[发明专利]一种基于图结构的网络安全数据处理方法和系统

说明书

本申请涉及一种基于图结构的网络安全数据处理方法，其中，该方法包括：采集行为数据、安全数据和知识数据；分别将行为数据、安全数据和知识数据转换为图结构，得到行为图数据、安全图数据和知识图数据；通过预设类型的实体，将行为图数据、安全图数据和知识图数据进行关联，得到图分析模型。由于本申请中基于多种类型丰富且互相关联的安全数据得到分析模型，因此，模型中可以建立数据之间更广泛的联系，从而可以发现各种安全事件之间的关系，该分析模型也将具备更高的准确性和全面性，从而能够更加精准和高效的分析处理各类网络安全事件。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种基于图结构的网络安全数据处理方法和系统。

背景技术

随着互联网快速发展，导致网络安全事件的类型越来越丰富。当前，对于日趋严峻的网络安全形势，需要通过APT攻击识别、攻击溯源、威胁狩猎与响应、团伙分析和态势感知等手段进行应对。

各类安全数据已在较多大数据分析场景中应用，但是，由于当前这类方式往往孤立或部分应用数据，没有统一的体系描述这些数据的分类和使用模式，因此，导致系统的安全分析能力较差。

目前针对相关技术中，网络安全分析系统效果分析效果较差的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种基于图结构的网络安全数据处理方法、系统、计算机设备和计算机可读存储介质，以至少解决相关技术中网络安全分析系统效果分析效果较差的问题。

第一方面，本申请实施例提供了一种基于图结构的网络安全数据处理方法，所述方法包括：

采集行为数据、安全数据和知识数据；

分别将所述行为数据、所述安全数据和所述知识数据转换为图结构，得到行为图数据、安全图数据和知识图数据；

通过预设类型的实体，将所述行为图数据、安全图数据和知识图数据进行关联，得到图分析模型。

在其中一些实施例中，分别将所述行为数据、所述安全数据和所述知识数据转换为图结构包括：

分别将所述行为数据、所述安全数据和所述知识数据中的各个实体依次表示为图结构中的节点；

分别将所述行为数据、所述安全数据和所述知识数据中各个实体之间的跳转表示为图结构中的边；

分别将所述行为数据、所述安全数据和所述知识数据中，各个实体和边的特征信息表示为图结构中的属性信息。

在其中一些实施例中，所述行为数据是网络空间内实体的动作数据，包括：原始日志、信息层的检测告警日志和聚合生成的推断告警日志；

所述安全数据是通过安全设备采集的数据，包括：现存威胁数据和预测安全数据；

所述知识数据从开源网络获取，是用于归纳和推理且与时间弱相关的安全数据，包括知识库数据和枚举库数据。

在其中一些实施例中，得到图分析模型之后，所述方法还包括：

应用所述图分析模型，通过图查询方式进行局部数据分析，以及，通过图计算方式进行全局分析和迭代分析；

得到用于检测、推理、响应和治理的网络安全支撑数据。

在其中一些实施例中，通过图查询方式进行局部数据分析包括：

通过图查询语句进行数据查询，在所述图分析模型中进行局部数据分析。

在其中一些实施例中，通过图计算方式进行全局分析和迭代分析包括:

将所述图分析模型融合至机器学习任务，通过算法模型进行全局分析和迭代分析；