[发明专利]安全事件的分析报告生成方法、装置、存储介质及设备

说明书

本发明公开了一种安全事件的分析报告生成方法、装置、存储介质及设备，属于网络安全技术领域。方法包括：获取输入样本队列，输入样本队列中包括至少一个病毒样本；基于输入样本队列在信息采集系统的知识图谱中进行数据查询，对查询到的数据进行聚类，得到病毒群组的初级关系数据；调用同源性聚类服务器和沙箱，对初级关系数据进行扩展；基于得到的扩展关系数据在知识图谱中进行数据查询，得到第一描述信息；将初级关系数据和扩展关系数据放置于沙箱中执行，得到第二描述信息；获取与病毒群组匹配的安全建议以及关联入侵指标；基于第一描述信息、第二描述信息、安全建议以及关联入侵指标，生成病毒群组的分析报告。本发明报告质量可控且耗时短。

技术领域

本发明涉及网络安全技术领域，特别涉及一种安全事件的分析报告生成方法、装置、存储介质及设备。

背景技术

网络技术的快速发展，为信息的传播带来了极大便利，但与此同时，人们也面临着巨大的信息安全挑战。由于信息安全问题日益突出，因此人们对于网络安全问题的重视程度也越来越高。比如，在发现安全事件后，通常会生成关于该安全事件的威胁分析报告，以使用户详细了解此次安全威胁并给出相关提示或安全建议。

相关技术在生成有关于安全事件的威胁分析报告时全部依靠人工完成，即在发现安全事件后，人工进行样本分析以及溯源分析，之后人工基于得到的分析结果撰写威胁分析报告并输出，且通常做法是由一个或多个分析人员共同进行分析和撰写。

由于人工分析安全事件是一项极其耗费脑力的工作，因此生成威胁分析报告的耗时较长，比如快则一天慢则需要一周以上；另外，不同的分析人员在分析或撰写时往往使用各自的一套方法或信息资源，由于信息不共享，所以存在大量的重复劳动，且由于不同分析人员的技术水平参差不齐，根据不同分析人员的主观性判断生成的威胁分析报告质量难于控制，所以该种生成威胁分析报告的方式效果较差。

发明内容

本发明实施例提供了一种安全事件的分析报告生成方法、装置、存储介质及设备，解决了相关技术存在的生成报告耗时较长以及报告质量难于控制的问题。所述技术方案如下：

一方面，提供了一种安全事件的分析报告生成方法，所述方法包括：

获取输入样本队列，所述输入样本队列中包括至少一个病毒样本；

基于所述输入样本队列在信息采集系统的知识图谱中进行数据查询，对查询到的数据进行聚类，得到病毒群组的初级关系数据，所述初级关系数据给出了病毒样本之间的边关系；

调用同源性聚类服务器和沙箱，对所述初级关系数据进行扩展；

基于得到的扩展关系数据在所述知识图谱中进行数据查询，得到第一描述信息，所述第一描述信息用于对所述病毒群组以及所述病毒群组使用的病毒样本集合进行介绍；

将所述初级关系数据和所述扩展关系数据放置于所述沙箱中执行，得到第二描述信息，所述第二描述信息用于分析所述病毒样本集合的样本行为；

获取与所述病毒群组匹配的安全建议以及关联入侵指标；

基于所述第一描述信息、所述第二描述信息、所述安全建议以及所述关联入侵指标，生成所述病毒群组的分析报告。

另一方面，提供了一种安全事件的分析报告生成装置，所述装置包括：

获取模块，用于获取输入样本队列，所述输入样本队列中包括至少一个病毒样本；

查询模块，用于基于所述输入样本队列在信息采集系统的知识图谱中进行数据查询，对查询到的数据进行聚类，得到病毒群组的初级关系数据，所述初级关系数据给出了病毒样本之间的边关系；

扩展模块，用于调用同源性聚类服务器和沙箱，对所述初级关系数据进行扩展；