[发明专利]攻击路径分析方法、装置、电子设备和计算机存储介质

权利要求书

1.一种攻击路径分析方法，其特征在于，包括：

获取网络安全关联图谱，其中，所述获取网络安全关联图谱，包括：获取与安全日志数据对应的三元组，所述与安全日志数据对应的三元组包括源地址、目的地址、事件类型；获取与网络行为数据对应的三元组，所述与网络行为数据对应的三元组包括源地址、目的地址、协议；其中，所述源地址、所述目的地址作为实体，所述事件类型、所述协议作为关系；基于所述与安全日志数据对应的三元组、所述与网络行为数据对应的三元组，构建所述网络安全关联图谱；

确定所述网络安全关联图谱中每个节点的局部聚类系数，并确定所述网络安全关联图谱中所有节点的局部聚类系数的平均值；

从所述所有节点中确定所述局部聚类系数与所述平均值之间的比值大于阈值的目标节点；

遍历所有所述目标节点，对于每个目标节点，将该目标节点的相邻节点与该目标节点组合以形成候选节点组合，并确定所述候选节点组合的局部聚类系数；

在所述候选节点组合的局部聚类系数与所述平均值之间的比值小于等于所述阈值的情况下，将该目标节点作为所述节点组合；

在所述候选节点组合的局部聚类系数与所述平均值之间的比值大于所述阈值的情况下，将该目标节点的相邻节点和二度节点逐个添加至所述候选节点组合中，直至所述候选节点组合的局部聚类系数与所述平均值之间的比值小于等于所述阈值的情况下停止迭代，以确定所述节点组合；

获取网络安全信息，并根据所述网络安全信息确定遍历起始节点，基于所述遍历起始节点采用搜索算法遍历所述网络安全关联图谱，直至所述网络安全关联图谱中与所述遍历起始节点存在相通路径的节点均被访问，以生成与所述网络安全信息对应的攻击路径，其中，在遍历过程中，对于任一未被访问的相邻节点，若所述未被访问的相邻节点属于所述节点组合，则将所述未被访问的相邻节点所属的节点组合作为所述攻击路径中的单个点。

2.如权利要求1所述的方法，其特征在于，所述确定所述候选节点组合的局部聚类系数，包括：

将所述候选节点组合中所有节点的局部聚类系数的平均值，作为所述候选节点组合的局部聚类系数。

3.如权利要求1所述的方法，其特征在于，所述搜索算法为深度优先搜索算法。

4.一种攻击路径分析装置，其特征在于，包括：

获取模块，用于获取网络安全关联图谱，其中，所述获取网络安全关联图谱，包括：获取与安全日志数据对应的三元组，所述与安全日志数据对应的三元组包括源地址、目的地址、事件类型；获取与网络行为数据对应的三元组，所述与网络行为数据对应的三元组包括源地址、目的地址、协议；其中，所述源地址、所述目的地址作为实体，所述事件类型、所述协议作为关系；基于所述与安全日志数据对应的三元组、所述与网络行为数据对应的三元组，构建所述网络安全关联图谱；

第一确定模块，用于确定所述网络安全关联图谱中每个节点的局部聚类系数，并确定所述网络安全关联图谱中所有节点的局部聚类系数的平均值；

第二确定模块，用于从所述所有节点中确定所述局部聚类系数与所述平均值之间的比值大于阈值的目标节点；

生成模块，用于遍历所有所述目标节点，对于每个目标节点，将该目标节点的相邻节点与该目标节点组合以形成候选节点组合，并确定所述候选节点组合的局部聚类系数；在所述候选节点组合的局部聚类系数与所述平均值之间的比值小于等于所述阈值的情况下，将该目标节点作为所述节点组合；在所述候选节点组合的局部聚类系数与所述平均值之间的比值大于所述阈值的情况下，将该目标节点的相邻节点和二度节点逐个添加至所述候选节点组合中，直至所述候选节点组合的局部聚类系数与所述平均值之间的比值小于等于所述阈值的情况下停止迭代，以确定所述节点组合；

遍历模块，用于获取网络安全信息，并根据所述网络安全信息确定遍历起始节点，基于所述遍历起始节点采用搜索算法遍历所述网络安全关联图谱，直至所述网络安全关联图谱中与所述遍历起始节点存在相通路径的节点均被访问，以生成与所述网络安全信息对应的攻击路径，其中，在遍历过程中，对于任一未被访问的相邻节点，若所述未被访问的相邻节点属于所述节点组合，则将所述未被访问的相邻节点所属的节点组合作为所述攻击路径中的单个点。