本发明专利技术公开了一种基于向量标注的针对安全对象的画像方法及系统,包括:分析数据源并提取元数据;基于预设规则对元数据进行向量提取,并用标签来指代提取的向量;将标注在元数据上的标签对应到主体、客体和行为上,并对已标注标签的元数据集合进行统计计数;基于统计计数的结果发现标签间的强关联性,进而对相应标签对应的主体、客体和行为进行群体划分;根据群体划分的结果及具备强关联性的标签生成各群体描述信息;其中,所述元数据是指用于表征数据源的描述特征。本发明专利技术所述技术方案给出了一种用户可感知的威胁向量提取和画像系统。
【技术实现步骤摘要】
一种基于向量标注的针对安全对象的画像方法及系统
本专利技术涉及网络安全
,尤其涉及一种基于向量标注的针对安全对象的画像方法及系统。
技术介绍
目前,群体画像技术的核心在于定位人群特征,进而挖掘潜在的用户群体,为媒体网站、广告主、企业及广告公司充分认知群体用户的差异化特征,进而帮助客户找到营销机会、运营方向等等。而目前没有发现将其应用到资产、威胁等安全对象上的情况,因此,将其应用在网络安全领域,还是一个新的尝试。
技术实现思路
针对上述技术问题,本专利技术所述的技术方案利用群体画像的思想,进而为用户提供一种可感知的威胁向量的标签标注方法,进而发现大量数据源中的强关联事件。本专利技术采用如下方法来实现:一种基于向量标注的针对安全对象的画像方法,包括:分析数据源并提取元数据;基于预设规则对元数据进行向量提取,并用标签来指代提取的向量;将标注在元数据上的标签对应到主体、客体和行为上,并对已标注标签的元数据集合进行统计计数;基于统计计数的结果发现标签间的强关联性,进而对相应标签对应的主体、客体和行为进行群体划分;根据群体划分的结果及具备强关联性的标签生成各群体描述信息;其中,所述元数据是指用于表征数据源的描述特征。进一步地,所述数据源包括:二进制文件、网络报文序列、动态API监控结果。进一步地,所述预设规则包括:厂家规则和用户自定义规则。进一步地,还包括:每个元数据能够被一个或者一个以上的标签标注。进一步地,还包括:将群体划分的结果作为新的主体、客体或者行为再次成为统计计数的基础。本专利技术可以采用如下系统来实现:一种基于向量标注的针对安全对象的画像系统,包括:元数据提取模块,用于分析数据源并提取元数据;向量分析模块,用于基于预设规则对元数据进行向量提取,并用标签来指代提取的向量;统计分析模块,用于将标注在元数据上的标签对应到主体、客体和行为上,并对已标注标签的元数据集合进行统计计数;群体划分模块,用于基于所述统计分析模块的输出结果发现标签间的强关联性,进而对相应标签对应的主体、客体和行为进行群体划分;状态描述模块,用于根据群体划分的结果及具备强关联性的标签生成各群体描述信息;其中,所述元数据是指用于表征数据源的描述特征。进一步地,所述数据源包括:二进制文件、网络报文序列、动态API监控结果。进一步地,所述预设规则包括:厂家规则和用户自定义规则。进一步地,还包括:每个元数据能够被一个或者一个以上的标签标注。进一步地,还包括:将群体划分的结果作为新的主体、客体或者行为反馈到所述统计分析模块中。综上,本专利技术给出一种基于向量标注的针对安全对象的画像方法及系统,通过分析数据源进而提取元数据,并基于预设规则提取元数据对应的向量,并可以使用标签来指代展示,对已标注标签的元数据集合进行统计分析,进而发现标签间的强关联性,最终完成群体划分。本专利技术所提供的技术方案能够为用户提供一种可感知的威胁向量的标签标注方法,进而发现大量数据源中的强关联事件。附图说明为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种基于向量标注的针对安全对象的画像方法实施例流程图;图2为本专利技术提供的一种基于向量标注的针对安全对象的画像系统实施例结构图。具体实施方式本专利技术给出了一种基于向量标注的针对安全对象的画像方法及系统实施例,为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明:本专利技术首先提供了一种基于向量标注的针对安全对象的画像方法实施例,如图1所示,包括:S101:分析数据源并提取元数据;其中,所述数据源包括但不限于:二进制文件、网络报文序列、动态API监控结果等等;其中,所述元数据是指用于表征数据源的描述特征,例如:对于网络报文序列的分析,提取的元数据包括:源IP、目的IP等五元组信息。其中,所述二进制文件所提取的元数据具体可以包括:二进制可执行文件的潜在能力、二进制文件中能提取到的IP地址、域名、URL等网络访问信息、数字签名信息等等。S102:基于预设规则对元数据进行向量提取,并用标签来指代提取的向量;其中,所述预设规则包括:厂家规则和用户自定义规则。每个元数据能够被一个或者一个以上的标签标注。针对任一一个标签,每个元数据可能被标注,也可能不被标注,但是不存在中间状态。其中,本专利技术所述向量相当于多个任意量的组合,每个向量对应一种标签的生成规则。所述厂家规则包括但不限于:弱口令、带有弱点的软件、被威胁攻击等等;所述用户自定规则根据用户需要生成,可以包括但不限于:连接发起方或者目标是否为重要资产等。S103:将标注在元数据上的标签对应到主体、客体和行为上,并对已标注标签的元数据集合进行统计计数;其中,所述将标注在元数据上的标签对应到主体、客体和行为上,具体为,各元数据本身将明示或者暗示对应主体、客体和行为,例如:对于网络报文序列的各项元数据,源IP和目的IP就是两个主体;对于HTTP下载文件而言,传输的双方是两个主体,传输的文件本身是客体,而HTTP下载动作是行为;对于脱离上下文的单个文件来说,文件本身是主体。将标注在元数据上的标签打在主体、客体还是行为上。对于单条元数据,其主体、客体和行为的信息一般在S101中就可以确定,同时,所述主体、客体和行为的信息也可以基于群体划分(画像)的结果得到。例如:针对基于厂家规则对元数据进行向量提取,并标注标签,并将标注在元数据上的标签对应到主体、客体和行为上,则最终可能表现为:主体有弱口令;客体为带有弱点的软件;或者两主体传输了带有弱点的软件等等。其中,所述对已标注标签的元数据集合进行统计计数,具体为:根据主体的标识(如IP地址)、客体的标识(如md5)、行为的标识(如HTTP下载),分别计算其关联的标签集合及集合量的计数。具体实现手段可以是基于统计方法或者是基于神经网络,例如:针对每个IP地址,将计算该IP地址的标签的全集,和对应每个标签的数量;若基于统计方法来计算,则直接统计计数即可;若基于神经网络来计算,则计算对应各神经元连接的强度。S104:基于统计计数的结果发现标签间的强关联性,进而对相应标签对应的主体、客体和行为进行群体划分;具体为:通过统计计算的遍历统计结果,或者通过神经网络的激活,将在所有涉及的标签中找出标签与标签间的强关联性,进而对标签对应的主体、客体和行为进行群体划分。其中,所述群体划分的结果将被其关联的标签所描述和支持。例如:从多个主体发现对一个主体建立了大量连接,并且连接没有数据发送等行为标签,可以判定发现DDOS攻击行为。DDOS攻击行为是对行为的画像的一部分;这几个主体目前正被DDOS客户端控制,将成为这几个主体的画像的一部分。S105:根据群体划分的结果及具备强关联性的标签生成各群体描述信息;S106:将群体划分后的结果作为新的主体、客体或者行为再次成为统计计数的基础。下面给出一个基于EDR的具体实施例:EDR的异常行为发现需要对终端(相当于本专利技术中的主体)产生的行为进行建模;而画像本文档来自技高网...
【技术保护点】
1.一种基于向量标注的针对安全对象的画像方法,其特征在于,包括:分析数据源并提取元数据;基于预设规则对元数据进行向量提取,并用标签来指代提取的向量;将标注在元数据上的标签对应到主体、客体和行为上,并对已标注标签的元数据集合进行统计计数;基于统计计数的结果发现标签间的强关联性,进而对相应标签对应的主体、客体和行为进行群体划分;根据群体划分的结果及具备强关联性的标签生成各群体描述信息;其中,所述元数据是指用于表征数据源的描述特征。
【技术特征摘要】
1.一种基于向量标注的针对安全对象的画像方法,其特征在于,包括:分析数据源并提取元数据;基于预设规则对元数据进行向量提取,并用标签来指代提取的向量;将标注在元数据上的标签对应到主体、客体和行为上,并对已标注标签的元数据集合进行统计计数;基于统计计数的结果发现标签间的强关联性,进而对相应标签对应的主体、客体和行为进行群体划分;根据群体划分的结果及具备强关联性的标签生成各群体描述信息;其中,所述元数据是指用于表征数据源的描述特征。2.如权利要求1所述的方法,其特征在于,所述数据源包括:二进制文件、网络报文序列、动态API监控结果。3.如权利要求1所述的方法,其特征在于,所述预设规则包括:厂家规则和用户自定义规则。4.如权利要求1所述的方法,其特征在于,还包括:每个元数据能够被一个或者一个以上的标签标注。5.如权利要求1所述的方法,其特征在于,还包括:将群体划分的结果作为新的主体、客体或者行为再次成为统计计数的基础。6.一种基于向量标注的针对安全对象的画像系统,其特征在...
【专利技术属性】
技术研发人员:肖新光,关墨辰,李林哲,童志明,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江,23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。