本發(fā)明涉及數(shù)據(jù)處理，特別是涉及一種對多層語義高級威脅知識進(jìn)行識別的方法及裝置。

背景技術(shù)：

1、隨著網(wǎng)絡(luò)和計算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)空間大規(guī)模擴(kuò)張，各類網(wǎng)絡(luò)安全事件層出不窮，且影響巨大。與此同時，網(wǎng)絡(luò)安全信息呈現(xiàn)爆炸式增長的態(tài)勢，如何利用這些多源異構(gòu)的信息，為網(wǎng)絡(luò)安全提供幫助成為一個研究熱點。隨著大數(shù)據(jù)分析的需求，語義技術(shù)被用來挖掘多源數(shù)據(jù)之間的相關(guān)性，知識圖譜作為一種語義網(wǎng)絡(luò)，清晰的展示了網(wǎng)絡(luò)空間中各類信息主體之間的邏輯關(guān)系，被廣泛應(yīng)用于威脅事件分析。但是在構(gòu)建知識圖譜的過程中，傳統(tǒng)的威脅建模方法由于技術(shù)或建模思路的問題存在模糊性、異構(gòu)性以及不完整性，所以并不能夠在多領(lǐng)域知識共享的、標(biāo)準(zhǔn)化的、能夠盡可能全面的描述威脅情報領(lǐng)域知識信息的知識模型來應(yīng)對多變的網(wǎng)絡(luò)威脅場景。

技術(shù)實現(xiàn)思路

1、本發(fā)明提供了一種對多層語義高級威脅知識進(jìn)行識別的方法及裝置，以解決現(xiàn)有不能在多領(lǐng)域知識共享的、標(biāo)準(zhǔn)化的、能夠盡可能全面的描述威脅情報領(lǐng)域知識信息的知識模型來應(yīng)對多變的網(wǎng)絡(luò)威脅場景的問題。

2、第一方面，本發(fā)明提供了一種對多層語義高級威脅知識進(jìn)行識別的方法，所述方法包括：

3、對原始數(shù)據(jù)進(jìn)行信息識別解析處理，對處理后的數(shù)據(jù)進(jìn)行知識抽取與語義擴(kuò)展，以識別威脅知識的實體、屬性以及關(guān)聯(lián)關(guān)系；

4、基于所識別出的威脅知識的實體、屬性以及關(guān)聯(lián)關(guān)系來構(gòu)建多層語義高級威脅知識表示模型，其中，所述多層語義高級威脅知識表示模型是結(jié)合指數(shù)平滑廣量指標(biāo)stix威脅數(shù)據(jù)要素標(biāo)準(zhǔn)和att&ck技戰(zhàn)法知識框架，利用語義技術(shù)構(gòu)建的通用且兼具實用性和擴(kuò)展性的網(wǎng)絡(luò)威脅本體知識模型，所述多層語義高級威脅知識表示模型包括高層語義實體類模型和低層語義實體類模型，且所述高層語義實體類模型是將不能從原始數(shù)據(jù)中直接抽取的威脅主體、攻擊活動、攻擊事件、攻擊模式、響應(yīng)措施以及受害者作為高層語義實體，分析每個高層語義實體的屬性和關(guān)聯(lián)關(guān)系而形成的，所述低層語義實體類模型是將從所述原始數(shù)據(jù)中能夠直接識別或抽取的惡意軟件、基礎(chǔ)設(shè)施、工具、攻陷指標(biāo)、可觀測數(shù)據(jù)和脆弱性作為低層語義實體，分析每個低層語義實體的屬性和關(guān)聯(lián)關(guān)系而形成的；

5、基于所構(gòu)建的多層語義高級威脅知識表示模型來識別網(wǎng)絡(luò)攻擊行為。

6、可選地，所述對原始數(shù)據(jù)進(jìn)行信息識別解析處理，包括：對原始數(shù)據(jù)進(jìn)行信息識別解析處理，獲得威脅主體信息、威脅事件信息、時間信息、威脅意圖信息以及工具信息。

7、可選地，所述對原始數(shù)據(jù)進(jìn)行信息識別解析處理，還包括：通過信息抽取、知識組織、分析推理和語義增強(qiáng)來對所述原始數(shù)據(jù)進(jìn)行信息識別解析處理。

8、可選地，所述方法還包括：對信息識別解析處理后的數(shù)據(jù)進(jìn)行威脅知識表示，并基于威脅知識表示的數(shù)據(jù)進(jìn)行知識抽取與語義擴(kuò)展；

9、所述威脅知識表示是通過預(yù)設(shè)的威脅語義模型來識別威脅知識實體的類型、實體關(guān)系以及實體屬性，并進(jìn)行數(shù)據(jù)挖掘、自然語言處理、知識表征和語義組織、語義查詢、基于實體鏈接的語義擴(kuò)展和基于時間序列的語義增強(qiáng)。

10、可選地，所述對處理后的數(shù)據(jù)進(jìn)行知識抽取與語義擴(kuò)展，以識別威脅知識的實體、屬性以及關(guān)聯(lián)關(guān)系，包括：通過數(shù)據(jù)挖掘、自然語言處理、知識表征和語義組織、本體推理、語義查詢來對處理后的數(shù)據(jù)進(jìn)行威脅知識的實體識別、關(guān)系抽取和語義增強(qiáng)處理，以識別威脅知識的實體、屬性以及關(guān)聯(lián)關(guān)系。

11、可選地，所述構(gòu)建多層語義高級威脅知識表示模型，包括：通過實體關(guān)系建模、實體形式化建模以及實體關(guān)系形式化建模來構(gòu)建得到所述多層語義高級威脅知識表示模型，其中，

12、所述實體關(guān)系建模是對高層語義實體間關(guān)系、低層語義實體間關(guān)系、高層語義實體和低層語義實體間關(guān)系進(jìn)行概念化建模分析；

13、所述實體形式化建模是對于實體類別與屬性，設(shè)計對應(yīng)的標(biāo)簽標(biāo)識，以實現(xiàn)知識本體的形式化語言描述；

14、建立實體關(guān)系謂詞與實體關(guān)系標(biāo)簽的映射關(guān)系，實現(xiàn)本體關(guān)系的形式化語言描述。

15、可選地，所述原始數(shù)據(jù)包括安全報告數(shù)據(jù)、威脅情報數(shù)據(jù)、漏洞數(shù)據(jù)、惡意樣本數(shù)據(jù)和apt組織數(shù)據(jù)。

16、第二方面，本發(fā)明提供了一種對多層語義高級威脅知識進(jìn)行識別的裝置，所述裝置包括：

17、解析單元，用于對原始數(shù)據(jù)進(jìn)行信息識別解析處理，對處理后的數(shù)據(jù)進(jìn)行知識抽取與語義擴(kuò)展，以識別威脅知識的實體、屬性以及關(guān)聯(lián)關(guān)系；

18、處理單元，用于基于所識別出的威脅知識的實體、屬性以及關(guān)聯(lián)關(guān)系來構(gòu)建多層語義高級威脅知識表示模型，其中，所述多層語義高級威脅知識表示模型是結(jié)合指數(shù)平滑廣量指標(biāo)stix威脅數(shù)據(jù)要素標(biāo)準(zhǔn)和att&ck技戰(zhàn)法知識框架，利用語義技術(shù)構(gòu)建的通用且兼具實用性和擴(kuò)展性的網(wǎng)絡(luò)威脅本體知識模型，所述多層語義高級威脅知識表示模型包括高層語義實體類模型和低層語義實體類模型，且所述高層語義實體類模型是將不能從原始數(shù)據(jù)中直接抽取的威脅主體、攻擊活動、攻擊事件、攻擊模式、響應(yīng)措施以及受害者作為高層語義實體，分析每個高層語義實體的屬性和關(guān)聯(lián)關(guān)系而形成的，所述低層語義實體類模型是將從所述原始數(shù)據(jù)中能夠直接識別或抽取的惡意軟件、基礎(chǔ)設(shè)施、工具、攻陷指標(biāo)、可觀測數(shù)據(jù)和脆弱性作為低層語義實體，分析每個低層語義實體的屬性和關(guān)聯(lián)關(guān)系而形成的；

19、識別單元，用于基于所構(gòu)建的多層語義高級威脅知識表示模型來識別網(wǎng)絡(luò)攻擊行為。

20、可選地，所述處理單元還用于，通過實體關(guān)系建模、實體形式化建模以及實體關(guān)系形式化建模來構(gòu)建得到所述多層語義高級威脅知識表示模型，其中，所述實體關(guān)系建模是對高層語義實體間關(guān)系、低層語義實體間關(guān)系、高層語義實體和低層語義實體間關(guān)系進(jìn)行概念化建模分析；所述實體形式化建模是對于實體類別與屬性，設(shè)計對應(yīng)的標(biāo)簽標(biāo)識，以實現(xiàn)知識本體的形式化語言描述；建立實體關(guān)系謂詞與實體關(guān)系標(biāo)簽的映射關(guān)系，實現(xiàn)本體關(guān)系的形式化語言描述。

21、第三方面，本發(fā)明提供了一種計算機(jī)可讀存儲介質(zhì)，所述存儲介質(zhì)上存儲有計算機(jī)程序，所述程序被處理器執(zhí)行時實現(xiàn)上述中任一種所述的對多層語義高級威脅知識進(jìn)行識別的方法。

22、總體來說，本發(fā)明提出了一種多層語義高級威脅知識描述框架，該方法結(jié)合stix威脅數(shù)據(jù)要素標(biāo)準(zhǔn)和att&ck技戰(zhàn)法知識框架，利用語義技術(shù)構(gòu)建了一個完善的高級威脅知識框架，建立了一套較為通用且兼具實用性和擴(kuò)展性的網(wǎng)絡(luò)威脅本體知識模型，為apt攻擊等復(fù)雜多變的攻擊行為提供了統(tǒng)一的行為模型架構(gòu)，從而能夠在多領(lǐng)域知識共享的、標(biāo)準(zhǔn)化的場景下，能夠盡可能全面的描述威脅情報領(lǐng)域知識信息的知識模型來應(yīng)對多變的網(wǎng)絡(luò)威脅場景。

23、上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂，以下特舉本發(fā)明的具體實施方式。

技術(shù)特征：

1.一種對多層語義高級威脅知識進(jìn)行識別的方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對原始數(shù)據(jù)進(jìn)行信息識別解析處理，包括：

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對原始數(shù)據(jù)進(jìn)行信息識別解析處理，還包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述方法還包括：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對處理后的數(shù)據(jù)進(jìn)行知識抽取與語義擴(kuò)展，以識別威脅知識的實體、屬性以及關(guān)聯(lián)關(guān)系，包括：

6.根據(jù)權(quán)利要求1-5中任意一項所述的方法，其特征在于，所述構(gòu)建多層語義高級威脅知識表示模型，包括：

7.根據(jù)權(quán)利要求1-5中任意一項所述的方法，其特征在于，

8.一種對多層語義高級威脅知識進(jìn)行識別的裝置，其特征在于，所述裝置包括：

9.根據(jù)權(quán)利要求8所述的裝置，其特征在于，

10.一種計算機(jī)可讀存儲介質(zhì)，所述存儲介質(zhì)上存儲有計算機(jī)程序，所述程序被處理器執(zhí)行時實現(xiàn)權(quán)利要求1-7中任意一項所述的對多層語義高級威脅知識進(jìn)行識別的方法。

技術(shù)總結(jié)
本發(fā)明公開了一種對多層語義高級威脅知識進(jìn)行識別的方法及裝置，即本發(fā)明提出了一種多層語義高級威脅知識描述框架，該方法結(jié)合STIX威脅數(shù)據(jù)要素標(biāo)準(zhǔn)和ATT&CK技戰(zhàn)法知識框架，利用語義技術(shù)構(gòu)建了一個完善的高級威脅知識框架，建立了一套較為通用且兼具實用性和擴(kuò)展性的網(wǎng)絡(luò)威脅本體知識模型，為APT攻擊等復(fù)雜多變的攻擊行為提供了統(tǒng)一的行為模型架構(gòu)，從而能夠在多領(lǐng)域知識共享的、標(biāo)準(zhǔn)化的場景下，能夠盡可能全面的描述威脅情報領(lǐng)域知識信息的知識模型來應(yīng)對多變的網(wǎng)絡(luò)威脅場景。

技術(shù)研發(fā)人員：俞賽賽,劉曉影,任傳倫,張磊,司成祥,呂仁健,王玥,譚震,烏吉斯古愣,王淮,陳靜,朱文雷,楊坤,余慧英
受保護(hù)的技術(shù)使用者：中國電子科技集團(tuán)公司第十五研究所
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/15