【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种知识图谱的管理方法、文件管理系统、计算设备集群、计算机可读存储介质、计算机程序产品。
技术介绍
1、随着互联网时代的到来,产生了各种各样的网络威胁,包括但不限于各种网络病毒、网络攻击。为此,很多网络安全服务提供商会向用户提供网络威胁情报(也可以简称为威胁情报),以使用户基于该威胁情报进行网络安全防护。
2、威胁情报作为一种网络安全大数据,其本质是立足于攻击者视角对防御方所面临的威胁信息进行汇总与分析,进而帮助防御者更好地提升网络安全防护能力。对威胁情报应用知识图谱技术,可以将分散的威胁信息融合,以更好地发掘和利用威胁情报,提升威胁情报共享、分析与利用等多个方面的能力。
3、目前,业界主要是从开源平台获取威胁情报,然后从威胁情报中提取邮箱、域名等情报实体,基于该情报实体构建知识图谱。基于知识图谱对信息的整合能力可以进行高级威胁分析,如安全情报搜索、敌手画像构建、团伙情报挖掘、高级可持续威胁(advancedpersistent threat,apt)攻击发现等。
4、然而,通过上述方案构建的知识图谱的信息量比较有限,难以进行有效的情报管理和高级分析。
技术实现思路
1、本申请提供了一种知识图谱的管理方法,该方法通过直接获取文件,以文件为主体,提取质量较高的情报实体,并以此构建内容丰富、具有参考价值的知识图谱,以便利用知识图谱对威胁情报进行有效管理和高级分析。本申请还提供了该方法对应的管理系统系统、计算设备集群、计算机
2、第一方面,本申请提供了一种知识图谱的管理方法。该方法可以由知识图谱的管理系统执行。为了便于描述,下文也可以简称为管理系统。管理系统可以是软件系统,该软件系统可以部署在计算设备集群中。计算设备集群通过执行软件系统的程序代码,从而执行本申请实施例的知识图谱的管理方法。在一些实施例中,管理系统也可以是具有知识图谱管理功能的硬件系统,该硬件系统运行时,执行本申请实施例的知识图谱的管理方法。例如,管理系统可以是具有知识图谱管理功能的计算设备集群。
3、具体地,管理系统可以获取至少一个文件,然后对至少一个文件进行恶意检测,获得至少一个文件的文件标签,该文件标签用于标识网络威胁的能力或类型。接着从至少一个文件中提取情报实体,根据情报实体和至少一个文件的文件标签构建知识图谱。
4、在该方法中,管理系统可以直接获取文件,并对文件进行恶意检测,以文件为主体提取情报实体,提升了情报实体的质量,以此构建的知识图谱内容丰富、更具参考价值,以便管理系统利用知识图谱对威胁情报进行有效管理和高级分析。
5、在一些可能的实现方式中,管理系统可以通过静态检测模型或动态检测模型中的至少一个模型对至少一个文件进行恶意检测,从而获得至少一个文件的文件标签。
6、该方法采用多种检测模型对文件进行恶意检测,实现从文件组成结构、字符串、动态行为等多角度的综合判定,从而获得准确的文件标签,快速识别出恶意文件。
7、在一些可能的实现方式中,静态检测模型可以包括基于特征码匹配的检测模型或者基于特征工程的人工智能模型中的至少一个,动态检测模型可以包括基于接口调用序列的检测模型或者基于行为匹配的检测模型。
8、该方法提供了多种对文件进行恶意检测的静态检测模型和动态检测模型,管理系统可以根据多种静态检测模型和动态检测模型的检测结果,综合确定文件的文件标签,从而使得检测结果具有较高的准确性。
9、在一些可能的实现方式中,管理系统可以根据情报实体模板从至少一个文件中提取情报实体,和/或根据至少一个文件在安全环境中执行时的行为提取情报实体。
10、该方法提供了多种管理系统提取情报实体的方式,通过情报实体模板或文件在安全环境中执行时的行为,管理系统可以提取多样化、信息量丰富的情报实体,避免遗漏文件中的有价值的威胁情报信息。
11、在一些可能的实现方式中,管理系统获取的至少一个文件包括多个文件,管理系统可以根据多个文件中每个文件的文件标签和从每个文件中提取的情报实体,构建每个文件的子图,并对每个文件的子图进行融合,获得知识图谱。
12、该方法针对多个文件构建出的多个子图,对每个文件的子图进行融合,从而对多个文件中分散的威胁情报进行融合,以获得信息量丰富的知识图谱,由此可以实现对威胁情报进行有效管理和高级分析。
13、在一些可能的实现方式中,管理系统获取的多个文件包括第一文件和第二文件,其中,第一文件的子图为初始化的知识图谱,管理系统可以查询第二文件的子图中的节点在初始化的知识图谱中是否存在,若否,则向初始化的知识图谱中新增第二文件的子图中的节点,若是,则查询第二文件的子图中的节点关系是否存在,当节点关系不存在时,向初始化的知识图谱中新增节点关系。
14、该方法提供了知识图谱的更新机制,管理系统根据提取到的情报实体对原有的知识图谱进行更新,从而丰富原有的知识图谱。
15、在一些可能的实现方式中,管理系统可以根据知识图谱中节点或节点关系的添加时间,删除知识图谱中生存时间大于预设阈值的节点或节点关系,其中,生存时间等于当前时间与添加时间的差值。
16、该方法提供了知识图谱的除旧机制,通过删除生存时间过长的节点和节点关系,可以释放管理系统占用的内存,以及提高知识图谱的时效性。
17、在一些可能的实现方式中,管理系统可以通过社区检测算法对知识图谱进行检测,获得至少一个社区,并将至少一个社区内与恶意节点的距离小于预设距离的节点标记为恶意节点。
18、该方法基于知识图谱中已有的恶意节点进行挖掘,以发现新的恶意节点,从而实现知识图谱的扩散,丰富知识图谱所具有的信息量。
19、在一些可能的实现方式中,管理系统可以确定至少一个社区的社区标记密度,以及确定至少一个社区内恶意节点的中心度,并根据社区标记密度和中心度,获得恶意节点的置信度。
20、该方法通过知识图谱中恶意节点所在社区的信息,更新恶意节点的置信度,以提升威胁情报的置信度,从而更好地基于知识图谱对威胁情报进行质量运营和高级威胁分析。
21、在一些可能的实现方式中,管理系统还可以向用户呈现知识图谱。该方法通过向用户(例如是云租户)呈现知识图谱,可以辅助用户进行安全策略配置,例如管理系统可以作为云主机安全防护软件,配合访问控制等安全策略,提升云租户业务的安全性。
22、在一些可能的实现方式中,管理系统可以接收用户上传的文件,通过对文件进行恶意检测,可以实现向用户提供文件检测服务。在一些实施例中,管理系统也可以主动从预设的数据源获取文件,并基于该文件进行文件检测、实体提取和图谱构建,由此可以实现提供威胁情报服务或者态势感知服务。
23、第二方面,本申请提供了一种知识图谱的管理系统。所述系统包括:
24、文件采集模块,用于获取至少一个文件;
25、文件本文档来自技高网...
【技术保护点】
1.一种知识图谱的管理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,所述对所述至少一个文件进行恶意检测,获得所述至少一个文件的文件标签,包括:
3.根据权利要求2所述的方法,其特征在于,所述静态检测模型包括基于特征码匹配的检测模型或者基于特征工程的人工智能模型中的至少一个。
4.根据权利要求2所述的方法,其特征在于,所述动态检测模型包括基于接口调用序列的检测模型或者基于行为匹配的检测模型。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述从所述至少一个文件中提取情报实体,包括:
6.根据权利要求1至5任一项所述的方法,其特征在于,所述至少一个文件包括多个文件时,所述根据所述情报实体和所述至少一个文件的文件标签构建知识图谱,包括:
7.根据权利要求6所述的方法,其特征在于,所述多个文件包括第一文件和第二文件,所述第一文件的子图为初始化的知识图谱,所述对所述多个文件中每个文件的子图进行融合,获得知识图谱,包括:
8.根据权利要1至7任一项所述的方法,其特征在于,所述方法还包括
9.根据权利要求1至8任一项所述的方法,其特征在于,所述方法还包括:
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
11.一种知识图谱的管理系统,其特征在于,所述系统包括:
12.根据权利要求11所述的系统,其特征在于,所述文件检测模块具体用于:
13.根据权利要求12所述的系统,其特征在于,所述静态检测模型包括基于特征码匹配的检测模型或者基于特征工程的人工智能模型中的至少一个。
14.根据权利要求12所述的系统,其特征在于,所述动态检测模型包括基于接口调用序列的检测模型或者基于行为匹配的检测模型。
15.根据权利要求11至14任一项所述的系统,其特征在于,所述实体提取模块具体用于:
16.根据权利要求11至15任一项所述的系统,其特征在于,所述至少一个文件包括多个文件时,所述图谱构建模块具体用于:
17.根据权利要求16所述的系统,其特征在于,所述多个文件包括第一文件和第二文件,所述图谱构建模块具体用于:
18.根据权利要11至17任一项所述的系统,其特征在于,所述图谱构建模块还用于:
19.根据权利要求11至18任一项所述的系统,其特征在于,所述系统还包括:
20.根据权利要求19所述的系统,其特征在于,所述图谱运营模块还用于:
21.一种计算设备集群,其特征在于,所述计算设备集群包括至少一台计算设备,所述至少一台计算设备包括至少一个处理器和至少一个存储器,所述至少一个存储器中存储有计算机可读指令;所述至少一个处理器执行所述计算机可读指令,以使得所述计算设备集群执行如权利要求1至10中任一项所述的方法。
22.一种计算机可读存储介质,其特征在于,包括计算机可读指令;所述计算机可读指令用于实现权利要求1至10任一项所述的方法。
23.一种计算机程序产品,其特征在于,包括计算机可读指令;所述计算机可读指令用于实现权利要求1至10任一项所述的方法。
...【技术特征摘要】
1.一种知识图谱的管理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,所述对所述至少一个文件进行恶意检测,获得所述至少一个文件的文件标签,包括:
3.根据权利要求2所述的方法,其特征在于,所述静态检测模型包括基于特征码匹配的检测模型或者基于特征工程的人工智能模型中的至少一个。
4.根据权利要求2所述的方法,其特征在于,所述动态检测模型包括基于接口调用序列的检测模型或者基于行为匹配的检测模型。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述从所述至少一个文件中提取情报实体,包括:
6.根据权利要求1至5任一项所述的方法,其特征在于,所述至少一个文件包括多个文件时,所述根据所述情报实体和所述至少一个文件的文件标签构建知识图谱,包括:
7.根据权利要求6所述的方法,其特征在于,所述多个文件包括第一文件和第二文件,所述第一文件的子图为初始化的知识图谱,所述对所述多个文件中每个文件的子图进行融合,获得知识图谱,包括:
8.根据权利要1至7任一项所述的方法,其特征在于,所述方法还包括:
9.根据权利要求1至8任一项所述的方法,其特征在于,所述方法还包括:
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
11.一种知识图谱的管理系统,其特征在于,所述系统包括:
12.根据权利要求11所述的系统,其特征在于,所述文件检测模块具体用于:
13.根据权利要求12所述的系统,其特征在于,所述静态检测模型...
【专利技术属性】
技术研发人员:吴迪,蒋振超,石晓辉,李长轩,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。