网络安全知识图谱的构建方法、装置、设备及存储介质制造方法及图纸

技术编号：41954094 阅读：6 留言：0更新日期：2024-07-10 16:40

本申请提供一种网络安全知识图谱的构建方法、装置、设备及存储介质。方法包括：获取预设时间段内的多条源数据，源数据包括实体、关系和标签；基于实体之间的从属关系、以及各实体分别对应的唯一标识对实体进行实体知识融合，获得融合后的实体；根据融合后的实体，对关系进行关系知识融合，获得实体关系图谱；基于实体关系图谱，根据标签所关联的实体的唯一标识和实体的融合标识符的映射关系，将标签与知识融合之后的实体和关系相关联，生成网络安全知识图谱。本申请通过定义实体、关系和标签，对实体和关系进行知识融合，并将标签与融合后的实体和关系进行关联生成网络安全知识图谱，提高了网络安全知识图谱构建的准确性。

全部详细技术资料下载

【技术实现步骤摘要】

本申请涉及信息安全，具体而言，涉及一种网络安全知识图谱的构建方法、装置、设备及存储介质。

技术介绍

1、知识图谱是显示知识发展进程与结构关系的一系列各种不同的图形，用可视化技术描述知识资源及其载体，挖掘、分析、构建、绘制和显示知识及它们之间的相互关系。知识图谱通过将应用数学、图形学、信息可视化技术、信息科学等学科的理论与方法与计量学引文分析、共现分析等方法结合，并利用可视化的图谱形象地展示学科的核心结构、发展历史、前沿领域以及整体知识架构达到多学科融合目的的现代理论，为学科研究提供切实的、有价值的参考。

2、网络安全知识图谱用于描述客观网络空间中的概念、实体、事件及其关系，是知识图谱在网络安全领域的应用。现有技术中对网络安全知识图谱的构建大多是基于告警数据，但是有些告警数据并不能划分出三元组信息(源、目的、关系)，从而导致这些告警数据无法映射到网络安全知识图谱中，进而导致网络安全知识图谱构建的不够准确。

技术实现思路

1、本申请实施例的目的在于提供一种网络安全知识图谱的构建方法、装置、设备及存储介质，用以提高网络安全知识图谱构建的准确性。

2、第一方面，本申请实施例提供一种网络安全知识图谱的构建方法，包括：

3、获取预设时间段内的多条源数据，源数据包括实体、关系和标签；源数据为对安全设备产生的安全数据进行数据抽取获得；关系包括实体之间的从属关系；

4、基于实体之间的从属关系、以及各实体分别对应的唯一标识对所述实体进行实体知识融合，获得

5、根据融合后的实体，对关系进行关系知识融合，获得实体关系图谱；

6、基于实体关系图谱，根据标签所关联的实体的唯一标识和实体的融合标识符的映射关系，将标签与知识融合之后的实体和关系相关联，生成网络安全知识图谱。

7、本申请实施例通过定义实体、关系和标签，对实体和关系进行知识融合，并将标签与融合后的实体和关系进行关联生成网络安全知识图谱，解决了安全告警显示的信息片面而难以映射到知识图谱的问题，提高了网络安全知识图谱构建的准确性。

8、在任一实施例中，实体、所述关系和所述标签定义有类型；所述实体的类型所述的领域包括系统领域、网络领域和安全领域中至少一项。

9、在任一实施例中，所述系统实体包括主机、进程、文件、邮件、邮箱、注册表项、注册表值和账户；所述网络实体包括域名、ip地址、端口和命令管道；所述安全实体包括漏洞。

10、本申请实施例通过预先定义实体的类型，便于对安全设备产生的数据进行数据抽取。

11、在任一实施例中，关系的类型还包括行为关系；行为关系包括加载驱动、影响、进程访问、进程注入、创建、更新、删除、调用、监听、设置、网络连接、重命名、接收邮件、发送邮件、远程登录、查询域名、拥有域名和邮件附件中的多种。

12、本申请实施例通过预先定义关系的类型，便于从安全设备产生的数据中抽取对应的关系。

13、在任一实施例中，标签包括可疑的、dns服务器、fpt服务器、web服务器和恶意的中的多种。

14、本申请实施例通过对预先定义标签的类型，实现告警数据到知识图谱的映射，解决了告警信息不一定能拆分出三元组的问题。

15、在任一实施例中，基于实体之间的从属关系、以及各实体分别对应的唯一标识对所述实体进行实体知识融合，获得融合后的实体，包括：

16、根据实体之间的从属关系确定实体知识融合的融合顺序；

17、基于融合顺序，根据各实体分别对应的唯一标识依次对实体进行知识融合，获得融合后的实体。

18、本申请实施例中，由于部分实体之间存在从属关系，因此有的实体在进行实体知识融合时，需要依赖其从属的实体融合后的数据，因此，在进行实体知识融合时，可基于一定的融合顺序进行融合，提高了融合的成功率。

19、在任一实施例中，实体的类型为主机；根据各实体分别对应的唯一标识依次对实体进行知识融合，包括：

20、将主机名称相同的主机实体的数据划分为一个组；

21、针对同一组的数据，对数据中的每个字段进行融合，获得融合后的数据，基于融合后的数据生成主机实体对应的融合标识符。

22、本申请实施例通过先对主机进行知识融合，一方面降低了知识图谱中实体的冗余情况，另一方面，使得融合后的主机具备更全面的属性信息。

23、在任一实施例中，实体的类型为ip地址；根据各实体分别对应的唯一标识依次对实体进行知识融合，包括：

24、基于动态主机配置dhcp记录表获得ip地址与mac地址的关联表；

25、将ip地址对应的主机与mac地址对应的主机进行匹配，若匹配成功，则利用mac地址对主机进行融合，获得主机对应的融合标识符；

26、将ip地址对应的主机的唯一标识替换为融合标识符，并根据ip地址和主机对应的唯一标识生成ip融合后的唯一标识。

27、本申请实施例中，在完成实体知识融合后，并可对ip地址进行知识融合，一方面降低了知识图谱中实体的冗余情况，另一方面，使得融合后的ip地址具备更全面的属性信息。

28、在任一实施例中，实体的类型为端口；根据各实体分别对应的唯一标识依次对实体进行知识融合，包括：

29、查询端口对应的ip融合后的唯一标识，并利用ip融合后的唯一标识替换端口对应的ip地址的唯一标识；

30、根据ip融合后的唯一标识和端口对应的端口号对端口的数据进行分组，并按照分组对端口的数据进行融合，获得融合后的端口数据。

31、本申请实施例在完成ip地址的融合后，便可对端口进行知识融合，使得相同ip融合后的唯一标识和端口号的数据融合成一个端口。

32、在任一实施例中，实体的类型包括文件、注册表项、进程、账户和命名管道中的至少一种；根据各实体分别对应的唯一标识依次对实体进行知识融合，包括：

33、获取实体对应的主机的融合后的唯一标识；

34、将实体对应的主机的唯一标识替换为融合后的唯一标识；

35、基于融合后的唯一标识对实体数据进行分组，并基于分组进行知识融合。

36、本申请实施例在完成对实体的知识融合后，可以文件、注册表项、进程、账户和命名管道中的至少一种进行知识融合，从而降低了生成的实体关系图谱中的实体的冗余程度。

37、在任一实施例中，实体的类型为邮箱或邮件；根据各实体分别对应的唯一标识依次对实体进行知识融合，包括：

38、利用实体对应的预设字段对实体数据进行分组，并基于分组进行知识融合。

39、本申请实施例中，邮箱和邮件与主机不存在从属关系，因此，对其知识融合的顺序可以在主机知识融合之前或之后，也可以与主机并行进行知识融合，从而降低了生成的实体关系图谱中的实体的冗余程度。

40、在任一实施例中，根据所述融合后的实体，本文档来自技高网...

【技术保护点】

1.一种网络安全知识图谱的构建方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述实体、所述关系和所述标签定义有类型；所述实体的类型所属的领域包括系统领域、网络领域和安全领域中至少一项。

3.根据权利要求2所述的方法，其特征在于，所述系统领域包括主机、进程、文件、邮件、邮箱、注册表项、注册表值和账户；所述网络领域包括域名、IP地址、端口和命令管道；所述安全领域包括漏洞。

4.根据权利要求1所述的方法，其特征在于，所述关系还包括行为关系；所述行为关系包括加载驱动、影响、进程访问、进程注入、创建、更新、删除、调用、监听、设置、网络连接、重命名、接收邮件、发送邮件、远程登录、查询域名、拥有域名和邮件附件中的多种。

5.根据权利要求1所述的方法，其特征在于，所述标签包括可疑、DNS服务器、FPT服务器、WEB服务器和恶意中的多种。

6.根据权利要求2所述的方法，其特征在于，所述基于实体之间的从属关系、以及各实体分别对应的唯一标识对所述实体进行实体知识融合，获得融合后的实体，包括：

7.根据权利要求

8.根据权利要求7所述的方法，其特征在于，所述实体的类型为IP地址；所述根据各实体分别对应的唯一标识依次对所述实体进行知识融合，包括：

9.根据权利要求8所述的方法，其特征在于，所述实体的类型为端口；所述根据各实体分别对应的唯一标识依次对所述实体进行知识融合，包括：

10.根据权利要求7所述的方法，其特征在于，所述实体的类型包括文件、注册表项、进程、账户和命名管道中的至少一种；所述根据各实体分别对应的唯一标识依次对所述实体进行知识融合，包括：

11.根据权利要求6所述的方法，其特征在于，所述实体的类型为邮箱或邮件；所述根据各实体分别对应的唯一标识依次对所述实体进行知识融合，包括：

12.根据权利要求4所述的方法，其特征在于，所述根据所述融合后的实体，对所述关系进行关系知识融合，包括：

13.根据权利要求1-11任一项所述的方法，其特征在于，所述方法还包括：

14.一种事件溯源方法，其特征在于，包括：

15.一种网络安全知识图谱的构建装置，其特征在于，包括：

16.一种电子设备，其特征在于，包括：处理器、存储器和总线，其中，

17.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令被计算机运行时，使所述计算机执行如权利要求1-14任一项所述的方法。

18.一种计算机程序产品，其特征在于，包括计算机程序指令，所述计算机程序指令被处理器读取并运行时，执行如权利要求1-14任一项所述的方法。

...

【技术特征摘要】

1.一种网络安全知识图谱的构建方法，其特征在于，包括：

3.根据权利要求2所述的方法，其特征在于，所述系统领域包括主机、进程、文件、邮件、邮箱、注册表项、注册表值和账户；所述网络领域包括域名、ip地址、端口和命令管道；所述安全领域包括漏洞。

5.根据权利要求1所述的方法，其特征在于，所述标签包括可疑、dns服务器、fpt服务器、web服务器和恶意中的多种。

7.根据权利要求6所述的方法，其特征在于，所述实体的类型为主机；所述根据各实体分别对应的唯一标识依次对所述实体进行知识融合，包括：

8.根据权利要求7所述的方法，其特征在于，所述实体的类型为ip地址；所述根据各实体分别对应的唯一标识依次对所述实体进行知识融合...

【专利技术属性】
技术研发人员：李昌茂，杨莹，李豪，向仲焜，熊健，陈超一，陈湘灵，蒋青峰，
申请(专利权)人：奇安信网神信息技术北京股份有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人