时序图谱构建方法、装置、设备及介质制造方法及图纸

本公开实施例涉及一种时序图谱构建方法、装置、设备及介质，其中该方法包括：获取预设时间段内的流量数据信息；基于流量数据信息，构建原始序列；对原始序列进行采样处理获得多个子序列，基于每个子序列与原始序列的距离分布，确定每个子序列的信息增益；将各个子序列的信息增益进行比较，并基于比较结果从多个子序列中获得目标序列；将目标序列作为时序图谱的节点，以及将目标序列在同一原始序列中的时序关系作为时序图谱的边，构建时序图谱。本公开实施例中，将时序的网络安全攻击或访问路径转化为了时序图谱的表现形式，能够将设备探针无法检测到的网络攻击反馈在时序图谱上，从而提高了时序图谱的准确性。提高了时序图谱的准确性。提高了时序图谱的准确性。

【技术实现步骤摘要】
时序图谱构建方法、装置、设备及介质


[0001]本公开涉及计算机
，尤其涉及一种时序图谱构建方法、装置、设备及介质。

技术介绍

[0002]伴随着计算机技术的发展，网络安全愈加重要，通过安全图谱能够将与网络安全相关的数据、行为等直观的进行表达。
[0003]相关技术中，可以通过探针设备对网络进行安全检测，若检测到异常情况，探针设备会发出告警信息，解析该告警信息，从中抽取出源互联网协议IP地址、目的互联网协议IP地址以及事件，从而根据上述三元组构建安全图谱。
[0004]然而对于上述技术方案，一些复杂度较高的网络攻击能够绕过探针设备的检测，从而导致探针设备无法发出告警，因而造成了的安全图谱的精确性不足。

技术实现思路

[0005]为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种时序图谱构建方法、装置、设备及介质。
[0006]第一方面，本公开实施例提供了一种时序图谱构建方法，所述方法包括：
[0007]获取预设时间段内的流量数据信息；
[0008]基于所述流量数据信息，构建原始序列；
[0009]对所述原始序列进行采样处理获得多个子序列，基于每个所述子序列与所述原始序列的距离分布，确定每个所述子序列的信息增益；
[0010]将各个所述子序列的信息增益进行比较，并基于比较结果从所述多个子序列中获得目标序列；
[0011]将所述目标序列作为时序图谱的节点，以及将所述目标序列在同一所述原始序列中的时序关系作为所述时序图谱的边，构建所述时序图谱。
[0012]一种可选的实施方式中，所述基于所述流量数据信息，构建原始序列，包括：
[0013]解析所述流量数据信息，获取预设时间段中的每个子时间段内访问端的访问次数；
[0014]基于所述访问次数以及各所述子时间段之间的时序关系，构建每个所述访问端对应的原始序列。
[0015]一种可选的实施方式中，所述对所述原始序列进行采样处理获得多个子序列，包括：
[0016]根据预设滑动窗口以及预设滑动距离对所述原始序列进行采样处理，获得所述多个子序列。
[0017]一种可选的实施方式中，所述基于每个所述子序列与所述原始序列的距离分布，确定每个所述子序列的信息增益，包括：
[0018]基于所述子序列构建第一序列集合，计算所述第一序列集合到每个所述原始序列的第一距离分布；
[0019]将所述第一序列集合中当前处理的所述子序列剔除，获得第二序列集合，计算所述第二序列集合到每个所述原始序列的第二距离分布；
[0020]根据所述第一距离分布和所述第二距离分布确定当前处理的所述子序列的信息增益。
[0021]一种可选的实施方式中，所述计算所述第一序列集合到每个所述原始序列的第一距离分布，包括：
[0022]获取对当前处理的所述原始序列进行采样确定的第一采样子序列；
[0023]计算每个所述第一采样子序列与所述第一序列集合中的子序列之间的第一距离，将所述第一距离中的最小值作为所述第一序列集合中的子序列与当前处理的所述原始序列之间的第一目标距离；
[0024]计算每个所述原始序列与所述第一序列集合中的每个所述子序列之间的所述第一目标距离，根据所述第一目标距离确定所述第一距离分布；
[0025]所述计算所述第二序列集合到每个所述原始序列的第二距离分布，包括：
[0026]获取对当前处理的所述原始序列进行采样确定的第二采样子序列；
[0027]计算每个所述第二采样子序列与所述第二序列集合中的子序列之间的第二距离，将所述第二距离中的最小值作为所述第二序列集合中的子序列与当前处理的所述原始序列之间的第二目标距离；
[0028]计算每个所述原始序列与所述第二序列集合中的每个所述子序列之间的所述第二目标距离，根据所述第二目标距离确定所述第二距离分布。
[0029]一种可选的实施方式中，所述将所述目标序列作为时序图谱的节点，以及将所述目标序列在同一所述原始序列中的时序关系作为所述时序图谱的边，构建所述时序图谱，包括：
[0030]获取所述目标序列中属于同一个所述原始序列的同源序列；
[0031]在所述原始序列中对所述同源序列进行检索，获得每个所述同源序列对应的时序标识；
[0032]将所述同源序列作为所述时序图谱的节点，根据每个所述同源序列对应的时序标识确定所述同源序列之间的连接关系，构建所述时序图谱。
[0033]第二方面，本公开实施例还提供了一种时序图谱构建装置，所述装置包括：
[0034]获取模块，用于获取预设时间段内的流量数据信息；
[0035]第一构建模块，用于基于所述流量数据信息，构建原始序列；
[0036]确定模块，用于对所述原始序列进行采样处理获得多个子序列，基于每个所述子序列与所述原始序列的距离分布，确定每个所述子序列的信息增益；
[0037]比较模块，用于将各个所述子序列的信息增益进行比较，并基于比较结果从所述多个子序列中获得目标序列；
[0038]第二构建模块，用于将所述目标序列作为时序图谱的节点，以及将所述目标序列在同一所述原始序列中的时序关系作为所述时序图谱的边，构建所述时序图谱。
[0039]第三方面，本公开提供了一种计算机可读存储介质，所述计算机可读存储介质中
存储有指令，当所述指令在终端设备上运行时，使得所述终端设备实现上述的方法。
[0040]第四方面，本公开提供了一种设备，包括：存储器，处理器，及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现上述的方法。
[0041]第五方面，本公开提供了一种计算机程序产品，所述计算机程序产品包括计算机程序/指令，所述计算机程序/指令被处理器执行时实现上述的方法。
[0042]本公开实施例提供的技术方案与现有技术相比具有如下优点：
[0043]本公开实施例的时序图谱构建方法，获取预设时间段内的流量数据信息；基于流量数据信息，构建原始序列；对原始序列进行采样处理获得多个子序列，基于每个子序列与原始序列的距离分布，确定每个子序列的信息增益；将各个子序列的信息增益进行比较，并基于比较结果从多个子序列中获得目标序列；将目标序列作为时序图谱的节点，以及将目标序列在同一原始序列中的时序关系作为时序图谱的边，构建时序图谱。可见，本公开实施例能够将预设时间段内的流量数据信息进行模式抽取，并且结合时序特征，获得时序图谱，将时序的网络安全攻击或访问路径转化为了时序图谱的表现形式，在时序图谱上构建出了时序行为，能够将设备探针无法检测到的网络攻击反馈在时序图谱上，从而提高了时序图谱的准确性，并且较好的利用了流量数据信息中所包含的信息，能够较好的解决长时间周期的潜伏攻击行为。
附图说明
[0044]结合附图并参考以下具体实施方式，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种时序图谱构建方法，其特征在于，包括：获取预设时间段内的流量数据信息；基于所述流量数据信息，构建原始序列；对所述原始序列进行采样处理获得多个子序列，基于每个所述子序列与所述原始序列的距离分布，确定每个所述子序列的信息增益；将各个所述子序列的信息增益进行比较，并基于比较结果从所述多个子序列中获得目标序列；将所述目标序列作为时序图谱的节点，以及将所述目标序列在同一所述原始序列中的时序关系作为所述时序图谱的边，构建所述时序图谱。2.根据权利要求1所述的方法，其特征在于，所述基于所述流量数据信息，构建原始序列，包括：解析所述流量数据信息，获取预设时间段中的每个子时间段内访问端的访问次数；基于所述访问次数以及各所述子时间段之间的时序关系，构建每个所述访问端对应的原始序列。3.根据权利要求1所述的方法，其特征在于，所述对所述原始序列进行采样处理获得多个子序列，包括：根据预设滑动窗口以及预设滑动距离对所述原始序列进行采样处理，获得所述多个子序列。4.根据权利要求1所述的方法，其特征在于，所述基于每个所述子序列与所述原始序列的距离分布，确定每个所述子序列的信息增益，包括：基于所述子序列构建第一序列集合，计算所述第一序列集合到每个所述原始序列的第一距离分布；将所述第一序列集合中当前处理的所述子序列剔除，获得第二序列集合，计算所述第二序列集合到每个所述原始序列的第二距离分布；根据所述第一距离分布和所述第二距离分布确定当前处理的所述子序列的信息增益。5.根据权利要求4所述的方法，其特征在于，所述计算所述第一序列集合到每个所述原始序列的第一距离分布，包括：获取对当前处理的所述原始序列进行采样确定的第一采样子序列；计算每个所述第一采样子序列与所述第一序列集合中的子序列之间的第一距离，将所述第一距离中的最小值作为所述第一序列集合中的子序列与当前处理的所述原始序列之间的第一目标距离；计算每个所述原始序列与所述第一序列集合中的每个所述子序列之间的所述第一目标距离，根据所述第一目标距离确定所述第一距离分布；所述计算所述第二序列集合到每个所述原始序列的第二距离分布，包括：获取对当前处理的所述原始序列进行采样确定的第二采样子序列；计算每个所...

【专利技术属性】
技术研发人员：鲍青波，万可，黄娜，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：