CN117319051A - 基于用户实体行为分析的安全威胁情报的确定方法及装置 - Google Patents
基于用户实体行为分析的安全威胁情报的确定方法及装置 Download PDFInfo
- Publication number
- CN117319051A CN117319051A CN202311304044.9A CN202311304044A CN117319051A CN 117319051 A CN117319051 A CN 117319051A CN 202311304044 A CN202311304044 A CN 202311304044A CN 117319051 A CN117319051 A CN 117319051A
- Authority
- CN
- China
- Prior art keywords
- security
- safety
- knowledge graph
- determining
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000004458 analytical method Methods 0.000 title claims abstract description 25
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 53
- 239000013598 vector Substances 0.000 claims abstract description 50
- 239000011159 matrix material Substances 0.000 claims abstract description 49
- 238000000354 decomposition reaction Methods 0.000 claims abstract description 21
- 231100000279 safety data Toxicity 0.000 claims abstract description 17
- 230000007123 defense Effects 0.000 claims abstract description 14
- 230000006399 behavior Effects 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 8
- 238000010276 construction Methods 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 4
- 230000002265 prevention Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 2
- 235000018185 Betula X alpestris Nutrition 0.000 description 1
- 235000018212 Betula X uliginosa Nutrition 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Software Systems (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供了一种基于用户实体行为分析的安全威胁情报的确定方法及装置,属于网络安全技术领域,该方法如下:获取安全数据;所述安全数据包括:安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略;对所述安全数据进行分析并构建安全情报知识图谱;根据矩阵分解算法对所述安全情报知识图谱进行处理得到所述安全情报知识图谱对应的嵌入向量;根据余弦相似度算法和所述嵌入向量计算所述安全情报知识图谱之间的相似度;根据预设聚类算法对所述安全情报知识图谱进行分类并确定安全威胁情报。本发明可以实时识别潜在安全威胁,提高了安全威胁的识别的准确率以及可识别安全威胁的范围。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于用户实体行为分析的安全威胁情报的确定方法、装置、设备及存储介质。
背景技术
在当前的网络环境下,安全问题显得尤为重要,传统的安全防御方式已经无法满足新的安全需求;目前,国内的数据安全管控产品都是属于SIEM技术的产品,这类产品对于数据安全的管控是基于规则的,受限于某个时间段的信息和事件,不会将用户及其活动的数据关联起来,也无法做到实时管控,它的集中和管理来自主机系统、应用程序以及网络和安全设备(如防火墙、防病毒过滤器等)的安全事件,存在高比例的误报告警,导致很多场景还需要人为的干预。
发明内容
本发明提供了一种基于用户实体行为分析的安全威胁情报的确定方法、装置、设备及存储介质,可以实时识别潜在安全威胁,提高了安全威胁的识别的准确率以及可识别安全威胁的范围。
第一方面,本发明的实施例提供了一种基于用户实体行为分析的安全威胁情报的确定方法,其特征在于,该方法包括:
获取安全数据;
其中,安全数据包括:安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略;
对安全数据进行分析并构建安全情报知识图谱;
根据矩阵分解算法对安全情报知识图谱进行处理得到安全情报知识图谱对应的嵌入向量;
根据余弦相似度算法和嵌入向量计算安全情报知识图谱之间的相似度;
根据预设聚类算法对安全情报知识图谱进行分类并确定安全威胁情报。
可选地,获取安全数据,包括:
通过安全设备采集安全设备日志;
其中,安全设备包括:防火墙、入侵检测系统和入侵防御系统;
通过采集网络流量并对网络流量进行分析得到网络安全事件;
其中,网络安全事件包括:恶意软件和入侵尝试;
通过对网络、操作系统和应用程序进行安全扫描得到安全漏洞并获取安全漏洞对应的处理方案;
采集安全设备和服务器的配置信息,
其中,配置信息用于分析安全问题;
通过捕获和分析恶意软件样本,确定恶意软件的行为、传播方式和防御策略。
可选地,获取安全数据,还包括:
通过安全摄像头和门禁系统采集物理安全数据;
其中,物理安全数据包括:员工进出记录和非法进入记录。
可选地,对安全数据进行分析并构建安全情报知识图谱,包括:
分析安全数据确定实体和实体关系;
根据实体和实体关系确定构建安全情报知识图谱的模式和模式元素;
其中,模式元素包括:节点、标签和关系;
根据安全数据确定实体和实体关系的属性信息;
根据实体、实体关系和属性信息构建安全情报知识图谱。
可选地,根据矩阵分解算法对安全情报知识图谱进行处理得到安全情报知识图谱对应的嵌入向量,包括:
通过构建邻接矩阵表示安全情报知识图谱中的节点和边;
根据矩阵分解算法将邻接矩阵分解为三个矩阵;
其中,第一矩阵表示节点在低维空间中的位置,包含了图的主要信息;第二矩阵为奇异值矩阵,表示节点的重要程度;第三矩阵表示节点在原始空间中的表达;
根据保留的奇异值个数按列截取第一矩阵得到嵌入向量;
对嵌入向量进行归一化操作。
可选地,根据预设聚类算法对安全情报知识图谱进行分类并确定安全威胁情报,包括:
以嵌入向量为样本,根据DBSCAN聚类算法和样本之间的相似度对样本进行分类;
根据分类结果确定安全情报知识图谱的分类。
可选地,以嵌入向量为样本,根据DBSCAN聚类算法和样本之间的相似度对样本进行分类,包括:
随机选取一个未分类样本;
选取未分类样本半径内所有样本,若不能形成一个簇,则将未分类样本标记为噪声样本;
对噪声样本的实体和实体关系进行分析并结合噪声的连续性和联通性确定安全威胁情报。
第二方面,本发明的实施例提供了一种基于用户实体行为分析的安全威胁情报的确定装置,该装置包括:
获取模块,用于获取安全数据;
其中,安全数据包括:安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略;
构建模块,用于对安全数据进行分析并构建安全情报知识图谱;
分解模块,用于根据矩阵分解算法对安全情报知识图谱进行处理得到安全情报知识图谱对应的嵌入向量;
计算模块,用于根据余弦相似度算法和嵌入向量计算安全情报知识图谱之间的相似度;
确定模块,用于根据预设聚类算法对安全情报知识图谱进行分类并确定安全威胁情报。
第三方面,本发明的实施例提供了一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如第一方面中任一实现方式所述的方法。
第四方面,本发明的实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面中任一实现方式所述的方法。
本发明提供了一种基于用户实体行为分析的安全威胁情报的确定方法、装置、设备及存储介质,该方法如下:获取安全数据;所述安全数据包括:安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略;对所述安全数据进行分析并构建安全情报知识图谱;根据矩阵分解算法对所述安全情报知识图谱进行处理得到所述安全情报知识图谱对应的嵌入向量;根据余弦相似度算法和所述嵌入向量计算所述安全情报知识图谱之间的相似度;根据预设聚类算法对所述安全情报知识图谱进行分类并确定安全威胁情报。本发明可以实时识别潜在安全威胁,提高了安全威胁的识别的准确率以及可识别安全威胁的范围。
应当理解,发明内容部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征,亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本发明各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素。
图1为本发明实施例的一种基于用户实体行为分析的安全威胁情报的确定方法的流程图;
图2为本发明实施例的一种基于用户实体行为分析的安全威胁情报的确定装置的结构示意图;
图3为本发明实施例的一种电子设备的结构图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书一个或多个实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。
需要说明的是,本发明实施例描述的仅仅是为了更加清楚的说明本发明实施例的技术方案,并不构成对本发明实施例提供的技术方案的限定。
图1为本发明实施例的一种基于用户实体行为分析的安全威胁情报的确定方法的流程图。如图1所示,包括:
S101、获取安全数据。
其中,安全数据包括:安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略。
可选地,许多安全设备例如:防火墙、入侵检测系统、入侵防御系统等都可以记录安全事件的日志信息,通过获取安全设备日志并聚合到中央日志服务器中,用于对安全事件进行分析和响应。
可选地,可以通过采集网络流量并进行分析来获取网络安全事件,例如:恶意软件、入侵尝试等;还可以通过对网络、操作系统、应用程序等进行安全扫描来发现安全漏洞,并根据扫描结果来制定针对安全漏洞的修复计划。
可选地,可以通过采集安全设备和服务器的配置信息,并进行审计来发现安全问题。
可选地,可以通过捕获和分析恶意软件样本,确定恶意软件的行为、传播方式和防御策略。
可选地,可以通过安全摄像头和门禁系统等采集物理安全数据,用于监控和预防物理安全事件;其中,物理安全数据包括:员工进出记录和非法进入记录。
S102、对安全数据进行分析并构建安全情报知识图谱。
可选地,对安全数据进行分析并构建安全情报知识图谱,包括:
分析安全数据确定实体和实体关系;
示例性地,分析安全设备日志数据可以确定用户、IP地址、事件等实体,以及实体之间的关系。
根据实体和实体关系确定构建安全情报知识图谱的模式和模式元素;其中,模式元素包括但不限于:节点、标签和关系;
根据安全数据确定实体和实体关系的属性信息;
示例性地,用户实体可以拥有姓名、角色等属性,通过定义实体的属性信息可以更好地理解和描述实体和实体关系。
根据实体、实体关系和属性信息构建安全情报知识图谱。
可选地,构建安全情报知识图谱是将实体、实体关系和属性信息以图的形式进行表示。
可选地,可以使用查询语言Cypher来查询和分析数据,实现安全情报知识图谱的实时探索和分析。
S103、根据矩阵分解算法对安全情报知识图谱进行处理得到安全情报知识图谱对应的嵌入向量。
可选地,具体包括:
通过构建邻接矩阵表示安全情报知识图谱中的节点和边;
可选地,邻接矩阵中的每个元素表示节点之间的连接关系,0表示无连接,1表示有连接。
根据矩阵分解算法将邻接矩阵分解为三个矩阵;
其中,第一矩阵表示节点在低维空间中的位置,包含了图的主要信息;第二矩阵为奇异值矩阵,表示节点的重要程度;第三矩阵表示节点在原始空间中的表达。
根据保留的奇异值个数按列截取第一矩阵得到嵌入向量;
示例性地,可以选择保留前k个奇异值,将第一矩阵按列截取成大小为n×k的矩阵得到嵌入向量,表示将n个节点嵌入到k维空间中。
对嵌入向量进行归一化操作;
可选地,若是将第一矩阵按列截取成大小为n×k的矩阵得到的嵌入向量,则将每个节点在k维空间中的坐标除以其欧几里得长度,从而将节点映射到单位超球面上,实现嵌入向量的归一化操作。
示例性地,若有一个包含10个节点的图,每个节点代表一个安全攻击,可以使用一种嵌入方法将每个攻击转换成一个5维的嵌入向量,嵌入向量的第1个维度可以表示攻击的类型,第2个维度可以表示攻击的来源,第3个维度可以表示攻击的目标,第4个维度可以表示攻击的手段,第5个维度可以表示攻击的危害程度。
需要说明的是,上述实施例中采用的嵌入方法包括但不限于为矩阵分解算法,维度的具体含义可以根据实际需求进行定义和调整。
S104、根据余弦相似度算法和嵌入向量计算安全情报知识图谱之间的相似度。
示例性地,计算嵌入向量A和嵌入向量B的相似度,嵌入向量A=(a1,a2,…,an),B=(b1,b2,…,bn);
根据如下公式计算向量A和向量B的余弦相似度:
可选地,余弦相似度的值范围在-1到1之间,当两个向量方向完全一致时,余弦相似度达到最大值1;当两个向量方向完全相反时,余弦相似度达到最小值-1;当两个向量互相垂直时,余弦相似度为0,表示两个向量之间没有相似性。
S105、根据预设聚类算法对安全情报知识图谱进行分类并确定安全威胁情报。
可选地,根据预设聚类算法对安全情报知识图谱进行分类并确定安全威胁情报,包括:
以嵌入向量为样本,根据DBSCAN聚类算法和样本之间的相似度对样本进行分类;
可选地,DBSCAN聚类算法可以将高密度区域看作是簇,并通过样本之间的密度来确定簇的大小和形状。
根据分类结果确定安全情报知识图谱的分类。
需要说明的是,本发明中采用的聚类算法不限于DBSCAN聚类算法,也可以使用其他聚类算法,例如:K-means聚类算法或Birch聚类算法。
可选地,以嵌入向量为样本,根据DBSCAN聚类算法和样本之间的相似度对样本进行分类,包括:
从样本数据集中随机选择一个未分类样本,寻找其半径内的所有样本,并判断这些样本是否能形成一个簇;如果能形成一个簇,则将这些样本标记为已分类,并继续寻找相邻的样本;如果不能形成一个簇,则将该为分类样本标记为噪声样本,并继续访问下一个未被访问的样本,直到所有的样本都被访问完。
可选地,通过对噪声样本的实体和关系的具体分析,再结合噪声连续性和联通性判断该噪声样本是否对应非安全事件,被判定为非安全事件的样本即为安全威胁情报。
本发明实施例提供了一种基于用户实体行为分析的安全威胁情报的确定方法,该方法如下:获取安全数据;所述安全数据包括:安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略;对所述安全数据进行分析并构建安全情报知识图谱;根据矩阵分解算法对所述安全情报知识图谱进行处理得到所述安全情报知识图谱对应的嵌入向量;根据余弦相似度算法和所述嵌入向量计算所述安全情报知识图谱之间的相似度;根据预设聚类算法对所述安全情报知识图谱进行分类并确定安全威胁情报。本发明可以实时识别潜在安全威胁,提高了安全威胁的识别的准确率以及可识别安全威胁的范围。本发明基于嵌入算法、聚类算法和大数据技术分析用户实体的行为模式,以识别异常和潜在的威胁,相比于安全信息和事件管理(Security Information and EventManagement,SIEM)可以实时识别潜在安全威胁,提高了安全威胁的识别的准确率以及可识别安全威胁的范围。
以下结合图2详细说明本发明实施例提供的可以执行上述基于用户实体行为分析的安全威胁情报的确定方法的装置。
示例性地,图2为本发明实施例的一种基于用户实体行为分析的安全威胁情报的确定装置的结构示意图;如图2所示,确定装置20包括:
获取模块201,用于获取安全数据;
其中,安全数据包括:安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略;
构建模块202,用于对安全数据进行分析并构建安全情报知识图谱;
分解模块203,用于根据矩阵分解算法对安全情报知识图谱进行处理得到安全情报知识图谱对应的嵌入向量;
计算模块204,用于根据余弦相似度算法和嵌入向量计算安全情报知识图谱之间的相似度;
确定模块205,用于根据预设聚类算法对安全情报知识图谱进行分类并确定安全威胁情报。
可选地,获取模块201,还用于通过安全设备采集安全设备日志;其中,安全设备包括:防火墙、入侵检测系统和入侵防御系统;通过采集网络流量并对网络流量进行分析得到网络安全事件;其中,网络安全事件包括:恶意软件和入侵尝试;通过对网络、操作系统和应用程序进行安全扫描得到安全漏洞并获取安全漏洞对应的处理方案;采集安全设备和服务器的配置信息,其中,配置信息用于分析安全问题;通过捕获和分析恶意软件样本,确定恶意软件的行为、传播方式和防御策略;通过安全摄像头和门禁系统采集物理安全数据;其中,物理安全数据包括:员工进出记录和非法进入记录。
可选地,构建模块202,还用于分析安全数据确定实体和实体关系;
根据实体和实体关系确定构建安全情报知识图谱的模式和模式元素;其中,模式元素包括:节点、标签和关系;根据安全数据确定实体和实体关系的属性信息;根据实体、实体关系和属性信息构建安全情报知识图谱。
可选地,分解模块203,还用于通过构建邻接矩阵表示安全情报知识图谱中的节点和边;根据矩阵分解算法将邻接矩阵分解为三个矩阵;其中,第一矩阵表示节点在低维空间中的位置,包含了图的主要信息;第二矩阵为奇异值矩阵,表示节点的重要程度;第三矩阵表示节点在原始空间中的表达;根据保留的奇异值个数按列截取第一矩阵得到嵌入向量;对嵌入向量进行归一化操作。
可选地,确定模块205,还用于以嵌入向量为样本,根据DBSCAN聚类算法和样本之间的相似度对样本进行分类;根据分类结果确定安全情报知识图谱的分类。
可选地,确定模块205,还用于随机选取一个未分类样本;选取未分类样本半径内所有样本,若不能形成一个簇,则将未分类样本标记为噪声样本;对噪声样本的实体和实体关系进行分析并结合噪声的连续性和联通性确定安全威胁情报。
本发明实施例还提供了一种计算机电子设备,图3示出了可以应用本发明实施例的电子设备的结构示意图,如图3所示,该计算机电子设备包括,中央处理模块(CPU)301,其可以根据存储在只读存储器(ROM)302中的程序或者从存储部分308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。在RAM 303中,还存储有系统操作所需的各种程序和数据。CPU 301、ROM 302以及RAM 303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。
以下部件连接至I/O接口305:包括键盘、鼠标等的输入部分306;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分307;包括硬盘等的存储部分308;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分309。通信部分309经由诸如因特网的网络执行通信处理。驱动器310也根据需要连接至I/O接口305。可拆卸介质311,诸如磁盘、光盘、磁光盘、半导体存储器等,根据需要安装在驱动器310上,以便于从其上读出的计算机程序根据需要被安装入存储部分308。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块或模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块201、构建模块202、分解模块203、计算模块204和确定模块205,其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,计算模块204还可以被描述为“用于根据余弦相似度算法和嵌入向量计算安全情报知识图谱之间的相似度的计算模块204”。
作为另一方面,本发明还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中所述一种基于用户实体行为分析的安全威胁情报的确定装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入电子设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本发明的一种基于用户实体行为分析的安全威胁情报的确定方法。
以上描述仅为本发明的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本发明中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种基于用户实体行为分析的安全威胁情报的确定方法,其特征在于,该方法包括:
获取安全数据;所述安全数据包括:安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略;
对所述安全数据进行分析并构建安全情报知识图谱;
根据矩阵分解算法对所述安全情报知识图谱进行处理得到所述安全情报知识图谱对应的嵌入向量;
根据余弦相似度算法和所述嵌入向量计算所述安全情报知识图谱之间的相似度;
根据预设聚类算法对所述安全情报知识图谱进行分类并确定安全威胁情报。
2.根据权利要求1所述的基于用户实体行为分析的安全威胁情报的确定方法,其特征在于,所述获取安全数据,包括:
通过安全设备采集所述安全设备日志;所述安全设备包括:防火墙、入侵检测系统和入侵防御系统;
通过采集网络流量并对所述网络流量进行分析得到所述网络安全事件;所述网络安全事件包括:恶意软件和入侵尝试;
通过对网络、操作系统和应用程序进行安全扫描得到安全漏洞并获取所述安全漏洞对应的处理方案;
采集安全设备和服务器的配置信息,所述配置信息用于分析安全问题;
通过捕获和分析恶意软件样本,确定恶意软件的行为、传播方式和防御策略。
3.根据权利要求1所述的基于用户实体行为分析的安全威胁情报的确定方法,其特征在于,所述获取安全数据,还包括:
通过安全摄像头和门禁系统采集物理安全数据;所述物理安全数据包括:员工进出记录和非法进入记录。
4.根据权利要求1所述的基于用户实体行为分析的安全威胁情报的确定方法,其特征在于,所述对所述安全数据进行分析并构建安全情报知识图谱,包括:
分析所述安全数据确定实体和实体关系;
根据所述实体和所述实体关系确定构建所述安全情报知识图谱的模式和模式元素;所述模式元素包括:节点、标签和关系;
根据所述安全数据确定所述实体和所述实体关系的属性信息;
根据所述实体、实体关系和所述属性信息构建所述安全情报知识图谱。
5.根据权利要求1所述的基于用户实体行为分析的安全威胁情报的确定方法,其特征在于,所述根据矩阵分解算法对所述安全情报知识图谱进行处理得到所述安全情报知识图谱对应的嵌入向量,包括:
通过构建邻接矩阵表示所述安全情报知识图谱中的节点和边;
根据矩阵分解算法将所述邻接矩阵分解为三个矩阵;
其中,第一矩阵表示节点在低维空间中的位置,包含了图的主要信息;第二矩阵为奇异值矩阵,表示节点的重要程度;第三矩阵表示节点在原始空间中的表达;
根据保留的奇异值个数按列截取所述第一矩阵得到所述嵌入向量;
对所述嵌入向量进行归一化操作。
6.根据权利要求1所述的基于用户实体行为分析的安全威胁情报的确定方法,其特征在于,所述根据预设聚类算法对所述安全情报知识图谱进行分类并确定安全威胁情报,包括:
以所述嵌入向量为样本,根据DBSCAN聚类算法和样本之间的相似度对所述样本进行分类;
根据分类结果确定所述安全情报知识图谱的分类。
7.根据权利要求6所述的基于用户实体行为分析的安全威胁情报的确定方法,其特征在于,所述以所述嵌入向量为样本,根据DBSCAN聚类算法和样本之间的相似度对所述样本进行分类,包括:
随机选取一个未分类样本;
选取所述未分类样本半径内所有样本,若不能形成一个簇,则将所述未分类样本标记为噪声样本;
对所述噪声样本的实体和实体关系进行分析并结合噪声的连续性和联通性确定安全威胁情报。
8.一种基于用户实体行为分析的安全威胁情报的确定装置,其特征在于,该装置包括:
获取模块,用于获取安全数据;所述安全数据包括:安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略;
构建模块,用于对所述安全数据进行分析并构建安全情报知识图谱;
分解模块,用于根据矩阵分解算法对所述安全情报知识图谱进行处理得到所述安全情报知识图谱对应的嵌入向量;
计算模块,用于根据余弦相似度算法和所述嵌入向量计算所述安全情报知识图谱之间的相似度;
确定模块,用于根据预设聚类算法对所述安全情报知识图谱进行分类并确定安全威胁情报。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311304044.9A CN117319051A (zh) | 2023-10-09 | 2023-10-09 | 基于用户实体行为分析的安全威胁情报的确定方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311304044.9A CN117319051A (zh) | 2023-10-09 | 2023-10-09 | 基于用户实体行为分析的安全威胁情报的确定方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117319051A true CN117319051A (zh) | 2023-12-29 |
Family
ID=89249645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311304044.9A Pending CN117319051A (zh) | 2023-10-09 | 2023-10-09 | 基于用户实体行为分析的安全威胁情报的确定方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117319051A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117792801A (zh) * | 2024-02-28 | 2024-03-29 | 贵州华谊联盛科技有限公司 | 一种基于多元事件分析的网络安全威胁识别方法及系统 |
-
2023
- 2023-10-09 CN CN202311304044.9A patent/CN117319051A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117792801A (zh) * | 2024-02-28 | 2024-03-29 | 贵州华谊联盛科技有限公司 | 一种基于多元事件分析的网络安全威胁识别方法及系统 |
| CN117792801B (zh) * | 2024-02-28 | 2024-05-14 | 贵州华谊联盛科技有限公司 | 一种基于多元事件分析的网络安全威胁识别方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ahmed et al. | Novel approach for network traffic pattern analysis using clustering-based collective anomaly detection | |
| Nguyen et al. | Design and implementation of intrusion detection system using convolutional neural network for DoS detection | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| Ramaki et al. | A systematic mapping study on intrusion alert analysis in intrusion detection systems | |
| Zabihimayvan et al. | A soft computing approach for benign and malicious web robot detection | |
| CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
| Spathoulas et al. | Enhancing IDS performance through comprehensive alert post-processing | |
| CN110620696A (zh) | 针对企业网络安全态势感知的评分方法和装置 | |
| Wei et al. | Strategic application of ai intelligent algorithm in network threat detection and defense | |
| Lin et al. | Collaborative alert ranking for anomaly detection | |
| CN117319051A (zh) | 基于用户实体行为分析的安全威胁情报的确定方法及装置 | |
| CN117216660A (zh) | 基于时序网络流量集成异常点和异常集群检测方法及装置 | |
| CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及系统 | |
| CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
| US10637878B2 (en) | Multi-dimensional data samples representing anomalous entities | |
| Liu et al. | Mltracer: Malicious logins detection system via graph neural network | |
| CN110674498A (zh) | 一种基于多维度文件活动的内部威胁检测方法及系统 | |
| Alshathri et al. | An Efficient Intrusion Detection Framework for Industrial Internet of Things Security. | |
| Yin et al. | Anomaly traffic detection based on feature fluctuation for secure industrial internet of things | |
| Alfalayleh et al. | Quantifying privacy: A novel entropy-based measure of disclosure risk | |
| WO2016173327A1 (zh) | 用于检测网站攻击的方法和设备 | |
| CN111709021A (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
| Alshehri | APP-NTS: a network traffic similarity-based framework for repacked Android apps detection | |
| CN114117418B (zh) | 基于社群检测异常账户的方法、系统、设备及存储介质 | |
| CN115987544A (zh) | 一种基于威胁情报的网络安全威胁预测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |