【技术实现步骤摘要】
实体行为关联分析方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种实体行为关联分析方法、装置、电子设备及存储介质。
技术介绍
[0002]随着互联网的飞速发展,危害网络安全的情况也频频发生,保护网络安全变得尤为重要。而网络实体行为关联分析就是其中一种保护网络安全的重要手段。通过分析,能够将不同的实体行为进行关联,进而发现一系列的危害网络安全的行为,从而进行有效预警和防范。
[0003]目前,针对实体行为进行关联分析主要采用的是:基于复杂事件处理(Complex Event Processing,CEP)的引擎接口或者配置功能。具体来说,就是预先确定某种网络恶意行为的属性信息,并作为两个实体行为存在关联的条件。然后,获取多个实体行为,并通过预先配置的属性信息判断这些实体行为之间是否存在关联关系。
[0004]但是,采用上述方式进行实体行为关联关系分析,由于配置的属性为某一类型的实体行为的属性,因此,通过该属性只能够将同一类型的实体行为进行关联分析,而无法针对不同类型的实体行为进...
【技术保护点】
【技术特征摘要】
1.一种实体行为关联分析方法,其特征在于,所述方法包括:获取不同类型的实体行为;将所述不同类型的实体行为分别与连通图中的节点进行匹配,所述连通图中包括多个节点和连接具有关联关系的节点的关联边,一个节点对应一种类型的实体行为;基于所述连通图中的关联边对匹配后的实体行为进行关联分析。2.根据权利要求1所述的方法,其特征在于,所述基于所述连通图中的关联边对匹配后的实体行为进行关联分析,包括:在所述连通图中选择当前未参与过关联计算的目标关联边,所述目标关联边两端的节点对应的实体行为的数量为多个;当所述目标关联边连接的一个节点对应的实体行为存在关联标识时,将具有关联标识的实体行为与所述目标关联边连接的另一个节点对应的实体行为进行关联计算,所述关联标识用于表征相应的两个实体行为先前经过关联计算后确定具有关联关系;当所述目标关联边两端的节点对应的实体行为都不存在关联标识时,将所述目标关联边一端的节点对应的实体行为分别与另一端节点对应的实体行为进行关联计算。3.根据权利要求2所述的方法,其特征在于,所述在所述连通图中选择当前未参与过关联计算的目标关联边,包括:确定所述连通图中各关联边对应的行为数,所述行为数为关联边两端节点对应的实体行为的数量;当在先前关联边的计算中未关联出实体行为时,从所述连通图未参与过关联计算的关联边中选择行为数最少的关联边作为所述目标关联边;或者,当在先前关联边的计算中已关联出实体行为时,从已关联出实体行为的节点连接的未参与过关联计算的关联边中选择行为数最少的关联边作为所述目标关联边。4.根据权利要求1所述的方法,其特征在于,所述连通图中的节点类型分别与一次完整的恶意攻击所包含的实体行为类型对应;所述基于所述连通图中的关联边对匹配后的实体行为进行关联分析,包括:当获取的实体行为的时间窗口达到预设窗口阈值时,基于所述连通图中的关联边对匹配后的实体行为进行关联分析;其中,所述预设窗口阈值基于进行一次所述完整的恶意攻击所需要的时间确定。5.根据权利要求1所述的方法,其特征在于,在所述获取不同类型的实体行为之后,所述方法还包括:将所述不同类型的实体行为分别转换成键值对集合,一个键值对集合对应一个实体行为,所述键值对集合中的键用于表示实体行为的名称,所述键值对集合中键对应的值用于表示相应名称对应的内容,所述内容至...
【专利技术属性】
技术研发人员:陈祚松,齐向东,吴云坤,谭学士,李云龙,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。