基于知识图谱的分布式安全事件关联分析技术研究——这就是我需要的安全知识图谱!底层引擎是知识图谱的关联分析!
随着互联网的快速发展,网络规模的不断扩大,网络安全问题给日常生活和
企业运营等带来了严重挑战。网络安全事件关联分析技术通过收集多源安全信息,
经过归一化预处理、安全事件验证及聚合和攻击场景重构若干步骤约减冗余警报、
剔除虚假警报,通过建立算法模型重现攻击场景,是态势感知研究领域的核心模
块,具有重要的研究价值。为此,本研究设计并实现了一个基于知识图谱的分布
式安全事件关联分析系统,构建了网络安全知识图谱,在图谱的基础上设计了关
联分析算法,并将算法并行化实现了分布式关联分析系统。主要工作有以下几个
方面:
1、设计了一个网络安全知识图谱模型,包括基础资产维、漏洞维、威胁维、
报警维四个维度。分别定义了每个维度的实体属性构成,然后通过抽取多源开源
安全知识,包括已经披露的漏洞库,系统软件版本库、公共攻击模式分类库,入
侵检测系统报警信息库来填充每个维度实体模型。并且通过寻找各个维度之间的
关联关系融合所有维度构建一个完整的网络安全知识图谱,图谱构建工具使用
Neo4j 图数据库。
2、在已经实现的网络安全知识图谱的基础上设计实现了一种基于场景匹配的
安全事件关联分析方法。整个关联过程包括安全事件预处理、安全事件验证以及
攻击场景重建。场景采用知识图谱组织的形式进行建模,通过“与”和“或”两
种逻辑关系表示与场景关联的超警报、安全事件以及漏洞。场景重建算法核心思
想通过构造关于场景的逻辑表达式,根据逻辑计算结果给出场景匹配成功与否。
3、为了满足大数据处理的需求,在关联分析算法设计的基础上设计并实现了
分布式安全事件关联分析系统。系统主要借助目前使用广泛的若干分布式框架及
数据库来构建实时数据分析系统,核心包括数据收集模块、归并分发模块、实时
数据分析模块以及存储模块。