基于攻击链知识图谱技术的边设备动态异常检测方法

技术领域

本发明涉及配电物联网领域，具体涉及一种基于攻击链知识图谱技术的边设备动态异常检测方法。

背景技术

在配电物联网“云、管、边、端”的架构下，各环节的功能定位、部署模式及工作方式与传统配电监控系统“主站-通信网-终端”架构相比发生巨大变化，当前以被动防御为主的配电监控系统安全防护方案已经无法满足配电物联网的安全防护需求。

发明内容

本发明的目的在于提供一种基于攻击链知识图谱技术的边设备动态异常检测方法，该方法可以有效实现对边设备的动态异常检测，从而提高配电物联网的安全性。

为了实现上述目的，本发明采用的技术方案是：一种基于攻击链知识图谱技术的边设备动态异常检测方法，包括以下步骤：

1）对配电物联网攻击路径进行分析，构建物联网攻击链模型；

2）基于构建的物联网攻击链模型，建立层次化的网络安全知识抽取模型，以实现自下向上的网络安全知识抽取；

3）基于建立的网络安全知识抽取模型，自动构建知识图谱，对基于攻击链的网络安全知识图谱进行实例化；

4）基于构建的知识图谱实现对边设备的动态异常检测。

进一步地，对于感知层攻击暴露面，其攻击路径为：攻击者通过攻击感知层，获得边缘物联代理或物联终端的控制权限，从而向上往平台层攻击；

对于网络层攻击暴露面，其攻击路径为：攻击者通过攻击感知层与平台层之间的通信网，篡改、监听或堵塞重放数据包；

对于应用层攻击暴露面，其攻击路径为：攻击者通过物联业务应用，往上攻击业务应用服务器，从而进入内部网络；

基于对攻击暴露面及相应的攻击路径的分析，构建得到物联网攻击链模型。

进一步地，建立的层次化的网络安全知识抽取模型包括原始数据层、统一数据模型、安全基础数据域及网络安全知识图谱。

进一步地，对于原始数据层，网络安全原始数据源于泛在物联网络中的终端设备、安防设备、工作站、控制系统、网络流及外部情报，通过在网络边界、各级网络关键节点采集获取；获取的网络安全原始数据经统一数据模型转换完成数据的清理、对齐及关联计算，形成安全基础数据域的七大主题数据并存储；其中，事件、情报、网络流数据为半结构化数据，存储在非结构化平台中，资产、告警、状态、行为数据为结构化数据，存储在内部数据库中；网络安全知识从安全基础数据域中直接抽取，通过安全基础数据域到网络安全知识图谱进行数据映射，对基于攻击链的网络安全知识图谱进行实例化。

进一步地，构建知识图谱的流程包括数据抽取、关联融合和图结构存储。

进一步地，数据抽取时，针对结构化数据直接采用模板化方式，根据映射关系提取图谱中实体和关系相关的属性和属性值；针对半结构化数据，采用模板化和要素识别结合的方法，在完成模板数据抽取后用正则匹配规则进行相关属性关键要素识别，从而完成数据抽取；

从不同主题数据中抽取的数据根据原有的主、外键建立关系，形成与知识图谱相同的实体和关系对象；

在采用图结构进行攻击知识抽取及实体关联关系存储后，可实现基于图检索和图算法的快速攻击检测和威胁溯源；

进行图谱相似度计算，通过图谱相似度关联未知攻击；

进行图谱关键路径分析，通过相同攻击路径关联未知攻击。

与现有技术相比，本发明具有以下有益效果：提供了一种基于攻击链知识图谱技术的边设备动态异常检测方法，该方法基于攻击链分析及知识图谱技术，可以有效实现对配电物联网中边设备的动态异常检测，从而提高了配电物联网的安全性，满足配电物联网的安全防护需求。

附图说明

图1是本发明实施例的方法实现流程图；

图2是本发明实施例中配电物联网存在的攻击暴露面和攻击路径示意图；

图3是本发明实施例中层次化的网络安全知识抽取模型架构图；

图4是本发明实施例中知识图谱构建流程图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

如图1所示，本实施例提供了一种基于攻击链知识图谱技术的边设备动态异常检测方法，包括以下步骤：

1、对配电物联网攻击路径进行分析，构建物联网攻击链模型。

配电物联网环境中，已实现了边端设备互联互通，增加了攻击暴露面，在典型的配电物联网场景下，存在的攻击暴露面和攻击路径如图2所示。

对于感知层攻击暴露面，其攻击路径为：攻击者通过攻击感知层，获得边缘物联代理或物联终端的控制权限，从而向上往平台层攻击。

对于网络层攻击暴露面，其攻击路径为：攻击者通过攻击感知层与平台层之间的通信网，篡改、监听或堵塞重放数据包。

对于应用层攻击暴露面，其攻击路径为：攻击者通过物联业务应用，往上攻击业务应用服务器，从而进入公司内部网络。

基于对攻击暴露面及相应的攻击路径的分析，构建得到物联网攻击链模型。

2、基于构建的物联网攻击链模型，建立层次化的网络安全知识抽取模型，以实现自下向上的网络安全知识抽取。

建立的层次化的网络安全知识抽取模型如图3所示，包括原始数据层、统一数据模型、安全基础数据域及网络安全知识图谱。

对于原始数据层，网络安全原始数据源于泛在物联网络中的终端设备、安防设备、工作站、控制系统、网络流及外部情报，通过在网络边界、各级网络关键节点采集获取。获取的网络安全原始数据经统一数据模型转换完成数据的清理、对齐及关联计算，形成安全基础数据域的七大主题数据并存储；其中，事件、情报、网络流数据为半结构化数据，存储在非结构化平台中，资产、告警、状态、行为数据为结构化数据，存储在内部数据库中。网络安全知识从安全基础数据域中直接抽取，并根据本方法提出的如图3所示的网络安全知识体系完成基于攻击链的网络安全知识图谱构建。通过安全基础数据域到网络安全知识图谱进行数据映射，对基于攻击链的网络安全知识图谱进行实例化。

3、基于建立的网络安全知识抽取模型，自动构建知识图谱。

如图4所示，构建知识图谱的流程包括数据抽取、关联融合和图结构存储。

数据抽取时，针对结构化数据直接采用模板化方式，根据映射关系（表）提取图谱中实体和关系相关的属性和属性值；针对半结构化数据，采用模板化和要素识别结合的方法，在完成模板数据抽取后用正则匹配规则进行相关属性关键要素识别，从而完成数据抽取。

从不同主题数据中抽取的数据根据原有的主、外键建立关系，形成与知识图谱相同的实体和关系对象。如，告警主题中获取的告警相关属性，为{告警id,告警时间,告警级别,告警源设备,攻击源,攻击目标,告警类型,告警名称}，状态主题中获取被攻击对象系统组件端口相关属性，为{服务器id,服务器ip,开放端口,时间}，两者通过服务器id、服务器ip和时间建立关系。

在采用图结构进行攻击知识抽取及实体关联关系存储后，可实现基于图检索和图算法的快速攻击检测和威胁溯源。

进行图谱相似度计算：通过图谱相似度关联未知攻击。知识图谱实体相似度的计算已实现诸多工业应用，例如电商平台的相似商品推荐，医疗疗效分析中的相似病人组等。在网络安全中，可以将重要资产上的用户行为进行实时记录，并将各个行为过程及其所涉及的设备信息映射到本体模型中，从而得到“行为图”。应用图相似度算法对该“行为图”与安全知识库中攻击图谱的进行相似计算，当相似度高于设定阈值时，判定该行为存在攻击风险。

进行图谱关键路径分析：通过相同攻击路径关联未知攻击。基于各类告警信息、系统日志信息以及设备中的用户操作历史，例如：何时被攻击、何处漏洞被成功利用、如何登录的服务器、是否留有木马后门以及日志是否清除等多维度特征值，生成特征向量，对攻击过程建立特征模型，经过无监督机器学习聚类算法分析出攻击过程中的关键路径。关键路径分析不仅有助于确定攻击者身份、攻击过程中的行为特征，而且有助于确定失陷设备的缺陷信息。基于关键路径，并根据新收集到的各类信息，进行有监督机器学习。通过将新的攻击行为和关键路径进行相似度匹配，从而关联未知攻击。

4、基于构建的知识图谱实现对边设备的动态异常检测。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其他形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。