logo好方法网

一种基于知识图谱的网络安全应急响应方法及其系统

发布时间:2020-09-29 发布人:admin 分类:专利技术 资料大小:1.01M 资料格式:pdf 举报 版权申诉

技术摘要:
本申请公开了一种基于知识图谱的网络安全应急响应方法及其系统,通过爬虫技术和知识图谱构建策略库,策略库包括安全情报库和知识图谱库;当监测到网络安全事件发生时,基于网络安全事件的事件信息在安全情报库中匹配对应的响应策略,基于事件信息在知识图谱库中获得对  全部
背景技术:
随着网络安全事件的频发和网络安全态势的愈发严重,网络安全应急响应工作已 经逐渐得到重视。目前,网络安全应急响应工作普遍依赖于应急预案与应急演练,具体过程 为:分析系统面临的网络安全风险,根据风险设定网络安全事件场景,依据安全事件场景制 定网络安全应急响应预案与措施,根据预案和措施编制应急演练脚本,根据脚本开展应急 演练,分析应急演练的效果。由于网络安全事件的突发性和不确定性决定了其很难通过场 景枚举的方式进行有效的模拟,并且在面临没有准备的突发网络安全事件时,多方异构资 源的联动仅依靠人工操作,降低了应急响应的时效性和全面性。
技术实现要素:
本申请提供了一种基于知识图谱的网络安全应急响应方法及其系统,用于解决现 有技术在面临突发网络安全事件时,多方异构资源的联动仅依靠人工操作,降低了应急响 应的时效性和全面性的技术问题。 有鉴于此,本申请第一方面提供了一种基于知识图谱的网络安全应急响应方法, 包括: 构建策略库,所述策略库包括安全情报库和知识图谱库,所述安全情报库包括历 史网络安全事件和响应策略,所述历史网络安全事件和所述响应策略通过爬虫技术从网络 获取,所述历史网络安全事件与所述响应策略存在对应关系,所述知识图谱库由所述历史 网络安全事件的事件信息构建的知识图谱构成; 当监测到网络安全事件发生时,基于所述网络安全事件的事件信息在所述安全情 报库中匹配对应的响应策略,基于所述事件信息在所述知识图谱库中获得对应的知识图 谱,基于所述知识图谱获取所述事件信息相关的实体和关联关系; 基于所述响应策略、所述事件信息相关的实体和关联关系生成安全应急预案,所 述安全应急预案至少包括所述响应策略和安全应急人员; 将所述安全应急预案发送至所述安全应急人员,并提醒所述安全应急人员快速响 应。 可选的,所述基于所述网络安全事件的事件信息在所述安全情报库中匹配对应的 响应策略,包括: 基于所述网络安全事件的事件信息在所述安全情报库中匹配最相似的所述历史 网络安全事件; 基于所述历史网络安全事件和所述响应策略的对应关系,得到所述历史网络安全 事件对应的所述响应策略,将所述响应策略作为所述网络安全事件的响应策略。 4 CN 111614696 A 说 明 书 2/7 页 可选的,所述基于所述事件信息在所述知识图谱库中获得对应的知识图谱,基于 所述知识图谱获取所述事件信息相关的实体和关联关系,包括: 基于所述事件信息在所述知识图谱库进行检索,得到所述事件信息对应的知识图 谱; 对所述知识图谱进行解析,得到与所述事件信息相关的实体和关联关系。 可选的,所述将所述安全应急预案发送至所述安全应急人员,并提醒所述安全应 急人员快速响应,之后还包括: 接收所述安全应急人员的反馈,对所述安全应急人员的反馈进行分析,基于分析 结果对所述策略库进行更新。 可选的,所述将所述安全应急预案下发至所述安全应急人员,之前还包括: 将所述安全应急预案发送至管理人员,使得所述管理人员对所述安全应急预案进 行确认。 可选的,所述事件信息至少包括:所述网络安全事件的发生时间、源Mac地址、目的 Mac地址、源IP地址、目的IP地址、源端口、目的端口、网络安全事件类型、网络安全事件名称 或告警级别。 本申请第二方面提供了一种基于知识图谱的网络安全应急响应系统,包括: 构建模块,用于构建策略库,所述策略库包括安全情报库和知识图谱库,所述安全 情报库包括历史网络安全事件和响应策略,所述历史网络安全事件和所述响应策略通过爬 虫技术从网络获取,所述历史网络安全事件与所述响应策略存在对应关系,所述知识图谱 库由所述历史网络安全事件的事件信息构建的知识图谱构成; 提取模块,用于当监测到网络安全事件发生时,基于所述网络安全事件的事件信 息在所述安全情报库中匹配对应的响应策略,基于所述事件信息在所述知识图谱库中获得 对应的知识图谱,基于所述知识图谱获取所述事件信息相关的实体和关联关系; 预案生成模块,用于基于所述响应策略、所述事件信息相关的实体和关联关系生 成安全应急预案,所述安全应急预案至少包括所述响应策略和安全应急人员; 发送模块,用于将所述安全应急预案发送至所述安全应急人员,并提醒所述安全 应急人员快速响应。 可选的,所述提取模块包括: 匹配子模块,用于当监测到网络安全事件发生时,基于所述网络安全事件的事件 信息在所述安全情报库中匹配最相似的所述历史网络安全事件; 响应策略得到子模块,用于基于所述历史网络安全事件和所述响应策略的对应关 系,得到所述历史网络安全事件对应的所述响应策略,将所述响应策略作为所述网络安全 事件的响应策略; 检索子模块,用于基于所述事件信息在所述知识图谱库进行检索,得到所述事件 信息对应的知识图谱; 解析子模块,用于对所述知识图谱进行解析,得到与所述事件信息相关的实体和 关联关系。 可选的,还包括: 更新模块,用于接收所述安全应急人员的反馈,对所述安全应急人员的反馈进行 5 CN 111614696 A 说 明 书 3/7 页 分析,基于分析结果对所述策略库进行更新。 可选的,还包括: 确认模块,用于将所述安全应急预案发送至管理人员,使得所述管理人员对所述 安全应急预案进行确认。 从以上技术方案可以看出,本申请具有以下优点: 本申请提供了一种基于知识图谱的网络安全应急响应方法,包括:构建策略库,策 略库包括安全情报库和知识图谱库,安全情报库包括历史网络安全事件和响应策略,历史 网络安全事件和响应策略通过爬虫技术从网络获取,历史网络安全事件与响应策略存在对 应关系,知识图谱库由历史网络安全事件的事件信息构建的知识图谱构成;当监测到网络 安全事件发生时,基于网络安全事件的事件信息在安全情报库中匹配对应的响应策略,基 于事件信息在知识图谱库中获得对应的知识图谱,基于知识图谱获取事件信息相关的实体 和关联关系;基于响应策略、事件信息相关的实体和关联关系生成安全应急预案,安全应急 预案至少包括响应策略和安全应急人员;将安全应急预案发送至安全应急人员,并提醒安 全应急人员快速响应。 本申请中的基于知识图谱的网络安全应急响应方法,通过爬虫技术从网络获取大 量的历史网络安全事件及其对应的响应策略,通过提取历史网络安全事件的事件信息,构 建知识图谱,从而得到策略库;当监测到网络安全事件时,基于网络安全事件的事件信息在 安全情报库中匹配对应的响应策略,基于事件信息在知识图谱库中获得对应的知识图谱, 基于知识图谱获取事件信息相关的实体和关联关系;基于响应策略、事件信息相关的实体 和关联关系生成安全应急预案,通过知识图谱的方式关联出与网络安全事件相关的所有实 体和关联关系,使得生成的安全应急预案更加全面可靠,也避免了人工操作来关联网络安 全事件相关的多方异构资源,提高了应急响应的时效性和全面性,从而解决了现有技术在 面临突发网络安全事件时,多方异构资源的联动仅依靠人工操作,降低了应急响应的时效 性和全面性的技术问题。 附图说明 图1为本申请实施例提供的一种基于知识图谱的网络安全应急响应方法的一个流 程示意图; 图2为本申请实施例提供的一种知识图谱的一个示意图; 图3为本申请实施例提供的一种基于知识图谱的网络安全应急响应系统的一个结 构示意图。
    分享到:
    收藏

    相关推荐