网络空间资产的关联分析方法、装置及系统与流程

1.本发明涉及网络安全技术领域，尤其涉及一种网络空间资产的关联分析方法、装置及系统。


背景技术：

2.随着互联网和科学技术的不断发展，网络空间资产的种类和形式越来越多样化，对应的所有资产属性数量和种类也越来越离散和庞大，这就造成了漏洞攻击和威胁等安全事件的发生。
3.网络空间的大量资产数据都不是孤立存在的，资产与资产之间往往存在某些隐含关系，也就是说网络空间资产之间存在隐含的关联关系，关联就是指在两个或两个以上的数据对象之间，存在某种合乎逻辑的、可以被发现的规律。从大量的资产中通过模式或规则去发现资产数据中可进一步深入挖掘的关系或与其他资产相关的关系，让资产信息之间紧密关联，从而达到更好的预防安全事件的目的。
4.目前针对网络空间资产之间的关联关系的研究较少，大部分都是通过某个相同的属性值相同而进行简单的关联，例如：对于厂商相同的资产进行关联，厂商相同不代表设备类型相同，或组件相同。因此，现有技术中分析出的关联关系单一，且不一定存在真正的关联关系。尤其是针对于日益庞大的资产信息来说，只对同属性的资产进行关联分析已经不能全面且及时的对资产进行威胁预警。


技术实现要素：

5.本发明提供一种网络空间资产的关联分析方法、装置及系统，用以解决现有技术中网络空间资产的关联关系较为单一的缺陷。
6.本发明提供一种网络空间资产的关联分析方法，包括：基于用户终端输入的目标ip地址，获取与所述目标ip地址对应的资产信息；利用目标资产信息中携带的目标ip地址进行域名的解析，获取第一关联资产信息；利用所述目标资产信息中携带的属性特征进行关联挖掘，获取第二关联资产信息；基于所述第一关联资产信息和所述第二关联资产信息，确定与所述目标资产信息对应的关联资产信息；其中，所述目标资产信息为所述目标ip地址对应的资产信息中的任一个；所述第一关联资产信息是根据所述目标ip地址解析出对应的公司与子公司在应用层上的关联关系进行确定；所述第二关联资产信息是根据所述目标资产信息与其他资产信息在属性特征之间的关联关系进行确定。
7.根据本发明提供的一种网络空间资产的关联分析方法，所述利用所述目标资产信息中携带的属性特征进行关联挖掘，获取第二关联资产信息，包括：
利用所述目标资产信息中携带的组件属性特征进行关联规则的挖掘，获取第一子关联资产信息；利用所述目标资产信息中携带的内容属性特征进行内容信息的关联分析，获取第二子关联资产信息；基于所述第一子关联资产信息和所述第二子关联资产信息，获取所述第二关联资产信息。
8.其中，所述第一子关联资产信息是根据所述目标资产信息与其他资产信息在组件属性特征之间的所有关联规则进行确定；所述第二子关联资产信息是根据所述目标资产信息中的内容属性与其他资产信息的内容属性进行确定。
9.根据本发明提供的一种网络空间资产的关联分析方法，所述利用所述目标资产信息中携带的属性特征进行关联规则的挖掘，获取第一子关联资产信息，包括：基于所述资产信息，挖掘出所述目标资产信息与其他资产信息在属性特征之间的所有关联规则；根据关联规则中的元素与所述目标资产信息中携带的组件属性特征进行匹配，从所有关联规则确定候选关联规则；在确定所述候选关联规则对应的置信度大于或者等于预设阈值，将所述候选关联规则判定为目标关联规则后，根据所述目标关联规则中的所有元素从资产信息中提取所述第一子关联资产信息。
10.根据本发明提供的一种网络空间资产的关联分析方法，所述基于所述资产信息，挖掘出所述目标资产信息与其他资产信息在组件属性特征之间的所有关联规则，包括：将每一所述资产信息中携带的组件属性特征，作为候选1项集；从所述候选1项集所在的第1层开始向下迭代至第k层时，去除候选k项集中支持度低于阈值的元素，得到频繁k项集；其中，所述项集的序数与所述项集所在的层数对应；在确定所述频繁k项集为空时，停止迭代，并将频繁k-1项集输出为所述关联规则；其中，所述k为大于1的正整数。
11.根据本发明提供的一种网络空间资产的关联分析方法，所述利用目标资产信息中携带的目标ip地址进行域名的解析，获取第一关联资产信息，包括：对所述目标ip地址进行反向域名解析，得到第一域名集合；对所述第一域名集合中的每一个域名进行子域名提取，得到第二域名集合；对所述第二域名集合中的每一个域名进行域名解析，并利用解析出的ip集合从资产信息中提取所述第一关联资产信息；其中，第一域名集合包含各公司对应的二级域名，第二域名集合包含各公司对应的二级域名，以及各二级域名下的子域名。
12.根据本发明提供的一种网络空间资产的关联分析方法，所述利用所述目标资产信息中携带的内容属性特征进行内容信息的关联分析，获取第二子关联资产信息，包括：对所述目标资产信息中携带的内容属性特征对应的证书内容信息与其他资产信息的证书内容信息进行匹配，获取所述第二子关联资产信息；其中，所述证书内容信息为所述内容属性特征的参数值，所述内容属性特征包括
证书md5和/或图标md5。
13.本发明还提供一种网络空间资产的关联分析装置，包括：数据抓取模块，用于基于用户终端输入的目标ip地址，获取与所述目标ip地址对应的资产信息；第一关联模块，用于利用目标资产信息中携带的目标ip地址进行域名的解析，获取第一关联资产信息；第二关联模块，用于利用所述目标资产信息中携带的属性特征进行关联挖掘，获取第二关联资产信息；关联融合模块，用于基于所述第一关联资产信息和所述第二关联资产信息，确定与所述目标资产信息对应的关联资产信息；其中，所述目标资产信息为所述目标ip地址对应的资产信息中的任一个；所述第一关联资产信息是根据所述目标ip地址解析出对应的公司与子公司在应用层上的关联关系进行确定；所述第二关联资产信息是根据所述目标资产信息与其他资产信息在属性特征之间的关联关系进行确定。
14.本发明还提供一种网络空间资产的关联分析系统，包括通信连接的远程终端和多个用户终端，所述远程终端用于执行如上任一项所述网络空间资产的关联分析方法；所述用户终端，用于向所述远程终端发起携带有目标ip地址的关联请求；所述远程终端，用于接收并响应于所述关联请求，将与目标资产信息对应的关联资产信息反馈至所述用户终端；其中，所述目标资产信息为与所述目标ip地址对应的资产信息中的任一个。
15.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述网络空间资产的关联分析方法。
16.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述网络空间资产的关联分析方法。
17.本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述网络空间资产的关联分析方法。
18.本发明提供的网络空间资产的关联分析方法、装置及系统，基于用户终端输入的目标ip地址初步关联出部分资产信息，并分别利用其中任意一条资产信息的目标ip地址和属性特征在部分资产信息中进行不同维度的关联分析，并将分析得到的第一关联资产信息和第二关联资产信息整合成最终的关联资产信息。既能够从公司的角度考虑对资产进行应用层关联分析，又能从资产中重要的属性特征出发，对大量的资产的组件信息的关联关系进行挖掘，将不同维度的关联分析方法进行集成在一个模型中，能够获取更多的关联关系，并将所关联到的相关资产进行有效的安全预警。
附图说明
19.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些
附图获得其他的附图。
20.图1是本发明提供的网络空间资产的关联分析方法的流程示意图之一；图2是本发明提供的网络空间资产的关联分析方法的流程示意图之二；图3是本发明提供的网络空间资产的关联分析方法的流程示意图之三；图4是本发明提供的网络空间资产的关联分析方法的流程示意图之四；图5是本发明提供的网络空间资产的关联分析装置的结构示意图；图6是本发明提供的网络空间资产的关联分析系统的结构示意图；图7是本发明提供的电子设备的结构示意图。
具体实施方式
21.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
22.本技术中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。
23.应当理解，在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
24.术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
25.图1是本发明提供的网络空间资产的关联分析方法的流程示意图之一。如图1所示，本发明实施例提供的网络空间资产的关联分析方法，包括：步骤101、基于用户终端输入的目标ip地址，获取与所述目标ip地址对应的资产信息。
26.需要说明的是，本发明实施例提供的网络空间资产的关联分析方法的执行主体是网络空间资产的关联分析装置。
27.本技术实施例提供的网络空间资产的关联分析方法适用于用户通过电子设备根据实际需求，从海量数据中分析出与用户感兴趣资产的关联程度较高的相关资产。
28.上述电子设备可以以各种形式来实施。例如，本技术实施例中描述的电子设备可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、pda（个人数字助理）、pad（平板电脑）、pmp（便携式多媒体播放器）、导航装置、智能手环、智能手表等等的移动终端以及诸如数字tv、台式计算机等等的固定终端。下面，假设电子设备是移动终端。然而，本领域技术人员将理解的是，除了特别用于移动目的的元件之外，根据本技术实施例的构造也能够应用于固定类型的终端。
29.需要说明的是，在步骤101之前，用户可以根据实际任务需求，在其所使用的用户终端的前端页面中输入对应的待进行关联的目标网际互连协议（internet protocol，ip）地址，以向网络空间资产的关联分析装置发出关联请求。
30.具体地，在步骤101中，网络空间资产的关联分析装置接收并响应于用户终端发出的关联请求，在资产测绘平台上根据关联请求中携带的目标ip地址的相关关联关系，获取与目标ip地址有浅层关联的资产数据。
31.其中，每条资产数据包括多个属性特征，各属性特征对应的属性字段包括但不限于ip地址、域名、端口、经纬度、城市、操作系统、服务、协议、网站标题、组织机构、组件、运营商、设备类型、设备名称等信息。
32.示例性地，以用户终端输入一个目标ip地址为110.75.129.1作为示例，在平台中的海量数据中获取该目标ip地址对应的至少一条资产信息，每一条资产均有对应的属性特征及其特征值以键值对的形式进行表征，其资产信息可以如下所示：{"domain": "pucprod.alipaydns.com","latitude": "30.287459","longitude": "120.153576","province": "浙江","country_name": "中国","ip_str": "110.75.129.1","device": "","org": "alipay.com co.,ltd","data": {"protocol": "tcp","product": "tengine httpd","port": 443,"service": "https","title": "404 not found","cert_serial": "017828cac7f16376cc3eb2d9ada1e7c4","cert_md5": {"9e65e2a602fa01681d45b577a4085728",
……
},"icons_md5": ["efca7d9aeaad122133c65cdf628ac574"],"server": "nginx/1.6.2","isp": "阿里云","organization": "hangzhou alibaba advertising co.,ltd.",}可以理解的是，在用户终端输入的筛选条件不止包含ip地址一项，还可以包含资产信息的其他属性特征。用户终端输入的筛选条件所包含的属性特征越多，初步抓取到的资产信息数量越少。
[0033]
步骤102、利用目标资产信息中携带的目标ip地址进行域名的解析，获取第一关联资产信息。
[0034]
其中，所述目标资产信息为目标ip对应的资产信息中的任一个。所述第一关联资产信息是根据所述目标ip地址解析出对应的公司与子公司在应用层上的关联关系进行确定。
[0035]
需要说明的是，目标资产信息，是指从步骤101中初步关联到的所有资产信息中的任意一个。若目标资产信息是通过ip地址关联到的，则其所携带的目标ip地址可以与目标ip地址相同。若目标资产信息是通过非ip地址的其他属性特征关联到的，则目标资产信息所携带的ip地址可以与目标ip地址不同。
[0036]
具体地，在步骤102中，网络空间资产的关联分析装置从公司的角度考虑对资产进行应用层关联分析，通过输入的目标资产信息的目标ip地址对步骤101初步关联出的资产信息进行更深层次的挖掘，将对应目标ip地址对应公司的资产信息以及其子公司的资产信息作为第一关联资产信息输出。
[0037]
其中，第一关联资产信息可以通过域名对于公司与子公司进行应用层的关联分析，能够使同一公司信息关联更加的紧密，提高企业的安全防护。
[0038]
步骤103、利用所述目标资产信息中携带的属性特征进行关联规则的挖掘，获取第二关联资产信息。
[0039]
其中，所述第二关联资产信息是根据所述目标资产信息与其他资产信息在不同属性特征之间的关联规则确定的。所述属性特征包括与所述资产信息中组件所对应的字段。
[0040]
具体地，在步骤103中，网络空间资产的关联分析装置对于属性的关联分析是从属性特征的角度出发，通过目标资产信息的任意属性特征对步骤101初步关联出的资产信息进行更广层面的挖掘，将包含与对应组件属性特征拥有强关联关系，以及对应证书内容属性特征下的特征内容具有关联关系的其他资产信息作为第二关联资产信息输出。
[0041]
其中，属性特征可以为资产信息的属性字段中的任意一个。步骤104、基于所述第一关联资产信息和所述第二关联资产信息，确定与所述目标资产信息对应的关联资产信息。
[0042]
具体地，在步骤104中，网络空间资产的关联分析装置将从不同维度进一步关联得到的第一关联资产信息和第二关联资产信息进行去重合并，将所汇总得到的集合作为目标资产信息最终的关联资产信息。
[0043]
本发明实施例基于用户终端输入的目标ip地址初步关联出部分资产信息，并分别利用其中任意一条资产信息的目标ip地址和属性特征在部分资产信息中进行不同维度的关联分析，并将分析得到的第一关联资产信息和第二关联资产信息整合成最终的关联资产信息。既能够从公司的角度考虑对资产进行应用层关联分析，又能从资产中重要的属性特征出发，对大量的资产的组件信息的关联关系进行挖掘，将不同维度的关联分析方法进行集成在一个模型中，能够获取更多的关联关系，并能够对所关联到的相关资产进行有效的安全预警。
[0044]
在上述任一实施例的基础上，所述利用所述目标资产信息中携带的属性特征进行关联挖掘，获取第二关联资产信息，包括：利用所述目标资产信息中携带的组件属性特征进行关联规则的挖掘，获取第一子关联资产信息。
[0045]
其中，所述第一子关联资产信息是根据所述目标资产信息与其他资产信息在组件属性特征之间的所有关联规则进行确定。
[0046]
具体地，网络空间资产的关联分析装置对于属性特征的关联分析是通过目标资产信息中特征值不唯一的组件属性特征，及其所对应的所有特征值对步骤101初步关联出的资产信息中的组件信息进行关联关系挖掘，将获取到组件之间的强关联规则，通过组件的
强关联规则将目标资产中的组件与其他资产信息中的组件信息进行关联资产的获取，能够关联到组件之间的隐含关系，且能够关联到更多有效的第一子关联资产信息。
[0047]
利用所述目标资产信息中携带的内容属性特征进行内容信息的关联分析，获取第二子关联资产信息。
[0048]
其中，所述第二子关联资产信息是根据所述目标资产信息中的内容属性与其他资产信息的内容属性进行确定。
[0049]
具体地，网络空间资产的关联分析装置对于内容信息的关联分析是通过目标资产信息中特征值唯一的内容属性特征对步骤101初步关联出的资产信息进行内容层面的信息关联，根据证书内容信息md5值进行比较，获取第二子关联资产信息。
[0050]
基于所述第一子关联资产信息和/或所述第二子关联资产信息，获取所述第二关联资产信息。
[0051]
具体地，网络空间资产的关联分析装置可以从两个层面对步骤101初步关联出的资产信息在对应维度中进行更深层次的挖掘，并将对应挖掘出的第一子关联资产信息和/或第二子关联资产信息整合成第二关联资产信息输出。以供网络空间资产的关联分析装置将以上三种关联分析技术所产生的关联资产信息进行汇总并去重，得到目标资产信息对应的关联资产信息的集合。示例性地，图2是本发明提供的网络空间资产的关联分析方法的流程示意图之二。如图2所示，给出一种网络空间资产的关联分析方法的具体实施方式：在网络空间资产中根据属性进行分析，第一方面，从公司的角度考虑对资产进行应用层关联分析，通过对目标ip地址进行域名解析和关联，获取到的所有第一关联资产信息属于一个公司或是其子公司。
[0052]
第二方面，从资产中重要的组件属性信息出发进行关联分析，对大量的资产的组件信息进行关联关系挖掘，获取到组件中拥有强关联关系的其他组件信息。
[0053]
第三方面，根据资产的属性特征进行内容的关联分析，是从不同形式的内容信息中获取关联资产，这里的内容关联分析可以从证书md5进行关联、可以从图标的md5内容进行关联等。
[0054]
最终，将上述三方面关联分析得到的内容则为目标ip对应的企业相关资产以及组件之间隐含的关联资产以及证书相同资产的关联资产信息集合。
[0055]
可以理解的是，这三个方面的关联分析技术可以任意组合，例如，将第一关联资产信息和第二子关联资产信息进行整合，则得到的是目标ip对应的企业相关资产以及证书相同资产的关联资产信息集合。
[0056]
再例如，将第一关联资产信息和第一子关联资产信息进行整合，则得到的是目标ip对应的企业相关资产以及组件之间隐含的关联资产信息集合。
[0057]
再例如，将第一关联资产信息、第一子关联资产信息和第二子关联资产信息进行整合，则得到的是目标ip对应的企业相关资产、组件之间隐含的关联资产以及证书相同资产的关联资产信息集合。
[0058]
本发明实施例从两个不同的分析层面进行组合的方式将对目标资产信息的深层挖掘，一方面是利用组件属性特征在部分资产信息中进行特征维度上的关联分析，得到第一子关联资产信息，另一方面是利用内容属性特征在部分资产信息中进行内容维度上的关联分析，得到第二子关联资产信息。能够从公司的角度考虑对资产进行应用层关联分析，再
分别从资产中重要的属性组件信息出发，对大量的资产的组件信息进行关联关系挖掘，以及根据资产属性的特征进行内容的关联分析，将不同维度的关联分析方法进行集成在一个模型中，能够获取更全面更有效的关联关系，并能够对所关联到的相关资产进行有效的安全预警。
[0059]
在上述任一实施例的基础上，利用所述目标资产信息中携带的属性特征进行关联规则的挖掘，获取第一子关联资产信息，包括：基于所述资产信息，挖掘出所述目标资产信息与其他资产信息在不同属性特征之间的所有关联规则。
[0060]
具体地，在步骤103中，网络空间资产的关联分析装置从步骤101初步关联到的部分资产信息的项集之间发现频繁出现的模式、关联和相关性，得到属性特征之间的关联规则。
[0061]
其中，挖掘关联规则的关联算法包括但不限于aprior 算法、频繁模式增长树（frequent pattern growth，fp-g）算法、freespan 算法及prefixspan 算法等。
[0062]
根据关联规则中的元素与所述目标资产信息中携带的组件属性特征进行匹配，从所有关联规则确定候选关联规则。
[0063]
具体地，网络空间资产的关联分析装置对挖掘出的每一关联规则进行判断。若关联规则中至少一个元素与目标资产信息中携带的组件属性特征对应，则将该关联规则保留为候选关联规则，反之，则剔除该关联规则。
[0064]
在确定所述候选关联规则对应的置信度大于或者等于预设阈值，将所述候选关联规则判定为目标关联规则后，根据所述目标关联规则中的所有元素从资产信息中提取所述第一子关联资产信息。
[0065]
具体地，网络空间资产的关联分析装置对每一候选关联规则的一个元素在部分资产信息出现后，另一元素出现的概率进行计算，利用计算出的置信度表征关联规则应验的准确性，并将其与预先设置的置信度阈值进行对比：若每一候选关联规则的置信度大于或者等于预设的置信度阈值，说明该关联规则之间存在强关联关系，即组件之间存在隐含的依赖关系，通过挖掘出具有隐含依赖关系的组件元素进行相应的资产关联，得到相应的第一子关联资产信息。
[0066]
若每一候选关联规则的置信度小于预设的置信度阈值，说明该关联规则之间不存在强关联关系，即组件之间不存在隐含的依赖关系，则继续对下一关联规则进行置信度的判断，直至对所有关联规则判断结束，将所有具有隐含依赖关系的组件元素进行相应的资产关联，得到相应的第一子关联资产信息。
[0067]
本发明实施例从初步关联到的部分资产信息挖掘关联规则中，筛选出具有目标资产信息中携带的组件属性特征的候选关联规则，并根据候选关联规则的置信度进行验证，决策将满足置信度阈值条件关联规则判定为目标关联规则执行关联分析，得到包含所有强关联的组件属性特征的第二关联资产信息。实现对资产之间的关系进行更深层次隐含关系的关联分析，能够对与组件属性关联的其他属性的资产进行威胁预警。
[0068]
在上述任一实施例的基础上，基于所述资产信息，挖掘出所述目标资产信息与其他资产信息在组件属性特征之间的所有关联规则，包括：将每一所述资产信息中携带的组件属性特征，作为候选1项集。
[0069]
具体地，网络空间资产的关联分析装置获取目标资产信息的组件属性特征相关信
息，将每一组件信息单独作为数据项集的一项，得到候选1项集，并开始利用apriori算法进行逐层搜索。
[0070]
从所述候选1项集所在的第1层开始向下迭代至第k层时，去除候选k项集中支持度低于阈值的元素，得到频繁k项集。其中，所述项集的序数与所述项集所在的层数对应。所述k为大于1的正整数。
[0071]
具体地，网络空间资产的关联分析装置对初始数据项集（即候选1项集）进行逐层迭代，若候选项集当中出现频繁程度达到阈值，即用户设置的最小支持度，则说明该项集为频繁项集。则通过收集满足最小支持度的项找出频繁1项集的集合，对频繁1项集进行组件信息连接和剪枝，得到候选2项集。
[0072]
紧接着，通过收集满足最小支持度的项找出频繁2项集的集合，对频繁2项集进行组件信息连接和剪枝，连接则是将频繁项集的x,y连接为x,y,z，并计算x,y,z频繁项集的support，剪枝就是将x,y,z频繁项集的support小于最小支持度的删除掉。然后，使用频繁k项集找出频繁k项集，以此类推，直到不能再找到下一层的频繁项集。
[0073]
其中，支持度的计算公式如下：
[0074]
其中，将若干不同的ip资产的组件信息存入数据项集d中，d中包含ip资产不同的组件信息，即d{x,y,z,a,b
……
},资产x与y的支持度为在数据项集中资产x与资产y同时发生的次数，资产的支持度用来衡量不同资产之间关联规则的重要程度。
[0075]
在确定所述频繁k项集为空时，停止迭代，并将频繁k-1项集输出为所述关联规则。
[0076]
具体地，网络空间资产的关联分析装置若确实所得到的频繁k项集为空，则直接返回频繁k-1项集的集合作为算法结果，并从频繁k-1项集中获取到非空真子集生成关联规则。
[0077]
其中，若频繁k-1项集中包含两个元素{x,y}时，它的非空真子集有x, y, 那么生成的规则为x-》y, y-》x。
[0078]
同理，频繁k-1项集中包含三个元素时{x,y,z}时，它的非空真子集有x, y,z, xy, xz, yz，那么生成的规则为x-》yz, y-》xz, z-》xy, xy-》z, xz-》y, yz-》x。
[0079]
可以理解的是，如果得到的频繁k项集只有一项，则直接返回频繁k项集的集合作为算法结果，算法结束。
[0080]
示例性地，图3是本发明提供的网络空间资产的关联分析方法的流程示意图之三。如图3所示，本发明实施例给出一种关联关系挖掘的具体实施过程：以目标资产信息的组件信息包含nginx/1.6.2, tengine/2.1.0,tengine为示例，通过对所有资产数据的组件属性信息进行关联规则挖掘，使用apriori算法，设置最小支持度为3，最小置信度为0.75的情况下进行计算。
[0081]
首先生成候选1项集，候选1项集是根据所有资产信息的组件信息进行汇总去重得到的，候选1项集为：[['akamaighost']，['aliyunoss']，['amazons3']，['apache']，['apache/2']，['apache/2.0.59;debianopenssl/1.0.0-fips']，['apache/2.2.14(amazon)mod_jk1.2.32']，['apache/2.2.15(centos)']，['apache/2.2.22(debian)']，
···
，['apache/2.2.22(ubuntu)']]。
[0082]
频繁项集是对候选1项集进行最小支持度的筛选，筛选掉支持度小于最小支持度
的选项，频繁1项集为：[['tengine/2.1.0']， ['nginx/1.6.2']，['dnvrs-webs']，['webs']，['apache']，['akamaighost']，['nginx']，['cloudfront']，['apache/2.4.38 (debian)']，['apache/2.4.25 (debian)']，['openresty']，
…
，['tengine']]。
[0083]
候选2项集是对频繁1项集内的组件信息进行连接，也就是进行组合得到的，生成的候选2项集为：[['nginx/1.6.2', 'tengine/2.1.0'], ['dnvrs-webs','tengine/2.1.0']，['webs', 'tengine/2.1.0']，['tengine/2.1.0', 'apache']，['tengine/2.1.0', 'akamaighost']，['nginx', 'tengine/2.1.0']，['cloudfront', 'tengine/2.1.0']，['tengine', 'nginx/1.6.2']，['tengine/aserver', 'nginx/1.6.2']，['nginx/1.6.2', 'apache/2.4.54 (debian)']，['nginx/1.6.2', 'apache/2.4.10 (debian)']，
…
，['nginx/1.20.1', 'apache']，['tengine', 'apache']]。
[0084]
频繁2项集是对候选2项集进行最小支持度进行筛选，筛选出频繁2项集 [['nginx', 'apache']，['nginx', 'apache/2.4.38 (debian)']，['tengine', 'apache']，['nginx/1.6.2', 'tengine/2.1.0']，['tengine', 'tengine/2.1.0']，['apache/2.4.38 (debian)', 'openresty']，['cloudfront', 'apache']，['amazons3', 'cloudfront']，['cloudfront', 'nginx']]。
[0085]
候选3项集是对频繁2项集进行连接生成的，候选3项集为： [['nginx', 'apache/2.4.38 (debian)', 'apache']，['nginx', 'tengine', 'apache']，['cloudfront', 'nginx', 'apache']，['nginx', 'apache/2.4.38 (debian)', 'openresty']，['cloudfront', 'nginx', 'apache/2.4.38 (debian)']，['cloudfront', 'tengine', 'apache']，['nginx/1.6.2', 'tengine', 'tengine/2.1.0']，['amazons3', 'cloudfront', 'apache']，['amazons3', 'cloudfront', 'nginx']]。
[0086]
经过最小支持度的筛选，频繁3项集为 []，即为空，迭代计算结束。
[0087]
进而，通过置信度的计算方式对频繁2项集中的组件组合进行置信度计算，计算结果如下表1所示：表1 频繁2项集的置信度示意表
[0088]
从上表可以看出置信度大于0.75的，有[[tengine, apache], [openresty, apache/2.4.38 (debian)], [amazons3, cloudfront]]，通过关联分析模型找到3条强规则，这3条规则中的后两条规则和目标资产中的组件信息无关，因此，[tengine, apache]是相关的关联规则，关联规则表示组件tengine存在，apache组件同时存在的概率大于75%，所以说明tengine与apache组件之间存在隐含的依赖关系，将相关组件进行资产关联。
[0089]
本发明实施例利用apriori算法逐层搜索执行连接策略与剪枝策略，迭代找出资产信息中项集的关系，以形成最终的关联规则。能提高挖掘规则算法的效率、适应性、可用性。
[0090]
在上述任一实施例的基础上，所述利用目标资产信息中携带的目标ip地址进行域名的解析，获取第一关联资产信息，包括：对所述目标ip地址进行反向域名解析，得到第一域名集合。
[0091]
其中，第一域名集合包含各公司对应的二级域名。
[0092]
具体地，在步骤102中，网络空间资产的关联分析装置通过目标资产信息中属性特征字段为ip地址（即ip_str）的110.75.129.1，使用https://www.dnsgrep.cn/ip/+目标ip地址的方式获取到反向解析的域名，得到包括所有公司的二级域名的第一域名集合。
[0093]
对所述第一域名集合中的每一个域名进行子域名提取，得到第二域名集合。
[0094]
其中，第二域名集合包含各公司对应的二级域名，以及各二级域名下的子域名。
[0095]
具体地，网络空间资产的关联分析装置通过https://www.dnsgrep.cn/subdomain/+域名的方式，对第一域名集合中的每一个二级域名进行子域名提取，去除掉类型为cname的别名类型的子域名，得到包括所有公司的二级域名及其子域名的第二域名集合。
[0096]
对所述第二域名集合中的每一个域名进行域名解析，并利用解析出的ip集合从资产信息中提取所述第一关联资产信息。
[0097]
具体地，网络空间资产的关联分析装置对第二域名集合中的每一域名进行域名解析获取对应的ip地址，生成ip集合。
[0098]
紧接着，通过ip集中的每一ip地址进行相应的资产获取，获取到的资产与目标资产在ip地址上具有关联关系的第一关联资产信息。
[0099]
示例性地，图4是本发明提供的网络空间资产的关联分析方法的流程示意图之四。如图4所示，本发明实施例给出一种从应用层关联分析的具体实施方式：通过获取目标资产的ip_str:110.75.129.1，通过110.75.129.1对域名进行反查，具体使用https://www.dnsgrep.cn/ip/+目标ip的方式获取到反向解析的域名，所得到的第一域名集合如下所示：accounts.alipaydns.com, antgroup.com, antsdaq.alipaydns.com, antsdaq.com, consumeprod.alipaydns.com,
ꢀ……
, zcbprod.alipaydns.com, zizhu.alipaydns.com。
[0100]
对于获取到的结果进行子域名的提取，其中上述二级域名有alipaydns.com（支付宝（杭州）信息技术有限公司），antgroup.com（蚂蚁科技集团股份有限公司），antsdaq.com（蚂蚁达客（上海）股权众筹服务有限公司），其中蚂蚁科技集团股份有限公司是100%控股其他两个公司，即其余两个为分公司。对上述3个二级域名进行子域名提取，具体使用https://www.dnsgrep.cn/subdomain/+域名的方式获取子域名结果，其中去除掉类型为cname的别名类型的子域名，所得到的第二域名集合如下所示：alipaydns.com，ns1.alipaydns.com，cashierem14.alipaydns.com，ns4.alipaydns.com，amdc-v4.alipaydns.com，cashieret15.alipaydns.com，b.alipaydns.com，mobileweb.alipaydns.com，swiftweb.alipaydns.com，pubcicada.alipaydns.com，
……
，antgroup.com，antchain.antgroup.com，mydcs.antchain.antgroup.com，antsdaq.com。
[0101]
对上述获取的子域名进行dns解析获取对应的ip集，ip集中的数据如下：110.75.129.1"，"110.75.232.62"，"45.113.40.94"，"110.76.30.69"，"110.76.8.150"，"203.209.245.102"，"203.209.250.114"，"110.75.129.5"，
…
，"110.76.58.22"，"2400:b200:2000::4"，"203.209.230.39"。
[0102]
通过ip集中的每一ip地址进行相应的资产获取，获取到的资产与目标资产信息对应的第一关联资产信息。
[0103]
本发明实施例通过对目标ip进行反向域名解析得到第一域名集合，再对第一域名集合进行子域名的提取，最后利用提取得到的第二域名集合和第一域名集合对域名解析得到ip集合，利用ip集合将所所有属于一个公司或是其子公司的资产信息整合为第一关联资产信息。实现通过域名对于公司与子公司进行应用层的关联分析，能够使同一公司信息关联更加的紧密，提高企业的安全防护。
[0104]
在上述任一实施例的基础上，所述利用所述目标资产信息中携带的内容属性特征进行内容信息的关联分析，获取第二子关联资产信息，包括：对所述目标资产信息中携带的内容属性特征对应的证书内容信息与其他资产信息的证书内容信息进行匹配，获取所述第二子关联资产信息；其中，所述证书内容信息为所述内容属性特征的参数值，所述内容属性特征包括证书md5和/或图标md5。
[0105]
具体地，网络空间资产的关联分析装置将内容属性特征字段为认证数字证书所对应的特征值，即证书md5值或者图标md5值，将与目标资产信息的md5值相同的资产信息作为第二子关联资产信息。
[0106]
例如，通过获取目标资产信息的证书md5值，其中cert_md5值为"9e65e2a602fa01681d45b577a4085728"和“08fd15484b1a18bf3b441091d38c0807”。将cert_md5值与目标资产信息的cert_md5值相同进行资产之间的关联分析，使用资产的关联分析模型进行内容信息关联。
[0107]
本发明实施例通过组件信息、证书md5等方式表达出资产信息的关联分析。实现对资产之间的关系进行更深层次隐含关系的关联分析，能够对与特定属性内容关联的资产进行威胁预警。
[0108]
图5是本发明提供的网络空间资产的关联分析装置的结构示意图。在上述任一实施例的基础上，如图5所示，该装置包括数据抓取模块510、第一关联模块520、第二关联模块530和融合模块540，其中：数据抓取模块510，用于基于用户终端输入的目标ip地址，获取与所述目标ip地址对应的资产信息。
[0109]
第一关联模块520，用于利用目标资产信息中携带的目标ip地址进行域名的解析，获取第一关联资产信息。
[0110]
第二关联模块530，用于利用所述目标资产信息中携带的属性特征进行关联挖掘，获取第二关联资产信息。
[0111]
融合模块540，用于基于所述第一关联资产信息和所述第二关联资产信息，确定与所述目标资产信息对应的关联资产信息。
[0112]
其中，所述目标资产信息为所述目标ip地址对应的资产信息中的任一个。所述第一关联资产信息是根据所述目标ip地址解析出对应的公司与子公司在应用层上的关联关系进行确定；所述第二关联资产信息是根据所述目标资产信息与其他资产信息在属性特征之间的关联关系进行确定。
[0113]
具体地，数据抓取模块510、第一关联模块520、第二关联模块530顺次电连接和融
合模块540。
[0114]
数据抓取模块510接收并响应于用户终端发出的关联请求，在资产测绘平台上根据关联请求中携带的目标ip地址的相关关联关系，导出与目标ip地址有浅层关联的资产数据。
[0115]
第一关联模块520从公司的角度考虑对资产进行应用层关联分析，通过输入的目标资产信息的目标ip地址对数据抓取模块510初步关联出的资产信息进行更深层次的挖掘，将对应目标ip地址对应公司的资产信息以及其子公司的资产信息作为第一关联资产信息输出。
[0116]
第二关联模块530对于属性的关联分析是从属性特征的角度出发，通过目标资产信息的任意属性特征对数据抓取模块510初步关联出的资产信息进行更广层面的挖掘，将包含与对应组件属性特征拥有强关联关系，以及对应证书的内容特征属性下的特征内容具有关联关系的其他资产信息作为第二关联资产信息输出。
[0117]
融合模块540将从不同维度进一步关联得到的第一关联资产信息和第二关联资产信息进行去重合并，将所汇总得到的集合作为目标资产信息最终的关联资产信息。
[0118]
可选地，第二关联模块530包括第一关联单元、第二关联单元和融合单元，其中：第一关联单元，用于利用所述目标资产信息中携带的组件属性特征进行关联规则的挖掘，获取第一子关联资产信息。
[0119]
第二关联单元，用于利用所述目标资产信息中携带的内容属性特征进行内容信息的关联分析，获取第二子关联资产信息。
[0120]
融合单元，用于基于所述第一子关联资产信息和/或所述第二子关联资产信息，获取所述第二关联资产信息。
[0121]
其中，所述第一子关联资产信息是根据所述目标资产信息与其他资产信息在组件属性特征之间的所有关联规则进行确定；所述第二子关联资产信息是根据所述目标资产信息中的内容属性与其他资产信息的内容属性进行确定。
[0122]
可选地，第一关联单元包括规则挖掘子单元、规则筛选子单元和第一关联子单元，其中：规则挖掘子单元，用于基于所述资产信息，挖掘出所述目标资产信息与其他资产信息在组件属性特征之间的所有关联规则。
[0123]
规则筛选子单元，用于根据关联规则中的元素与所述目标资产信息中携带的组件属性特征进行匹配，从所有关联规则确定候选关联规则。
[0124]
第一关联子单元，用于在确定所述候选关联规则对应的置信度大于或者等于预设阈值，将所述候选关联规则判定为目标关联规则后，根据所述目标关联规则中的所有元素从资产信息中提取所述第一子关联资产信息。
[0125]
可选地，规则挖掘子单元包括候选项集获取微单元、频繁项集获取微单元和规则挖掘微单元，其中：候选项集获取微单元，用于将每一所述资产信息中携带的组件属性特征，作为候选1项集。
[0126]
频繁项集获取微单元，用于从所述候选1项集所在的第1层开始向下迭代至第k层时，去除候选k项集中支持度低于阈值的元素，得到频繁k项集。其中，所述项集的序数与所
述项集所在的层数对应。。
[0127]
规则挖掘子单元，用于在确定所述频繁k项集为空时，停止迭代，并将频繁k-1项集输出为所述关联规则。
[0128]
其中，所述k为大于1的正整数。
[0129]
可选地，第一关联模块520包括第一解析单元、第二解析单元和第二关联单元，其中：第一解析单元，用于对所述目标ip地址进行反向域名解析，得到第一域名集合。
[0130]
第二解析单元，用于对所述第一域名集合中的每一个域名进行子域名提取，得到第二域名集合。
[0131]
第二关联单元，用于对所述第二域名集合中的每一个域名进行域名解析，并利用解析出的ip集合从资产信息中提取所述第一关联资产信息。
[0132]
其中，第一域名集合包含各公司对应的二级域名，第二域名集合包含各公司对应的二级域名，以及各二级域名下的子域名。
[0133]
可选地，所述第二关联单元，具体用于对所述目标资产信息中携带的内容属性特征对应的证书内容信息与其他资产信息的证书内容信息进行匹配，获取所述第二子关联资产信息。
[0134]
其中，所述证书内容信息为所述内容属性特征的参数值，所述内容属性特征包括证书md5和/或图标md5。
[0135]
本发明实施例提供的网络空间资产的关联分析装置，用于执行本发明上述网络空间资产的关联分析方法，其实施方式与本发明提供的网络空间资产的关联分析方法的实施方式一致，且可以达到相同的有益效果，此处不再赘述。
[0136]
本发明实施例基于用户终端输入的目标ip地址初步关联出部分资产信息，并分别利用其中任意一条资产信息的目标ip地址和属性特征在部分资产信息中进行不同维度的关联分析，并将分析得到的第一关联资产信息和第二关联资产信息整合成最终的关联资产信息。既能够从公司的角度考虑对资产进行应用层关联分析，又能从资产中重要的属性特征出发，对大量的资产的组件信息的关联关系进行挖掘，将不同维度的关联分析方法进行集成在一个模型中，能够获取更多的关联关系，并将所关联到的相关资产进行有效的安全预警。
[0137]
图6是本发明提供的网络空间资产的关联分析系统的结构示意图。在上述任一实施例的基础上，如图6所示，该系统包括通信连接的远程终端610和多个用户终端620，所述远程终端610用于执行网络空间资产的关联分析方法。
[0138]
所述用户终端620，用于向所述远程终端610发起携带有目标ip地址的关联请求。
[0139]
所述远程终端610，用于接收并响应于所述关联请求，将与目标资产信息对应的关联资产信息反馈至所述用户终端620。
[0140]
其中，所述目标资产信息为与所述目标ip地址对应的资产信息中的任一个。
[0141]
具体地，网络空间资产的关联分析系统有一个处于中心计算节点的远程终端610和多个处于边缘计算节点的用户终端620构成。
[0142]
用户可以根据实际任务需求，在其所使用的用户终端620的前端页面中输入对应的待进行关联的目标ip地址，以向远程终端610发出关联请求。
[0143]
远程终端610接收并响应于用户终端发出的关联请求，在网络空间资产中根据属性进行分析，首先从公司的角度考虑对资产进行应用层关联分析，通过对目标ip进行反向域名解析，再通过域名进行子域名获取，最后对域名进行ip解析，获取到的所有数据属于一个公司或是其子公司，其次，从资产中重要的属性组件信息出发，对大量的资产的组件信息进行关联关系挖掘，获取到组件中拥有强关联关系的其他组件信息。最后，根据资产属性的特征进行内容的关联分析，内容的关联分析是指通过图片或md5等方式表达出资产信息的关联分析。将以上提到的三种关联分析方法进行集成构建基于网络空间资产的关联分析模型，能够获取更多更有效的关联关系，并能够对相关资产进行有效的安全预警。在资产测绘平台上根据关联请求中携带的目标ip地址的相关关联关系，导出与目标ip地址有浅层关联的资产数据。
[0144]
本发明实施例基于用户终端输入的目标ip地址初步关联出部分资产信息，并分别利用其中任意一条资产信息的目标ip地址和属性特征在部分资产信息中进行不同维度的关联分析，并将分析得到的第一关联资产信息和第二关联资产信息整合成最终的关联资产信息。既能够从公司的角度考虑对资产进行应用层关联分析，又能从资产中重要的属性特征出发，对大量的资产的组件信息的关联关系进行挖掘，将不同维度的关联分析方法进行集成在一个模型中，能够获取更多的关联关系，并将所关联到的相关资产进行有效的安全预警。
[0145]
图7示例了一种电子设备的实体结构示意图，如图7所示，该电子设备可以包括：处理器（processor）710、通信接口（communications interface）720、存储器（memory）730和通信总线740，其中，处理器710，通信接口720，存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令，以执行网络空间资产的关联分析方法，该方法包括：基于用户终端输入的目标ip地址，获取与所述目标ip地址对应的资产信息；利用目标资产信息中携带的目标ip地址进行域名的解析，获取第一关联资产信息；利用所述目标资产信息中携带的属性特征进行关联规则的挖掘，获取第二关联资产信息；基于所述第一关联资产信息和所述第二关联资产信息，确定与所述目标资产信息对应的关联资产信息；其中，所述目标资产信息为所述目标ip地址对应的资产信息中的任一个；所述第一关联资产信息是根据所述目标ip地址解析出对应的公司与子公司在应用层上的关联关系进行确定；所述第二关联资产信息是根据所述目标资产信息与其他资产信息在属性特征之间的关联关系进行确定。
[0146]
此外，上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。
[0147]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行
时，计算机能够执行上述各方法所提供的网络空间资产的关联分析方法，该方法包括：基于用户终端输入的目标ip地址，获取与所述目标ip地址对应的资产信息；利用目标资产信息中携带的目标ip地址进行域名的解析，获取第一关联资产信息；利用所述目标资产信息中携带的属性特征进行关联规则的挖掘，获取第二关联资产信息；基于所述第一关联资产信息和所述第二关联资产信息，确定与所述目标资产信息对应的关联资产信息；其中，所述目标资产信息为所述目标ip地址对应的资产信息中的任一个；所述第一关联资产信息是根据所述目标ip地址解析出对应的公司与子公司在应用层上的关联关系进行确定；所述第二关联资产信息是根据所述目标资产信息与其他资产信息在属性特征之间的关联关系进行确定。
[0148]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的网络空间资产的关联分析方法，该方法包括：基于用户终端输入的目标ip地址，获取与所述目标ip地址对应的资产信息；利用目标资产信息中携带的目标ip地址进行域名的解析，获取第一关联资产信息；利用所述目标资产信息中携带的属性特征进行关联规则的挖掘，获取第二关联资产信息；基于所述第一关联资产信息和所述第二关联资产信息，确定与所述目标资产信息对应的关联资产信息；其中，所述目标资产信息为所述目标ip地址对应的资产信息中的任一个；所述第一关联资产信息是根据所述目标ip地址解析出对应的公司与子公司在应用层上的关联关系进行确定；所述第二关联资产信息是根据所述目标资产信息与其他资产信息在属性特征之间的关联关系进行确定。
[0149]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0150]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行各个实施例或者实施例的某些部分所述的方法。
[0151]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。