(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211352646.7 (22)申请日 2022.11.01 (71)申请人 中孚安全技 术有限公司 地址 250000 山东省济南市高新区经十路 7000号汉峪金谷A1- 5号楼24层 (72)发明人 高长城　赵红方　刘洋洋　 (74)专利代理 机构 济南舜源专利事务所有限公 司 37205 专利代理师 孙玉营 (51)Int.Cl. H04L 9/40(2022.01) G06N 5/02(2006.01) G06F 21/56(2013.01) (54)发明名称 一种基于知识图谱的网络攻击溯源方法、 系 统及设备 (57)摘要 本申请公开了一种基于知识图谱的网络攻 击溯源方法、 系统及设备， 主要涉及网络攻击溯 源技术领域， 用以解决现有的溯源方法准确率 低、 适用范围窄等问题。 包括： 构建设备运行状态 信息； 创建网络安全本体和攻击集合； 获取预设 行为检测设备上传的行为数据， 确定网络安全本 体中各个节 点之间的行为关系； 将网络安全本体 和行为关系作为知识图谱存储于预设图数据库； 在获得被攻击的设备节点时， 获取被攻击的设备 节点关联的病毒漏洞节点； 从攻击集合中确定关 联的病毒漏洞节点对应的攻击条件和攻击方式； 进而根据攻击条件、 攻击方式和Cypher语法， 确 定网络攻击的节点集合， 完成网络攻击溯源。 本 申请通过上述方法提高了溯源准确率， 扩大了溯 源范围。 权利要求书2页 说明书5页 附图2页 CN 115412372 A 2022.11.29 CN 115412372 A 1.一种基于知识图谱的网络攻击溯源方法， 其特 征在于， 所述方法包括： 获取设备信息、 设备安全防护日志和设备运维信息， 以构建设备运行状态信息； 其中， 设备运行状态信息至少包括设备信息、 漏洞扫描信息、 病毒检测信息、 应用部署信息和端口 状态信息； 根据设备运行状态信息和预设病毒/漏洞数据库， 创建网络安全本体和攻击集合； 其 中， 所述网络安全本体包括： 病毒漏洞节点、 攻击者节 点、 服务应用节点、 设备节点和端口节 点， 所述攻击集合用于存 储漏洞/病毒对应的攻击条件和攻击方式； 获取预设行为检测设备上传的行为数据， 以确定网络安全本体中各个节点之间的行为 关系； 将网络安全本体和行为关系作为知识图谱 存储于预设图数据库； 在获得被攻击的设备节点 时， 从预设图数据库获取被攻击的设备节点关联的病毒漏洞 节点； 从攻击集合中确定关联的病毒漏洞节点对应的攻击条件和 攻击方式； 进而根据攻击 条件、 攻击方式和Cypher语法， 确定网络攻击的节点 集合， 完成网络攻击溯源。 2.根据权利要求1所述的基于知识图谱的网络攻击溯源方法， 其特征在于， 根据设备运 行状态信息和预设病毒/漏洞数据库， 创建网络安全本体和攻击集 合， 具体包括： 根据设备运行状态信息中的设备信息， 确定设备节点； 根据设备运行状态信息中的漏洞 扫描信息和病毒检测信息， 确定病毒漏洞节点； 根据设备运行状态信息中的应用部署信息， 确定服 务应用节点； 根据设备运行状态信息中的端口状态信息， 确定端口节点； 基于漏洞扫描信 息和病毒检测信息 中的漏洞/病 毒名称， 从预设病 毒/漏洞数据库中获 取漏洞/病毒名称对应的攻击条件和攻击方式， 以创建攻击集 合。 3.根据权利要求1所述的基于知识图谱的网络攻击溯源方法， 其特征在于， 在获取预设 行为检测设备 上传的行为数据之前， 所述方法还 包括： 通过预设行为检测设备获取原始行为数据； 其中， 预设行为检测设备至少包括防火墙 和检测器， 原 始行为数据至少包括防火墙日志和检测器流 量数据； 根据预设数据清洗算法， 去除原始行为数据中的无效数据、 缺失数据， 以获得行为数 据。 4.根据权利要求1所述的基于知识图谱的网络攻击溯源方法， 其特征在于， 根据攻击条 件、 攻击方式和Cypher语法， 确定网络攻击的起始 节点集合， 具体包括： 根据攻击条件、 攻击方式和Cypher语法， 确定被攻击的设备节点在预设图数据库中对 应的最近一跳节点； 进而将最近一跳节点作为下一被攻击的设备节点迭代计算下一最近一跳节点， 直至被 下一被攻击的设备节点在预设图数据库中无关联的病毒漏洞节点； 确定起始被攻击的设备节点和迭代过程中产生的若干下一被攻击的设备节点组成的 集合为节点集合。 5.根据权利要求1所述的基于知识图谱的网络攻击溯源方法， 其特征在于， 在确定网络 攻击的节点 集合之后， 所述方法还 包括： 根据Cypher语法、 节点集合和行为关系， 构 建包含节点和行为的攻击路径图， 并发送至 预设分析终端。 6.一种基于知识图谱的网络攻击溯源系统， 其特 征在于， 所述系统包括：权　利　要　求　书 1/2 页 2 CN 115412372 A 2构建模块， 用于获取设备信息、 设备安全防护日志和设备运维信 息， 以构建设备运行状 态信息； 其中， 设备运行状态信息至少包括设备信息、 漏洞扫描信息、 病毒检测信息、 应用部 署信息和端口状态信息； 创建模块， 用于根据设备运行状态信 息和预设病 毒/漏洞数据库， 创建网络安全本体和 攻击集合； 其中， 所述网络安全本体包括： 病毒漏洞节点、 攻击者节点、 服务应用节点、 设备 节点和端口节点， 所述 攻击集合用于存 储漏洞/病毒对应的攻击条件和攻击方式； 存储模块， 用于获取预设行为检测设备上传的行为数据， 以确定网络安全本体中各个 节点之间的行为关系； 将网络安全本体和行为关系作为知识图谱 存储于预设图数据库； 完成模块， 用于在获得被攻击的设备节点时， 从预设图数据库获取被攻击的设备节点 关联的病毒漏洞节点； 从攻击集合中确定关联的病毒漏洞节点对应的攻击条件和攻击方 式； 进而根据攻击条件、 攻击方式和 Cypher语法， 确 定网络攻击的节点集合， 完成网络攻击 溯源。 7.根据权利要求6所述的基于知识图谱的网络攻击溯源系统， 其特征在于， 所述完成模 块还包括集合生成单元； 所述集合生成单元， 用于根据 攻击条件、 攻击方式和Cypher语法， 确定被攻击的设备节 点在预设图数据库中对应的最近一跳节点； 进而将最近一跳节点作为下一被攻击的设备节 点迭代计算下一最近一跳节点， 直至被下一被攻击的设备节点在预设图数据库中无关联的 病毒漏洞节点； 确定起始被攻击的设备节点和迭代过程中产生的若干下一被攻击的设备节 点组成的集 合为节点集合。 8.一种基于知识图谱的网络攻击溯源设备， 其特 征在于， 所述设备包括： 处理器； 以及存储器， 其上存储有可执行代码， 当所述可执行代码被执行时， 使得所述处理器执 行如权利要求1 ‑5任一项所述的一种基于知识图谱的网络攻击溯源方法。权　利　要　求　书 2/2 页 3 CN 115412372 A 3