基于知识图谱的ATT&CK和CVE的关联方法及系统与流程

本技术涉及网络安全，具体涉及一种基于知识图谱的att&ck和cve的关联方法及系统。

背景技术：

1、随着信息技术的快速发展和广泛应用，网络安全威胁日益增加。现有网络安全分析方法多采用att&ck模型框架提供的详尽的理论攻击知识体系，来帮助安全专业人员了解攻击者的思维方式和攻击模式。

2、然而，攻击者在对系统进行攻击时，通常会针对系统漏洞进行攻击。在当安全专业人员对于相关系统漏洞相关知识体系掌握不全面时，安全专业人员不能准确地分析出攻击者采用的攻击手段所具体针对的系统漏洞，进而导致系统的遭受威胁的概率和潜在风险增加。

3、因此，亟需一种基于知识图谱的att&ck和cve的关联方法及系统来解决上述背景技术中存在的问题。

技术实现思路

1、本技术提供了一种基于知识图谱的att&ck和cve的关联方法及系统，可以提升分析出攻击者采用的攻击手段所具体针对的系统漏洞的准确程度，从而降低系统的遭受威胁的概率和潜在风险。

2、第一方面，本技术提供了一种基于知识图谱的att&ck和cve的关联方法，所述方法包括：基于att&ck模型框架和多个预设数据集构建知识图谱，所述知识图谱中包括多个cve实体、多个cwe实体以及多个att&ck实体；多个所述cve实体包括第一cve实体和第二cve实体；所述cwe实体的实体属性包括cwe编号，且所述第一cve实体具有明确对应的所述cwe编号，所述第二cve实体不具有明确对应的所述cwe编号；将各个所述第二cve实体和所述第二cve实体对应的实体属性输入至第一文本分类模型，输出得到与所述第二cve实体对应的cwe编号；基于所述知识图谱和图论相关算法，对cve实体集中全部cve实体进行分析，构建全部所述cve实体与全部所述att&ck实体的关联映射关系；其中，所述cve实体集包括多个所述第一cve实体和多个所述第二cve实体；输出所述关联映射关系。

3、通过采用上述技术方案，首先基于att&ck模型框架和多个预设数据集构建知识图谱，知识图谱中包括多个cve实体、多个cwe实体以及多个att&ck实体，从而能够全面地反映出各个实体之间的关系；再通过将各个第二cve实体和第二cve实体对应的实体属性输入至第一文本分类模型，输出得到与第二cve实体对应的cwe编号，能够准确地为没有明确对应cwe编号的cve实体找到对应的cwe编号；再基于知识图谱和图论相关算法，对cve实体集中全部cve实体进行分析，构建全部cve实体与全部att&ck实体的关联映射关系，能够清晰地展示出cve系统漏洞和att&ck攻击技术之间的关联关系，从而可以提升分析出攻击者采用的攻击手段所具体针对的系统漏洞的准确程度，进而降低系统的遭受威胁的概率和潜在风险。

4、可选的，所述知识图谱中还包括多个capec实体；所述关联映射关系包括多个第一子映射关系和多个第二子映射关系；所述基于所述知识图谱和图论相关算法，对cve实体集中全部cve实体进行分析，构建全部所述cve实体与全部所述att&ck实体的关联映射关系，具体包括：判断各个所述cve实体对应的当前cwe实体是否映射于至少一个所述capec实体；当各个所述cve实体对应的当前cwe实体映射于至少一个所述capec实体时，判断当前capec实体与所述att&ck实体是否存在映射关系；当当前capec实体与所述att&ck实体存在映射关系时，基于所述知识图谱，得到与当前capec实体对应的cve实体和所述att&ck实体的第一子映射关系；当当前capec实体与所述att&ck实体不存在映射关系时，基于当前cwe实体对应的capec实体集合，从所述capec实体集合中筛选与当前capec实体相似度排列在前的k个第一capec实体；基于所述知识图谱，得到k个所述第一capec实体对应的cve实体和所述att&ck实体的第二子映射关系。

5、可选的，所述cwe实体的实体属性还包括第一文本信息；在所述判断各个所述cve实体对应的当前cwe实体是否映射于至少一个所述capec实体之后，所述方法还包括：当各个所述cve实体对应的当前cwe实体不映射于任意一个所述capec实体时，构建与当前cwe实体的漏洞类型相关联的第一cwe实体的关联集合；当所述关联集合为非空集合时，基于所述第一cwe实体与所述capec实体的映射关系，得到与当前cwe实体相关联的至少一个所述capec实体；当所述关联集合为空集合时，将所述第一文本信息输入至第二文本分类模型，得到第二cwe实体；所述第二cwe实体对应的第一文本信息与当前cwe实体对应的第一文本信息的相似度大于第一预设相似度阈值；基于所述第二cwe实体与所述capec实体的映射关系，得到与当前cwe实体相关联的至少一个所述capec实体。

6、通过采用上述技术方案，通过判断cve实体对应的cwe实体是否映射于至少一个capec实体，以及capec实体与att&ck实体是否存在映射关系，能够更深入地挖掘出cve实体、cwe实体、capec实体和att&ck实体之间的关联关系；当capec实体与att&ck实体不存在映射关系时，基于当前cwe实体对应的capec实体集合，从capec实体集合中筛选与当前capec实体相似度排列在前的k个第一capec实体，进一步构建cve实体和att&ck实体的映射关系，从而提升了映射关系的准确程度。

7、可选的，所述基于当前cwe实体对应的capec实体集合，从所述capec实体集合中筛选与当前capec实体相似度排列在前的k个第一capec实体，具体包括：计算所述capec实体集合中任意一个capec实体与当前capec实体的杰卡德系数；从所述capec实体集合中，筛选得到l个第二capec实体；所述第二capec实体与当前capec实体的杰卡德系数大于预设杰卡德系数阈值；基于所述第二capec实体对应的n阶关联关系，对l个所述第二capec实体进行过滤收束，得到k个所述第一capec实体，其中，n为大于1的正整数。

8、通过采用上述技术方案，通过计算capec实体集合中任意一个capec实体与当前capec实体的杰卡德系数，能够精确地筛选出与当前capec实体更加相似的第二capec实体，并基于第二capec实体对应的n阶关联关系，对第二capec实体进行过滤收束，能够深入地挖掘出cve实体、cwe实体、capec实体和att&ck实体之间的关联关系，从而提高了映射的灵活性和准确性，进一步提升了了cve实体与att&ck实体之间的关系分析的准确性。

9、可选的，所述计算所述capec实体集合中任意一个capec实体与当前capec实体的杰卡德系数，具体包括：通过以下公式计算所述capec实体集合中任意一个capec实体与当前capec实体的杰卡德系数：

10、

11、其中，a为当前capec实体中的元素集合，b为capec实体集合中任意一个capec实体中的元素集合，||为元素集合中元素的数量，∩为交集，∪为并集。

12、可选的，k个所述第一capec实体中包括x个直接关联capec实体和y个间接关联capec实体，且x+y＝k；所述第二子映射关系包括直接子映射关系和间接子映射关系；所述基于所述知识图谱，得到k个所述第一capec实体对应的cve实体和所述att&ck实体的第二子映射关系，具体包括：基于x个所述直接关联capec实体与所述att&ck实体的映射关系，得到所述直接子映射关系；将y个所述间接关联capec实体对应的第二文本信息和所述att&ck实体对应的第三文本信息输入至第三文本分类模型，计算所述第二文本信息和所述第三文本信息的余弦相似度；从全部所述att&ck实体中筛选出多个相关联att&ck实体，各所述相关联att&ck实体对应的第三文本信息与所述间接关联capec实体对应的第二文本信息的余弦相似度大于第二预设相似度阈值；基于y个所述间接关联capec实体与所述相关联att&ck实体的映射关系，得到所述间接子映射关系。

13、通过采用上述技术方案，通过将间接关联capec实体对应的第二文本信息和att&ck实体对应的第三文本信息输入至第三文本分类模型，计算第二文本信息和第三文本信息的余弦相似度，从而能够更精确地筛选出与当前capec实体关联程度高的att&ck实体。

14、可选的，所述计算所述第二文本信息和所述第三文本信息的余弦相似度，具体包括：通过以下公式计算所述第二文本信息和所述第三文本信息的余弦相似度：

15、

16、其中，为所述第二文本信息的嵌入向量，为所述第三文本信息的嵌入向量，为向量c的模，为向量d的模。

17、在本技术的第二方面提供了一种基于知识图谱的att&ck和cve的关联系统，所述系统包括：知识图谱构建模块、处理模块以及输出模块；所述知识图谱构建模块，用于基于att&ck模型框架和多个预设数据集构建知识图谱，所述知识图谱中包括多个cve实体、多个cwe实体以及多个att&ck实体；多个所述cve实体包括第一cve实体和第二cve实体；所述cwe实体的实体属性包括cwe编号，且所述第一cve实体具有明确对应的所述cwe编号，所述第二cve实体不具有明确对应的所述cwe编号；所述处理模块，用于将各个所述第二cve实体输入至第一文本分类模型，输出得到与所述第二cve实体对应的cwe编号；所述处理模块，还用于基于所述知识图谱和图论相关算法，对cve实体集中全部cve实体进行分析，构建全部所述cve实体与全部所述att&ck实体的关联映射关系；其中，所述cve实体集包括多个所述第一cve实体和多个所述第二cve实体；所述输出模块，用于输出所述关联映射关系。

18、在本技术的第三方面提供了一种电子设备，包括处理器、存储器、用户接口及网络接口，所述存储器用于存储指令，所述用户接口和网络接口用于给其他设备通信，所述处理器用于执行所述存储器中存储的指令，以使所述电子设备执行如本技术第一方面任意一项所述的方法。

19、在本技术的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有指令，当所述指令被执行时，执行如本技术第一方面任意一项所述的方法的计算机程序。

20、综上所述，本技术实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：

21、1、首先基于att&ck模型框架和多个预设数据集构建知识图谱，知识图谱中包括多个cve实体、多个cwe实体以及多个att&ck实体，从而能够全面地反映出各个实体之间的关系；再通过将各个第二cve实体和第二cve实体对应的实体属性输入至第一文本分类模型，输出得到与第二cve实体对应的cwe编号，能够准确地为没有明确对应cwe编号的cve实体找到对应的cwe编号；再基于知识图谱和图论相关算法，对cve实体集中全部cve实体进行分析，构建全部cve实体与全部att&ck实体的关联映射关系，能够清晰地展示出cve系统漏洞和att&ck攻击技术之间的关联关系，从而可以提升分析出攻击者采用的攻击手段所具体针对的系统漏洞的准确程度，进而降低系统的遭受威胁的概率和潜在风险。

22、2、通过判断cve实体对应的cwe实体是否映射于至少一个capec实体，以及capec实体与att&ck实体是否存在映射关系，能够更深入地挖掘出cve实体、cwe实体、capec实体和att&ck实体之间的关联关系；当capec实体与att&ck实体不存在映射关系时，基于当前cwe实体对应的capec实体集合，从capec实体集合中筛选与当前capec实体相似度排列在前的k个第一capec实体，进一步构建cve实体和att&ck实体的映射关系，从而提升了映射关系的准确程度。

23、3、通过计算capec实体集合中任意一个capec实体与当前capec实体的杰卡德系数，能够精确地筛选出与当前capec实体更加相似的第二capec实体，并基于第二capec实体对应的n阶关联关系，对第二capec实体进行过滤收束，能够深入地挖掘出cve实体、cwe实体、capec实体和att&ck实体之间的关联关系，从而提高了映射的灵活性和准确性，进一步提升了了cve实体与att&ck实体之间的关系分析的准确性。

24、4、通过将间接关联capec实体对应的第二文本信息和att&ck实体对应的第三文本信息输入至第三文本分类模型，计算第二文本信息和第三文本信息的余弦相似度，从而能够更精确地筛选出与当前capec实体关联程度高的att&ck实体。