(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211154594.2 (22)申请日 2022.09.22 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 李小华　鲍青波　刘俊潮　陈天草　 张楠　 (74)专利代理 机构 北京开阳星知识产权代理有 限公司 1 1710 专利代理师 王雪 (51)Int.Cl. H04L 41/0631(2022.01) H04L 41/069(2022.01)H04L 41/12(2022.01) H04L 9/40(2022.01) (54)发明名称 网络信息分析方法、 装置、 设备及 介质 (57)摘要 本公开实施例涉及一种网络信息分析方法、 装置、 设备及介质， 涉及计算机技术领域， 其中该 方法包括： 获取网络告警信息， 并根据网络告警 信息生成目标攻击关系图； 其中， 目标攻击关系 图由多个设备节点和多个有向边构建得到， 每个 有向边从一个设备节点指向另一个 设备节点， 每 个有向边具有对应的边权重值； 根据目标攻击关 系图， 确定目标起始节点到目标 终止节点之间的 至少一条候选攻击路径； 根据各候选攻击路径包 括的至少一条有向边的边权重值， 确定至少一个 候选攻击路径中的目标攻击路径。 本公开实施 例， 实现了对网络告警信息的挖掘， 降低了后续 处理的数据量， 提高了进行攻击路径分析的全面 性和客观性， 提升 了确定攻击路径的准确性。 权利要求书2页 说明书12页 附图5页 CN 115242614 A 2022.10.25 CN 115242614 A 1.一种网络信息分析 方法， 其特 征在于， 包括： 获取网络告警信 息， 并根据 所述网络告警信 息生成目标攻击关系图； 其中， 所述目标攻 击关系图由多个设备节点和多个有向边构建得到， 每个所述有向边从一个设备节点指向另 一个设备节点， 每 个所述有向边具有对应的边权 重值； 根据所述目标攻击关系图， 确定目标起始节点到目标终止节点之间的至少一条候选攻 击路径； 根据各所述候选攻击路径包括的至少一条有向边的边权重值， 确定所述至少一个候选 攻击路径中的目标攻击路径。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述网络告警信 息生成目标攻击 关系图， 包括： 解析所述网络告警信息， 得到多个网络攻击事 件； 将所述多个网络攻击事件划分为多个攻击事件组， 确定每个所述攻击事件组包括的网 络攻击事 件的事件数量； 针对每个所述攻击事件组， 将其中包括的两个设备确定为两个设备节点， 并根据包括 的至少一个网络攻击事件构建所述两个设备节点之 间的有向边， 将所述两个设备节点和所 述有向边组合确定为该攻击事 件组对应的单位 攻击关系图； 将所述多个攻击事 件组的多个单位 攻击关系图组合得到所述目标攻击关系图。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 根据每个所述单位攻击关系 图对应的攻击事件组的攻击属性信息， 确定事件权重系 数； 将所述事件权重系数和所述事件数量的乘积确定为每个所述单位攻击关系图中有向 边的边权 重值。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 若所述攻击事件组的攻击属性信 息不属于预设属性信 息， 则将所述攻击事件组对应的 有向边的边权重值设置为零； 其中， 所述预设属性信息包括一下至少一种： 提权信息、 发现 信息、 初始访问信息、 持久化信息、 横向移动信息、 凭据访问信息、 渗透信息、 采集信息、 命令 控制信息 。 5.根据权利要求1所述的方法， 其特征在于， 所述目标起始节点为所述目标攻击关系图 中入度为零的设备节点， 所述目标终止节点为所述目标攻击关系图中出度为零的设备节 点。 6.根据权利要求1所述的方法， 其特征在于， 所述根据所述目标攻击关系图， 确定目标 起始节点到目标终止节点之间的至少一条候选攻击路径， 包括： 将所述目标攻击关系图中所述目标起始节点以及所述目标起始节点连接的全部有向 边删除， 得到第一中间关系图； 确定所述第 一中间关系图的至少一个中间起始节点， 并删除所述至少一个中间起始节 点以及各所述中间起始节点连接的全部有向边， 得到第二中间关系图， 将所述第二中间关 系图确定为新的第一中间关系图， 返回执行所述确定所述新的第一中间关系图的至少一个 中间起始 节点， 直到中间起始 节点为所述目标终止节点时停止删除过程； 根据所述删除过程中的中间起始节点的至少一个删除顺序， 确定至少一条候选攻击路权　利　要　求　书 1/2 页 2 CN 115242614 A 2径， 每个所述删除顺序对应一个所述 候选攻击路径。 7.根据权利要求1所述的方法， 其特征在于， 所述根据各所述候选攻击路径包括的至少 一条有向边的边权 重值， 确定所述至少一个候选攻击路径中的目标攻击路径， 包括： 将每个所述候选攻击路径包括的至少一条有向边的边权重值之和， 确定为对应的路径 权重值； 将所述至少一个候选攻击路径中路径权重值最大的候选攻击路径确定为目标攻击路 径。 8.一种网络信息分析装置， 其特 征在于， 包括： 获取模块， 用于获取网络告警信息， 并根据 所述网络告警信 息生成目标攻击关系图； 其 中， 所述目标攻击关系图由多个设备节点和多个有向边构建得到， 每个所述有向边从一个 设备节点指向另一个设备节点， 每 个所述有向边具有对应的边权 重值； 第一确定模块， 用于根据所述目标攻击关系图， 确定目标起始节点到目标终止节点之 间的至少一条候选攻击路径； 第二确定模块， 用于根据各所述候选攻击路径包括的至少一条有向边的边权重值， 确 定所述至少一个候选攻击路径中的目标攻击路径。 9.一种电子设备， 其特 征在于， 所述电子设备包括： 处理器； 用于存储所述处 理器可执行指令的存 储器； 所述处理器， 用于从所述存储器中读取所述可执行指令， 并执行所述指令以实现上述 权利要求1 ‑7中任一所述的网络信息分析 方法。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质存储有计算机程序， 所述计 算机程序用于执 行上述权利要求1 ‑7中任一所述的网络信息分析 方法。权　利　要　求　书 2/2 页 3 CN 115242614 A 3