CN111611410B - 基于多层网络空间知识表示的知识处理方法和装置 - Google Patents
基于多层网络空间知识表示的知识处理方法和装置 Download PDFInfo
- Publication number
- CN111611410B CN111611410B CN202010577901.2A CN202010577901A CN111611410B CN 111611410 B CN111611410 B CN 111611410B CN 202010577901 A CN202010577901 A CN 202010577901A CN 111611410 B CN111611410 B CN 111611410B
- Authority
- CN
- China
- Prior art keywords
- layer
- knowledge
- knowledge representation
- network
- constructing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 13
- 238000000034 method Methods 0.000 claims abstract description 52
- 238000012545 processing Methods 0.000 claims abstract description 44
- 230000015654 memory Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 13
- 239000013598 vector Substances 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 8
- 238000010276 construction Methods 0.000 claims description 4
- 238000012549 training Methods 0.000 claims description 4
- 230000003993 interaction Effects 0.000 abstract description 12
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 230000036962 time dependent Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 241000282414 Homo sapiens Species 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000011478 gradient descent method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Health & Medical Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请涉及一种基于多层网络空间知识表示的知识处理方法和装置。所述方法包括:构建自上而下多层结构的多层网络空间知识表示;多层结构自上而下包括:宏观层、实施层、属性层、资源层和关系层;针对每个多层结构,根据对应学科领域知识,提取多层结构对应的本体,以及本体之间的空间关系;构建针对多层网络空间知识表示的六元组知识表示;六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子;根据六元组知识表示对所述多层网络空间知识表示进行知识处理。采用本方法能够满足全面表示网络空间跨域要素之间的多路径交互以及复杂关联关系。
Description
技术领域
本申请涉及知识图谱技术领域,特别是涉及一种基于多层网络空间知识表示的知识处理方法和装置。
背景技术
伴随着网络信息技术的快速发展,网络空间已成为人类创造并发展的一个新的生存空间,世界各国都意识到网络空间领土的重要战略意义,称其为继“陆、海、空、天”之后的第五个战略空间。维护网络空间主权、守护网络空间要地的关键在于对网络空间的基本要素和动态规律进行透彻感知,同时挖掘蕴藏在其中的关键信息并预测其变化规律。然而,网络空间是一个具有异构、动态、多维特点的复杂巨系统,在不同层面、时空角度和粒度上表现出极其复杂的特征属性,对网络空间要素进行统一化建模是认识网络空间前提。
知识表示就是对知识的一种描述,或者说是对知识的一组约定,一种计算机可以接受的用于描述知识的数据结构。网络空间本身就是由多个节点组成的,每一个计算设备和网络设备连接在一起形成完整的网络,大到互联网,小到局域网都刚好符合语义网的本质特征,即多关系有向图。所以网络空间是可以基于语义网进行知识表达,即用包含节点和边的图的形式描述网络空间。针对网络空间知识表达的特点,使用恰当的方法对网络空间中的实体、属性、关系等信息进行形式化描述,充分利用网络空间多源异构数据,针对应用场景构建恰当的本体模型以及考虑复杂推理模式的知识表示学习成为近年网络空间知识表示的研究热点。
网络空间的活动并不总是合作的,非合作条件下的对抗行为在互联网诞生之初持续至今。竞争对手采用各种方法来收集和获取数据,并根据任务和目的来理解和组织数据,造成了数据的多源性和异构性,造成了知识理解和重用的障碍。考虑复杂推理模式的知识表示学习,针对传统知识表示和推理方法在描述不确定性和经验时存在的缺陷,将模糊推理和知识表示相结合,将模糊因素应用于模糊知识的描述中,对模糊知识进行定量详细的描述。
综上所述,目前针对网络空间的知识知识表达,多围绕网络空间的特点,在对有关网络概念、属性、实体和关系进行形式化描述的基础上,提出框架结合数据源分析,充分利用多源异构的数据,构建综合的网络空间本体,以完成对网络空间的知识表示、推理及发现。再结合可能性描述逻辑公理、来自真值空间的模糊值等方法提高这些知识表示机制的表达能力来表示不确定性和模糊性。然而,上述方法无法满足全面表示网络空间跨域要素之间的多路径交互以及复杂关联关系。
发明内容
基于此,有必要针对上述技术问题,提供一种能够满足全面表示网络空间跨域要素之间的多路径交互以及复杂关联关系的基于多层网络空间知识表示的知识处理方法和装置。
一种基于多层网络空间知识表示的知识处理方法,所述方法包括:
构建自上而下多层结构的多层网络空间知识表示;所述多层结构自上而下包括:宏观层、实施层、属性层、资源层和关系层;
针对每个所述多层结构,根据对应学科领域知识,提取所述多层结构对应的本体,以及所述本体之间的空间关系;
构建针对所述多层网络空间知识表示的六元组知识表示;所述六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子;
根据所述六元组知识表示对所述多层网络空间知识表示进行知识处理。
在其中一个实施例中,还包括:根据STIX2.0结构化表达,构建包含战役、事件、攻击指标三个本体的宏观层;根据网络攻击过程知识,构建包括网络攻击者、攻击方法、工具、弱点,攻击目标、攻击影响、应对措施七个本体的实施层;根据所述实施层中包含的本体的属性,构建属性层;根据预先设置的结构化数据源和非结构化数据源,得到数据源本体,根据所述数据源本体构建资源层;通过提取所述实施层、属性层、资源层中本体之间的关系,得到关系本体,根据所述关系本体,构建关系层。
在其中一个实施例中,还包括:构建针对所述多层网络空间知识表示的六元组知识表示为:
<S,P,O,T,L,Op>
其中,S、P、O分别为多层网络空间知识表示中网络空间要素中的头实体、关系和尾实体;T表示时间概念;L表示空间概念;OP表示处理算子。
在其中一个实施例中,还包括:根据所述六元组知识表示,提取多个按照时序排列的三元组序列;将所述三元组序列输入预先训练的TransR模型,得到所述三元组序列的向量表示;将所述三元组序列的向量表示输入预先训练的LSTM网络,得到包含语意信息的序列化三元组,或者所述三元组序列对应的得分函数;所述得分函数用于判断所述三元组序列成立的概率。
在其中一个实施例中,还包括:预先将所述TransR模型和LSTM网络采用随机梯度下降方式进行联合训练。
一种基于多层网络空间知识表示的知识处理装置,所述装置包括:
网络构建模块,用于构建自上而下多层结构的多层网络空间知识表示;所述多层结构自上而下包括:宏观层、实施层、属性层、资源层和关系层;
要素确定模块,用于针对每个所述多层结构,根据对应学科领域知识,提取所述多层结构对应的本体,以及所述本体之间的空间关系;
知识表示模块,用于构建针对所述多层网络空间知识表示的六元组知识表示;所述六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子;
知识处理模块,用于根据所述六元组知识表示对所述多层网络空间知识表示进行知识处理。
在其中一个实施例中,所述要素确定模块还用于根据STIX2.0结构化表达,构建包含战役、事件、攻击指标三个本体的宏观层;根据网络攻击过程知识,构建包括网络攻击者、攻击方法、工具、弱点,攻击目标、攻击影响、应对措施七个本体的实施层;根据所述实施层中包含的本体的属性,构建属性层;根据预先设置的结构化数据源和非结构化数据源,得到数据源本体,根据所述数据源本体构建资源层;通过提取所述实施层、属性层、资源层中本体之间的关系,得到关系本体,根据所述关系本体,构建关系层。
在其中一个实施例中,所述知识表示模块还用于构建针对所述多层网络空间知识表示的六元组知识表示为:
<S,P,O,T,L,Op>
其中,S、P、O分别为多层网络空间知识表示中网络空间要素中的头实体、关系和尾实体;T表示时间概念;L表示空间概念;OP表示处理算子。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
构建自上而下多层结构的多层网络空间知识表示;所述多层结构自上而下包括:宏观层、实施层、属性层、资源层和关系层;
针对每个所述多层结构,根据对应学科领域知识,提取所述多层结构对应的本体,以及所述本体之间的空间关系;
构建针对所述多层网络空间知识表示的六元组知识表示;所述六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子;
根据所述六元组知识表示对所述多层网络空间知识表示进行知识处理。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
构建自上而下多层结构的多层网络空间知识表示;所述多层结构自上而下包括:宏观层、实施层、属性层、资源层和关系层;
针对每个所述多层结构,根据对应学科领域知识,提取所述多层结构对应的本体,以及所述本体之间的空间关系;
构建针对所述多层网络空间知识表示的六元组知识表示;所述六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子;
根据所述六元组知识表示对所述多层网络空间知识表示进行知识处理。
上述基于多层网络空间知识表示的知识处理方法、装置、计算机设备和存储介质,在结构上,通过构建宏观层、实施层、属性层、资源层和关系层六个层,从而宏观到微观,标准步骤到丰富的数据来源,提出了一种基于多层结构的网络空间知识表示模型,使得所构建的网络空间知识图谱既能够支持决策者和分析人员高效使用,又能够满足知识图谱的动态可拓展性,从而满足全面表示网络空间跨域要素之间的多路径交互以及复杂关联关系。针对每个多层结构,根据对应学科领域知识,提取多层结构对应的本体,以及本体之间的空间关系,从而完善网络空间知识表示模型,构建针对多层网络空间知识表示的六元组知识表示,六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子,从而解决传统三元组无法表达出多层网络空间知识表示中的关键信息。根据六元组知识表示对多层网络空间知识表示进行知识处理,从而满足全面表示网络空间跨域要素之间的多路径交互以及复杂关联关系。
附图说明
图1为一个实施例中基于多层网络空间知识表示的知识处理方法的流程示意图;
图2为一个实施例多层网络空间知识表示的示意图;
图3为一个实施例中知识处理步骤的流程示意图;
图4为一个实施例中基于多层网络空间知识表示的知识处理装置的结构框图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图所示,提供了一种基于多层网络空间知识表示的知识处理方法,包括以下步骤:
步骤102,构建自上而下多层结构的多层网络空间知识表示。
如图2所示,多层结构自上而下包括:宏观层、实施层、属性层、资源层和关系层。
步骤104,针对每个多层结构,根据对应学科领域知识,提取多层结构对应的本体,以及所述本体之间的空间关系。
由于网络空间涉及多个领域的知识,因此,学科领域知识是跨领域的,从而提取每层对应的本体,根据网络空间的攻击过程,可以提取出本体之间随着时间演进的关系,从而准确的进行知识表达。
步骤106,构建针对多层网络空间知识表示的六元组知识表示。
六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子。
在多层网络空间知识表示基础上,进一步考虑网络空间的时空演变特性,提出了网络空间时空的知识表示与计算。对于空间概念,首先需要定义网络空间坐标系的基本概念,然后定义位置等基本概念;时间关系的推理可基于时序关系推理规则来实现;针对空间关系的推理,首先需要定义网络空间坐标的算子,在此基础上定义对空间关系推理规则。具体的,时间概念和空间概念可以采用对应的算子进行嵌入计算。
处理算子是针对整个多层网络空间知识表示中空间知识要素处理的算子,一般可以是对时序数据进行处理的机器学习模型,例如:kNN、GNN、LSTM等网络。
步骤108,根据六元组知识表示对多层网络空间知识表示进行知识处理。
上述基于多层网络空间知识表示的知识处理方法中,在结构上,通过构建宏观层、实施层、属性层、资源层和关系层六个层,从而宏观到微观,标准步骤到丰富的数据来源,提出了一种基于多层结构的网络空间知识表示模型,使得所构建的网络空间知识图谱既能够支持决策者和分析人员高效使用,又能够满足知识图谱的动态可拓展性,从而满足全面表示网络空间跨域要素之间的多路径交互以及复杂关联关系。针对每个多层结构,根据对应学科领域知识,提取多层结构对应的本体,以及本体之间的空间关系,从而完善网络空间知识表示模型,构建针对多层网络空间知识表示的六元组知识表示,六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子,从而解决传统三元组无法表达出多层网络空间知识表示中的关键信息。根据六元组知识表示对多层网络空间知识表示进行知识处理,从而满足全面表示网络空间跨域要素之间的多路径交互以及复杂关联关系。
网络空间跨域复杂交互的要素概念体系能够涵盖网络空间数据多模态与海量零碎、网络空间要素跨域与高维度、网络空间要素复杂关联、网络空间要素时空感知的网络空间4性特点,具体表现如下:
(1)网络空间数据多模态与海量零碎的特性
网络空间中蕴含着大规模不同模态的数据,如网络流量数据的数据包格式、软硬件配置数据的半结构化格式、漏洞数据的结构化描述、开源安全报告的非结构化文本格式等,网络空间跨域复杂交互的要素概念体系能够将多模态、海量零碎的网络空间数据进行统一化知识表示,在一个要素概念体系框架内表达多模态的网络空间复杂数据。
(2)网络空间要素跨域与高维度的特性
网络空间包含的要素维度高,在物理域包含物理设备、设备配置、设备漏洞等要素;在逻辑域包含逻辑软件、数据流、软件配置、漏洞、弱点等要素;在社会域包含用户、用户行为、业务应用、攻击模式、战技、战术等要素;且要素规模巨大,网络空间跨域复杂交互的要素概念体系能够对跨域、高维度的网络空间要素进行统一知识化建模描述。
(3)网络空间要素复杂关联的特性
网络空间的要素在相同域、不同域之间具备复杂的关联关系,比如在物理域,设备型号与配置具备关联关系;在逻辑域,软件型号及版本与漏洞具备关联关系;在社会域,用户与业务应用具备关联关系;在物理域和逻辑域,物理设备会承载软件型号;在逻辑域和社会域,攻击模式会利用弱点;等等。这种复杂的关联使得要素关系呈现指数规模的增长,网络空间跨域复杂交互的要素概念体系能够对规模庞大、复杂的关联关系进行统一化知识建模。
(4)网络空间要素时空感知的特性
网络空间的跨域特点使得不能够利用传统的二维空间的坐标系来衡量实体间的关系、以及实体自身的演化关系,网络空间跨域复杂交互的要素概念体系能够在网络空间知识表达模型中融入时空要素、以及时空的计算算子。
基于上述4个特性,构建多层网络空间知识表示的步骤包括:根据STIX2.0结构化表达,构建包含战役、事件、攻击指标三个本体的宏观层,根据网络攻击过程知识,构建包括网络攻击者、攻击方法、工具、弱点,攻击目标、攻击影响、应对措施七个本体的实施层;根据实施层中包含的本体的属性,构建属性层;根据预先设置的结构化数据源和非结构化数据源,得到数据源本体,根据数据源本体构建资源层;通过提取所述实施层、属性层、资源层中本体之间的关系,得到关系本体,根据关系本体,构建关系层。
具体的,宏观层用以支撑决策者快速的理解网络攻击过程,以便从战略全局出发做出相应的决策。实施层是根据网络攻击的实施过程建立的。属性层包含攻击者或者攻击目标的属性(人、组织、地缘政治实体等),攻击过程用到的方法(策略、技术、过程、漏洞、软件等),硬件等方面的,并基于此构建对应的属性层本体。以上本体都需要有明确数据来源,数据源既要支持已有知识图谱的完整结构框架,又能够通过知识图谱拓展的灵活性的需求,因此,需要对数据源构建本体模型。数据源本体模型,包含结构化数据源(STIX、CAPEC、CVE、CWE等),非结构化数据源本体(Report、Blog、Cyber threat intelligence等),数据源本体共同构成第四层——资源层(Resource Layer)。其中,结构化数据部分用以形成网络安全知识图谱的基础结构框架,非结构化的数据源用以支撑知识图谱的拓展需求,通过信息抽取技术手段,对网络安全知识图谱进行丰富和拓展。关系层(Relation Layer),本体之间存在相应的关系,比如攻击者与攻击目标之间的关系“攻击(Attack)”、漏洞与CVE之间的关系是“源自(data from)”等,与此同时,各层内部的本体之间也存在一定的关系,关系层的本体一方面通过已有的结构化数据定义,另一方面通过信息抽取的手段从非结构化网络安全领域知识中抽取。
在其中一个实施例中,构建针对所述多层网络空间知识表示的六元组知识表示为:
<S,P,O,T,L,Op>
其中,S、P、O分别为多层网络空间知识表示中网络空间要素中的头实体、关系和尾实体;T表示时间概念;L表示空间概念;OP表示处理算子。
在另一个实施例中,根据六元组知识表示,提取多个按照时序排列的三元组序列;将三元组序列输入预先训练的TransR模型,得到三元组序列的向量表示;将三元组序列的向量表示输入预先训练的LSTM网络,得到包含语意信息的序列化三元组,或者三元组序列对应的得分函数;得分函数用于判断所述三元组序列成立的概率。
具体的,以网络攻击中的战技术过程(TTPs,Tactics,Techniques andProcedures)为例进行说明,TTPs技术具有时间依赖特性,这些时间依赖特性不仅是网络空间内一般的规则性体现,也是现实世界中TTPs在时间上一贯出现的方式。知识推演基于知识图谱来表示演绎推理,把推理表现为一系列符号与符号之间的变形,如同数学演算的符号变形。知识图谱内容本身是网络空间中知识和事实的逻辑抽象,而知识与知识之间的逻辑关系则是TTPs间内在规律的反映。虽然在实际的攻击过程中,TTPs的战术可能会出现在几个步骤上循环使用的情况,但其内部遵循一定的时间依赖关系。知识图谱的时间依赖关系可以简单的理解为先后发生关系,比如一个人P,在知识图谱中往往存在如下默认的时序关系:
(P,wasBornIn,)→(P,graduateFrom,)→(P,workAt,)→(P,diedIn,)
根据我们的常识很容易判断出,wasBornIn的事实一定发生在其余之前,而graduateFrom也通常发生在workAt之前,假使P已经存在了事实(P,diedIn,),那么不可能在推断出(P,workAt,)这样的知识。同样,在知识图谱描述的TTPs中,也存在很强的时间依赖关系,例如,所有的战术都要以初始访问为前提,因为只有获得对手网络的初始访问之后,其余战术才可以继续进行。
网络空间TTPs时序推理存在很大的困难,这是因为在实际的网络中,对手可能不会完全按照战术的顺序依次进行。对手根据其战略需求,可能在不同战术之间循环使用或间断跳跃,例如,其可能在提升权限后,发现被入侵的计算机中已经存在想要获取的数据,那么其战术可能直接从提升权限跳跃到收集数据;同样,对手在横向移动后,收集目标信息,发现该计算机并不存在有价值的信息,其可能会在该计算机上再次实施横向移动的战术,再次侦察下一跳计算机上的系统环境,这样不断地循环使用,中间可能还会穿插着其他TTPs,比如防御规避等。
刻画这种TTPs的技术难点体现在网络空间知识的时序特性、异构特性等,针对网络空间知识图谱的时空特点,进一步提出了基于长短期记忆网络LSTM的TTPs时间依赖知识的推演,是一种可以学习长期依赖信息的神经网络,其输入的数据是带有序列性质的数据向量。在时序知识通过TransR进行向量化后,输出为具有以下两个特点的三元组向量:1)保留原有语义信息;2)按照时序排列,具有时序信息。因此将TransR表示后的三元组向量输入LSTM中,不仅保持了原有的语义,同时也具有LSTM输入时的时序特征。经过TransR后的语义三元组与LSTM的叠加增强作用,记忆单元可以利用序列中的历史信息,从而能够充分且准确地挖掘序列间的依赖信息。该方法的技术流程如图3所示。
在另一个实施例中,可以预先将所述TransR模型和LSTM网络采用随机梯度下降方式进行联合训练。从而可以解决单独训练时产生误差累积的问题。
应该理解的是,虽然图1的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图4所示,提供了一种基于多层网络空间知识表示的知识处理装置,包括:网络构建模块402、要素确定模块404、知识表示模块406和知识处理模块408,其中:
网络构建模块402,用于构建自上而下多层结构的多层网络空间知识表示;所述多层结构自上而下包括:宏观层、实施层、属性层、资源层和关系层;
要素确定模块404,用于针对每个所述多层结构,根据对应学科领域知识,提取所述多层结构对应的本体,以及所述本体之间的空间关系;
知识表示模块406,用于构建针对所述多层网络空间知识表示的六元组知识表示;所述六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子;
知识处理模块408,用于根据所述六元组知识表示对所述多层网络空间知识表示进行知识处理。
在其中一个实施例中,所述要素确定模块404还用于根据STIX2.0结构化表达,构建包含战役、事件、攻击指标三个本体的宏观层;根据网络攻击过程知识,构建包括网络攻击者、攻击方法、工具、弱点,攻击目标、攻击影响、应对措施七个本体的实施层;根据所述实施层中包含的本体的属性,构建属性层;根据预先设置的结构化数据源和非结构化数据源,得到数据源本体,根据所述数据源本体构建资源层;通过提取所述实施层、属性层、资源层中本体之间的关系,得到关系本体,根据所述关系本体,构建关系层。
在其中一个实施例中,所述知识表示模块406还用于构建针对所述多层网络空间知识表示的六元组知识表示为:
<S,P,O,T,L,Op>
其中,S、P、O分别为多层网络空间知识表示中网络空间要素中的头实体、关系和尾实体;T表示时间概念;L表示空间概念;OP表示处理算子。
在其中一个实施例中,知识处理模块408还用于根据所述六元组知识表示,提取多个按照时序排列的三元组序列;将所述三元组序列输入预先训练的TransR模型,得到所述三元组序列的向量表示;将所述三元组序列的向量表示输入预先训练的LSTM网络,得到包含语意信息的序列化三元组,或者所述三元组序列对应的得分函数;所述得分函数用于判断所述三元组序列成立的概率。
在其中一个实施例中,知识处理模块408还用于预先将所述TransR模型和LSTM网络采用随机梯度下降方式进行联合训练。
关于基于多层网络空间知识表示的知识处理装置的具体限定可以参见上文中对于基于多层网络空间知识表示的知识处理方法的限定,在此不再赘述。上述基于多层网络空间知识表示的知识处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于多层网络空间知识表示的知识处理方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行计算机程序时实现上述方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例中方法的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于多层网络空间知识表示的知识处理方法,所述方法包括:
构建自上而下多层结构的多层网络空间知识表示;所述多层结构自上而下包括:宏观层、实施层、属性层、资源层和关系层;所述宏观层包括:战役、事件、攻击指标三个本体;所述实施层包括:网络攻击者、攻击方法、工具、弱点,攻击目标、攻击影响、应对措施七个本体;所述属性层包括实施层中包含的本体的属性;所述资源层包括根据预先设置的结构化数据源和非结构化数据源,得到数据源本体;所述关系层是通过提取所述实施层、属性层、资源层中本体之间的关系,得到关系本体,根据关系本体构建的;
针对每个所述多层结构,根据对应学科领域知识,提取所述多层结构对应的本体,以及所述本体之间的空间关系;
构建针对所述多层网络空间知识表示的六元组知识表示;所述六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子;
根据所述六元组知识表示对所述多层网络空间知识表示进行知识处理。
2.根据权利要求1所述的方法,其特征在于,针对每个所述多层结构,根据对应学科领域知识,提取所述多层结构对应的本体,以及所述本体之间的空间关系,包括:
根据STIX2.0结构化表达,构建包含战役、事件、攻击指标三个本体的宏观层;
根据网络攻击过程知识,构建包括网络攻击者、攻击方法、工具、弱点,攻击目标、攻击影响、应对措施七个本体的实施层;
根据所述实施层中包含的本体的属性,构建属性层;
根据预先设置的结构化数据源和非结构化数据源,得到数据源本体,根据所述数据源本体构建资源层;
通过提取所述实施层、属性层、资源层中本体之间的关系,得到关系本体,根据所述关系本体,构建关系层。
3.根据权利要求1所述的方法,其特征在于,构建针对所述多层网络空间知识表示的六元组知识表示,包括:
构建针对所述多层网络空间知识表示的六元组知识表示为:
<S, P, O, T, L, Op>
其中,S、P、O分别为多层网络空间知识表示中网络空间要素中的头实体、关系和尾实体;T表示时间概念;L表示空间概念;OP表示处理算子。
4.根据权利要求1至3任意一项所述的方法,其特征在于,根据所述六元组知识表示对所述多层网络空间知识表示进行知识处理,包括:
根据所述六元组知识表示,提取多个按照时序排列的三元组序列;
将所述三元组序列输入预先训练的TransR模型,得到所述三元组序列的向量表示;
将所述三元组序列的向量表示输入预先训练的LSTM网络,得到包含语意信息的序列化三元组,或者所述三元组序列对应的得分函数;所述得分函数用于判断所述三元组序列成立的概率。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
预先将所述TransR模型和LSTM网络采用随机梯度下降方式进行联合训练。
6.一种基于多层网络空间知识表示的知识处理装置,其特征在于,所述装置包括:
网络构建模块,用于构建自上而下多层结构的多层网络空间知识表示;所述多层结构自上而下包括:宏观层、实施层、属性层、资源层和关系层;所述宏观层包括:战役、事件、攻击指标三个本体;所述实施层包括:网络攻击者、攻击方法、工具、弱点,攻击目标、攻击影响、应对措施七个本体;所述属性层包括实施层中包含的本体的属性;所述资源层包括根据预先设置的结构化数据源和非结构化数据源,得到数据源本体;所述关系层是通过提取所述实施层、属性层、资源层中本体之间的关系,得到关系本体,根据关系本体构建的;
要素确定模块,用于针对每个所述多层结构,根据对应学科领域知识,提取所述多层结构对应的本体,以及所述本体之间的空间关系;
知识表示模块,用于构建针对所述多层网络空间知识表示的六元组知识表示;所述六元组知识表示包括:头实体、关系、尾实体、时间概念、空间概念以及处理算子;
知识处理模块,用于根据所述六元组知识表示对所述多层网络空间知识表示进行知识处理。
7.根据权利要求6所述的装置,其特征在于,所述要素确定模块还用于根据STIX2.0结构化表达,构建包含战役、事件、攻击指标三个本体的宏观层;根据网络攻击过程知识,构建包括网络攻击者、攻击方法、工具、弱点,攻击目标、攻击影响、应对措施七个本体的实施层;根据所述实施层中包含的本体的属性,构建属性层;根据预先设置的结构化数据源和非结构化数据源,得到数据源本体,根据所述数据源本体构建资源层;通过提取所述实施层、属性层、资源层中本体之间的关系,得到关系本体,根据所述关系本体,构建关系层。
8.根据权利要求6所述的装置,其特征在于,所述知识表示模块还用于构建针对所述多层网络空间知识表示的六元组知识表示为:
<S, P, O, T, L, Op>
其中,S、P、O分别为多层网络空间知识表示中网络空间要素中的头实体、关系和尾实体;T表示时间概念;L表示空间概念;OP表示处理算子。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010577901.2A CN111611410B (zh) | 2020-06-23 | 2020-06-23 | 基于多层网络空间知识表示的知识处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010577901.2A CN111611410B (zh) | 2020-06-23 | 2020-06-23 | 基于多层网络空间知识表示的知识处理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111611410A CN111611410A (zh) | 2020-09-01 |
| CN111611410B true CN111611410B (zh) | 2024-01-12 |
Family
ID=72196657
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010577901.2A Active CN111611410B (zh) | 2020-06-23 | 2020-06-23 | 基于多层网络空间知识表示的知识处理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111611410B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112380435B (zh) * | 2020-11-16 | 2024-05-07 | 北京大学 | 基于异构图神经网络的文献推荐方法及推荐系统 |
| CN114650146A (zh) * | 2020-12-02 | 2022-06-21 | 中国电信股份有限公司 | 攻击溯源方法及装置、计算机可存储介质 |
| CN113297395B (zh) * | 2021-07-08 | 2021-09-24 | 中国人民解放军国防科技大学 | 时空多模态混合数据处理方法、关联方法与索引方法 |
| CN114666228B (zh) * | 2022-02-17 | 2023-04-07 | 四川九洲电器集团有限责任公司 | 一种网络空间目标模型构建方法、系统、终端及介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663122A (zh) * | 2012-04-20 | 2012-09-12 | 北京邮电大学 | 基于突发事件本体的语义查询扩展算法 |
| US8607351B1 (en) * | 2010-11-02 | 2013-12-10 | The Boeing Company | Modeling cyberspace attacks |
| CN108052576A (zh) * | 2017-12-08 | 2018-05-18 | 国家计算机网络与信息安全管理中心 | 一种事理知识图谱构建方法及系统 |
| WO2019032502A1 (en) * | 2017-08-09 | 2019-02-14 | Nec Laboratories America, Inc. | KNOWLEDGE TRANSFER SYSTEM FOR ACCELERATING INVARIANT NETWORK LEARNING |
| CN109344911A (zh) * | 2018-10-31 | 2019-02-15 | 北京国信云服科技有限公司 | 一种基于多层lstm模型的并行处理分类方法 |
| CN110457403A (zh) * | 2019-08-12 | 2019-11-15 | 南京星火技术有限公司 | 图网络决策系统、方法及知识图谱的构建方法 |
| CN110598005A (zh) * | 2019-09-06 | 2019-12-20 | 中科院合肥技术创新工程院 | 一种面向公共安全事件的多源异构数据知识图谱构建方法 |
| CN110727799A (zh) * | 2018-06-29 | 2020-01-24 | 杭州海康威视数字技术股份有限公司 | 本体构建方法及装置 |
| CN110727806A (zh) * | 2019-12-17 | 2020-01-24 | 北京百度网讯科技有限公司 | 基于自然语言和知识图谱的文本处理方法及装置 |
| CN111163086A (zh) * | 2019-12-27 | 2020-05-15 | 北京工业大学 | 一种多源异构的网络安全知识图谱构建与应用方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9639523B2 (en) * | 2013-09-05 | 2017-05-02 | Shangfeng Hu | System and method for processing natural language |
| US11436270B2 (en) * | 2014-02-28 | 2022-09-06 | San Diego State University Research Foundation | Knowledge reference system and method |
| US10628706B2 (en) * | 2018-05-11 | 2020-04-21 | Ambient AI, Inc. | Systems and methods for intelligent and interpretive analysis of sensor data and generating spatial intelligence using machine learning |
-
2020
- 2020-06-23 CN CN202010577901.2A patent/CN111611410B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8607351B1 (en) * | 2010-11-02 | 2013-12-10 | The Boeing Company | Modeling cyberspace attacks |
| CN102663122A (zh) * | 2012-04-20 | 2012-09-12 | 北京邮电大学 | 基于突发事件本体的语义查询扩展算法 |
| WO2019032502A1 (en) * | 2017-08-09 | 2019-02-14 | Nec Laboratories America, Inc. | KNOWLEDGE TRANSFER SYSTEM FOR ACCELERATING INVARIANT NETWORK LEARNING |
| CN108052576A (zh) * | 2017-12-08 | 2018-05-18 | 国家计算机网络与信息安全管理中心 | 一种事理知识图谱构建方法及系统 |
| CN110727799A (zh) * | 2018-06-29 | 2020-01-24 | 杭州海康威视数字技术股份有限公司 | 本体构建方法及装置 |
| CN109344911A (zh) * | 2018-10-31 | 2019-02-15 | 北京国信云服科技有限公司 | 一种基于多层lstm模型的并行处理分类方法 |
| CN110457403A (zh) * | 2019-08-12 | 2019-11-15 | 南京星火技术有限公司 | 图网络决策系统、方法及知识图谱的构建方法 |
| CN110598005A (zh) * | 2019-09-06 | 2019-12-20 | 中科院合肥技术创新工程院 | 一种面向公共安全事件的多源异构数据知识图谱构建方法 |
| CN110727806A (zh) * | 2019-12-17 | 2020-01-24 | 北京百度网讯科技有限公司 | 基于自然语言和知识图谱的文本处理方法及装置 |
| CN111163086A (zh) * | 2019-12-27 | 2020-05-15 | 北京工业大学 | 一种多源异构的网络安全知识图谱构建与应用方法 |
Non-Patent Citations (2)
| Title |
|---|
| Taneeya Satyapanich等.CASIE: Extracting Cybersecurity Event Information from Text.《The Thirty-Fourth AAAI Conference on Artificial Intelligence》.2020,第8749-8757. * |
| 吴林锦等.基于本体的网络入侵知识库模型研究.《计算机科学》.2013,第第40卷卷(第第9期期),第120-124、129页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111611410A (zh) | 2020-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111611410B (zh) | 基于多层网络空间知识表示的知识处理方法和装置 | |
| Lv et al. | Next-generation big data analytics: State of the art, challenges, and future research topics | |
| Abie | Cognitive cybersecurity for CPS-IoT enabled healthcare ecosystems | |
| Carley | Destabilization of covert networks | |
| EP2828753B1 (en) | Anomaly detection to identify coordinated group attacks in computer networks | |
| Zhang et al. | Protecting critical infrastructures against intentional attacks: A two-stage game with incomplete information | |
| Niazi et al. | Cognitive agent-based computing-I: a unified framework for modeling complex adaptive systems using agent-based & complex network-based methods | |
| Tao et al. | The future of artificial intelligence in cybersecurity: A comprehensive survey | |
| Kim et al. | Designing online network intrusion detection using deep auto-encoder Q-learning | |
| Liu et al. | The knowledge structure and development trend in artificial intelligence based on latent feature topic model | |
| Chakraborty et al. | Deep learning for situational understanding | |
| CN112148892A (zh) | 动态知识图谱的知识补全方法、装置和计算机设备 | |
| Lange et al. | Recommendations for model-driven paradigms for integrated approaches to cyber defense | |
| Li et al. | Cskb: A cyber security knowledge base based on knowledge graph | |
| Lei et al. | New challenges in reinforcement learning: a survey of security and privacy | |
| Sui et al. | Adversarial causal augmentation for graph covariate shift | |
| Nazir et al. | Proliferation of cyber situational awareness: Today’s truly pervasive drive of cybersecurity | |
| Şeker | Use of Artificial Intelligence Techniques/Applications in Cyber Defense | |
| Srivastav et al. | Information fusion for object & situation assessment in sensor networks | |
| Zhang et al. | Generating network security defense strategy based on cyber threat intelligence knowledge graph | |
| Li et al. | Domain-specific decision modelling and statistical analysis for combat system effectiveness simulation | |
| Simpson et al. | Foundational aspects of system complexity reduction | |
| Ma et al. | The Advancement of Knowledge Graphs in Cybersecurity: A Comprehensive Overview | |
| Powell et al. | Fusion-based knowledge for the objective force | |
| Akinsola et al. | Application of Artificial Intelligence for DDoS Attack Detection and Prevention on Cyber Physical Systems Using Deep Learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Liu Bin Inventor after: Zhang Litao Inventor after: Ding Zhaoyun Inventor after: Yan Jingwen Inventor after: Pan Yongqi Inventor after: Liu Weike Inventor after: Chen Liming Inventor after: Sun Lijian Inventor after: Zhu Xixi Inventor after: Li Qingshan Inventor before: Liu Bin Inventor before: Zhang Litao Inventor before: Ding Zhaoyun Inventor before: Yan Jingwen Inventor before: Pan Yongqi Inventor before: Liu Weike Inventor before: Chen Liming Inventor before: Sun Lijian Inventor before: Zhu Xixi Inventor before: Li Qingshan |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |