具体实施方式

为了使本领域普通人员更好地理解本申请的技术方案，下面将结合附图，对本申请实施例中的技术方案进行清楚、完整地描述。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应所述理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

以下，对本申请实施例中的部分用语进行解释说明，以便于本领域技术人员理解。

(1)本申请实施例中术语“多个”是指两个或两个以上，其它量词与之类似。

(2)“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如， A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

(3)服务器，是为终端服务的，服务的内容诸如向终端提供资源，保存终端数据；服务器是与终端上安装的应用程序相对应的，与终端上的应用程序配合运行。

(4)终端设备，既可以指软件类的APP(Application，应用程序)，也可以指客户端。它具有可视的显示界面，能与用户进行交互；是与服务器相对应，为客户提供本地服务。针对软件类的应用程序，除了一些只在本地运行的应用程序之外，一般安装在普通的客户终端上，需要与服务端互相配合运行。因特网发展以后，较常用的应用程序包括了如短视频应用、收寄电子邮件时的电子邮件客户端，以及即时通讯的客户端等。对于这一类应用程序，需要网络中有相应的服务器和服务程序来提供相应的服务，如数据库服务，配置参数服务等，这样在客户终端和服务器端，需要建立特定的通信连接，来保证应用程序的正常运行。

(5)情报数据，从业务数据挖掘或外界监听的有价值的安全相关的风险数据，本申请实施例中情报数据可包括：网络设备标识、用户账号、IP信息、域名信息、WIFI(无线通信技术)信息、手机号信息。需要说明的是，本申请实施例获取与用户相关的情报数据均是经过用户授权许可后获取的。

(6)指定维度、可理解为对涉及网络安全的情报数据进行分类，以便于从不同维度去描述和分析网络安全是否存在威胁。本申请实施例中，指定维度可包括网络侧、设备层、账号层和用户层等维度。

(7)图结构模型，本申请实施例中采用图数据库来表示不同指定维度之间的关联关系，以便于挖掘出同一目标的情报信息。在图结构模型中，每个指定维度的情报数据分别为一个点，有其代表性的实体ID来表达，不同指定维度的情报数据如果具有关联关系，则采用相应的边表达该关联关系。边具有一定的属性，用于完善描述不同点之间的关系。由此，基于图结构模型，能够从单一维度、不同维度之间的关系来观察和发现风险。

从情报分析角度、网络安全的分层对抗与防守，从下到上其难度是增加的。参考图1所示，为分层对抗与防守和难度的相关关系示意图。从最底层的文件载体层至定位到自然人层面的网络安全分析难度是逐渐增加的。

鉴于相关技术中从单一维度难以分析出攻击来源，而目前使用的多个维度来分析攻击来源时也存在使用的局限性的问题，因为相关技术中对风险的描述也不够全面，导致风险的分析识别结果的准确性也有待提高。有鉴于此，本申请实施例中提供一种网络安全信息的处理方法、查询方法及相关装置。

在本申请实施例提供的方法中，以不同维度的情报数据为点，不同维度的点之间的关联关系为边构建图结构模型。构建图结构模型基于图数据库存储，在利用图数据库之后，可以将每一个维度的实体ID进行串联起来，形成一张情报数据较为全面的网。利用这张网能够准确刻画攻击者的攻击方式、作弊工具、团伙特征等，因此安全数据的建模，可以将原来的平面识别层次变成了立体网状识别层次。

为了提高攻击溯源的便利性和准确性，本申请实施例中的图结构模型中，一方面，边可以具有时间属性，另一方面，边还可以具有强弱属性。时间属性可以考量每种关联关系的时间范围限制，例如，一种关联关系在A时间段是存在的，在B时间段是不存在的。可以从时间上来动态的描述关联关系的变化。基于时间属性，得到了随时间变化的动态图结构。

边的强弱属性用于描述关联关系的强弱程度。由此，可以反映图结构模型中不同实体点之间的关系强弱，相对于单纯的提供关联关系，还能够进一步提供关联关系的强弱程度，提高对风险描述的准确性。此外，当建立设备和多个账号之间的关联关系以及对应的强弱属性时，能够很好的帮助分析出真实的攻击源。

此外，本申请实施例中，对于如何查询图结构模型也进行了优化，优化后风险分析用户能够方便的了解各个点的详细信息，对于密度较大的点，还可以通过缩放操作来控制展示的点密度，便于风险分析用户查看关联关系。此外，还能够保持在多次操作过程中同一批点及其关联关系的相对位置稳定，便于了解前后查看的点。

在介绍完本申请实施例的设计思想之后，下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍，需要说明的是，以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施时，可以根据实际需要灵活地应用本申请实施例提供的技术方案。

参考图2，其为本申请实施例提供的网络安全信息处理方法或查询方法的应用场景示意图。该应用场景包括多个终端设备101(包括终端设备101-1、终端设备101-2、……终端设备101-n)、还包括服务器102。其中，终端设备101、服务器102之间通过无线或有线网络连接，终端设备101包括但不限于桌面计算机、移动电话、移动电脑、平板电脑、媒体播放器、智能可穿戴设备、智能电视等电子设备。服务器102可以是一台服务器、若干台服务器组成的服务器集群或云计算中心。服务器102可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content DeliveryNetwork，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。

一方面，服务器102可提供富媒体信息给终端设备101展示。例如，终端设备101的内容浏览用户可以选择自己感兴趣的短视频，然后从服务器102中拉取该感兴趣的视频数据进行播放。

在内容浏览用户授权后，终端设备101可以上报自己的使用日志数据给服务器。该使用日志数据例如可包括多个指定维度的情报数据。则该日志数据中的各维度的情报数据均具有关联关系，基于此，可构建图结构模型，并存储在图数据库中。

另一终端设备101为风险分析用户的终端设备，其可以向服务器102请求查询满足查询条件的情报数据，然后基于图结构的形式展示出来，以便于查看不同维度的情报数据之间的关联关系。例如，该查询条件可设置为查询某个时间段的某个指定维度(如设备维度)的情报数据。由此，可以根据时间属性和强弱属性来分析情报数据。

为进一步说明本申请实施例提供的技术方案，下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤，但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中，这些步骤的执行顺序不限于本申请实施例提供的执行顺序。

安全情报的图结构建模的主要目的是：认知任何一个指定维度风险的时候，不单单局限于该维度本身的状态与属性去分析风险，而是将维度从个体扩展为网络层面，通过图结构的数据关系，通过上下层次及同级层次立体地去了解该维度的风险。故此，在本申请实施例中，如图3所示，网络安全信息的处理流程可包括：

在步骤301中，获取涉及网络安全的多个指定维度的情报数据。

在步骤302中，构建以各指定维度的情报数据为点、不同指定维度的点之间的关联关系为边的图结构模型。

其中，在所述图结构模型中，至少一种关联关系的边的属性包括时间属性和/或强弱属性；所述时间属性用于描述关联关系的存续时间、所述强弱属性用于描述关联关系的强弱。

实施时，多个指定维度中可以选择出至少一个目标维度作为中心点，在图结构模型中，以各目标维度为中心点，构建其他指定维度的点与所述中心点之间的边。由此，可以对单一维度进行分析时，不仅能够了解单一维度的信息，还能够通过图结构模型了解到该单一维度关联的其他维度的信息，有利于进行风险识别。例如，本申请实施例中，为了能够更好的表达设备维度的风险，可以在图结构模型中，以设备为中心点，构建其他指定维度的点与中心点之间的边。以设备风险为例，如图4所示：对一个设备而言，整体分为网络层、设备层、账号层和用户层这四个指定维度，每个指定维度都由其代表性的实体ID 来表达。通过图结构，可以做到对一个设备进行立体的三维层次的风险认知，这对于风险的识别会更有帮助。实施时，网络层可以包括WIFI信息和IP地址信息等。IP地址信息例如可包括IP地理位置，IP网络属性，IP历史攻击记录， IP业务标签，IP影响力(对应设备数量)等信息。设备层可以包括与网络层有关联的各个设备的设备标识GID，以及与GID关联的DID(APP的唯一标识)。账号层，可包括与设备层相关的用户账号UID。在用户层可以包括用户手机号PHONE。

由此，基于设备为中心点构建图结构模型，能够帮助从设备维度理解和表达风险。以便于从设备维度实现风险的挖掘和相应的控制策略，例如限制设备操作。

实施时，设备可以上报日志数据，该日志数据中携带有多个指定维度的信息以便于进行关联关系的挖掘和边属性的构建。下面分别对边的时间属性和强弱属性进行说明。

1、时间属性

在图结构模型构建上，需要考虑每一种关联关系的存在都是有时间范围的。如A时间段内关联关系存在，则B时间段内该关联关系未必存在，因此安全情报能在图数据库上真实反映这种不同时间段内的关联关系。

这意味着需要随着查询时间区间的不同，而呈现出不同的图结构模型的数据，本申请中称之为动态图结构。

一种可能的实施方式中，时间属性的值包括开始时间和结束时间，针对图结构模型中的任意两个具有关联关系的点，可获取用于指示这两个点具有关联关系的指示信息(如日志数据)，指示信息中包括时间点；然后，将指示信息中的最早时间点作为开始时间，并将最晚时间点作为结束时间；之后，每次再次获取到指示信息，则采用指示信息中的最晚时间点更新结束时间。由此，基于第一次发现两点的关联关系时，可以获得时间属性的开始时间，之后每接收到一次指示信息，可更新结束时间。由此，可以准确的维护关联关系的持续时间是哪些时间段。

例如，设备上报的日志数据作为指示信息，数据格式可如表1所示：

表1

基于如上表1所示的数据格式，可以设备ID为中心点，提炼出与设备具有关联关系的边，每条边均带时间戳，例如：

例如，从日志数据中提取出设备1ID，IP1，时间点1(开始时间)。由此得到设备1ID和IP1具有关联关系，如果这个关联关系首次发现，则该关联关系的开始时间为首次上报该关联关系的日志数据中携带的时间戳，最后一次获得设备ID和IP1之间的关联关系的时间戳为结束时间。

再例如，从日志数据中分析设备ID、账号ID，1618901993(开始时间)。则首次获取设备ID和账号ID之间的关联关系的开始时间为首次上报这个关联关系的日志数据的时间戳，最后获取这个关联关系的时间为最后一次获取该关联关系的日志数据中的时间戳。

类似的，基于日志数据分析出设备ID和手机号之间的关联关系的开始时间和结束时间。

然，需要说明的是，一条日志数据中不要求包括所有指定维度的情报数据，至少包括两个指定维度的情报数据即可挖掘出不同维度的情报数据之间的关联关系。

在图结构模型中，点就是这些维度的数据的维度类型及具体的值，每个实体点具有唯一的ID，边的时间属性就是这个关联关系的开始时间与结束时间。

在图数据库中，是按边的方式进行存储的，正是有了以上这样的数据组织与存储方式，在查询层面，就能够实现同一个关系以不同的时间区间去查询，所呈现出来的图结构是动态变化的。

2、强弱属性

继续以设备为中心点为例，在面对黑灰产或者真人违规操作时，往往会出现这种情况：就是一个设备上面会对应非常多的账号，有些账号是用户自己的常用账号，有些账号则是用户买来做特定网络行为的账号，为配合公安或法务的打击，需要从这批账号里面精准区分出哪些账号是用户常用账号，而哪些账号只是买来用于违规操作的账号。

故此，为例能够精准的进行网络安全分析，本申请实施例中，对图结构模型中的边引入了强弱属性。实施时，可以指定类别的关联关系(如设备和账号之间的关系)的边具有强弱属性，也可以所有的边具有强弱属性。

继续以账号与设备的关联关系这条边为例：如果是该设备常用的账号，那么表明这个账号与这个设备的关系是较强的关系，则这条边的强弱属性的属性值就会高；如果仅仅是违规操作/开直播的时候才会使用的账号，那么账号与设备的关系则会比较弱，相应的强弱属性的属性值就会低一些。

由此，基于分析出不同实体点的关联关系的特点，针对每条具有强弱属性的边，边的强弱属性的值与以下信息中的至少一种信息正相关：

1)、边的产生次数。

同一实体点和其他同类实体点之间的关联关系的强弱属性，可以基于同一边产生的次数确定。例如，从日志数据中分析出账号1和设备1的关联关系上报了n次，则设备1和账号1这条边的产生次数为n。由此，随着同一边产生的次数不同，该边的强弱属性会随着变化。

2)、边关联的指定操作的操作次数；

例如，账号1在设备1上常操作，而账号2不经常在设备1上操作。所以用户操作习惯也可以影响强弱关系，如果操作次数多，则可视为常操作进而可知关联关系较强，较少操作则表示关联关系较弱。

3、边关联的指定操作的操作时长。

例如，用户可能会经常使用自己的账号浏览网页，访问短视频，而会使用特定账号进行非法网络行为，则不同操作类型的操作时长也可以影响强弱属性。

为了能够挖掘出同一设备的真实账号，本申请实施例中，针对同一设备关联的多个账号，每个账号和设备之间的边具有强弱属性。由此，可从设备角度去挖掘真实的账号。

例如，对设备上报的日志数据进行分析整理，可得到如表2格式的数据：

表2

参考表2，从数据层面的反应是设备1上，登陆过两个账号，但是这两个账号与这个设备的关系牢固程度却是不同的。账号56757上报了2条记录，账号5435只上报了1条记录。因此在构建边的强弱属性时：

设备ID-账号ID：设备1，56757，2(次数)

设备ID-账号ID：设备1，5435，1(次数)

将以上的关联关系构建图数据模型，次数作为边的属性存在。

那么在所查询的时间区间内，只要边的条件满足透出条件，具有强弱属性的边一定是带次数的。一种示例性的查询结果如图5所示，图5中反映出设备 ID和三个账号即账号A、账号B、账号C之间的关联关系，每个关联关系的边具有次数作为相应的强弱属性的属性值。

在查询时，可以将强弱属性的属性值转换为权重值，以更好的体现同一设备和不同账号之间的关联关系的强弱。如，对各条边的次数，进行动态归一化计算。归一化计算的过程为：将所有边属性次数之和作为分母，某一条边作为分子，分别得到其归一化后的权重，则基于图5得到的权重分别如下：

设备ID-账号A：权重0.3；

设备ID-账号B：权重0.4；

设备ID-账号C：权重0.3。

由此，得到了同一设备和其关联的不同账号之间的权重，在展示时可以基于权重进行展示。

需要说明的是，存储的时候可以存储与强弱属性相关的信息例如边产生的次数、操作时长等，然后在查询真实的时候计算权重值进行展示

如图6所示，为本申请实施例提供的带有时间属性和强弱属性的图结构模型的结构示意图。

基于图结构模型能够直观的表达不同维度的情报数据之间的关系，能够基于特定维度的情报数据和其他维度的情报数据之间的关系，全面的衡量该特定维度的情报数据的风险。基于时间属性能够动态的了解该特定维度的情报数据和其他维度的情报数据之间关系随时间的变化。基于强弱属性，能够了解特定维度的情报数据和其他维度的情报数据之间的关系的强弱以便于进行风险分析。

下面对如何查询和展示图结构模型进行说明。

网络安全信息的查询处理

相关技术中网络安全数据模型的展示受限制较多，例如只能展示哪些实体之间具有关联关系，本申请实施例中基于时间属性和强弱属性能够更好的描述不同实体点之间的关联关系，以便于用户了解这种关系了解每个指定维度的风险。如图7所示，为本申请实施例提供的一种网络安全信息的查询方法的流程示意图，包括：

在步骤701中，基于查询请求，从网络安全信息的图结构模型中获取查询结果；所述图结构模型是以各指定维度的情报数据为点、不同指定维度的点之间的关联关系为边构建的，且所述图结构模型中至少一种边具有时间属性和/ 或强弱属性，所述时间属性用于描述关联关系的存续时间、所述强弱属性用于描述关联关系的强弱。

例如，若边的属性包括时间属性，则查询请求中可包括时间条件，即可以基于查询请求中的时间条件，从图结构模型中获取与时间条件匹配的查询结果。

为便于理解，本申请实施例中，对匹配的定义为时间属性指示的时间范围与时间条件的时间段具有交集。这样返回的数据是只要在查询的时间段具有时间交集的数据均会返回。

如图8所示，为查询请求中查询时间区间与一条边的开始时间和结束时间够成的实际时间区间的位置关系示意图。当查询时间区间为B、C、D时，这条边与查询时间区间均有交集，这条边都要被返回，当查询时间区间为A、E 时，这条边不应该被返回。由此，基于查询请求中的时间条件能够灵活的查看不同时间区间的图结构。

在步骤702中，展示查询结果。

实施时，为了便于理解关联关系的强弱程度，不同强弱属性采用差异化的展示效果进行展示。

在一些实施例，为了能够直观的反映图结构，本申请实施例中关联关系采用线条展示，且强弱属性的值采用线条的粗度进行展示，其中，关联关系越强则线条的粗度越大。

如图9所示，为设备1和账号1、账号2之间的关联关系示意图。由于设备1和账号1的关系更强，所以设备1和账号1之间的边比设备1和账号2之间的边更加粗。

当然，展示时、关联关系的强弱还可以采用不同颜色表示。例如关联关系强弱程度被划分出不同的等级，不同等级的强弱关系采用不同颜色展示。这样，在查看同一实体点与其他实体点(这些实体点为同类实体点)之间的关系时，可以直观的了解不同实体点间的关系强度。

当然，展示时，强弱关系还可以基于边的长度来表述，例如边越长表示关系越若，边越短表示关系越强。故此，实施时可以根据实际需求设置表达不同强弱关系的展示效果，均适用于本申请实施例。

在一些实施例中，为了能够便于用户了解不同点的详细信息，本申请实施例中查询结果的展示结果中包括多个点的展示标识，在展示查询结果之后还可以在步骤703中，响应于对任一展示标识的选择操作，在弹窗中展示被选择的展示标识对应的点的描述信息。该描述信息例如可以是实体点及其周围边的详细信息。如图8所述，用户选择设备1这一实体点，则在弹窗中显示设备1的详细信息。当用户关闭弹窗后，返回前一页面。

本申请实施例中，为避免重新绘制查询结果，导致用户在选择某个实体点之后，实体点位置总产生变化，不利于用户了解查看了哪些节点，本申请实施例中，会获取查询结果中每个点的展示位置并存储；然后，在步骤704中，在关闭弹窗后，可按照存储的各个点的展示位置，展示查询结果中的各个点、和具有关联关系的点之间的边。这样，各个点的展示位置就相对固定下来，便于用户了解哪些实体点被查看，也便于选择周围的其他实体点。

在另一些实施例中，展示页面尺寸有限，为了能便于根据用户需求了解不同的实体点，本申请实施例中，可响应于对查询结果的缩放操作，对查询结果的展示页面进行相应的缩放处理。

例如，用户可以滚动鼠标进行缩放操作，可以采用多指手势来执行缩放操作均适用于本申请实施例，这样，展示页面的点就可以随着放大而降低展示密度，使得不同点之间的关系，以及相应的一些数据能够被清楚的查看。随着缩小操作，能够了解整体的关联关系，从宏观上进行分析和查看。

下面以一些网络安全风险分析为例，对本申请实施例提供的网络安全信息的处理和查询方法做进一步说明。

实例1，群控设备的识别

群控设备与正常设备在图结构模型中的表现存在明显的区别。例如图10 所示，为正常设备的图结构模型的示意图。图10中可以看出，通常一个设备会与多个IP具有关联关系，一个设备往往关联少量的用户账号和少量的手机号。例如通常一个设备仅关联一两个用户账号和一两个手机号，并由于设备的移动特性，会在不同IP地址的网段进行登录访问，所以会关联多个IP。

而一个典型的群控设备的图结构模型如图11所示。图11的中心为IP，图 11示出了一个IP关联了非常多的设备和DID。

故此，基于群控设备的特征，可以基于图结构识别出群控设备。

实例2、养号识别

如图12所示，为一个设备养很多账号的图结构模型示意图。在图12中，中心点为设备，该设备关联有非常多的账号。由此，可知这是超乎正常情况的，基于该特征表现，能够识别到哪些设备进行养号操作。

实例3、攻击团伙识别与溯源

以抢红包团伙的识别为例，如图13所示，中心点为设备，该设备关联了一个IP和多个账号(即养号)。该设备在直播间的抢红包行为，该设备所得红包量随时间的变化如图14所示。图14中横坐标表示抢红包时间，纵坐标表示抢红包量，该抢红包量可以是抢红包金额或者抢红包次数。由此，在实施时，针对抢红包场景，可以先通过初步分析筛选出一批可疑的账号，例如(抢红包量较大的多个账号)，然后基于本申请的图结构模型可定位出这批账号满足如图13所示的特征，即这几个账号在同一设备上。亦或者也可以分散在少量的几个设备上，每个设备上有多个账号。且多个账号集中在一个或少量的几个IP 上。那么进一步证明这一批账号为恶意抢红包的一批账号。再进一步分析如图 14所示的该批账号的随时间抢红包量，如果发现如图14所示的峰值，则进一步证明该批账号为抢红包团伙。可以确定这批账号在哪些时间段存在恶意刷红包行为(如图14中圈住的时间段存在恶意刷红包行为)。

针对同一设备具有多个账号的情况，为了能够找到图13中哪些账号是该设备的真实账号，可以基于同一设备和不同账号的关联关系的强弱属性来确定。故此，基于关联关系的强弱属性，能够准确的识别出设备的哪个账号是恶意团伙的真实账号。

基于相同的发明构思，如图15所示，本申请提供一种网络安全信息的处理装置1500，所述装置包括：

数据获取模块1501，被配置为执行获取涉及网络安全的多个指定维度的情报数据；

图构建模块1502，被配置为执行构建以各指定维度的情报数据为点、不同指定维度的点之间的关联关系为边的图结构模型；

其中，在所述图结构模型中，至少一种关联关系的边的属性包括时间属性和/或强弱属性；所述时间属性用于描述关联关系的存续时间、所述强弱属性用于描述关联关系的强弱。

可选的，针对每条具有强弱属性的边，所述边的强弱属性的值与以下信息中的至少一种信息正相关：

所述边的产生次数；

所述边关联的指定操作的操作次数；

所述边关联的所述指定操作的操作时长。

可选的，所述指定维度中包括设备和账号，针对同一设备关联的多个账号，每个账号和所述设备之间的边至少具有所述强弱属性。

可选的，所述时间属性的值包括开始时间和结束时间，针对所述图结构模型中的任意两个具有关联关系的点，所述图构建模块被配置为根据以下方法确定所述两个点之间的边的时间属性：

获取用于指示所述两个点具有关联关系的指示信息，所述指示信息中包括时间点；

将所述指示信息中的最早时间点作为所述开始时间，并将最晚时间点作为所述结束时间；

再次获取到所述指示信息，则采用所述指示信息中的最晚时间点更新所述结束时间。

可选的，在所述图结构模型中，以所述多个指定维度中的目标维度为中心点，构建其他指定维度的点与所述中心点之间的边。

基于相同的发明构思，如图16所示，本申请还提供一种网络安全信息的查询装置1600，所述装置包括：

查询模块1601，被配置为执行基于查询请求，从网络安全信息的图结构模型中获取查询结果；所述图结构模型是以各指定维度的情报数据为点、不同指定维度的点之间的关联关系为边构建的，且所述图结构模型中至少一种边具有时间属性和/或强弱属性，所述时间属性用于描述关联关系的存续时间、所述强弱属性用于描述关联关系的强弱；

展示模块1602，被配置为执行展示所述查询结果。

可选的，若边的属性包括所述时间属性，则所述查询模块具体被配置为执行：基于所述查询请求中的时间条件，从所述图结构模型中获取与所述时间条件匹配的查询结果。

可选的，所述与所述时间条件匹配包括：时间属性指示的时间范围与所述时间条件的时间段具有交集。

可选的，不同强弱属性采用差异化的展示效果进行展示。

可选的，所述查询结果的展示结果中包括多个点的展示标识，所述展示模块还被配置为执行：

响应于对任一展示标识的选择操作，在弹窗中展示被选择的展示标识对应的点的描述信息。

可选的，所述装置还包括：

存储模块，被配置为执行获取所述查询结果中每个点的展示位置并存储；

所述响应于对任一展示标识的选择操作，在弹窗中展示被选择的展示标识对应的点的描述信息之后，所述展示模块还被配置为执行：

响应于针对所述弹窗的关闭操作，关闭所述弹窗；并，

按照存储的各个点的展示位置，展示所述查询结果中的各个点、和具有关联关系的点之间的边。

可选的，所述展示模块还被配置为执行：

响应于对所述查询结果的缩放操作，对所述查询结果的展示页面进行相应的缩放处理。

在介绍了本申请示例性实施方式各方法和装置之后，接下来，介绍根据本申请的另一示例性实施方式的电子设备。

所属技术领域的技术人员能够理解，本申请的各个方面可以实现为系统、方法或程序产品。因此，本申请的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

在一些可能的实施方式中，根据本申请的电子设备可以至少包括至少一个处理器、以及至少一个存储器。其中，存储器存储有程序代码，当程序代码被处理器执行时，使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的网络安全信息的处理和/或查询方法。例如，处理器可以执行如网络安全信息的处理和/或查询方法中的步骤。

下面参照图17来描述根据本申请的这种实施方式的电子设备170。图17 显示的电子设备170仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图17所示，电子设备170以通用电子设备的形式表现。电子设备170 的组件可以包括但不限于：上述至少一个处理器171、上述至少一个存储器172、连接不同系统组件(包括存储器172和处理器171)的总线173。

总线173表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。

存储器172可以包括易失性存储器形式的可读介质，例如随机存取存储器 (RAM)1721和/或高速缓存存储器1722，还可以进一步包括只读存储器(ROM) 1723。

存储器172还可以包括具有一组(至少一个)程序模块1724的程序/实用工具1725，这样的程序模块1724包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

电子设备170也可以与一个或多个外部设备174(例如键盘、指向设备等) 通信，还可与一个或者多个使得用户能与电子设备170交互的设备通信，和/ 或与使得该电子设备170能与一个或多个其它电子设备进行通信的任何设备 (例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O) 接口175进行。并且，电子设备170还可以通过网络适配器176与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网) 通信。如图所示，网络适配器176通过总线173与用于电子设备170的其它模块通信。应当理解，尽管图中未示出，可以结合电子设备170使用其它硬件和 /或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

在示例性实施例中，还提供了一种包括指令的计算机可读存储介质，例如包括指令的存储器172，上述指令可由装置700的处理器171或者装置800的处理器171执行以完成上述多媒体信息编辑方法。可选地，存储介质可以是非临时性计算机可读存储介质，例如，所述非临时性计算机可读存储介质可以是 ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

在示例性实施例中，还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器171执行时实现如本申请提供的网络安全信息的处理和/ 或查询的任一方法。

在示例性实施例中，本申请提供的一种网络安全信息的处理和/或查询方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在计算机设备上运行时，程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的网络安全信息的处理和/或查询方法中的步骤。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器 (CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

本申请的实施方式的用于网络安全信息的处理和/或查询方法的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在电子设备上运行。然而，本申请的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务端上执行。在涉及远程电子设备的情形中，远程电子设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN) —连接到用户电子设备，或者，可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。

应当注意，尽管在上文详细描述中提及了装置的若干单元或子单元，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之，上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。

此外，尽管在附图中以特定顺序描述了本申请方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、 CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/ 或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程图像缩放设备的处理器以产生一个机器，使得通过计算机或其他可编程图像缩放设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程图像缩放设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。