随着互联网和计算机网络使用的增长,网络安全威胁变得更加频繁。无论从经济、信息安全还是国家安全的角度来看,网络安全已经成为一个全球性问题。严峻的网络安全态势,促使科研人员和网络安全公司研发了大量软件与解决方案。然而网络攻击手段的丰富与技术的发展,使得新兴的网络攻击很容易绕过传统的防御措施。而这些防御系统彼此独立工作且各自为战,在产生大量日志警报的同时并不能有效提炼威胁情报。为充分利用威胁情报,需对威胁情报进行关联以发掘其隐藏特征。本文设计并实现了一种基于语义网的威胁关联系统。系统引入图数据库Neo4j作为存储引擎,并利用基于语义网设计的威胁关联模型,对各数据的唯一性,结构性,关联性加以约束。系统数据导入、数据查询、关联计算三大模块。在数据导入模块中,本文实现了依照威胁关联模型设计的图数据库存储框架,并完成了对访问行为信息、域名信息、恶意代码情报信息和威胁情报报告信息等四类的威胁情报的导入任务。对于访问行为信息,本文通过场景重现与检测系统的方法实现了对访问行为信息隐含特征信息的提取;对于信息的导入,本文通过根据基于语义网的威胁关联模型,采用构造Cypher语句的方式实现信息的导入。在数据查询模块中,本文实现了关联查询和时序查询两种查询功能的封装函数。其中关联查询功能提供跨越多个节点的查询,时序查询以威胁主体、域名、IP地址和攻击活动四类节点为切入点,提供攻击行为时序信息、源IP地址分布信息、攻击行业分布信息和攻击方法分布信息的查询与可视化展示,帮助网络安全分析人员获得网络攻击的时序特征和统计特征。本文根据用户输入的查询信息,生成自定义的Cypher查询语句,实现对数据的查询;针对时序数据,本文采用图表的方式展示查询结果。在关联计算模块中,本文实现了对攻击活动的相似度计算和威胁主体画像两个功能。其中攻击活动相似度计算用于比较两个攻击活动的相似性。针对攻击活动相似度的计算,本文采用Jaccard系数和余弦系数作为攻击活动相关数据的计算方法,并采用层次分析法对中间结果进行加权。对于威胁主体画像,本文采用生成Cypher语句的方法进行数据的多级关联查询,再对查询结果进行筛选,实现对威胁主体的特征进行画像。