网络攻击回溯技术是网络防御体系中的重要分支,是网络攻防对抗中的关键环节。网络攻击回溯技术能够通过网络攻击遗留下来的攻击痕迹还原网络攻击场景,重构攻击路径,可以利用回溯分析的结果,针对性地制定安全策略,极大地降低网络安全防御成本,大幅度提升防御效果。但面对日益复杂的网络攻击和网络协议本身存在的设计缺陷,大部分攻击回溯工具主要针对网络数据包进行回溯分析,对于事后的攻击回溯,尤其是在未知的攻击或无法确定是否遭受攻击的情况下,这些回溯工具将失去基本功能。针对该些问题,本文结合知识图谱与网络攻击回溯技术,提出了基于知识图谱的网络攻击回溯技术,内容主要包括:(1)针对事后攻击回溯或未知攻击回溯困难的问题,建立了一个用于网络攻击回溯的网络安全知识图谱,主要由主机资产维、漏洞维、攻击威胁维、痕迹维、位置维和策略维六个维度组成。通过抽取各个维度的知识来源,根据各个维度的知识之间的关联关系,把知识融合成为一个整体,形成用于攻击回溯的网络安全知识图谱,旨在为攻击回溯提供方法和策略,使得普通的回溯人员可以自由地利用专家知识对网络攻击进行自动化地攻击回溯。(2)针对构建的网络安全知识图谱,提出了一个基于网络安全知识图谱的网络攻击回溯算法。在攻击回溯时,可以根据所构建的网络安全知识图谱,从各个维度入手进行攻击回溯。特别是在回溯过程中需要多步才能得出结果或者攻击源需要多个回溯结果才能确定的情况下,提供了利用回溯策略与子策略的逻辑关系来解决以上问题的方法。并用一个攻击回溯示例,以主机资产维为切入点,直观的描述了基于网络安全知识图谱的攻击回溯方法和过程。(3)为了验证和测试基于网络安全知识图谱的攻击回溯方法的正确性与实用性,开发了一个基于网络安全知识图谱的攻击回溯系统原型。该原型系统实现了攻击回溯算法,提供对知识图谱的可视化编辑,能够从任意节点进行攻击回溯分析,回溯分析的结果简单明了地呈现给用户,并且能够跨平台地在Windows、Linux以及Mac系统上使用。