本申请提供一种基于威胁情报的威胁分析图谱生成、应用方法及装置,涉及数据安全领域,该方法包括:获取待分析数据的多个数据类型;获取多个数据类型之间的多个数据关系;数据关系包括威胁情报之间的关联关系;确定与多个数据关系一一对应的多个数据关联指向;将多个数据类型定义为图谱顶点,将多个数据关系定义为图谱边线,根据多个数据关联指向构建基于威胁情报的威胁分析图谱。可见,实施这种实施方式,能够生成基于威胁情报的威胁分析图谱,该威胁图谱可以直接投入使用。同时,因为通过该方法生成的威胁分析图谱通常是适合用户网络环境的,因此,该方法能够更容易地获取与用户网络环境相适合的威胁情报。环境相适合的威胁情报。环境相适合的威胁情报。
【技术实现步骤摘要】
一种基于威胁情报的威胁分析图谱生成、应用方法及装置
[0001]本申请涉及数据安全领域,具体而言,涉及一种基于威胁情报的威胁分析图谱生成、应用方法及装置。
技术介绍
[0002]目前,威胁情报的获取方式通常是在海量的日志数据中进行提取。具体的,在该过程中通常需要专业的威胁情报分析团队对海量的日志数据进行分析,然后再把分析出来的结果反馈给用户。然而,在实践中发现,该种威胁情报分析方式相当耗费人力物力,同时也存在分析出来的结果与用户自身的网络环境不相适应的情况。这就使得如何容易地获取与用户网络环境相适合的威胁情报成为了一个亟待解决的问题。
技术实现思路
[0003]本申请的目的在于提供一种基于威胁情报的威胁分析图谱生成、应用方法及装置,能够生成基于威胁情报的威胁分析图谱,该威胁图谱可以直接被用投入使用。同时,因为通过该方法生成的威胁分析图谱通常是适合用户网络环境的,因此,该方法能够更容易地获取与用户网络环境相适合的威胁情报。
[0004]本申请实施例第一方面提供了一种基于威胁情报的威胁分析图谱生成方法,所述方法包括:
[0005]获取待分析数据的多个数据类型;
[0006]获取所述多个数据类型之间的多个数据关系;所述数据关系包括所述威胁情报之间的关联关系;
[0007]确定与所述多个数据关系一一对应的多个数据关联指向;
[0008]将所述多个数据类型定义为图谱顶点,将所述多个数据关系定义为图谱边线,根据所述多个数据关联指向构建基于威胁情报的威胁分析图谱。
[0009]在上述实现过程中,该方法可以根据数据的数据类型和数据类型之间的关联关系确定出数据关联无向图,然后再在此基础上结合每种数据关系的数据关联指向,构建出威胁分析图谱,并将该威胁分析图谱基于威胁情报的场景当中。其中,所有的数据类型和关联关系都是基于指定网络环境中的威胁情报提出的,因此由该方法构建的威胁分析图谱具有很强的专业性与针对性。可见,实施这种实施方式,能够将适合用户网络环境的威胁图谱直接投入到威胁情报的分析过程中,从而使得该方法能够更容易、更方便地获取与用户网络环境相适合的威胁情报。
[0010]进一步地,所述获取所述多个数据类型之间的多个数据关系的步骤包括:
[0011]获取与所述多个数据类型一一对应的多个数据关系集合;其中,数据关系集合包括数据自相关关系子集合和数据互相关关系子集合;
[0012]对所述多个数据互相关关系子集合中的数据关系进行去重,得到去重结果;
[0013]组合所述去重结果和所述数据自相关关系子集合,得到所述多个数据类型之间的
多个数据关系。
[0014]进一步地,根据所述多个数据关联指向构建基于威胁情报的威胁分析图谱的步骤包括:
[0015]提取每个数据关联指向的起始顶点和终止顶点;所述起始顶点和所述终止顶点皆为所述图谱顶点;
[0016]确定所述起始顶点和所述终止顶点之间的特定图谱边线;
[0017]在所述特定图谱边线的所述终止顶点端生成指向箭头,得到基于威胁情报的威胁分析图谱。
[0018]本申请实施例第二方面提供了一种基于威胁分析图谱的应用方法,所述方法包括:
[0019]获取所述待分析数据;
[0020]将所述待分析数据代入所述威胁分析图谱中进行数据构建,得到json数据;
[0021]将所述json数据推送到分布式文件系统,并通过所述分布式文件系统对所述json数据进行数据处理,得到图数据库。
[0022]进一步地,所述获取待分析数据的步骤包括:
[0023]获取基底数据;
[0024]提取所述基底数据中每个数据的基底数据类型和基底数据信息;
[0025]根据所述基底数据类型和所述基底数据信息进行计算,得到数据id;
[0026]在所述基底数据中剔除数据id相同的数据,得到待分析数据。
[0027]进一步地,所述方法还包括:
[0028]接收用户输入的查询内容;
[0029]在所述图数据库中查找与所述查询内容相匹配的查询数据;
[0030]对所述查询数据进行威胁分析,得到威胁情报分析结果;
[0031]对所述威胁情报分析结果进行可视化输出。
[0032]进一步地,所述对所述查询数据进行威胁分析,得到威胁情报分析结果的步骤包括:
[0033]获取所述查询数据在所述图数据库中的出度数据和入度数据;
[0034]在所述查询数据、所述出度数据以及所述入度数据中提取根节点数据和恶意节点数据;
[0035]对所述根节点数据和所述恶意节点数据进行定性分析,得到威胁情报分析结果。
[0036]进一步地,所述通过所述分布式文件系统对所述json数据进行数据处理,得到图数据库的步骤包括:
[0037]在所述分布式文件系统中,使用spark将所述json数据进行数据记录在nebula图数据库中。
[0038]本申请实施例第三方面提供了一种基于威胁情报的威胁分析图谱生成装置,所述基于威胁情报的威胁分析图谱生成装置包括:
[0039]获取单元,用于获取待分析数据的多个数据类型;
[0040]所述获取单元,还用于获取所述多个数据类型之间的多个数据关系;所述数据关系包括所述威胁情报之间的关联关系;
[0041]确定单元,用于确定与所述多个数据关系一一对应的多个数据关联指向;
[0042]构建单元,用于将所述多个数据类型定义为图谱顶点,将所述多个数据关系定义为图谱边线,根据所述多个数据关联指向构建基于威胁情报的威胁分析图谱。
[0043]在上述实现过程中,该装置能够生成具有很强的专业性与针对性的威胁分析图谱,并能够直接将其直接投入到威胁情报的分析过程中。可见,实施这种实施方式,该装置能够更容易、更方便地获取与用户网络环境相适合的威胁情报。
[0044]本申请实施例第四方面提供了一种基于威胁情报的威胁分析图谱应用装置,所述威胁分析图谱应用装置包括威胁分析图谱生成装置中的各个单元,并且该威胁分析图谱应用装置还包括:
[0045]所述获取单元,还用于获取待分析数据;
[0046]所述构建单元,还用于将所述待分析数据代入所述威胁分析图谱中进行数据构建,得到json数据;
[0047]处理单元,用于将所述json数据推送到分布式文件系统,并通过所述分布式文件系统对所述json数据进行数据处理,得到图数据库。
[0048]进一步地,所述基于威胁情报的威胁分析图谱应用装置还包括:
[0049]接收单元,用于接收用户输入的查询内容;
[0050]查询单元,用于在所述图数据库中查找与所述查询内容相匹配的查询数据;
[0051]分析单元,用于对所述查询数据进行威胁分析,得到威胁情报分析结果;
[0052]输出单元,用于对所述威胁情报分析结果进行可视化输出。
[0053]本申请实施例第五方面提供本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于威胁情报的威胁分析图谱生成方法,其特征在于,所述方法包括:获取待分析数据的多个数据类型;获取所述多个数据类型之间的多个数据关系;所述数据关系包括所述威胁情报之间的关联关系;确定与所述多个数据关系一一对应的多个数据关联指向;将所述多个数据类型定义为图谱顶点,将所述多个数据关系定义为图谱边线,根据所述多个数据关联指向构建基于威胁情报的威胁分析图谱。2.根据权利要求1所述的基于威胁情报的威胁分析图谱生成方法,其特征在于,所述获取所述多个数据类型之间的多个数据关系的步骤包括:获取与所述多个数据类型一一对应的多个数据关系集合;其中,数据关系集合包括数据自相关关系子集合和数据互相关关系子集合;对所述多个数据互相关关系子集合中的数据关系进行去重,得到去重结果;组合所述去重结果和所述数据自相关关系子集合,得到所述多个数据类型之间的多个数据关系。3.根据权利要求1所述的基于威胁情报的威胁分析图谱生成方法,其特征在于,根据所述多个数据关联指向构建基于威胁情报的威胁分析图谱的步骤包括:提取每个数据关联指向的起始顶点和终止顶点;所述起始顶点和所述终止顶点皆为所述图谱顶点;确定所述起始顶点和所述终止顶点之间的特定图谱边线;在所述特定图谱边线的所述终止顶点端生成指向箭头,得到基于威胁情报的威胁分析图谱。4.一种基于威胁分析图谱的应用方法,其特征在于,所述方法包括:获取所述待分析数据;将所述待分析数据代入所述威胁分析图谱中进行数据构建,得到json数据;将所述json数据推送到分布式文件系统,并通过所述分布式文件系统对所述json数据进行数据处理,得到图数据库。5.根据权利要求4所述的基于威胁分析图谱的应用方法,其特征在于,所述获取待分析数据的步骤包括:获取基底数据;提取所述基底数据中每个数据的基底数据类型和基底数据信息;根据所述基底数据类型和所述基底数据信息进行计算,得到数据id;在所述基底数据中剔除数据id相同的数据,得到待分析数据。6.根据权利要求4所述的基于威胁分析图谱的应用方法,其特征在于,所述方法还包括:接收用户输入的查询内容;在所述图数据库中查找与所述查询内容相匹配的查询数据;...
【专利技术属性】
技术研发人员:白敏,万文杰,黄朝文,李佳馨,汪列军,李敏,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。