工控系统漏洞知识图谱构建方法研究
这是一篇关于漏洞知识图谱,工业控制系统安全,网络安全,网络安全知识图谱的论文, 主要内容为随着工业化和信息化的逐渐融合,使得工业控制系统(Industrial Control System,ICS;简称工控系统)内部控制网络逐渐与外部网络互联互通。不可避免的打破了工控系统原有软硬件的封闭性,容易遭受到更多的攻击。工业控制系统遍及石油、化工和电力等典型行业,是国家工业关键信息基础设施中的重要组成部分,不同于传统计算机网络,工控系统一旦遭受到攻击,造成的后果将直接影响到工业生产甚至是人身安全。因此,针对工控系统安全的研究变得十分迫切。本文把工控系统漏洞库与知识图谱结合起来对构建工控系统漏洞知识图谱展开研究。首先通过对工控系统漏洞及相关工控安全领域数据进行分析,构建工控系统漏洞知识图谱的本体模型;然后对工控系统漏洞数据进行抓取、分析、处理和存储,完成基本工控系统漏洞知识图谱的构建;最后为针对工控系统漏洞知识图谱后续漏洞利用链预测等应用需求,针对非结构化漏洞信息信息分析,挖掘漏洞利用的先决特权和后置特权。本文采用自顶向下的构建方式构建工控系统漏洞知识图谱。首先对工控系统漏洞知识图谱进行知识建模,根据现有工控漏洞及相关数据源结合构建工控系统漏洞知识图谱的应用目标进行分析,列出相关的本体及约束条件,再基于专家知识构建出工控系统漏洞知识图谱本体模型;第二步进行知识获取,根据本体模型中的本体、属性和关系对数据源进行选取,然后制定相关的规则利用网络爬虫的方式获取多源数据集;第三步进行知识融合,它包含了数据的拆分、去重和合并三方面,其中本文构建了包含供应商、设备型号和设备版本的字典,使用规则匹配的方法对相关数据进行拆分,同时为提高数据准确性,基于专家知识制定规则实现数据的去重与合并;为了便于对工控系统漏洞知识图谱更新与维护,本文使用基于图数据库的存储方式进行知识存储,根据制定关联规则,将实体映射到工控系统漏洞知识图谱的本体模型中,得到[实体,关系,实体]形式的三元组数据,最后将三元组数据存储到图数据库中,完成工控系统漏洞知识图谱的构建。为了工控系统漏洞知识图谱后续可应用于对潜在利用链进行预测,本文提出一种基于规则匹配的漏洞先决特权和后置特权生成方法。利用系统的专家知识首先对漏洞特权进行分类;然后归纳总结分别得到各漏洞特权类别的有效特征。生成的漏洞先决特权和后置特权作为漏洞的两个新属性添加到工控系统漏洞知识图谱中。本文最后设计并实现了一个构建工控系统漏洞知识图谱的系统。构建工控系统漏洞知识图谱有利于用户对漏洞起因、原理及造成的影响等信息进行深度的分析,同时有利于用户确认自身工控网络系统或设备潜在的安全威胁,及时采取防护措施,制定有效的防御策略,从而降低工控安全事件发生的可能性。
网络安全知识图谱构建技术研究与实现
这是一篇关于网络安全知识图谱,领域本体,命名实体识别,神经网络,注意力机制的论文, 主要内容为随着时代迈向万物互联,针对政府、企业与社会的网络攻击事件频发,严重威胁到国家安全与社会稳定。基于知识图谱技术成功应用于各个领域的案例分析,利用知识图谱技术为网络安全领域赋能成为研究热点。网络安全知识图谱可对多源、异构、碎片化的海量数据进行语义分析与理解,将其整合为网络安全情报知识,为更深层次分析提供决策支持。因此本文主要围绕如何利用网络安全大数据构建网络安全知识图谱展开研究,并实现相应的原型系统。本文工作主要围绕以下方面展开:首先,网络安全知识图谱构建的基础知识体系由网络安全领域本体表示,现有的网络安全领域本体因构建时其侧重点不同导致本体难以完全适用于更加广泛的网络安全数据源。因此本文在复用已有网络安全领域本体的基础上,基于现有网络安全数据,综合考虑了资产、脆弱和攻击三个不同维度要素并以此构建了一个具备更强通用性的网络安全领域本体(Asset Fragile Attack Cybersecurity Domain Ontology,AFACSDO),为网络安全知识图谱构建提供支撑。然后,面对非结构化的网络安全数据,网络安全知识图谱构建过程需要进行知识抽取,包括命名实体识别和关系抽取。针对传统命名实体识别采用统计学习方法依赖于人工提取特征的问题,本文在BiLSTM-CRF神经网络模型的基础上,提出一种结合词典特征(Dictionary Feature,DF)、注意力机制(Attention,Att)和卷积神经网络(CNN)的网络安全实体识别模型(DF-Att-CNN-BiLSTM-CRF),该模型将网络安全实体识别任务转化为端到端的序列标注工作。首先通过词向量模型将序列中词表示为词向量,其次采用卷积神经网络获取字符特征表示为字符向量和词向量连接作为模型输入,并利用实体词典捕获词典特征,然后使用双向长短期记忆神经网络模型进行上下文特征提取并引入注意力机制捕获上下文局部关键语义信息,最后利用条件随机场完成网络安全实体识别。将该模型应用到公开数据集进行验证实验,实验结果表明在同等环境下,相较于其他方法该模型提高了实体识别的精确率和F1值,其精确率达到89.97%。基于识别到的实体,利用关系模板实现实体关系构建,完成非结构化数据中网络安全知识抽取。最后,基于已构建的网络安全领域本体知识体系,结合现有网络安全数据,利用非结构化数据网络安全知识抽取、多源异构知识融合、知识验证和知识存储与检索技术完成网络安全知识图谱的构建,并设计与实现网络安全知识图谱原型系统。
入侵检测系统误告警识别方法研究
这是一篇关于IDS误告警检测,无关告警,特征融合,网络安全知识图谱的论文, 主要内容为随着计算机网络的广泛应用,网络攻击的数量也不断增加,网络安全威胁已成为各个领域中不可忽视的风险。入侵检测系统(Intrusion Detection System,IDS)是一种广泛采用的网络安全防御手段,可以实时检测异常流量并产生相应告警。然而,IDS在检测过程中常常将用户正常的行为误报为攻击,以及对攻击者不成功的攻击尝试进行告警,导致安全管理员误判安全威胁及耗费其时间和精力。现有基于群体特征的IDS误告警检测方法存在上下文信息缺失的问题;此外,现有的无关告警识别方法未充分考虑告警数据与目标系统资产信息的相关性。针对上述问题,为提高IDS误告警检测的准确性,本文在分析告警属性特征和群体特征的基础上提出基于特征融合的IDS误告警检测方法,并利用网络安全知识图谱(Cybersecurity Knowledge Graph,CSKG)进行无关告警的识别。本文的主要工作包括:(1)提出一种基于特征融合的IDS误告警检测方法。针对目前IDS误告警检测方法存在上下文信息缺失的问题,该方法通过融合告警数据的群体特征和语义特征来构建检测模型。一方面,通过对大量的告警数据进行统计分析,提取IDS告警的群体特征;另一方面,采用词嵌入和深度学习模型从原始告警中提取告警属性特征。然后,该方法将告警属性特征和群体特征进行融合,再通过深度学习模型从中学习特征以及判别真实告警和误告警。在DARPA 2000公开数据集的实验结果表明,本文方法能够以很高的准确率检测IDS的误告警。(2)提出一种基于网络安全知识图谱的无关告警识别方法。该方法通过构建网络安全知识图谱来衡量告警数据与目标系统资产信息的相关性。基于构建的网络安全知识图谱,该方法首先对目标系统资产进行主动探测以获取目标系统的支撑信息,然后对场景、资产、漏洞、攻击和告警这五个维度进行实体关联,并以关联结果判别一个告警是否为无关告警。在EPIC数据集上的实验结果表明,本文方法能够以很高的准确率识别出IDS告警中的无关告警。
网络安全知识图谱构建技术研究与实现
这是一篇关于网络安全知识图谱,领域本体,命名实体识别,神经网络,注意力机制的论文, 主要内容为随着时代迈向万物互联,针对政府、企业与社会的网络攻击事件频发,严重威胁到国家安全与社会稳定。基于知识图谱技术成功应用于各个领域的案例分析,利用知识图谱技术为网络安全领域赋能成为研究热点。网络安全知识图谱可对多源、异构、碎片化的海量数据进行语义分析与理解,将其整合为网络安全情报知识,为更深层次分析提供决策支持。因此本文主要围绕如何利用网络安全大数据构建网络安全知识图谱展开研究,并实现相应的原型系统。本文工作主要围绕以下方面展开:首先,网络安全知识图谱构建的基础知识体系由网络安全领域本体表示,现有的网络安全领域本体因构建时其侧重点不同导致本体难以完全适用于更加广泛的网络安全数据源。因此本文在复用已有网络安全领域本体的基础上,基于现有网络安全数据,综合考虑了资产、脆弱和攻击三个不同维度要素并以此构建了一个具备更强通用性的网络安全领域本体(Asset Fragile Attack Cybersecurity Domain Ontology,AFACSDO),为网络安全知识图谱构建提供支撑。然后,面对非结构化的网络安全数据,网络安全知识图谱构建过程需要进行知识抽取,包括命名实体识别和关系抽取。针对传统命名实体识别采用统计学习方法依赖于人工提取特征的问题,本文在BiLSTM-CRF神经网络模型的基础上,提出一种结合词典特征(Dictionary Feature,DF)、注意力机制(Attention,Att)和卷积神经网络(CNN)的网络安全实体识别模型(DF-Att-CNN-BiLSTM-CRF),该模型将网络安全实体识别任务转化为端到端的序列标注工作。首先通过词向量模型将序列中词表示为词向量,其次采用卷积神经网络获取字符特征表示为字符向量和词向量连接作为模型输入,并利用实体词典捕获词典特征,然后使用双向长短期记忆神经网络模型进行上下文特征提取并引入注意力机制捕获上下文局部关键语义信息,最后利用条件随机场完成网络安全实体识别。将该模型应用到公开数据集进行验证实验,实验结果表明在同等环境下,相较于其他方法该模型提高了实体识别的精确率和F1值,其精确率达到89.97%。基于识别到的实体,利用关系模板实现实体关系构建,完成非结构化数据中网络安全知识抽取。最后,基于已构建的网络安全领域本体知识体系,结合现有网络安全数据,利用非结构化数据网络安全知识抽取、多源异构知识融合、知识验证和知识存储与检索技术完成网络安全知识图谱的构建,并设计与实现网络安全知识图谱原型系统。
基于深度学习的网络安全文本分析方法研究
这是一篇关于网络安全文本分析,深度学习,网络安全知识图谱,预训练模型的论文, 主要内容为随着网络技术的高速发展,越来越多的基础设施和关键设备接入到互联网,随之而来的网络安全问题也日趋严重。网络威胁情报共享可以帮助安全专家快速发现和响应网络威胁,是应对网络威胁的可行方案之一。然而目前网络威胁情报共享还面临一些问题:首先,网络威胁的关键信息都隐藏在海量的网络安全文本中,如何准确且高效地从网络安全文本中分析并抽取网络威胁情报是目前所面临的第一个问题。其次,目前所使用到的网络安全文本分析方法缺少网络安全专业领域的知识,这导致其在网络安全文本分析任务中表现欠佳,如何在网络安全文本分析中引入专业知识是目前面临的第二个问题。针对第一个问题,本文参照网络威胁情报分享标准STIX2.0,基于不同IOCs的文本特征,利用正则表达式匹配的方法从网络安全文本中提取了基础IOCs。同时,本文还基于BERT-BiLSTM-CRF模型提出了一个用于从网络安全文本中挖掘威胁动作的模型CTIAA。其中,BERT能够很好地解决网络安全文本中缺少标记数据集的问题,LSTM可以应对网络安全文本中经常出现的长句问题,CRF可以过滤掉不合理的标签。此外,本文还通过TF-IDF算法将抽取出来的威胁动作匹配到威胁本体中的相关条目,并依据此条目来生成威胁动作的TTPs和应对策略。针对网络安全文本分析缺少专业知识的问题,本文在CTIAA模型的基础上引入了网络安全知识图谱,提出了一个融合知识图谱的网络安全文本分析模型KCTIAA。首先,本文构建了一个多源的网络安全知识图谱,为整个系统提供了知识支撑。随后,K-CTIAA通过知识查询和知识插入的方式在网络安全文本中引入知识,生成了带有网络安全知识的句子树。其次,本文通过引入软位置和硬位置的概念来将带有知识的句子树输入到模型中,并构造了可见矩阵,通过修改BERT模型中Self-attention的计算方式,实现了知识的融入。此外,本文改进了知识插入的方法,提出了句子树剪枝和修改可见矩阵构建规则的方法来缓解插入知识所带来的知识噪声问题。句子树剪枝用以过滤掉不相关的知识,修改可见矩阵用以将知识更好地融入到句子的上下文环境中。最后,本文构建了一个基于深度学习的网络安全文本分析系统,并使用网路安全文本实例进行了测试。结果显示,K-CTIAA模型能够较好地完成IOCs和威胁行动的提取,并按照威胁情报标准STIX2.0生成较为规范的威胁情报。
SIEM日志分析系统关键技术研究与应用
这是一篇关于安全信息与事件管理,OSSIM,网络安全知识图谱,可视化的论文, 主要内容为随着网络恶意攻击和网络入侵行为的不断发展,以及现代网络系统规模的不断扩大和复杂性的不断提高,各类安全设备为保护网络资产所产生的网络安全事件数量迅速增长。传统上依赖于人工分析的日志分析方法已经成为一项耗时长且极易出错的任务,也越来越不能被当前对网络资产进行管理和网络攻击实时监测的能力有迫切需求的企业所接受。另一方面,传统的安全控制技术,如防火墙、入侵检测系统、入侵防御系统、蜜罐系统等,随着相关研究的深入和新一代商用产品的推出,能够在各自所关注的领域内帮助保护敏感信息和设备,但安全分析人员却无法通过单一的设备在全局做到实时掌握系统中的网络安全态势。因此需要一种多合一的集成式解决方案,通过连接各个安全设备将它们产生的安全日志进行集中管理,统一利用不同设备的优势帮助安全分析师分析当前的网络状态和对网络中的恶意活动进行检测。本文重点研究了安全信息与事件管理系统(SIEM),对SIEM系统的组成和原理进行了深入研究和分析。具体的研究方向包括网络安全事件分析和安全数据可视化。在网络安全事件分析方向,本文研究了 SIEM系统的组成和事件处理流程,并对SIEM系统事件关联的核心—关联分析技术进行了重点研究。通过开源的SIEM软件OSSIM分析了SIEM系统软件的功能模块和设计原理,对关联引擎采用的关联分析算法进行了比较分析。在安全数据可视化方向,本文针对SIEM系统生成事件管理的不足之处、安全分析师无法通过SIEM告警事件了解触发告警规则的网络当前状态和网络实体的详细信息的问题,设计了一个基于OSSIM的网络安全知识图谱,在网络攻击发生时帮助网络管理者直观的实时掌握攻击行为发生的完整攻击链概述,探测事件发生的背后原因,从而显著增强SIEM系统实时有效的监控能力。
基于网络安全知识图谱的攻击回溯技术研究与实现
这是一篇关于网络攻击回溯,网络安全知识图谱,攻击回溯系统的论文, 主要内容为网络攻击回溯技术是网络防御体系中的重要分支,是网络攻防对抗中的关键环节。网络攻击回溯技术能够通过网络攻击遗留下来的攻击痕迹还原网络攻击场景,重构攻击路径,可以利用回溯分析的结果,针对性地制定安全策略,极大地降低网络安全防御成本,大幅度提升防御效果。但面对日益复杂的网络攻击和网络协议本身存在的设计缺陷,大部分攻击回溯工具主要针对网络数据包进行回溯分析,对于事后的攻击回溯,尤其是在未知的攻击或无法确定是否遭受攻击的情况下,这些回溯工具将失去基本功能。针对该些问题,本文结合知识图谱与网络攻击回溯技术,提出了基于知识图谱的网络攻击回溯技术,内容主要包括:(1)针对事后攻击回溯或未知攻击回溯困难的问题,建立了一个用于网络攻击回溯的网络安全知识图谱,主要由主机资产维、漏洞维、攻击威胁维、痕迹维、位置维和策略维六个维度组成。通过抽取各个维度的知识来源,根据各个维度的知识之间的关联关系,把知识融合成为一个整体,形成用于攻击回溯的网络安全知识图谱,旨在为攻击回溯提供方法和策略,使得普通的回溯人员可以自由地利用专家知识对网络攻击进行自动化地攻击回溯。(2)针对构建的网络安全知识图谱,提出了一个基于网络安全知识图谱的网络攻击回溯算法。在攻击回溯时,可以根据所构建的网络安全知识图谱,从各个维度入手进行攻击回溯。特别是在回溯过程中需要多步才能得出结果或者攻击源需要多个回溯结果才能确定的情况下,提供了利用回溯策略与子策略的逻辑关系来解决以上问题的方法。并用一个攻击回溯示例,以主机资产维为切入点,直观的描述了基于网络安全知识图谱的攻击回溯方法和过程。(3)为了验证和测试基于网络安全知识图谱的攻击回溯方法的正确性与实用性,开发了一个基于网络安全知识图谱的攻击回溯系统原型。该原型系统实现了攻击回溯算法,提供对知识图谱的可视化编辑,能够从任意节点进行攻击回溯分析,回溯分析的结果简单明了地呈现给用户,并且能够跨平台地在Windows、Linux以及Mac系统上使用。
网络安全知识图谱构建关键技术研究
这是一篇关于网络安全知识图谱,实体识别,关系抽取,神经网络,远程监督的论文, 主要内容为随着大数据技术的发展和网络环境的日趋复杂,网络空间中包含了大量有价值的网络威胁情报数据。如何从碎片化、海量化的威胁情报数据中挖掘出关联关系、攻击模式等是威胁情报分析研究的焦点,因此,基于网络安全知识图谱的威胁情报分析成为了研究热点。网络安全知识图谱可将海量的碎片化的多源异构威胁情报数据进行细粒度的深度关联分析和挖掘。网络安全知识图谱构建的基础就是信息抽取,本文重点研究海量网络安全文本数据中的网络安全实体识别和实体之间的关系抽取。首先,传统的命名实体识别方法难以识别网络安全领域中新的或中英文混合的安全实体,且提取的特征不充分,因此难以准确的识别网络安全实体。针对此问题,本文在神经网络模型CNN-BiLSTM-CRF的基础上,提出一种结合特征模板的网络安全实体识别方法,其利用人工特征模板提取局部上下文特征,进一步利用神经网络模型自动提取字符特征和文本全局特征。实验结果表明,在大规模网络安全数据集上,本文提出的网络安全实体识别方法与其它方法相比,相关评价指标优于其它方法,F值达到86%。其次,针对远程监督方法在构建语料过程中引入的噪声数据问题,本文在远程监督模型PCNN-ATT的基础之上,提出了一种ResPCNN-ATT的远程监督关系抽取方法,其利用PCNN提取语义特征,引入深度残差学习解决由于噪声数据引起的梯度消失问题,进一步利用多实例注意力机制计算实例与对应关系的相关性,以降低噪声数据的影响。实验结果表明,在NYT数据集和NSER数据集上,本文提出的方法与其它方法相比,关系抽取准确率优于其它方法。
本文内容包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主题。发布者:代码货栈 ,原文地址:https://m.bishedaima.com/lunwen/56268.html
