本發(fā)明提供了一種基于蜜罐實戰(zhàn)生成的網(wǎng)絡攻擊知識圖譜的行為預測方法，通過部署一定數(shù)量的網(wǎng)絡節(jié)點和綁定蜜罐，然后收集和記錄網(wǎng)絡攻擊行為、攻擊路徑和攻擊對象等信息。然后根據(jù)這些攻擊信息，通過Neo4j搭建網(wǎng)絡攻防的實戰(zhàn)知識圖譜。在搭建的知識圖譜基礎上，通過聚類算法分析攻擊事件的關聯(lián)性，然后通過得到的平均聚類系數(shù)分析和預測攻擊事件，可以對網(wǎng)絡攻防進行有效的歸類展示和行為預測，對于網(wǎng)絡攻擊防御有一定的指導意義。

技術領域

本發(fā)明涉及網(wǎng)絡攻防及知識圖譜領域，尤其涉及一種基于蜜罐實戰(zhàn)生成的網(wǎng)絡攻擊知識圖譜的行為預測方法。

背景技術

知識圖譜作為一種顯示知識發(fā)展進程與結構關系的一系列各種不同的圖形，目前在被廣泛應用于各個分析學科。其優(yōu)勢在于作為一個可視化數(shù)據(jù)庫，能夠更加生動描述知識資源及其載體，挖掘、分析、構建、繪制和顯示知識及它們之間的相互聯(lián)系，并以此為基礎，再做行為分析和預測。

同時，網(wǎng)絡攻擊行為在現(xiàn)實生活中時常發(fā)生，由于攻防雙方技術能力不對等，經(jīng)常在放生攻擊行為后，普通非技術人員不知道如何防范和解決，并且可能隨著黑客的進一步行為，會導致更大的損失。

專利申請文獻CN108933793A提供了一種基于知識圖譜的攻擊圖生成方法及其裝置，該方法包含：依據(jù)目標網(wǎng)絡的網(wǎng)絡特征，選取網(wǎng)絡安全知識庫并抽取用于構建知識圖譜的安全相關信息；依據(jù)安全相關信息，通過關系抽取、屬性抽取和知識推理，構建知識圖譜；對目標網(wǎng)絡進行拓撲掃描和漏洞掃描，并結合知識圖譜，生成用于分析原子攻擊及攻擊路徑的攻擊成功率和攻擊收益的攻擊圖。專利申請文獻CN109639670A提供了一種基于知識圖譜的工控網(wǎng)絡安全態(tài)勢量化評估方法，主要步驟包括：定義和構造網(wǎng)絡安全知識圖譜、定義網(wǎng)絡安全知識圖譜中節(jié)點的業(yè)務權重、根據(jù)攻擊事件計算威脅指數(shù)；本發(fā)明所述基于知識圖譜的工控網(wǎng)絡安全態(tài)勢量化評估方法使用知識圖譜技術，基于圖數(shù)據(jù)庫，支持快速進行圖計算，通過廣度遍歷和深度遍歷，計算攻擊事件帶來的間接威脅；

上述第一個專利申請文獻CN108933793A通過利用知識圖譜的多源信息融合及信息抽取和推理能力，實現(xiàn)攻擊圖的實時構建和精確評估；第二專利申請文獻CN109639670A能夠面評估風險，方便對未發(fā)生的威脅進行預警。但是上述兩個文獻均是構造網(wǎng)絡安全知識圖譜，而不是網(wǎng)絡攻擊知識圖譜，并不能對攻擊行為進行有效分析。

鑒于此，有必要設計一種基于蜜罐實戰(zhàn)生成的網(wǎng)絡攻擊知識圖譜及行為預測方法，能夠?qū)⒑诳凸粜袨榫呦蠡纬芍R圖譜，并且據(jù)此來做其行為分析從而有遇見性地給出防范方法。

發(fā)明內(nèi)容

為解決現(xiàn)有技術中存在的技術問題，本發(fā)明提供了一種基于蜜罐實戰(zhàn)生成的網(wǎng)絡攻擊知識圖譜及行為預測方法，通過部署一定數(shù)量的網(wǎng)絡節(jié)點和綁定蜜罐，然后收集和記錄網(wǎng)絡攻擊行為、攻擊路徑和攻擊對象等信息。然后根據(jù)這些攻擊信息，通過Neo4j搭建網(wǎng)絡攻防的實戰(zhàn)知識圖譜。在搭建的知識圖譜基礎上，通過聚類算法分析攻擊事件的關聯(lián)性，然后通過得到的平均聚類系數(shù)分析和預測攻擊事件，可實現(xiàn)對于網(wǎng)絡攻擊具現(xiàn)化并作出行為分析和預測。

其中，Neo4j是一個嵌入式，基于磁盤的，支持完整事務的Java持久化引擎，它在圖(網(wǎng)絡)中而不是表中存儲數(shù)據(jù)。Neo4j由于還提供了非常快的圖算法、推薦系統(tǒng)和OLAP風格的分析，使得其在知識圖譜構建和AI等領域擁有很大的優(yōu)勢。

為實現(xiàn)上述目的，本發(fā)明的解決方案是：

1、選取特定的幾臺計算機，安裝誘捕節(jié)點和蜜罐，記錄節(jié)點信息和蜜罐信息。于此同時，任由黑客進行攻擊和掃描，并且記錄下所有包括攻擊行為、攻擊時間和攻擊路徑等全部信息。

2、根據(jù)上一步驟記錄下的所有信息，在知識譜圖上進行繪制。

3、通過聚類分析，k中心點算法，以攻擊行為分類，任意選取k個中心點，通過計算節(jié)點距離不斷迭代，直到中心點不再變化，此時得到k個簇。