(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210747292.X (22)申请日 2022.06.28 (71)申请人 广西电网有限责任公司电力科 学研 究院 地址 530023 广西壮 族自治区南宁市 兴宁 区民主路6 -2号 (72)发明人 凌颖　杨春燕　余通　黎新　 宾冬梅　韩松明　谢铭　 (74)专利代理 机构 广州市专 注鱼专利代理有限 公司 44456 专利代理师 张志鹏 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/36(2019.01) H04L 67/02(2022.01) (54)发明名称 一种基于WEB动态防御的追踪溯源方法及装 置 (57)摘要 本发明公开了一种基于WEB动态防御的追踪 溯源方法及装置， 本申请方法包括： 获取WEB攻击 事件的数据源， 所述数据源包括网络攻击威胁数 据和网络攻击事件的线索数据； 基于网络攻击知 识图谱查询所述数据源的关联特征向量， 所述网 络攻击知识 图谱为根据现有的网络攻击手段构 建得到的知识库； 通过所述关联特征向量匹配对 应的溯源策略； 根据所述溯源策略确定所述WEB 攻击事件的攻击者和攻击组织。 本发 明基于网络 攻击知识图谱从不同维度分析WEB攻击事件的攻 击类型以及关联性， 以主动溯源的方式有效的识 别攻击者的相关信息， 破解黑客在攻击过程中的 隐藏信息， 有效提高了溯源准确率。 权利要求书2页 说明书7页 附图3页 CN 115208643 A 2022.10.18 CN 115208643 A 1.一种基于WEB动态防御的追踪溯源方法， 其特 征在于， 包括： 获取WEB攻击事件的数据源， 所述数据源包括网络攻击威胁数据和网络攻击事件的线 索数据； 基于网络攻击知识图谱查询所述数据源的关联特征向量， 所述网络攻击知识图谱为根 据现有的网络攻击手段构建得到的知识库； 通过所述关联 特征向量匹配所述网络攻击知识图谱中对应的溯源策略； 根据所述溯源策略确定所述 WEB攻击事 件的攻击者和攻击组织。 2.根据权利要求1所述的方法， 其特征在于， 所述基于网络攻击知识图谱查询所述数据 源的关联特征向量， 所述网络攻击知识图谱为根据现有的网络攻击手段构建得到的知识 库， 包括： 基于网络攻击知识图谱分析所述数据源在所述网络攻击知识图谱中的攻击类型， 所述 网络攻击知识图谱为 根据现有的网络攻击手段构建得到的知识库； 从所述网络攻击知识图谱中提取 所述攻击类型的关联 特征向量。 3.根据权利要求2所述的方法， 其特征在于， 在所述基于网络攻击知识图谱查询所述数 据源的关联 特征向量之前， 所述方法还 包括： 判断所述数据源在所述网络攻击知识图谱中是否为 新增攻击类型； 若否， 则执 行查询操作； 若是， 则自定义所述数据源所属攻击类型后更新所述网络攻击知识图谱。 4.根据权利要求1至3 中任一项所述的方法， 其特征在于， 所述攻击类型为根据WEB业务 系统正常运行状态下自定义的网络安全领域类型。 5.根据权利要求1所述的方法， 其特征在于， 所述通过所述关联特征向量匹配所述网络 攻击知识图谱中对应的溯源策略， 包括： 利用相关系数计算方法计算所述关联 特征向量的特 征相关性； 根据所述特 征相关性计算结果匹配所述网络攻击知识图谱中对应的溯源策略。 6.根据权利要求5所述的方法， 其特征在于， 所述相关性计算方法包括余弦相似、 皮尔 逊相关以及杰卡德相似方法。 7.一种基于WEB动态防御的追踪溯源 装置， 其特 征在于， 包括： 获取单元， 用于获取WEB攻击事件的数据源， 所述数据源包括网络攻击威胁数据和网络 攻击事件的线索数据； 查询单元， 用于基于网络攻击知识图谱查询所述数据源的关联特征向量， 所述网络攻 击知识图谱为 根据现有的网络攻击手段构建得到的知识库； 匹配单元， 用于通过所述关联特征向量匹配所述网络攻击知识图谱中对应的溯源策 略； 确定单元， 用于根据所述溯源策略确定所述 WEB攻击事 件的攻击者和攻击组织。 8.根据权利要求7 所述的装置， 其特 征在于， 所述 查询单元包括： 分析模块， 用于基于网络攻击知识图谱分析所述数据源在所述网络攻击知识图谱中的 攻击类型， 所述网络攻击知识图谱为 根据现有的网络攻击手段构建得到的知识库； 提取模块， 用于从所述网络攻击知识图谱中提取 所述攻击类型的关联 特征向量。 9.根据权利要求7 所述的装置， 其特 征在于， 在所述 查询单元之前， 所述装置还 包括：权　利　要　求　书 1/2 页 2 CN 115208643 A 2判断单元， 用于判断所述数据源在所述网络攻击知识图谱中是否为 新增攻击类型； 若否， 则执 行查询操作； 若是， 则自定义所述数据源所属攻击类型后更新所述网络攻击知识图谱。 10.根据权利要求7 所述的装置， 其特 征在于， 所述匹配单 元包括： 计算模块， 用于利用相关系数计算方法计算所述关联 特征向量的特 征相关性； 匹配模块， 用于根据 所述特征相关性计算结果匹配所述网络攻击知识图谱中对应的溯 源策略。权　利　要　求　书 2/2 页 3 CN 115208643 A 3