CN114021131A - 一种获取数据分析图谱的方法、装置及电子设备 - Google Patents

一种获取数据分析图谱的方法、装置及电子设备 Download PDF

Info

Publication number
CN114021131A
CN114021131A CN202111264076.1A CN202111264076A CN114021131A CN 114021131 A CN114021131 A CN 114021131A CN 202111264076 A CN202111264076 A CN 202111264076A CN 114021131 A CN114021131 A CN 114021131A
Authority
CN
China
Prior art keywords
entity
data analysis
corpus
entities
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111264076.1A
Other languages
English (en)
Inventor
顾杜娟
袁军
周娟
章瑞康
李文瑾
叶晓虎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN202111264076.1A priority Critical patent/CN114021131A/zh
Publication of CN114021131A publication Critical patent/CN114021131A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Animal Behavior & Ethology (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

一种获取数据分析图谱的方法、装置及电子设备,该方法包括:获得N个指定样本的分析结果,并从分析结果中抽取出各个指定样本分别对应的所有实体,将实体分别与所属指定样本的预设标识进行关联,建立预设标识与各个实体的关联关系,根据各个预设标识与各个实体的关联关系,建立数据分析图谱。通过上述的方法,将指定样本的分析结果对应的实体与预设标识进行关联,并根据实体与预设标识的关联关系建立数据分析图谱,实现了对指定样本的多维度以及多角度分析。

Description

一种获取数据分析图谱的方法、装置及电子设备
技术领域
本申请涉及信息安全技术领域,尤其涉及一种获取数据分析图谱的方法、装置及电子设备。
背景技术
随着网络技术的发展,恶意软件的数量日益增加,恶意软件称为恶意代码,恶意代码包括:计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等,恶意代码会对用户端的设备进行攻击,并通过已经成功入侵到用户端的设备中的代码对该设备关联的其他设备进行攻击。
目前,在对恶意代码进行分析时,采取的方式一是对恶意代码进行静态分析、动态分析以及智能分析,静态分析是根据恶意代码的程序指令以及结构进行分析,得到静态分析结果,静态分析结果中包含恶意代码字符串实体、PE文件实体、恶意程序MD5值实体等;动态分析是模拟软件运行的流程,根据模拟软件运行的流程生成动态分析结果,动态分析结果中包含系统调用关系实体、注册表实体、文件读写实体等;智能分析是收集大量的良性数据以及恶意数据,对模型进行训练,获得智能分析结果,智能分析结果包含恶意样本数据的关联关系实体。
方式二是检测恶意代码是否在威胁情报平台的威胁情报数据中,得到威胁情报平台的分析结果,威胁情报平台的分析结果包括:漏洞(Common Vulnerabilities&ExposuresCVE)实体、模糊哈希值(SSDeep)实体、文件类型(FileType)实体等。
由于静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果分别存储在不同的地方,造成静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果无法进行关联。
发明内容
本申请提供了一种获取数据分析图谱的方法、装置及电子设备,通过建立实体与预设标识关联关系,建立数据分析图谱,通过数据分析图谱展示各分析结果之间的关联,从而实现了对恶意代码的多维度以及多角度分析。
第一方面,本申请提供了一种获取数据分析图谱的方法,所述方法包括:
获得N个指定样本的分析结果,并从所述分析结果中抽取出各个指定样本分别对应的所有实体,其中,所述分析结果包括静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果中的一种或者多种;
将所述实体分别与所属指定样本的预设标识进行关联,建立预设标识与各个实体的关联关系;
根据各个预设标识与各个实体的关联关系,建立数据分析图谱。
通过上述描述的方法,将多个指定样本对应的分析结果中的实体与预设标识进关联,根据实体与预设标识的关联关系建立数据分析图谱,从而建立了静态析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果的关联关系,实现了对恶意代码的多维度以及多角度的分析。
在一种可能的设计中,从所述分析结果中抽取出各个指定样本分别对应的所有实体,包括:
检测所述安全语料库中是否包含所述分析结果中的实体;
若是,则直接在所述安全语料库中抽取所述实体;
若否,则将所述实体置于所述安全语料库中,再从安全语料库中抽取实体。
在一种可能的设计中,检测所述安全语料库中是否包含所述分析结果中的实体之前,包括:
检测是否存在预定义的安全语料库;
若是,则将所述分析结果中与所述安全语料库中不同的实体置入安全预料库中;
若否,则将所述分析结果对应的所有实体置入安全语料库中。
在一种可能的设计中,根据各个预设标识与各个实体的关联关系,建立数据分析图谱,包括:
获取同一预设标识对应的各个实体,建立所述同一预设标识与所述各个实体的第一关联关系。
获取同一实体对应的各个预设标识,建立所述同一实体与所述各个预设标识的第二关联关系;
根据所述第一关联关系以及所述第二关联关系,建立数据分析图谱。
在一种可能的设计中,建立数据图谱之后,包括:
接收到指示显示部分数据分析图谱的第一指令,获取指定区域的数据分析图谱,并显示所述指定区域的数据分析图谱;
接收到指示显示全部数据分析图谱的第二指令,获得全部区域的数据分析图谱,并显示所述全部区域的数据分析图谱。
第二方面,本申请提供了一种获取数据分析图谱的装置,所述装置包括:
抽取模块,用于获得N个指定样本的分析结果,并从所述分析结果中抽取出各个指定样本分别对应的所有实体;
关联模块,用于将所述实体分别与所属指定样本的预设标识进行关联,建立预设标识与各个实体的关联关系;
图谱模块,用于根据各个预设标识与各个实体的关联关系,建立数据分析图谱。
在一种的设计中,所述抽取模块,具体用于检测所述安全语料库中是否包含所述分析结果中的实体,若是,则直接在所述安全语料库中抽取所述实体,若否,则将所述实体置于所述安全语料库中,再从安全语料库中抽取实体。
在一种的设计中,所述抽取模块,还用于检测是否存在预定义的安全语料库,若是,则将所述分析结果中与所述安全语料库中不同的实体置入安全预料库中,若否,则将所述分析结果对应的所有实体置入安全语料库中。
在一种的设计中,所述图谱模块,具体用于获取同一预设标识对应的各个实体,建立所述同一预设标识与所述各个实体的第一关联关系,获取同一实体对应的各个预设标识,建立所述同一实体与所述各个预设标识的第二关联关系,根据所述第一关联关系以及所述第二关联关系,建立数据分析图谱。
在一种的设计中,所述图谱模块,还用于接收到指示显示部分数据分析图谱的第一指令,获取指定区域的数据分析图谱,并显示所述指定区域的数据分析图谱,接收到指示显示全部数据分析图谱的第二指令,获得全部区域的数据分析图谱,并显示所述全部区域的数据分析图谱。
第三方面,本申请提供了一种电子设备,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现上述的一种获取数据分析图谱的方法步骤。
第四方面,一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的一种获取数据分析图谱的方法步骤。
上述第一方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
附图说明
图1为本申请提供的一种获取数据分析图谱的方法步骤的流程图;
图2为本申请提供的网络通信IP地址与指定样本之间的关联关系示意图;
图3为本申请提供的指定样本与网络通信IP地址以及域名的关联关系示意图;
图4为本申请提供的数据分析图谱示意图;
图5为本申请提供的一种获取数据分析图谱的装置的结构示意图;
图6为本申请提供的一种电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。需要说明的是,在本申请的描述中“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。A与B连接,可以表示:A与B直接连接和A与B通过C连接这两种情况。另外,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
在以往的技术中,对恶意代码进行分析时,采取的方式是对恶意代码进行静态分析、动态分析、智能分析以及利用威胁情报平台进行分析,从而获得静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果,但是这些分析结果的数据格式不同以及存储地方不同,导致各类分析结果各自独立,无法将静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果进行关联。
为了解决上述的问题,本申请提供了一种获取数据分析图谱的方法,用以实现静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果的关联,从而达到对恶意代码进行多维度以及多角度的分析的目的。其中,本申请实施例所述方法和装置基于同一技术构思,由于方法及装置所解决问题的原理相似,因此装置与方法的实施例可以相互参见,重复之处不再赘述。
下面结合附图,对本申请实施例进行详细描述。
参照图1,本申请提供了一种获取数据分析图谱的方法,该方法可以实现静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果的关联,该方法的实现流程如下:
步骤S1:获得N个指定样本的分析结果,并从所述分析结果中抽取出各个指定样本分别对应的所有实体。
为了实现指定样本的多维度以及多角度的分析,首先要获取N个指定样本,N为正整数,在本申请实施例中,指定样本可以为恶意代码样本,当N的数量越大,获取的指定样本的数量就越多,确保了指定样本类型的多样性,为指定样本的多维度的分析提供了依据。
在获得N个指定样本之后,对每个指定样本进行数据分析,从而获得每个指定样本的分析结果,在本申请实施例中,数据分析的方法包括静态分析、动态分析、智能分析以及威胁情报平台分析中的一种或者多种,分析结果包括静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果中的一种或者多种,由于数据分析的方法为本领域技术人员公知的技术,在本申请实施例中不做说明。
在获得N个指定样本的分析结果之后,由于分析结果是由各种实体组成,因此能够从分析结果中抽取出每个指定样本对应的所有实体,在本申请中,实体为数据分析结果的类别名。
进一步需要说明的是,在从分析结果中抽取实体之前,为了确保抽取的实体为指定样本中的分析结果中的实体,需要检测是否存在预定义的安全语料库,安全语料库中放置的是各类发现结果的实体,若存在安全语料库,则将分析结果中与所述安全语料库中不同的实体置入安全语料库中,若不存在安全语料库,则将分析结果对应的所有实体置入安全语料库中。
在确认安全语料库处在之后,需要检测安全语料中是否包含所述分析结果中的实体,若安全语料库中包含分析结果的实体,则从安全语料库中直接抽取该实体,若安全语料库中不包含分析结果的实体,则将该实体置入安全语料库之中,并在该实体置入安全语料库中之后,从安全语料库中抽取该实体。
通过上述的方法,获得大量的指定样本以及指定样本对应的实体并从安全语料库中抽取实体,确保了该实体在安全语料库中,提供了大量经过数据分析后的实体,确保了实体类型的多样性。
步骤S2:将所述实体分别与所属指定样本的预设标识进行关联,建立预设标识与各个实体的关联关系。
在获得每个指定样本对应的所有实体之后,由于每个指定样本中的实体进行数据分析时的方法不同,因此数据分析后的分析结果各自独立,互不影响,进而分析结果对应的实体也是各自独立、互不影响,每个指定样本中的所有实体的关系如表1所示,表1如下:
Figure BDA0003324939460000071
表1
在表1中,每一种数据分析结果对应着不同的实体,不同实体的格式不同,存储的位置也不同,并且每个实体之间相互独立,在本申请实施例中,每一种数据分析方法对应的实体有很多种,表1中只例举了部分,由于本申请的重点不在于数据分析结果,因此这里不做过多描述。
为了建立每个指定样本对应的实体之间的关系,将对每个指定样本对应的所有实体与相同的预设标识进行关联,从而建立预设标识与实体的关联关系,作上预设标识的指定样本如表2所示:
Figure BDA0003324939460000081
表2
在表2中,用MD5值对指定样本作标记,将指定样本中的实体与MD5进行关联,当MD5出现的时候,能够表示为表2的实体,表2只用一个指定样本作为举例,其他的指定样本可参考2,这里不做过多阐述。
在本申请实施例中,预设标识可以为MD5值,当MD5值为预设标识时,能够通过计算每个指定样本的MD5值获得预设标识,由于MD5具有唯一性,因此,当MD5值作为每个指定样本的预设标识时,能够通过MD5值区分出每个指定样本。
进一步需要说明的是,若指定样本采用动态分析,由于动态分析是模拟软件真实运行的场景,当用户端通过软件与其他用户端进行通信后,会产生一个网络通信IP地址,网络通信IP地址记录的是其他用户端的IP地址,当分析出该用户端与其他用户端的通信存在网络威胁时,会记录其他用户端的网络通信IP地址以及其他用户端,对于该动态分析结果,能够通过网络通信IP地址进行标记,用网络通信IP地址进行标记后,能够找到相同网络通信IP地址对应的指定样本,从而获得更多的关联关系,用网络通信IP地址进行标记后获得的关联关系如图2所示,图2为网络通信IP地址与指定样本之间的关联关系示意图,图2中网络通信IP地址与指定样本之间的线条表示关联关系。
一个指定样本的网络通信IP地址在实际应用中至少为1个,因此一个指定样本对应着多个网络通信IP地址,当指定样本用预设标识进行标记后,预设标识与网络通信IP地址会形成关联关系,在获取了网络通信IP地址以后,能够根据网络通信IP地址获取对应的域名,网络通信IP地址、域名与指定样本的关联图如图3所示,图3为网络通信IP地址以及域名与指定样本的关联关系示意图,图3中例举了指定样本与网络通信IP地址以及域名的关联关系,关联关系的数量根据实际网络通信IP地址以及地址决定。
在建立预设标识与各个实体的关联关系之后,将预设标识与实体的关联关系以及指定样本对应的实体存入图数据库,支持已有的商用和开源的图数据库。
通过上述的方法,对每个指定样本作上预设标识,并将指定样本中的实体与预设标识进行关联,解决了每个指定样本中不同数据分析方法对应的实体互不关联的问题。
步骤S3:根据各个预设标识与各个实体的关联关系,建立数据分析图谱。
将每个指定样本作上预设标识之后,获得了每个指定样本中的所有实体与预设标识的关联关系,为了解决每个指样本之间的实体互不关联的问题,需要在每个指定样本中,获得同一预设标识对应的各个实体,并建立同一预设标识与实体的第一关联关系,同一预设标识与实体的关联关系如表3所示:
预设标识 实体
指定样本-MD5 恶意代码字符串、系统调用进程......
...... ......
表3
在表3中,恶意代码字符串为静态分析结果对应的实体,系统调用进程为动态分析结果对应的实体,两个不同的实体通过同一个预设标识建立了关联关系,表3中只例举了没有关联关系的动态分析结果对应的实体以及静态分析结果对应的实体,与同一预设标识建立关联关系的实体类型在本申请中至少为一个,其它数据分析结果对应的实体与预设标识的关联关系参考表3,这里不做过多描述。
在建立第一关联关系之后,解决了每个指定样本中的实体互不关联的问题,由于每个指定样本之间也是互不关联的关系,因此,需要建立每个指定样本之间的关联关系,由于每个指定样本采取的数据分析方法是通用的,通过数据分析方法得到的分析结果中的实体有相同的部分。
建立每个指定样本之间的关联关系,需要通过获取同一个实体的各个预设标识,建立同一实体与预设标识的关联关系,将该关联关系记为第二关联关系,同一实体与预设标识的关联关系如表4所示:
Figure BDA0003324939460000101
表4
在表4中,恶意代码字符串对应着3个不同的实体标识,其它实体与预设标识的关系参考表4,在这里不做过多描述。
在获得第一关联关系以及第二关联关系之后,根据第一关联关系以及第二关联关系,获得数据分析图谱,获得的数据分析图谱如图4所示,图4中,例举了指定样本1、指定样本2、指定样本3与9个实体的关联关系图谱,其他的指定样本与实体之间的关联关系图谱可参考图4,这里不做过多阐述,在该数据分析图谱中展现了指定样本与实体之间关系,也展现了各个指定样本之间的关系。
当获得数据分析图谱之后,用数据分析图谱对指定样本进行数据分析时,可以通过指示显示部分数据分析图谱的第一指令获得指定区域的数据分析图谱,并且能够显示指定区域的数据分析图谱,通过指示显示全部数据分析图谱的第二指令获得全部区域的数据分析图谱,并且能够显示全部区域的数据分析图谱。
通过上述的方法,建立每个指定样本中互不关联的实体之间的第一关联关系以及互不关联的每个指定样本之间的第二关联关系,获得数据分析图谱,将实体与预设标识的关联关系用图谱的方式显示出来,能够通过数据分析图谱直接获取分析结果以及分析结果之间的关联关系图,实现了对指定样本的多维度以及多角度的分析。
基于同一发明构思,本申请实施例中还提供了一种获取数据分析图谱的装置,该获取数据分析图谱的装置用于实现静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果的关联,参照图5,所述装置包括:
抽取模块501,用于获得N个指定样本的分析结果,并从所述分析结果中抽取出各个指定样本分别对应的所有实体;
关联模块502,用于将所述实体分别与所属指定样本的预设标识进行关联,建立预设标识与各个实体的关联关系;
图谱模块503,用于根据各个预设标识与各个实体的关联关系,建立数据分析图谱。
在一种可能的设计中,所述抽取模块501,具体用于检测所述安全语料库中是否包含所述分析结果中的实体,若是,则直接在所述安全语料库中抽取所述实体,若否,则将所述实体置于所述安全语料库中,再从安全语料库中抽取实体。
在一种可能的设计中,所述抽取模块501,还用于检测是否存在预定义的安全语料库,若是,则将所述分析结果中与所述安全语料库中不同的实体置入安全预料库中,若否,则将所述分析结果对应的所有实体置入安全语料库中。
在一种可能的设计中,所述图谱模块503,具体用于获取同一预设标识对应的各个实体,建立所述同一预设标识与所述各个实体的第一关联关系,获取同一实体对应的各个预设标识,建立所述同一实体与所述各个预设标识的第二关联关系,根据所述第一关联关系以及所述第二关联关系,建立数据分析图谱。
在一种可能的设计中,所述图谱模块503,还用于接收到指示显示部分数据分析图谱的第一指令,获取指定区域的数据图谱,并显示所述指定区域的数据分析图谱,接收到指示显示全部数据分析图谱的第二指令,获得全部区域的数据图谱,并显示所述全部区域的数据分析图谱。
基于本申请所提供的装置,获得N个指定样本的分析结果,并从所述分析结果中抽取出各个指定样本分别对应的所有实体,将所述实体分别与所属指定样本的预设标识进行关联,建立预设标识与各个实体的关联关系,根据各个预设标识与各个实体的关联关系,建立数据分析图谱。通过上述的装置,将指定样本的分析结果对应的实体与预设标识进行关联,并根据实体与预设标识的关联关系建立数据分析图谱,将静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果进行关联,将用数据分析图谱的形式显示关联关系,实现了对指定样本的多维度以及多角度分析。
基于同一发明构思,本申请实施例中还提供了一种电子设备,所述电子设备可以实现前述一种获取数据分析图谱的装置的功能,参考图6,所述电子设备包括:
至少一个处理器601,以及与至少一个处理器601连接的存储器602,本申请实施例中不限定处理器601与存储器602之间的具体连接介质,图6中是以处理器601和存储器602之间通过总线600连接为例。总线600在图6中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线600可以分为地址总线、数据总线、控制总线等,为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器601也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器602存储有可被至少一个处理器601执行的指令,至少一个处理器601通过执行存储器602存储的指令,可以执行前文论述的一种获取数据分析图谱的方法。处理器601可以实现图5所示的装置中各个模块的功能。
其中,处理器601是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器601可包括一个或多个处理单元,处理器601可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器601中。在一些实施例中,处理器601和存储器602可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器601可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的一种获取数据分析图谱方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器602作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器601进行设计编程,可以将前述实施例中介绍的一种获取数据分析图谱方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图1所示的实施例的一种获取数据分析图谱的步骤。如何对处理器601进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行前文论述的一种获取数据分析图谱方法。
在一些可能的实施方式中,本申请提供一种获取数据分析图谱的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在装置上运行时,程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种获取数据分析图谱方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种获取数据分析图谱的方法,其特征在于,包括:
获得N个指定样本的分析结果,并从所述分析结果中抽取出各个指定样本分别对应的所有实体,其中,N为正整数,所述分析结果包括静态分析结果、动态分析结果、智能分析结果以及威胁情报平台的分析结果中的一种或者多种;
将所述实体分别与所属指定样本的预设标识进行关联,建立预设标识与各个实体的关联关系;
根据各个预设标识与各个实体的关联关系,建立数据分析图谱。
2.如权利要求1所述的方法,其特征在于,从所述分析结果中抽取出各个指定样本分别对应的所有实体,包括:
检测所述安全语料库中是否包含所述分析结果中的实体;
若是,则直接在所述安全语料库中抽取所述实体;
若否,则将所述实体置于所述安全语料库中,再从安全语料库中抽取实体。
3.如权利要求2所述的方法,其特征在于,检测所述安全语料库中是否包含所述分析结果中的实体之前,包括:
检测是否存在预定义的安全语料库;
若是,则将所述分析结果中与所述安全语料库中不同的实体置入安全预料库中;
若否,则将所述分析结果对应的所有实体置入安全语料库中。
4.如权利要求1所述的方法,其特征在于,根据各个预设标识与各个实体的关联关系,建立数据分析图谱,包括:
获取同一预设标识对应的各个实体,建立所述同一预设标识与所述各个实体的第一关联关系;
获取同一实体对应的各个预设标识,建立所述同一实体与所述各个预设标识的第二关联关系;
根据所述第一关联关系以及所述第二关联关系,建立数据分析图谱。
5.如权利要求1所述的方法,其特征在于,建立数据分析图谱之后,包括:
接收到指示显示部分数据分析图谱的第一指令,获取指定区域的数据分析图谱,并显示所述指定区域的数据分析图谱;
接收到指示显示全部数据分析图谱的第二指令,获得全部区域的数据分析图谱,并显示所述全部区域的数据分析图谱。
6.一种获取数据分析图谱的装置,其特征在于,包括:
抽取模块,用于获得N个指定样本的分析结果,并从所述分析结果中抽取出各个指定样本分别对应的所有实体;
关联模块,用于将所述实体分别与所属指定样本的预设标识进行关联,建立预设标识与各个实体的关联关系;
图谱模块,用于根据各个预设标识与各个实体的关联关系,建立数据分析图谱。
7.如权利要求6所述的装置,其特征在于,所述抽取模块,具体用于检测所述安全语料库中是否包含所述分析结果中的实体,若是,则直接在所述安全语料库中抽取所述实体,若否,则将所述实体置于所述安全语料库中,再从安全语料库中抽取实体。
8.如权利要求6所述的装置,其特征在于,所述图谱模块,还用于接收到指示显示部分数据分析图谱的第一指令,获取指定区域的数据分析图谱,并显示所述指定区域的数据分析图谱,接收到指示显示全部数据分析图谱的第二指令,获得全部区域的数据分析图谱,并显示所述全部区域的数据分析图谱。
9.一种电子设备,其特征在于,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现权利要求1-5任一项所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的方法步骤。
CN202111264076.1A 2021-10-28 2021-10-28 一种获取数据分析图谱的方法、装置及电子设备 Pending CN114021131A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111264076.1A CN114021131A (zh) 2021-10-28 2021-10-28 一种获取数据分析图谱的方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111264076.1A CN114021131A (zh) 2021-10-28 2021-10-28 一种获取数据分析图谱的方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN114021131A true CN114021131A (zh) 2022-02-08

Family

ID=80058612

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111264076.1A Pending CN114021131A (zh) 2021-10-28 2021-10-28 一种获取数据分析图谱的方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN114021131A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117555811A (zh) * 2024-01-11 2024-02-13 北京邮电大学 基于静态符号执行的嵌入式软件分析方法、装置及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117555811A (zh) * 2024-01-11 2024-02-13 北京邮电大学 基于静态符号执行的嵌入式软件分析方法、装置及存储介质
CN117555811B (zh) * 2024-01-11 2024-03-19 北京邮电大学 基于静态符号执行的嵌入式软件分析方法、装置及存储介质

Similar Documents

Publication Publication Date Title
CN109598509B (zh) 风险团伙的识别方法和装置
WO2019169760A1 (zh) 测试用例范围确定方法、装置及存储介质
CN111881455B (zh) 一种固件安全分析的方法及装置
CN108734012A (zh) 恶意软件识别方法、装置及电子设备
CN110474900B (zh) 一种游戏协议测试方法及装置
CN104866770B (zh) 敏感数据扫描方法和系统
WO2019085466A1 (zh) 关联测试方法、系统、应用服务器及计算机可读存储介质
CN111368289B (zh) 一种恶意软件检测方法和装置
CN109815697B (zh) 误报行为处理方法及装置
CN107729121A (zh) 模拟器检测方法及装置
CN112769775B (zh) 一种威胁情报关联分析方法、系统、设备及计算机介质
CN109992936A (zh) 基于数据水印的数据溯源方法、装置、设备及介质
CN112800483A (zh) 基于区块链的数据源完整性检测方法及系统及装置及介质
CN105631325A (zh) 一种恶意应用程序检测方法和装置
CN112132794A (zh) 审计视频的文字定位方法、装置、设备和可读存储介质
CN114021131A (zh) 一种获取数据分析图谱的方法、装置及电子设备
CN115391188A (zh) 一种场景测试用例生成方法、装置、设备及存储介质
CN105718793A (zh) 基于修改沙箱环境防止恶意代码识别沙箱的方法及系统
CN115603926A (zh) 钓鱼邮件识别方法、系统、设备及存储介质
CN113051601B (zh) 敏感数据识别方法、装置、设备和介质
CN104298570A (zh) 数据处理方法和装置
CN106446687B (zh) 恶意样本的检测方法及装置
CN112884258A (zh) 检测应用风险的方法和装置
JP6425865B1 (ja) リスク分析装置、リスク分析方法及びリスク分析プログラム
CN116089962A (zh) 一种高性能的Iast外部检测方法、装置、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination