基于自然语言交互的网络安全运营数据查询方法及装置制造方法及图纸

本发明专利技术属于网络安全技术领域，提供了一种基于自然语言交互的网络安全运营数据查询方法及装置。其中，该方法包括获取多源异构网络安全数据，并将其解析清洗为资产实体信息和资产行为信息，进而构造出网络安全运营基础数据库；根据网络安全运营基础数据库中预先设置的资产实体信息索引、资产行为信息索引以及资产实体标识数据集，构造出SQL要素分类模型；根据SQL要素分类模型，对接收到的网络安全知识查询问题自下而上解析翻译为SQL查询语句；将SQL查询语句解析成抽象语法树，进而映射为API查询，在安全运营基础数据库上执行所述API查询，并依据返回类型展示对应查询结果。并依据返回类型展示对应查询结果。并依据返回类型展示对应查询结果。

【技术实现步骤摘要】
基于自然语言交互的网络安全运营数据查询方法及装置


[0001]本专利技术属于网络安全
，尤其涉及一种基于自然语言交互的网络安全运营数据查询方法及装置。

技术介绍

[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息，不必然构成在先技术。
[0003]在网络安全技术方面，网络安全运营系统采集存储了资产、流量、行为日志等大量的结构化网络安全数据，从大量的网络安全数据快速查询分析出有价值信息是提高网络安全运营效率的重要指标。目前，若想要访问结构化网络安全数据，只能通过网络安全运营系统根据接入数据变化不断开发足够多的查询接口和界面，或者要求安全运营人员学会使用SQL来查询数据库。
[0004]在网络安全大数据采集存储方面，现有技术利用Hive等海量结构化数据存储方案，可以通过宽表机制存储上百列、数百亿的记录数，并能高效的执行SQL分布式查询；然而专利技术人发现，在网络安全运营系统人机交互方面，只有搜索引擎式交互，适合通过具体文本线索做全文检索式查询，复杂运营场景则需要运营人员对数据编写SQL语句来查询分析，故对大量结构化信息仍然缺少好的交互机制。

技术实现思路

[0005]为了解决上述
技术介绍
中存在的技术问题，本专利技术提供一种基于自然语言交互的网络安全运营数据查询方法及装置，其能够通过自然语言交互来查询网络运营数据，大幅降低安全运营系统的多源数据查询使用难度。
[0006]为了实现上述目的，本专利技术采用如下技术方案：
[0007]本专利技术的第一个方面提供一种基于自然语言交互的网络安全运营数据查询方法，其包括：
[0008]获取多源异构网络安全数据，并将其解析清洗为资产实体信息和资产行为信息，进而构造出网络安全运营基础数据库；
[0009]根据网络安全运营基础数据库中预先设置的资产实体信息索引、资产行为信息索引以及资产实体标识数据集，构造出SQL要素分类模型；
[0010]根据SQL要素分类模型，对接收到的网络安全知识查询问题自下而上解析翻译为SQL查询语句；
[0011]将SQL查询语句解析成抽象语法树，进而映射为API查询，在安全运营基础数据库上执行所述API查询，并依据返回类型展示对应查询结果。
[0012]本专利技术的第二个方面提供一种基于自然语言交互的网络安全运营数据查询装置，其包括：
[0013]基础数据库构建模块，其用于获取多源异构网络安全数据，并将其解析清洗为资
产实体信息和资产行为信息，进而构造出网络安全运营基础数据库；
[0014]要素分类模型构造模块，其用于根据网络安全运营基础数据库中预先设置的资产实体信息索引、资产行为信息索引以及资产实体标识数据集，构造出SQL要素分类模型；
[0015]查询问题解析翻译模块，其用于根据SQL要素分类模型，对接收到的网络安全知识查询问题自下而上解析翻译为SQL查询语句；
[0016]查询执行及结果展示模块，其用于将SQL查询语句解析成抽象语法树，进而映射为API查询，在安全运营基础数据库上执行所述API查询，并依据返回类型展示对应查询结果。
[0017]本专利技术的第三个方面提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述所述的基于自然语言交互的网络安全运营数据查询方法中的步骤。
[0018]本专利技术的第四个方面提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述所述的基于自然语言交互的网络安全运营数据查询方法中的步骤。
[0019]与现有技术相比，本专利技术的有益效果是：
[0020](1)本专利技术根据SQL要素分类模型，对接收到的网络安全知识查询问题自下而上解析翻译为SQL查询语句，将SQL查询语句解析成抽象语法树，进而映射为API查询，在安全运营基础数据库上执行所述API查询，并依据返回类型展示对应查询结果，从而实现了通过自然语言交互来查询网络运营数据，大幅降低了安全运营系统的多源数据查询使用难度。
[0021](2)本专利技术根据网络安全运营基础数据库中预先设置的资产实体信息索引、资产行为信息索引以及资产实体标识数据集，构造出SQL要素分类模型，使得查询翻译的SQL识别度更加精准和高效。
[0022]本专利技术附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术的实践了解到。
附图说明
[0023]构成本专利技术的一部分的说明书附图用来提供对本专利技术的进一步理解，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。
[0024]图1是本专利技术实施例的基于自然语言交互的网络安全运营数据查询方法流程图；
[0025]图2是本专利技术实施例的基于自然语言交互的网络安全运营数据查询装置结构示意图。
具体实施方式
[0026]下面结合附图与实施例对本专利技术作进一步说明。
[0027]应该指出，以下详细说明都是例示性的，旨在对本专利技术提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本专利技术所属
的普通技术人员通常理解的相同含义。
[0028]需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本专利技术的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包
括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
[0029]实施例一
[0030]参照图1，本实施例提供了一种基于自然语言交互的网络安全运营数据查询方法，其具体包括如下步骤：
[0031]S101：获取多源异构网络安全数据，并将其解析清洗为资产实体信息和资产行为信息，进而构造出网络安全运营基础数据库。
[0032]在具体实施中所述多源异构网络安全数据包括网络中的软硬件设备资产信息和网络流量信息、网络设备和安全设备的日志信息。
[0033]需要说明的是，在一个或多个实施例中，可利用ElasticSearch作为数据载体进行存储多源异构网络安全数据。
[0034]例如：对网络中的软硬件设备资产信息进行采集汇总清洗，按照网络安全要素构造主机类(用户终端和服务器)、网络类(网络设备和安全设备)、人员、应用和数据(文件数据)等实体类型，构造资产实体索引表T_Asset。
[0035]主机类字段包括ip(IP地址)、host_name(主机名)、type(主机类型，枚举：1用户终端，2服务器)、model(型号)、username(使用人)、deptname(使用部门)、reg_time(入网时间)、last_online_time(最后上线时间)等。
[0036]网络类字段包括ip(IP地址)、devtype(设备类型，枚举：1交换机，2路由器，3防火墙，4入侵检测系统)、area(物理位置)等本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于自然语言交互的网络安全运营数据查询方法，其特征在于，包括：获取多源异构网络安全数据，并将其解析清洗为资产实体信息和资产行为信息，进而构造出网络安全运营基础数据库；根据网络安全运营基础数据库中预先设置的资产实体信息索引、资产行为信息索引以及资产实体标识数据集，构造出SQL要素分类模型；根据SQL要素分类模型，对接收到的网络安全知识查询问题自下而上解析翻译为SQL查询语句；将SQL查询语句解析成抽象语法树，进而映射为API查询，在安全运营基础数据库上执行所述API查询，并依据返回类型展示对应查询结果。2.如权利要求1所述的基于自然语言交互的网络安全运营数据查询方法，其特征在于，构造SQL要素分类模型的过程为：根据网络安全运营基础数据库中预先设置的资产实体信息索引、资产行为信息索引及其对应信息，构造<key，value>样本集；将<字段中文名，字段英文名>、<枚举描述文本，枚举值>、<标识字段的所有值，标识字段>以及<SQL语法要素描述，SQL语法要素值>加入<key，value>样本集，构造出SQL要素分类模型。3.如权利要求1所述的基于自然语言交互的网络安全运营数据查询方法，其特征在于，根据SQL要素分类模型，并结合CYK算法将对接收到的网络安全知识查询问题进行自下而上解析翻译为SQL语句。4.如权利要求1所述的基于自然语言交互的网络安全运营数据查询方法，其特征在于，所述多源异构网络安全数据包括网络中的软硬件设备资产信息和网络流量信息、网络设备和安全设备的日志信息。5.如权利要求4所述的基于自然语言交互的网络安全运营数据查询方法，其特征在于，通过网络流量镜像采集协议获取网络中的软硬件设备资产信息和网络流量信息。6.如权利要求4所述的基于自然语言交互的网络安全运营数据查询方法，其特征在于，通过日志协议获取网络设备和安全设备的日志信息。7.一种基于自然语言交互的网络安全运营数据查询装置，其特征在于...

【专利技术属性】
技术研发人员：郑传义，苗功勋，孙强，曲志峰，徐国龙，
申请(专利权)人：中孚安全技术有限公司，
类型：发明
国别省市：