CN113783874A - 基于安全知识图谱的网络安全态势评估方法及系统 - Google Patents

Abstract

本发明公开了一种基于安全知识图谱的网络安全态势评估方法及系统，基于获取的能源电商网络安全态势构建安全知识图谱，以安全知识图谱为输入，确定威胁评估模型，利用威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果，基于威胁评估结果，结合安全知识图谱以及能源电商网数据进行安全态势感知分析。本发明通过构建安全知识图谱，并以安全知识图谱为输入，结合威胁评估模型，可以挖掘出更多与攻击相关的语义信息，从而可以刻画出对攻击行为的因果关系，通过丰富的上下文信息，实现了更精准的威胁识别以及网络安全态势的评估。

Description

基于安全知识图谱的网络安全态势评估方法及系统

技术领域

本发明涉及网络安全技术领域，更具体的说，涉及一种基于安全知识图谱的网络安全态势评估方法及系统。

背景技术

安全态势感知系统中很重要的一个功能点是对网络安全态势进行评估，这是安全态势感知系统的一个技术难点。

传统的网络安全态势评估方法，一般是对攻击目标构建相应的攻击图以实现评估量化，评估过程通常为：先基于单个资产进行安全评估，再根据资产的重要程度对资产评分进行加权计算，得到网络的安全态势评分，从而实现网络安全态势评估。

然而，基于大规模数据构建攻击图的过程复杂性较高，构建过程容易出现误差，并且攻击图考虑的维度比较局限，因此，现有的网络安全态势评估方法的准确性不高。

发明内容

有鉴于此，本发明公开一种基于安全知识图谱的网络安全态势评估方法及系统，以实现更精准的威胁识别以及网络安全态势的评估。

一种基于安全知识图谱的网络安全态势评估方法，包括：

获取能源电商网络安全态势；

基于所述能源电商网络安全态势构建安全知识图谱；

以所述安全知识图谱为输入，确定威胁评估模型；

利用所述威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果；

基于所述威胁评估结果，结合所述安全知识图谱以及能源电商网数据进行安全态势感知分析。

可选的，所述安全知识图谱包括：静态知识图谱和动态图谱；

所述静态知识图谱融合了多个知识库；

所述动态图谱时安全设备实时产生的告警以及与所述告警相关的信息。

可选的，所述威胁评估模型的主要模块是深度自编码器，所述深度自编码器包括：属性图编码器、拓扑结构重构解码器和属性重构解码器。

可选的，所述基于所述能源电商网络安全态势构建安全知识图谱，具体包括：

确定所有告警序列的初始序列向量；

对每个所述初始序列向量进行主成分分析，得到对应的每个所述告警序列的主成分，并将所述主成分中多次重复的向量表示作为所述告警序列的向量表示；

将顶点与边刻画成图谱的结构信息，并基于每个所述告警序列的向量表示确定实体属性特征和统计特征，构建得到所述安全知识图谱。

可选的，所述以所述安全知识图谱为输入，确定威胁评估模型，具体包括：

对所述安全知识图谱采用图卷积神经网络进行属性编码，得到编码安全知识图谱；

对所述编码安全知识图谱采用图神经网络进行解码重构，得到原始知识图谱；

基于所述原始知识图谱确定对应的威胁评估模型。

一种基于安全知识图谱的网络安全态势评估系统，包括：

获取单元，用于获取能源电商网络安全态势；

图谱构建单元，用于基于所述能源电商网络安全态势构建安全知识图谱；

模型确定单元，用于以所述安全知识图谱为输入，确定威胁评估模型；

威胁评估单元，用于利用所述威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果；

感知分析单元，用于基于所述威胁评估结果，结合所述安全知识图谱以及能源电商网数据进行安全态势感知分析。

可选的，所述安全知识图谱包括：静态知识图谱和动态图谱；

所述静态知识图谱融合了多个知识库；

所述动态图谱时安全设备实时产生的告警以及与所述告警相关的信息。

可选的，所述威胁评估模型的主要模块是深度自编码器，所述深度自编码器包括：属性图编码器、拓扑结构重构解码器和属性重构解码器。

可选的，所述图谱构建单元具体包括：

向量确定子单元，用于确定所有告警序列的初始序列向量；

成分分析子单元，用于对每个所述初始序列向量进行主成分分析，得到对应的每个所述告警序列的主成分，并将所述主成分中多次重复的向量表示作为所述告警序列的向量表示；

构建子单元，用于将顶点与边刻画成图谱的结构信息，并基于每个所述告警序列的向量表示确定实体属性特征和统计特征，构建得到所述安全知识图谱。

可选的，所述模型确定单元具体包括：

属性编码子单元，用于对所述安全知识图谱采用图卷积神经网络进行属性编码，得到编码安全知识图谱；

解码重构子单元，用于对所述编码安全知识图谱采用图神经网络进行解码重构，得到原始知识图谱；

模型确定子单元，用于基于所述原始知识图谱确定对应的威胁评估模型从上述的技术方案可知，本发明公开了一种基于安全知识图谱的网络安全态势评估方法及系统，基于获取的能源电商网络安全态势构建安全知识图谱，以安全知识图谱为输入，确定威胁评估模型，利用威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果，基于威胁评估结果，结合安全知识图谱以及能源电商网数据进行安全态势感知分析。本发明通过构建安全知识图谱，并以安全知识图谱为输入，结合威胁评估模型，可以挖掘出更多与攻击相关的语义信息，从而可以刻画出对攻击行为的因果关系，通过丰富的上下文信息，实现了更精准的威胁识别以及网络安全态势的评估。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据公开的附图获得其他的附图。

图1为本发明实施例公开的一种基于安全知识图谱的网络安全态势评估方法流程图；

图2为本发明实施例公开的一种基于能源电商网络安全态势构建安全知识图谱的方法流程图；

图3为本发明实施例公开的一种以安全知识图谱为输入，确定威胁评估模型的方法流程图；

图4为本发明实施例公开的一种基于安全知识图谱的网络安全态势评估系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种基于安全知识图谱的网络安全态势评估方法及系统，基于获取的能源电商网络安全态势构建安全知识图谱，以安全知识图谱为输入，确定威胁评估模型，利用威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果，基于威胁评估结果，结合安全知识图谱以及能源电商网数据进行安全态势感知分析。本发明通过构建安全知识图谱，并以安全知识图谱为输入，结合威胁评估模型，可以挖掘出更多与攻击相关的语义信息，从而可以刻画出对攻击行为的因果关系，通过丰富的上下文信息，实现了更精准的威胁识别以及网络安全态势的评估。

参见图1，本发明实施例公开的一种基于安全知识图谱的网络安全态势评估方法流程图，该方法包括：

步骤S101、获取能源电商网络安全态势。

步骤S102、基于所述能源电商网络安全态势构建安全知识图谱。

安全知识图谱(Cyber Security Knowledge Graph)：是知识图谱在网络安全领域的实际应用，包括基于本体论构建的安全知识本体架构，以及通过威胁建模等方式对多源异构的网络安全领域信息(Heterogeneous Cyber Security Information)进行加工、处理、整合，转化成为的结构化的智慧安全领域知识库。

本发明将安全知识图谱应用到能源电商网络安全态势感知分析中，在获取到能源电商网络安全太势后，首先会构建安全知识图谱。

在实际应用中，本发明在能源电商网安全态势感知体系中构建安全知识图谱。

安全知识图谱主要包含两部分：静态知识图谱和动态图谱。

静态知识图谱是预先构建的安全知识图谱，融合了攻击模式库，安全隐患，恶意代码、攻击目标资产等多个知识库，这些知识库并不需要实时更新，所以称为静态知识图谱。

动态图谱是安全设备实时产生的告警以及与告警相关的信息，如IP地址、端口、网段等。

其中，动态图谱与静态知识图谱通过共享实体相关联，比如IP地址与CPE相关联，告警信息与CAPEC、CVE和恶意代码相关联等。静态图谱中的实体是固定的，参照的STIX2.0以及当前世界范围对安全元素描述的使用较广泛的标注，定义的14种实体类型。

为了方便描述，本发明只描述动态图谱，实体只考虑IP。告警通常是实时产生的，告警源IP为攻击者，告警目标IP为受害者。在单位时间窗口内根据源IP与目标IP对聚合告警会生成告警序列。

利用马尔科夫挖掘告警之间的一跳转移概率，生成告警因果关联图，其中，顶点是告警，边是告警的一跳转移概率。当然也可以使用微软的DoWhy因果推理框架实现。构建好了因果关系网络之后直接利用图嵌入技术学习每种告警的向量表示。告警是组成告警序列的基本单元，可以把告警看成自然语言中的词，告警序列可以看成是自然语言的句子。

步骤S103、以所述安全知识图谱为输入，确定威胁评估模型。

其中，威胁评估模型为下游基于图神经网络的威胁评估模型。

威胁评估模型的主要模块是深度自编码器，深度自编码器主要包括三部分：属性图编码器、拓扑结构重构解码器和属性重构解码器。

由于网络结构整合了多个知识库和告警的因果语义，而在真实环境中通常攻击事件只占非常小一部分，因此安全知识图谱的编码与解码误差可以用来衡量图谱中攻击者的威胁度。安全知识图谱中的告警内容信息实体又具有表示攻击意图的行为特征，因此，利用属性的编码解码的误差能评估攻击意图的强弱。

首先，将属性图编码器在同一框架下实现对属性图的拓扑结构和属性的无缝建模；然后利用图卷积网络实现了顶点的特征表示学习。结构重构解码器通过节点的特征表示重构网络拓扑结构。属性重构编码器通过节点的特征表示重构属性图中节点的属性。

步骤S104、利用所述威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果。

目标函数将结构重构误差和属性重构误差进行加权求和，并利用结构重构误差实现对攻击者的威胁评估。

步骤S105、基于所述威胁评估结果，结合所述安全知识图谱以及能源电商网数据进行安全态势感知分析。

整个基于安全知识图谱进行威胁评估过程中所面对和处理的都是能源电商网络的独有数据，通过这些数据我们构建能源电商安全知识图谱，并通过图神经网络进行编码，解码，威胁评估一系列步骤。安全知识图谱在推荐，检索领域已经得到了广泛应用，而能源电商网络中的应用还尚未开始，只要竞争对手拿不到相应的能源电商数据，就无法应用到其领域上。因此，本发明中，将安全知识图谱结合能源电商网数据进行的安全态势感知分析是最核心的模块。

其中，安全态势感知包括：态势评估技术、态势预测技术和基于图神经网路的威胁评估研究。

态势评估技术是利用获取好的态势要素数据，按照一定的模型和方法对其进行检测和分析，挖掘出能反应网络态势的潜在信息，量化网络安全态势状态，进一步为管理者提供决策支持。态势评估方法众多，主要包括：基于灰色理论方法、基于知识推理方法和基于统计学方法。

态势预测技术是态势感知的最终目标，主要根据网络中历史数据的态势信息，用合理的模型和方法从历史态势信息中找到潜在的规律，并预测未来时间段网络的态势情况。它可以对网络管理者提供辅助决策的帮助，进一步实现网络的主动防御。近年来对态势预测的研究也逐步增多，主要的研究方法包括：时间序列分析方法、灰色理论方法和人工智能方法。

综上可知，本发明公开了一种基于安全知识图谱的网络安全态势评估方法，基于获取的能源电商网络安全态势构建安全知识图谱，以安全知识图谱为输入，确定威胁评估模型，利用威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果，基于威胁评估结果，结合安全知识图谱以及能源电商网数据进行安全态势感知分析。本发明通过构建安全知识图谱，并以安全知识图谱为输入，结合威胁评估模型，可以挖掘出更多与攻击相关的语义信息，从而可以刻画出对攻击行为的因果关系，通过丰富的上下文信息，实现了更精准的威胁识别以及网络安全态势的评估。

参见图2，本发明实施例公开的一种基于能源电商网络安全态势构建安全知识图谱的方法流程图，该方法包括：

步骤S201、确定所有告警序列的初始序列向量。

具体的，遍历所有IP对(包括报警源IP和报警目标IP)的告警序列，根据公式(1)得到告警序列的初始序列向量v，公式(1)如下：

式中，s为告警序列(可理解为一个待处理的句子)，公式(1)表示一个加权求平均的过程，每个词语向量v_ω乘以系数

后叠加，最后叠加向量除以句子s中词语的个数，对于可调参数a一般使用0.001和0.0001两个典型的参数。p(ω)表示告警ω除以所有告警的频数和(对词语ω的词频除以语料库所有词语词频之和)。

步骤S202、对每个所述初始序列向量进行主成分分析，得到对应的每个所述告警序列的主成分，并将所述主成分中多次重复的向量表示作为所述告警序列的向量表示。

因此，本发明实现了基于动态图谱的关系构建属性图中的节点属性，节点属性主要有两类，一类是表示节点的固有特性属性，如IP所属地理位置和是否内外网、文件名和进程名等，另一类是统计特征和行为，如从告警payload中提取的攻击意图相关的特征，包括IP作为攻击者单位时间内产生的告警数以及IP开的端口数等。

步骤S203、将顶点与边刻画成图谱的结构信息，并基于每个所述告警序列的向量表示确定实体属性特征和统计特征，构建得到所述安全知识图谱。

具体的，顶点与边刻画的是图谱的结构信息，图谱中的实体本身是具有一定的角色的，如IP可以是攻击者也可以是受害者，作为攻击者该IP具有攻击者的特征。这些特征分为两类，一类描述实体属性的特征，一类是统计特征。属性特征如IP地理位置、IP是否是内网、历史威胁度等等，统计特征如单位时间内的告警数，告警类型，探测类得到、渗透类得分等，最终构建了属性图模型，也即安全知识图谱。

参见图3，本发明实施例公开的一种以安全知识图谱为输入，确定威胁评估模型的方法流程图，该方法包括：

步骤S301、对安全知识图谱采用图卷积神经网络进行属性编码，得到编码安全知识图谱。

安全知识图谱的属性编码过程不仅需要考虑图结构的编码，还需要实现节点属性的编码。图卷积神经网络在学习节点特征表示时考虑了高阶节点的邻近性，从而解决了网络稀疏性问题。同时，通过多层非线性变换，图卷积神经网络能捕属性图中数据的非线性特征和两种信息模态之间的复杂交互。因此编码过程采用图卷积神经网络。

步骤S302、对所述编码安全知识图谱采用图神经网络进行解码重构，得到原始知识图谱。

通常一个节点自身的结构信息可以通过图神经网络近似得到，那么该节点属于异常节点的概率就较低，相反，节点的重构误差较大，那么该节点很大概率是异常节点。

本发明通过对编码安全知识图谱采用图神经网络进行解码重构，可以滤除掉安全知识图谱中的异常节点。

图卷积网络的计算复杂性是随着网络中的边的数据线性增涨的。

步骤S303、基于所述原始知识图谱确定对应的威胁评估模型。

在实际应用中，可以基于原始知识图谱和安全知识图谱确定结构重构误差以及属性重构误差，采用目标函数对结构重构误差和属性重构误差进行加权求和，得到最小化目标函数下的安全知识图谱的向量表示。最终利用重构误差实现对攻击者的威胁评估。权值矩阵的计算采用梯度下降法。图卷积网络的计算复杂性是随着网络中的边的数据线性增涨的。

基于已构构建的知识图谱进行分析，利用图嵌入把不同维度的威胁评估映射到同一空间中，在考虑更多特征及威胁的影响情况下，在同一空间对不同实体进行威胁评估，无论是效率和精度上都比传统方法有很大提升。

由知识图谱这种离散模型转换成特征向量这种连续表示。然后基于图的结构特性和相关属性特征进行威胁评估，结构特征比如图的中心性，因为在图模型中，中心节点通常表示图的中心特性，中心节点对其他所有节点的影响最大，尤其是在威胁传播过程中的影响也最大。

综上可知，本发明先构建安全知识图谱，并以安全知识图谱为输入，辅助下游基于图神经网络的威胁识别模型，挖掘了更多攻击相关的语义信息，刻画了对攻击行为的因果关系，通过丰富的上下文信息实现了更精准的威胁识别。

与上述方法实施例相对应，本发明还公开了一种基于安全知识图谱的网络安全态势评估系统。

参见图4，本发明实施例公开的一种基于安全知识图谱的网络安全态势评估系统的结构示意图，该系统包括：

获取单元401，用于获取能源电商网络安全态势；

图谱构建单元402，用于基于所述能源电商网络安全态势构建安全知识图谱；

安全知识图谱(Cyber Security Knowledge Graph)：是知识图谱在网络安全领域的实际应用，包括基于本体论构建的安全知识本体架构，以及通过威胁建模等方式对多源异构的网络安全领域信息(Heterogeneous Cyber Security Information)进行加工、处理、整合，转化成为的结构化的智慧安全领域知识库。

本发明将安全知识图谱应用到能源电商网络安全态势感知分析中，在获取到能源电商网络安全太势后，首先会构建安全知识图谱。

在实际应用中，本发明在能源电商网安全态势感知体系中构建安全知识图谱。

安全知识图谱主要包含两部分：静态知识图谱和动态图谱。

静态知识图谱是预先构建的安全知识图谱，融合了攻击模式库，安全隐患，恶意代码、攻击目标资产等多个知识库，这些知识库并不需要实时更新，所以称为静态知识图谱。

动态图谱是安全设备实时产生的告警以及与告警相关的信息，如IP地址、端口、网段等。

其中，动态图谱与静态知识图谱通过共享实体相关联，比如IP地址与CPE相关联，告警信息与CAPEC、CVE和恶意代码相关联等。静态图谱中的实体是固定的，参照的STIX2.0以及当前世界范围对安全元素描述的使用较广泛的标注，定义的14种实体类型。

为了方便描述，本发明只描述动态图谱，实体只考虑IP。告警通常是实时产生的，告警源IP为攻击者，告警目标IP为受害者。在单位时间窗口内根据源IP与目标IP对聚合告警会生成告警序列。

利用马尔科夫挖掘告警之间的一跳转移概率，生成告警因果关联图，其中，顶点是告警，边是告警的一跳转移概率。当然也可以使用微软的DoWhy因果推理框架实现。构建好了因果关系网络之后直接利用图嵌入技术学习每种告警的向量表示。告警是组成告警序列的基本单元，可以把告警看成自然语言中的词，告警序列可以看成是自然语言的句子。

模型确定单元403，用于以所述安全知识图谱为输入，确定威胁评估模型；

威胁评估模型的主要模块是深度自编码器，深度自编码器主要包括三部分：属性图编码器、拓扑结构重构解码器和属性重构解码器。

由于网络结构整合了多个知识库和告警的因果语义，而在真实环境中通常攻击事件只占非常小一部分，因此安全知识图谱的编码与解码误差可以用来衡量图谱中攻击者的威胁度。安全知识图谱中的告警内容信息实体又具有表示攻击意图的行为特征，因此，利用属性的编码解码的误差能评估攻击意图的强弱。

威胁评估单元404，用于利用所述威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果；

目标函数将结构重构误差和属性重构误差进行加权求和，并利用结构重构误差实现对攻击者的威胁评估。

感知分析单元405，用于基于所述威胁评估结果，结合所述安全知识图谱以及能源电商网数据进行安全态势感知分析。

整个基于安全知识图谱进行威胁评估过程中所面对和处理的都是能源电商网络的独有数据，通过这些数据我们构建能源电商安全知识图谱，并通过图神经网络进行编码，解码，威胁评估一系列步骤。安全知识图谱在推荐，检索领域已经得到了广泛应用，而能源电商网络中的应用还尚未开始，只要竞争对手拿不到相应的能源电商数据，就无法应用到其领域上。因此，本发明中，将安全知识图谱结合能源电商网数据进行的安全态势感知分析是最核心的模块。

其中，安全态势感知包括：态势评估技术、态势预测技术和基于图神经网路的威胁评估研究。

态势评估技术是利用获取好的态势要素数据，按照一定的模型和方法对其进行检测和分析，挖掘出能反应网络态势的潜在信息，量化网络安全态势状态，进一步为管理者提供决策支持。态势评估方法众多，主要包括：基于灰色理论方法、基于知识推理方法和基于统计学方法。

态势预测技术是态势感知的最终目标，主要根据网络中历史数据的态势信息，用合理的模型和方法从历史态势信息中找到潜在的规律，并预测未来时间段网络的态势情况。它可以对网络管理者提供辅助决策的帮助，进一步实现网络的主动防御。近年来对态势预测的研究也逐步增多，主要的研究方法包括：时间序列分析方法、灰色理论方法和人工智能方法。

综上可知，本发明公开了一种基于安全知识图谱的网络安全态势评估系统，基于获取的能源电商网络安全态势构建安全知识图谱，以安全知识图谱为输入，确定威胁评估模型，利用威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果，基于威胁评估结果，结合安全知识图谱以及能源电商网数据进行安全态势感知分析。本发明通过构建安全知识图谱，并以安全知识图谱为输入，结合威胁评估模型，可以挖掘出更多与攻击相关的语义信息，从而可以刻画出对攻击行为的因果关系，通过丰富的上下文信息，实现了更精准的威胁识别以及网络安全态势的评估。

为进一步优化上述实施例，图谱构建单元402具体可以包括：

向量确定子单元，用于确定所有告警序列的初始序列向量；

成分分析子单元，用于对每个所述初始序列向量进行主成分分析，得到对应的每个所述告警序列的主成分，并将所述主成分中多次重复的向量表示作为所述告警序列的向量表示；

构建子单元，用于将顶点与边刻画成图谱的结构信息，并基于每个所述告警序列的向量表示确定实体属性特征和统计特征，构建得到所述安全知识图谱。

为进一步优化上述实施例，模型确定单元403具体可以包括：

属性编码子单元，用于对所述安全知识图谱采用图卷积神经网络进行属性编码，得到编码安全知识图谱；

解码重构子单元，用于对所述编码安全知识图谱采用图神经网络进行解码重构，得到原始知识图谱；

模型确定子单元，用于基于所述原始知识图谱确定对应的威胁评估模型。

在实际应用中，可以基于原始知识图谱和安全知识图谱确定结构重构误差以及属性重构误差，采用目标函数对结构重构误差和属性重构误差进行加权求和，得到最小化目标函数下的安全知识图谱的向量表示。最终利用重构误差实现对攻击者的威胁评估。权值矩阵的计算采用梯度下降法。图卷积网络的计算复杂性是随着网络中的边的数据线性增涨的。

基于已构构建的知识图谱进行分析，利用图嵌入把不同维度的威胁评估映射到同一空间中，在考虑更多特征及威胁的影响情况下，在同一空间对不同实体进行威胁评估，无论是效率和精度上都比传统方法有很大提升。

由知识图谱这种离散模型转换成特征向量这种连续表示。然后基于图的结构特性和相关属性特征进行威胁评估，结构特征比如图的中心性，因为在图模型中，中心节点通常表示图的中心特性，中心节点对其他所有节点的影响最大，尤其是在威胁传播过程中的影响也最大。

综上可知，本发明基于安全知识图谱提出一种新的威胁识别模型，先构建安全知识图谱，并以安全知识图谱为输入，辅助下游基于图神经网络的威胁识别模型，挖掘了更多攻击相关的语义信息，刻画了对攻击行为的因果关系，通过丰富的上下文信息实现了更精准的威胁识别。

需要特别说明的是，系统实施例中各组成部分的具体工作原理，请参见方法实施例对应部分，此处不再赘述。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种基于安全知识图谱的网络安全态势评估方法，其特征在于，包括：

获取能源电商网络安全态势；

基于所述能源电商网络安全态势构建安全知识图谱；

以所述安全知识图谱为输入，确定威胁评估模型；

利用所述威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果；

基于所述威胁评估结果，结合所述安全知识图谱以及能源电商网数据进行安全态势感知分析。

2.根据权利要求1所述的网络安全态势评估方法，其特征在于，所述安全知识图谱包括：静态知识图谱和动态图谱；

所述静态知识图谱融合了多个知识库；

所述动态图谱时安全设备实时产生的告警以及与所述告警相关的信息。

3.根据权利要求1所述的网络安全态势评估方法，其特征在于，所述威胁评估模型的主要模块是深度自编码器，所述深度自编码器包括：属性图编码器、拓扑结构重构解码器和属性重构解码器。

4.根据权利要求1所述的网络安全态势评估方法，其特征在于，所述基于所述能源电商网络安全态势构建安全知识图谱，具体包括：

确定所有告警序列的初始序列向量；

对每个所述初始序列向量进行主成分分析，得到对应的每个所述告警序列的主成分，并将所述主成分中多次重复的向量表示作为所述告警序列的向量表示；

将顶点与边刻画成图谱的结构信息，并基于每个所述告警序列的向量表示确定实体属性特征和统计特征，构建得到所述安全知识图谱。

5.根据权利要求1所述的网络安全态势评估方法，其特征在于，所述以所述安全知识图谱为输入，确定威胁评估模型，具体包括：

对所述安全知识图谱采用图卷积神经网络进行属性编码，得到编码安全知识图谱；

对所述编码安全知识图谱采用图神经网络进行解码重构，得到原始知识图谱；

基于所述原始知识图谱确定对应的威胁评估模型。

6.一种基于安全知识图谱的网络安全态势评估系统，其特征在于，包括：

获取单元，用于获取能源电商网络安全态势；

图谱构建单元，用于基于所述能源电商网络安全态势构建安全知识图谱；

模型确定单元，用于以所述安全知识图谱为输入，确定威胁评估模型；

威胁评估单元，用于利用所述威胁评估模型对能源电商知识图谱进行攻击者威胁评估，得到威胁评估结果；

感知分析单元，用于基于所述威胁评估结果，结合所述安全知识图谱以及能源电商网数据进行安全态势感知分析。

7.根据权利要求6所述的网络安全态势评估系统，其特征在于，所述安全知识图谱包括：静态知识图谱和动态图谱；

所述静态知识图谱融合了多个知识库；

所述动态图谱时安全设备实时产生的告警以及与所述告警相关的信息。

8.根据权利要求6所述的网络安全态势评估系统，其特征在于，所述威胁评估模型的主要模块是深度自编码器，所述深度自编码器包括：属性图编码器、拓扑结构重构解码器和属性重构解码器。

9.根据权利要求6所述的网络安全态势评估系统，其特征在于，所述图谱构建单元具体包括：

向量确定子单元，用于确定所有告警序列的初始序列向量；

成分分析子单元，用于对每个所述初始序列向量进行主成分分析，得到对应的每个所述告警序列的主成分，并将所述主成分中多次重复的向量表示作为所述告警序列的向量表示；

构建子单元，用于将顶点与边刻画成图谱的结构信息，并基于每个所述告警序列的向量表示确定实体属性特征和统计特征，构建得到所述安全知识图谱。

10.根据权利要求6所述的网络安全态势评估系统，其特征在于，所述模型确定单元具体包括：

属性编码子单元，用于对所述安全知识图谱采用图卷积神经网络进行属性编码，得到编码安全知识图谱；

解码重构子单元，用于对所述编码安全知识图谱采用图神经网络进行解码重构，得到原始知识图谱；

模型确定子单元，用于基于所述原始知识图谱确定对应的威胁评估模型。

Images