关联分析方法及相关设备技术

技术编号：38242211 阅读：14 留言：0更新日期：2023-07-25 18:04

本方法提供一种关联分析方法及相关设备，该方法包括：获取被监控网络设备的网络安全事件信息和安全关联信息，安全关联信息为与被监控网络的网络安全相关联的信息；根据网络安全事件信息和安全关联信息建立安全知识图谱；基于安全知识图谱对网络安全事件信息进行关联分析，输出关联分析结果信息，关联分析结果信息包括网络安全事件的类型信息，类型包括威胁事件或业务场景事件。根据被监控网络设备的网络安全事件信息和安全关联信息建立安全知识图谱，再利用安全知识图谱对网络安全事件进行类型识别，以准确识别存在网络安全威胁的威胁事件，可以有效提高关联分析的精度，有效保障被监控网络设备的网络安全。被监控网络设备的网络安全。被监控网络设备的网络安全。

全部详细技术资料下载

【技术实现步骤摘要】
关联分析方法及相关设备

[0001]本专利技术实施例涉及安全领域，尤其涉及一种关联分析方法及相关设备。

技术介绍

[0002]随着计算机和网络技术的快速发展，互联网正在影响到日常生活、工业技术等各个领域。黑客组织以及一些网络非法分子正在使用计算机领域相关技术通过非法获取账号密码、用户敏感数据等手段来谋取私利，严重影响到个人、组织以及国家的信息安全和财产安全。
[0003]现有的入侵检测手段主要包括基于网络流量和基于主机状态两种检测方式。基于主机的入侵探测器在目标主机上部署若干检测程序，该检测程序主要用于记录报告当前主机的实时状态信息，如中央处理器(Central Processing Unit，CPU)利用率、内存利用率等，以及主机日志、应用软件日志、操作系统配置文件的访问信息等，通过将收集到的主机特征与攻击规则库进行对比，可以准确快速的发现攻击者的真实攻击目的。但是这种检测方法没有考虑来自网络层的数据信息，对于通过网络传播发生的攻击往往效果不佳。基于网络的入侵检测器通过抓取网络数据流中的数据包，分析网络协议、报文长度、源目网际互连协议(Internet Protocol，IP)地址等信息，通过综合上述特征，与规则库中的攻击规则进行比较来发掘恶意攻击。基于网络的入侵检测方法从网络维度出发，可以快速感知来自网络传输层发生的恶意攻击，但是由于没有考虑主机维度的状态信息，所以同样无法应付所有攻击情况。
[0004]由于单源安全设备的局限性，需要通过集成多源网络安全设备，收集网络环境中的多源信息，以应对日益复...

【技术保护点】

【技术特征摘要】
1.一种关联分析方法，其特征在于，所述方法包括以下步骤：获取被监控网络设备的网络安全事件信息和安全关联信息，所述安全关联信息为与所述被监控网络的网络安全相关联的信息；根据所述网络安全事件信息和所述安全关联信息建立安全知识图谱；基于所述安全知识图谱对所述网络安全事件信息进行关联分析，输出关联分析结果信息，所述关联分析结果信息包括网络安全事件的类型信息，所述类型包括威胁事件或业务场景事件。2.根据权利要求1所述的方法，其特征在于，所述方法还包括以下步骤：确定所述网络安全事件的类型为威胁事件时，基于所述安全知识图谱、安全知识库对所述威胁事件进行知识推理，得到所述威胁事件的推理结果，所述推理结果包括攻击源、攻击链路、攻击者画像中的一项或多项。3.根据权利要求1或2所述的方法，其特征在于，所述根据所述网络安全事件和所述安全关联信息建立安全知识图谱，具体包括以下步骤：对所述网络安全事件和所述安全关联信息进行知识抽取，确定抽取信息，所述抽取信息包括实体、所述实体之间的关系、所述实体的属性、以及所述属性对应的属性值；根据所述抽取信息、安全知识库建立所述安全知识图谱，所述安全知识图谱包括多个节点和所述节点之间的连边，所述节点用于表征所述实体和/或所述属性值，所述节点之间的连边用于表征所述实体之间的关系和/或所述实体的属性。4.根据权利要求1至3任一项所述的方法，其特征在于，所述方法还包括以下步骤：获取初始查询语句；根据预设处理规则处理所述初始查询语句生成图查询请求，所述图查询请求包括链路识别请求、攻击者画像查询请求、攻击溯源请求中的一种或多种；响应所述图查询请求，根据所述安全知识图谱、安全知识库输出所述图查询请求的可视化查询结果。5.根据权利要求1至4任一项所述的方法，其特征在于，所述基于所述安全知识图谱对所述网络安全事件信息进行关联分析，输出关联分析结果信息，具体包括以下步骤：对所述网络安全事件信息进行语义分析处理，以确定所述网络安全事件的所述类型信息；若对所述网络安全事件信息进行语义...

【专利技术属性】
技术研发人员：李智华，雷远晓，李强，焦雪丽，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人