申请/专利权人：国家计算机网络与信息安全管理中心

申请日：2022-06-15

公开（公告）日：2023-09-01

公开（公告）号：CN115242438B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/16;H04L41/14;G06N3/042;G06N3/088;G06N3/0895

优先权：

专利状态码：有效-授权

法律状态：2023.09.01#授权;2022.11.11#实质审查的生效;2022.10.25#公开

摘要：本发明是有关于一种基于异质信息网络的潜在受害群体定位方法，包括如下步骤：步骤1：数据接入,采集接入威胁情报及多源网络数据；步骤2：数据预处理,对威胁情报中的入侵指标与网络数据碰撞得到的原始数据进行数据过滤、数据清洗和特征工程；步骤3：多源异构数据融合,面向异构数据进行实体、属性和关系提取，构建实体关系图，生成异质信息网络；步骤4：核心算法,采用语义提取、模型构建和度量分析进行受害群体定位；步骤5：业务应用,实现网络攻击事件受害群体定位，支撑事件影响分析及通报处置。本发明基于异质信息网络实现多源网络安全数据的融合与关联，实现潜在受害者定位，并提出降维预处理流程，提高分析效率，降低人工成本。

主权项：1.一种基于异质信息网络的潜在受害群体定位方法，其特征在于，其包括以下步骤：步骤1：数据接入采集并接入威胁情报数据及支撑关联分析的多源网络数据，其中：威胁情报数据包含外部威胁情报即安全公司或情报机构发布的报告及内部威胁情报；多源网络数据包括各监测系统输出的事件告警数据、URL访问日志、NetFlow数据、域名解析数据及恶意代码传播数据；步骤2：数据预处理从威胁情报数据提取入侵指标IOC,将IOC与多源网络数据关联碰撞得到的原始数据进行数据过滤和清洗，消除数据冗余，在此基础上对不同类型的数据进行针对性的特征工程，特征工程包括字段选择、关键部分提取和聚合统计分析；步骤3：多源异构数据融合首先面向每类网络数据进行网络实体、属性和关系的提取，构建网络实体关系图；将不同网络实体关系图通过相同类型的实体进行关联合并，生成异质信息网络，实现多源异构网络实体关系图的融合；步骤4：核心算法包括语义提取、模型构建和度量分析，首先梳理受害者定位的业务逻辑，将业务逻辑抽象为模型能够识别的节点之间的语义关系，生成面向受害者定位的元路径和元图，使得模型在指定的语义关系上，寻找与已标记的威胁实体具备强关联性的潜在受害群体；其次分别构建基于元路径的随机游走网络实体表示学习模型、基于元图的随机游走网络实体表示学习模型以及基于注意力机制的网络实体表示学习模型；最后完成度量分析，基于不同应用场景选择不同的模型进行节点表示学习，或采用组合策略对不同模型得到的嵌入式向量进行级联或求和；后运用相似性度量方法或者聚类算法对节点的嵌入式向量进行相似度计算，挖掘与威胁实体存在紧密联系的受害群体；步骤5：业务应用实现网络攻击事件潜在受害群体定位，进而支撑攻击事件影响分析以及最终的事件通报和处置。

全文数据：

权利要求：

百度查询： 国家计算机网络与信息安全管理中心 基于异质信息网络的潜在受害群体定位方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD