(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210340241.5 (22)申请日 2022.04.01 (71)申请人 南京邮电大 学 地址 210003 江苏省南京市 鼓楼区新模范 马路66号 (72)发明人 孟泽儒　陈剑　尹乐　 (51)Int.Cl. G06F 16/31(2019.01) G06F 16/36(2019.01) H04L 9/40(2022.01) (54)发明名称 一种基于知识图谱的网络安全防御方案生 成方法 (57)摘要 本发明涉及了网络安全、 知识图谱技术领 域， 提供了一种基于知 识图谱的网络安全防御方 案生成方法， 给出对于攻击事件的缓解措施或防 御方案， 包括以下步骤： (10)依据网络安全领域 相关术语及标准， 通过自顶向下的方法， 构建网 络安全知 识图谱模式层； (20)获取多源异构的网 络安全领域公开数据集并进行数据组织； (30)根 据组织好的数据构建网络安全知识图谱数据层； (40)根据网络拓扑及攻击事件信息， 结合所述网 络安全知识图谱进行防御方案生成。 结合知 识图 谱提供了全面的、 结构化的网络安全领域知识 库， 并结合提出的防御方案生成方法， 高效的推 理出可行的缓解措施或防御方案， 为网络环境的 安全提供 更进一步的有效保障。 权利要求书2页 说明书4页 附图3页 CN 115510179 A 2022.12.23 CN 115510179 A 1.一种基于知识图谱的网络安全防御方案生成方法， 其特 征在于， 包括以下步骤： (10)依据网络安全领域相关术语及标准， 自顶向下的， 构建网络安全知识图谱的模式 层； (20)获取多源异构的网络安全领域公开数据集并进行 数据组织； (30)根据组织 好的数据构建网络安全知识图谱数据层； (40)根据网络 拓扑及攻击事 件信息， 结合所述网络安全知识图谱进行防御方案生成。 2.根据权利要求1所述的一种基于知识图谱的网络安全防御方案生成方法， 其特征在 于： (10)中通过 自顶向下的方法， 网络安全知识图谱模式层的构建过程： 利用Protege建模 工具， 在复用统一网络安全本体的基础上， 结合对网络安全领域相关数据的理解， 构建 网络 安全知识图谱模式层， 自顶向下的， 对顶层 模式层中的概念进 行细分， 包含概念的属性及概 念间的关系。 3.根据权利要求2所述的一种基于知识图谱的网络安全防御方案生成方法， 其特征在 于： 所述顶层模式层概念主要为资产、 漏洞、 弱点、 攻击模式、 攻击技术、 攻击战术、 缓解措 施、 攻击组织、 恶意软件、 数字 工件、 防御技 术； 所述概念 间关系主要为资产与漏洞， 漏洞与弱点， 弱点与攻击模式， 攻击模式与攻击技 术， 攻击技术与攻击战术、 环节措施、 攻击组织、 恶意软件、 数字工件， 数字工件与防御技术 等关系。 4.根据权利要求3所述的一种基于知识图谱的网络安全防御方案生成方法， 其特征在 于： (20)中多源异构的网络安全 领域公开数据集主要包括资产数据集、 漏洞数据集、 弱点数 据集、 攻击模式数据集、 网络攻击领域数据集、 网络防御领域数据集； 所述网络攻击领域数据集包含攻击技术数据集、 攻击战术数据集、 缓解措施数据集、 攻 击组织数据集、 恶意软件数据集； 所述网络防御领域数据集包 含数字工件数据集、 防御技 术数据集。 5.根据权利要求4所述的一种基于知识图谱的网络安全防御方案生成方法， 其特征在 于： (20)中数据组织的主 要过程： (21)获取主要格式为CSV、 XML等半结构化数据的资产数据集、 漏洞数据集、 弱点数据 集， 攻击模式数据集， 获取多为网页形式的网络攻击领域数据集及网络防御领域数据集； (22)针对XML等半结构化数据， 使用XML解析器进行解析； 针对CSV等半结构化数据， 使 用CSV解析器进行解析； 针对网页形式的半结构化及非结构化的数据， 采用XPath对网页信 息进行标注， 采用正则表达式等模板进行解析， 构建成三元组的形式； 所述三元组的形式为(h， r， t)或(h， a， v)， 其中h表示三元组中的头实体， t表示三元组 中的尾实体， r 表示三元组中头尾实体间的关系， a表示属性名， v表示属性 值； (23)针对组织完成的三元组结构采用数据冗余校验， 数据正确性校验等技术进行验 证， 去除重复冗余的数据， 并通过非关系型 数据库Mo ngodb存储。 6.根据权利要求5所述的一种基于知识图谱的网络安全防御方案生成方法， 其特征在 于： (23)中数据正确性校验方法是针对三元 组中的头尾实体关系及头尾实体概念与(10)中 构建的模式层进行比较， 丢弃不符合模式层中概念属性及概念间关系的数据。 7.根据权利要求6所述的一种基于知识图谱的网络安全防御方案生成方法， 其特征在 于： (30)利用(20)中组织好并存储在Mongo db数据库中的三元组， 利用RDF构造器将这些结权　利　要　求　书 1/2 页 2 CN 115510179 A 2构化数据按照(10)中构建的网络安全知识图谱模式层 进行映射， 构建 网络安全知识图谱数 据层。 8.根据权利要求7所述的一种基于知识图谱的网络安全防御方案生成方法， 其特征在 于： (40)构建当前网络拓扑结构， 根据攻击事件信息， 结合网络安全知识图谱进 行防御方案 生成具体包括如下步骤： (41)根据当前网络拓扑G＝{A， V， R}， 其中A代表当前网络拓扑所有资产节点， V代表网 络拓扑中所有资产 节点中的漏洞， R表示网络拓扑中资产节 点与资产 节点及漏洞间的关系， (42)使用数据采集器， 采集网络日志文件， 从日志文件中获取网络攻击事件信息集合 S； (43)针对采集到的网络攻击事件信息S， 长度为L， 去除冗余重 复的报警信息， 抽取出关 键的网络攻击事件报警信息Sk＝[E1， E2， ...， Ek](1≤k≤L)， 每个事件 Ek中包含攻击名称、 攻 击类型、 被攻击资产节点的IP地址等信息； (44)通过网络攻击事件Ek， 根据网络拓 扑G确认被攻击的资产节点及其存在的漏洞信息 列表V＝[V1， V2， ...， Vj](j≥1)； (45)针对该资产节点可能被利用的漏洞信息列表V， 与事件Ek的攻击类型进行匹配， 匹 配度最高的漏洞将其 放置在漏洞排序列表 Vsort中； (46)依据通用CVSS(漏洞评分系统)官方文档对资产节点中剩余的漏洞的威胁评分进 行计算， 计算公式如下： Impact(V)＝2 ×AV×AC×AU， 其中AV表示访问的网络要求， AC表示 访问的复杂性， AU表示访问需要的权限， 按照计算出来的威胁评分Impact(V)进行排序， 并 按序放入漏洞排序列表 Vsort中； (47)通过基于规则的知识推理， 依次推理出漏洞 排序列表Vsort中针对漏洞的缓解措施 或防御方案； 其中所述基于规则的知识推理， 具体通过编写SWRL(语义网规则语言)推理规则， SWRL 推理采用逻辑门表示： r1(A， B)∧r 2(B， C)→r3(A， C)。权　利　要　求　书 2/2 页 3 CN 115510179 A 3