本申请涉及一种基于图结构的网络安全数据处理方法,其中,该方法包括:采集行为数据、安全数据和知识数据;分别将行为数据、安全数据和知识数据转换为图结构,得到行为图数据、安全图数据和知识图数据;通过预设类型的实体,将行为图数据、安全图数据和知识图数据进行关联,得到图分析模型。由于本申请中基于多种类型丰富且互相关联的安全数据得到分析模型,因此,模型中可以建立数据之间更广泛的联系,从而可以发现各种安全事件之间的关系,该分析模型也将具备更高的准确性和全面性,从而能够更加精准和高效的分析处理各类网络安全事件。事件。事件。
【技术实现步骤摘要】
一种基于图结构的网络安全数据处理方法和系统
[0001]本申请涉及网络安全
,特别是涉及一种基于图结构的网络安全数据处理方法和系统。
技术介绍
[0002]随着互联网快速发展,导致网络安全事件的类型越来越丰富。当前,对于日趋严峻的网络安全形势,需要通过APT攻击识别、攻击溯源、威胁狩猎与响应、团伙分析和态势感知等手段进行应对。
[0003]各类安全数据已在较多大数据分析场景中应用,但是,由于当前这类方式往往孤立或部分应用数据,没有统一的体系描述这些数据的分类和使用模式,因此,导致系统的安全分析能力较差。
[0004]目前针对相关技术中,网络安全分析系统效果分析效果较差的问题,尚未提出有效的解决方案。
技术实现思路
[0005]本申请实施例提供了一种基于图结构的网络安全数据处理方法、系统、计算机设备和计算机可读存储介质,以至少解决相关技术中网络安全分析系统效果分析效果较差的问题。
[0006]第一方面,本申请实施例提供了一种基于图结构的网络安全数据处理方法,所述方法包括:
[0007]采集行为数据、安全数据和知识数据;
[0008]分别将所述行为数据、所述安全数据和所述知识数据转换为图结构,得到行为图数据、安全图数据和知识图数据;
[0009]通过预设类型的实体,将所述行为图数据、安全图数据和知识图数据进行关联,得到图分析模型。
[0010]在其中一些实施例中,分别将所述行为数据、所述安全数据和所述知识数据转换为图结构包括:
[0011]分别将所述行为数据、所述安全数据和所述知识数据中的各个实体依次表示为图结构中的节点;
[0012]分别将所述行为数据、所述安全数据和所述知识数据中各个实体之间的跳转表示为图结构中的边;
[0013]分别将所述行为数据、所述安全数据和所述知识数据中,各个实体和边的特征信息表示为图结构中的属性信息。
[0014]在其中一些实施例中,所述行为数据是网络空间内实体的动作数据,包括:原始日志、信息层的检测告警日志和聚合生成的推断告警日志;
[0015]所述安全数据是通过安全设备采集的数据,包括:现存威胁数据和预测安全数据;
[0016]所述知识数据从开源网络获取,是用于归纳和推理且与时间弱相关的安全数据,包括知识库数据和枚举库数据。
[0017]在其中一些实施例中,得到图分析模型之后,所述方法还包括:
[0018]应用所述图分析模型,通过图查询方式进行局部数据分析,以及,通过图计算方式进行全局分析和迭代分析;
[0019]得到用于检测、推理、响应和治理的网络安全支撑数据。
[0020]在其中一些实施例中,通过图查询方式进行局部数据分析包括:
[0021]通过图查询语句进行数据查询,在所述图分析模型中进行局部数据分析。
[0022]在其中一些实施例中,通过图计算方式进行全局分析和迭代分析包括:
[0023]将所述图分析模型融合至机器学习任务,通过算法模型进行全局分析和迭代分析;
[0024]得到用于检测、推理、响应和治理的网络安全支撑数据。
[0025]第二方面,本申请实施例提供了一种基于图结构的网络安全数据处理系统,所述系统包括:采集模块、转换模块以及关联模块,其中;
[0026]所述采集模块用于,采集行为数据、安全数据和知识数据;
[0027]所述转换模块用于,分别将所述行为数据、所述安全数据和所述知识数据转换为图结构,得到行为图数据、安全图数据和知识图数据;
[0028]所述关联模块用于,通过特定类型的实体,将所述行为图数据、安全图数据和知识图数据进行关联,得到图分析模型。
[0029]在其中一些实施例中,所述行为数据是网络空间内实体的动作数据,包括:原始日志、信息层的检测告警日志和聚合生成的推断告警日志;
[0030]所述安全数据是通过安全设备采集的数据,包括:现存威胁数据和预测安全数据;
[0031]所述知识数据从开源网络获取,是用于归纳和推理且与时间弱相关的安全数据,包括知识库数据和枚举库数据。
[0032]第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的基于图结构的网络安全数据处理方法。
[0033]第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的基于图结构的网络安全数据处理方法。
[0034]相比于相关技术,本申请实施例提供的一种基于图结构的网络安全数据处理方法,通过采集行为数据、安全数据和知识数据;分别将所述行为数据、所述安全数据和所述知识数据转换为图结构,得到行为图数据、安全图数据和知识图数据;通过预设类型的实体,将所述行为图数据、安全图数据和知识图数据进行关联,得到图分析模型。从而可以将该分析模型应用在预测、溯源和识别等网络安全分析场景。由于本申请方案在多种丰富的异构数据之间,通过图结构建立起紧密的联系,因此,基于本方案得到的分析模型将具备更加准确和全面的推理检测能力。
附图说明
[0035]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0036]图1是根据本申请实施例的一种灰度发布方法的应用环境示意图;
[0037]图2是根据本申请实施例的一种基于图结构的网络安全数据处理方法的流程图;
[0038]图3是根据本申请实施例的图结构的示意图;
[0039]图4是根据本申请实施例的一种基于图结构的网络安全数据处理方法的结构框图;
[0040]图5是根据本申请实施例的图分析模型的示意图;
[0041]图6是根据本申请实施例的电子设备的内部结构示意图。
具体实施方式
[0042]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0043]显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的
技术实现思路
的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
[0044]在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于图结构的网络安全数据处理方法,其特征在于,所述方法包括:采集行为数据、安全数据和知识数据;分别将所述行为数据、所述安全数据和所述知识数据转换为图结构,得到行为图数据、安全图数据和知识图数据;通过预设类型的实体,将所述行为图数据、安全图数据和知识图数据进行关联,得到图分析模型。2.根据权利要求1所述的方法,其特征在于,分别将所述行为数据、所述安全数据和所述知识数据转换为图结构,包括:分别将所述行为数据、所述安全数据和所述知识数据中的各个实体依次表示为图结构中的节点;分别将所述行为数据、所述安全数据和所述知识数据中各个实体之间的跳转表示为图结构中的边;分别将所述行为数据、所述安全数据和所述知识数据中,各个实体和边的特征信息表示为图结构中的属性信息。3.根据权利要求1所述的方法,其特征在于:所述行为数据是网络空间内实体的动作数据,包括:原始日志、信息层的检测告警日志和聚合生成的推断告警日志;所述安全数据是通过安全设备采集的数据,包括:现存威胁数据和预测安全数据;所述知识数据从开源网络获取,是用于归纳和推理且与时间弱相关的安全数据,包括知识库数据和枚举库数据。4.根据权利要求1所述的方法,其特征在于,得到图分析模型之后,所述方法还包括:应用所述图分析模型,通过图查询方式进行局部数据分析,以及,通过图计算方式进行全局分析和迭代分析;得到用于检测、推理、响应和治理的网络安全支撑数据。5.根据权利要求4所述的方法,其特征在于,通过图查询方式进行局部数据分析包括:通过图查询语句进行数据查询,在所述图分...
【专利技术属性】
技术研发人员:董超,姜峰,徐玉芬,
申请(专利权)人:浙江乾冠信息安全研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。