申请/专利权人：腾讯科技(深圳)有限公司

申请日：2019-02-20

公开（公告）日：2024-03-26

公开（公告）号：CN110399722B

主分类号：G06F21/56

分类号：G06F21/56;G06F18/23

优先权：

专利状态码：有效-授权

法律状态：2024.03.26#授权;2020.11.27#实质审查的生效;2019.11.01#公开

摘要：本申请提供一种病毒家族分析方法、装置、服务器及存储介质，通过获取待确定病毒家族的至少一个种子节点；从知识图谱中筛选出与至少一个种子节点相关的目标节点，得到由种子节点和目标节点构成的子图；利用聚类算法对子图中的节点进行聚类得到至少一个节点类别；若当前不存在与节点类别相关的病毒家族，将节点类别中的各个节点确定为属于同一个新的病毒家族的方式，实现了在不依赖于人工分析的基础上自动生成病毒家族的目的，进而通过向用户提供病毒家族的相关信息，为用户对安全事件进行深度分析提供了便利，缩短了用户对安全事件进行深度分析的时长。

主权项：1.一种病毒家族生成方法，其特征在于，包括：获取待确定病毒家族的至少一个种子节点；从知识图谱中筛选出与所述至少一个种子节点相关的目标节点，得到由所述种子节点和所述目标节点构成的子图；所述知识图谱中存储有与安全相关的至少一个节点，所述至少一个节点中的节点之间存在关联关系；利用预训练的聚类算法对所述子图中的节点进行聚类得到至少一个节点类别；根据所述节点类别中的节点确定当前是否存在与所述节点类别相关的病毒家族；若当前不存在与所述节点类别相关的病毒家族，将所述节点类别中的各个节点确定为属于同一个新的病毒家族；确定所述节点类别是否与病毒家族相关的方式包括：获取所述节点类别中属于病毒家族中的节点的第一数量；获取所述节点类别中所有节点的第二数量；若所述第一数量和所述第二数量满足预设条件时，确定所述节点类别与所述病毒家族相关。

全文数据：一种病毒家族生成方法、装置、服务器及存储介质技术领域本发明涉及信息安全技术领域，更具体地说，涉及一种病毒家族生成方法、装置、服务器及存储介质。背景技术目前业界公司在病毒的威胁发现和响应上，主要基于如下两种模式：一种是基于样本层面的运营，分析员利用样本特性根据个人经验，对于安全事件进行深度分析挖掘，此种方法虽然能够实现对安全事件的深度分析，但是对人工经验依赖严重，响应周期长。另一种是对分析员人工发现的可疑行为，部署监控点进行监控，一旦存在触发该可疑行为的事件，便会报警以便分析人员及时处理，此种方式虽然响应迅速，但同样受分析员制约，且分析员难以对安全事件进行深度分析，难以发现攻击全貌。可见，如何在不依赖人工分析的基础上，达到便于对安全事件进行深度分析的目的，是亟待解决的问题。发明内容有鉴于此，为解决上述问题，本发明提供一种病毒家族分析方法、装置、服务器及存储介质。技术方案如下：一种病毒家族生成方法，包括：获取待确定病毒家族的至少一个种子节点；从知识图谱中筛选出与所述至少一个种子节点相关的目标节点，得到由所述种子节点和所述目标节点构成的子图；所述知识图谱中存储有与安全相关的至少一个节点，所述至少一个节点中的节点之间存在关联关系；利用预训练的聚类算法对所述子图中的节点进行聚类得到至少一个节点类别；根据所述节点类别中的节点确定当前是否存在与所述节点类别相关的病毒家族；若当前不存在与所述节点类别相关的病毒家族，将所述节点类别中的各个节点确定为属于同一个新的病毒家族。一种病毒家族生成装置，包括：种子节点获取单元，用于获取待确定病毒家族的至少一个种子节点；子图生成单元，用于从知识图谱中筛选出与所述至少一个种子节点相关的目标节点，得到由所述种子节点和所述目标节点构成的子图；所述知识图谱中存储有与安全相关的至少一个节点，所述至少一个节点中的节点之间存在关联关系；聚类单元，用于利用预训练的聚类算法对所述子图中的节点进行聚类得到至少一个节点类别；病毒家族确定单元，用于根据所述节点类别中的节点确定当前是否存在与所述节点类别相关的病毒家族；病毒家族生成单元，用于若当前不存在与所述节点类别相关的病毒家族，将所述节点类别中的各个节点确定为属于同一个新的病毒家族。一种服务器，包括：至少一个存储器和至少一个处理器；所述存储器存储有程序，所述处理器调用所述存储器存储的程序，所述程序用于实现所述病毒家族生成方法。一种存储介质，用于存储实现所述病毒家族生成方法的程序。本申请提供一种病毒家族分析方法、装置、服务器及存储介质，通过获取待确定病毒家族的至少一个种子节点；从知识图谱中筛选出与至少一个种子节点相关的目标节点，得到由种子节点和目标节点构成的子图；利用聚类算法对子图中的节点进行聚类得到至少一个节点类别；若当前不存在与节点类别相关的病毒家族，将节点类别中的各个节点确定为属于同一个新的病毒家族的方式，实现了在不依赖于人工分析的基础上自动生成病毒家族的目的，进而通过向用户提供病毒家族的相关信息，为用户对安全事件进行深度分析提供了便利，缩短了用户对安全事件进行深度分析的时长。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本申请实施例提供的一种病毒家族生成方法所适用于的服务器的硬件结构框图；图2为本申请实施例提供的一种聚类算法生成方法流程图；图3a为本申请实施例提供的一种病毒家族样本示意图；图3b为本申请实施例提供的一种子图示意图；图3c为本申请实施例提供的一种对子图的节点的聚类结果示意图；图4为本申请实施例提供的一种病毒家族生成方法流程图；图5为本申请实施例提供的一种获取待确定病毒家族的至少一个种子节点的方法流程图；图6为为本申请实施例提供的一种确定节点类别是否与病毒家族相关的方法流程图；图7为本申请实施例提供的另一种病毒家族生成方法流程图；图8为本申请实施例提供的一种病毒家族生成装置的结构示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。实施例：本申请实施例提供的病毒家族生成方法可以实现病毒家族的自动生成，通过为分析员提供病毒家族的相关的内容，为分析员对安全事件进行深度分析提供了便利，缩短了分析员对安全事件进行深度分析的时长。下面对本申请实施例提供的一种病毒家族生成方法进行详细介绍：本申请实施例提供的一种病毒家族生成方法可应用于服务器，该服务器可以是网络侧为用户提供服务的服务设备，其可能是多台服务器组成的服务器集群，也可能是单台服务器。可选的，图1示出了服务器的硬件结构框图，参照图1，服务器的硬件结构可以包括：处理器11，通信接口12，存储器13和通信总线14；在本发明实施例中，处理器11、通信接口12、存储器13、通信总线14的数量均可以为至少一个，且处理器11、通信接口12、存储器13通过通信总线14完成相互间的通信；处理器11可能是一个中央处理器CPU，或者是特定集成电路ASICApplicationSpecificIntegratedCircuit，或者是被配置成实施本发明实施例的一个或多个集成电路等；存储器13可能包含高速RAM存储器，也可能还包括非易失性存储器non-volatilememory等，例如至少一个磁盘存储器；其中，存储器存储有程序，处理器可调用存储器存储的程序，程序用于：获取待确定病毒家族的至少一个种子节点；从知识图谱中筛选出与至少一个种子节点相关的目标节点，得到由种子节点和目标节点构成的子图；知识图谱中存储有与安全相关的至少一个节点，至少一个节点中的节点之间存在关联关系；利用预训练的聚类算法对子图中的节点进行聚类得到至少一个节点类别；根据节点类别中的节点确定当前是否存在与节点类别相关的病毒家族；若当前不存在与节点类别相关的病毒家族，将节点类别中的各个节点确定为属于同一个新的病毒家族。可选的，程序的细化功能和扩展功能可参照下文描述。为了便于对适用于上述服务器的病毒家族生成方法的理解，现对本申请实施例提供的一种病毒家族生成方法进行详细介绍。从实现过程上看，本申请实施例提供的一种病毒家族生成方法主要分成如下两个过程：一个过程是对待聚类算法进行训练以生成聚类算法的过程；另一个过程是基于预训练的聚类算法生成以及更新病毒家族的过程。进一步的，从实现过程上看，本申请实施例提供的一种病毒家族生成方法还包括：对预训练的聚类算法进行修正的过程、向用户提供与病毒家族相关的信息的过程比如，响应对病毒家族的信息查看请求，显示病毒家族中与信息查看请求指示的信息类别相关的信息的过程等等。下面，首先从对待聚类算法进行训练以生成聚类算法的过程进行详细介绍。图2为本申请实施例提供的一种聚类算法生成方法流程图。如图2所示，该方法包括：S201、获取多个病毒家族样本，每个病毒家族样本包括至少一个节点样本；在本申请实施例中，病毒家族样本是由人工标注的病毒家族，该病毒家族样本是通过人工节点样本进行分析生成的。比如，用户通过分析发现节点样本1、节点样本2和节点样本3属于同一个节点类别1，节点样本4和节点样本5属于同一个节点类别2，节点样本6、节点样本7和节点样本8属于同一个节点类别3；这样，可以将节点类别1标注成一个病毒家族样本该病毒家族样本中包括节点样本1、节点样本2和节点样本3、将节点类别2标注成一个病毒家族样本该病毒家族样本中包括节点样本4和节点样本5、将节点类别3标注成一个病毒家族样本该病毒家族样本中包括节点样本6、节点样本7和节点样本8。并且，本申请实施例可以设置一个病毒家族库，初始该病毒家族库为空，在存在病毒家族样本后，可以将病毒家族样本存储在病毒家族库中，相应的，本申请实施例可以在后续对该病毒家族库中的病毒家族进行更新，或者将新生成的病毒家族存储在该病毒家族库。S202、从知识图谱中筛选出与各个节点样本相关的目标节点，得到由目标节点和节点样本构成的子图；知识图谱中存储有与安全相关的至少一个节点，至少一个节点中的节点之间存在关联关系。其中，至少一个节点中节点之间的关联关系的设置方式可以为针对知识图谱中的节点设置节点属性，节点的节点属性表征与该节点存在关联关系的各个节点。在本申请实施例中，节点可以为文件、域名、IP地址等等；节点之间的关联关系可以通过文件之间的父子关系体现、文件与域名之间的访问关系体现、文件与IP地址之间的访问关系体现等等，只要两个节点之间存在父子关系或者访问关系，便可以认为这两个节点之间存在关联关系。以上仅仅是本申请实施例提供的节点之间存在关联关系的优选方式，有关两个节点之间的关联关系的具体内容，发明人可根据自己的需求进行设置，在此不做限定。在本申请实施例中，可以监测并抓取原始数据，并将抓取到的原始数据存入知识图谱以及感知系统。其中，原始数据包括节点，原始数据中的节点携带有节点属性，在抓取到节点后，可以将节点存入知识图谱和感知系统，以实现对知识图谱和感知系统的扩充。感知系统主要用于感知候选节点，以将感知到的候选节点应用于基于预训练的聚类算法生成以及更新病毒家族的过程，有关感知系统的具体内容请参见下文对病毒家族生成过程进行介绍。以获取到的病毒家族样本为病毒家族样本1和病毒家族样本2为例，则从知识图谱中获取与节点样本1、节点样本2、节点样本3、节点样本4、节点样本5、节点样本6、节点样本7和节点样本8存在关联关系的各个节点，并将获取到的每个节点称为一个目标节点。其中，可以根据各个节点样本的节点属性在知识图谱中进行拓扑，以确定知识图谱中与各个节点样本存在关联关系的目标节点。比如，节点样本1携带的节点属性表征节点样本1与节点5存在关联关系；从知识图谱中获取与该节点样本1存在关联关系的各个目标节点的方式为：基于节点样本1的节点属性确定知识图谱中与节点样本1存在关联关系的节点为一个目的节点；节点5携带的节点属性表征节点5分别与节点3和节点6存在关联关系，则可以将节点3作为一个目标节点，将节点6作为一个目标节点；进而在根据知识图谱分别确定节点3的节点属性表征的与节点3存在关联关系的节点以及节点6的节点属性表征的与节点6存在关联关系的节点；若节点3的节点属性表征不存在与节点3存在关联关系的节点，则停止对节点3的分析；若节点6的节点属性表征节点4与节点6存在关联关系，则将节点4作为一个目标节点；在继续根据知识图谱确定节点4的节点属性表征的与节点4存在关联关系的节点，若节点4的节点属性表征不存在与节点4存在关联关系的节点，则停止对节点4的分析，将上述得到的各个目标节点作为获取到的与节点样本1存在关联关系的各个目标节点。在本申请实施例中，将目标节点和节点样本作为子图信息，基于子图信息可以构建出目标节点和节点样本构成的子图。S203、利用待训练聚类算法对子图中的节点进行聚类，得到至少一个预测节点类别；在本申请实施例中，预先设置有待训练聚类算法，通过将子图输入待训练聚类算法后，待训练聚类算法可以对子图中的各个节点进行聚类，得到至少一个节点类别，为了便于区分，暂时将每个节点类别称为一个预测节点类别，每个预测节点类别中包括子图中的至少一个节点。S204、基于至少一个预测节点类别反向调解待训练聚类算法，以使得至少一个预测节点类别对节点样本的归类趋近于多个病毒家族样本对节点样本的归类，生成聚类算法。在本申请实施例中，得到至少一个预测节点类别后，基于至少一个预测节点类别反相调节待训练聚类算法中的参数，以使得至少一个预测节点类别对节点样本的归类趋近于多个病毒家族样本对节点样本的归类；进而通过对待训练聚类算法的多次训练，以生成聚类算法。为了便于对本申请实施例提供的一种聚类算法生成方法的理解，现提供一种聚类算法生成方法应用场景图。参见图3a为一次对待训练聚类算法进行训练时，获取的三个病毒家族样本，分别为病毒家族样本1、病毒家族样本2和病毒家族样本3；病毒家族样本1中包括三个节点样本，分别为节点1、节点2和节点3；病毒家族样本2包括两个节点样本，分别为节点4和节点5；病毒家族样本3包括3个节点样本，分别为节点6、节点7和节点8。根据知识图谱节点之间的关联关系对这3个病毒样本中节点样本进行拓扑，得到一张子图，参见图3b；将该子图输入待训练聚类算法后得到的聚类结果参见图3c，如图3c所示该聚类结果中包括两个预测节点类别，图3c中每个虚线圈出的部分代表一个预测节点类别；其中节点6可以单独认为是一个预测节点类别，节点7也可以单独认为是一个预测节点类别，只是在本申请实施例提供的病毒家族生成方法不对这种情况进行考虑，即，将节点6对应的预测节点类别忽略，将节点7对应的预测节点类别忽略。可见，目前待训练聚类算法对子图的聚类结果是不准确的，如果准确的话，需要节点1、节点2和节点3属于同一个预测节点类别中，节点4和节点5属于同一个预测节点类别，节点6、节点7和节点8属于同一个预测节点类别。基于此，基于聚类结果反向调整待训练聚类算法中的参数，以使得待训练算法对子图的至少一个预测节点类别中对节点1-节点8的归类方式趋近于多个病毒样本对节点1-8的归类方式。在本申请实施例中，基于上述聚类算法生成过程可以预训练好聚类算法，以基于该预训练好的聚类算法执行生成以及更新病毒家族的过程。为了便于对本申请实施例提供的一种病毒家族生成方法的理解，现从基于预训练好的聚类算法执行生成以及更新病毒家族的过程进行详细介绍。图4为本申请实施例提供的一种病毒家族生成方法流程图。如图4所示，该方法包括：S401、获取待确定病毒家族的至少一个种子节点；在本申请实施例中，获取待确定病毒家族的至少一个种子节点的方法请参见图5。如图5所示，该方法包括：S501、获取感知系统感知的多个候选节点；在本申请实施例中，感知系统用于基于其存储的原始数据进行安全监测，感知可能存在安全隐患的节点，并将监测到的每个节点作为一个候选节点。S502、针对每个候选节点，根据该候选节点分别在每个预设维度的属性值，确定该候选节点的分值；在本申请实施例中，预先设置有多个维度，针对每个维度预先设置有与该维度的权值；维度可以为广度、病毒种类等等。比如，预先设置“广度”这一维度的权值为1；“病毒种类”这一维度的权值为2。以预先设置的维度包括“广度”和“病毒种类”为例，针对一个候选节点，若该候选节点的在“广度”的属性为“11000”，在“病毒种类”的属性为“病毒木马”，可以确定该候选节点在“广度”的属性值为“2”，确定该候选节点在“病毒种类”的属性值为“3”。在本申请实施例中，可以根据候选节点在维度的属性确定候选节点在维度的属性值。比如，可以针对一个维度，预先设置该维度下的属性与属性值的对应关系，在确定候选节点在该维度的属性后，则可以通过查找该维度下与该属性对应的属性值的方式，得到候选节点在该维度的属性值。比如，针对“广度”这一维度，设置属性在“0～1000”范围内时，该属性对应的属性值为1；属性在“1001～12000”范围内时，该属性对应的属性值为2。针对“病毒种类”这一维度，设置属性为“流氓软件类病毒”时，该属性对应的属性值为1；属性为“病毒木马”时，该属性对应的属性值为3；属性为“持续攻击类病毒”时，该属性对应的属性值为5。则针对一个候选节点，若确定该候选节点在“广度”的属性值为“2”，确定该候选节点在“病毒种类”的属性值为“3”，且预先设置“广度”这一维度的权值为1；“病毒种类”这一维度的权值为2时，则该候选节点的分值＝1*2+2*3＝8。S503、从多个候选节点中选取分值靠前的至少一个候选节点，至少一个候选节点中每个候选节点为一个种子节点。在本申请实施例中，可以预先设置种子节点的数量，进而按照候选节点分值从高到低的顺序，从多个候选节点中选取这些数量个候选节点，并将选取的每个候选节点作为一个种子节点。S402、从知识图谱中筛选出与至少一个种子节点相关的目标节点，得到由种子节点和目标节点构成的子图；知识图谱中存储有与安全相关的至少一个节点，至少一个节点中的节点之间存在关联关系；S403、利用预训练的聚类算法对子图中的节点进行聚类得到至少一个节点类别；S404、根据节点类别中的节点确定当前是否存在与节点类别相关的病毒家族；若当前不存在与节点类别相关的病毒家族，执行步骤S405；若当前存在与节点类别相关的病毒家族，执行步骤S406；在本申请实施例中，可以是确定病毒家族库中是否存在与节点类别相关的病毒家族。本申请实施例提供一种确定节点类别是否与病毒家族相关的方法流程图，具体请参见图6。如图6所示，该方法包括：S601、获取节点类别中属于病毒家族中的节点的第一数量；S602、获取节点类别中所有节点的第二数量；S603、判断第一数量和第二数量是否满足预设条件时；如果第一数量和第二数量满足预设条件，执行步骤S604；在本申请实施例中，若第一数量除以第二数量的结果大于第一阈值，则认为第一数量和第二数量满足预设条件；反之，可以认为第一数量和第二数量不满足预设条件。S604、确定节点类别与病毒家族相关。在本申请实施例中，若确定第一数量和第二数量不满足预设条件时，还可以进一步确定节点类别与病毒家族无关。以上仅仅是本申请实施例提供的确定节点类别是否与病毒家族相关的优选方式，有关确定节点类别是否与病毒家族相关的具体方式，发明人可根据自己的需求进行设置，比如设置在第一数量在满足第二阈值时，确定节点类别与病毒家族相关等等，在此不做限定。S405、将节点类别中的各个节点确定为属于同一个新的病毒家族。在本申请实施例中，针对一个节点类别而言，若病毒家族库中不存在与该节点类别相关的病毒家族，则将该节点类别确定为一个新的病毒家族，并将这个新的病毒家族加入到病毒家族库中。S406、将节点类别中当前未被归入病毒家族的各个节点归入病毒家族。在本申请实施例中，针对一个节点类别而言，若病毒家族库中存在与该节点类别关联的病毒家族，则可以确定该节点类别中未被该病毒家族包括的各个节点，并将所确定的各个节点加入该病毒家族，以实现对该病毒家族的更新。比如，病毒家族库中与节点类别1关联的病毒家族为病毒家族1，节点类别1包括节点1、节点2和节点3；而病毒家族包括节点1和节点3；因此，将节点2加入病毒家族1，以实现对病毒家族库中病毒家族1的更新。参见图7为本申请实施例提供的另一种病毒家族生成方法流程图。如图7所示，该方法包括：S701、获取待确定病毒家族的至少一个种子节点；S702、从知识图谱中筛选出与至少一个种子节点相关的目标节点，得到由种子节点和目标节点构成的子图；知识图谱中存储有与安全相关的至少一个节点，至少一个节点中的节点之间存在关联关系；S703、利用预训练的聚类算法对子图中的节点进行聚类得到至少一个节点类别；S704、对至少一个节点类别进行二次确认清洗，得到至少一个目标节点类别；在本申请实施例中，为了进一步保证聚类结果的准确性，可以进一步基于自动化经验鉴定器，对聚类算法的聚类结果，进行二次确认清洗，以得到最终聚类结果，最终聚类结果包括至少一个目标节点类别。进一步的，本申请实施例在对聚类结果进行二次确认清洗得到至少一个目标节点类别后，还可以进一步基于至少一个目标节点类别和聚类结果所包括的至少一个节点类别对聚类算法进行修正，以使得修正后的聚类算法对子图的聚类结果更加准确。S705、根据目标节点类别中的节点确定当前是否存在与目标节点类别相关的病毒家族；若当前不存在与目标节点类别相关的病毒家族，执行步骤S705；若当前存在与目标节点类别相关的病毒家族，执行步骤S706；S705、将目标节点类别中的各个节点确定为属于同一个新的病毒家族；S706、将目标节点类别中当前未被归入病毒家族的各个节点归入病毒家族。进一步的，本申请实施例提供的一种病毒家族生成方法可以生成并更新病毒家族，进而本申请还可以进一步为用户提供病毒家族信息查询功能，包括：接收对病毒家族的信息查看请求，信息查看请求指示有信息类别；显示病毒家族中与信息类别相关的信息。在本申请实施例中，信息查看请求指示的信息类别可以为病毒家族类别、病毒传播源类别、访问的恶意域名类别等等。当信息查看请求指示的信息类别为病毒家族类别时，向用户展示其所请求查看的病毒家族的拓扑图。该病毒家族的拓扑图由构成病毒家族的各个节点之间的关联关系构建。当信息查看请求指示的信息类别为病毒传播源类别时，可以根据病毒家族中的各个节点之间的关联关系，确定病毒家族的病毒传播源，并显示该病毒传播源。当信息查看请求指示的信息类别为访问的恶意域名类别时，可以从病毒家族中获取为域名的各个节点，并显示获取到的节点。比如，病毒家族中包括3个节点，分别为节点1、节点2和节点3；其中，节点1是文件、节点2是域名、节点3是IP地址，则将节点2作为从病毒家族中获取到的节点，并显示节点2。图8为本申请实施例提供的一种病毒家族生成装置的结构示意图。如图8所示，该装置包括：种子节点获取单元81，用于获取待确定病毒家族的至少一个种子节点；第一子图生成单元82，用于从知识图谱中筛选出与至少一个种子节点相关的目标节点，得到由种子节点和目标节点构成的子图；知识图谱中存储有与安全相关的至少一个节点，至少一个节点中的节点之间存在关联关系；第一聚类单元83，用于利用预训练的聚类算法对子图中的节点进行聚类得到至少一个节点类别；病毒家族确定单元84，用于根据节点类别中的节点确定当前是否存在与节点类别相关的病毒家族；病毒家族生成单元85，用于若当前不存在与节点类别相关的病毒家族，将节点类别中的各个节点确定为属于同一个新的病毒家族。进一步的，本申请实施例提供的一种病毒家族生成装置还包括病毒家族更新单元，用于若当前存在与节点类别相关的病毒家族，将节点类别中当前未被归入病毒家族的各个节点归入病毒家族。在本申请实施例中，种子节点获取单元包括：候选节点获取单元，用于获取感知系统感知的多个候选节点；分析计算单元，用于针对每个候选节点，根据该候选节点分别在每个预设维度的属性值，确定该候选节点的分值；种子节点选取单元，用于从多个候选节点中选取分值靠前的至少一个候选节点，至少一个候选节点中每个候选节点为一个种子节点。进一步的，本申请实施例提供的一种病毒家族生成装置还包括二次清洗确认单元，用于在根据节点类别中的节点确定当前是否存在与节点类别相关的病毒家族之前，对至少一个节点类别进行二次确认清洗，得到至少一个目标节点类别。相应的，病毒家族确定单元具体用于根据目标节点类别中的各个节点确定当前是否存在与目标节点类别相关的病毒家族。在本申请实施例中，病毒家族确定单元包括：第一数量获取单元，用于获取节点类别中属于病毒家族中的节点的第一数量；第二数量获取单元，用于获取节点类别中所有节点的第二数量；病毒家族确定子单元，用于若第一数量和第二数量满足预设条件时，确定节点类别与病毒家族相关。进一步的，本申请实施例提供的一种病毒家族生成装置还包括病毒家族信息显示单元，用于接收对病毒家族的信息查看请求，信息查看请求指示有信息类别；显示病毒家族中与信息类别相关的信息。进一步的，本申请实施例提供的一种病毒家族生成装置还包括聚类算法训练单元，包括：病毒家族样本获取单元，用于获取多个病毒家族样本，每个病毒家族样本包括至少一个节点样本；第二子图生成单元，用于从知识图谱中筛选出与各个节点样本相关的目标节点，得到由目标节点和节点样本构成的子图；第二聚类单元，用于利用待训练聚类算法对子图中的节点进行聚类，得到至少一个预测节点类别；聚类算法生成子单元，用于基于至少一个预测节点类别反向调解待训练聚类算法，以使得至少一个预测节点类别对节点样本的归类趋近于多个病毒家族样本对节点样本的归类，生成聚类算法。进一步的，本申请实施例还提供一种存储介质，该存储介质可存储有适于处理器执行的程序，程序用于：获取待确定病毒家族的至少一个种子节点；从知识图谱中筛选出与至少一个种子节点相关的目标节点，得到由种子节点和目标节点构成的子图；知识图谱中存储有与安全相关的至少一个节点，至少一个节点中的节点之间存在关联关系；利用预训练的聚类算法对子图中的节点进行聚类得到至少一个节点类别；根据节点类别中的节点确定当前是否存在与节点类别相关的病毒家族；若当前不存在与节点类别相关的病毒家族，将节点类别中的各个节点确定为属于同一个新的病毒家族。可选的，程序的细化功能和扩展功能可参照上文描述。本申请提供一种病毒家族分析方法、装置、服务器及存储介质，通过获取待确定病毒家族的至少一个种子节点；从知识图谱中筛选出与至少一个种子节点相关的目标节点，得到由种子节点和目标节点构成的子图；利用聚类算法对子图中的节点进行聚类得到至少一个节点类别；若当前不存在与节点类别相关的病毒家族，将节点类别中的各个节点确定为属于同一个新的病毒家族的方式，实现了在不依赖于人工分析的基础上自动生成病毒家族的目的，进而通过向用户提供病毒家族的相关信息，为用户对安全事件进行深度分析提供了便利，缩短了用户对安全事件进行深度分析的时长。以上对本发明所提供的一种病毒家族生成方法、装置、服务器及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本发明的限制。需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素，或者是还包括为这些过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

权利要求：1.一种病毒家族生成方法，其特征在于，包括：获取待确定病毒家族的至少一个种子节点；从知识图谱中筛选出与所述至少一个种子节点相关的目标节点，得到由所述种子节点和所述目标节点构成的子图；所述知识图谱中存储有与安全相关的至少一个节点，所述至少一个节点中的节点之间存在关联关系；利用预训练的聚类算法对所述子图中的节点进行聚类得到至少一个节点类别；根据所述节点类别中的节点确定当前是否存在与所述节点类别相关的病毒家族；若当前不存在与所述节点类别相关的病毒家族，将所述节点类别中的各个节点确定为属于同一个新的病毒家族。2.根据权利要求1所述的方法，其特征在于，若当前存在与所述节点类别相关的病毒家族，该方法还包括：将所述节点类别中当前未被归入所述病毒家族的各个节点归入所述病毒家族。3.根据权利要求1所述的方法，其特征在于，所述获取待确定病毒家族的至少一个种子节点，包括：获取感知系统感知的多个候选节点；针对每个所述候选节点，根据该候选节点分别在每个预设维度的属性值，确定该候选节点的分值；从多个所述候选节点中选取分值靠前的至少一个候选节点，至少一个候选节点中每个所述候选节点为一个种子节点。4.根据权利要求3所述的方法，其特征在于，所述根据所述节点类别中的节点确定当前是否存在与所述节点类别相关的病毒家族之前，该方法还包括：对所述至少一个节点类别进行二次确认清洗，得到至少一个目标节点类别；所述根据所述节点类别中的节点确定当前是否存在与所述节点类别相关的病毒家族，包括：根据所述目标节点类别中的各个节点确定当前是否存在与所述目标节点类别相关的病毒家族。5.根据权利要求1所述的方法，其特征在于，确定所述节点类别是否与病毒家族相关的方式包括：获取所述节点类别中属于病毒家族中的节点的第一数量；获取所述节点类别中所有节点的第二数量；若所述第一数量和所述第二数量满足预设条件时，确定所述节点类别与所述病毒家族相关。6.根据权利要求1所述的方法，其特征在于，还包括：接收对所述病毒家族的信息查看请求，所述信息查看请求指示有信息类别；显示所述病毒家族中与所述信息类别相关的信息。7.根据权利要求1所述的方法，其特征在于，还包括聚类算法训练过程，该过程包括：获取多个病毒家族样本，每个所述病毒家族样本包括至少一个节点样本；从所述知识图谱中筛选出与各个所述节点样本相关的目标节点，得到由所述目标节点和所述节点样本构成的子图；利用待训练聚类算法对所述子图中的节点进行聚类，得到至少一个预测节点类别；基于所述至少一个预测节点类别反向调解所述待训练聚类算法，以使得所述至少一个预测节点类别对所述节点样本的归类趋近于多个所述病毒家族样本对所述节点样本的归类，生成聚类算法。8.一种病毒家族生成装置，其特征在于，包括：种子节点获取单元，用于获取待确定病毒家族的至少一个种子节点；子图生成单元，用于从知识图谱中筛选出与所述至少一个种子节点相关的目标节点，得到由所述种子节点和所述目标节点构成的子图；所述知识图谱中存储有与安全相关的至少一个节点，所述至少一个节点中的节点之间存在关联关系；聚类单元，用于利用预训练的聚类算法对所述子图中的节点进行聚类得到至少一个节点类别；病毒家族确定单元，用于根据所述节点类别中的节点确定当前是否存在与所述节点类别相关的病毒家族；病毒家族生成单元，用于若当前不存在与所述节点类别相关的病毒家族，将所述节点类别中的各个节点确定为属于同一个新的病毒家族。9.一种服务器，其特征在于，包括：至少一个存储器和至少一个处理器；所述存储器存储有程序，所述处理器调用所述存储器存储的程序，所述程序用于实现如权利要求1-7任意一项所述的病毒家族生成方法。10.一种存储介质，其特征在于，用于存储实现如权利要求1-7任意一项所述的病毒家族生成方法的程序。

百度查询： 腾讯科技(深圳)有限公司 一种病毒家族生成方法、装置、服务器及存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD