CN114297636A - 一种知识图谱的失陷指标生产方法及相关装置 - Google Patents

一种知识图谱的失陷指标生产方法及相关装置 Download PDF

Info

Publication number
CN114297636A
CN114297636A CN202111604818.0A CN202111604818A CN114297636A CN 114297636 A CN114297636 A CN 114297636A CN 202111604818 A CN202111604818 A CN 202111604818A CN 114297636 A CN114297636 A CN 114297636A
Authority
CN
China
Prior art keywords
inference
knowledge graph
threat
reasoning
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111604818.0A
Other languages
English (en)
Inventor
周奋彦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202111604818.0A priority Critical patent/CN114297636A/zh
Publication of CN114297636A publication Critical patent/CN114297636A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请公开了一种知识图谱的失陷指标生产方法,包括:对数据进行知识图谱构建,获得知识图谱;基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标;其中,所述推理策略为基于恶意威胁推理规则构建的推理策略。通过进行知识图谱构建获得知识图谱,基于恶意威胁推理规则构建的推理策略对该知识图谱进行失陷指标分析,生成对应的失陷指标,实现从知识图谱自动生产失陷指标,提高了生成失陷指标的效率,降低了对知识图谱进行分析的成本。本申请还公开了一种知识图谱的失陷指标生产装置、失陷指标生产系统以及计算机可读存储介质,具有以上有益效果。

Description

一种知识图谱的失陷指标生产方法及相关装置
技术领域
本申请涉及安全技术领域,特别涉及一种知识图谱的失陷指标生产方法、失陷指标生产装置、失陷指标生产系统以及计算机可读存储介质。
背景技术
在信息安全技术领域中,可以采用失陷指标(IoC,Indicator of Compromise)识别系统或网络上存在的恶意活动。当在系统日志、文件、流量等观察到这些指标,意味着对应的设备或软件系统已经失陷。常见的IoC有域名地址、IP(Internet Protocol,网际互连协议)、URL(Uniform Resource Locator,统一资源定位器)以及恶意程序的Hash(散列、哈希)值、域名、病毒签名等。在实际应用中,可以基于数据进行分析获得对应的失陷指标。
相关技术中,主要基于对威胁事件进行人工分析获得失陷指标。但是需要经验丰富的威胁分析师,投入较大的时间精力进行分析,效率比较低,产出数量很少。
因此,如何提高生产失陷指标的效率是本领域技术人员关注的重点问题。
发明内容
本申请的目的是提供一种知识图谱的失陷指标生产方法、失陷指标生产装置、失陷指标生产系统以及计算机可读存储介质,以提高失陷指标的生产效率。
为解决上述技术问题,本申请提供一种知识图谱的失陷指标生产方法,包括:
对数据进行知识图谱构建,获得知识图谱;
基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标;其中,所述推理策略为基于恶意威胁推理规则构建的推理策略。
可选的,基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标,包括:
基于所述推理策略的恶意威胁推理规则对所述知识图谱中的未知实体执行推理操作,获得推理结果;
基于所述推理结果对应的威胁粒度对对应的未知实体进行标记,获得所述失陷指标。
可选的,基于所述推理策略的恶意威胁推理规则对所述知识图谱中的未知实体执行推理操作,获得推理结果,包括:
基于每个实体的恶意判定属性从所述知识图谱中筛选出所述未知实体;
基于每个所述未知实体的类型对所述未知实体执行对应类型的推理策略,获得每个所述推理策略中恶意威胁推理规则的命中情况;
基于每个所述推理策略中恶意威胁推理规则的命中情况输出每个所述未知实体的推理结果。
可选的,基于所述推理结果对应的威胁粒度对对应的未知实体进行标记,获得所述失陷指标,包括:
当所述推理结果对应的威胁粒度为多威胁场景时,对所述未知实体的失陷指标标记为多威胁场景;
当所述推理结果对应的威胁粒度为恶意程序家族时,对所述未知实体的失陷指标标记为恶意程序家族。
可选的,构建所述推理策略的过程,包括:
对获取到恶意威胁推理规则及其对应的置信度进行库构建,获得规则库;
基于策略制定信息和所述规则库进行策略构建,获得所述推理策略。
可选的,对获取到恶意威胁推理规则及其对应的置信度进行库构建,获得规则库,包括:
将接收到的多条恶意威胁判定规则和对应的判定概率转换为多条恶意威胁推理规则和对应的置信度;
基于所述多条恶意威胁推理规则和对应的置信度进行库构建,获得所述规则库。
可选的,基于策略制定信息和所述规则库进行策略构建,获得所述推理策略,包括:
基于所述策略制定信息确定推理规则标识、命中次数、连接逻辑以及后续操作;
基于所述推理规则标识从所述规则库进行选择,获得多个目标推理规则;
基于所述命中次数、所述连接逻辑以及所述后续操作对所述多个目标推理规则进行组合,获得所述推理策略。
本申请还提供一种知识图谱的失陷指标生产装置,包括:
知识图谱构建模块,用于对数据进行知识图谱构建,获得知识图谱;
失陷指标生成模块,用于基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标;其中,所述推理策略为基于恶意威胁推理规则构建的推理策略。
本申请还提供一种失陷指标生产系统,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的失陷指标生产方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的失陷指标生产方法的步骤。
本申请所提供的一种知识图谱的失陷指标生产方法,包括:对数据进行知识图谱构建,获得知识图谱;基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标;其中,所述推理策略为基于恶意威胁推理规则构建的推理策略。
通过进行知识图谱构建获得知识图谱,基于恶意威胁推理规则构建的推理策略对该知识图谱进行失陷指标分析,生成对应的失陷指标,实现从知识图谱自动生产失陷指标,提高了生成失陷指标的效率,降低了对知识图谱进行分析的成本。
本申请还提供一种知识图谱的失陷指标生产装置、失陷指标生产系统以及计算机可读存储介质,具有以上有益效果,在此不做具体限定。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种知识图谱的失陷指标生产方法的流程图;
图2为本申请实施例所提供的一种知识图谱的失陷指标生产方法的策略构建流程图;
图3为本申请实施例所提供的一种知识图谱的失陷指标生产装置的结构示意图;
图4为本申请实施例所提供的一种失陷指标生产系统的结构示意图。
具体实施方式
本申请的核心是提供一种知识图谱的失陷指标生产方法、失陷指标生产装置、失陷指标生产系统以及计算机可读存储介质,以提高失陷指标的生产效率。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
相关技术中,主要基于对威胁事件进行人工分析获得失陷指标。但是需要经验丰富的威胁分析师,投入较大的时间精力进行分析,效率比较低,产出数量很少。
因此,本申请提供一种知识图谱的失陷指标生产方法,通过进行知识图谱构建获得知识图谱,基于恶意威胁推理规则构建的推理策略对该知识图谱进行失陷指标分析,生成对应的失陷指标,实现从知识图谱自动生产失陷指标,提高了生成失陷指标的效率,降低了对知识图谱进行分析的成本。
此外,在另一相关技术中,也可从历史失陷指标挖掘共同特征,根据特征自动化匹配未知数据,但使用的分析维度单一,准确率较低,容易产生误报。为了提高分析维度的丰富程度,提高实现指标的准确性,避免出现错误标记的问题。
以下通过一个实施例,对本申请提供的一种知识图谱的失陷指标生产方法进行说明。
请参考图1,图1为本申请实施例所提供的一种知识图谱的失陷指标生产方法的流程图。
本实施例中,该方法可以包括:
S101,对数据进行知识图谱构建,获得知识图谱;
可见,本申请步骤旨在基于数据进行知识图谱构建,获得知识图谱。
其中,数据可以为从各个网络设备获取到的网络数据,也可以是从安全设备中获取到的符合安全特征的网络安全数据,还可以是分析对象产生的所有数据。可见,本申请中数据的选用并不唯一,可以根据实际的失陷指标分析对象选择对应的数据,再进行知识图谱构建。
其中,可以在获取到数据的基础上,采用现有技术提供的任意一种知识图谱构建方式中,在此不做具体限定。
其中,知识图谱为基于实体和关系构建图数据结构。每个实体和关系也都分别设置有对应的属性。因此,可以定义四类实体,包括域名、IP地址、文件、URL。每一类实体存在一些共同属性,比如恶意判定属性(恶意/无害/未知)。每一类实体也存在特定属性,比如文件存在文件类型属性。
同时,定义八种实体之间的关系,包括文件与IP通信、文件发出DNS请求查询域名、文件释放文件、文件访问URL、域名解析到IP、父子域名、域名是URL的主机名、IP是URL的主机名。每一种关系存在共同属性,比如发现关系的时间。每一种关系也存在特定属性,比如文件与IP通信的关系存在通信协议的属性。
在对知识图谱的实体和关系进行定义的基础上,就可以从数据中抽取出实体数据和关系数据,然后基于该实体数据和关系数据进行知识图谱的构建,获得知识图谱。从数据进行知识抽取,包括实体抽取、属性抽取、关系抽取。数据源包括安全产品日志、沙箱日志、WHOIS(一种域名查询协议)数据、PDNS(一种存储dns解析数据的方式)数据、开源威胁情报、恶意域名库、DGA(Domain Generation Algorithm,域生成算法)域名检测算法结果、样本相似性检测结果、YARA(一种开源工具)规则检测结果等。最后将抽取出来的知识存储到图数据库中。安全知识图谱以图数据库作为存储引擎,能对海量信息进行处理,形成大规模的知识库,获得对应的知识图谱。
S102,基于推理策略对知识图谱进行失陷指标分析,获得失陷指标;其中,推理策略为基于恶意威胁推理规则构建的推理策略。
在S101的基础上,本步骤旨在基于推理策略对知识图谱进行失陷指标分析,获得失陷指标;其中,推理策略为基于恶意威胁推理规则构建的推理策略。
可见,本步骤中主要是基于对应的推理策略对知识图谱中的失陷指标进行分析,获得对应的失陷指标。其中,该推理策略为基于恶意威胁推理规则构建的推理策略。
其中,恶意威胁推理规则即为对实体和关系进行威胁判断的推理规则,可以对实体或关系的威胁程度、威胁属性以及威胁标签进行判断,进而确实是否为失陷指标。
因此,为了提高推理策略进行判断的准确性和精度,本实施例中可以获取多种推理规则,然后基于一定的推理粒度、命中数量以及执行逻辑构建该推理策略。
进一步的,由于现有技术中通过人工进行失陷指标分析,或采用特征提取的方式进行失陷指标分析,无法提高分析效率的同时,还容易导致分析结果不准确的问题。因此,本实施例中,采用由恶意威胁推理规则构建的推理策略对知识图谱进行分析,不仅实现了自动化分析过程,还可以采用维度不同的推理规则进行判断,提高了失陷指标的准确性。
并且,本步骤中的推理策略中采用不同维度的恶意威胁推理规则,实现了从不同的维度对知识图谱进行分析,避免维度单一,提高了失陷指标进行分析的准确性。
进一步的,为了提高生产失陷指标的效果,提高失陷指标对威胁进行标记的精确性,本步骤可以包括:
步骤1021,基于推理策略的恶意威胁推理规则对知识图谱中的未知实体执行推理操作,获得推理结果;
步骤1022,基于推理结果对应的威胁粒度对对应的未知实体进行标记,获得失陷指标。
可见,本可选方案中主要是对如何生成对应的失陷指标进行说明。
本可选方案中,基于推理策略的恶意威胁推理规则对知识图谱中的未知实体执行推理操作,获得推理结果,基于推理结果对应的威胁粒度对对应的未知实体进行标记,获得失陷指标。其中,推理结果为基于推理策略进行判断的判断结果。
例如,推理策略中包括A、B、C三种推理规则,采用该推理策略对实体进行判断的结果为A符合、B符合、C不符合即为该推理策略的推理结果。最后,再在该推理策略的基础上判定是否将该实体标记为失陷指标。
其中,未知实体为判断实体的恶意判定属性为未知的实体,该实体可以包括域名、IP地址、文件、URL。
其中,威胁粒度指分析出的威胁问题的粒度。可以是针对场景的场景粒度,也可以是粒度较小的程序粒度。实现了多粒度的威胁分析。
进一步的,为了提高获取到推理结果的准确性和精度,上一可选方案的步骤1021可以包括:
步骤10211,基于每个实体的恶意判定属性从知识图谱中筛选出未知实体;
步骤10212,基于每个未知实体的类型对未知实体执行对应类型的推理策略,获得每个推理策略中恶意威胁推理规则的命中情况;
步骤10213,基于每个推理策略中恶意威胁推理规则的命中情况输出每个未知实体的推理结果。
可见,本可选方案中主要是对如何推理获得推理结果进行说明。本可选方案中,基于每个实体的恶意判定属性从知识图谱中筛选出未知实体;基于每个未知实体的类型对未知实体执行对应类型的推理策略,获得每个推理策略中恶意威胁推理规则的命中情况;基于每个推理策略中恶意威胁推理规则的命中情况输出每个未知实体的推理结果。
也就是,从现有安全知识图谱中筛选出恶意判定属性为未知的域名、IP地址、文件、URL,然后根据失陷指标的类型,选用相对应的推理策略,根据策略中定义的推理规则命中情况,输出该策略的推理结果,并根据推理策略指定的下一步操作,决定是否继续后续的推理。
进一步的,为了提高获取到失陷指标的粒度,以便适应不同的威胁粒度的场景,上一可选方案的步骤1022可以包括:
当推理结果对应的威胁粒度为多威胁场景时,对未知实体的失陷指标标记为多威胁场景;
当推理结果对应的威胁粒度为恶意程序家族时,对未知实体的失陷指标标记为恶意程序家族。
可见,本可选方案中主要说明如何进行失陷指标标记。本可选方案中,当推理结果对应的威胁粒度为多威胁场景时,对未知实体的失陷指标标记为多威胁场景;当推理结果对应的威胁粒度为恶意程序家族时,对未知实体的失陷指标标记为恶意程序家族。也就是,当采用不同粒度的推理策略进行判断的时候,可以对推理出的失陷指标标记对应粒度的标志。例如,可以标记为多威胁场景或恶意程序家族,实现了对不同粒度威胁的分析,提高了威胁分析的广度的同时,也提高了分析的深度。
举例来说,对未知的域名、IP地址、文件、URL经过多条推理策略进行推理之后,会有多个推理结果。如果同时符合多个根据威胁场景制定的推理策略,那该失陷指标将标记多个威胁场景标签。如果同时符合多个根据恶意程序家族制定的推理策略,则选择优先级高的推理策略的推理结果,那该失陷指标将标记上推理策略对应的恶意程序家族的标签。
综上,本实施例通过进行知识图谱构建获得知识图谱,基于恶意威胁推理规则构建的推理策略对该知识图谱进行失陷指标分析,生成对应的失陷指标,实现从知识图谱自动生产失陷指标,提高了生成失陷指标的效率,降低了对知识图谱进行分析的成本。
进一步的,为了提高采用图例策略进行推理的精确性和有效性,构建出更加丰富的推理策略。以下通过另一实施例,对本申请提供的一种知识图谱的失陷指标生产方法做进一步说明。
请参考图2,图2为本申请实施例所提供的一种知识图谱的失陷指标生产方法的策略构建流程图。
本实施例中,构建推理策略的过程可以包括:
S201,对获取到恶意威胁推理规则及其对应的置信度进行库构建,获得规则库;
本步骤旨在基于获取到的恶意威胁推理规则和对应的置信度进行库构建,获得规则库。其中,恶意威胁推理规则是本实施例中接收到的推理规则,可以是技术人员基于经验输入的规则数据,也可以是通过数据统计算法对实体的属性进行发现得到的规则数据,还可以是通过识别智能模型从数据中发现的规则数据。可见,本步骤中获取恶意威胁推理规则的方式并不唯一,在此不做具体限定。
当利用算法自动生成时,可以使用数据统计的算法,发现实体的属性或者实体之间关系,与一类实体的某种属性有正相关性,则可以将这个相关性定义为推理规则,并且根据相关程度定义置信度。
推理规则通常由威胁情报分析师提供。其中,对应的置信度是指该条推理规则的判定正确的概率。例如,60%DGA属性的域名为恶意域名,转化成推理规则,就是DGA属性的域名为恶意,置信度为60;恶意文件通讯的域名70%可能为恶意域名,转化成推理规则,就是恶意文件通讯的域名为恶意,置信度为70;释放恶意文件的文件100%是恶意文件,转化成推理规则,就是释放恶意文件的文件是恶意,置信度为100。
不同的推理规则,有各自的置信度,置信度范围从0到100,置信度代表推理结果的准确率。一般情况下,不存在置信度为0的推理规则。本实施例中,使用置信度为0表示该条推理规则不可用。另外,定义一个推理规则置信度阈值,当推理规则的置信度超过该阈值时,认为该推理规则可信,该方案阈值初始值定为60。
其中,推理规则的操作对象也存在一定的不同,包括可以针对于实体的规则,也可以针对于实体之间的关系的推理规则。
进一步的,为了提高构建规则库的丰富度,本步骤可以包括:
步骤2011,将接收到的多条恶意威胁判定规则和对应的判定概率转换为多条恶意威胁推理规则和对应的置信度;
步骤2012,基于多条恶意威胁推理规则和对应的置信度进行库构建,获得规则库。
可见,本可选方案主要是说明如何构建规则库。本可选方案中,将接收到的多条恶意威胁判定规则和对应的判定概率转换为多条恶意威胁推理规则和对应的置信度;基于多条恶意威胁推理规则和对应的置信度进行库构建,获得规则库。也就是,将接收到的判定规则和判定概率转化为对应的推理规则和置信度。
其中,推理规则库包含两类规则。一类是基于实体本身的推理规则,根据实体的特定属性,可以推理出该实体的另一种属性;另一类是基于实体之间关系的推理规则,根据实体的特定关系,可以推理出关系另一端实体的某种属性。
S202,基于策略制定信息和规则库进行策略构建,获得推理策略。
在S201的基础上,本步骤旨在基于策略制定信息和规则库进行策略构建,获得推理策略。
进一步的,该推理策略存在不同的威胁粒度。例如,当威胁粒度较大时,该威胁粒度可以为多威胁场景。当粒度较小时,该威胁粒度为恶意程序家族。
因此,可以根据失陷指标的类型以及不同威胁场景或恶意程序家族的特点,将相应的推理规则组合在一起,形成推理策略。
推理策略中基于实体之间关系的推理规则,可以设置命中规则次数的条件。推理规则之间使用逻辑词连接,包括与、或。例如,推理策略为10个以上的恶意文件通讯的DGA域名为恶意,需要命中DGA属性的域名的推理规则,以及恶意文件与域名通讯的推理规则10次以上,有一个恶意文件与域名通讯视为命中1次规则。推理策略可以设置推理优先级以及根据推理结果指定下一步操作。推理规则越多越严谨的推理策略,优先级越高。当优先级较高的推理策略推理出是失陷指标,可以指定不再使用优先级较低的推理策略进行推理。
进一步的,为了提高构建的推理策略的精确度,使得推理规则可以进行更加精准的推理过程,本步骤可以包括:
步骤2021,基于策略制定信息确定推理规则标识、命中次数、连接逻辑以及后续操作;
步骤2022,基于推理规则标识从规则库进行选择,获得多个目标推理规则;
步骤2023,基于命中次数、连接逻辑以及后续操作对多个目标推理规则进行组合,获得推理策略。
可见,本可选方案主要是说明如何构建推理策略。本可选方案中,基于策略制定信息确定推理规则标识、命中次数、连接逻辑以及后续操作;基于推理规则标识从规则库进行选择,获得多个目标推理规则;基于命中次数、连接逻辑以及后续操作对多个目标推理规则进行组合,获得推理策略。
可见,本实施例通过进行知识图谱构建获得知识图谱,基于恶意威胁推理规则构建的推理策略对该知识图谱进行失陷指标分析,生成对应的失陷指标,实现从知识图谱自动生产失陷指标,提高了生成失陷指标的效率,降低了对知识图谱进行分析的成本。
下面对本申请实施例提供的知识图谱的失陷指标生产装置进行介绍,下文描述的知识图谱的失陷指标生产装置与上文描述的知识图谱的失陷指标生产方法可相互对应参照。
请参考图3,图3为本申请实施例所提供的一种知识图谱的失陷指标生产装置的结构示意图。
本实施例中,该装置可以包括:
知识图谱构建模块100,用于对数据进行知识图谱构建,获得知识图谱;
失陷指标生成模块200,用于基于推理策略对知识图谱进行失陷指标分析,获得失陷指标;其中,推理策略为基于恶意威胁推理规则构建的推理策略。
可选的,该失陷指标生成模块200,可以包括:
推理单元,用于基于推理策略的恶意威胁推理规则对知识图谱中的未知实体执行推理操作,获得推理结果;
推理结果分析单元,用于基于推理结果对应的威胁粒度对对应的未知实体进行标记,获得失陷指标。
可选的,该推理单元,具体用于基于每个实体的恶意判定属性从知识图谱中筛选出未知实体;基于每个未知实体的类型对未知实体执行对应类型的推理策略,获得每个推理策略中恶意威胁推理规则的命中情况;基于每个推理策略中恶意威胁推理规则的命中情况输出每个未知实体的推理结果。
可选的,该推理结果分析单元,具体用于当推理结果对应的威胁粒度为多威胁场景时,对未知实体的失陷指标标记为多威胁场景;当推理结果对应的威胁粒度为恶意程序家族时,对未知实体的失陷指标标记为恶意程序家族。
可选的,该装置,还包括:
规则库构建模块,用于对获取到恶意威胁推理规则及其对应的置信度进行库构建,获得规则库;
策略构建模块,用于基于策略制定信息和规则库进行策略构建,获得推理策略。
可选的,该规则库构建模块,具体用于将接收到的多条恶意威胁判定规则和对应的判定概率转换为多条恶意威胁推理规则和对应的置信度;基于多条恶意威胁推理规则和对应的置信度进行库构建,获得规则库。
可选的,该策略构建模块,具体用于基于策略制定信息确定推理规则标识、命中次数、连接逻辑以及后续操作;基于推理规则标识从规则库进行选择,获得多个目标推理规则;基于命中次数、连接逻辑以及后续操作对多个目标推理规则进行组合,获得推理策略。
请参考图4,图4为本申请实施例所提供的一种失陷指标生产系统的结构示意图。
本申请实施例还提供了一种失陷指标生产系统,该失陷指标生产系统可包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时可实现如上述任意一种失陷指标生产系统方法的步骤。
如图4所示,为失陷指标生产系统的组成结构示意图,失陷指标生产系统可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行失陷指标生产方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
对数据进行知识图谱构建,获得知识图谱;
基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标;其中,所述推理策略为基于恶意威胁推理规则构建的推理策略。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能所需的应用程序等;存储数据区可存储使用过程中所创建的数据。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中失陷指标生产系统的限定,在实际应用中失陷指标生产系统可以包括比图4所示的更多或更少的部件,或者组合某些部件。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如以上实施例所述的失陷指标生产方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种知识图谱的失陷指标生产方法、失陷指标生产装置、失陷指标生产系统以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。

Claims (10)

1.一种知识图谱的失陷指标生产方法,其特征在于,包括:
对数据进行知识图谱构建,获得知识图谱;
基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标;其中,所述推理策略为基于恶意威胁推理规则构建的推理策略。
2.根据权利要求1所述的失陷指标生产方法,其特征在于,基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标,包括:
基于所述推理策略的恶意威胁推理规则对所述知识图谱中的未知实体执行推理操作,获得推理结果;
基于所述推理结果对应的威胁粒度对对应的未知实体进行标记,获得所述失陷指标。
3.根据权利要求2所述的失陷指标生产方法,其特征在于,基于所述推理策略的恶意威胁推理规则对所述知识图谱中的未知实体执行推理操作,获得推理结果,包括:
基于每个实体的恶意判定属性从所述知识图谱中筛选出所述未知实体;
基于每个所述未知实体的类型对所述未知实体执行对应类型的推理策略,获得每个所述推理策略中恶意威胁推理规则的命中情况;
基于每个所述推理策略中恶意威胁推理规则的命中情况输出每个所述未知实体的推理结果。
4.根据权利要求2所述的失陷指标生产方法,其特征在于,基于所述推理结果对应的威胁粒度对对应的未知实体进行标记,获得所述失陷指标,包括:
当所述推理结果对应的威胁粒度为多威胁场景时,对所述未知实体的失陷指标标记为多威胁场景;
当所述推理结果对应的威胁粒度为恶意程序家族时,对所述未知实体的失陷指标标记为恶意程序家族。
5.根据权利要求1至4任一项所述的失陷指标生产方法,其特征在于,构建所述推理策略的过程,包括:
对获取到恶意威胁推理规则及其对应的置信度进行库构建,获得规则库;
基于策略制定信息和所述规则库进行策略构建,获得所述推理策略。
6.根据权利要求5所述的失陷指标生产方法,其特征在于,对获取到恶意威胁推理规则及其对应的置信度进行库构建,获得规则库,包括:
将接收到的多条恶意威胁判定规则和对应的判定概率转换为多条恶意威胁推理规则和对应的置信度;
基于所述多条恶意威胁推理规则和对应的置信度进行库构建,获得所述规则库。
7.根据权利要求5所述的失陷指标生产方法,其特征在于,基于策略制定信息和所述规则库进行策略构建,获得所述推理策略,包括:
基于所述策略制定信息确定推理规则标识、命中次数、连接逻辑以及后续操作;
基于所述推理规则标识从所述规则库进行选择,获得多个目标推理规则;
基于所述命中次数、所述连接逻辑以及所述后续操作对所述多个目标推理规则进行组合,获得所述推理策略。
8.一种知识图谱的失陷指标生产装置,其特征在于,包括:
知识图谱构建模块,用于对数据进行知识图谱构建,获得知识图谱;
失陷指标生成模块,用于基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标;其中,所述推理策略为基于恶意威胁推理规则构建的推理策略。
9.一种失陷指标生产系统,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的失陷指标生产方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的失陷指标生产方法的步骤。
CN202111604818.0A 2021-12-24 2021-12-24 一种知识图谱的失陷指标生产方法及相关装置 Pending CN114297636A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111604818.0A CN114297636A (zh) 2021-12-24 2021-12-24 一种知识图谱的失陷指标生产方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111604818.0A CN114297636A (zh) 2021-12-24 2021-12-24 一种知识图谱的失陷指标生产方法及相关装置

Publications (1)

Publication Number Publication Date
CN114297636A true CN114297636A (zh) 2022-04-08

Family

ID=80970061

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111604818.0A Pending CN114297636A (zh) 2021-12-24 2021-12-24 一种知识图谱的失陷指标生产方法及相关装置

Country Status (1)

Country Link
CN (1) CN114297636A (zh)

Similar Documents

Publication Publication Date Title
CN112131882A (zh) 一种多源异构网络安全知识图谱构建方法及装置
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN113242236B (zh) 一种网络实体威胁图谱构建方法
CN109635569B (zh) 一种漏洞检测方法及装置
CN111835777B (zh) 一种异常流量检测方法、装置、设备及介质
CN110602029A (zh) 一种用于识别网络攻击的方法和系统
CN108900554B (zh) Http协议资产检测方法、系统、设备及计算机介质
CN114006778B (zh) 一种威胁情报的识别方法、装置、电子设备及存储介质
CN113691491A (zh) 域名系统中恶意域名的检测方法与检测装置
CN114189390A (zh) 一种域名检测方法、系统、设备及计算机可读存储介质
CN114201756A (zh) 一种智能合约代码片段的漏洞检测方法和相关装置
CN107330031B (zh) 一种数据存储的方法、装置及电子设备
WO2016173327A1 (zh) 用于检测网站攻击的方法和设备
CN114297636A (zh) 一种知识图谱的失陷指标生产方法及相关装置
CN112003884A (zh) 一种网络资产的采集和自然语言检索方法
KR102411383B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
CN113688240B (zh) 威胁要素提取方法、装置、设备及存储介质
KR101863569B1 (ko) 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치
KR101893029B1 (ko) 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치
CN113051876A (zh) 恶意网址识别方法及装置、存储介质、电子设备
CN117251384B (zh) 一种接口自动化测试用例生成方法及系统
CN114884686B (zh) 一种php威胁识别方法及装置
CN113765843B (zh) 一种鉴定检出能力检测方法、装置、设备及可读存储介质
CN117171800B (zh) 一种基于零信任防护体系的敏感数据识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination