数据关系可视化方法、装置、系统及计算机存储介质与流程

1.本发明涉及数据处理领域，尤其涉及一种数据关系可视化方法、装置、系统及计算机存储介质。


背景技术：

2.当前，国际局势变化莫测，企业竞争越趋激烈，网络时局瞬息万变，攻防两端的转换，随着网络技术的发展，日益增加的网络威胁，各种攻击手段层出不穷，面对繁杂多变的威胁，纯粹的网络防御早已不能适用当前的“变局”，明暗交织的对抗，各行各业置身其中，任谁都无法置身事外。
3.当前由于现有安全运营平台的局限性，在威胁分析的过程中，输入式检索数据，批量式下载数据，表格式特征摘取，字典式关系整理，描点式资产标注，重复式情报检索，文档式手段汇总，绘画式攻击路径，以此达成综合分析取证，甄别攻击意图、辨别威胁风险、鉴别威胁状态的目的，全程化手工，通常需要耗费大量的时间与精力。
4.由于平台无法快速的为分析人员提供所需，只能简单提供基于规则的告警筛选与归并，威胁来源展示，以及简单的攻击关系图。在面对大量的告警时，让分析人员很难去抓住重点，以此花费大量时间与精力去做调查分析研判。
5.针对现有技术中威胁分析时无法快速构建有效的可视化关系的问题，目前还没有一个有效的解决方法。


技术实现要素：

6.为解决上述问题，本发明提供一种数据关系可视化方法、装置、系统及计算机存储介质，通过分析报警数据添加节点组与各节点组中的节点，并描绘节点与节点间的关系，以解决现有技术中无法快速构建威胁间的可视化关系的问题。
7.为达到上述目的，本发明提供一种数据关系可视化方法，包括：获取数据库中的所有信息数据；根据所有信息数据的内容进行线索添加，得到多个节点组与多个节点；根据各节点的节点类型确定各节点的相关属性；根据各节点的相关属性确定各节点与其它节点间的全局关系；根据各节点的ip地址建立所属关系路径；根据节点组、各节点的相关属性、全局关系及关系路径将各节点之间的关系进行展示。
8.进一步可选的，所述根据所有信息数据的内容进行线索添加，得到多个节点组，包括：根据第一预设特征在数据库中对各信息数据的第一数据字段进行日志检索，当满足第一预设特征时读取源节点与目的节点的信息，并设定访问关系为日志名称，对源节点与目的节点间进行日志关系连线，得到日志节点组；根据第二预设特征在数据库中对各信息数据的第二数据字段进行告警检索，当满足第二预设特征时读取源节点与目的节点的信息，并设定攻击类型为告警类型，对源节点与目的节点间进行告警类型连线，得到告警节点组；根据第三预设特征在数据库中对各信息数据的第三数据字段进行事件检索，当满足第三预设特征时读取源节点与目的节点的信息，并设定事件关系为事件分类，对源节点与目的节
点间进行事件类型连线，得到事件节点组。
9.进一步可选的，所述根据各节点的相关属性确定各节点与其它节点间的全局关系，包括：将当前节点的所有相关属性依次作为目标属性；根据所述目标属性在数据库中检索与所述目标属性一致的相关节点；建立当前节点与相关节点间关系连线，并将关系标注为同一目标属性。
10.进一步可选的，所述根据各节点的ip地址建立所属关系路径，包括：在所述数据库中检索以目标节点的ip地址为源地址的所有告警数据对应的目的ip地址，将每个目的ip地址存储为第一节点集中的第一节点；将所述第一节点集作为当前ip地址集，判断所述第一节点集是否为空集；若是，则结束关系路径的建立；若否，则在数据库中检索以第一节点为源地址的告警数据对应的目的ip地址，将目的ip地址存储为第二节点集中的第二节点，建立目标节点与所有第一节点的关系连线，标记告警类型，并将所述第二节点集作为最新ip地址集，重复上述步骤，直至关系连线到达预定长度，得到所述目标节点的所属关系路径。
11.另一方面，本发明提供一种数据关系可视化装置，包括：数据获取模块，用于获取数据库中的所有信息数据；线索添加模块，用于根据所有信息数据的内容进行线索添加，得到多个节点组与多个节点；相关属性确定模块，用于根据各节点的节点类型确定各节点的相关属性；全局关系生成模块，用于根据各节点的相关属性确定各节点与其它节点间的全局关系；关系路径建立模块，用于根据各节点的ip地址建立所属关系路径；显示模块，用于根据节点组、各节点的相关属性、全局关系及关系路径将各节点之间的关系进行展示。
12.进一步可选的，所述线索添加模块，包括：日志节点组生成子模块，用于根据第一预设特征在数据库中对各信息数据的第一数据字段进行日志检索，当满足第一预设特征时读取源节点与目的节点的信息，并设定访问关系为日志名称，对源节点与目的节点间进行日志关系连线，得到日志节点组；告警节点组生成子模块，用于根据第二预设特征在数据库中对各信息数据的第二数据字段进行告警检索，当满足第二预设特征时读取源节点与目的节点的信息，并设定攻击类型为告警类型，对源节点与目的节点间进行告警类型连线，得到告警节点组；事件节点组生成子模块，用于根据第三预设特征在数据库中对各信息数据的第三数据字段进行事件检索，当满足第三预设特征时读取源节点与目的节点的信息，并设定事件关系为事件分类，对源节点与目的节点间进行事件类型连线，得到事件节点组。
13.进一步可选的，所述全局关系生成模块包括：目标属性确定子模块，用于将当前节点的所有相关属性依次作为目标属性；相关节点确定子模块，用于根据所述目标属性在数据库中检索与所述目标属性一致的相关节点；关系连线建立子模块，用于建立当前节点与相关节点间关系连线，并将关系标注为同一目标属性。
14.进一步可选的，所述关系路径建立模块包括：第一节点集生成子模块，用于在所述数据库中检索以目标节点的ip地址为源地址的所有告警数据对应的目的ip地址，将每个目的ip地址存储为第一节点集中的第一节点；迭代循环子模块，用于将所述第一节点集作为当前ip地址集，判断所述第一节点集是否为空集；若是，则结束关系路径的建立；若否，则在数据库中检索以第一节点为源地址的告警数据对应的目的ip地址，将目的ip地址存储为第二节点集中的第二节点，建立目标节点与所有第一节点的关系连线，标记告警类型，并将所述第二节点集作为最新ip地址集，重复上述步骤，直至关系连线到达预定长度，得到所述目标节点的所属关系路径。
15.进一步可选的，本发明还提供一种数据关系可视化系统，包括上述的信息数据关系可视化装置。
16.进一步可选的，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述的数据关系可视化方法。
17.上述技术方案具有如下有益效果：通过对数据库中的各类信息进行线索添加，得到节点及相关节点组成的节点组；另外，从节点的相关属性、节点与其它节点的全局关系及节点的关系路径等维度刻画节点与节点间的关系情况，进一步直观的展示给用户，以自动、快速的建立节点间的可视化关系，并使用户能够快速得知重点信息。本发明自动式构建威胁画像，快速展示攻击路径，多维度的呈现威胁节点关系，描绘攻击者与受害者的行为轨迹，及时阻断黑客攻击，减少威胁分析成本，提升威胁研判效率。线索节点的自动化威胁特征提取，攻击路径的自动化刻画展示、攻击者与受害者动态画像呈现等功能，帮助分析人员快捷有效完成的威胁研判，及时阻断黑客攻击；缩短高级威胁的发现周期，提升威胁的检测能力，让安全运营变被动为主动，降低威胁“检测”和“调查”时间，提升安全运营效率。
附图说明
18.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
19.图1是本发明实施例提供的数据关系可视化方法的流程图；
20.图2是本发明实施例提供的节点组展示的示意图；
21.图3是本发明实施例提供的全局关系展示的示意图；
22.图4是本发明实施例提供的关系路径展示的示意图；
23.图5是本发明实施例提供的节点组生成方法的流程图；
24.图6是本发明实施例提供的节点的全局关系确定方法的流程图；
25.图7是本发明实施例提供的节点的关系路径建立方法的流程图；
26.图8是本发明实施例提供的数据关系可视化装置的结构示意图；
27.图9是本发明实施例提供的线索添加模块的结构示意图；
28.图10是本发明实施例提供的全局关系生成模块的结构示意图；
29.图11是本发明实施例提供的关系路径建立模块的结构示意图。
30.附图标记：100-数据获取模块 200-线索添加模块 2001-日志节点组生成子模块 2002-告警节点组生成子模块 2003-事件节点组生成子模块 300-相关属性确定模块 400-全局关系生成模块 4001-目标属性确定子模块 4002-相关节点确定子模块 4003-关系连线建立子模块 500-关系路径建立模块 5001-第一节点集生成子模块 5002-迭代循环子模块 600-显示模块
具体实施方式
31.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于
本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
32.为解决上述无法快速构建有效的可视化关系的问题，本发明实施例提供一种数据关系可视化方法，图1是本发明实施例提供的数据关系可视化方法的流程图，如图1所示，该方法包括：
33.s101、获取数据库中的所有信息数据；
34.在当前时刻获取所查询数据库中的所有信息数据，其中信息数据包括资产管理数据、漏洞管理数据、日志数据、告警数据、事件数据、威胁情报。
35.s102、根据所有信息数据的内容进行线索添加，得到多个节点组与多个节点；
36.线索添加阶段，识别各信息数据的内容，添加各事件的相关线索，即添加节点组与节点。其中，节点组由多个源节点与目的节点的连线组成；节点的类型包括资产ip、攻击ip、用户、用户账号、端口、协议、域名、状态码、漏洞、情报、工具、att&ck、黑客、黑客组织、自定义，且每个节点关联其对应的线索值。例如，类型为域名的节点的线索值即为域名地址。
37.作为一种可选的实施方式，有针对性的对特定可疑节点进行主动的调查分析，例如，在某一时间段内检测到某一ip被频繁访问，即将该ip地址作为可疑节点进行调查分析。
38.在实际使用时，用户在需要对单个节点进行调查分析时，可以在当前画布上进行节点选择，也可以添加新的线索节点，如：资产ip、攻击ip、用户、用户账号、端口、协议、域名、状态码、漏洞、情报、工具、att&ck、黑客、黑客组织、自定义，确认需要选择进行分析节点的线索名称以及线索值，最终输出带有类型与线索值的节点。
39.s103、根据各节点的节点类型确定各节点的相关属性；
40.通过从日志、告警、事件、威胁情报、漏洞管理、资产管理、用户管理信息数据中获取相关节点的属性。针对不同类型的节点，展示不同的数据属性，以下提供不同类型节点的相关属性：
41.(1)资产ip：展示攻击者、攻击目标、攻击手法、访问者、访问目标、访问端口、被访问端口、访问协议、被访问协议、访问域名、访问uri、关联用户、关联用户账号、漏洞、关联工具、关联att&ck、关联进程、关联行为、请求目标状态码
42.(2)攻击ip：展示攻击者、攻击目标、攻击手法、访问者、访问目标、访问端口、被访问端口、访问协议、被访问协议、访问域名、访问uri、黑客、、情报、关联工具、关联att&ck、关联进程、关联行为、请求目标状态码
43.(3)用户：展示关联ip、关联账号、关联域名
44.(4)用户账号：展示登录ip、登录域名、所属用户
45.(5)端口：连接者资产ip、连接者外网ip、目标资产ip、目标外网ip、关联协议
46.(6)协议：连接者资产ip、连接者外网ip、目标资产ip、目标外网ip
47.(7)域名：展示攻击者、攻击目标、攻击手法、访问者、访问目标、访问端口、被访问端口、访问协议、被访问协议、访问uri、关联状态码、漏洞、关联工具、关联att&ck、关联情报、被访问状态码
48.(8)状态码：连接者资产ip、连接者外网ip、关联域名
49.(9)漏洞：关联资产ip、利用者ip、关联域名、展示cve编号、展示cnnvd编号
50.(10)情报：展示关联ip
51.(11)工具：攻击者ip、受害者ip、关联黑客
52.(12)att&ck：攻击者ip、受害者ip
53.(13)黑客：攻击者ip、关联工具、关联黑客组织
54.(14)黑客组织：关联黑客
55.相关属性的展示目的在于，对节点的详细行为进行分析，由以往的批量式下载数据，表格式特征摘取，变为有针对性的分析节点，平台自动化地特征摘取。通过对单个节点的相关关联关系属性进行扩展，全面掌控ip状况，依据攻击者行为、受害者行为，辅助攻击路径、全局关系，让用户快速、有效的达成甄别攻击意图、辨别威胁风险、鉴别威胁状态的目的，完成威胁溯源、分析、处置的全流程，实现对安全威胁的闭环操作。
56.s104、根据各节点的相关属性确定各节点与其它节点间的全局关系；
57.以单个节点为检索主体，在数据库中全局搜索与该节点相关属性相同的其它节点，并以节点为顶点，节点间的连线为边，构建节点的全局关系。
58.通过从日志、告警、事件、威胁情报、漏洞管理、资产管理、用户管理的等信息数据中，读取相关数据，构建顶点与边的关系。让用户能够快速获取节点与全局其它节点之间关系。解决以往需要字典式查看节点档案并整理关系造成的不方便的问题，通过图关系数据库的方式快速建立节点间的关系，并完成相关展示，为用户快速发现威胁，提供有力的支撑。
59.s105、根据各节点的ip地址建立所属关系路径；
60.识别各异常数据传输时经过的ip地址所属的节点，并在收发数据的节点之间建立关系连线，形成关系路径，直观展示多个节点间的异常数据传输关系。
61.通过建立关系路径，可得知异常数据在全局的传输情况，即在哪些节点间进行了传输，将该关系进行展示能够使用户快速得知接收异常数据的可疑节点。
62.全局的关系路径为展示一个节点到另外一个节点之间的所有路径。解决以往需要使用人工输入式检索数据，手动绘制攻击链脑图的问题，提升了安全分析效率。
63.s106、根据节点组、各节点的相关属性、全局关系及关系路径将各节点之间的关系进行展示。
64.图2是本发明实施例提供的节点组展示的示意图，如图2所示，节点组有选择性的进行展示，当用户需求查询某一节点组时，将该节点组进行展示。
65.如图2所示，相关属性根据需求进行展示，用户可选择任一节点的相关属性进行展示，也可选择多个节点的相关属性进行展示。
66.图3是本发明实施例提供的全局关系展示的示意图，如图3所示，全局关系有选择性的进行展示，当用户需求查询某一节点的全局关系时，以该节点为主体进行展示。
67.图4是本发明实施例提供的关系路径展示的示意图，如图4所示，关系路径有选择性的进行展示，当用户需求查询某一节点的关系路径时，以该节点为起始节点进行展示。
68.节点组、各节点的相关属性、全局关系及关系路径根据需求可单独进行展示，也可选择其中的多个进行共同展示，以满足使用者的展示需要。例如，展示节点组时可选择节点组内的任一节点进行相关属性的展示。
69.作为一种可选的实施方式，图5是本发明实施例提供的节点组生成方法的流程图，如图5所示，根据所有信息数据的内容进行线索添加，得到多个节点组，包括：
70.s1021、根据第一预设特征在数据库中对各信息数据的第一数据字段进行日志检索，当满足第一预设特征时读取源节点与目的节点的信息，并设定访问关系为日志名称，对源节点与目的节点间进行日志关系连线，得到日志节点组；
71.建立日志节点组时，将信息数据中相应的第一数据字段与第一预设特征进行对比，当满足第一预设特征时，读取该信息数据中源节点与目的节点的信息，并以源节点及目的节点为顶点，源节点与目的节点间的连线为边，构建日志节点组。其中，一个源节点可连接多个目的节点，一个目的节点也可连接多个源节点。
72.进行相关日志特征挖掘，可以选择相关数据字段进行特征分析，如：类型(日志类型、用户类型)、ip地址(源地址、目的地址、xff地址、客户端地址、数据源地址)、端口(源端口、目的端口)、协议(应用协议、传输协议)、名称(主机名称、邮箱账号、用户账号)、请求方法、域名、状态码、发件人、收件人、邮件主题、发生时间等。
73.第一预设特征包括：需关注类型、敏感端口、重点关注协议、非工作时间、重点关注ip、暴露面ip等。
74.同时用户可以关注热点事件，异常流量日志，获取请求特征、访问等信息特征，调查相关日志，进行威胁挖掘。针对日志展开调查，根据搜索条件，支持对日志数据进行相关的查询分析，便于安全人员进行实时数据进行分析判定，最终输出为告警策略。
75.作为一种优选的实施方式，建立分析模型进行判断，若信息数据的特定数据字段满足模型设定条件则进行节点组的建立。如表1所示，展示数据字段、第一预设特征及需满足条件：
76.第一数据字段条件第一预设特征日志类型等于需关注类型目的端口属于敏感端口协议属于重点关注协议时间属于非工作时间源地址属于重点关注ip目的地址属于暴露面ip
77.表1
78.s1022、根据第二预设特征在数据库中对各信息数据的第二数据字段进行告警检索，当满足第二预设特征时读取源节点与目的节点的信息，并设定攻击类型为告警类型，对源节点与目的节点间进行告警类型连线，得到告警节点组；
79.建立告警节点组时，将信息数据中相应的第二数据字段与第二预设特征进行对比，当满足第二预设特征时，读取该信息数据中源节点与目的节点的信息，并以源节点及目的节点为顶点，源节点与目的节点间的连线为边，构建告警节点组。其中，一个源节点可连接多个目的节点，一个目的节点也可连接多个源节点。
80.进行相关告警追溯，可以选择相关数据字段进行特征分析，如：类型(告警类型、规则类型)、ip地址(源地址、目的地址、xff地址、客户端ip)、端口(源端口、目的端口)、威胁等级、名称(主机名称、邮箱账号、用户账号)、域名、攻击结果、攻击方向、战术、发生时间等。
81.第二预设特征包括：需关注类型、重点关注ip、暴露面ip、中危、非工作时间。
82.支持对告警数据进行相关的信息下钻，便于安全人员进行安全事件的分析溯源和
处置。
83.作为一种优选的实施方式，可以建立分析模型，建立分析模型进行判断，若信息数据的特定数据字段满足模型设定条件则进行节点组的建立。如表2所示，展示数据字段、第二预设特征及需满足条件：
84.第二数据字段条件第二预设特征告警类型等于需关注类型源地址属于重点关注ip目的地址属于暴露面ip威胁等级大于中危时间属于非工作时间
85.表2
86.s1023、根据第三预设特征在数据库中对各信息数据的第三数据字段进行事件检索，当满足第三预设特征时读取源节点与目的节点的信息，并设定事件关系为事件分类，对源节点与目的节点间进行事件类型连线，得到事件节点组。
87.进行事件分析，可以选择相关数据字段进行特征分析，如：攻击方向、事件分类、事件等级等进行相关威胁追溯。
88.建立事件节点组时，将信息数据中相应的第三数据字段与第三预设特征进行对比，当满足第三预设特征时，读取该信息数据中源节点与目的节点的信息，并以源节点及目的节点为顶点，源节点与目的节点间的连线为边，构建事件节点组。其中，一个源节点可连接多个目的节点，一个目的节点也可连接多个源节点。
89.第三预设特征包括：需关注类型、内对外、重大、非工作时间。
90.在安全事件的调查中，事件智能聚合关联的告警、att&ck、日志信息，支持对告警数据进行相关的信息下钻，便于安全人员进行安全事件的分析溯源和处置。
91.作为一种优选的实施方式，建立分析模型进行判断，若信息数据的特定数据字段满足模型设定条件则进行节点组的建立。如表3所示，展示数据字段、第三预设特征及需满足条件：
[0092][0093][0094]
表3
[0095]
作为一种可选的实施方式，图6是本发明实施例提供的节点的全局关系确定方法的流程图，如图6所示，根据各节点的相关属性确定各节点与其它节点间的全局关系，包括：
[0096]
s1041、将当前节点的所有相关属性依次作为目标属性；
[0097]
s1042、根据目标属性在数据库中检索与目标属性一致的相关节点；
[0098]
s1043、建立当前节点与相关节点间关系连线，并将关系标注为同一目标属性。
[0099]
按当前节点关联的每个相关属性建立全局关系，将每个相关属性依次作为目标属性，查询所有节点中与该目标属性的内容一致的节点，将其标注为该节点的相关节点，将当前节点与相关节点作为顶点，二者的连线作为边，并在边上标注出二者为同一目标属性的名称，从而绘制出当前节点的全局关系图。如图3所示，最右侧的节点为当前节点，左侧的三个节点均为相关节点，左侧上部的相关节点与当前节点的业务系统相同，关系标注为“同一业务系统”；左侧中部的相关节点与当前节点的部门相同，关系标注为“同一部门”；左侧下部的相关节点与当前节点的用户相同，关系标注为“同一用户”，其中，业务系统、部门及用户均为相关属性。
[0100]
如此，当用户选择某一节点时，可查看到与该节点各类相关属性一致的所有相关节点。
[0101]
作为一种可选的实施方式，图7是本发明实施例提供的节点的关系路径建立方法的流程图，如图7所示，根据各节点的ip地址建立所属关系路径，包括：
[0102]
s1051、在数据库中检索以目标节点的ip地址为源地址的所有告警数据对应的目的ip地址，将每个目的ip地址存储为第一节点集中的第一节点；
[0103]
s1052、将第一节点集作为当前ip地址集，判断第一节点集是否为空集；若是，则结束关系路径的建立；若否，则在数据库中检索以第一节点为源地址的告警数据对应的目的ip地址，将目的ip地址存储为第二节点集中的第二节点，建立目标节点与所有第一节点的关系连线，标记告警类型，并将第二节点集作为最新ip地址集，重复上述步骤，直至关系连线到达预定长度，得到目标节点的所属关系路径。
[0104]
将目标节点作为初始节点，并在数据库中检索以目标节点的ip地址为源地址的告警数据，并将这些告警数据中的目的ip地址作为第一节点，所有的第一节点组成第一节点集。
[0105]
判断第一节点集是否为空，若为空集，则证明不存在从目标节点传出的异常数据，不需继续建立关系路径；若不是空集，则证明存在从目标节点传出的异常数据，需要建立目标节点与接收该异常数据的第一节点的连线，第一节点可能有一个或多个，每个第一节点均作为下一步关系路径建立的目标节点，全局查询以目标节点的ip地址为源地址的第二节点，并建立第一节点与相应的第二节点间的关系连线。重复上述步骤，直至关系连线到达预定长度，且在每段连线上均标注告警类型。优选的，预定长度为6段连线。
[0106]
作为一种具体的实施方式，该方法如下：
[0107]
步骤1，以节点a为ip节点，从关系数据库中，检索以顶点a为源地址的告警数据，并摘取目的地址，重新命名为顶点b的集合，若集合b不为空，则以告警类型为边。描绘顶点a到顶点b的集合之间的连线；若b的集合为空，则结束流程。
[0108]
步骤2，以b集合中的ip节点，从关系数据库中，检索以b集合中的ip为源地址的告警数据，并摘取目的地址，重新命名为顶点c的集合，若集合c不为空，则以告警类型为边。描绘顶点b的集合到顶点c的集合之间的连线；若c的集合为空，则结束流程，输出现有关系路径。
[0109]
步骤3，以c集合中的ip节点，从关系数据库中，检索以c集合中的ip为源地址的告警数据，并摘取目的地址，重新命名为顶点d的集合，若集合d不为空，则以告警类型为边。描
绘顶点c的集合到顶点d的集合之间的连线；若d的集合为空，则结束流程，输出现有关系路径。
[0110]
步骤4，以d集合中的ip节点，从关系数据库中，检索以d集合中的ip为源地址的告警数据，并摘取目的地址，重新命名为顶点e的集合，若集合e不为空，则以告警类型为边。描绘顶点d的集合到顶点e的集合之间的连线；若e的集合为空，则结束流程，输出现有关系路径。
[0111]
步骤5，以e集合中的ip节点，从关系数据库中，检索以e集合中的ip为源地址的告警数据，并摘取目的地址，重新命名为顶点f的集合，若集合f不为空，则以告警类型为边。描绘顶点e的集合到顶点f的集合之间的连线；若f的集合为空，则结束流程，输出现有关系路径。
[0112]
步骤6，以f集合中的ip节点，从关系数据库中，检索以f集合中的ip为源地址的告警数据，并摘取目的地址，重新命名为顶点g的集合，若g的集合为空，并结束流程。若集合g不为空，则以告警类型为边。描绘顶点f的集合到顶点g的集合之间的连线，并结束流程，输出现有关系路径。
[0113]
本发明实施例提供一种数据关系可视化装置，图8是本发明实施例提供的数据关系可视化装置的结构示意图，如图8所示，该装置包括：
[0114]
数据获取模块100，用于获取数据库中的所有信息数据；
[0115]
在当前时刻获取所查询数据库中的所有信息数据，其中信息数据包括资产管理数据、漏洞管理数据、日志数据、告警数据、事件数据、威胁情报。
[0116]
线索添加模块200，用于根据所有信息数据的内容进行线索添加，得到多个节点组与各多个节点；
[0117]
线索添加阶段，识别各信息数据的内容，添加各事件的相关线索，即添加节点组与节点。其中，节点组由多个源节点与目的节点的连线组成；节点的类型包括资产ip、攻击ip、用户、用户账号、端口、协议、域名、状态码、漏洞、情报、工具、att&ck、黑客、黑客组织、自定义，且每个节点关联其对应的线索值。例如，类型为域名的节点的线索值即为域名地址。
[0118]
作为一种可选的实施方式，有针对性的对特定可疑节点进行主动的调查分析，例如，在某一时间段内检测到某一ip被频繁访问，即将该ip地址作为可疑节点进行调查分析。
[0119]
在实际使用时，用户在需要对单个节点进行调查分析时，可以在当前画布上进行节点选择，也可以添加新的线索节点，如：资产ip、攻击ip、用户、用户账号、端口、协议、域名、状态码、漏洞、情报、工具、att&ck、黑客、黑客组织、自定义，确认需要选择进行分析节点的线索名称以及线索值，最终输出带有类型与线索值的节点。
[0120]
相关属性确定模块300，用于根据各节点的节点类型确定各节点的相关属性；
[0121]
通过从日志、告警、事件、威胁情报、漏洞管理、资产管理、用户管理信息数据中获取相关节点的属性。针对不同类型的节点，展示不同的数据属性，以下提供不同类型节点的相关属性：
[0122]
(1)资产ip：展示攻击者、攻击目标、攻击手法、访问者、访问目标、访问端口、被访问端口、访问协议、被访问协议、访问域名、访问uri、关联用户、关联用户账号、漏洞、关联工具、关联att&ck、关联进程、关联行为、请求目标状态码
[0123]
(2)攻击ip：展示攻击者、攻击目标、攻击手法、访问者、访问目标、访问端口、被访
问端口、访问协议、被访问协议、访问域名、访问uri、黑客、、情报、关联工具、关联att&ck、关联进程、关联行为、请求目标状态码
[0124]
(3)用户：展示关联ip、关联账号、关联域名
[0125]
(4)用户账号：展示登录ip、登录域名、所属用户
[0126]
(5)端口：连接者资产ip、连接者外网ip、目标资产ip、目标外网ip、关联协议
[0127]
(6)协议：连接者资产ip、连接者外网ip、目标资产ip、目标外网ip
[0128]
(7)域名：展示攻击者、攻击目标、攻击手法、访问者、访问目标、访问端口、被访问端口、访问协议、被访问协议、访问uri、关联状态码、漏洞、关联工具、关联att&ck、关联情报、被访问状态码
[0129]
(8)状态码：连接者资产ip、连接者外网ip、关联域名
[0130]
(9)漏洞：关联资产ip、利用者ip、关联域名、展示cve编号、展示cnnvd编号
[0131]
(10)情报：展示关联ip
[0132]
(11)工具：攻击者ip、受害者ip、关联黑客
[0133]
(12)att&ck：攻击者ip、受害者ip
[0134]
(13)黑客：攻击者ip、关联工具、关联黑客组织
[0135]
(14)黑客组织：关联黑客
[0136]
相关属性的展示目的在于，对节点的详细行为进行分析，由以往的批量式下载数据，表格式特征摘取，变为有针对性的分析节点，平台自动化地特征摘取。通过对单个节点的相关关联关系属性进行扩展，全面掌控ip状况，依据攻击者行为、受害者行为，辅助攻击路径、全局关系，让用户快速、有效的达成甄别攻击意图、辨别威胁风险、鉴别威胁状态的目的，完成威胁溯源、分析、处置的全流程，实现对安全威胁的闭环操作。
[0137]
全局关系生成模块400，用于根据各节点的相关属性确定各节点与其它节点间的全局关系；
[0138]
以单个节点为检索主体，在数据库中全局搜索与该节点相关属性相同的其它节点，并以节点为顶点，节点间的连线为边，构建节点的全局关系。
[0139]
通过从日志、告警、事件、威胁情报、漏洞管理、资产管理、用户管理的等信息数据中，读取相关数据，构建顶点与边的关系。让用户能够快速获取节点与全局其它节点之间关系。解决以往需要字典式查看节点档案并整理关系造成的不方便的问题，通过图关系数据库的方式快速建立节点间的关系，并完成相关展示，为用户快速发现威胁，提供有力的支撑。
[0140]
关系路径建立模块500，用于根据各节点的ip地址建立所属关系路径；
[0141]
识别各异常数据传输时经过的ip地址所属的节点，并在收发数据的节点之间建立关系连线，形成关系路径，直观展示多个节点间的异常数据传输关系。
[0142]
通过建立关系路径，可得知异常数据在全局的传输情况，即在哪些节点间进行了传输，将该关系进行展示能够使用户快速得知接收异常数据的可疑节点。
[0143]
全局的关系路径为展示一个节点到另外一个节点之间的所有路径。解决以往需要使用人工输入式检索数据，手动绘制攻击链脑图的问题，提升了安全分析效率。
[0144]
显示模块600，用于根据节点组、各节点的相关属性、全局关系及关系路径将各节点之间的关系进行展示。
[0145]
如图2所示，节点组有选择性的进行展示，当用户需求查询某一节点组时，将该节点组进行展示。
[0146]
如图2所示，相关属性根据需求进行展示，用户可选择任一节点的相关属性进行展示，也可选择多个节点的相关属性进行展示。
[0147]
如图3所示，全局关系有选择性的进行展示，当用户需求查询某一节点的全局关系时，以该节点为主体进行展示。
[0148]
如图4所示，关系路径有选择性的进行展示，当用户需求查询某一节点的关系路径时，以该节点为起始节点进行展示。
[0149]
节点组、各节点的相关属性、全局关系及关系路径根据需求可单独进行展示，也可选择其中的多个进行共同展示，以满足使用者的展示需要。例如，展示节点组时可选择节点组内的任一节点进行相关属性的展示。
[0150]
作为一种可选的实施方式，图9是本发明实施例提供的线索添加模块的结构示意图，如图9所示，线索添加模块200包括：
[0151]
日志节点组生成子模块2001，用于根据第一预设特征在数据库中对各信息数据的第一数据字段进行日志检索，当满足第一预设特征时读取源节点与目的节点的信息，并设定访问关系为日志名称，对源节点与目的节点间进行日志关系连线，得到日志节点组；
[0152]
建立日志节点组时，将信息数据中相应的第一数据字段与第一预设特征进行对比，当满足第一预设特征时，读取该信息数据中源节点与目的节点的信息，并以源节点及目的节点为顶点，源节点与目的节点间的连线为边，构建日志节点组。其中，一个源节点可连接多个目的节点，一个目的节点也可连接多个源节点。
[0153]
进行相关日志特征挖掘，可以选择相关数据字段进行特征分析，如：类型(日志类型、用户类型)、ip地址(源地址、目的地址、xff地址、客户端地址、数据源地址)、端口(源端口、目的端口)、协议(应用协议、传输协议)、名称(主机名称、邮箱账号、用户账号)、请求方法、域名、状态码、发件人、收件人、邮件主题、发生时间等。
[0154]
第一预设特征包括：需关注类型、敏感端口、重点关注协议、非工作时间、重点关注ip、暴露面ip等。
[0155]
同时用户可以关注热点事件，异常流量日志，获取请求特征、访问等信息特征，调查相关日志，进行威胁挖掘。针对日志展开调查，根据搜索条件，支持对日志数据进行相关的查询分析，便于安全人员进行实时数据进行分析判定，最终输出为告警策略。
[0156]
作为一种优选的实施方式，建立分析模型进行判断，若信息数据的特定数据字段满足模型设定条件则进行节点组的建立。如表1所示，展示数据字段、第一预设特征及需满足条件。
[0157]
告警节点组生成子模块2002，用于根据第二预设特征在数据库中对各信息数据的第二数据字段进行告警检索，当满足第二预设特征时读取源节点与目的节点的信息，并设定攻击类型为告警类型，对源节点与目的节点间进行告警类型连线，得到告警节点组；
[0158]
建立告警节点组时，将信息数据中相应的第二数据字段与第二预设特征进行对比，当满足第二预设特征时，读取该信息数据中源节点与目的节点的信息，并以源节点及目的节点为顶点，源节点与目的节点间的连线为边，构建告警节点组。其中，一个源节点可连接多个目的节点，一个目的节点也可连接多个源节点。
[0159]
进行相关告警追溯，可以选择相关数据字段进行特征分析，如：类型(告警类型、规则类型)、ip地址(源地址、目的地址、xff地址、客户端ip)、端口(源端口、目的端口)、威胁等级、名称(主机名称、邮箱账号、用户账号)、域名、攻击结果、攻击方向、战术、发生时间等。
[0160]
第二预设特征包括：需关注类型、重点关注ip、暴露面ip、中危、非工作时间。
[0161]
支持对告警数据进行相关的信息下钻，便于安全人员进行安全事件的分析溯源和处置。
[0162]
作为一种优选的实施方式，可以建立分析模型，建立分析模型进行判断，若信息数据的特定数据字段满足模型设定条件则进行节点组的建立。如表2所示，展示数据字段、第二预设特征及需满足条件。
[0163]
事件节点组生成子模块2003，用于根据第三预设特征在数据库中对各信息数据的第三数据字段进行事件检索，当满足第三预设特征时读取源节点与目的节点的信息，并设定事件关系为事件分类，对源节点与目的节点间进行事件类型连线，得到事件节点组。
[0164]
进行事件分析，可以选择相关数据字段进行特征分析，如：攻击方向、事件分类、事件等级等进行相关威胁追溯。
[0165]
建立事件节点组时，将信息数据中相应的第三数据字段与第三预设特征进行对比，当满足第三预设特征时，读取该信息数据中源节点与目的节点的信息，并以源节点及目的节点为顶点，源节点与目的节点间的连线为边，构建事件节点组。其中，一个源节点可连接多个目的节点，一个目的节点也可连接多个源节点。
[0166]
第三预设特征包括：需关注类型、内对外、重大、非工作时间。
[0167]
在安全事件的调查中，事件智能聚合关联的告警、att&ck、日志信息，支持对告警数据进行相关的信息下钻，便于安全人员进行安全事件的分析溯源和处置。
[0168]
作为一种优选的实施方式，建立分析模型进行判断，若信息数据的特定数据字段满足模型设定条件则进行节点组的建立。如表3所示，展示数据字段、第三预设特征及需满足条件。
[0169]
作为一种可选的实施方式，图10是本发明实施例提供的全局关系生成模块的结构示意图，如图10所示，全局关系生成模块400包括：
[0170]
目标属性确定子模块4001，用于将当前节点的所有相关属性依次作为目标属性；
[0171]
相关节点确定子模块4002，用于根据目标属性在数据库中检索与目标属性一致的相关节点；
[0172]
关系连线建立子模块4003，用于建立当前节点与相关节点间关系连线，并将关系标注为同一目标属性。
[0173]
按当前节点关联的每个相关属性建立全局关系，将每个相关属性依次作为目标属性，查询所有节点中与该目标属性的内容一致的节点，将其标注为该节点的相关节点，将当前节点与相关节点作为顶点，二者的连线作为边，并在边上标注出二者为同一目标属性的名称，从而绘制出当前节点的全局关系图。如图3所示，最右侧的节点为当前节点，左侧的三个节点均为相关节点，左侧上部的相关节点与当前节点的业务系统相同，关系标注为“同一业务系统”；左侧中部的相关节点与当前节点的部门相同，关系标注为“同一部门”；左侧下部的相关节点与当前节点的用户相同，关系标注为“同一用户”，其中，业务系统、部门及用户均为相关属性。
[0174]
如此，当用户选择某一节点时，可查看到与该节点各类相关属性一致的所有相关节点。
[0175]
作为一种可选的实施方式，图11是本发明实施例提供的关系路径建立模块的结构示意图，如图11所示，关系路径建立模块500包括：
[0176]
第一节点集生成子模块5001，用于在数据库中检索以目标节点的ip地址为源地址的所有告警数据对应的目的ip地址，将每个目的ip地址存储为第一节点集中的第一节点；
[0177]
迭代循环子模块5002，用于将第一节点集作为当前ip地址集，判断第一节点集是否为空集；若是，则结束关系路径的建立；若否，则在数据库中检索以第一节点为源地址的告警数据对应的目的ip地址，将目的ip地址存储为第二节点集中的第二节点，建立目标节点与所有第一节点的关系连线，标记告警类型，并将第二ip节点集作为最新ip地址集，重复上述步骤，直至关系连线到达预定长度，得到目标节点的所属关系路径。
[0178]
将目标节点作为初始节点，并在数据库中检索以目标节点的ip地址为源地址的告警数据，并将这些告警数据中的目的ip地址作为第一节点，所有的第一节点组成第一节点集。
[0179]
判断第一节点集是否为空，若为空集，则证明不存在从目标节点传出的异常数据，不需继续建立关系路径；若不是空集，则证明存在从目标节点传出的异常数据，需要建立目标节点与接收该异常数据的第一节点的连线，第一节点可能有一个或多个，每个第一节点均作为下一步关系路径建立的目标节点，全局查询以目标节点的ip地址为源地址的第二节点，并建立第一节点与相应的第二节点间的关系连线。重复上述步骤，直至关系连线到达预定长度，且在每段连线上均标注告警类型。优选的，预定长度为6段连线。
[0180]
作为一种可选的实施方式，本发明实施例还提供一种数据关系可视化系统，包括上述的信息数据关系可视化装置。
[0181]
作为一种可选的实施方式，本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，程序被处理器执行时实现上述的数据关系可视化方法。
[0182]
上述存储介质中存储有上述软件，该存储介质包括但不限于：光盘、软盘、硬盘、可擦写存储器等。
[0183]
上述技术方案具有如下有益效果：通过对数据库中的各类信息进行线索添加，得到节点及相关节点组成的节点组；另外，从节点的相关属性、节点与其它节点的全局关系及节点的关系路径等维度刻画节点与节点间的关系情况，进一步直观的展示给用户，以自动、快速的建立节点间的可视化关系，并使用户能够快速得知重点信息。本发明自动式构建威胁画像，快速展示攻击路径，多维度的呈现威胁节点关系，描绘攻击者与受害者的行为轨迹，及时阻断黑客攻击，减少威胁分析成本，提升威胁研判效率。线索节点的自动化威胁特征提取，攻击路径的自动化刻画展示、攻击者与受害者动态画像呈现等功能，帮助分析人员快捷有效完成的威胁研判，及时阻断黑客攻击；缩短高级威胁的发现周期，提升威胁的检测能力，让安全运营变被动为主动，降低威胁“检测”和“调查”时间，提升安全运营效率。
[0184]
以上发明所示的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上描述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。