CN114844681A - 基于关联图的分析方法、系统、电子设备、存储介质 - Google Patents
基于关联图的分析方法、系统、电子设备、存储介质 Download PDFInfo
- Publication number
- CN114844681A CN114844681A CN202210375180.6A CN202210375180A CN114844681A CN 114844681 A CN114844681 A CN 114844681A CN 202210375180 A CN202210375180 A CN 202210375180A CN 114844681 A CN114844681 A CN 114844681A
- Authority
- CN
- China
- Prior art keywords
- analysis
- graph
- storage system
- association
- operator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 181
- 238000010586 diagram Methods 0.000 title claims abstract description 63
- 238000000034 method Methods 0.000 claims abstract description 106
- 238000013507 mapping Methods 0.000 claims abstract description 40
- 230000008569 process Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 14
- 230000003993 interaction Effects 0.000 claims description 12
- 238000010276 construction Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 claims description 5
- 238000011017 operating method Methods 0.000 claims 1
- 238000004519 manufacturing process Methods 0.000 abstract description 4
- 238000012821 model calculation Methods 0.000 abstract description 4
- 238000000926 separation method Methods 0.000 abstract description 4
- 238000000605 extraction Methods 0.000 description 9
- 238000004364 calculation method Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- KDYFGRWQOYBRFD-UHFFFAOYSA-N succinic acid Chemical compound OC(=O)CCC(O)=O KDYFGRWQOYBRFD-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computational Linguistics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于关联图的分析方法、系统、电子设备、存储介质,所述方法基于在先设立的分析模型,所述方法包括:所述分析模型运行至针对关联图的操作方法时,向所述关联图所在的图存储系统发送与所述操作方法相应的指令信号;获取所述图存储系统的反馈信息;基于所述反馈信息运行所述分析模型;其中,所述操作方法预先与所述图存储系统中的分析算子形成映射,所述指令信号用来使得所述图存储系统运行所述操作方法映射的所述分析算子,以获取所述反馈信息。本发明能屏蔽图存储系统的异构性,在一定程度上实现关联图存储资源与分析模型计算资源的分离,能有效支撑分析模型升级与关联图规模扩容,适用于大数据生产场景。
Description
技术领域
本发明涉及安全威胁分析技术领域,尤其涉及一种基于关联图的分析方法、系统、电子设备、存储介质。
背景技术
随着网络技术快速发展,特别是云计算平台技术广泛应用,企业基础网络系统正面临广泛安全威胁。在这些威胁中,APT(Advanced Persistent Threat,高级可持续威胁攻击)攻击是一类危害大且难以检测的攻击。
由于APT攻击构建需要包含侦测、漏洞利用、提权、横向移动、数据传输等多个环节,因此针对此类安全威胁一类有效而通用检测方法便是根据从物理或云平台系统中采集各类审计日志、流量日志,定义实体类型,构建体现实体信息交互及其它依赖关系的关联图;通过对关联图,运用图嵌入(Graph embedding)等分析算法,发现潜在攻击链与未知威胁。
基于关联图实现安全威胁分析所面临一个潜在挑战便是:由于不断增长的日志数据、流量数据,导致关联图规模不断增大,需要合理利用安全分析系统中所依赖的存储、计算资源,满足关联图扩容计算需求;同时,由于各个安全运营管理系统底层存储系统差异性,关联图的存储组织方式与表达形式也存在显著区别,这对关联图使用和升级图分析模型算法造成困难。
发明内容
针对现有技术存在的问题,本发明提供一种基于关联图的分析方法、系统、电子设备、存储介质。
本发明提供的一种基于关联图的分析方法,所述方法基于在先设立的分析模型,所述方法包括:
所述分析模型运行至针对关联图的操作方法时,向所述关联图所在的图存储系统发送与所述操作方法相应的指令信号;
获取所述图存储系统的反馈信息;
基于所述反馈信息运行所述分析模型;
其中,所述操作方法预先与所述图存储系统中的分析算子形成映射,所述指令信号用来使得所述图存储系统运行所述操作方法映射的所述分析算子,以获取所述反馈信息。
根据本发明提供的一种基于关联图的分析方法,所述分析模型为安全威胁分析模型。
根据本发明提供的一种基于关联图的分析方法,所述关联图构建的过程中,参与网络信息交互的实体为关联图节点,所述节点包括多个属性信息,所述多个属性信息包括:
节点类型,用来表示所述节点所代表的实体类型;
告警事件,用来表示网络系统中安全设备与检测系统所产生的各类告警事件映射到相应节点上所产生的告警列表;
网络信息,用来表示与所述节点相关的网络信息;
标识信息,用来表示所述节点的身份信息。
根据本发明提供的一种基于关联图的分析方法,所述关联图构建的过程中,根据所定义的实体关联关系,生成所述关联图节点之间的边与相应的边属性。
根据本发明提供的一种基于关联图的分析方法,所述操作方法预先与所述图存储系统中的分析算子形成映射,包括:
将能够直接映射所述分析算子的所述操作方法进行第一映射;
对于不能直接映射所述分析算子的所述操作方法,对所述操作方法重写后再进行与所述分析算子的第二映射。
根据本发明提供的一种基于关联图的分析方法,所述对于不能直接映射所述分析算子的所述操作方法,对所述操作方法重写后再进行与所述分析算子的第二映射,之后包括:
基于所述第一映射和所述第二映射,形成初始分析算子集合;
判断所述图存储系统是否支持所述初始分析算子集合中每个第一算子,对于所述图存储系统不能支持的所述第一算子,重写所述第一算子后再进行与所述图存储系统支持的第二算子的第三映射。
本发明还提供的一种基于关联图的分析系统,所述系统基于在先设立的分析模型,所述系统包括:
指令模块,所述指令模块所述分析模型运行至针对关联图的操作方法时,向所述关联图所在的图存储系统发送与所述操作方法相应的指令信号;
反馈获取模块,所述反馈获取模块获取所述图存储系统的反馈信息;
分析模块,所述分析模块基于所述反馈信息运行所述分析模型;
其中,所述操作方法预先与所述图存储系统中的分析算子形成映射,所述指令信号用来使得所述图存储系统运行所述操作方法映射的所述分析算子,以获取所述反馈信息。
本发明还提供的一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一项所述基于关联图的分析方法的步骤。
本发明还提供的一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述基于关联图的分析方法的步骤。
本发明还提供的一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述基于关联图的分析方法的步骤。
本发明提供的基于关联图的分析方法、系统、电子设备、存储介质,能屏蔽图存储系统的异构性,在一定程度上实现关联图存储资源与分析模型计算资源的分离,能有效支撑分析模型升级与关联图规模扩容,适用于大数据生产场景。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于关联图的分析方法流程示意图;
图2为本发明提供的一种基于关联图的分析方法的算子抽取流程示意图;
图3为本发明提供的一种基于关联图的分析系统结构示意图;
图4为本发明提供的基于关联图的分析系统的具体架构;
图5为本发明提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的基于关联图的分析方法进行详细地说明。
图1为本发明提供的一种基于关联图的分析方法流程示意图,如图1所示,本发明提供的一种基于关联图的分析方法,方法基于在先设立的分析模型,方法包括:
S100、分析模型运行至针对关联图的操作方法时,向关联图所在的图存储系统发送与操作方法相应的指令信号。
可选地,分析模型位于整个分析架构的顶层,图存储系统位于分析架构的底层。
可选地,本方法的执行主体为位于顶层的,运行所述分析模型的服务器,服务器具有用来运行所述分析模型的主计算资源。
可选地,服务器与图存储系统位于不同的电脑端或者算力端上。
可选地,关联图以适当的组织方式与表达形式存储于运营管理系统底层的存储系统中,对存储系统具体形式不加限制,可为关系型数据库(如MySQL)、图数据库(如Neo4j)或其它数据存储系统,但要求其能存储关联图节点、边、节点属性、边属性的全量信息,具有辅计算资源,能响应分析算子请求。
S200、获取图存储系统的反馈信息。
可选地,在指令信号下,图存储系统运用自身的辅助计算资源运行对关联图的操作,关联图的操作结果作为反馈信息。
可选地,设置有用来存储反馈信息的主存储系统,通过主计算资源与主存储系统之间交互,使用反馈信息,作为分析模型继续运行的输入。
S300、基于反馈信息运行分析模型;其中,操作方法预先与图存储系统中的分析算子形成映射,指令信号用来使得图存储系统运行操作方法映射的分析算子,以获取反馈信息。
需要说明的是,映射的目的,是将分析模型中与关联图交互的操作方法分解为可被图存储系统执行的运算操作,利用底层存储系统辅计算能力,加快运算处理速度。
可选地,根据分析算子集合内所定义的分析算子集合建立服务器与图存储系统间交互接口。以关系型数据库MySQL、图数据库neo4j为例,图存储系统的辅助计算资源将通过运行SQL、cyphr程序完成分析算子底层计算,将执行结果通过交互接口返回给上层基于关联图的分析模型,完成接口交互。
本实施例能屏蔽图存储系统的异构性,在一定程度上实现关联图存储资源与分析模型计算资源的分离,能有效支撑分析模型升级与关联图规模扩容,适用于大数据生产场景。
进一步地,在前述实施例的基础上,另一实施例中,本实施例提供一种基于关联图的分析方法,分析模型为安全威胁分析模型。
可选地,基于关联图的安全威胁分析模型,其功能包含于负责网络信息安全的安全运营管理系统中。
本实施例细化了分析模型的应用场景,安全威胁分析模型需要升级模型、对关联图扩容,本实施例能够满足这些需求。
进一步地,在前述实施例的基础上,另一实施例中,本实施例提供一种基于关联图的分析方法,关联图构建的过程中,参与网络信息交互的实体为关联图节点,节点包括多个属性信息,多个属性信息包括:
节点类型,用来表示节点所代表的实体类型;
告警事件,用来表示网络系统中安全设备与检测系统所产生的各类告警事件映射到相应节点上所产生的告警列表;
网络信息,用来表示与节点相关的网络信息;
标识信息,用来表示节点的身份信息。
可选地,实体类别包括如物理机、虚拟机、人员、进程;
可选地,网络信息包括如IP、Mac;
可选地,身份信息包括如ID、部门;
本实施例公布了安全威胁分析模型所需要的关联图节点构成。
进一步地,在前述实施例的基础上,另一实施例中,本实施例提供一种基于关联图的分析方法,关联图构建的过程中,根据所定义的实体关联关系,生成关联图节点之间的边与相应的边属性。
可选地,根据应用场景,定义实体关联关系,此类关系包含但不限于承载关系(如虚拟机建立在相应的宿主机上)、网络信息交互关系(如即时通信、邮件传输、浏览器访问)、进程调用关系(如父进程调用子进程)。
可选地,针对承载关系,虚拟机(节点)在某时间间隔内位于宿主机(节点)上,则生成关联图的一条边,可将起止时间范围标记为该边属性。
可选地,针对网络连接交互关系,虚拟机(节点)与另一台虚拟机(节点)产生一次网络通信会话,则生成关联图一条边,可将通信会话起止时间、网络协议、进程标识、传输数据量大小等内容标记为该边属性。
可选地,针对进程调用关系,进程(节点)调用另一进程(节点)行为,则产生关联图一条边。
可选地,关联图可以是有向图或无向图。需要说明的是,全部由无向边构成的图称为无向图(Undirected Graph),全部由有向边构成的图称为有向图(Directed Graph)。
本实施例公布了安全威胁分析模型所需要的关联图节点之间的边与边属性的构成。
进一步地,在前述实施例的基础上,另一实施例中,本实施例提供一种基于关联图的分析方法,操作方法预先与图存储系统中的分析算子形成映射,包括:
将能够直接映射分析算子的操作方法进行第一映射;
对于不能直接映射分析算子的操作方法,对操作方法重写后再进行与分析算子的第二映射。
可选地,根据基于关联图的安全威胁分析模型算法源码,查找当前源码中针对关联图所执行的全部方法,即所述操作方法,通过去重操作,形成方法集合;然后将关联图分析算子逐一映射到方法集合元素上,如有分析算子与当前操作相匹配(例如,基于networkx包所列代码{pre1=G.predecessors(node1),suc1=G.successors(node1)},其中G.predecessors、G.successors分别表示寻找图节点node1的前向节点与后向节点的方法,返回值为节点集合,该映射过程表示为统计算子),则直接将当前操作转化为相应算子,如匹配不成功,则需要按照业务逻辑将当前操作改写为分析算子重写表达,再进行映射。优选地,重写对应操作方法,通过预设的重写模块实现高级算子向基础算子的分解。
可选地,分析算子中包括的检索类算子:给定图上主体(节点、边,包括由其所构成的集合)、确定检索目的,返回检索结果所构成的集合或字典。例如,给定节点node1,检索满足特定约束(如一阶、多阶邻居)节点或边,返回由检索结果所构成的节点或边集合;又例如,给定节点node1,检索其告警属性信息,返回值(异常/正常)或与之关联的告警集合{告警1,告警2,……,告警N}。
可选地,分析算子中包括的统计类算子:给定图上主体(节点、边,包括由其所构成的集合)、确定统计目的,返回统计值。例如,给定节点node1,统计其出度、入度,返回统计值;又例如,给定节点集合{node1,node2},统计节点间边(或满足特定约束条件边)连接数目,返回统计值。
可选地,分析算子中包括的决策类算子:给定图上主体(节点、边,包括由其所构成的集合),确定决策匹配条件,返回逻辑值(True/False)。例如,给定节点集合{node1,node2},判断其是否相连接,连接则返回True,否则,返回False。
可选地,分析算子中包括的计算类算子:给定图上主体(节点、边,包括由其所构成的集合),确定计算目的,返回计算结果所构成的集合或字典。例如,给定节点集合{node1,node2},计算目的是两者之间最短路径,返回节点集合{node1,node3,node6,node2}为两者间最短路径。
需要说明的是,针对上述的4类算子,检索类算子、统计类算子、决策类算子为基础分析算子,默认图存储系统内辅计算资源能支持相关运算操作;计算类算子为高级分析算子,如果图存储系统不能支持或实现过程繁琐,则需要根据计算目标,重写对应操作方法,用前三类算子实现。
本实施例提出了基于关联图的安全威胁分析模型分析算子抽取方法,获得由相应分析算子所构成的元素集合,进一步地,提出了基于关联图的安全威胁分析模型的分析算子定义方法,分别为检索类算子、统计类算子、决策类算子、计算类算子,表示与关联图进行信息交互时分析模型所产生的不同类别操作。
进一步地,在前述实施例的基础上,另一实施例中,图2为本发明提供的一种基于关联图的分析方法的算子抽取流程示意图,如图2所示,本实施例提供一种基于关联图的分析方法,对于不能直接映射分析算子的操作方法,对操作方法重写后再进行与分析算子的第二映射,之后包括:
基于第一映射和第二映射,形成初始分析算子集合;
判断图存储系统是否支持初始分析算子集合中每个第一算子,对于图存储系统不能支持的第一算子,重写第一算子后再进行与图存储系统支持的第二算子的第三映射。
可选地,在第一映射和第二映射的基础上,经去重操作,形成初始分析算子集合,进一步地,判别当前图存储系统能否对支持集合内分析算子,对于不支持的分析算子,则返回,根据业务逻辑重写对应算子的操作方法,再次迭代进行算子抽取,最终与图存储系统达成一致,完成算子抽取。
本实施例针对算子抽取中遇到的图存储系统不支持预置的分析算子情形,将分析算子进一步通过重写模块由高级算子向基础算子转化,从而实现操作方法的全面分析算子映射,并且全部能够由图存储系统执行,将关联图操作的计算量转移到图存储系统中。
下面对本发明提供的基于关联图的分析系统进行描述,下文描述的基于关联图的分析系统与上文描述的基于关联图的分析方方法可相互对应参照。
图3为本发明提供的一种基于关联图的分析系统结构示意图,如图3所示,本发明还提供的一种基于关联图的分析系统,系统基于在先设立的分析模型,系统包括:
指令模块,指令模块分析模型运行至针对关联图的操作方法时,向关联图所在的图存储系统发送与操作方法相应的指令信号;
反馈获取模块,反馈获取模块获取图存储系统的反馈信息;
分析模块,分析模块基于反馈信息运行分析模型;
其中,操作方法预先与图存储系统中的分析算子形成映射,指令信号用来使得图存储系统运行操作方法映射的分析算子,以获取反馈信息。
需要说明的是,按照系统架构,上述系统在安全威胁分析应用场景下分为关联图构建、算子抽取、接口交互、集成计算四个环节,图4为本发明提供的基于关联图的分析系统的具体架构,如图4所示,关联图构建环节通过采集各类日志与流量数据,定义节点类型与关联关系构建关联图,该过程可利用辅计算资源或协同主计算资源实现,相应结果被存储在底层存储资源中;算子抽取环节将图分析模型算法与关联图交互调用方法抽取出来,抽象为相应分析算子;接口交互环节根据所定义的分析算子向图存储系统发送请求,图存储系统利用其自身所具备的辅计算资源算出相应结果,将结果通过接口返回给顶层图分析模型;集成计算环节基于接口所返回的全量结果,使用主计算资源,完成顶层基于关联图的安全威胁分析模型运行,产生分析结果。该实现框架适用于各类基于关联图的安全威胁分析模型与图存储系统,
本实施例能屏蔽图存储系统的异构性,在一定程度上实现关联图存储资源与分析模型计算资源的分离,能有效支撑分析模型升级与关联图规模扩容,适用于大数据生产场景。
图5为本发明提供的一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行基于关联图的分析方法,所述方法基于在先设立的分析模型,所述方法包括:
所述分析模型运行至针对关联图的操作方法时,向所述关联图所在的图存储系统发送与所述操作方法相应的指令信号;
获取所述图存储系统的反馈信息;
基于所述反馈信息运行所述分析模型;
其中,所述操作方法预先与所述图存储系统中的分析算子形成映射,所述指令信号用来使得所述图存储系统运行所述操作方法映射的所述分析算子,以获取所述反馈信息。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的基于关联图的分析方法,所述方法基于在先设立的分析模型,所述方法包括:
所述分析模型运行至针对关联图的操作方法时,向所述关联图所在的图存储系统发送与所述操作方法相应的指令信号;
获取所述图存储系统的反馈信息;
基于所述反馈信息运行所述分析模型;
其中,所述操作方法预先与所述图存储系统中的分析算子形成映射,所述指令信号用来使得所述图存储系统运行所述操作方法映射的所述分析算子,以获取所述反馈信息。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的基于关联图的分析方法,所述方法基于在先设立的分析模型,所述方法包括:
所述分析模型运行至针对关联图的操作方法时,向所述关联图所在的图存储系统发送与所述操作方法相应的指令信号;
获取所述图存储系统的反馈信息;
基于所述反馈信息运行所述分析模型;
其中,所述操作方法预先与所述图存储系统中的分析算子形成映射,所述指令信号用来使得所述图存储系统运行所述操作方法映射的所述分析算子,以获取所述反馈信息。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于关联图的分析方法,其特征在于,所述方法基于在先设立的分析模型,所述方法包括:
所述分析模型运行至针对关联图的操作方法时,向所述关联图所在的图存储系统发送与所述操作方法相应的指令信号;
获取所述图存储系统的反馈信息;
基于所述反馈信息运行所述分析模型;
其中,所述操作方法预先与所述图存储系统中的分析算子形成映射,所述指令信号用来使得所述图存储系统运行所述操作方法映射的所述分析算子,以获取所述反馈信息。
2.根据权利要求1所述的基于关联图的分析方法,其特征在于,所述分析模型为安全威胁分析模型。
3.根据权利要求2所述的基于关联图的分析方法,其特征在于,所述关联图构建的过程中,定义参与网络信息交互的实体为关联图节点,所述节点包括多个属性信息,所述多个属性信息包括:
节点类型,用来表示所述节点所代表的实体类型;
告警事件,用来表示网络系统中安全设备与检测系统所产生的各类告警事件映射到相应节点上所产生的告警列表;
网络信息,用来表示与所述节点相关的网络信息;
标识信息,用来表示所述节点的身份信息。
4.根据权利要求3所述的基于关联图的分析方法,其特征在于,所述关联图构建的过程中,根据所定义的实体关联关系,生成所述关联图节点之间的边与相应的边属性。
5.根据权利要求1所述的基于关联图的分析方法,其特征在于,所述操作方法预先与所述图存储系统中的分析算子形成映射,包括:
将能够直接映射所述分析算子的所述操作方法进行第一映射;
对于不能直接映射所述分析算子的所述操作方法,对所述操作方法重写后再进行与所述分析算子的第二映射。
6.根据权利要求5所述的基于关联图的分析方法,其特征在于,所述对于不能直接映射所述分析算子的所述操作方法,对所述操作方法重写后再进行与所述分析算子的第二映射,之后包括:
基于所述第一映射和所述第二映射,形成初始分析算子集合;
判断所述图存储系统是否支持所述初始分析算子集合中每个第一算子,对于所述图存储系统不能支持的所述第一算子,重写所述第一算子后再进行与所述图存储系统支持的第二算子的第三映射。
7.一种基于关联图的分析系统,其特征在于,所述系统基于在先设立的分析模型,所述系统包括:
指令模块,所述指令模块所述分析模型运行至针对关联图的操作方法时,向所述关联图所在的图存储系统发送与所述操作方法相应的指令信号;
反馈获取模块,所述反馈获取模块获取所述图存储系统的反馈信息;
分析模块,所述分析模块基于所述反馈信息运行所述分析模型;
其中,所述操作方法预先与所述图存储系统中的分析算子形成映射,所述指令信号用来使得所述图存储系统运行所述操作方法映射的所述分析算子,以获取所述反馈信息。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-6中任一项所述基于关联图的分析方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述基于关联图的分析方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述基于关联图的分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210375180.6A CN114844681A (zh) | 2022-04-11 | 2022-04-11 | 基于关联图的分析方法、系统、电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210375180.6A CN114844681A (zh) | 2022-04-11 | 2022-04-11 | 基于关联图的分析方法、系统、电子设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114844681A true CN114844681A (zh) | 2022-08-02 |
Family
ID=82563736
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210375180.6A Pending CN114844681A (zh) | 2022-04-11 | 2022-04-11 | 基于关联图的分析方法、系统、电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114844681A (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150088909A1 (en) * | 2013-09-23 | 2015-03-26 | Bluecava, Inc. | System and method for creating a scored device association graph |
| CN109857917A (zh) * | 2018-12-21 | 2019-06-07 | 中国科学院信息工程研究所 | 面向威胁情报的安全知识图谱构建方法及系统 |
| CN110363449A (zh) * | 2019-07-25 | 2019-10-22 | 中国工商银行股份有限公司 | 一种风险识别方法、装置及系统 |
| CN110390465A (zh) * | 2019-06-18 | 2019-10-29 | 深圳壹账通智能科技有限公司 | 业务数据的风控分析处理方法、装置和计算机设备 |
| CN110875920A (zh) * | 2018-12-24 | 2020-03-10 | 哈尔滨安天科技集团股份有限公司 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
| CN112333706A (zh) * | 2019-07-16 | 2021-02-05 | 中国移动通信集团浙江有限公司 | 物联网设备异常检测方法、装置、计算设备及存储介质 |
| CN112468347A (zh) * | 2020-12-14 | 2021-03-09 | 中国科学院信息工程研究所 | 一种云平台的安全管理方法、装置、电子设备及存储介质 |
| CN112822191A (zh) * | 2021-01-06 | 2021-05-18 | 大连理工大学 | 一种网络化协同系统中多维数据安全性检测的方法 |
| CN113067812A (zh) * | 2021-03-17 | 2021-07-02 | 哈尔滨安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
| CN113364766A (zh) * | 2021-06-03 | 2021-09-07 | 中国工商银行股份有限公司 | 一种apt攻击的检测方法及装置 |
| CN113989019A (zh) * | 2021-10-27 | 2022-01-28 | 平安银行股份有限公司 | 识别风险的方法、装置、设备及存储介质 |
| CN114172701A (zh) * | 2021-11-25 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 基于知识图谱的apt攻击检测方法及装置 |
-
2022
- 2022-04-11 CN CN202210375180.6A patent/CN114844681A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150088909A1 (en) * | 2013-09-23 | 2015-03-26 | Bluecava, Inc. | System and method for creating a scored device association graph |
| CN109857917A (zh) * | 2018-12-21 | 2019-06-07 | 中国科学院信息工程研究所 | 面向威胁情报的安全知识图谱构建方法及系统 |
| CN110875920A (zh) * | 2018-12-24 | 2020-03-10 | 哈尔滨安天科技集团股份有限公司 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
| CN110390465A (zh) * | 2019-06-18 | 2019-10-29 | 深圳壹账通智能科技有限公司 | 业务数据的风控分析处理方法、装置和计算机设备 |
| CN112333706A (zh) * | 2019-07-16 | 2021-02-05 | 中国移动通信集团浙江有限公司 | 物联网设备异常检测方法、装置、计算设备及存储介质 |
| CN110363449A (zh) * | 2019-07-25 | 2019-10-22 | 中国工商银行股份有限公司 | 一种风险识别方法、装置及系统 |
| CN112468347A (zh) * | 2020-12-14 | 2021-03-09 | 中国科学院信息工程研究所 | 一种云平台的安全管理方法、装置、电子设备及存储介质 |
| CN112822191A (zh) * | 2021-01-06 | 2021-05-18 | 大连理工大学 | 一种网络化协同系统中多维数据安全性检测的方法 |
| CN113067812A (zh) * | 2021-03-17 | 2021-07-02 | 哈尔滨安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
| CN113364766A (zh) * | 2021-06-03 | 2021-09-07 | 中国工商银行股份有限公司 | 一种apt攻击的检测方法及装置 |
| CN113989019A (zh) * | 2021-10-27 | 2022-01-28 | 平安银行股份有限公司 | 识别风险的方法、装置、设备及存储介质 |
| CN114172701A (zh) * | 2021-11-25 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 基于知识图谱的apt攻击检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 陶源等: "基于知识图谱驱动的网络安全等级保护日志审计分析模型研究", 《信息网络安全》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN110598280B (zh) | 一种设备仿真系统和方法、计算机可读存储介质 | |
| US20170288974A1 (en) | Graph-based fusing of heterogeneous alerts | |
| CN109067890B (zh) | 一种基于docker容器的CDN节点边缘计算系统 | |
| US20080148398A1 (en) | System and Method for Definition and Automated Analysis of Computer Security Threat Models | |
| US10972508B1 (en) | Generating a network security policy based on behavior detected after identification of malicious behavior | |
| CN102790706B (zh) | 海量事件安全分析方法及装置 | |
| US11818014B2 (en) | Multi-baseline unsupervised security-incident and network behavioral anomaly detection in cloud-based compute environments | |
| CN108228875B (zh) | 基于完美哈希的日志解析方法及装置 | |
| US10884805B2 (en) | Dynamically configurable operation information collection | |
| CN204669399U (zh) | 基于Hadoop架构的网络病毒和威胁监测系统 | |
| JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| CN115061910A (zh) | 一种基于pdca循环的半自动化安全性测试方法 | |
| CN114491513A (zh) | 基于知识图谱的区块链智能合约重入攻击检测系统与方法 | |
| da Silva et al. | An approach for CEP query shipping to support distributed IoT environments | |
| US11805146B2 (en) | System and method for detection promotion | |
| CN114844681A (zh) | 基于关联图的分析方法、系统、电子设备、存储介质 | |
| CN110995489A (zh) | 大数据平台服务器管理方法、装置、服务器及存储介质 | |
| CN106230666B (zh) | 一种业务可用性的监控方法和监控系统 | |
| CN114579809A (zh) | 事件分析方法、装置、电子设备及存储介质 | |
| CN110958267A (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
| CN113672910B (zh) | 安全事件处理方法及装置 | |
| CN115098602B (zh) | 基于大数据平台的数据处理方法、装置、设备及存储介质 | |
| CN116933272B (zh) | 一种游戏漏洞实时分析方法、装置及系统 | |
| CN116566655A (zh) | 入侵检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220802 |