本发明涉及网络安全技术领域,更具体地说,涉及一种网络安全数据关联分析方法、装置、设备及存储介质。
背景技术:
网络安全相关数据多样且复杂,包括安全威胁情报数据、脆弱性信息、网络环境资产数据、网络安全事件数据、安全事件响应专家知识等。现有技术在实现对网络安全相关数据的分析时,通常是由分析师人工分别对每种网络安全相关数据进行分析,但是这种分别分析的方法导致安全分析结果片面,经常存在大量误报,不仅浪费分析师宝贵的时间,还极有可能将真正的安全威胁淹没。
技术实现要素:
本发明的目的是提供一种网络安全数据关联分析方法、装置、设备及存储介质,能够减少网络安全分析时间的同时,提高网络安全分析的准确性及有效性。
为了实现上述目的,本发明提供如下技术方案:
一种网络安全数据关联分析方法,包括:
采集能够表示网络当前安全情况的数据为样本,依据预设的业务逻辑从所述样本中抽取相应的信息为知识,并利用所述知识构建知识图谱;
从预设的每个规则中分别提取特征,得到相应的规则特征;其中,所述规则为表示所述网络存在安全威胁的数据;
对所述知识图谱进行深度搜索,如果搜索到所述知识图谱中存在与任意规则特征相匹配的知识,则为与任意规则特征相匹配的知识标识风险。
优选的,利用所述知识构建知识图谱之前,还包括:
如果当前时刻之前已经构建得到多个连续的时间周期的知识图谱,则将该多个知识图谱拟合得到一个时间周期的图谱基线;
对应的,利用所述知识构建知识图谱之后,还包括:
将当前构建得到的知识图谱与所述图谱基线进行比对,如果比对到当前构建得到的知识图谱存在与所述图谱基线之间不同的知识,则为与所述图谱基线之间不同的知识标识风险。
优选的,依据预设的业务逻辑从所述样本中抽取相应的信息为知识,包括:
如果所述样本为日志数据,则对所述日志数据进行正则匹配和/或分词处理,得到相应的结构化数据为知识;
如果所述样本为流量数据,则对所述流量数据进行正则匹配和/或字段提取,得到相应的结构化数据为知识。
优选的,利用所述知识构建知识图谱之前,还包括:
将所述知识进行去重处理,并将所述知识中含义相同的不同名称均替换为表示相应含义的统一名称。
优选的,利用所述知识构建知识图谱,包括:
确定与当前场景对应的本体模型为当前模型,并将所述知识导入至当前模型,得到相应的知识图谱。
优选的,将多个知识图谱拟合得到一个时间周期的图谱基线,包括:
对需要实现拟合的多个知识图谱进行时间叠加去重处理;
对进行时间叠加去重处理后的多个知识图谱进行分析,得到该多个知识图谱之间的差异,指示外界处理得到的差异,得到一个时间周期的图谱基线。
优选的,为相应的知识标识风险,包括:
将需要标识风险的知识设置为指定的显示颜色。
一种网络安全数据关联分析装置,包括:
图谱构建模块,用于:采集能够表示网络当前安全情况的数据为样本,依据预设的业务逻辑从所述样本中抽取相应的信息为知识,并利用所述知识构建知识图谱;
特征提取模块,用于:从预设的每个规则中分别提取特征,得到相应的规则特征;其中,所述规则为表示所述网络存在安全威胁的数据;
关联分析模块,用于:对所述知识图谱进行深度搜索,如果搜索到所述知识图谱中存在与任意规则特征相匹配的知识,则为与任意规则特征相匹配的知识标识风险。
一种网络安全数据关联分析设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一项所述网络安全数据关联分析方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述网络安全数据关联分析方法的步骤。
本发明提供了一种网络安全数据关联分析方法、装置、设备及存储介质,该方法包括:采集能够表示网络当前安全情况的数据为样本,依据预设的业务逻辑从所述样本中抽取相应的信息为知识,并利用所述知识构建知识图谱;从预设的每个规则中分别提取特征,得到相应的规则特征;其中,所述规则为表示所述网络存在安全威胁的数据;对所述知识图谱进行深度搜索,如果搜索到所述知识图谱中存在与任意规则特征相匹配的知识,则为与任意规则特征相匹配的知识标识风险。本申请公开的技术方案中,采集网络安全相关数据作为样本,从样本中提取知识构建相应的知识图谱,从表示网络存在安全威胁的规则提取规则特征,并深度搜索知识图谱中是否存在与规则特征相匹配的知识,在搜索到与规则特征匹配的知识后确定这些知识表示网络存在安全威胁,因为对其标识风险,否则,确定这些知识表示网络不存在安全威胁。可见,本申请不同于现有技术需要由分析师人工分别对每种网络安全相关数据进行分析,而是通过基于网络安全相关数据构建网络安全知识图谱,进而基于该知识图谱及表示网络存在安全威胁的相应规则进行融合关联分析,能够有效减少误报及淹没安全威胁等情况的发生,且由于本申请网络安全分析过程均是自动实现的,因此能够有效减少网络安全分析时间,提高网络安全分析效率;综上,本申请能够减少网络安全分析时间的同时,提高网络安全分析的准确性及有效性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种网络安全数据关联分析方法的流程图;
图2为本发明实施例提供的一种网络安全数据关联分析方法中知识图谱的示例图;
图3为本发明实施例提供的一种网络安全数据关联分析装置的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,其示出了本发明实施例提供的一种网络安全数据关联分析方法的流程图,可以包括:
s11:采集能够表示网络当前安全情况的数据为样本,依据预设的业务逻辑从样本中抽取相应的信息为知识,并利用知识构建知识图谱。
本发明实施例提供的一种网络安全数据关联分析方法的执行主体可以为对应的网络安全数据关联分析装置。需要说明的是,本申请可以采集能够表示网络当前安全情况的数据,也即网络安全相关数据,以在后续通过对这些数据进行分析确定网络当前是否存在安全威胁;其中,网络安全相关数据可以包括安全威胁情报数据、脆弱性信息、网络环境资产数据、网络安全事件数据、安全事件响应专家知识等;具体来说,安全威胁情报数据是经过认证的知识信息,能够提供帮助安全威胁检测的丰富的上下文信息;脆弱性信息是漏洞、弱口令等信息,而基于脆弱性信息掌握网络环境中的脆弱性情况能够帮助更好的进行网络安全防护;网络环境资产数据帮助进行资产测绘梳理,在清楚了解网络环境中存在哪些资产后能够采取最恰当的保护措施;网络安全事件数据是网络环境中实时发生的安全事件,对安全事件数据的梳理能够发现其中的关联关系,可能发现网络环境中的潜伏安全威胁;安全事件响应专家知识库中包含的安全事件响应专家知识是对专家应急响应过程知识的学习整理,能够指导自动化安全事件响应。在一种具体实现方式中,采集网络安全相关数据作为样本时,可以采集包含上述网络安全相关数据的资产日志及数据流量作为样本,而采集资产日志时可以配置资产日志的日志源信息,包括但不限于ip、资产类型、资产日志位置等,采集数据流量时可以镜像获取资产流量,所配置的信息包括但不限于ip、端口等;其中,资产可以包括存储资源、计算资源等,而数据流量可以包括产生流量的相关数据,如io数据等。
在得到样本之后,可以依据预设的业务逻辑从样本中抽取相应的信息作为知识;具体来说,知识的内容包括但不限于实体、属性及关系,如sip(源ip)、开始时间、结束时间、操作时间、操作内容、数据返回、dip(目的ip)等;而预设的业务逻辑可以为谁在什么时间在哪里做了什么,也可以仅包括谁在什么时间在哪里做了什么之中的部分内容,如谁指向sip,时间指向时间范畴(开始时间、结束时间)/操作时间,在哪里指向dip,做了什么指向操作内容和数据返回等。
在从样本中抽取得到知识之后,可以基于这些知识构建知识图谱;具体来说,知识图谱的本质是语义网络,以节点和边的图结构描述世界本来的样子,节点表示实体,边表示实体之间的关系,因此,知识图谱即为一张大的语义关系网络,用于探索实体间的隐含关系,发现实体背后的潜在知识。知识图谱由底层的本体层和下层的实例层组成,本体层为模式层,也是整个知识图谱的核心,用于表达类、属性关系和对象关系,是知识图谱的整体知识框架,实例层则是数据层,由一系列事实组成。在知识图谱中对实体和关系的描述采用三元组(主、谓、宾)的方式,例如如图2所示,在使用知识图谱描述一个事实--攻击事件a的攻击组织是turla,利用漏洞cve-2018-8120时,攻击事件a、攻击组织turla和漏洞cve-2018-8120均为实体,关系则是“攻击组织”“利用”;该示例即为事实三元组数据,其中攻击事件a归属本体层的攻击事件类,攻击组织a归属本体层的攻击组织类,漏洞cve-2018-8120归属本体层的漏洞类。
s12:从预设的每个规则中分别提取特征,得到相应的规则特征;其中,规则为表示网络存在安全威胁的数据。
在构建得到知识图谱之后,可以根据实体的知识图谱进行知识推理;具体来说,可以先获取预设的全部规则,这些规则均为表示网络存在安全威胁的数据,且均可以来源于安全知识经验库,而安全知识经验库包括但不限于安全威胁情报库及资产弱点库;然后从预设的每个规则中提取特征,每个规则都具备其独有的特征,包括但不限于字段值、攻击手段及攻击结果,每个规则均包含一组事实,或者说每个规则也包含符合相应业务逻辑的内容,其逻辑为做什么即为攻击手段,产生了什么结果即为攻击结果,攻击手段匹配规则条件,攻击结果匹配规则结果,而规则手段及规则结果为相应知识库中的规则对,可能为一对多的关系、多对多的关系或者多对一的关系。
s13:对知识图谱进行深度搜索,如果搜索到知识图谱中存在与任意规则特征相匹配的知识,则为与任意规则特征相匹配的知识标识风险。
其中,匹配可以为相同或者相应;对知识图谱进行深度搜索(如按照纵横向规则探测),以检测知识图谱中是否触碰到规则特征(也即知识图谱中是否存在与任意特征规则相匹配的知识,或者说知识图谱中是否存在触碰规则条件或规则结果的行为),如果是,则直接触碰到规则特征的知识标识风险,否则,无需标识风险。
本申请公开的技术方案中,采集网络安全相关数据作为样本,从样本中提取知识构建相应的知识图谱,从表示网络存在安全威胁的规则提取规则特征,并深度搜索知识图谱中是否存在与规则特征相匹配的知识,在搜索到与规则特征匹配的知识后确定这些知识表示网络存在安全威胁,因为对其标识风险,否则,确定这些知识表示网络不存在安全威胁。可见,本申请不同于现有技术需要由分析师人工分别对每种网络安全相关数据进行分析,而是通过基于网络安全相关数据构建网络安全知识图谱,进而基于该知识图谱及表示网络存在安全威胁的相应规则进行融合关联分析,能够有效减少误报及淹没安全威胁等情况的发生,且由于本申请网络安全分析过程均是自动实现的,因此能够有效减少网络安全分析时间,提高网络安全分析效率;综上,本申请能够减少网络安全分析时间的同时,提高网络安全分析的准确性及有效性。
本发明实施例提供的一种网络安全数据关联分析方法,利用知识构建知识图谱之前,还可以包括:
如果当前时刻之前已经构建得到多个连续的时间周期的知识图谱,则将该多个知识图谱拟合得到一个时间周期的图谱基线;
对应的,利用知识构建知识图谱之后,还包括:
将当前构建得到的知识图谱与图谱基线进行比对,如果比对到当前构建得到的知识图谱存在与图谱基线之间不同的知识,则为与图谱基线之间不同的知识标识风险。
其中,时间周期可以根据实际需要进行设定,如一周、一天等。本申请实施例在采集到一个时间周期内的网络安全相关数据之后,则可以利用采集到的这一个时间周期内的网络安全相关数据构建知识图谱;而在需要对当前构建得到的知识图谱进行分析时,还可以获取当前时刻构建得到的知识图谱之前已经构建得到的多个知识图谱,这多个知识图谱为网络不存在安全威胁时的知识图谱,且这多个知识图谱与多个连续的时间周期一一对应,如当前构建得到的知识图谱对应一个月中的第四个周,则用于实现第四个周对应知识图谱分析的多个知识图谱可以分别为这个月中前第一周、第二周及第三周分别对应的知识图谱。需要说明的是,将用于分析的多个知识图谱拟合成一个时间周期的知识图谱,也即图谱基线,该图谱基线能够有效体现当前时刻之前网络不存在安全威胁时的相关数据特点,因此将当前构建得到的知识图谱与图谱基线进行比对,两者存在差异的地方则是当其构建得到的知识图谱中可能表示网络存在安全威胁的知识,因此进行相应的风险标识,从而能够基于网络不存在安全威胁时的数据特点实现对网络当前是否存在安全威胁进行有效检测。
在一种具体实现方式中,将多个知识图谱拟合得到一个时间周期的图谱基线,可以包括:
对需要实现拟合的多个知识图谱进行时间叠加去重处理;
对进行时间叠加去重处理后的多个知识图谱进行分析,得到该多个知识图谱之间的差异,指示外界处理得到的差异,得到一个时间周期的图谱基线。
其中,在获取到需要实现拟合的多个知识图谱后,可以将这多个知识图谱中时间相同且知识相同的部分进行去重处理,也即将时间相同且知识相同的部分仅保留一份即可;并且对于这多个知识图谱中不同的部分,可以输出信息提示外界分析师对这些不同的部分进行处理,由外界分析师将其处理后保留一份,从而将差异处理得到的部分与去重处理得到的部分共同组成一份属于一个时间周期的图谱基线,由此实现多个知识图谱至一个知识图谱的有效拟合,能够使得拟合所得图谱基线能够有效体现网络在不存在安全威胁时的数据特点。
本发明实施例提供的一种网络安全数据关联分析方法,依据预设的业务逻辑从样本中抽取相应的信息为知识,可以包括:
如果样本为日志数据,则对日志数据进行正则匹配和/或分词处理,得到相应的结构化数据为知识;
如果样本为流量数据,则对流量数据进行正则匹配和/或字段提取,得到相应的结构化数据为知识。
本申请实施例采集网络安全相关数据可以包含于日志数据及流量数据中,流量数据与数据流量的含义相同。在从样本中抽取知识时,如果样本为日志数据,则可以对日志数据进行分词处理得到相应的结构化数据作为知识,且在对日志数据进行分词处理前还可以对日志进行正则匹配;如果样本为流量数据,则可以对流量数据进行字段提取得到相应的结构化数据作为知识,且在对流量数据进行字段提取前还可以对流量数据进行正则匹配。可见,本申请通过上述步骤对样本进行标准化处理,最终实现知识的有效提取。
本发明实施例提供的一种网络安全数据关联分析方法,利用知识构建知识图谱之前,还可以包括:
将知识进行去重处理,并将知识中含义相同的不同名称均替换为表示相应含义的统一名称。
本申请实施例在从网络安全相关数据中提取到知识后,可以对这些知识进行对齐处理,进而在对齐处理之后再利用这些知识构建得到相应的知识图谱;具体来说,由于知识可能会存在数据冲突,因此本申请可以采用布隆过滤器删除全部知识中重复的数据,从而仅保留这些重复的数据中的一份;对于不同知识中对内容的不同定义,本申请可以将其统一重置为统一的公知的名称,比如insert操作,有些日志数据中名称为插入,有些则为增加,本申请中将其统一为增加,又比如某个名称,在有些日志数据中定义为a,有些则为a*,本申请中将其统一为a。通过上述方式实现对知识的对齐处理,能够便于后期利用知识实现相应知识图谱的构建。
本发明实施例提供的一种网络安全数据关联分析方法,利用知识构建知识图谱,可以包括:
确定与当前场景对应的本体模型为当前模型,并将知识导入至当前模型,得到相应的知识图谱。
本申请实施例中针对不同的场景可以定义不同的本体模型,而定义本体模型即定义业务逻辑,如某场景下需要分析谁什么时间在哪里做了什么,则可以定义相应的本体模型为谁什么时间在哪里做了什么,又如某场景下仅需要分析谁做了什么,则可以定义相应的本体模型为谁做了什么。由此,在需要利用知识构建知识图谱时,则可以确定当前场景,进而获取与当前场景相对应的本体模型,将知识导入至该本体模型中,得到对应的知识图谱。其中,本体模型中的实体包括但不限于sip、dip、资产里的某个系统,用户可以根据需求查看相应实体的知识图谱,且本体模型的定义及知识图谱的构建均可以通过protégé完成。可见,本申请能够针对不同场景实现相应知识图谱的生成,使得生成的知识图谱能够满足不同场景下的需求,进一步保证了网络安全分析的有效性。
本发明实施例提供的一种网络安全数据关联分析方法,为相应的知识标识风险,可以包括:
将需要标识风险的知识设置为指定的显示颜色。
需要说明的是,为了使得外界分析师等人员能够直观的获知表示网络存在安全危险的知识,可以将这些知识以预先指定的颜色进行显示,当然根据实际需要进行的其他设置也均在本发明的保护范围之内。
在一种具体应用场景中,本发明实施例提供的一种网络安全数据关联分析方法可以包括:
1、采集样本:
1.1资产日志:配置日志源信息,包括但不限于ip、资产类型、资产日志位置;
1.2数据流量:镜像获取资产流量,所配置的信息包括但不限于ip、端口。
2、知识抽取:知识内容包括但不限于实体、属性、关系,具体可以包括:
2.1知识抽取是依据业务逻辑进行,如谁什么时间在哪里做了什么。抽取的知识包括但不限于sip、开始时间、结束时间、操作时间、操作内容、数据返回、dip、谁指向sip、时间指向时间范畴(开始时间、结束时间)/操作时间、在哪里指向dip、做了什么指向操作内容和数据返回;
2.2对样本中步骤2.1定义的内容进行标准化处理:
2.2a对日志数据进行正则匹配/分词处理得到结构化数据;
2.2b对流量数据进行正则匹配/字段提取得到结构化数据。
3、知识对齐:对步骤2抽取的知识进一步处理,包括但不限于去重数据及数据对齐:
3.1去重处理:由于流量数据及日志数据可能会出现数据冲突,因此可以采用布隆过滤器删除其中重复的数据;
3.2数据对齐:对于不同资产中对内容的不同定义,可以将其统一重置为公知的名称。
4、构建图谱:
4.1设计本体模型:根据步骤2抽取的知识,定义本体模型即谁什么时间在哪里做了什么;
4.2构建知识图谱:将步骤3后得到的知识导入本体模型中,得到知识图谱;其中,本体模型中的实体包括但不限于sip、dip、资产里的某个系统,用户可以根据需求查看相应实体的知识图谱,本体模型设计、知识图谱构建可以通过protégé完成。
5、知识推理:根据实体的知识图谱进行知识推理,包括但不限于以下操作:
5.1基于规则推理:规则来源于安全知识经验库,安全知识经验库包括但不限于安全威胁情报库、资产弱点库;
5.1a特征提取:从规则中提取特征,每个规则都具备其独有的特征,包括但不限于字段值、攻击手段、攻击结果;基于的逻辑为做什么即攻击手段、产生了什么结果即操作行为结果,这包含了一组事实;攻击手段匹配规则条件,攻击结果匹配规则结果,规则手段及规则结果为知识库中的规则对,可能一对多,可能多对多,也可能多对一;
5.1b深度探测:将实体的知识图谱进行深度搜索,探测图谱中是否触碰到规则特征,如是则标识风险;
基本步骤5.1a的结果,对知识图谱进行纵横向规则探测,探测图谱中触碰到规则条件或结果的行为,并对这些行为进行标识。
5.2基于一致性推理:
5.2a绘制图谱:切割为n份(以时间t为单位)样本,生成相应的n份知识图谱;其中,每份样本对应一个时间周期;
5.2b拟合图谱:对步骤5.2a生成的若干份知识图谱进行时间叠加去重,并对差异点进行人工分析,最后拟合为一份图谱基线;
5.2c关联分析:采集到第n 1个时间周期的样本,绘制相应知识图谱后,与图谱基线进行比对,对存在的差异点进行风险标识。
本申请基于安全威胁情报数据、脆弱性数据、资产信息数据、网络安全数据等构建网络安全知识图谱,进行融合关联分析,及时发现网络环境内资产脆弱性,结合情报信息等对网络安全事件进行关联分析,深度挖掘资产弱点并预警。
本发明实施例还提供了一种网络安全数据关联分析装置,如图3所示,可以包括:
图谱构建模块11,用于:采集能够表示网络当前安全情况的数据为样本,依据预设的业务逻辑从样本中抽取相应的信息为知识,并利用知识构建知识图谱;
特征提取模块12,用于:从预设的每个规则中分别提取特征,得到相应的规则特征;其中,规则为表示网络存在安全威胁的数据;
关联分析模块13,用于:对知识图谱进行深度搜索,如果搜索到知识图谱中存在与任意规则特征相匹配的知识,则为与任意规则特征相匹配的知识标识风险。
本发明实施例提供的一种网络安全数据关联分析装置,还可以包括:
拟合模块,用于:利用知识构建知识图谱之前,如果当前时刻之前已经构建得到多个连续的时间周期的知识图谱,则将该多个知识图谱拟合得到一个时间周期的图谱基线;
比对模块,用于:利用知识构建知识图谱之后,将当前构建得到的知识图谱与图谱基线进行比对,如果比对到当前构建得到的知识图谱存在与图谱基线之间不同的知识,则为与图谱基线之间不同的知识标识风险。
本发明实施例提供的一种网络安全数据关联分析装置,图谱构建模块可以包括:
抽取单元,用于:如果样本为日志数据,则对日志数据进行正则匹配和/或分词处理,得到相应的结构化数据为知识;如果样本为流量数据,则对流量数据进行正则匹配和/或字段提取,得到相应的结构化数据为知识。
本发明实施例提供的一种网络安全数据关联分析装置,还可以包括:
处理模块,用于:利用知识构建知识图谱之前,将知识进行去重处理,并将知识中含义相同的不同名称均替换为表示相应含义的统一名称。
本发明实施例提供的一种网络安全数据关联分析装置,图谱构建模块可以包括:
构建单元,用于:确定与当前场景对应的本体模型为当前模型,并将知识导入至当前模型,得到相应的知识图谱。
本发明实施例提供的一种网络安全数据关联分析装置,拟合模块可包括:
拟合单元,用于:对需要实现拟合的多个知识图谱进行时间叠加去重处理;对进行时间叠加去重处理后的多个知识图谱进行分析,得到该多个知识图谱之间的差异,指示外界处理得到的差异,得到一个时间周期的图谱基线。
本发明实施例提供的一种网络安全数据关联分析装置,关联分析模块及比对模块均可以包括:
标识单元,用于:将需要标识风险的知识设置为指定的显示颜色。
本发明实施例还提供了一种网络安全数据关联分析设备,可以包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上任一项网络安全数据关联分析方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上任一项网络安全数据关联分析方法的步骤。
需要说明的是,本发明实施例提供的一种网络安全数据关联分析装置、设备及存储介质中相关部分的说明请参见本发明实施例提供的一种网络安全数据关联分析方法中对应部分的详细说明,在此不再赘述。另外本发明实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
1.一种网络安全数据关联分析方法,其特征在于,包括:
采集能够表示网络当前安全情况的数据为样本,依据预设的业务逻辑从所述样本中抽取相应的信息为知识,并利用所述知识构建知识图谱;
从预设的每个规则中分别提取特征,得到相应的规则特征;其中,所述规则为表示所述网络存在安全威胁的数据;
对所述知识图谱进行深度搜索,如果搜索到所述知识图谱中存在与任意规则特征相匹配的知识,则为与任意规则特征相匹配的知识标识风险。
2.根据权利要求1所述的方法,其特征在于,利用所述知识构建知识图谱之前,还包括:
如果当前时刻之前已经构建得到多个连续的时间周期的知识图谱,则将该多个知识图谱拟合得到一个时间周期的图谱基线;
对应的,利用所述知识构建知识图谱之后,还包括:
将当前构建得到的知识图谱与所述图谱基线进行比对,如果比对到当前构建得到的知识图谱存在与所述图谱基线之间不同的知识,则为与所述图谱基线之间不同的知识标识风险。
3.根据权利要求2所述的方法,其特征在于,依据预设的业务逻辑从所述样本中抽取相应的信息为知识,包括:
如果所述样本为日志数据,则对所述日志数据进行正则匹配和/或分词处理,得到相应的结构化数据为知识;
如果所述样本为流量数据,则对所述流量数据进行正则匹配和/或字段提取,得到相应的结构化数据为知识。
4.根据权利要求3所述的方法,其特征在于,利用所述知识构建知识图谱之前,还包括:
将所述知识进行去重处理,并将所述知识中含义相同的不同名称均替换为表示相应含义的统一名称。
5.根据权利要求4所述的方法,其特征在于,利用所述知识构建知识图谱,包括:
确定与当前场景对应的本体模型为当前模型,并将所述知识导入至当前模型,得到相应的知识图谱。
6.根据权利要求5所述的方法,其特征在于,将多个知识图谱拟合得到一个时间周期的图谱基线,包括:
对需要实现拟合的多个知识图谱进行时间叠加去重处理;
对进行时间叠加去重处理后的多个知识图谱进行分析,得到该多个知识图谱之间的差异,指示外界处理得到的差异,得到一个时间周期的图谱基线。
7.根据权利要求6所述的方法,其特征在于,为相应的知识标识风险,包括:
将需要标识风险的知识设置为指定的显示颜色。
8.一种网络安全数据关联分析装置,其特征在于,包括:
图谱构建模块,用于:采集能够表示网络当前安全情况的数据为样本,依据预设的业务逻辑从所述样本中抽取相应的信息为知识,并利用所述知识构建知识图谱;
特征提取模块,用于:从预设的每个规则中分别提取特征,得到相应的规则特征;其中,所述规则为表示所述网络存在安全威胁的数据;
关联分析模块,用于:对所述知识图谱进行深度搜索,如果搜索到所述知识图谱中存在与任意规则特征相匹配的知识,则为与任意规则特征相匹配的知识标识风险。
9.一种网络安全数据关联分析设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述网络安全数据关联分析方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述网络安全数据关联分析方法的步骤。
技术总结