

流量基线异常检测模块，用于检测网络内部的主机和区域之间的异常访问情况；流量基线是指网络内部主机之间、区域之间或者内外网之间的访问规则，包括指定时间段内是否允许访问、访问的频次范围、流量大小范围等；

WEB异常检测模块，从历史数据中提取HTTP流量元数据，检测通过WEB进行的渗透和异常通信。

本实施例还包括展示模块，将威胁检测的结果进行图表可视化展示，方便快速直观知晓威胁检测结果。

实施例三

本发明还提供了一种基于知识图谱的态势感知设备的实施例，图3为硬件架构的结构图，如图3所示一种基于知识图谱的态势感知设备包括输入设备、输入接口、中央处理器、存储器、输出接口和输出设备。其中，输入接口、中央处理器、存储器及输出接口通过总线相互连接，输入设备和输出设备分别通过输入接口和输出接口与总线连接，进而与设备的其他组件连接。具体地，输入设备接收来自外部的输入信息，并通过输入接口将输入信息传送到中央处理器。中央处理器基于存储器存储的计算机可执行程序代码对输入信息进行处理以生成输出信息，将输出信息临时或者永久地存储在存储器中，然后通过输出接口将输出信息传送到输出设备，输出设备将输出信息输出到设备的外部供用户使用。

实施例四

本发明还提供了一种介质的实施例，存储有以上的可执行程序代码。该可执行程序代码被处理器执行时实现上述一种基于知识图谱的态势感知方法。本实施例中，介质可以是计算机能够读取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。其中，可用介质可以是磁性介质(如软盘、硬盘、磁带)、光介质(如DVD)、或者半导体介质(如固态硬盘SSD)等。进一步地，计算机可读介质还可以既包括系统的内部存储单元也包括外部存储设备。计算机可读介质用于存储计算机程序以及系统所需的其他程序和数据。计算机可读介质还可以用于暂时地存储已经输出或者将要输出的数据。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本发明提供的一种基于知识图谱的态势感知方法、系统、设备及介质，将知识图谱应用于态势感知过程，使态势感知与人工智能相结合，通过对网络设备所有流量的知识图谱的构建，以清晰明了的方式展现态势元素以及态势元素之间的关系，在此基础上辅助进行威胁检测，能够得到更准确的态势感知结果。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。