CN113361716A - 威胁推理规则构建方法及装置 - Google Patents
威胁推理规则构建方法及装置 Download PDFInfo
- Publication number
- CN113361716A CN113361716A CN202110715922.0A CN202110715922A CN113361716A CN 113361716 A CN113361716 A CN 113361716A CN 202110715922 A CN202110715922 A CN 202110715922A CN 113361716 A CN113361716 A CN 113361716A
- Authority
- CN
- China
- Prior art keywords
- inference
- reasoning
- threat
- rule
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Databases & Information Systems (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种威胁推理规则构建方法及装置,属于网络安全技术领域,通过以构建面向安全情报的知识图谱为推理依据,从推理方向、推理深度、推理时间等维度进行推理规则的设计,能够有效缓解海量数据下的推理深度不可控导致数据***的问题,且可以兼顾数据时效性和价值。解决了现有技术中对安全情报数据的利用不充分,各类数据间的关系挖掘不全面,产生的知识密度低的问题,本方法能够从海量数据中获取价值密度高、隐含关系较强的威胁情报数据,以支撑领域专家对安全告警事件分析的可靠、可信数据需求。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种威胁推理规则构建方法及装置。
背景技术
威胁推理主要是对获取的情报数据进行分析,实现对目标主体的威胁程度的判定。威胁推理基于特定的推理规则进行数据关联分析,对输入的目标主体进行多个维度、多个方向的关联数据获取,通过对关联数据的综合分析实现威胁程度的研判。
目前威胁推理规则构建主要采用攻击图、关系模型、产生式规则等方法构建推理过程,对安全情报数据的利用不充分,各类数据间的关系挖掘不全面,产生的知识密度低,针对网络安全领域面向安全情报数据的威胁推理尚未形成有效的分析手段。
发明人针对现有安全情报数据利用不充分、推理规则泛化能力差的问题,提出了面向安全情报知识图谱的威胁推理规则构建方法。以构建面向安全情报的知识图谱为推理依据,从推理方向、推理深度、推理时间等维度进行推理规则的设计,能够有效解决网络安全领域数据知识密度低、推理规则泛化能力差的问题,从底层数据结构设计出发,自底向上形成一套完整的威胁推理体系。
发明内容
有鉴于此,本发明提供的一种威胁推理规则构建方法及装置,主要目的在于解决现有技术中对安全情报数据的利用不充分、推理规则泛化能力差的问题。该方法以构建面向安全情报的知识图谱为推理依据,从推理方向、推理深度、推理时间等维度进行推理规则的设计,针对网络安全领域面向安全情报数据的威胁推理形成有效的分析手段。
根据本发明一个方面,提供了一种威胁推理规则构建方法,该方法包括步骤:S1:对历史网络安全情报数据进行关联关系建模,形成面向安全情报的知识图谱;S2:对输入的分析线索进行图谱检索,获取到所述分析线索在所述面向安全情报的知识图谱中所对应的多个实体;S3:基于所述面向安全情报的知识图谱,对所述多个实体构建整体威胁推理规则,所述整体威胁推理规则分为三个阶段的推理规则,所述三个阶段分别为推理深度阶段、推理方向阶段以及推理时间阶段;S4:对所述多个实体按照所述整体威胁推理规则进行威胁推理,获得威胁推理结果。
作为本发明的进一步改进,所述推理深度阶段的推理规则包括最小推理深度计算和最大推理深度计算;最小推理深度:基于所述面向安全情报的知识图谱,利用Dijkstra算法分别计算所述多个实体到威胁性实体的最短路径,以其中最短路径的深度作为最小推理深度;最大推理深度:最大推理深度计算公式为2[Log(N)/2Log(m)]+1,其中N为所述面向安全情报的知识图谱的实体数量,m为所述面向安全情报的知识图谱的实体关系数量。
作为本发明的进一步改进,所述威胁性实体属于APT实体类、告警实体类及恶意样本实体类。
作为本发明的进一步改进,所述推理方向阶段的推理规则包括:基于所述面向安全情报的知识图谱,对实体关系进行拓展,构建形成推理规则树,从所述推理规则树中以所述分析线索对应的实体的类别为起点,沿着所述推理规则树的脉络游走形成子树,约束所述子树的高度不小于所述最小推理深度、不大于所述最大推理深度。
作为本发明的进一步改进,所述推理时间阶段的推理规则包括:设置一初始推理时间区间,根据所述分析线索所对应的多个实体及实体关系,从所述所述面向安全情报的知识图谱获取所述多个实体及实体关系活动频繁的多个时间区段,结合形成活跃度时间窗口;根据所述活跃度时间窗口调整所述初始推理时间区间,限制推理范围为在所述调整后的推理时间区间内的实体。
根据本发明另一个方面,提供了威胁推理规则构建装置,该装置包括:构建知识图谱模块:对历史网络安全情报数据进行关联关系建模,形成面向安全情报的知识图谱;实体对应模块:对输入的分析线索进行图谱检索,获取到所述分析线索在所述面向安全情报的知识图谱中所对应的多个实体;构建威胁推理规则模块:基于所述面向安全情报的知识图谱,对所述多个实体构建整体威胁推理规则,所述整体威胁推理规则分为三个阶段的推理规则,所述三个阶段分别为推理深度阶段、推理方向阶段以及推理时间阶段;获取威胁推理结果模块:对所述多个实体按照所述整体威胁推理规则进行威胁推理,获得威胁推理结果。
作为本发明的进一步改进,所述构建威胁推理规则模块包括推理深度阶段规则子模块,所述推理深度阶段规则包括:最小推理深度:基于所述面向安全情报的知识图谱,利用Dijkstra算法分别计算所述多个实体到威胁性实体的最短路径,以其中最短路径的深度作为最小推理深度;最大推理深度:最大推理深度计算公式为2[Log(N)/2Log(m)]+1,其中N为所述面向安全情报的知识图谱的实体数量,m为所述面向安全情报的知识图谱的实体关系数量。
作为本发明的进一步改进,所述威胁性实体属于APT实体类、告警实体类及恶意样本实体类。
作为本发明的进一步改进,所述构建威胁推理规则模块包括推理方向阶段规则子模块,所述推理方向阶段规则包括:基于所述面向安全情报的知识图谱,对实体关系进行拓展,构建形成推理规则树,从所述推理规则树中以所述分析线索对应的实体的类别为起点,沿着所述推理规则树的脉络游走形成子树,约束所述子树的高度不小于所述最小推理深度、不大于所述最大推理深度。
作为本发明的进一步改进,所述构建威胁推理规则模块包括推理时间阶段规则子模块,所述推理时间阶段规则包括:设置一初始推理时间区间,根据所述分析线索所对应的多个实体及实体关系,从所述所述面向安全情报的知识图谱获取所述多个实体及实体关系活动频繁的多个时间区段,结合形成活跃度时间窗口;根据所述活跃度时间窗口调整所述初始推理时间区间,限制推理范围为在所述调整后的推理时间区间内的实体。
籍由上述技术方案,本发明提供的有益效果如下:
(1)以构建面向安全情报的知识图谱为推理依据,能够有效解决网络安全领域数据知识密度低、推理规则泛化能力差的问题。
(2)从推理方向、推理深度、推理时间等维度进行推理规则的设计,能够在保证推理结果准确率的情况下,降低时间成本,快速形成有效的分析手段。
(3)通过对推理深度的计算,能够有效缓解海量数据下的推理深度不可控导致数据***的问题,利用推理规则树指导推理过程,能够从中获取有价值的数据,对推理时间进行智能约束,可以兼顾数据时效性和价值。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种威胁推理规则构建方法的流程图;
图2示出了本发明实施例提供的一种威胁推理规则构建方法中安全情报知识图谱的示意图;
图3示出了本发明实施例提供的一种威胁推理规则构建方法中基于安全情报知识图谱的推理规则树的示意图;
图4示出了本发明实施例提供的一种威胁推理规则构建方法中基于推理规则树形成的推理结果的示意图;
图5示出了本发明实施例提供的一种威胁推理规则构建方法中活跃度时间窗口计算的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
NameNode:管理文件***的命名空间。它维护着文件***树及整棵树内所有的文件和目录。这些信息以两个文件形式永久保存在本地磁盘上:命名空间镜像文件和编辑日志文件。NameNode也记录着每个文件中各个块所在的数据节点信息,但它并不永久保存块的位置信息,因为这些信息在***启动时由数据节点重建。
Datanode:负责管理它所在结点上存储的数据的读写,及存储数据。向Namenode结点报告状态,执行数据的流水线复制。
Dijkstra算法:Dijkstra(迪杰斯特拉)算法是典型的单源最短路径算法,用于计算一个节点到其他所有节点的最短路径。主要特点是以起始点为中心向外层层扩展,直到扩展到终点为止。
Erdos-Renyi定理:是一种典型的大数定律。大数定律又称大数法则、大数率。在一个随机事件中,随着试验次数的增加,事件发生的频率趋于一个稳定值;同时,在对物理量的测量实践中,大量测定值的算术平均也具有稳定性。
本发明所要解决的核心技术问题是现有技术中对安全情报数据的利用不充分,各类数据间的关系挖掘不全面,产生的知识密度低,导致无法形成有效的威胁分析手段。通过以构建面向安全情报的知识图谱为推理依据,从推理方向、推理深度、推理时间等维度进行推理规则的设计,针对网络安全领域面向安全情报数据的威胁推理形成有效的分析手段。
实施例1
图1示出了本发明实施例提供的一种威胁推理规则构建方法的流程图;如图1所示,本实施例所述方法的技术方案包括以下步骤:
S1:对历史网络安全情报数据进行关联关系建模,形成面向安全情报的知识图谱;
S2:对输入的分析线索进行图谱检索,获取到所述分析线索在所述面向安全情报的知识图谱中所对应的多个实体;
S3:基于所述面向安全情报的知识图谱,对所述多个实体构建整体威胁推理规则,所述整体威胁推理规则分为三个阶段的推理规则,所述三个阶段分别为推理深度阶段、推理方向阶段以及推理时间阶段;
S4:对所述多个实体按照所述整体威胁推理规则进行威胁推理,获得威胁推理结果。
其中,本实施所述的面向安全情报的知识图谱可以根据需要设计多类实体和实体关系,在此不做限定。例如可以是17种实体类别50种实体关系类别的知识图谱,也可以是16种实体类别39种实体关系类别的知识图谱等。
通过利用开源数据库技术,构建面向安全情报推理分析的知识图谱。例如,可采用Hadoop平台作为数据底层存储,采用HBase作为知识图谱构建平台。本领域技术人员也可以根据需要选择不同的数据库产品。在此不做限定。
下面通过一个具体的应用场景详细描述本实施例所述的一种威胁推理规则构建方法的具体细节。在该应用场景中,构建了一个17种实体类别50种实体关系类别的知识图谱。
对于步骤S1,主要包括数据平台构建、实体类别构建和实体关系类别构建。
S11数据平台构建:例如,可采用Hadoop平台作为数据底层存储,采用HBase作为知识图谱构建平台。优选的,可采用Hadoop2.3版本作为底层数据的存储平台,构建形成1主4从的分布式存储体系,其中1个节点为NameNode节点,负责协调集群中的数据存储,4个节点为DataNode节点,负责存储被拆分的数据块,为进一步提高分布式存储的可用性,选择其中一个DataNode节点作为SecondaryNameNode节点,辅助NameNode节点收集文件***运行的状态信息,采用HBase2.0版本作为图数据及模型的非关系型数据库。
S12实体类别构建:以17种实体类别50种实体关系类别的知识图谱为例,构建17种实体类别,包括APT、CVE、技术、软件、电话号码、样本、邮箱、证书、实体人员、实体组织、URL、IP、域名、虚拟人员、设备、告警和流量。基于HBase数据库采用Gremlin编译器进行属性和实体类别新增,并将属性与17种实体类别进行链接,如IP实体类包括IP地址属性、地理位置属性、国家属性、更新时间属性等,以列向量的形式进行存储。
S13实体关系构建:以17种实体类别50种实体关系类别的知识图谱为例,构建50种实体关系类别,包括APT使用CVE、APT使用IP、APT使用URL、APT使用技术、APT使用样本、APT使用域名、APT使用证书、APT所属实体组织等,如表1安全情报知识图谱实体关系类别说明。基于HBase数据库采用Gremlin编译器构建多个实体之间的实体关系列向量,存储实体关系的头实体(实体关联关系的起点)和尾实体(实体关联关系的终点),并补充实体关系的属性。
表1安全情报知识图谱实体关系说明
序号 | 实体关系 | 序号 | 实体关系 |
1. | APT使用CVE | 26. | IP通信IP |
2. | APT使用IP | 27. | IP通信域名 |
3. | APT使用URL | 28. | IP通信URL |
4. | APT使用技术 | 29. | 设备IP信息 |
5. | APT使用样本 | 30. | 设备软件信息 |
6. | APT使用域名 | 31. | 域名解析IP地址 |
7. | APT使用证书 | 32. | 域名间关系 |
8. | APT所属实体组织 | 33. | 域名拥有URL |
9. | 软件披露CVE | 34. | 域名注册实体人员 |
10. | 邮箱注册信息 | 35. | 域名注册虚拟人员 |
11· | 样本释放关系 | 36. | 域名注册邮箱 |
12. | 样本使用技术 | 37. | 虚拟人员间关系 |
13. | 样本使用证书 | 38. | 虚拟人员所属APT |
14. | 样本下载来源IP | 39. | 虚拟人员所属实体组织 |
15. | 样本下载来源URL | 40. | 虚实人员映射 |
16. | 样本通信IP | 41· | 虚拟人员使用邮箱 |
17. | 样本通信uRL | 42. | 告警相关APT |
18. | 样本通信域名 | 43. | 告警相关IP |
19. | 实体人员所属APT | 44. | 告警相关域名 |
20. | 实体人员所属实体组织 | 45. | 告警相关样本 |
21. | 实体人员使用手机号码 | 46. | 告警相关流量 |
22. | 实体组织间关系 | 47. | 流量还原样本 |
23. | 实体组织使用IP | 48. | 流量相关设备 |
24. | 实体组织使用域名 | 49. | 流量相关IP |
25. | IP使用证书 | 50. | 流量相关域名 |
通过上述步骤,形成安全情报知识图谱,图2为本应用场景中安全情报知识图谱的示意图。
对于步骤S2,在本应用场景中为实体获取阶段,本阶段获取输入的分析线索中包含的多个实体,并得到其在知识图谱中的位置。具体来说,是对输入的分析线索采用Gremlin编译器进行图谱检索,获取到分析线索在知识图谱中所对应的多个实体。
对于步骤S3,在本应用场景主要为三个层次的推理规则的构建,依次为推理深度、推理方向和推理时间。
S31推理深度构建:通过对知识图谱的整体分析,计算最小推理深度和最大推理深度,保证面向安全情报知识图谱的威胁推理的有效性和高效性。具体来说,利用Dijkstra算法进行最短路径的计算,以最短路径的深度作为最小推理深度,利用最大深度计算公式和Erdos-Renyi定理,计算得到最大推理深度;构建推理深度主要包括最小推理深度计算、最大推理深度计算。
S311在计算最小推理深度阶段,采用Dijkstra算法,该算法是单源最短路径算法,用于计算一个节点到其他所有节点的最短路径,其主要特点是以起始点为中心向外层层扩展,直到扩展到终点为止。由于本应用场景中对实体的威胁性研判是基于其历史威胁行为记录,即是否与APT组织相关、是否产生过历史告警、是否与恶意样本有关,因此采用Dijkstra算法依次获取实体到APT实体的最短路径、实体到告警实体的最短路径、实体到恶意样本的最短路径,并计算多个最短路径的最小深度,以此作为最小推理深度,能够准确计算得出推理深度的下限,提高推理效率。容易理解,在其他应用场景中,本领域技术人员能够通过简单变换,根据需要选择不同的威胁系数比较大的实体作为目标实体来计算最短路径。
S312在计算最大推理深度阶段,依据Erdos-Renyi原理,考虑图中实体随机相连情况,对于该随机图,图的直径量级与实体数量成正比、与实体关系数量成反比,因此通过获取安全情报知识图谱实体数量和实体关系数量,设计并使用最大深度计算公式能够计算得出最大推理深度。具体来说通过对知识图谱的实体数量和实体关系数量进行统计,获取安全情报知识图谱实体数量N,安全情报知识图谱实体平均关系数量m即实体关系数量除以实体数量,根据最大深度计算公式2[Log(N)/2Log(m)]+1,计算得出最大推理深度。
S32推理方向构建:基于安全情报知识图谱,对实体关系进行拓展,构建形成推理规则树,对安全情报数据的实体进行启发式关联,获取针对特定实体的推理方向;
具体来说,在构建推理规则的推理方向阶段,通过对实体关系列向量进行获取,以实体关系的头尾进行连接,形成树状推理过程。主要包括实体获取、关联链路生成。
S321从实体关系集合中搜索头实体类别或尾实体类别与之相符的实体关系,组合形成关联链路。具体来说,是从实体关系集合中获取头实体为输入实体类别的链路,将形成的链路加入到关联链路集合中,对关联链路集合的每一条链路进行头实体、尾实体的关联,迭代整个过程,直至形成闭环或实体关系集合遍历完成。
S322对生成的关联链路重复S321操作,迭代整个过程,直至形成闭环或实体关系集合遍历完成。基于安全情报知识图谱的推理规则树如图3所示。
S323基于推理规则树,根据输入分析线索对应的实体的类别进行推理规则的获取。
即从推理规则树中以输入分析线索对应的实体的类别为起点,沿着树的脉络进行游走形成子树,并约束树的高度不小于最小推理深度、不大于最大推理深度,基于推理规则树形成的推理结果如图4所示。
S33推理时间构建:采用活跃度动态窗口算法进行推理时间的构建,根据计算结果仅在指定时间内的实体参与推理过程,在所述基于推理规则树形成的推理结果基础上进一步限制推理范围。
具体来说,在构建推理规则的推理时间阶段,通过对输入分析线索对应的实体的基础信息进行分析,以活跃度时间窗口为计算核心,形成自适应的推理时间约束。主要包括活跃度时间窗口生成、推理时间配置。
S331默认推理时间构建设定为近一年的情报数据参与推理过程;
S332获取输入的分析线索所对应的实体及其实体关系,获取其活动频繁的多个时间区段,形成活跃度时间窗口;
S333利用多个时间段对默认推理时间进行修改,延长或缩短时间跨度。
具体来说,在推理时间配置阶段,根据活跃度时间窗口的多个起止时间,对S331中默认最近一年的情报关联时间进行修改,延长推理开始时间至MIN(s1,s2…sn,T),其中sn为时间区段的开始时间,T为距离目前1年的时间,缩短推理结束时间至MAX(e1,e2,e3…en),其中en为时间区段结束的时间。
S334根据推理时间在所述基于推理规则树形成的推理结果基础上进一步限制推理范围。
S4:对所述多个实体按照所述整体威胁推理规则进行威胁推理,获得威胁推理结果,实现从海量数据中获取价值密度高、隐含关系较强的威胁情报数据,以支撑领域专家对安全告警事件分析的可靠、可信数据需求。
基于以上应用场景,下面通过一个实验来说明使用本实施例所述方法的应用。
首先获取知识图谱的实体数量和实体关系数量,其中实体数量10亿,实体关系数量20亿,然后根据最大深度计算公式计算得出最大推理深度为31,采用Dijkstra算法计算输入实体到APT、告警、样本等实体的最短路径,取最小值为最小推理深度为3。根据预先构建的推理规则树,根据输入实体的类别进行推理规则的获取,即从推理规则树中以输入实体为起点,沿着树的脉络进行游走形成子树,并约束树的高度不小于最小推理深度、不大于最大推理深度,基于推理规则树形成的推理结果如图4所示。从知识图谱中获取与输入实体直接相关的实体,分别获取其活动频繁的时间区段,如图5所示,计算推理开始时间和推理结束时间为2019.01.09至2021.05.20。通过对推理深度的计算,能够有效缓解海量数据下的推理深度不可控导致数据***的问题,利用推理规则树指导推理过程,能够从中获取有价值的数据,对推理时间进行智能约束,可以兼顾数据时效性和价值。
实施例2
进一步的,作为对上述实施例所示方法的实现,本发明另一实施例还提供了一种威胁推理规则构建装置。该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。在该实施例的装置中,具有以下模块:
1、构建知识图谱模块:用于对历史网络安全情报数据进行关联关系建模,形成面向安全情报的知识图谱;构建知识图谱模块所实现的技术方案对应于实施例1中的步骤S1。
2、实体对应模块:用于对输入的分析线索进行图谱检索,获取到所述分析线索在所述面向安全情报的知识图谱中所对应的多个实体;实体对应模块所实现的技术方案对应于实施例1中的步骤S2。
3、构建威胁推理规则模块:基于所述面向安全情报的知识图谱,对所述多个实体构建整体威胁推理规则,所述整体威胁推理规则分为三个阶段的推理规则,所述三个阶段分别为推理深度阶段、推理方向阶段以及推理时间阶段;构建威胁推理规则模块所实现的技术方案对应于实施例1中的步骤S3。
构建威胁推理规则模块包括三个子模块;
推理深度阶段规则子模块,构建推理深度阶段规则包括:最小推理深度:基于所述面向安全情报的知识图谱,利用Dijkstra算法分别计算所述多个实体到威胁性实体的最短路径,以其中最短路径的深度作为最小推理深度;最大推理深度:最大推理深度计算公式为2[Log(N)/2Log(m)]+1,其中N为所述面向安全情报的知识图谱的实体数量,m为所述面向安全情报的知识图谱的实体关系数量。
推理方向阶段规则子模块,基于所述面向安全情报的知识图谱,对实体关系进行拓展,构建形成推理规则树,从所述推理规则树中以所述分析线索对应的实体的类别为起点,沿着所述推理规则树的脉络游走形成子树,约束所述子树的高度不小于所述最小推理深度、不大于所述最大推理深度。
推理时间阶段规则子模块,设置一初始推理时间区间,根据所述分析线索所对应的多个实体及实体关系,从所述所述面向安全情报的知识图谱获取所述多个实体及实体关系活动频繁的多个时间区段,结合形成活跃度时间窗口;根据所述活跃度时间窗口调整所述初始推理时间区间,限制推理范围为在所述调整后的推理时间区间内的实体。
4、获取威胁推理结果模块:用于对所述多个实体按照所述整体威胁推理规则进行威胁推理,获得威胁推理结果。获取威胁推理结果模块所实现的技术方案对应于实施例1中的步骤S4。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
Claims (10)
1.一种威胁推理规则构建方法,其特征在于,包括以下步骤:
S1:对历史网络安全情报数据进行关联关系建模,形成面向安全情报的知识图谱;
S2:对输入的分析线索进行图谱检索,获取到所述分析线索在所述面向安全情报的知识图谱中所对应的多个实体;
S3:基于所述面向安全情报的知识图谱,对所述多个实体构建整体威胁推理规则,所述整体威胁推理规则分为三个阶段的推理规则,所述三个阶段分别为推理深度阶段、推理方向阶段以及推理时间阶段;
S4:对所述多个实体按照所述整体威胁推理规则进行威胁推理,获得威胁推理结果。
2.根据权利要求1所述的威胁推理规则构建方法,其特征在于,所述推理深度阶段的推理规则包括最小推理深度计算和最大推理深度计算;
最小推理深度:基于所述面向安全情报的知识图谱,利用Dijkstra算法分别计算所述多个实体到威胁性实体的最短路径,以其中最短路径的深度作为最小推理深度;
最大推理深度:最大推理深度计算公式为2[Log(N)/2Log(m)]+1,其中N为所述面向安全情报的知识图谱的实体数量,m为所述面向安全情报的知识图谱的实体关系数量。
3.根据权利要求2所述的威胁推理规则构建方法,其特征在于,所述威胁性实体属于APT实体类、告警实体类及恶意样本实体类。
4.根据权利要求2所述的威胁推理规则构建方法,其特征在于,所述推理方向阶段的推理规则包括:基于所述面向安全情报的知识图谱,对实体关系进行拓展,构建形成推理规则树,从所述推理规则树中以所述分析线索对应的实体的类别为起点,沿着所述推理规则树的脉络游走形成子树,约束所述子树的高度不小于所述最小推理深度、不大于所述最大推理深度。
5.根据权利要求4所述的威胁推理规则构建方法,其特征在于,所述推理时间阶段的推理规则包括:设置一初始推理时间区间,根据所述分析线索所对应的多个实体及实体关系,从所述所述面向安全情报的知识图谱获取所述多个实体及实体关系活动频繁的多个时间区段,结合形成活跃度时间窗口;根据所述活跃度时间窗口调整所述初始推理时间区间,限制推理范围为在所述调整后的推理时间区间内的实体。
6.一种威胁推理规则构建装置,其特征在于,包括以下步骤:
构建知识图谱模块:对历史网络安全情报数据进行关联关系建模,形成面向安全情报的知识图谱;
实体对应模块:对输入的分析线索进行图谱检索,获取到所述分析线索在所述面向安全情报的知识图谱中所对应的多个实体;
构建威胁推理规则模块:基于所述面向安全情报的知识图谱,对所述多个实体构建整体威胁推理规则,所述整体威胁推理规则分为三个阶段的推理规则,所述三个阶段分别为推理深度阶段、推理方向阶段以及推理时间阶段;
获取威胁推理结果模块:对所述多个实体按照所述整体威胁推理规则进行威胁推理,获得威胁推理结果。
7.根据权利要求6所述的威胁推理规则构建装置,其特征在于,所述构建威胁推理规则模块包括推理深度阶段规则子模块,所述推理深度阶段规则包括:
最小推理深度:基于所述面向安全情报的知识图谱,利用Dijkstra算法分别计算所述多个实体到威胁性实体的最短路径,以其中最短路径的深度作为最小推理深度;
最大推理深度:最大推理深度计算公式为2[Log(N)/2Log(m)]+1,其中N为所述面向安全情报的知识图谱的实体数量,m为所述面向安全情报的知识图谱的实体关系数量。
8.根据权利要求7所述的威胁推理规则构建装置,其特征在于,所述威胁性实体属于APT实体类、告警实体类及恶意样本实体类。
9.根据权利要求7所述的威胁推理规则构建装置,其特征在于,所述构建威胁推理规则模块包括推理方向阶段规则子模块,所述推理方向阶段规则包括:基于所述面向安全情报的知识图谱,对实体关系进行拓展,构建形成推理规则树,从所述推理规则树中以所述分析线索对应的实体的类别为起点,沿着所述推理规则树的脉络游走形成子树,约束所述子树的高度不小于所述最小推理深度、不大于所述最大推理深度。
10.根据权利要求9所述的威胁推理规则构建装置,其特征在于,所述构建威胁推理规则模块包括推理时间阶段规则子模块,所述推理时间阶段规则包括:设置一初始推理时间区间,根据所述分析线索所对应的多个实体及实体关系,从所述所述面向安全情报的知识图谱获取所述多个实体及实体关系活动频繁的多个时间区段,结合形成活跃度时间窗口;根据所述活跃度时间窗口调整所述初始推理时间区间,限制推理范围为在所述调整后的推理时间区间内的实体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110715922.0A CN113361716B (zh) | 2021-06-25 | 2021-06-25 | 威胁推理规则构建方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110715922.0A CN113361716B (zh) | 2021-06-25 | 2021-06-25 | 威胁推理规则构建方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113361716A true CN113361716A (zh) | 2021-09-07 |
CN113361716B CN113361716B (zh) | 2022-02-08 |
Family
ID=77536712
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110715922.0A Active CN113361716B (zh) | 2021-06-25 | 2021-06-25 | 威胁推理规则构建方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113361716B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116992052A (zh) * | 2023-09-27 | 2023-11-03 | 天际友盟(珠海)科技有限公司 | 用于威胁情报领域的长文本摘要方法、装置和电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150379414A1 (en) * | 2014-06-27 | 2015-12-31 | Nuance Communications, Inc. | Utilizing large-scale knowledge graphs to support inference at scale and explanation generation |
CN109033135A (zh) * | 2018-06-06 | 2018-12-18 | 北京大学 | 一种面向软件项目知识图谱的自然语言查询方法及*** |
CN110929037A (zh) * | 2019-09-29 | 2020-03-27 | 珠海格力电器股份有限公司 | 一种知识图谱的构建方法、装置、终端及存储介质 |
-
2021
- 2021-06-25 CN CN202110715922.0A patent/CN113361716B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150379414A1 (en) * | 2014-06-27 | 2015-12-31 | Nuance Communications, Inc. | Utilizing large-scale knowledge graphs to support inference at scale and explanation generation |
CN109033135A (zh) * | 2018-06-06 | 2018-12-18 | 北京大学 | 一种面向软件项目知识图谱的自然语言查询方法及*** |
CN110929037A (zh) * | 2019-09-29 | 2020-03-27 | 珠海格力电器股份有限公司 | 一种知识图谱的构建方法、装置、终端及存储介质 |
Non-Patent Citations (2)
Title |
---|
JIE LUO: "Incremental Theory Closure Reasoning for Large Scale Knowledge Graphs", 《IEEE ACCESS》 * |
马江涛: "基于社交网络的知识图谱构建技术研究", 《中国博士学位论文全文数据库》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116992052A (zh) * | 2023-09-27 | 2023-11-03 | 天际友盟(珠海)科技有限公司 | 用于威胁情报领域的长文本摘要方法、装置和电子设备 |
CN116992052B (zh) * | 2023-09-27 | 2023-12-19 | 天际友盟(珠海)科技有限公司 | 用于威胁情报领域的长文本摘要方法、装置和电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN113361716B (zh) | 2022-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Smeros et al. | Discovering Spatial and Temporal Links among RDF Data. | |
CN113361716B (zh) | 威胁推理规则构建方法及装置 | |
CN113626723A (zh) | 一种基于表示学习的属性图社区搜索方法和*** | |
Yuan et al. | Clifford algebra method for network expression, computation, and algorithm construction | |
Huang et al. | An adaptively multi-attribute index framework for big IoT data | |
CN111859187A (zh) | 基于分布式图数据库的poi查询方法、装置、设备及介质 | |
CN105490830A (zh) | 一种网络拓扑图中查找环状结构的方法及*** | |
CN112005525B (zh) | 用于从大、密集且噪声网络提取结构的***和方法 | |
Tripathi et al. | A combination of internet of things (IoT) and graph database for future battlefield systems | |
Lu | Fast methods for designing circulant network topology with high connectivity and survivability | |
CN103064872B (zh) | 使用数据结构处理搜索查询 | |
CN115865713A (zh) | 一种高阶网络中高阶结构的重要性排序方法、***及终端 | |
Campelo et al. | From polygons and timestamps to dynamic geographic features: Grounding a spatio-temporal geo-ontology | |
CN115391565A (zh) | 一种地表覆盖时空变化的知识图谱构建方法、装置及设备 | |
CN106330559B (zh) | 基于MapReduce的复杂网络拓扑特征参数计算方法和*** | |
Nikbazm et al. | Agent-based resource discovery in cloud computing using bloom filters | |
Pipan | Use of the TRIPOD overlay network for resource discovery | |
Khalil et al. | Finding All Breadth First Full Spanning Trees in a Directed Graph | |
Wang et al. | On searching multiple disjoint shortest paths in scale-free networks with hyperbolic geometry | |
Khaled et al. | Solving limited-memory influence diagrams using branch-and-bound search | |
CN112579709A (zh) | 一种数据表识别方法、装置、存储介质及电子设备 | |
Gambs et al. | Mapreducing gepeto or towards conducting a privacy analysis on millions of mobility traces | |
CN112579831A (zh) | 基于SimRank全局矩阵平滑收敛的网络社区发现方法、装置及存储介质 | |
Cai et al. | ESTI: efficient k-hop reachability querying over large general directed graphs | |
Frye et al. | Big data storage techniques for spatial databases: implications of big data architecture on spatial query processing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |