一种威胁评估方法及装置制造方法及图纸

一种威胁评估方法及装置，用于对威胁评估的结果提供可解释性。方法包括：确定所述N个节点中的高危节点；获取M个关联图，所述关联图用于描述节点以及不同节点之间的关联关系；其中，所述M个关联图中每个关联图缺少M个节点中的一个节点；所述M个节点为所述N个节点中除去所述高危节点之外的剩余节点；将所述M个关联图输入到神经网络，得到M个评估结果；确定M个评估结果中满足条件的K个评估结果；确定所述K个评估结果对应的K个关联图中每个关联图所缺少的节点；根据所述缺少的节点，得到第一相关子图；所述第一相关子图可用于解释所述高危节点处于高危状态的原因。

【技术实现步骤摘要】
一种威胁评估方法及装置
本专利技术涉及安全威胁评估领域，尤其涉及一种威胁评估方法及装置。
技术介绍
现有技术中，网络安全面临的威胁越来越多，安全运维人员面对海量的网络告警数据经常无从下手，由此也产生了许多的威胁评估方法以及威胁评估模型。随着各种图神经网络技术的发展，图神经网络也开始逐渐被应用到安全威胁评估领域。由于图神经网络包含十分丰富的关系型信息，可以很好地表示安全威胁评估中复杂的场景以及安全事件的上下文信息。但是图神经网络自身的可解释性较差会限制其在安全威胁评估领域的进一步发展，因此，如何更好地对威胁评估结果提供可解释性是需要解决的问题。
技术实现思路
本专利技术实施例提供了一种威胁评估方法及装置，用于对威胁评估的结果提供可解释性。第一方面，本专利技术实施例提供一种威胁评估方法，应用于告警系统，所述告警系统与N个节点连接，包括：确定所述N个节点中的高危节点；获取M个关联图，所述关联图用于描述节点以及不同节点之间的关联关系；其中，所述M个关联图中每个关联图缺少M个节点中的一个节点；所述M个节点为所述本文档来自技高网...

【技术保护点】
1.一种威胁评估方法，其特征在于，适用于告警系统，所述告警系统与N个节点连接，包括：/n确定所述N个节点中的高危节点；/n获取M个关联图，所述关联图用于描述节点以及不同节点之间的关联关系；其中，所述M个关联图中每个关联图缺少M个节点中的一个节点；所述M个节点为所述N个节点中除去所述高危节点之外的剩余节点；/n将所述M个关联图输入到神经网络，得到M个评估结果；/n确定M个评估结果中满足条件的K个评估结果；/n确定所述K个评估结果对应的K个关联图中每个关联图所缺少的节点；/n根据所述缺少的节点，得到第一相关子图；所述第一相关子图可用于解释所述高危节点处于高危状态的原因。/n

【技术特征摘要】
1.一种威胁评估方法，其特征在于，适用于告警系统，所述告警系统与N个节点连接，包括：
确定所述N个节点中的高危节点；
获取M个关联图，所述关联图用于描述节点以及不同节点之间的关联关系；其中，所述M个关联图中每个关联图缺少M个节点中的一个节点；所述M个节点为所述N个节点中除去所述高危节点之外的剩余节点；
将所述M个关联图输入到神经网络，得到M个评估结果；
确定M个评估结果中满足条件的K个评估结果；
确定所述K个评估结果对应的K个关联图中每个关联图所缺少的节点；
根据所述缺少的节点，得到第一相关子图；所述第一相关子图可用于解释所述高危节点处于高危状态的原因。


2.如权利要求1所述的方法，其特征在于，所述确定所述N个节点中的高危节点，包括：
获取初始关联图，所述初始关联图中包含有N个节点、所述N个节点中每个节点对应的多个节点特征，所述N个节点之间的关系路径、以及所述关系路径对应的多个关系路径特征，所述关系路径并用于表征所述N个节点中任意两个节点之间所产生的告警信息；
将所述初始关联图输入到所述神经网络，得到第一关联图；所述第一关联图与所述初始关联图之间节点数量不变；
计算所述第一关联图中第一节点与所述初始关联图中的第二节点之间的重构误差，所述重构误差用于表征所述第一节点对应的多个节点特征与所述第二节点对应的多个节点特征之间的差异大小，和/或，第一节点对应的关系路径与所述第二节点对应的关系路径之间的差异大小，和/或，第一节点对应的多个关系路径特征与所述第二节点对应的多个关系路径特征之间的差异大小；
其中，所述第二节点为所述初始关联图中与所述第一节点对应的节点，所述第一节点为所述第一关联图中的任一节点；
若所述重构误差大于阈值，则确定所述第一节点为高危节点。


3.如权利要求2所述的方法，其特征在于，所述M个关联图中每个关联图缺少与所述一个节点对应的关系路径。


4.如权利要求2所述的方法，其特征在于，所述第一相关子图中包含有：多个节点、每个节点相对应的X个节点特征，以及，每个节点对应的多个关系路径，以及每个关系路径的Y个关系路径特征；所述多个节点中包括所述高危节点；
其中，所述节点特征用于表征节点的多个属性，所述关系路径特征用于表征关系路径的属性。


5.如权利要求4所述的方法，其特征在于，所述方法还包括：
每次去除所述第一相关子图中所述高危节点的X个节点特征中的一个节点特征，重复X次，得到X个第二相关子图；
将所述X个第二相关子图输入到神经网络中，得到X个评估结果；
确定X个评估结果中满足条件的Z个评估结果；
确定与所述Z个评估结果对应的Z个第二相关子图中被去除的节点特征；所述被去除的节点特征可用于解释所述高危节点处于高危状态的原因。


6.如权利要求4所述的方法，其特征在于，所述方法还包括：
每次去除所述第一相关子图中与所述高危节点对应的Y个关系...

【专利技术属性】
技术研发人员：叶晓虎，刘文懋，王星凯，薛见新，吴子建，
申请(专利权)人：绿盟科技集团股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11