【技术实现步骤摘要】
网络系统的图建模方法及装置、电子设备、存储介质
[0001]本申请涉及网络信息安全
,特别涉及一种网络系统的图建模方法及装置
、
电子设备
、
计算机可读存储介质
。
技术介绍
[0002]图建模是指使用由点和线组成的几何图形来描述实体的建模方式
。
借助图论,图模型可用于描述各种实体以及实体之间的关系
。
构成图模型的图形与一般集合图形相比,包含更多的物理意义
。
由于其对复杂系统具有很强的描述能力,图建模已经开始被应用于反欺诈
、
反洗钱
、
反恐
、
推荐系统以及社交网络等重要领域
。
[0003]相关方案中,可以使用图模型来表示网络系统的结构,包括系统中实体
(
如主机
、
用户等
)
以及这些实体之间的交互关系
(
如网络通信等
)。
例如,一种常见的方法是使用图模型来表示网络流量
。
在这种方法中,网络中的每个
IP
地址或主机被表示为一个节点,而网络连接则被表示为边
。
通过分析这种图模型,可以检测到网络中的异常行为,如端口扫描
、DDoS(Distributed Denial of Service
,分布式阻断服务
)
攻击等
。
另一种方法是使用图模型来表示系统调用关系<...
【技术保护点】
【技术特征摘要】
1.
一种网络系统的图建模方法,其特征在于,包括:获取网络系统在网络安全方面的多个批次的标准日志;其中,所述标准日志指示所述网络系统中不同实体之间的系统事件,所述多个批次的标准日志是基于时间顺序排列后的多条标准日志按照数据划分窗口划分得到的;对多个批次的标准日志进行重叠采样,并基于每次采样得到的至少两个批次的标准日志以及所述网络系统中多个实体的实体特征信息,生成系统活动图;其中,所述系统活动图包括多个节点
、
多条有向边
、
节点特征矩阵和边特征矩阵,每一节点指示所述网络系统的一个实体,每一有向边表征一条标准日志指示的系统事件;基于指定窗长的滑动窗口和指定步长,对连续多个系统活动图进行滑窗处理,将窗内至少两个系统活动图构成动态图组合
。2.
根据权利要求1所述的方法,其特征在于,在所述获取网络系统在网络安全方面得到多个批次的标准日志之前,所述方法还包括:将所述网络系统在网络安全方面的多条标准日志按照时间顺序进行排列,得到排列后的多条标准日志;对排列后的多条标准日志按照数据划分窗口进行划分,得到多个批次的标准日志
。3.
根据权利要求2所述的方法,其特征在于,在所述将所述网络系统在网络安全方面的多条标准日志按照时间顺序进行排列,得到排列后的多条标准日志之前,所述方法还包括:从所述网络系统的多个安全系统,分别获取多条原始日志;将所述多条原始日志以指定格式进行标准化处理,得到多条标准日志
。4.
根据权利要求3所述的方法,其特征在于,所述将所述多条原始日志以指定格式进行标准化处理,得到多条标准日志,包括:如果至少两条原始日志指示同一系统事件,将指示同一系统事件的至少两条原始日志,融合为一条标准日志
。5.
根据权利要求1所述的方法,其特征在于,所述基于每次采样得到的至少两个批次的标准日志以及所述网络系统中多个实体的实体特征信息,生成系统活动图,包括:将所述网络系统的每一实体分别作为一个节点,得到多个节点;基于所述至少两个批次的标准日志中的每条标准日志,生成一条有向边,得到多条有向边;其中,所述有向边的起点为所述标准日志指示的系统事件的源实体对应的节点,所述有向边的终点为所述标准日志指示的系统事件的目标实体对应的节点;基于所述多个实体的实体特征信息,构建节点特征矩阵;基于所述至少两个批次的标准日志指示的事件特征,生成边特征矩阵;基于所述多个节点
、
所述多条有向边
、
所述节点特征矩阵和所述边特征矩阵,构成所述系统活动图
。6.
根据权利要求1所述的方法,其特征在于,所述方法还包括:针对所述系统活动图中每一节点,将所述节点的若干相连节点在所述节点特征矩阵中的节点特征加权求和,并将加权求和结果与所述节点在所述节点特征矩阵中的节点特征融合,得到所述节点更新后的节点特征;在对所述系统活动图中每一节点更新节点特征之后,为所述系统活动图的每一有向边更新边特征;其中,更新边特征的过程包括:将每一有向边...
【专利技术属性】
技术研发人员:许力文,白敏,汪列军,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。