CN112632564A

CN112632564A - 一种威胁评估方法及装置

Info

Publication number: CN112632564A
Application number: CN202011614530.7A
Authority: CN
Inventors: 叶晓虎; 刘文懋; 王星凯; 薛见新; 吴子建
Original assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Current assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Priority date: 2020-12-30
Filing date: 2020-12-30
Publication date: 2021-04-09
Anticipated expiration: 2040-12-30
Also published as: CN112632564B

Abstract

一种威胁评估方法及装置，用于对威胁评估的结果提供可解释性。方法包括：确定所述N个节点中的高危节点；获取M个关联图，所述关联图用于描述节点以及不同节点之间的关联关系；其中，所述M个关联图中每个关联图缺少M个节点中的一个节点；所述M个节点为所述N个节点中除去所述高危节点之外的剩余节点；将所述M个关联图输入到神经网络，得到M个评估结果；确定M个评估结果中满足条件的K个评估结果；确定所述K个评估结果对应的K个关联图中每个关联图所缺少的节点；根据所述缺少的节点，得到第一相关子图；所述第一相关子图可用于解释所述高危节点处于高危状态的原因。

Description

一种威胁评估方法及装置

技术领域

本发明涉及安全威胁评估领域，尤其涉及一种威胁评估方法及装置。

背景技术

现有技术中，网络安全面临的威胁越来越多，安全运维人员面对海量的网络告警数据经常无从下手，由此也产生了许多的威胁评估方法以及威胁评估模型。随着各种图神经网络技术的发展，图神经网络也开始逐渐被应用到安全威胁评估领域。由于图神经网络包含十分丰富的关系型信息，可以很好地表示安全威胁评估中复杂的场景以及安全事件的上下文信息。但是图神经网络自身的可解释性较差会限制其在安全威胁评估领域的进一步发展，因此，如何更好地对威胁评估结果提供可解释性是需要解决的问题。

发明内容

本发明实施例提供了一种威胁评估方法及装置，用于对威胁评估的结果提供可解释性。

第一方面，本发明实施例提供一种威胁评估方法，应用于告警系统，所述告警系统与N个节点连接，包括：

确定所述N个节点中的高危节点；

获取M个关联图，所述关联图用于描述节点以及不同节点之间的关联关系；其中，所述M个关联图中每个关联图缺少M个节点中的一个节点；所述M个节点为所述N个节点中除去所述高危节点之外的剩余节点；

将所述M个关联图输入到神经网络，得到M个评估结果；

确定M个评估结果中满足条件的K个评估结果；

确定所述K个评估结果对应的K个关联图中每个关联图所缺少的节点；

根据所述缺少的节点，得到第一相关子图；所述第一相关子图可用于解释所述高危节点处于高危状态的原因。

可选的，所述确定所述N个节点中的高危节点，包括：

获取初始关联图，所述初始关联图中包含有N个节点、所述N个节点中每个节点对应的多个节点特征，所述N个节点之间的关系路径、以及所述关系路径对应的多个关系路径特征，所述关系路径并用于表征所述N个节点中任意两个节点之间所产生的告警信息；

将所述初始关联图输入到所述神经网络，得到第一关联图；所述第一关联图与所述初始关联图之间节点数量不变；

计算所述第一关联图中第一节点与所述初始关联图中的第二节点之间的重构误差，所述重构误差用于表征所述第一节点对应的多个节点特征与所述第二节点对应的多个节点特征之间的差异大小，和/或，第一节点对应的关系路径与所述第二节点对应的关系路径之间的差异大小，和/或，第一节点对应的多个关系路径特征与所述第二节点对应的多个关系路径特征之间的差异大小；

其中，所述第二节点为所述初始关联图中与所述第一节点对应的节点，所述第一节点为所述第一关联图中的任一节点；

若所述重构误差大于阈值，则确定所述第一节点为高危节点。

可选的，所述M个关联图中每个关联图缺少与所述一个节点对应的关系路径。

可选的，所述第一相关子图中包含有：多个节点、每个节点相对应的X个节点特征，以及，每个节点对应的多个关系路径和每个关系路径对应的Y个关系路径特征；所述多个节点中包括所述高危节点；

其中，所述节点特征用于表征节点的多个属性，所述关系路径特征用于表征关系路径的属性。

可选的，所述方法还包括：

每次去除所述第一相关子图中所述高危节点的X个节点特征中的一个节点特征，重复X次，得到X个第二相关子图；

将所述X个第二相关子图输入到神经网络中，得到X个评估结果；

确定X个评估结果中满足条件的Z个评估结果；

确定与所述Z个评估结果对应的Z个第二相关子图中被去除的节点特征；所述被去除的节点特征可用于解释所述高危节点处于高危状态的原因。

可选的，所述方法还包括：

每次去除所述第一相关子图中与所述高危节点对应的Y个关系路径特征中的一个特征，重复Y次，得到Y个第三相关子图；

将所述Y个第三相关子图输入到神经网络中，得到Y个评估结果；

确定Y个评估结果中满足条件的Q个评估结果；

确定与所述Q个评估结果对应的Q个第三相关子图中被去除的关系路径特征；所述被去除的关系路径特征可用于解释所述高危节点处于高危状态的原因。

可选的，所述确定M个评估结果中满足条件的K个评估结果，包括：

确定所述M个评估结果中评估结果与预设值之间的差值大于第一阈值的K个评估结果，预设值是将所述初始关联图输入到所述神经网络之后得到的初始评估值。

第二方面，本发明实施例提供一种威胁评估装置，包括：

处理单元，用于确定所述N个节点中的高危节点；

获取单元，用于获取M个关联图，所述M个关联图中每个关联图缺少M个节点中的一个节点；所述M个节点为所述N个节点中除去所述高危节点之外的剩余节点；

处理单元，将所述M个关联图输入到神经网络，得到M个评估结果；

所述处理单元还用于，确定M个评估结果中满足条件的K个评估结果；

所述处理单元还用于，确定所述K个评估结果对应的K个关联图中每个关联图所缺少的节点；

所述处理单元还用于，根据所述缺少的节点，得到第一相关子图；所述第一相关子图可用于解释所述高危节点处于高危状态的原因。

可选的，所述获取单元还用于获取初始关联图，所述初始关联图中包含有N个节点、所述N个节点中每个节点对应的多个节点特征、所述N个节点之间的关系路径、以及所述关系路径对应的多个关系路径特征，所述关系路径并用于表征所述N个节点中任意两个节点之间所产生的告警信息；

所述处理单元还用于将所述初始关联图输入到所述神经网络，得到第一关联图；所述第一关联图与所述初始关联图之间节点数量不变；

所述处理单元还用于，计算所述第一关联图中第一节点与所述初始关联图中的第二节点之间的重构误差，所述重构误差用于表征所述第一节点对应的多个节点特征与所述第二节点对应的多个节点特征之间的差异大小，和/或，第一节点对应的关系路径与所述第二节点对应的关系路径之间的差异大小，和/或，第一节点对应的多个关系路径特征与所述第二节点对应的多个关系路径特征之间的差异大小；

其中所述第二节点为所述初始关联图中与所述第一节点对应的节点，所述第一节点为所述第一关联图中的任一节点；若所述重构误差大于阈值，所述第一关联图中的节点为高危节点。

第三方面，本发明实施例提供一种威胁评估装置，包括：

存储器，用于存储计算机指令；

处理器，与所述存储器连接，用于执行所述存储器中的计算机指令，以在执行所述计算机指令时执行如上述第一方面提供的方法。

第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，当所述计算机指令在计算机上运行时，使得计算机执行如上述第一方面提供的方法。

第五方面，本发明实施例提供一种计算机程序产品，当所述计算机程序产品在计算机上运行时，使得计算机执行如上述第一方面提供的方法。

通过本发明实施例所提供的方案，首先确定N个节点中的对网络安全的威胁值较高的高危节点，然后将去掉除高危节点之外的其他任意一个节点的M个关联图输入到神经网络，得到M个威胁评估结果，确定M个评估结果中满足条件的K个评估结果，然后确定K个评估结果对应的K个关联图中每个关联图所缺少的节点，最后由这K个关联图中缺少的节点与高危节点一同组成第一相关子图，则该第一相关子图能够为上述威胁值较高的高危节点提供可解释性。本发明实施例中提供的方法能够为威胁评估结果提供可解释性，也能够在很大程度上解决利用图神经网络进行威胁评估时评估结果可解释性差的问题，进而促进图神经网络在安全威胁评估领域的进一步发展。

附图说明

图1为本发明实施例提供的一种威胁评估方法的场景示意图；

图2为本发明实施例提供的一种威胁评估方法的流程示意图；

图3为本发明实施例提供的一种威胁评估方法的关系路径特征生成图；

图4为本发明实施例提供的一种威胁评估方法的初始关联图；

图5为本发明实施例提供的一种威胁评估方法的威胁评估模型图；

图6为本发明实施例提供的一种威胁评估方法的调整后的关联图的网络结构；

图7为本发明实施例提供的一种威胁评估方法的调整后的关联图的特征表示；

图8为本发明实施例提供的一种威胁评估装置的结构示意图；

图9为本发明实施例提供的另一种威胁评估装置的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明技术方案的一部分实施例，而不是全部的实施例。基于本发明文件中记载的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明技术方案保护的范围。

现有技术中，对网络威胁进行评估时通常采用数据预处理的方式或者评估模型进行评估，但是上述方法并不适用于一些复杂的威胁评估场景。以对企业侧的数据进行威胁评估为例，通常企业侧的检测设备每日会产生大量的威胁告警，依靠人工识别是不现实的。因此，从海量的告警中找出高危告警对于保护企业网络安全十分有必要。此外，现实中一个攻击行为会触发多条告警，并且由于攻击行为不是孤立的，存在着多种联系，给企业侧的威胁评估带来巨大的挑战。因此，上述评估方法并不能直接应用到企业侧的威胁评估领域。相对于其他方法，由于图神经网络包含十分丰富的关系型信息，可以更好地表示安全威胁评估中复杂的场景以及安全事件的上下文信息。随着各种图神经网络技术的发展，安全威胁评估领域开始采用图神经网络的方法来进行企业侧的威胁评估，它可以提高企业侧威胁评估的性能，作为一种有效方案来辅助保护企业网络安全。但是，现有的基于图神经网络的企业侧威胁评估的方法存在可解释性差的问题，并且没有相应的方法来解决此类问题。

鉴于此，本发明实施例提供了一种威胁评估方法，通过图神经网络寻找关联图对应的相关子图，并利用相关子图对关联图中的威胁评估结果产生可解释性，从而在很大程度上解决利用图神经网络进行威胁评估时评估结果可解释性差的问题，促进图神经网络在安全威胁评估领域的进一步发展。

首先对本发明实施例中提及的术语进行说明：

内部威胁(Insider Threat)是指内部人利用获得的信任做出对授信组织合法利益不得的行为，这些利益包括企业的经济利益、业务运行、对外服务以及授信主体声誉等。

图卷积神经网络(Graph Convolutional Network)通过在图上定义一个卷积运算符来解决这个问题。该模型迭代地聚集了一个节点的邻居的嵌入，并在以前的迭代中使用了获得的嵌入和嵌入的功能来获得新的嵌入。聚集局部邻居的聚合使其具有可伸缩性，并且多次迭代允许学习嵌入一个节点来描述全局邻居。图卷积神经网络，就是借助于图的拉普拉斯(Laplacian)矩阵的特征值和特征向量来研究图的性质。

可解释的机器学习(Interpretable Machine Learning)指的是在机器学习的场景中，模型能够使用人类可认知的说法对数据进行解释和呈现。

源IP(Internet Protocol，互联网协议)指的是发起数据的一方的IP地址。

目的IP指的是接收数据的一方的IP地址。

下面结合说明书附图介绍本发明实施例提供的技术方案。

参考图1，为本发明实施例提供的一种威胁评估方法的场景示意图。

图1所示的场景为对企业侧的告警数据进行威胁评估以及对评估结果提供可解释性。图中包括企业侧数据100、初始特征表示101、初始关联图102、图神经网络模型103、第一威胁评估结果104、第一关联图105、第一特征表示106、第二关联图107、第二威胁评估结果108、第三威胁评估结果109、第四威胁评估结果110以及最相关的子图结构111和最相关的属性信息112。其中，企业侧数据100包括但不限于告警数据，本发明实施例以企业侧告警数据为例进行说明。

首先，告警平台通过对企业侧数据100进行关系挖掘，构建企业侧数据100的初始特征表示101以及带有节点以及关系路径的初始关联图102，由此可以将企业侧告警数据以初始关联图102以及初始特征表示101的形式输入到图神经网络103中进行威胁评估，得到第一威胁评估结果104；告警平台根据第一威胁评估结果104调整初始关联图102的网络结构，生成第一关联图105至第N关联图107等新的关联图，同时，告警平台对初始特征表示101进行调整生成第一特征表示106。告警平台将所示的第一关联图105、第一特征表示106以及第N关联图输入到图神经网络模型103中进行威胁评估，分别得到第二威胁评估结果108、第三威胁评估结果109至第N威胁评估结果110。最后告警平台根据得到的N个威胁评估结果，筛选获得影响威胁评估结果的最相关子图111和最相关的属性信息112(最相关的节点特征以及关系路径特征)，以此对威胁评估结果提供可解释性，其中，最相关的子图结构由节点(包括源IP与目标IP)以及与节点相连接的关系路径组成，最相关的属性信息由节点和节点特征以及关系路径和关系路径特征组成。

结合图2详细介绍本发明实施例中提供的一种威胁评估方法，该方法可以适用于告警平台。如图2所示，该方法包括以下步骤：

步骤201：确定N个节点中的高危节点。

在此之前，可以先获取初始关联图，该初始关联图中包含有N个节点和每个节点对应的多个节点特征，以及与N个节点之间的关系路径和每个关系路径对应的多个关系路径特征，关系路径用于表征N个节点中任意两个节点之间所产生的告警信息。将初始关联图输入到神经网络，得到第一关联图，第一关联图与初始关联图之间节点数量不变；计算第一关联图中第一节点与所述初始关联图中的第二节点之间的重构误差，所述重构误差用于表征第一节点对应的关系路径与第二节点对应的关系路径之间的差异大小，和/或，第一节点对应的多个节点特征与第二节点对应的多个节点特征之间的差异大小，和/或，第一节点对应的多个关系路径特征与所述第二节点对应的多个关系路径特征之间的差异大小。其中，所述第二节点为所述初始关联图中与所述第一节点对应的节点，第一节点为第一关联图中的任一节点。若所述重构误差大于阈值，则确定第一节点为高危节点。

以图1所示的场景为例，在企业侧告警场景中，两个主要的实体是IP与告警。其中，源IP为攻击者，目标IP为被攻击者，当源IP攻击目标IP之后，会引发许多告警，这些告警序列可以被处理成向量表示。可以将源IP与目标IP作为初始关联图中的节点，将IP对之间的告警信息的向量表示作为初始关联图中两个节点之间的关系路径。对企业侧告警数据进行关系挖掘构建出包括N个IP以及N个IP之间的告警的向量表示，形成具有N个节点以及N个节点之间的关系路径的初始关联图。

可选的，除N个节点以及N个节点之间的关系路径之外，初始关联图中还可以包含有：每个节点相对应的X个节点特征，以及，每个节点对应的多个关系路径中每个关系路径的Y个关系路径特征。其中，节点特征用于表征节点的多个属性，关系路径特征用于表征关系路径的属性。

通过对与节点相关联的告警数据进行分析可以得到节点的特征表示X_nc，即节点特征。一个节点可关联的告警数量可能较大，因此需要对其进行适当的选取，才能更好地反应节点的情况。本发明实施例首先设计规则选出节点属性，譬如，采用统计的方式统计节点所关联的告警总数、命令注入告警数或者PHP代码执行漏洞告警数等。假设人工选取了二十个节点属性，包括：告警的数量(alert_num)、告警序列长度(alert_seq_len)或者告警类型数(alert_type_num)等，利用威胁评估方法，来获得不同节点属性的权值，根据权值来选出合适的节点属性构成节点特征。

此外，在告警场景中，单独的告警很难看出其意义，例如告警类型为PHP代码执行漏洞，可能只是一个常规漏洞扫描中的试探性行为，无法构成损害，也可能是攻击者尝试利用已上传的WebShell列出特定目录内容，这是非常关键的告警。不同危害的告警其后续操作行为是不同的，所以需要从告警的序列中来发现其存在着因果关系。如图3所示，告警平台获取到告警信息300，该告警信息中包括有a₀、a₁、a₂、a₃等多个节点产生的报警信息，基于告警信息300构建告警因果关联图301，图中包括a₀、a₁、a₂、a₃等多个节点以及多个节点之间的关系路径W1、W2、…、W8等。利用图嵌入302对告警因果关联图301进行处理，可以得到告警的特征表示303。然后，对告警的特征表示303进行处理即可得到关系路径特征，譬如，通过拼接的方式获得初始关联图的关系路径特征X_ec。

如图4所示，构建出的包含节点和节点之间关系路径的初始关联图中还可以包含节点特征和关系路径特征，从而可以更好地表示企业侧数据之间复杂的场景以及安全事件的上下文信息。

告警平台将图4中的初始关联图输入到图神经网络中进行威胁评估，具体过程可以如图5所示。在告警评估的场景下，真正有危害需要关注的告警是没有标签的，可以利用基于图神经网络的自动编码器框架来实现对初始关联图的威胁评估，自动编码器可以重构初始关联图。其中，基于图神经网络的自动编码器框架主要包括图神经网络的编码器和图神经网络的解码器。编码器的输入为初始关联图的拓扑结构，节点特征以及关系路径特征，通过对初始关联图的拓扑结构以及节点特征和关系路径特征进行建模，输出关联图的特征表示Z，然后，图神经网络的解码器根据关联图的特征表示Z重构初始关联图的网络拓扑结构和节点特征以及关系路径特征。例如，当输入的数据集为X时，通过编码器Enc()把数据映射到低维空间，再利用解码器Dec()根据低维空间的表示重构原始数据，相应的公式表示如下：

这个过程是通过编码解码的过程来捕捉高维输入数据的非线性信息，以此采用重构误差作为评估结果来评估初始关联图中节点的异常，例如，如果节点自身的网络结构信息和特征信息可以通过解码器近似得到，该节点属于异常节点的概率就低。因此，将Z输入解码器后可以得到

即为第一关联图，公式可以表示如下：

判断节点是否异常的评估结果，也就是上文所述的重构误差则可以表示为

根据评估结果，可以确定第一关联图中的一个或多个高危评估节点。但是运维人员需要知道为什么该节点被评估为高危节点，而单独提供一个IP并不能够很好的满足需求，所以针对高危节点v_i，需要找到一个第一相关子图G_S(v_i)来对评估结果进行解释，具体过程如下：

步骤202：获取M个关联图。其中，M个关联图中每个关联图缺少M个节点中的一个节点，M个节点为N个节点中除去高危节点之外的剩余节点。

以图6为例，已知第一关联图G_c中存在6个节点，现以高危节点v_i为例进行说明，当v_j∈G_c,v_j≠v_i时，把节点v_j从第一关联图G_c中移除，得到一个关联图G_c1。基于相同的操作，可以将节点v_h从第一关联图G_c中移除，其中v_h∈G_c,v_h≠v_i,j,得到另一个关联图G_c2。基于相同的操作，可以得到5个关联图G_ci,i∈[1:5]。可选的，把节点v_j从第一关联图G_c中移除后，还可以将与节点v_j相连的关系路径同时从第一关联图G_c中移除。

步骤203：将M个关联图输入到神经网络，得到M个评估结果。

继续以图6为例，将步骤202中得到的5个关联图G_ci,i∈[1:5]输入到基于图神经网络的自动编码器框架中进行评估后，能够对应得到5个不同的评估结果R_i,i∈[1:5]。

步骤204：确定M个评估结果中满足条件的K个评估结果。

可选的，确定所述M个评估结果中评估结果与预设值之间的差值大于第一阈值的K个评估结果，预设值是将所述初始关联图输入到所述神经网络之后得到的初始评估值。

以图6为例，将上述步骤203中得到的5个评估结果R_i,i＝[1:5]与初始评估结果R进行比对，确定R与R_i之间的差值是否大于第一阈值。可以确定出上述5个不同的评估结果R_i中与R的差值大于第一阈值的有R₁、R₂。

步骤205：确定K个评估结果对应的K个关联图中每个关联图所缺少的节点。

以图6为例，已经得出评估结果与预设值之间的差值大于第一阈值的评估结果有R₁、R₂，然后可以确认出与R₁、R₂对应的关联图G_c1以及关联图G_c2，并由此可以确定两个关联图中所缺少的节点分别为节点v_j以及节点v_h。

步骤206：根据缺少的节点，得到第一相关子图，所述第一相关子图可用于解释所述高危节点处于高危状态的原因。

继续以图6为例，根据评估结果能够确定满足条件的两个关联图所对应的节点分别为节点v_j以及节点v_h，则包括高危节点v_i以及节点v_j和节点v_h在内的第一相关子图G_S(v_i)可对高危节点v_i的威胁评估结果提供可解释性，也就是，可以解释所述高危节点处于高危状态的原因。

可选的，对第一关联图G_c中的关系路径也可以采取类似的方式进行筛选，例如，当关系路径e_jk∈G_c,v_j,v_k≠v_i时，把边e_jk从G_c中移除后，评估结果R_i与R的差值大于第一阈值，则关系路径e_jk是第一相关子图G_S(v_i)的构成部分，即e_jk∈G_S(v_i)。

可选的，步骤206中得到的第一相关子图中包含有：多个节点、每个节点相对应的X个节点特征，以及，每个节点对应的多个关系路径中每个关系路径的Y个关系路径特征；所述多个节点中包括所述高危节点；

例如，上述的第一相关子图G_S(v_i)中不仅包含高危节点v_i以及节点v_j和节点v_h，还包含与每个节点相对应的节点特征，以及，第一相关子图G_S(v_i)中筛选出的关系路径所对应的关系路径特征。

可选的，针对高危节点v_i，还可以找到重要的特征表示X_S来对评估结果进行解释，其中，重要的特征表示包括节点特征X_ns和关系路径特征X_es。

其中，筛选出重要的节点特征X_ns的方式具体可以包括：每次去除第一相关子图中高危节点的X个节点特征中的一个节点特征，重复X次，得到X个第二相关子图；

将X个第二相关子图输入到神经网络中，得到X个评估结果；

确定X个评估结果中满足条件的Z个评估结果；

筛选出重要的关系路径特征X_es的方式具体可以包括：每次去除第一相关子图中与高危节点对应的Y个关系路径特征中的一个关系路径特征，重复Y次，得到Y个第三相关子图；

将Y个第三相关子图输入到神经网络中，得到Y个评估结果；

确定Y个评估结果中满足条件的Q个评估结果；

确定与Q个评估结果对应的Q个第三相关子图中被去除的关系路径特征；所述被去除的关系路径特征可用于解释所述高危节点处于高危状态的原因。

上述对节点特征X_nc和关系路径特征X_ec进行筛选的方法与对节点进行筛选的方法相似，现以图7为例进行简要说明，把节点特征x_jn∈X_nc从节点特征X_nc中移除后，得到的评估结果与R的差值大于第一阈值，则节点特征x_jn是第二相关子图中节点特征的重要组成部分，即x_jn∈X_ns；同理，把关系路径特征x_je∈X_ec从边的特征表示X_ec移除后，得到的评估结果与R的差值大于第一阈值，则关系路径特征x_je是第三相关子图中关系路径特征的重要组成部分，即x_je∈X_es。

可选的，可以选择只筛选出节点特征X_ns对评估结果进行解释；也可以只筛选出关系路径特征X_es对评估结果进行解释；还可以同时筛选出节点特征X_ns和关系路径特征X_es对对评估结果进行解释，其中X_es,X_ns∈X_S。

基于同一发明构思，本发明实施例提供了一种威胁评估装置，该威胁评估装置能够实现前述的威胁评估方法对应的功能。该威胁评估装置可以是硬件结构、软件模块、或硬件结构加软件模块。该威胁评估装置可以由芯片系统实现，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。请参见图8，该装置包括处理单元801和获取单元802，其中：

处理单元801，用于确定所述N个节点中的高危节点；

获取单元802，用于获取M个关联图，所述M个关联图中每个关联图缺少M个节点中的一个节点；所述M个节点为所述N个节点中除去所述高危节点之外的剩余节点；

处理单元801，将所述M个关联图输入到神经网络，得到M个评估结果；

所述处理单元801还用于，确定M个评估结果中满足条件的K个评估结果；

所述处理单元801还用于，确定所述K个评估结果对应的K个关联图中每个关联图所缺少的节点；

所述处理单元801还用于，根据所述缺少的节点，得到第一相关子图；所述第一相关子图可用于解释所述高危节点处于高危状态的原因。

可选的，所述获取单元801还用于获取初始关联图，所述初始关联图中包含有N个节点、所述N个节点中每个节点对应的多个节点特征，所述N个节点之间的关系路径、以及所述关系路径对应的多个关系路径特征，所述关系路径并用于表征所述N个节点中任意两个节点之间所产生的告警信息；

所述处理单元801还用于将所述初始关联图输入到所述神经网络，得到第一关联图；所述第一关联图与所述初始关联图之间节点数量不变；

所述处理单元801还用于，计算所述第一关联图中第一节点与所述初始关联图中的第二节点之间的重构误差，所述重构误差用于表征所述第一节点对应的多个节点特征与所述第二节点对应的多个节点特征之间的差异大小，和/或，第一节点对应的关系路径与所述第二节点对应的关系路径之间的差异大小，和/或，第一节点对应的多个关系路径特征与所述第二节点对应的多个关系路径特征之间的差异大小；其中，所述第二节点为所述初始关联图中与所述第一节点对应的节点，所述第一节点为所述第一关联图中的任一节点；若所述重构误差大于阈值，则确定所述第一节点为高危节点。

前述的威胁评估方法的实施例涉及的各步骤的所有相关内容均可援引到本发明实施例中的威胁评估装置所对应的功能模块的功能描述，在此不再赘述。

本发明实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本发明各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

请参见图9，基于同一发明构思，本发明实施例提供一种威胁评估装置，该装置包括至少一个处理器901，处理器901用于执行存储器中存储的计算机程序，实现本发明实施例提供的如图2所示的威胁评估方法的步骤。

可选的，处理器901可以是通用处理器，例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的威胁评估方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

可选的，该威胁评估装置还可以包括与至少一个处理器901连接的存储器902，存储器902存储有可被至少一个处理器901执行的指令，至少一个处理器901通过执行存储器902存储的指令，可以执行前述的威胁评估方法中所包括的步骤。

本发明实施例中不限定处理器901与存储器902之间的具体连接介质，存储器902可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random Access Memory，RAM)、静态随机访问存储器(Static Random AccessMemory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically ErasableProgrammable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等等。存储器902是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本发明实施例中的存储器902还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

通过对处理器901进行设计编程，可以将前述实施例中介绍的威胁评估方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行前述的威胁评估方法的步骤，如何对处理器901进行设计编程为本领域技术人员所公知的技术，这里不再赘述。其中，处理单元801和获取单元802所对应的实体设备均可以是前述的处理器901。该威胁评估装置可以用于执行图2所示的实施例所提供的方法。因此关于该设备中各功能模块所能够实现的功能，可参考图2所示的实施例中的相应描述，不多赘述。

基于同一发明构思，本发明实施例还提供一种计算可读存储介质，该计算可读存储介质存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行如前述的威胁评估方法的步骤。

在一些可能的实施方式中，本发明提供的威胁评估方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在电子设备上运行时，程序代码用于使该检测设备执行本说明书上述描述的根据本发明各种示例性实施方式的威胁评估方法中的步骤。本领域内的技术人员应明白，本发明实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种威胁评估方法，其特征在于，适用于告警系统，所述告警系统与N个节点连接，包括：

确定所述N个节点中的高危节点；

将所述M个关联图输入到神经网络，得到M个评估结果；

确定M个评估结果中满足条件的K个评估结果；

2.如权利要求1所述的方法，其特征在于，所述确定所述N个节点中的高危节点，包括：

3.如权利要求2所述的方法，其特征在于，所述M个关联图中每个关联图缺少与所述一个节点对应的关系路径。

4.如权利要求2所述的方法，其特征在于，所述第一相关子图中包含有：多个节点、每个节点相对应的X个节点特征，以及，每个节点对应的多个关系路径，以及每个关系路径的Y个关系路径特征；所述多个节点中包括所述高危节点；

5.如权利要求4所述的方法，其特征在于，所述方法还包括：

确定X个评估结果中满足条件的Z个评估结果；

6.如权利要求4所述的方法，其特征在于，所述方法还包括：

确定Y个评估结果中满足条件的Q个评估结果；

7.如权利要求2所述的方法，其特征在于，所述确定M个评估结果中满足条件的K个评估结果，包括：

8.一种威胁评估装置，其特征在于，包括：

处理单元，用于确定所述N个节点中的高危节点；

9.如权利要求8所述的装置，其特征在于，所述获取单元还用于获取初始关联图，所述初始关联图中包含有N个节点、所述N个节点中每个节点对应的多个节点特征，所述N个节点之间的关系路径、以及所述关系路径对应的多个关系路径特征，所述关系路径并用于表征所述N个节点中任意两个节点之间所产生的告警信息；

其中，所述第二节点为所述初始关联图中与所述第一节点对应的节点，所述第一节点为所述第一关联图中的任一节点；若所述重构误差大于阈值，则确定所述节点为高危节点。

10.一种威胁评估装置，其特征在于，包括：

存储器，用于存储计算机指令；

处理器，与所述存储器连接，用于执行所述存储器中的计算机指令，以及在执行所述计算机指令时执行如权利要求1至7中任一项所述的方法。

11.一种计算机可读存储介质，其特征在于，

所述计算机可读存储介质存储有计算机指令，当所述计算机指令在计算机上运行时，使得计算机执行如权利要求1至7中任一项所述的方法。