[发明专利]一种网络安全分析方法和装置

权利要求书

1.一种网络安全分析方法，其特征在于，所述方法包括：

获取待分析的云查样本；

确定各云查样本的安全属性；

从安全样本以外的其他安全属性的云查样本中获得待聚类节点，在安全知识图谱中根据广度优先搜索方法抽取子图；

采用设定的聚类方法，对抽取的所述子图中的各节点进行聚类，得到聚类结果，其中，聚类结果中每一类簇表示为一类疑似非安全团伙。

2.根据权利要求1所述的方法，其特征在于，所述聚类结果中包括至少一个类簇，得到聚类结果之后，还包括：

针对聚类结果中的每一类簇执行：

将类簇中的节点与预先设置的威胁情报库中的已知非安全团伙中的节点作比较；

若该类簇中存在至少一个节点与所述非安全团伙中的节点相同，则生成威胁情报；并,

将在该类簇中，但不在非安全团伙中的节点，添加至非安全团伙的节点中。

3.根据权利要求2所述的方法，其特征在于，若类簇中的节点与所述非安全团伙中的节点均不相同，所述方法还包括：

计算该类簇的节点总数和/或节点访问总次数；

根据计算结果，确定该类簇的优先级；

按照优先级由高到低的顺序，将各类簇发送至人工运营平台。

4.根据权利要求1所述的方法，其特征在于，从安全样本以外的其他安全属性的云查样本中获得待聚类节点之后，还包括：

删除所述待聚类节点中，与预设的流氓文件库中的节点相同的待聚类节点。

5.根据权利要求1所述的方法，其特征在于，在安全知识图谱中根据广度优先搜索方法抽取子图，包括：

同时获取多个待聚类节点；

对获取的多个待聚类节点并行处理，根据广度优先搜索方法在安全知识图谱中搜索各个待聚类节点的邻接节点；

由各待聚类节点及其邻接节点构成所述子图。

6.根据权利要求5所述的方法，其特征在于，由各待聚类节点及其邻接节点构成所述子图之前，所述方法还包括：

根据以下过滤规则对搜索到的邻接节点进行过滤，所述过滤规则包括以下中的至少一种：

剔除在白文件名单中的邻接节点；

剔除在白域名名单中的邻接节点；

剔除在白IP名单中的邻接节点。

7.根据权利要求1所述的方法，其特征在于，所述设定的聚类方法为社区发现算法。

8.根据权利要求1所述的方法，其特征在于，聚类结果中的各类簇中均包括IP节点和域名节点，所述方法还包括：

根据以下清洗规则对聚类结果中的各类簇进行清洗，所述清洗规则包括以下中的至少一种：

剔除仅有一个邻接IP节点的IP节点；

剔除仅有一个邻接域名节点的域名节点；

针对各类簇，若该类簇中的IP节点和域名节点的数量和与该类簇中节点总数的比值超过预设比值，则剔除该类簇。

9.根据权利要求8所述的方法，其特征在于，根据清洗规则对聚类结果中的各类簇进行清洗之后，所述方法还包括：

计算各类簇各自的节点总数；

剔除节点总数少于预设阈值的类簇。

10.一种网络安全分析装置，其特征在于，所述装置包括：

获取模块，用于获取待分析的云查样本；

确定模块，用于确定各云查样本的安全属性；

子图抽取模块，用于从安全样本以外的其他安全属性的云查样本中获得待聚类节点，在安全知识图谱中根据广度优先搜索方法抽取子图；

聚类模块，用于采用设定的聚类方法，对抽取的所述子图中的各节点进行聚类，得到聚类结果，其中，聚类结果中每一类簇表示为一类疑似非安全团伙。