基于用户实体行为分析的安全威胁情报的确定方法及装置与流程

本发明涉及网络安全，尤其涉及一种基于用户实体行为分析的安全威胁情报的确定方法、装置、设备及存储介质。

背景技术：

1、在当前的网络环境下，安全问题显得尤为重要，传统的安全防御方式已经无法满足新的安全需求；目前，国内的数据安全管控产品都是属于siem技术的产品，这类产品对于数据安全的管控是基于规则的，受限于某个时间段的信息和事件，不会将用户及其活动的数据关联起来，也无法做到实时管控，它的集中和管理来自主机系统、应用程序以及网络和安全设备(如防火墙、防病毒过滤器等)的安全事件，存在高比例的误报告警，导致很多场景还需要人为的干预。

技术实现思路

1、本发明提供了一种基于用户实体行为分析的安全威胁情报的确定方法、装置、设备及存储介质，可以实时识别潜在安全威胁，提高了安全威胁的识别的准确率以及可识别安全威胁的范围。

2、第一方面，本发明的实施例提供了一种基于用户实体行为分析的安全威胁情报的确定方法，其特征在于，该方法包括：

3、获取安全数据；

4、其中，安全数据包括：安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略；

5、对安全数据进行分析并构建安全情报知识图谱；

6、根据矩阵分解算法对安全情报知识图谱进行处理得到安全情报知识图谱对应的嵌入向量；

7、根据余弦相似度算法和嵌入向量计算安全情报知识图谱之间的相似度；

8、根据预设聚类算法对安全情报知识图谱进行分类并确定安全威胁情报。

9、可选地，获取安全数据，包括：

10、通过安全设备采集安全设备日志；

11、其中，安全设备包括：防火墙、入侵检测系统和入侵防御系统；

12、通过采集网络流量并对网络流量进行分析得到网络安全事件；

13、其中，网络安全事件包括：恶意软件和入侵尝试；

14、通过对网络、操作系统和应用程序进行安全扫描得到安全漏洞并获取安全漏洞对应的处理方案；

15、采集安全设备和服务器的配置信息，

16、其中，配置信息用于分析安全问题；

17、通过捕获和分析恶意软件样本，确定恶意软件的行为、传播方式和防御策略。

18、可选地，获取安全数据，还包括：

19、通过安全摄像头和门禁系统采集物理安全数据；

20、其中，物理安全数据包括：员工进出记录和非法进入记录。

21、可选地，对安全数据进行分析并构建安全情报知识图谱,包括：

22、分析安全数据确定实体和实体关系；

23、根据实体和实体关系确定构建安全情报知识图谱的模式和模式元素；

24、其中，模式元素包括：节点、标签和关系；

25、根据安全数据确定实体和实体关系的属性信息；

26、根据实体、实体关系和属性信息构建安全情报知识图谱。

27、可选地，根据矩阵分解算法对安全情报知识图谱进行处理得到安全情报知识图谱对应的嵌入向量，包括：

28、通过构建邻接矩阵表示安全情报知识图谱中的节点和边；

29、根据矩阵分解算法将邻接矩阵分解为三个矩阵；

30、其中，第一矩阵表示节点在低维空间中的位置，包含了图的主要信息；第二矩阵为奇异值矩阵，表示节点的重要程度；第三矩阵表示节点在原始空间中的表达；

31、根据保留的奇异值个数按列截取第一矩阵得到嵌入向量；

32、对嵌入向量进行归一化操作。

33、可选地，根据预设聚类算法对安全情报知识图谱进行分类并确定安全威胁情报，包括：

34、以嵌入向量为样本，根据dbscan聚类算法和样本之间的相似度对样本进行分类；

35、根据分类结果确定安全情报知识图谱的分类。

36、可选地，以嵌入向量为样本，根据dbscan聚类算法和样本之间的相似度对样本进行分类，包括：

37、随机选取一个未分类样本；

38、选取未分类样本半径内所有样本，若不能形成一个簇，则将未分类样本标记为噪声样本；

39、对噪声样本的实体和实体关系进行分析并结合噪声的连续性和联通性确定安全威胁情报。

40、第二方面，本发明的实施例提供了一种基于用户实体行为分析的安全威胁情报的确定装置，该装置包括：

41、获取模块，用于获取安全数据；

42、其中，安全数据包括：安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略；

43、构建模块，用于对安全数据进行分析并构建安全情报知识图谱；

44、分解模块，用于根据矩阵分解算法对安全情报知识图谱进行处理得到安全情报知识图谱对应的嵌入向量；

45、计算模块，用于根据余弦相似度算法和嵌入向量计算安全情报知识图谱之间的相似度；

46、确定模块，用于根据预设聚类算法对安全情报知识图谱进行分类并确定安全威胁情报。

47、第三方面，本发明的实施例提供了一种电子设备，包括存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如第一方面中任一实现方式所述的方法。

48、第四方面，本发明的实施例提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面中任一实现方式所述的方法。

49、本发明提供了一种基于用户实体行为分析的安全威胁情报的确定方法、装置、设备及存储介质，该方法如下：获取安全数据；所述安全数据包括：安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略；对所述安全数据进行分析并构建安全情报知识图谱；根据矩阵分解算法对所述安全情报知识图谱进行处理得到所述安全情报知识图谱对应的嵌入向量；根据余弦相似度算法和所述嵌入向量计算所述安全情报知识图谱之间的相似度；根据预设聚类算法对所述安全情报知识图谱进行分类并确定安全威胁情报。本发明可以实时识别潜在安全威胁，提高了安全威胁的识别的准确率以及可识别安全威胁的范围。

50、应当理解，
技术实现要素：
部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征，亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。

技术特征：

1.一种基于用户实体行为分析的安全威胁情报的确定方法，其特征在于，该方法包括：

2.根据权利要求1所述的基于用户实体行为分析的安全威胁情报的确定方法，其特征在于，所述获取安全数据，包括：

3.根据权利要求1所述的基于用户实体行为分析的安全威胁情报的确定方法，其特征在于，所述获取安全数据，还包括：

4.根据权利要求1所述的基于用户实体行为分析的安全威胁情报的确定方法，其特征在于，所述对所述安全数据进行分析并构建安全情报知识图谱,包括：

5.根据权利要求1所述的基于用户实体行为分析的安全威胁情报的确定方法，其特征在于，所述根据矩阵分解算法对所述安全情报知识图谱进行处理得到所述安全情报知识图谱对应的嵌入向量，包括：

6.根据权利要求1所述的基于用户实体行为分析的安全威胁情报的确定方法，其特征在于，所述根据预设聚类算法对所述安全情报知识图谱进行分类并确定安全威胁情报，包括：

7.根据权利要求6所述的基于用户实体行为分析的安全威胁情报的确定方法，其特征在于，所述以所述嵌入向量为样本，根据dbscan聚类算法和样本之间的相似度对所述样本进行分类，包括：

8.一种基于用户实体行为分析的安全威胁情报的确定装置，其特征在于，该装置包括：

9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。

技术总结
本发明提供了一种基于用户实体行为分析的安全威胁情报的确定方法及装置，属于网络安全技术领域，该方法如下：获取安全数据；所述安全数据包括：安全设备日志、网络安全事件、安全设备和服务器的配置信息、安全漏洞及软件防御策略；对所述安全数据进行分析并构建安全情报知识图谱；根据矩阵分解算法对所述安全情报知识图谱进行处理得到所述安全情报知识图谱对应的嵌入向量；根据余弦相似度算法和所述嵌入向量计算所述安全情报知识图谱之间的相似度；根据预设聚类算法对所述安全情报知识图谱进行分类并确定安全威胁情报。本发明可以实时识别潜在安全威胁，提高了安全威胁的识别的准确率以及可识别安全威胁的范围。

技术研发人员：郭俊雄,黄虹
受保护的技术使用者：禅境科技股份有限公司
技术研发日：
技术公布日：2024/1/15