本發(fā)明公開了一種基于知識圖譜的態(tài)勢感知方法，包括以下步驟：S1、采集網(wǎng)絡(luò)設(shè)備鏡像或分光來的原始流量；S2、對原始流量進(jìn)行知識抽取；S3、對抽取后的知識按照預(yù)設(shè)規(guī)則進(jìn)行加工；S4、將加工后的知識存入圖數(shù)據(jù)庫構(gòu)建知識圖譜；S5、根據(jù)知識圖譜進(jìn)行威脅檢測。本發(fā)明提供的一種基于知識圖譜的態(tài)勢感知方法、系統(tǒng)、設(shè)備及介質(zhì)，將知識圖譜應(yīng)用于態(tài)勢感知過程，使態(tài)勢感知與人工智能相結(jié)合，通過對網(wǎng)絡(luò)設(shè)備所有流量的知識圖譜的構(gòu)建，以清晰明了的方式展現(xiàn)態(tài)勢元素以及態(tài)勢元素之間的關(guān)系，在此基礎(chǔ)上輔助進(jìn)行威脅檢測，能夠得到更準(zhǔn)確的態(tài)勢感知結(jié)果。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域，尤其是一種基于知識圖譜的態(tài)勢感知方法、系統(tǒng)、設(shè)備及介質(zhì)。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)安全得到了越來越多的關(guān)注。網(wǎng)絡(luò)安全和個(gè)人隱私、社會財(cái)產(chǎn)密不可分。網(wǎng)絡(luò)入侵和攻擊行為朝著分布化、規(guī)模化、間接化的趨勢發(fā)展，傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品已經(jīng)越來越難以滿足人們對網(wǎng)絡(luò)安全的需要，尤其是在網(wǎng)絡(luò)規(guī)模比較大的情況下，網(wǎng)絡(luò)安全技術(shù)面臨著前所未有的挑戰(zhàn)。

網(wǎng)絡(luò)態(tài)勢感知是指在對網(wǎng)絡(luò)態(tài)勢狀況進(jìn)行實(shí)時(shí)監(jiān)控，在潛在的、惡意的網(wǎng)絡(luò)行為失去控制之前發(fā)出預(yù)警并能給出相應(yīng)的對策。網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)繼承了傳統(tǒng)的網(wǎng)絡(luò)安全工具，如入侵檢測系統(tǒng)、防火墻，并以這些網(wǎng)絡(luò)安全工具提供的原始數(shù)據(jù)為基礎(chǔ)進(jìn)行分析，以期獲得更有用的信息，為網(wǎng)絡(luò)安全分析提供決策支持。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)為網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)提供了技術(shù)支持，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)根據(jù)原始數(shù)據(jù)進(jìn)行一定抽象層次的分析，主要涉及入侵檢測與告警關(guān)聯(lián)、利用攻擊圖實(shí)現(xiàn)漏洞分析、因果關(guān)系分析、取證分析、信息流分析、攻擊趨勢分析和入侵響應(yīng)等方面。

知識圖譜作為人工智能的重要分支，在大數(shù)據(jù)分析和決策方面有其獨(dú)有的優(yōu)勢，它能夠?qū)?shù)據(jù)表示為以“實(shí)體-關(guān)系-實(shí)體”為基礎(chǔ)的網(wǎng)狀知識結(jié)構(gòu)，通過語義鏈接幫助理解大數(shù)據(jù)，獲得對大數(shù)據(jù)的整體洞察，提供決策支持。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)中的缺陷，本發(fā)明提供了一種基于知識圖譜的態(tài)勢感知方法、系統(tǒng)、設(shè)備及介質(zhì)，將態(tài)勢感知與人工智能相結(jié)合，能夠得到更準(zhǔn)確的態(tài)勢感知結(jié)果。

第一方面，本發(fā)明提供了一種基于知識圖譜的態(tài)勢感知方法，包括以下步驟：

S1、采集網(wǎng)絡(luò)設(shè)備鏡像或分光來的原始流量；

S2、對原始流量進(jìn)行知識抽取；

S3、對抽取后的知識按照預(yù)設(shè)規(guī)則進(jìn)行加工；

S4、將加工后的知識存入圖數(shù)據(jù)庫構(gòu)建知識圖譜；

S5、根據(jù)所述知識圖譜進(jìn)行威脅檢測。

優(yōu)選地，所述步驟S1具體包括：將流探針設(shè)置在網(wǎng)絡(luò)出口處，接收各網(wǎng)絡(luò)設(shè)備鏡像或分光來的原始流量。

優(yōu)選地，所述威脅檢測具體包括：

郵件異常檢測，對互聯(lián)網(wǎng)出口的SMTP/POP3/IMAP協(xié)議流量進(jìn)行檢查；

加密流量檢測，在不解密的前提下，通過加密流量的握手過程信息和加密通信過程中的傳輸模式提取相關(guān)特征，并根據(jù)特征實(shí)現(xiàn)惡意加密流量的檢測；

流量基線異常檢測，用于檢測網(wǎng)絡(luò)內(nèi)部的主機(jī)和區(qū)域之間的異常訪問情況；

WEB異常檢測，提取HTTP流量元數(shù)據(jù)，檢測通過WEB進(jìn)行的滲透和異常通信。

優(yōu)選地，還包括步驟：S6、將威脅檢測的結(jié)果進(jìn)行可視化展示。

第二方面

本發(fā)明提供了一種基于知識圖譜的態(tài)勢感知系統(tǒng)，包括：

信息采集模塊，采集網(wǎng)絡(luò)設(shè)備鏡像或分光來的原始流量；

知識抽取模塊，對原始流量進(jìn)行知識抽取；