CN114817928A - 网络空间数据融合分析方法、***、电子设备及存储介质 - Google Patents

网络空间数据融合分析方法、***、电子设备及存储介质 Download PDF

Info

Publication number
CN114817928A
CN114817928A CN202210344600.4A CN202210344600A CN114817928A CN 114817928 A CN114817928 A CN 114817928A CN 202210344600 A CN202210344600 A CN 202210344600A CN 114817928 A CN114817928 A CN 114817928A
Authority
CN
China
Prior art keywords
data
analysis
knowledge
network
network space
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210344600.4A
Other languages
English (en)
Inventor
程攀
李绪
陈志刚
蒲俊龙
张鑫
周喆
胡杰
徐小力
梁绍辉
陈鹏
于洋
万同里
徐镜湖
张根深
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Antiy Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Antiy Technology Group Co Ltd filed Critical Antiy Technology Group Co Ltd
Priority to CN202210344600.4A priority Critical patent/CN114817928A/zh
Publication of CN114817928A publication Critical patent/CN114817928A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例公开一种网络空间数据融合分析方法、***、电子设备及存储介质,涉及网络安全技术领域。所述方法包括:获取网络空间中的情报数据;根据第一业务场景提取所述情报数据携带的与所述第一业务场景相关的图特征集;基于所述图特征集与知识图库,对所述网络空间中的情报数据进行融合分析;所述知识图库为基于与第一业务场景对应的知识图谱模型构建的包含要素及对应的要素之间的关联关系特征的数据库。本发明根据所述图特征集与基于知识图谱模型构建的知识图库,可以自动化地对网络空间探测的数据进行识别及融合分析,可以在一定程度上提高对目标网络的网络空间情报数据的分析的效率及准确性;适用于网络安全分析场景中。

Description

网络空间数据融合分析方法、***、电子设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络空间数据融合分析方法、***、电子设备及存储介质。
背景技术
随着互联网信息技术的发展及普及,网络与信息安全已成为各国关注的重点。一方面,各类社会机构的网络安全技术人员,采用诸如入侵检测、流量分析、漏洞扫描、网络扫描、端口扫描等各类安全产品和工具对内部安全状况进行监控、预警和发现各类潜在的安全问题。另一方面,在新型基础设施加速建设应用、IT基础设施云化背景下,以“零信任”、“主动防御”等为代表的网络安全新理念、新架构加快落地。为了避免不断亡羊补牢和滞后的响应处置,企业已逐渐由基于各种传统的依赖边界防护设备的被动防御,转变为基于大数据分析技术、云计算技术、SDN(Software Defined Network)技术、安全情报收集、攻防演练实现主动防御。
然而,本申请的发明人在实现本发明创造的过程中发现:大部分网络探测、攻防演练等各类安全产品的使用和安全措施的运用,其核心都离不开对目标网络的网络空间情报数据的收集和分析。而当前主要依靠人工收集和整理分析数据,存在效率低下、准确性低等问题,特别是在目标网络情报信息量巨大、目标网络环境复杂多变时,相关安全人员对更加难以应对,造成数据无法有效利用甚至对安全状况的误判,最终可能导致防御失效而遭受攻击。
发明内容
有鉴于此,本发明实施例提供一种网络空间数据融合分析方法、***、电子设备及存储介质,可以在一定程度上提高对目标网络的网络空间情报数据的分析的效率及准确性。
为达到上述发明目的,采用如下技术方案:
第一方面,本发明实施例提供一种网络空间数据融合分析方法,所述方法包括步骤:获取网络空间中的情报数据;根据第一业务场景提取所述情报数据携带的与所述第一业务场景相关的图特征集;所述图特征集包括:至少两个图特征;基于所述图特征集与知识图库,对所述网络空间中的情报数据进行融合分析;所述知识图库为基于与第一业务场景对应的知识图谱模型构建的包含要素及对应的要素之间的关联关系特征的数据库。
可选地,所述要素包含:硬件设备、服务、应用软件和/或漏洞,所述要素包含的种类根据业务场景进行选取。
可选地,所述方法还包括:构建所述知识图库;
所述构建所述知识图库包括:根据业务场景,将选定的知识图谱与网络环境中的要素按照预设规则进行组合,确定出对应的知识图谱模型;
根据所述知识图谱模型,将搜集的网络空间中的情报数据按照知识图谱模型中的要素及预设规则,归入到知识图库,构建出要素之间的关联关系特征。
可选地,所述方法还包括:构建所述知识图库;所述构建所述情报数据包含不同批次、不同来源的情报数据;基于所述图特征集与知识图库,对所述网络空间中的情报数据进行融合分析包括:基于不同批次、不同来源的情报数据携带的图特征,对情报数据进行关联分析,得到多个分析结果;基于多个分析结果,根据预设融合算法进行融合处理,得到数据真实值。
可选地,所述基于不同批次、不同来源的情报数据携带的图特征,对情报数据进行关联分析,得到多个分析结果包含:基于社区检测算法检测出网络区域潜在的团体关联关系;以及,利用相似度算法找出相似度较高的主机或网络区域;以及,利用相似度算法检测出原始数据中属于不同子网的多个主机,分析得出处于跨越多个子网之间关键路径的同一主机。
可选地,所述图特征包括:物理拓扑网络间的关系特征、物理拓扑网络上下级关系特征、硬件设备之间通信关系特征,以及设备之上包含各种服务、端口、软件信息在内的实体标识特征。
可选地,所述方法还包括:在每次分析过程中,将提取的情报数据中携带的图特征集及分析结果作为知识训练集;基于所述知识训练集对知识图库进行训练,对现有知识图库进行完善。
第二方面,本发明实施例还提供一种网络空间数据融合分析***,包括:情报获取单元,用于获取网络空间中的情报数据;特征提取单元,用于根据第一业务场景提取所述情报数据携带的与所述第一业务场景相关的图特征集;所述图特征集包括:至少两个图特征;融合分析单元,用于基于所述图特征集与知识图库,对所述网络空间中的情报数据进行融合分析;所述知识图库为基于与第一业务场景对应的知识图谱模型构建的包含要素及对应的要素之间的关联关系特征的数据库。
第三方面,本发明实施例提供一种电子设备,包括:一个或者多个处理器;存储器;所述存储器中存储有一个或者多个可执行程序,所述一个或者多个处理器读取存储器中存储的可执行程序代码,运行与可执行程序代码对应的网络空间数据融合分析程序,以用于执行第一方面任一所述的网络空间数据融合分析方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现第一方面任一所述的网络空间数据融合分析方法。
本发明实施例提供的网络空间数据融合分析方法、***、电子设备及存储介质,在获取到网络空间中的情报数据之后,根据第一业务场景提取所述情报数据携带的与所述第一业务场景相关的图特征集;基于所述图特征集与知识图库,可以自动化地对网络空间探测的数据进行识别及融合分析。相比于现有的空间数据的人工分析方式,便于从杂乱无章的零散数据中还原出真实的有价值的信息,从而可以在一定程度上提高对目标网络的网络空间情报数据的分析的效率及准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明一实施例网络空间数据融合分析方法的流程示意图;
图2为本发明另一实施例网络空间数据融合分析方法流程示意图;
图3为本发明再一实施例网络空间数据融合分析方法流程示意图;
图4为本发明一实施例网络空间数据融合分析***架构示意框图;
图5为本发明另一实施例网络空间数据融合分析***架构示意框图;
图6为本发明电子设备的另一个实施例架构示意框图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在网络探测、攻防演练、渗透测试等各种网络安全实战场景下,需要对目标网络不断地进行探测和情报数据收集,以渗透测试为例,其基本步骤大致为:1、明确目标:确定要测试的范围、内外网环境、域名、IP等。2、信息收集:通过主动扫描、开放搜索等手段探测目标环境的各项设备、软件、服务等信息。3、漏洞探测:针对上一步中探测到的设备、***、应用等,探测其漏洞。4、漏洞验证:对发现的漏洞进行验证,成功后再应用于目标中。5、信息分析:针对已有情报,进行分析,以确定下一步渗透措施,例如:1)绕过防御机制:是否有防火墙等设备,如何绕过。2)定制攻击路径:确定最佳攻击路径。3)绕过检测机制:是否有检测机制、流量监控、杀毒软件、恶意代码检测等防护机制,如何绕过。6、实施攻击:根据前几步的结果,进行攻击。
在上述渗透测试过程中,信息的分析是所有环节至为关键的一个步骤,对网络空间数据的梳理分析情况,直接影响网络安全状况的评估、脆弱性的评估和安全防护策略的制定等。
然而,当前基于人工对网络空间数据整理分析的手段存在一定的难点和障碍,例如针对安全人员对同一网络进行多次探测得到的数据,不同安全人员之间对同一目标网络进行的信息收集数据,均较为零散无章,而如何将这些数据进行关联性融合处理,从中提炼出准确无误的价值信息,从而为后续的行动提供情报支撑是安全分析人员面临的主要技术难题。
为解决上述问题,本发明实施例提供的网络空间数据融合分析方法,可应用于网络安全分析场景中。通过基于知识图谱构建的知识图库,将整个目标网络的网络空间数据进行自动化地识别、去重及数据融合,不仅可以提升分析处理效率、又便于应对复杂多变的网络环境以及处理大规模网络环境下的海量信息;同时,基于构建的知识图库,对零散的网络空间各类数进行融合分析,挖掘出人工分析所无法探寻到的潜在价值信息,进而可以提高网络安全状态分析评估的准确性,为安全策略的制定以及其他安全层面的分析提供有力支撑。
需要说明的是,该方法可以以软件的形式固化于某一制造的实体产品中,当用户在使用该产品时,可以再现本申请的方法流程。
图1为本发明一实施例网络空间数据融合分析方法流程示意图;参看图1所示,所述网络空间数据融合分析方法可以包括步骤:
S110、获取网络空间中的情报数据。
本实施例中,可以部署诸如Nmap(Network Mapper)等网络扫描工具、漏洞扫描工具对目标网络进行各种数据探测采集。
当然,所述情报数据,也可以是从各种安全产品获取,还可以是安全人员手工录入、纠正的数据。
S120、根据第一业务场景提取所述情报数据携带的与所述第一业务场景相关的图特征集;所述图特征集包括:至少两个图特征;
特征通常是建立在原始数据之上的特定表示,它是一个单独的可测量的属性,以便算法理解。而图特征则是基于知识图谱提取出的不同维度的可测量的数据特征。
在获取到网络空间中的各种原始情报数据之后,对所述情报数据进行清洗、去重等处理之后,便可以采用多种方法从情报数据中提取对该业务场景的价值分析有意义的属性或特征。
其中,对于不同的业务场景,例如,通信业务、银行业务与石油业务***应用场景,关注的情报数据的属性或特征存在不同,为了便于准确地对特定业务场景中的特征进行抽取,本实施例中,通过基于特定业务场景提取相关的图特征集,可以降低数据的计算量,并提高数据分析的准确性。
S130、基于所述图特征集与知识图库,对所述网络空间中的情报数据进行融合分析。
所述知识图库为基于与第一业务场景对应的知识图谱模型构建的包含要素及对应的要素之间的关联关系特征的数据库。
在知识图谱中,所述图特征一般也称为知识,其主要包含:实体和边,实体对应本申请中的要素,“边”即要素之间的关联关系特征。
所述知识图库可以采用稳定可靠的Neo4j进行存储,所述Neo4j是基于Java语言编写图形数据库。
本实施例中,通过基于图特征集与知识图库,对所述网络空间中的情报数据进行融合分析,可以挖掘出对应的业务价值信息和数据融合依据,例如识别不同网络区域之间的关联关系、识别相似度较高的主机、识别由IP地址变更或MAC地址变更后的同一主机、识别原始数据中属于不同子网的多个主机,而实际是处于跨越多个子网之间关键路径的单个主机、识别主机之上重要软件***的变更等各个维度的相似度和关联关系;进而可以提高网络空间数据分析和处理的全面性和准确性。
在一些实施例中,所述要素包含:硬件设备、服务、应用软件和/或漏洞,所述要素包含的种类根据业务场景进行选取;例如,一些业务场景中,所述要素包含:硬件设备、服务和漏洞;另一些实施例中,所述要素包含:应用软件、服务和漏洞等。
请参看图2所示,为了实现自动化对网络空间的情报数据进行融合分析,在一些实施例中,所述方法还包括:构建所述知识图库;所述知识图库可以是预先构建,也可以是临时构建。
所述构建所述知识图库包括:S80、根据业务场景,将选定的知识图谱与网络环境中的要素按照预设规则进行组合,确定出对应的知识图谱模型;
所述知识图谱可以为一些现成的已有通用知识图谱,也可以是先前建立的知识图谱。
S90、根据所述知识图谱模型,将搜集的网络空间中的情报数据按照知识图谱模型中的要素及预设规则,归入到知识图库,构建出要素之间的关联关系特征。
在一些实施例中,按照知识图谱模型,将网络空间中的情报数据按照图谱模型落到知识图库,构建出设备与服务、设备与设备、设备与安防软件、设备与漏洞之间等各种关联关系网络。
本实施例中,通过基于知识图谱对网络空间数据进行建模,设计出知识图谱模型,搭建业务场景对应的知识图库,便于自动化地对网络空间探测的数据进行识别、去重及融合处理分析。
请参看图3所示,具体的,所述情报数据包含不同批次、不同来源的情报数据;
所述基于所述图特征集与知识图库,对所述网络空间中的情报数据进行融合分析(步骤S130)包括:S131、基于不同批次、不同来源的情报数据携带的图特征,对情报数据进行关联分析,得到多个分析结果;
本实施例中,基于不同批次、不同来源的情报数据携带的图特征匹配知识图库,得到对应的匹配结果,根据不同批次、不同来源的情报数据对应的匹配结果与对情报数据进行关联分析,得到多个分析结果。
S133、基于多个分析结果,根据预设融合算法进行融合处理,得到数据真实值。
所述融合算法也称为数据融合算法(Data fusion),也可通过人工与机器结合对分析结果进行融合处理分析,得到数据真实值。
例如,在关联分析的a结果中包含:A主机处于第一网络区域;在关联分析的b结果中包含:A主机IP地址变更;将b结果与a结果融合之后,可以得到处于第一网络区域的A主机的IP地址变更,但属于同一台主机的真实有效数据。
数据融合分析可以根据数据的规模和实际情况选用不同的处理方案,例如手动编程计算、利用知识图库提供的算法库进行计算,或者使用Spark Graphx进行分布式计算。
在一些可选实施例中,所述基于不同批次、不同来源的情报数据携带的图特征,对情报数据进行关联分析,得到多个分析结果包含:基于社区检测算法检测出网络区域潜在的团体关联关系;以及,利用相似度算法找出相似度较高的主机或网络区域;以及,利用相似度算法检测出原始数据中属于不同子网的多个主机,分析得出处于跨越多个子网之间关键路径的同一主机。
其中,本实施例中,可以基于多种算法同时进行关联分析,也可以用一种算法进行关联分析。通过对情报数据关联分析,可以将杂乱无章的网络情报数据还原为清晰有效的事实数据,还原网络的真实情况等。
在一些实施例中,所述图特征包括:物理拓扑网络间的关系特征、物理拓扑网络上下级关系特征、硬件设备之间通信关系特征,以及设备之上包含各种服务、端口、软件信息在内的实体标识特征。
区别于传统网络情报和信息分析,本实施例,通过与知识图谱相结合,构建出贴合真实网络环境的知识图库,基于知识图库对信息进行融合处理,可以高效和准确地实现信息关联性综合分析,提升分析结果的准确性。
然而,知识图库的完善性不是一蹴而就的,是需要根据积累的数据不断完善的,在不断完善的知识图库和不断积累的图特征之后,后期的效率和处理结果准确性都会有显著的提高。
因此,在一些实施例中,所述方法还包括:在每次分析过程中,将提取的情报数据中携带的图特征集及分析结果作为知识训练集;基于所述知识训练集对知识图库进行训练,对现有知识图库进行完善。这样,可以扩大知识图库包含的信息量,进一步提高基于该知识图库与图特征融合分析的准确性。
上述各实施例提供的方法,可以是***进行自主处理的后端***,也可以通过Web技术或其它技术构建为与安全分析人员互动的交互式***,通过执行算法,实现上述各实施例中的步骤,对情报数据进行安全分析,进一步为安全人员提供数据分析、融合处理依据。无论以何种形式实现上述各实施例的方法,最终都能达到对网络空间数据进行高效处理、分析及融合的效果。
本发明实施例提供的网络空间数据融合分析方法,在获取到网络空间中的情报数据之后,根据第一业务场景提取所述情报数据携带的与所述第一业务场景相关的图特征集;基于所述图特征集与知识图库,可以自动化地对网络空间探测的数据进行识别及关联性融合分析。相比于现有的空间数据的人工分析方式,便于从杂乱无章的零散数据中还原出真实的有价值的信息,从而可以在一定程度上提高对目标网络的网络空间情报数据的分析的效率及准确性。
进一步地,基于本发明实施例提供的方法,对网络环境中的数据进行分析和融合,能有效提升安全人员的工作成效,为企业的安全状况评估、安全策略制定等提供有力的数据支持。
实施例二
图4为本发明一实施例网络空间数据融合分析***架构示意框图,请参看图4所示,基于与前述各实施例相同的技术构思,还提供一种网络空间数据融合分析***,包括:情报获取单元210,用于获取网络空间中的情报数据;特征提取单元220,用于根据第一业务场景提取所述情报数据携带的与所述第一业务场景相关的图特征集;所述图特征集包括:至少两个图特征;融合分析单元230,用于基于所述图特征集与知识图库,对所述网络空间中的情报数据进行融合分析;所述知识图库为基于与第一业务场景对应的知识图谱模型构建的包含要素及对应的要素之间的关联关系特征的数据库。
本实施例的***可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果与实施例一类似,此处不再多赘述,可相互参看。
如图5所示,本发明实施例的***形式还可以包括:前端管理子***、数据探测子***及数据融合子***;
其中,安全人员可以通过前端管理***下发数据探测任务指令至数据探测子***;
数据探测子***将探测到的各类情报数据发送至数据融合子***进行处理;
所述数据融合子***,根据确定的知识图谱模型,对数据进行清洗、转换,之后落到知识图库中。
当有新增情报数据时,所述数据融合子***对新增数据入库,并基于已有的知识图库数据,对数据进行图特征的提取;其中,图特征是一个根据业务需求不断累积的过程,例如:物理拓扑网络间的关系特征、物理拓扑网络上下级关系特征、设备之间通信关系特征、设备之上各种服务、端口、软件等信息的特征等。
基于图特征与知识图库,对情报数据进行综合算法关联分析,进而可以识别出各种价值信息,用于数据融合的依据。例如,基于社区检测算法检测出网络区域潜在的团体关联关系;利用相似度算法找出相似度较高的主机或网络区域;利用相似度算法检测出原始数据中属于不同子网的多个主机,分析得出实际上是处于跨越多个子网之间关键路径的同一主机;最后将得到的结果经过前端管理***,展示给安全人员。
安全人员可以查看数据融合分析的结果,作为各种安全措施和行动的参考依据,并可以决定是否对探测得到的零散数据按照数据融合子***的分析结果进行融合处理,同时还可以进行人工纠正,最终处理完成后得到清晰有效的事实数据,还原网络真实面貌。
另外,可以理解的是,图4及图5所示的***,也适用于知识图库的构建步骤流程或知识图库的更新完善步骤流程,具体构建或更新的步骤可参看实施例一种相关描述,在此就不再赘述。
对于***实际实施时,前端管理子***可以采用较为成熟的JavaWeb开发技术,例如Springboot。数据探测子***可以按照实际需求与一些前述实施例中提及的数据探测工具进行集成,并选择合适的任务调度框架用于任务的运行和调度。
本发明实施例从对网络空间中的数据融合角度出发,区别于传统的基于人工的整理及数据融合方式,提出了基于知识图谱建模,运用图特征计算的方式。对获取的情报数据在各个维度上的分析和融合,在一定程度上提高了对目标网络的网络空间情报数据的分析的效率及准确性。
可以理解的是,本实施例的***还可以用于执行实施例一中的其它实施例,在清楚简洁的前提下,就不再赘述其余实施例,可以相互参看。
实施例三
本发明还实施例提供了一种电子设备,包括:一个或者多个处理器;存储器;所述存储器中存储有一个或者多个可执行程序,所述一个或者多个处理器读取存储器中存储的可执行程序代码,运行与可执行程序代码对应的网络空间数据融合分析程序,以用于执行实施例一任一所述的网络空间数据融合分析方法。
图6为本发明电子设备一个实施例的结构示意图,其可以实现本发明实施例一任一所述的方法,如图6所示,作为一可选实施例,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述是实施例一中任一所述的网络空间数据融合分析方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明网络空间数据融合分析方法实施例一的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机、多媒体手机、功能性手机,以及低端手机等。(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放模块(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、***总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。(5)其他具有数据交互功能的电子设备。
本发明还实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例一中任一所述的网络空间数据融合分析方法。
综上,根据上述各实施例描述可知,本实施例公开的网络空间数据融合分析方法,基于知识图谱建模构建知识图库,根据从情报数据中提取的图特征与知识图库,对数据在各个维度进行分析和融合,便于从杂乱无章的零散数据中还原出真实的有价值的信息,从而可以在一定程度上提高对目标网络的网络空间情报数据的分析的效率及准确性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质还可为磁碟、光盘、只读存储记忆体(Read-Oily Memory,ROM)或随机存储记忆体(Raidom AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种网络空间数据融合分析方法,其特征在于,所述方法包括步骤:
获取网络空间中的情报数据;
根据第一业务场景提取所述情报数据携带的与所述第一业务场景相关的图特征集;所述图特征集包括:至少两个图特征;
基于所述图特征集与知识图库,对所述网络空间中的情报数据进行融合分析;所述知识图库为基于与第一业务场景对应的知识图谱模型构建的包含要素及对应的要素之间的关联关系特征的数据库。
2.根据权利要求1所述的方法,其特征在于,所述要素包含:硬件设备、服务、应用软件和/或漏洞,所述要素包含的种类根据业务场景进行选取。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:构建所述知识图库;
所述构建所述知识图库包括:根据业务场景,将选定的知识图谱与网络环境中的要素按照预设规则进行组合,确定出对应的知识图谱模型;
根据所述知识图谱模型,将搜集的网络空间中的情报数据按照知识图谱模型中的要素及预设规则,归入到知识图库,构建出要素之间的关联关系特征。
4.根据权利要求1所述的方法,其特征在于,所述情报数据包含不同批次、不同来源的情报数据;
基于所述图特征集与知识图库,对所述网络空间中的情报数据进行融合分析包括:基于不同批次、不同来源的情报数据携带的图特征,对情报数据进行关联分析,得到多个分析结果;
基于多个分析结果,根据预设融合算法进行融合处理,得到数据真实值。
5.根据权利要求4所述的方法,其特征在于,所述基于不同批次、不同来源的情报数据携带的图特征,对情报数据进行关联分析,得到多个分析结果包含:基于社区检测算法检测出网络区域潜在的团体关联关系;以及,
利用相似度算法找出相似度较高的主机或网络区域;以及,
利用相似度算法检测出原始数据中属于不同子网的多个主机,分析得出处于跨越多个子网之间关键路径的同一主机。
6.根据权利要求1所述的方法,其特征在于,所述图特征包括:物理拓扑网络间的关系特征、物理拓扑网络上下级关系特征、硬件设备之间通信关系特征,以及设备之上包含各种服务、端口、软件信息在内的实体标识特征。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:在每次分析过程中,将提取的情报数据中携带的图特征集及分析结果作为知识训练集;
基于所述知识训练集对知识图库进行训练,对现有知识图库进行完善。
8.一种网络空间数据融合分析***,其特征在于,包括:情报获取单元,用于获取网络空间中的情报数据;
特征提取单元,用于根据第一业务场景提取所述情报数据携带的与所述第一业务场景相关的图特征集;所述图特征集包括:至少两个图特征;
融合分析单元,用于基于所述图特征集与知识图库,对所述网络空间中的情报数据进行融合分析;所述知识图库为基于与第一业务场景对应的知识图谱模型构建的包含要素及对应的要素之间的关联关系特征的数据库。
9.一种电子设备,其特征在于,包括:一个或者多个处理器;存储器;所述存储器中存储有一个或者多个可执行程序,所述一个或者多个处理器读取存储器中存储的可执行程序代码,运行与可执行程序代码对应的网络空间数据融合分析程序,以用于执行权利要求1至7任一所述的网络空间数据融合分析方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至7任一所述的网络空间数据融合分析方法。
CN202210344600.4A 2022-04-02 2022-04-02 网络空间数据融合分析方法、***、电子设备及存储介质 Pending CN114817928A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210344600.4A CN114817928A (zh) 2022-04-02 2022-04-02 网络空间数据融合分析方法、***、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210344600.4A CN114817928A (zh) 2022-04-02 2022-04-02 网络空间数据融合分析方法、***、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN114817928A true CN114817928A (zh) 2022-07-29

Family

ID=82531945

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210344600.4A Pending CN114817928A (zh) 2022-04-02 2022-04-02 网络空间数据融合分析方法、***、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114817928A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116846690A (zh) * 2023-09-01 2023-10-03 湘潭大学 基于行业分类和概率模型的IPv6网络空间测绘方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116846690A (zh) * 2023-09-01 2023-10-03 湘潭大学 基于行业分类和概率模型的IPv6网络空间测绘方法
CN116846690B (zh) * 2023-09-01 2023-11-03 湘潭大学 基于行业分类和概率模型的IPv6网络空间测绘方法

Similar Documents

Publication Publication Date Title
EP3651043A1 (en) Url attack detection method and apparatus, and electronic device
CN112468347B (zh) 一种云平台的安全管理方法、装置、电子设备及存储介质
CN111401416A (zh) 异常网站的识别方法、装置和异常对抗行为的识别方法
CN107547490B (zh) 一种扫描器识别方法、装置及***
CN113496033A (zh) 访问行为识别方法和装置及存储介质
CN112487208A (zh) 一种网络安全数据关联分析方法、装置、设备及存储介质
CN112839014A (zh) 建立识别异常访问者模型的方法、***、设备及介质
CN114329448A (zh) 一种***安全检测方法、装置、电子设备及存储介质
CN111049828B (zh) 网络攻击检测及响应方法及***
CN114329455B (zh) 基于异构图嵌入的用户异常行为检测方法及装置
CN116566674A (zh) 自动化渗透测试方法、***、电子设备及存储介质
CN110572302B (zh) 无盘局域网场景识别方法、装置及终端
CN112202718A (zh) 一种基于XGBoost算法的操作***识别方法、存储介质及设备
CN114338064A (zh) 识别网络流量类型的方法、装置、设备和存储介质
CN114817928A (zh) 网络空间数据融合分析方法、***、电子设备及存储介质
CN117240632B (zh) 一种基于知识图谱的攻击检测方法和***
CN112347457A (zh) 异常账户检测方法、装置、计算机设备和存储介质
CN106651183B (zh) 工控***的通信数据安全审计方法及装置
CN105227528B (zh) 对Web服务器群的攻击的检测方法和装置
CN108985052A (zh) 一种恶意程序识别方法、装置和存储介质
CN114579765B (zh) 一种基于开源情报分析的网络靶场武器库构建方法
CN114915446A (zh) 一种融合先验知识的智能网络安全检测方法
CN114301699A (zh) 行为预测方法及装置、电子设备和计算机可读存储介质
CN113037714A (zh) 基于网络大数据的网络安全分析方法及区块链金融云***
CN108881151B (zh) 一种无关节点确定方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination