[发明专利]一种网络安全分析方法和装置

说明书

本申请提供一种网络安全分析方法和装置，用以提高发现非安全团伙的效率，涉及网络安全技术领域。该方法中，获取待分析的云查样本；确定各云查样本的安全属性；从安全样本以外的其他安全属性的云查样本中获得待聚类节点，在安全知识图谱中根据广度优先搜索方法抽取子图；采用设定的聚类方法，对抽取的所述子图中的各节点进行聚类，得到聚类结果，其中，聚类结果中每一类簇表示为一类疑似非安全团伙。这样，不需要分析人员人为的对各类节点进行关联分析，节省了人力资源，也提高了发现非安全团伙的效率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络安全分析方法和装置。

背景技术

目前，非安全团伙的发现主要通过间接的方法辅助人工，该间接的方法包括文件同源性算法和域名聚类算法。其中，文件同源性算法需要大量安全专家的经验，而且仅仅能够发现同一个非安全家族的非安全文件。域名聚类算法与文件同源性算法类似，只能够聚类同一非安全家族的非安全域名。

通过文件同源性算法得到的非安全文件和域名聚类算法得到的非安全域名都无法反映一个非安全团伙。

发明内容

为了发现非安全团伙，本申请实施例提供一种网络安全分析方法和装置。

一方面，本申请实施例提供一种网络安全分析方法。该方法中，获取待分析的云查样本；

确定各云查样本的安全属性；

从安全样本以外的其他安全属性的云查样本中获得待聚类节点，在安全知识图谱中根据广度优先搜索方法抽取子图；

采用设定的聚类方法，对抽取的所述子图中的各节点进行聚类，得到聚类结果，其中，聚类结果中每一类簇表示为一类疑似非安全团伙。

一方面，本申请实施例提供一种网络安全分析装置。该装置包括：

获取模块，用于获取待分析的云查样本；

确定模块，用于确定各云查样本的安全属性；

子图抽取模块，用于从安全样本以外的其他安全属性的云查样本中获得待聚类节点，在安全知识图谱中根据广度优先搜索方法抽取子图；

聚类模块，用于采用设定的聚类方法，对抽取的所述子图中的各节点进行聚类，得到聚类结果，其中，聚类结果中每一类簇表示为一类疑似非安全团伙。

一方面，提供一种网络安全分析设备，包括至少一个处理单元、以及至少一个存储单元，其中，存储单元存储有计算机程序，当程序被处理单元执行时，使得处理单元执行上述任意一种网络安全分析方法的步骤。

一方面，提供一种计算机可读介质，其存储有可由网络安全分析设备执行的计算机程序，当程序在网络安全分析设备上运行时，使得网络安全分析设备执行上述任意一种网络安全分析方法的步骤。

本申请实施例提供的一种网络安全分析方法，可以将待分析的云查样本中的非安全样本，根据广度优先搜索方法在安全知识图谱中抽取子图。并对子图中的各节点进行聚类，得到聚类结果。聚类结果中的每一类簇表示为一类疑似非安全团伙。这样，可以对一类非安全团伙进行分析并监控，可以了解一类非安全团伙的动向，并且避免被其攻击和感染，提高网络安全。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所介绍的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。