融合威胁情报与知识图谱的网络攻击溯源方法OA北大核心CHSSCDCSSCICSTPCD

[研究目的]攻击溯源是网络空间安全保障的重要组成部分,面对网络空间数据海量、异质多元、结构松散等特点,亟需大数据分析与人工智能相结合,有效识别敌手攻击威胁,溯源攻击链和背后的攻击组织,并实施针对性防御。[研究方法]针对攻击威胁特征识别难的问题,提出了知识图谱驱动的网络攻击溯源方法,以脆弱性利用动作为核心构建攻击事件框架,并以事件为单位实施告警关联,重构攻击场景。在此基础上,利用威胁指纹知识图谱,整合已公开的威胁情报知识,并抽取攻击场景中的威胁特征作为指纹,分析两者相似性,溯源攻击者。[研究结论]实验结果表明,该方法能够利用攻击事件框架充实攻击行为的上下文信息,并基于知识图谱有效溯源攻击者,从而利用攻击者已有的威胁情报,增强高级可持续攻击威胁特征识别的全面性。