[发明专利]一种实体行为关系消息订阅方法、系统、终端及存储介质

说明书

本发明提供一种基于有向图结构的实体行为关系消息订阅方法、系统、终端及存储介质，对日志文件进行标记，确定其所属类型；选取预设时间段内的所有日志文件，对每个日志文件进行解析，获取每个日志文件的实体和行为信息，按照源IP访问目标IP的顺序依次串联所有实体网络，形成一个有向图结构；用户根据相应的消息订阅方法指定约束条件，通过匹配算法将系统中的信息与用户输入的约束条件进行匹配；若匹配成功，则将匹配信息发送给对应的用户，实现用户与系统数据的交互。实现了大数据模式下实体行为关系数据的高效组织与分发，实现了订阅者与实体间的数据交互，同时提高了数据分析效率，对网络安全分析和威胁检测等方面提供较大帮助。

技术领域

本发明涉及网络安全技术问题，尤其涉及一种基于有向图结构的实体行为关系消息订阅方法、系统、终端及存储介质。

背景技术

在计算机快速发展的过程中，互联网以及互联网衍生出来的云计算、物联网、大数据等技术在给人们的生活、工作、学习带来了极大便利的同时，也产生了许多网络安全问题。尤其对于企业来说，来自内部和外部的网络安全问题会使得个人以及企业遭受巨大的损失，同时对国家的安全更是构成了极大的威胁。

目前，解决这一问题主要以实体行为分析方法为主。实体行为分析方法是使用高级数据分析方法分析实体的行为，实现网络威胁检测，解决网络安全问题。但各实体行为关系复杂多样，面对海量的实体行为数据，无法进行准确的获取或者匹配，造成网络威胁检测准确度差，而且由于各实体行为关系复杂多样，数据分析处理量大，造成系统资源无法有效的使用，不仅影响网络安全监控，还影响系统的日常工作，进而导致系统可能受到严重的网络威胁，安全性差。

发明内容

为了克服上述现有技术中的不足，本发明提供一种基于有向图结构的实体行为关系消息订阅方法，方法包括：

步骤一，对日志文件进行标记，确定其所属类型；

步骤二，选取预设时间段内的所有日志文件，对每个日志文件进行解析，获取每个日志文件的实体和行为信息，按照源IP访问目标IP的顺序依次串联所有实体网络，形成一个有向图结构；

步骤三，用户选取消息订阅方法并输入对应的约束条件，通过匹配算法将系统中的信息与用户输入的约束条件进行匹配；

步骤四，若匹配成功，则将匹配信息发送给对应的用户，实现用户与系统数据的交互。

进一步需要说明的是，步骤一中，

对日志文件中的属性内容进行标记；

标记方式包括：源IP地址、目标IP地址、协议类型等关键信息；

每个日志文件形成字段信息，字段信息包括：{实体类型：(服务器、PC机等)；实体属性：(IP地址；MAC地址等)；实体行为类型：(上传；下载等)；实体行为属性：(协议；字节等)；}。

进一步需要说明的是，步骤二中，

将有向图的所有实体生成一个非空有穷集合，并在集合中将实体进行分类，生成若干个子集：V＝{(v₁,v₂,v₅),(v₄,v₇),…,(v_i,v_j,v_k)}。其中，v代表不同类型实体的相关信息；

将各种行为进行分类生成类似集合；

有向图结构中的数据增加或减少的过程中，对非空有穷集合进行操作来实现数据更新。

进一步需要说明的是，步骤三中，用户至少定义一个约束条件；

通过匹配算法与用户输入的每个约束条件进行匹配；

每个约束条件均匹配后，将匹配成功的信息发送给对应的用户。