【技术实现步骤摘要】
一种知识图谱的失陷指标生产方法及相关装置
[0001]本申请涉及安全
,特别涉及一种知识图谱的失陷指标生产方法、失陷指标生产装置、失陷指标生产系统以及计算机可读存储介质。
技术介绍
[0002]在信息安全
中,可以采用失陷指标(IoC,Indicator of Compromise)识别系统或网络上存在的恶意活动。当在系统日志、文件、流量等观察到这些指标,意味着对应的设备或软件系统已经失陷。常见的IoC有域名地址、IP(Internet Protocol,网际互连协议)、URL(Uniform Resource Locator,统一资源定位器)以及恶意程序的Hash(散列、哈希)值、域名、病毒签名等。在实际应用中,可以基于数据进行分析获得对应的失陷指标。
[0003]相关技术中,主要基于对威胁事件进行人工分析获得失陷指标。但是需要经验丰富的威胁分析师,投入较大的时间精力进行分析,效率比较低,产出数量很少。
[0004]因此,如何提高生产失陷指标的效率是本领域技术人员关注的重点问题。
专利技...
【技术保护点】
【技术特征摘要】
1.一种知识图谱的失陷指标生产方法,其特征在于,包括:对数据进行知识图谱构建,获得知识图谱;基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标;其中,所述推理策略为基于恶意威胁推理规则构建的推理策略。2.根据权利要求1所述的失陷指标生产方法,其特征在于,基于推理策略对所述知识图谱进行失陷指标分析,获得失陷指标,包括:基于所述推理策略的恶意威胁推理规则对所述知识图谱中的未知实体执行推理操作,获得推理结果;基于所述推理结果对应的威胁粒度对对应的未知实体进行标记,获得所述失陷指标。3.根据权利要求2所述的失陷指标生产方法,其特征在于,基于所述推理策略的恶意威胁推理规则对所述知识图谱中的未知实体执行推理操作,获得推理结果,包括:基于每个实体的恶意判定属性从所述知识图谱中筛选出所述未知实体;基于每个所述未知实体的类型对所述未知实体执行对应类型的推理策略,获得每个所述推理策略中恶意威胁推理规则的命中情况;基于每个所述推理策略中恶意威胁推理规则的命中情况输出每个所述未知实体的推理结果。4.根据权利要求2所述的失陷指标生产方法,其特征在于,基于所述推理结果对应的威胁粒度对对应的未知实体进行标记,获得所述失陷指标,包括:当所述推理结果对应的威胁粒度为多威胁场景时,对所述未知实体的失陷指标标记为多威胁场景;当所述推理结果对应的威胁粒度为恶意程序家族时,对所述未知实体的失陷指标标记为恶意程序家族。5.根据权利要求1至4任一项所述的失陷指标生产方法,其特征在于,构建所述推理策略的过程,包括:对获取到恶意威胁推理规则及其对应的...
【专利技术属性】
技术研发人员:周奋彦,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。