网络安全情报的图数据库建模

从信息的角度来看,安全的层次对抗和防守从下到上,其对抗难度逐渐增加,在各个平面上,以前的攻击者和防守者是单独的对抗,现在利用图数据库后,可以将各个层次的实体ID通过关联关系串联起来,形成立体层次的网络,通过这个立体层次的网络,企业可以迅速把握攻击者的攻击方式、作弊工具、集团特征等比较全貌的信息。

因此,基于安全数据的图形结构数据建模可以将原有的平面识别级别改为立体网状识别级别,有助于企业更清晰、更准确地识别攻击和风险。


安全信息的图形建模的主要目的是判断任何维度风险时,不仅仅是该维度本身的状态和属性,而是将维度从个人扩展到网络水平,通过图形结构的数据关系,通过上下水平(异构图)和同级(同构图)立体观察该维度的风险。以设备风险为例:对于一个设备来说,整体分为网络层、设备层、账户层和用户层四个层次,每个层次都用代表性的实体ID来表现。通过图形数据库,可以对设备进行立体的三维风险认知,对风险识别非常有帮助。


如上图所示,这是安全信息的基本图构造模型,以上构成了基于安全信息的知识图像。在基本图形结构上,还需要考虑的是,每种关联关系的存在都有时效性,a时间段的关联关系存在,b时间段的关联关系不一定存在,因此希望安全信息能够在图形数据库中实际反映客观现实的不同时间段的关联关系。这意味着根据查询时间的不同,需要出现不同图形结构模型的数据,称为动态图形结构。在动态图形结构的设计中,相关问题之一是在被调查的区间,应该返回什么样的边缘关系。


如上图所示,查询时间区间为B、C、D时,此侧应返回,查询时间区间为A、E时,此侧不应返回。面对黑灰产和真人的恶作剧,设备上对应着非常多的账户,有些账户是非法坏人自己的常用账户,有些账户是他们买的非法转播账户。为了配合公安和法务的打击,有必要从这个账户正确区分哪个账户是真正的坏人自己的常用账户,哪个账户只是他们买的坏账户。


因此,帐户与设备关系方面的权重问题有关:如果是该设备常用的帐户,则表示该帐户与该设备的关系较强,则该方面的权重较高。如果只是恶/直播时使用的帐户,帐户与设备的关系较弱,相应的权重较低。因此,我们在边缘属性方面,不仅有时间维度,还增加了权重维度。综上所述,最终建立在安全信息中的图形模型是具有权重的动态时间图结构。

分享: