一、概述

图形化的结构方式相比于报告式的结构方式来说，更容易在读者的脑海中快速建立立体的、框架式的内容结构，对于理解事物关联关系更有优势。

安全大脑利用知识图谱技术，将各个安全线索从多维度进行关联，形成事件回溯的拓扑结构，方便用户在安全事件溯源、关联线索拓展中快速建立线索拓扑。

二、功能

图线追踪为用户提供了丰富的操作功能，以及全面的图示信息。

• 拓扑图操作

除了常规的在云端快照存档等基础操作之外，还支持自定义添加节点线索，树形内容排序等功能。

• 节点关联列表

在页面边栏展示出当前图中的实体节点及其相关信息，方便快速定为关键内容。

• 自适应图例

图例部分根据图中实体节点内容自动调节，方便观测页面实体内容类型。

• 画布操作

支持画布的缩放和自适应，方便对超大线索结果进行观测。

三、应用案例

图线追踪功能方便基于图线索转化为攻击链，以下图内容为例：

1、起点条件是网安运营人员在日常巡检的时候，发现一外网IP对内部系统发起网络攻击；

2、在此IP的通信样本中进行逐一排查，发现了一个可疑下载线索；

3、分析下载线索，此域名为动态域名，并且在境外主机上面部署；

4、跟踪境外主机情况，发现其为一个长期跟踪的APT组织所使用的域名提供解析服务。

5、根据辅助线索分析，最终定位了一个APT组织的攻击链。

上述内容为一个真实的攻击链分析案例，其中的线索固定过程需要分析人员通过大量的分析得出；但是在其中的攻击链线索拓展中，图线追踪为分析人员提供了大量帮助。