本發明公開了一種網絡安全數據關聯分析方法、裝置、設備及存儲介質，該方法包括：采集能夠表示網絡當前安全情況的數據為樣本，依據預設的業務邏輯從所述樣本中抽取相應的信息為知識，并利用所述知識構建知識圖譜；從預設的每個規則中分別提取特征，得到相應的規則特征；其中，所述規則為表示所述網絡存在安全威脅的數據；對所述知識圖譜進行深度搜索，如果搜索到所述知識圖譜中存在與任意規則特征相匹配的知識，則為與任意規則特征相匹配的知識標識風險。本申請能夠減少網絡安全分析時間的同時，提高網絡安全分析的準確性及有效性。

技術領域

本發明涉及網絡安全技術領域，更具體地說，涉及一種網絡安全數據關聯分析方法、裝置、設備及存儲介質。

背景技術

網絡安全相關數據多樣且復雜，包括安全威脅情報數據、脆弱性信息、網絡環境資產數據、網絡安全事件數據、安全事件響應專家知識等。現有技術在實現對網絡安全相關數據的分析時，通常是由分析師人工分別對每種網絡安全相關數據進行分析，但是這種分別分析的方法導致安全分析結果片面，經常存在大量誤報，不僅浪費分析師寶貴的時間，還極有可能將真正的安全威脅淹沒。

發明內容

本發明的目的是提供一種網絡安全數據關聯分析方法、裝置、設備及存儲介質，能夠減少網絡安全分析時間的同時，提高網絡安全分析的準確性及有效性。

為了實現上述目的，本發明提供如下技術方案：

一種網絡安全數據關聯分析方法，包括：

采集能夠表示網絡當前安全情況的數據為樣本，依據預設的業務邏輯從所述樣本中抽取相應的信息為知識，并利用所述知識構建知識圖譜；

從預設的每個規則中分別提取特征，得到相應的規則特征；其中，所述規則為表示所述網絡存在安全威脅的數據；

對所述知識圖譜進行深度搜索，如果搜索到所述知識圖譜中存在與任意規則特征相匹配的知識，則為與任意規則特征相匹配的知識標識風險。

優選的，利用所述知識構建知識圖譜之前，還包括：

如果當前時刻之前已經構建得到多個連續的時間周期的知識圖譜，則將該多個知識圖譜擬合得到一個時間周期的圖譜基線；

對應的，利用所述知識構建知識圖譜之后，還包括：

將當前構建得到的知識圖譜與所述圖譜基線進行比對，如果比對到當前構建得到的知識圖譜存在與所述圖譜基線之間不同的知識，則為與所述圖譜基線之間不同的知識標識風險。

優選的，依據預設的業務邏輯從所述樣本中抽取相應的信息為知識，包括：

如果所述樣本為日志數據，則對所述日志數據進行正則匹配和/或分詞處理，得到相應的結構化數據為知識；

如果所述樣本為流量數據，則對所述流量數據進行正則匹配和/或字段提取，得到相應的結構化數據為知識。

優選的，利用所述知識構建知識圖譜之前，還包括：

將所述知識進行去重處理，并將所述知識中含義相同的不同名稱均替換為表示相應含義的統一名稱。

優選的，利用所述知識構建知識圖譜，包括：

確定與當前場景對應的本體模型為當前模型，并將所述知識導入至當前模型，得到相應的知識圖譜。

優選的，將多個知識圖譜擬合得到一個時間周期的圖譜基線，包括：

對需要實現擬合的多個知識圖譜進行時間疊加去重處理；

對進行時間疊加去重處理后的多個知識圖譜進行分析，得到該多個知識圖譜之間的差異，指示外界處理得到的差異，得到一個時間周期的圖譜基線。

優選的，為相應的知識標識風險，包括：