CN115098705B - 基于知识图谱推理的网络安全事件分析方法及系统 - Google Patents
基于知识图谱推理的网络安全事件分析方法及系统 Download PDFInfo
- Publication number
- CN115098705B CN115098705B CN202211022325.0A CN202211022325A CN115098705B CN 115098705 B CN115098705 B CN 115098705B CN 202211022325 A CN202211022325 A CN 202211022325A CN 115098705 B CN115098705 B CN 115098705B
- Authority
- CN
- China
- Prior art keywords
- network
- target
- feature
- behavior
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Signal Processing (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Artificial Intelligence (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Animal Behavior & Ethology (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供的基于知识图谱推理的网络安全事件分析方法及系统,涉及网络安全技术领域。在本发明中,提取出目标网络安全事件。依据目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱,在目标网络安全知识图谱中,每一个目标图谱成员对应于一个目标网络行为,目标网络安全知识图谱中携带有用于反映目标网络行为之间的行为相关性的信息。利用目标知识图谱分析神经网络,对目标网络安全知识图谱进行分析处理,以输出目标网络安全事件对应的事件安全风险程度,事件安全风险程度用于反映目标网络设备遭受到网络攻击的概率。基于上述内容,可以在一定程度上提高网络安全事件分析的可靠度。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种基于知识图谱推理的网络安全事件分析方法及系统。
背景技术
随着对信息安全的需求越来越高,网络安全技术的发展得到了广泛的关注。为了保障数据的安全,一般需要对网络设备的网络行为进行监控,以确定出是否存在网络攻击。但是,在现有技术中,一般是仅针对一个网络行为和一个网络设备的连续多个网络行为,与网络攻击行为进行对比分析,以确定是否存在网络攻击,如此,较为单一的对比方式,容易导致分析结果不准确,即存在网络安全事件分析的可靠度的不高的问题。
发明内容
有鉴于此,本发明的目的在于提供一种基于知识图谱推理的网络安全事件分析方法及系统,以在一定程度上提高网络安全事件分析的可靠度。
为实现上述目的,本发明实施例采用如下技术方案:
一种基于知识图谱推理的网络安全事件分析方法,应用于网络安全服务器,所述网络安全事件分析方法包括:
提取出目标网络安全事件,所述目标网络安全事件包括多个目标网络行为,每一个所述目标网络行为用于反映目标网络设备与其它网络设备之间的网络交互,所述多个目标网络行为对应的行为时间为至少一个,所述其它网络设备的数量为至少一个;
依据所述目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱,在所述目标网络安全知识图谱中,每一个目标图谱成员对应于一个所述目标网络行为,且所述目标网络安全知识图谱中携带有用于反映所述目标网络行为之间的行为相关性的信息;
利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度,所述事件安全风险程度用于反映所述目标网络设备遭受到网络攻击的概率。
在一些优选的实施例中,在上述基于知识图谱推理的网络安全事件分析方法中,所述提取出目标网络安全事件的步骤,包括:
对所述目标网络设备进行网络行为监控,以输出所述目标网络设备对应的网络行为集合,所述网络行为集合包括多个网络行为;
从所述网络行为集合包括的多个网络行为中提取出每一个目标网络行为,以组建形成目标网络安全事件,每一个所述目标网络行为对应的行为时间属于最近的一个网络安全监控周期内。
在一些优选的实施例中,在上述基于知识图谱推理的网络安全事件分析方法中,所述依据所述目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱的步骤,包括:
对于所述目标网络安全事件包括的每一个目标网络行为,分别对该目标网络行为的行为时间和行为设备进行确定处理,所述目标网络行为用于反映两个网络设备之间的网络交互,所述行为设备属于该两个网络设备中所述目标网络设备以外的另一个网络设备;
依据每一个所述目标网络行为对应的行为时间和行为设备,对所述目标网络安全事件包括的每一个目标网络行为进行排序分布,以确定每一个所述目标网络行为对应的排序分布位置;
对于所述目标网络安全事件包括的每一个目标网络行为,分别对该目标网络行为和每一个其它目标网络行为进行行为相关性的确定处理,再对该目标网络行为和每一个其它目标网络行为之间的行为相关性进行融合,以输出该目标网络行为对应的行为相关性融合值;
依据每一个所述目标网络行为对应的排序分布位置和对应的行为相关性融合值,构建形成目标网络安全知识图谱,在所述目标网络安全知识图谱中,每一个目标图谱成员对应于一个所述目标网络行为,且每一个目标图谱成员的成员属性值为对应的目标网络行为对应的行为相关性融合值。
在一些优选的实施例中,在上述基于知识图谱推理的网络安全事件分析方法中,所述利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度的步骤,包括:
对所述目标网络安全知识图谱进行分割处理,以形成多个网络安全知识分割子图谱,再将所述多个网络安全知识分割子图谱进行有序的组合,以形成对应的分割子图谱有序集合;对所述分割子图谱有序集合中的网络安全知识分割子图谱进行图谱特征映射处理,以输出图谱映射特征有序集合;将配置的网络事件识别特征插入所述图谱映射特征有序集合中,以形成对应的映射特征有序集合;将所述映射特征有序集合包括的每一个图谱映射特征对应的分布特征信息合并至所述映射特征有序集合中,以生成初始图谱特征有序集合,所述分布特征信息用于指示对应的图谱映射特征在所述映射特征有序集合中的排序分布位置,所述初始图谱特征有序集合包括网络事件识别特征和所述分割子图谱有序集合中每一个网络安全知识分割子图谱对应的网络安全知识分割子图谱特征;
利用目标知识图谱分析神经网络包括的多个编码处理单元分别对所述初始图谱特征有序集合进行特征挖掘处理,输出初始特征关系表示网络;
对于每一个所述编码处理单元,对该编码处理单元包括的每一个编码处理模块的特征分布向量进行融合计算,以输出该编码处理单元对应的特征分布向量;从所述编码处理单元对应的特征分布向量中,分析出所述网络事件识别特征对应的目标分布信息;对每一个所述编码处理单元对应的目标分布信息进行融合计算,以输出对应的初始特征分布表示网络;
对所述初始特征分布表示网络进行特征分布的转换,以形成转换特征分布表示网络,再将所述转换特征分布表示网络和所述初始特征关系表示网络进行网络拼接处理,以形成中间特征关系表示网络;
依据所述初始特征关系表示网络、所述初始特征分布表示网络和所述中间特征关系表示网络,进行事件安全风险分析处理,以输出所述目标网络安全事件对应的事件安全风险程度。
在一些优选的实施例中,在上述基于知识图谱推理的网络安全事件分析方法中,所述依据所述初始特征关系表示网络、所述初始特征分布表示网络和所述中间特征关系表示网络,进行事件安全风险分析处理,以输出所述目标网络安全事件对应的事件安全风险程度的步骤,包括:
基于所述中间特征关系表示网络和所述初始特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和中间特征分布表示网络,再对所述初始特征分布表示网络和所述中间特征分布表示网络进行表示网络的融合处理,以生成目标特征分布表示网络;
基于所述目标特征分布表示网络分析出所述目标网络安全知识图谱中所述攻击网络行为的排序分布位置;
基于所述攻击网络行为的行为危险程度和排序分布位置,分析输出所述目标网络安全事件对应的事件安全风险程度。
在一些优选的实施例中,在上述基于知识图谱推理的网络安全事件分析方法中,所述基于所述中间特征关系表示网络和所述初始特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和中间特征分布表示网络的步骤,包括:
基于所述中间特征关系表示网络进行识别,输出对应的初始识别特征,所述初始识别特征包括多个真实行为危险程度中每一个真实行为危险程度对应的匹配程度表征系数;
基于所述初始识别特征对多个第一编码网络进行融合处理,以形成第二编码网络,再基于所述第二编码网络对所述初始特征关系表示网络进行编码处理,以形成目标特征关系表示网络;
基于所述目标特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和对应的中间特征分布表示网络。
在一些优选的实施例中,在上述基于知识图谱推理的网络安全事件分析方法中,所述基于所述中间特征关系表示网络进行识别,输出对应的初始识别特征的步骤,包括:
对所述中间特征关系表示网络进行网络压缩,以形成对应的压缩特征关系表示网络,再对所述压缩特征关系表示网络分别进行第一特征筛选处理和第二特征筛选处理,以形成对应的第一特征关系筛选信息和第二特征关系筛选信息,以及,对所述第一特征关系筛选信息和所述第二特征关系筛选信息进行信息拼接,得到目标特征关系筛选信息;
对所述目标特征关系筛选信息进行识别,以输出对应的初始识别特征。
在一些优选的实施例中,在上述基于知识图谱推理的网络安全事件分析方法中,所述基于所述目标特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和对应的中间特征分布表示网络的步骤,包括:
对所述目标特征关系表示网络进行第二特征筛选处理,得到第三特征关系筛选信息,再依据所述第三特征关系筛选信息进行识别,以输出对应的目标识别特征,所述目标识别特征用于反映目标网络安全知识图谱中攻击网络行为的行为危险程度;
依据所述第三特征关系筛选信息和所述目标特征关系表示网络,融合输出对应的中间特征分布表示网络。
在一些优选的实施例中,在上述基于知识图谱推理的网络安全事件分析方法中,更新形成所述目标知识图谱分析神经网络的步骤,包括:
提取到示例性网络安全知识图谱,并确定所述示例性网络安全知识图谱对应的图谱识别标识信息;所述图谱识别标识信息用于反映所述示例性网络安全知识图谱中攻击网络行为的真实行为危险程度;
对所述示例性网络安全知识图谱对应的示例性分割子图谱有序集合进行加载处理,以利用初始的知识图谱分析神经网络包括的编码处理单元组合中的多个编码处理单元对所述示例性分割子图谱有序集合进行特征挖掘处理,以形成对应的初始示例性特征关系表示网络;
依据所述初始的知识图谱分析神经网络包括的部分特征分布确定模块对每一个所述编码处理单元的特征分布向量进行分析,再对每一个所述特征分布向量中网络事件识别特征对应的目标分布信息进行确定,以及,对每一个目标分布信息进行信息拼接,以输出对应的初始示例性特征分布表示网络,再对所述初始示例性特征分布表示网络进行特征分布的转换,以形成对应的示例性转换特征分布表示网络,以及,再将所述示例性转换特征分布表示网络与所述初始示例性特征关系表示网络进行网络拼接,以形成对应的中间示例性特征关系表示网络,再依据所述中间示例性特征关系表示网络和所述初始示例性特征关系表示网络,对所述示例性网络安全知识图谱进行分析处理,以输出对应的示例性网络安全事件对应的示例性事件安全风险程度;
基于所述示例性网络安全知识图谱对应的示例性事件安全风险程度与所述图谱识别标识信息,分析输出对应的网络学习代价值,再依据所述网络学习代价值对所述初始的知识图谱分析神经网络进行更新,以形成对应的目标知识图谱分析神经网络。
本发明实施例还提供一种基于知识图谱推理的网络安全事件分析系统,应用于网络安全服务器,所述网络安全事件分析系统包括:
网络安全事件提取模块,用于提取出目标网络安全事件,所述目标网络安全事件包括多个目标网络行为,每一个所述目标网络行为用于反映目标网络设备与其它网络设备之间的网络交互,所述多个目标网络行为对应的行为时间为至少一个,所述其它网络设备的数量为至少一个;
知识图谱构建模块,用于依据所述目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱,在所述目标网络安全知识图谱中,每一个目标图谱成员对应于一个所述目标网络行为,且所述目标网络安全知识图谱中携带有用于反映所述目标网络行为之间的行为相关性的信息;
事件安全风险分析模块,用于利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度,所述事件安全风险程度用于反映所述目标网络设备遭受到网络攻击的概率。
本发明实施例提供的一种基于知识图谱推理的网络安全事件分析方法及系统,可以先提取出目标网络安全事件。依据目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱,在目标网络安全知识图谱中,每一个目标图谱成员对应于一个目标网络行为。利用目标知识图谱分析神经网络,对目标网络安全知识图谱进行分析处理,以输出目标网络安全事件对应的事件安全风险程度,事件安全风险程度用于反映目标网络设备遭受到网络攻击的概率。由于目标网络安全知识图谱中携带有用于反映目标网络行为之间的行为相关性的信息,使得在对目标网络安全知识图谱进行分析处理时,不仅对目标网络行为本身进行分析,还会对目标网络行为之间的相关性进行分析,使得可以在一定程度上提高网络安全事件分析的可靠度。另外,通过神经网络进行分析处理,也可以在一定程度上进一步提高网络安全事件分析的可靠度。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
图1为本发明实施例提供的网络安全服务器的结构框图。
图2为本发明实施例提供的基于知识图谱推理的网络安全事件分析方法包括的各步骤的流程示意图。
图3为本发明实施例提供的基于知识图谱推理的网络安全事件分析系统包括的各模块的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1所示,本发明实施例提供了一种网络安全服务器。其中,所述网络安全服务器可以包括存储器和处理器。
举例来说,在一些可以实现的实施方式中,所述存储器和处理器之间直接或间接地电性连接,以实现数据的传输或交互。例如,相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述存储器中可以存储有至少一个可以以软件或固件的形式,存在的软件功能模块。所述处理器可以用于执行所述存储器中存储的可执行的计算机程序,从而实现本发明实施例提供的基于知识图谱推理的网络安全事件分析方法。
举例来说,在一些可以实现的实施方式中,所述存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory,EEPROM)等。所述处理器可以是一种通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)、片上系统(System on Chip,SoC)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
举例来说,在一些可以实现的实施方式中,图1所示的结构仅为示意,所述网络安全服务器还可包括比图1中所示更多或者更少的组件,或具有与图1所示不同的配置,例如,可以包括用于与其它设备(如其它网络设备等)进行信息交互的通信单元。
结合图2,本发明实施例还提供一种基于知识图谱推理的网络安全事件分析方法,可应用于上述网络安全服务器。其中,所述基于知识图谱推理的网络安全事件分析方法有关的流程所定义的方法步骤,可以由所述网络安全服务器实现。下面将对图2所示的具体流程,进行详细阐述。
步骤S110,提取出目标网络安全事件。
在本发明实施例中,所述网络安全服务器可以提取出目标网络安全事件。所述目标网络安全事件包括多个目标网络行为,每一个所述目标网络行为用于反映目标网络设备与其它网络设备之间的网络交互,所述多个目标网络行为对应的行为时间为至少一个,所述其它网络设备的数量为至少一个(也就是说,所述目标网络设备与至少一个所述其它网络设备进行了至少一次的所述目标网络行为)。
步骤S120,依据所述目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱。
在本发明实施例中,所述网络安全服务器可以依据所述目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱。在所述目标网络安全知识图谱中,每一个目标图谱成员对应于一个所述目标网络行为,且所述目标网络安全知识图谱中携带有用于反映所述目标网络行为之间的行为相关性的信息。
步骤S130,利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度。
在本发明实施例中,所述网络安全服务器可以利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度。所述事件安全风险程度用于反映所述目标网络设备遭受到网络攻击的概率。
基于前述的各步骤,由于目标网络安全知识图谱中携带有用于反映目标网络行为之间的行为相关性的信息,使得在对目标网络安全知识图谱进行分析处理时,不仅对目标网络行为本身进行分析,还会对目标网络行为之间的相关性进行分析,使得可以在一定程度上提高网络安全事件分析的可靠度。另外,通过神经网络进行分析处理,也可以在一定程度上进一步提高网络安全事件分析的可靠度。
举例来说,在一些可以实现的实施方式中,上述中描述的步骤“提取出目标网络安全事件”,可以进一步包括以下内容:
对所述目标网络设备进行网络行为监控,以输出所述目标网络设备对应的网络行为集合,所述网络行为集合包括多个网络行为;
从所述网络行为集合包括的多个网络行为中提取出每一个目标网络行为,以组建形成目标网络安全事件,每一个所述目标网络行为对应的行为时间属于最近的一个网络安全监控周期内(所述网络安全监控周期的时间长度不受限制,如10分钟、50分钟、2小时、1天等)。
举例来说,在一些可以实现的实施方式中,上述中描述的步骤“依据所述目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱”,可以进一步包括以下内容:
对于所述目标网络安全事件包括的每一个目标网络行为,分别对该目标网络行为的行为时间和行为设备进行确定处理,所述目标网络行为用于反映两个网络设备(即所述目标网络设备和所述目标网络设备以外的一个其它网络设备)之间的网络交互,所述行为设备属于该两个网络设备中所述目标网络设备以外的另一个网络设备(即该其它网络设备);
依据每一个所述目标网络行为对应的行为时间和行为设备,对所述目标网络安全事件包括的每一个目标网络行为进行排序分布,以确定每一个所述目标网络行为对应的排序分布位置(例如,所述排序分布位置可以包括第一方向分布位置和第二方向分布位置,第一方向分布位置可以是行为时间维度的位置,第二方向分布位置可以是行为设备维度的位置,另外,对于行为设备维度,在进行行为设备的排列时,可以按照各行为设备之间的交互数据量确定,例如,可以使得排列后的行为设备中,每两个相邻的行为设备之间的交互数据量的平均值最大);
对于所述目标网络安全事件包括的每一个目标网络行为,分别对该目标网络行为和每一个其它目标网络行为进行行为相关性的确定处理,再对该目标网络行为和每一个其它目标网络行为之间的行为相关性进行融合(如均值计算),以输出该目标网络行为对应的行为相关性融合值;
依据每一个所述目标网络行为对应的排序分布位置和对应的行为相关性融合值,构建形成目标网络安全知识图谱,在所述目标网络安全知识图谱中,每一个目标图谱成员对应于一个所述目标网络行为,且每一个目标图谱成员的成员属性值为对应的目标网络行为对应的行为相关性融合值。
举例来说,在一些可以实现的实施方式中,上述中描述的步骤“对于所述目标网络安全事件包括的每一个目标网络行为,分别对该目标网络行为和每一个其它目标网络行为进行行为相关性的确定处理,再对该目标网络行为和每一个其它目标网络行为之间的行为相关性进行融合,以输出该目标网络行为对应的行为相关性融合值”,可以进一步包括以下内容:
对所述目标网络行为进行运行日志的提取处理(例如,可以从所述目标网络设备的日志中提取到),以输出所述目标网络行为对应的目标运行日志文本数据,再对所述其它目标网络行为进行运行日志的提取处理,以输出所述其它目标网络行为对应的其它运行日志文本数据;
对所述目标运行日志文本数据进行分词处理(可以参照现有的分词技术),以输出所述目标运行日志文本数据对应的第一分词词语集合,再对所述第一分词词语集合进行关键词识别处理(可以参照现有的关键词识别技术),以输出对应的第一关键词集合;
对所述其它运行日志文本数据进行分词处理,以输出所述其它运行日志文本数据对应的第二分词词语集合,再对所述第二分词词语集合进行关键词识别处理,以输出对应的第二关键词集合;
根据在目标语料数据库中具有的语义相关度,在所述第一关键词集合和所述第二关键词集合对应的关键词并集集合中,将对应的语义相关度大于或等于预设相关度的每一对关键词进行关联处理,使得每一对关键词包括的两个关键词之间具有关联关系;
对于所述第一关键词集合包括的每一个第一关键词,确定该第一关键词是否与其它关键词之间具有关联关系,再在该第一关键词与其它关键词之间具有关联关系的情况下,将该第一关键词标记为目标第一关键词,再依据具有关联关系的其它关键词,对所述第一关键词集合包括的每一个目标第一关键词进行替换处理,以形成所述第一关键词集合包对应的更新第一关键词集合(示例性地,可以将其中至少一个目标第一关键词进行替换处理,以形成所述第一关键词集合包对应的更新第一关键词集合);
对于所述第二关键词集合包括的每一个第二关键词,确定该第二关键词是否与其它关键词之间具有关联关系,再在该第二关键词与其它关键词之间具有关联关系的情况下,将该第二关键词标记为目标第二关键词,再依据具有关联关系的其它关键词,对所述第二关键词集合包括的每一个第二关键词进行替换处理,以形成所述第二关键词集合包对应的更新第二关键词集合(示例性地,可以将其中至少一个目标第二关键词进行替换处理,以形成所述第二关键词集合包对应的更新第二关键词集合);
依据所述第一关键词集合和所述第二关键词集合之间的集合重合度,并结合所述第一关键词集合和所述第二关键词集合之间重合的关键词的文本位置差异度(所述文本位置差异度可以是指,相同的第一关键词和第二关键词在两个运行日志文本数据之间的位置差异,位置可以是指关键词的排序先后),计算输出所述目标运行日志文本数据和所述其它运行日志文本数据之间的第一文本相似系数(所述第一文本相似系数和所述集合重合度可以具有正相关的关系和所述文本位置差异度可以具有负相关的关系);
依据所述更新第一关键词集合和所述更新第二关键词集合之间的集合重合度,并结合所述更新第一关键词集合和所述更新第二关键词集合之间重合的关键词的文本位置差异度,计算输出所述目标运行日志文本数据和所述其它运行日志文本数据之间的第二文本相似系数(同上);
融合(如均值计算等)所述第一文本相似系数和所述第二文本相似系数,输出所述目标网络行为和所述其它目标网络行为之间的行为相关性。
举例来说,在一些可以实现的实施方式中,上述中描述的步骤“利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度”,可以进一步包括以下内容:
对所述目标网络安全知识图谱进行分割处理(示例性地,在进行分割处理时,可以按照指定尺寸进行分割,如使得分割形成的每一个网络安全知识分割子图谱可以为目标尺寸,即A个时间维度值*B个设备维度值),以形成多个网络安全知识分割子图谱,再将所述多个网络安全知识分割子图谱进行有序的组合(例如,按照在所述目标网络安全知识图谱中的位置关系进行排序),以形成对应的分割子图谱有序集合;对所述分割子图谱有序集合中的网络安全知识分割子图谱进行图谱特征映射处理(也就是说,可以将离散的网络安全知识分割子图谱映射为连续的向量),以输出图谱映射特征有序集合;将配置的网络事件识别特征插入所述图谱映射特征有序集合中,以形成对应的映射特征有序集合(示例性地,网络事件识别特征可以位于映射特征有序集合的第一个集合位置,例如,所述分割子图谱有序集合包括的集合元素为a,网络安全知识分割子图谱的数量为a,则所述映射特征有序集合的包括的集合元素为a+1);将所述映射特征有序集合包括的每一个图谱映射特征对应的分布特征信息合并至所述映射特征有序集合中,以生成初始图谱特征有序集合,所述分布特征信息用于指示对应的图谱映射特征在所述映射特征有序集合中的排序分布位置(示例性地,分布特征信息,position embedding,用来编码每一个图谱映射特征的相对排序分布位置,在一种应用中,分别将每一个图谱映射特征与该图谱映射特征对应的分布特征信息相加,形成初始图谱特征有序集合),所述初始图谱特征有序集合包括网络事件识别特征和所述分割子图谱有序集合中每一个网络安全知识分割子图谱对应的网络安全知识分割子图谱特征;
利用目标知识图谱分析神经网络包括的多个编码处理单元分别对所述初始图谱特征有序集合进行特征挖掘处理,输出初始特征关系表示网络(示例性地,所述多个编码处理单元之间的关系可以是级联关系,基于此,第一级的编码处理单元的输入可以是所述初始图谱特征有序集合,后一级的编码处理单元的输入可以为前一级的编码处理单元的输出结果,最后一级的编码处理单元的输出结果,可以作为所述初始特征关系表示网络,或者,在其它示例中,还可以对最后一级的编码处理单元的输出结果进行转换);
对于每一个所述编码处理单元,对该编码处理单元包括的每一个编码处理模块的特征分布向量进行融合计算(示例性地,可以通过进行均值计算,以实现融合计算),以输出该编码处理单元对应的特征分布向量;从所述编码处理单元对应的特征分布向量中,分析出所述网络事件识别特征对应的目标分布信息(即通过编码输出的一种特征);对每一个所述编码处理单元对应的目标分布信息进行融合计算(示例性地,可以通过进行均值计算,以实现融合计算),以输出对应的初始特征分布表示网络(所述初始特征分布表示网络表征了各网络安全知识分割子图谱对安全风险分析处理的影响程度,即网络事件识别特征与所有的网络安全知识分割子图谱之间的关联程度,重点在于是全局关联的);
对所述初始特征分布表示网络进行特征分布的转换(例如,可以对所述初始特征分布表示网络中的参数按照从大到小的顺序进行排序,再按照从小到大的顺序进行排序,如此,可以将排序相同的参数进行对应处理,再按照形成的对应关系对所述初始特征分布表示网络中的参数进行转换,该参数可以是指上述计算得到的行为相关性融合值,使得所述初始特征分布表示网络中的特征重点和所述转换特征分布表示网络特征重点互补),以形成转换特征分布表示网络,再将所述转换特征分布表示网络和所述初始特征关系表示网络进行网络拼接处理(例如,可以先对所述转换特征分布表示网络和所述初始特征关系表示网络分别进行归一化处理,再将归一化后的所述转换特征分布表示网络和所述初始特征关系表示网络进行相乘处理,即实现网络拼接处理),以形成中间特征关系表示网络;
依据所述初始特征关系表示网络、所述初始特征分布表示网络和所述中间特征关系表示网络,进行事件安全风险分析处理(也就是说,可以依据所述初始特征关系表示网络、所述初始特征分布表示网络和所述中间特征关系表示网络进行估计处理,从而估计出对应的事件安全风险程度),以输出所述目标网络安全事件对应的事件安全风险程度。
举例来说,在一些可以实现的实施方式中,上述中描述的步骤“依据所述初始特征关系表示网络、所述初始特征分布表示网络和所述中间特征关系表示网络,进行事件安全风险分析处理,以输出所述目标网络安全事件对应的事件安全风险程度”,可以进一步包括以下内容:
基于所述中间特征关系表示网络和所述初始特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和中间特征分布表示网络,再对所述初始特征分布表示网络和所述中间特征分布表示网络进行表示网络的融合处理(如上所述,可以将所述初始特征分布表示网络和所述中间特征分布表示网络相乘),以生成目标特征分布表示网络;
基于所述目标特征分布表示网络分析出所述目标网络安全知识图谱中所述攻击网络行为的排序分布位置;
基于所述攻击网络行为的行为危险程度和排序分布位置(例如,可以先依据所述排序分布位置确定出对应的行为设备,再依据该行为设备与相邻排序分布位置对应的其它行为设备之间数据交互量,确定出一个负相关的系数,再计算该系数和所述行为危险程度的乘积以得到事件安全风险程度),分析输出所述目标网络安全事件对应的事件安全风险程度。
举例来说,在一些可以实现的实施方式中,上述中描述的步骤“基于所述中间特征关系表示网络和所述初始特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和中间特征分布表示网络”,可以进一步包括以下内容:
基于所述中间特征关系表示网络进行识别(可以是通过一种分类网络实现),输出对应的初始识别特征,所述初始识别特征包括多个真实行为危险程度中每一个真实行为危险程度对应的匹配程度表征系数;
基于所述初始识别特征对多个第一编码网络进行融合处理,以形成第二编码网络,再基于所述第二编码网络对所述初始特征关系表示网络进行编码处理,以形成目标特征关系表示网络,以及,再基于所述目标特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和对应的中间特征分布表示网络(示例性地,可以基于所述初始识别特征对多个第一编码网络进行加权求和以实现融合处理,使得形成的第二编码网络实现了对编码网络的重参数化,通过将重参数的编码网络重新对初始特征关系表示网络进行分析处理,可以使得特征重点较弱的网络中对识别有帮助的信息在最后的编码网络中可以具有更高的权重)。
举例来说,在一些可以实现的实施方式中,上述中描述的步骤“基于所述中间特征关系表示网络进行识别,输出对应的初始识别特征”,可以进一步包括以下内容:
对所述中间特征关系表示网络进行网络压缩,以形成对应的压缩特征关系表示网络(示例性地,可以将所述中间特征关系表示网络压缩的一维,以形成对应的压缩特征关系表示网络),再对所述压缩特征关系表示网络分别进行第一特征筛选处理和第二特征筛选处理(所述第一特征筛选处理和所述第二特征筛选处理,可以是通过对应的池化网络进行的两种不同的特征筛选),以形成对应的第一特征关系筛选信息和第二特征关系筛选信息,以及,对所述第一特征关系筛选信息和所述第二特征关系筛选信息进行信息拼接(如进行求和计算等),得到目标特征关系筛选信息;
对所述目标特征关系筛选信息进行识别,以输出对应的初始识别特征(也就是说,所述初始识别特征可以是指一种识别结果)。
举例来说,在一些可以实现的实施方式中,上述中描述的步骤“基于所述目标特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和对应的中间特征分布表示网络”,可以进一步包括以下内容:
对所述目标特征关系表示网络进行第二特征筛选处理,得到第三特征关系筛选信息,再依据所述第三特征关系筛选信息进行识别,以输出对应的目标识别特征,所述目标识别特征用于反映目标网络安全知识图谱中攻击网络行为的行为危险程度;再依据所述第三特征关系筛选信息和所述目标特征关系表示网络,融合输出对应的中间特征分布表示网络(示例性地,所述目标特征关系表示网络包括各个维度的特征关系表示网络,所述第三特征关系筛选信息包括各个维度对应的特征,在生成中间特征分布表示网络时,将所述第三特征关系筛选信息中各个维度的特征作为相应维度的特征关系表示网络的权重,然后,计算各权重与相应维度的特征关系表示网络的加权和,从而形成对应的中间特征分布表示网络)。
举例来说,在一些可以实现的实施方式中,上述中描述的目标知识图谱分析神经网络的形成步骤,可以进一步包括以下内容:
提取到示例性网络安全知识图谱,并确定所述示例性网络安全知识图谱对应的图谱识别标识信息;所述图谱识别标识信息用于反映所述示例性网络安全知识图谱中攻击网络行为的真实行为危险程度;
对所述示例性网络安全知识图谱对应的示例性分割子图谱有序集合进行加载处理,以利用初始的知识图谱分析神经网络包括的编码处理单元组合(所述编码处理单元组合可以是基于Transformer的神经网络)中的多个编码处理单元(还可以包括嵌入网络)对所述示例性分割子图谱有序集合进行特征挖掘处理,以形成对应的初始示例性特征关系表示网络;
依据所述初始的知识图谱分析神经网络包括的部分特征分布确定模块对每一个所述编码处理单元的特征分布向量进行分析(即通过部分特征分布确定模块分别确定每一个所述编码处理单元的特征分布向量,所述特征分布向量可以是一种用于表示影响力的向量),再对每一个所述特征分布向量中网络事件识别特征对应的目标分布信息进行确定(所述目标分布信息可以是一种影响力特征),以及,对每一个目标分布信息进行信息拼接,以输出对应的初始示例性特征分布表示网络,再对所述初始示例性特征分布表示网络进行特征分布的转换,以形成对应的示例性转换特征分布表示网络,以及,再将所述示例性转换特征分布表示网络与所述初始示例性特征关系表示网络进行网络拼接,以形成对应的中间示例性特征关系表示网络,再依据所述中间示例性特征关系表示网络和所述初始示例性特征关系表示网络,对所述示例性网络安全知识图谱进行分析处理,以输出对应的示例性网络安全事件对应的示例性事件安全风险程度;
基于所述示例性网络安全知识图谱对应的示例性事件安全风险程度与所述图谱识别标识信息,分析输出对应的网络学习代价值,再依据所述网络学习代价值对所述初始的知识图谱分析神经网络进行更新(直到满足预设条件),以形成对应的目标知识图谱分析神经网络。
结合图3,本发明实施例还提供一种基于知识图谱推理的网络安全事件分析系统,可应用于上述网络安全服务器。其中,所述基于知识图谱推理的网络安全事件分析系统可以包括以下软件功能模块,如网络安全事件提取模块、知识图谱构建模块和事件安全风险分析模块等。
举例来说,在一些可以实现的实施方式中,所述网络安全事件提取模块,用于提取出目标网络安全事件,所述目标网络安全事件包括多个目标网络行为,每一个所述目标网络行为用于反映目标网络设备与其它网络设备之间的网络交互,所述多个目标网络行为对应的行为时间为至少一个,所述其它网络设备的数量为至少一个;所述知识图谱构建模块,用于依据所述目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱,在所述目标网络安全知识图谱中,每一个目标图谱成员对应于一个所述目标网络行为,且所述目标网络安全知识图谱中携带有用于反映所述目标网络行为之间的行为相关性的信息;所述事件安全风险分析模块,用于利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度,所述事件安全风险程度用于反映目标网络设备遭受到网络攻击的概率。
综上所述,本发明提供的一种基于知识图谱推理的网络安全事件分析方法及系统,可以先提取出目标网络安全事件。依据目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱,在目标网络安全知识图谱中,每一个目标图谱成员对应于一个目标网络行为。利用目标知识图谱分析神经网络,对目标网络安全知识图谱进行分析处理,以输出目标网络安全事件对应的事件安全风险程度,事件安全风险程度用于反映目标网络设备遭受到网络攻击的概率。由于目标网络安全知识图谱中携带有用于反映目标网络行为之间的行为相关性的信息,使得在对目标网络安全知识图谱进行分析处理时,不仅对目标网络行为本身进行分析,还会对目标网络行为之间的相关性进行分析,使得可以在一定程度上提高网络安全事件分析的可靠度。另外,通过神经网络进行分析处理,也可以在一定程度上进一步提高网络安全事件分析的可靠度。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于知识图谱推理的网络安全事件分析方法,其特征在于,应用于网络安全服务器,所述网络安全事件分析方法包括:
提取出目标网络安全事件,所述目标网络安全事件包括多个目标网络行为,每一个所述目标网络行为用于反映目标网络设备与其它网络设备之间的网络交互,所述多个目标网络行为对应的行为时间为至少一个,所述其它网络设备的数量为至少一个;
依据所述目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱,在所述目标网络安全知识图谱中,每一个目标图谱成员对应于一个所述目标网络行为,且所述目标网络安全知识图谱中携带有用于反映所述目标网络行为之间的行为相关性的信息;
利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度,所述事件安全风险程度用于反映所述目标网络设备遭受到网络攻击的概率;
所述利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度的步骤,包括:
对所述目标网络安全知识图谱进行分割处理,以形成多个网络安全知识分割子图谱,再将所述多个网络安全知识分割子图谱进行有序的组合,以形成对应的分割子图谱有序集合;对所述分割子图谱有序集合中的网络安全知识分割子图谱进行图谱特征映射处理,以输出图谱映射特征有序集合;将配置的网络事件识别特征插入所述图谱映射特征有序集合中,以形成对应的映射特征有序集合;将所述映射特征有序集合包括的每一个图谱映射特征对应的分布特征信息合并至所述映射特征有序集合中,以生成初始图谱特征有序集合,所述分布特征信息用于指示对应的图谱映射特征在所述映射特征有序集合中的排序分布位置,所述初始图谱特征有序集合包括网络事件识别特征和所述分割子图谱有序集合中每一个网络安全知识分割子图谱对应的网络安全知识分割子图谱特征;
利用目标知识图谱分析神经网络包括的多个编码处理单元分别对所述初始图谱特征有序集合进行特征挖掘处理,输出初始特征关系表示网络;
对于每一个所述编码处理单元,对该编码处理单元包括的每一个编码处理模块的特征分布向量进行融合计算,以输出该编码处理单元对应的特征分布向量;从所述编码处理单元对应的特征分布向量中,分析出所述网络事件识别特征对应的目标分布信息;对每一个所述编码处理单元对应的目标分布信息进行融合计算,以输出对应的初始特征分布表示网络;
对所述初始特征分布表示网络进行特征分布的转换,以形成转换特征分布表示网络,再将所述转换特征分布表示网络和所述初始特征关系表示网络进行网络拼接处理,以形成中间特征关系表示网络;
依据所述初始特征关系表示网络、所述初始特征分布表示网络和所述中间特征关系表示网络,进行事件安全风险分析处理,以输出所述目标网络安全事件对应的事件安全风险程度。
2.如权利要求1所述的基于知识图谱推理的网络安全事件分析方法,其特征在于,所述提取出目标网络安全事件的步骤,包括:
对所述目标网络设备进行网络行为监控,以输出所述目标网络设备对应的网络行为集合,所述网络行为集合包括多个网络行为;
从所述网络行为集合包括的多个网络行为中提取出每一个目标网络行为,以组建形成目标网络安全事件,每一个所述目标网络行为对应的行为时间属于最近的一个网络安全监控周期内。
3.如权利要求1所述的基于知识图谱推理的网络安全事件分析方法,其特征在于,所述依据所述目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱的步骤,包括:
对于所述目标网络安全事件包括的每一个目标网络行为,分别对该目标网络行为的行为时间和行为设备进行确定处理,所述目标网络行为用于反映两个网络设备之间的网络交互,所述行为设备属于该两个网络设备中所述目标网络设备以外的另一个网络设备;
依据每一个所述目标网络行为对应的行为时间和行为设备,对所述目标网络安全事件包括的每一个目标网络行为进行排序分布,以确定每一个所述目标网络行为对应的排序分布位置;
对于所述目标网络安全事件包括的每一个目标网络行为,分别对该目标网络行为和每一个其它目标网络行为进行行为相关性的确定处理,再对该目标网络行为和每一个其它目标网络行为之间的行为相关性进行融合,以输出该目标网络行为对应的行为相关性融合值;
依据每一个所述目标网络行为对应的排序分布位置和对应的行为相关性融合值,构建形成目标网络安全知识图谱,在所述目标网络安全知识图谱中,每一个目标图谱成员对应于一个所述目标网络行为,且每一个目标图谱成员的成员属性值为对应的目标网络行为对应的行为相关性融合值。
4.如权利要求1所述的基于知识图谱推理的网络安全事件分析方法,其特征在于,所述依据所述初始特征关系表示网络、所述初始特征分布表示网络和所述中间特征关系表示网络,进行事件安全风险分析处理,以输出所述目标网络安全事件对应的事件安全风险程度的步骤,包括:
基于所述中间特征关系表示网络和所述初始特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和中间特征分布表示网络,再对所述初始特征分布表示网络和所述中间特征分布表示网络进行表示网络的融合处理,以生成目标特征分布表示网络;
基于所述目标特征分布表示网络分析出所述目标网络安全知识图谱中所述攻击网络行为的排序分布位置;
基于所述攻击网络行为的行为危险程度和排序分布位置,分析输出所述目标网络安全事件对应的事件安全风险程度。
5.如权利要求4所述的基于知识图谱推理的网络安全事件分析方法,其特征在于,所述基于所述中间特征关系表示网络和所述初始特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和中间特征分布表示网络的步骤,包括:
基于所述中间特征关系表示网络进行识别,输出对应的初始识别特征,所述初始识别特征包括多个真实行为危险程度中每一个真实行为危险程度对应的匹配程度表征系数;
基于所述初始识别特征对多个第一编码网络进行融合处理,以形成第二编码网络,再基于所述第二编码网络对所述初始特征关系表示网络进行编码处理,以形成目标特征关系表示网络;
基于所述目标特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和对应的中间特征分布表示网络。
6.如权利要求5所述的基于知识图谱推理的网络安全事件分析方法,其特征在于,所述基于所述中间特征关系表示网络进行识别,输出对应的初始识别特征的步骤,包括:
对所述中间特征关系表示网络进行网络压缩,以形成对应的压缩特征关系表示网络,再对所述压缩特征关系表示网络分别进行第一特征筛选处理和第二特征筛选处理,以形成对应的第一特征关系筛选信息和第二特征关系筛选信息,以及,对所述第一特征关系筛选信息和所述第二特征关系筛选信息进行信息拼接,得到目标特征关系筛选信息;
对所述目标特征关系筛选信息进行识别,以输出对应的初始识别特征。
7.如权利要求5所述的基于知识图谱推理的网络安全事件分析方法,其特征在于,所述基于所述目标特征关系表示网络,分析出所述目标网络安全知识图谱中攻击网络行为的行为危险程度和对应的中间特征分布表示网络的步骤,包括:
对所述目标特征关系表示网络进行第二特征筛选处理,得到第三特征关系筛选信息,再依据所述第三特征关系筛选信息进行识别,以输出对应的目标识别特征,所述目标识别特征用于反映目标网络安全知识图谱中攻击网络行为的行为危险程度;
依据所述第三特征关系筛选信息和所述目标特征关系表示网络,融合输出对应的中间特征分布表示网络。
8.如权利要求1所述的基于知识图谱推理的网络安全事件分析方法,其特征在于,更新形成所述目标知识图谱分析神经网络的步骤,包括:
提取到示例性网络安全知识图谱,并确定所述示例性网络安全知识图谱对应的图谱识别标识信息;所述图谱识别标识信息用于反映所述示例性网络安全知识图谱中攻击网络行为的真实行为危险程度;
对所述示例性网络安全知识图谱对应的示例性分割子图谱有序集合进行加载处理,以利用初始的知识图谱分析神经网络包括的编码处理单元组合中的多个编码处理单元对所述示例性分割子图谱有序集合进行特征挖掘处理,以形成对应的初始示例性特征关系表示网络;
依据所述初始的知识图谱分析神经网络包括的部分特征分布确定模块对每一个所述编码处理单元的特征分布向量进行分析,再对每一个所述特征分布向量中网络事件识别特征对应的目标分布信息进行确定,以及,对每一个目标分布信息进行信息拼接,以输出对应的初始示例性特征分布表示网络,再对所述初始示例性特征分布表示网络进行特征分布的转换,以形成对应的示例性转换特征分布表示网络,以及,再将所述示例性转换特征分布表示网络与所述初始示例性特征关系表示网络进行网络拼接,以形成对应的中间示例性特征关系表示网络,再依据所述中间示例性特征关系表示网络和所述初始示例性特征关系表示网络,对所述示例性网络安全知识图谱进行分析处理,以输出对应的示例性网络安全事件对应的示例性事件安全风险程度;
基于所述示例性网络安全知识图谱对应的示例性事件安全风险程度与所述图谱识别标识信息,分析输出对应的网络学习代价值,再依据所述网络学习代价值对所述初始的知识图谱分析神经网络进行更新,以形成对应的目标知识图谱分析神经网络。
9.一种基于知识图谱推理的网络安全事件分析系统,其特征在于,应用于网络安全服务器,所述网络安全事件分析系统包括:
网络安全事件提取模块,用于提取出目标网络安全事件,所述目标网络安全事件包括多个目标网络行为,每一个所述目标网络行为用于反映目标网络设备与其它网络设备之间的网络交互,所述多个目标网络行为对应的行为时间为至少一个,所述其它网络设备的数量为至少一个;
知识图谱构建模块,用于依据所述目标网络安全事件包括的每一个目标网络行为,构建形成目标网络安全知识图谱,在所述目标网络安全知识图谱中,每一个目标图谱成员对应于一个所述目标网络行为,且所述目标网络安全知识图谱中携带有用于反映所述目标网络行为之间的行为相关性的信息;
事件安全风险分析模块,用于利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度,所述事件安全风险程度用于反映所述目标网络设备遭受到网络攻击的概率;
所述利用目标知识图谱分析神经网络,对所述目标网络安全知识图谱进行分析处理,以输出所述目标网络安全事件对应的事件安全风险程度的步骤,包括:
对所述目标网络安全知识图谱进行分割处理,以形成多个网络安全知识分割子图谱,再将所述多个网络安全知识分割子图谱进行有序的组合,以形成对应的分割子图谱有序集合;对所述分割子图谱有序集合中的网络安全知识分割子图谱进行图谱特征映射处理,以输出图谱映射特征有序集合;将配置的网络事件识别特征插入所述图谱映射特征有序集合中,以形成对应的映射特征有序集合;将所述映射特征有序集合包括的每一个图谱映射特征对应的分布特征信息合并至所述映射特征有序集合中,以生成初始图谱特征有序集合,所述分布特征信息用于指示对应的图谱映射特征在所述映射特征有序集合中的排序分布位置,所述初始图谱特征有序集合包括网络事件识别特征和所述分割子图谱有序集合中每一个网络安全知识分割子图谱对应的网络安全知识分割子图谱特征;
利用目标知识图谱分析神经网络包括的多个编码处理单元分别对所述初始图谱特征有序集合进行特征挖掘处理,输出初始特征关系表示网络;
对于每一个所述编码处理单元,对该编码处理单元包括的每一个编码处理模块的特征分布向量进行融合计算,以输出该编码处理单元对应的特征分布向量;从所述编码处理单元对应的特征分布向量中,分析出所述网络事件识别特征对应的目标分布信息;对每一个所述编码处理单元对应的目标分布信息进行融合计算,以输出对应的初始特征分布表示网络;
对所述初始特征分布表示网络进行特征分布的转换,以形成转换特征分布表示网络,再将所述转换特征分布表示网络和所述初始特征关系表示网络进行网络拼接处理,以形成中间特征关系表示网络;
依据所述初始特征关系表示网络、所述初始特征分布表示网络和所述中间特征关系表示网络,进行事件安全风险分析处理,以输出所述目标网络安全事件对应的事件安全风险程度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211022325.0A CN115098705B (zh) | 2022-08-25 | 2022-08-25 | 基于知识图谱推理的网络安全事件分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211022325.0A CN115098705B (zh) | 2022-08-25 | 2022-08-25 | 基于知识图谱推理的网络安全事件分析方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115098705A CN115098705A (zh) | 2022-09-23 |
| CN115098705B true CN115098705B (zh) | 2022-11-11 |
Family
ID=83301465
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211022325.0A Active CN115098705B (zh) | 2022-08-25 | 2022-08-25 | 基于知识图谱推理的网络安全事件分析方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115098705B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115603973B (zh) * | 2022-09-30 | 2023-04-25 | 浙江电科智盛科技有限公司 | 基于政务信息网络的异构安全监测方法及系统 |
| CN115828011B (zh) * | 2022-10-13 | 2023-11-10 | 四川宏智科信数字科技有限公司 | 基于大数据的数据分析方法和平台 |
| CN115910240B (zh) * | 2022-11-03 | 2023-09-26 | 广东科云诚新材料有限公司 | 聚酯增塑剂的性能测试数据处理方法及系统 |
| CN115511396B (zh) * | 2022-11-22 | 2023-03-24 | 成都银光软件有限公司 | 基于数据分析的食品管理设备运行监控方法及系统 |
| CN115599312B (zh) * | 2022-12-02 | 2023-10-27 | 北京国联视讯信息技术股份有限公司 | 基于存储集群的大数据处理方法及ai系统 |
| CN115687792B (zh) * | 2022-12-20 | 2023-06-16 | 成都坐联智城科技有限公司 | 针对在线互联网服务的大数据采集方法及系统 |
| CN116432210B (zh) * | 2023-06-13 | 2023-08-29 | 成都航空职业技术学院 | 一种基于安全保护的档案管理方法和系统 |
| CN117579499B (zh) * | 2023-12-27 | 2024-05-31 | 长扬科技(北京)股份有限公司 | 网络行为审计记录方法、装置、计算设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109005069A (zh) * | 2018-08-29 | 2018-12-14 | 中国人民解放军国防科技大学 | 基于天地一体化网络的网络安全知识图谱的关联分析方法 |
| CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
| CN112073415A (zh) * | 2020-09-08 | 2020-12-11 | 北京天融信网络安全技术有限公司 | 一种网络安全知识图谱的构建方法及装置 |
| CN112487208A (zh) * | 2020-12-14 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 一种网络安全数据关联分析方法、装置、设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10542015B2 (en) * | 2016-08-15 | 2020-01-21 | International Business Machines Corporation | Cognitive offense analysis using contextual data and knowledge graphs |
| CN111177417B (zh) * | 2020-04-13 | 2020-06-30 | 中国人民解放军国防科技大学 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
| CN114430331A (zh) * | 2020-10-28 | 2022-05-03 | 北京简易科技有限公司 | 一种基于知识图谱的网络安全态势感知方法及系统 |
-
2022
- 2022-08-25 CN CN202211022325.0A patent/CN115098705B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109005069A (zh) * | 2018-08-29 | 2018-12-14 | 中国人民解放军国防科技大学 | 基于天地一体化网络的网络安全知识图谱的关联分析方法 |
| CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
| CN112073415A (zh) * | 2020-09-08 | 2020-12-11 | 北京天融信网络安全技术有限公司 | 一种网络安全知识图谱的构建方法及装置 |
| CN112487208A (zh) * | 2020-12-14 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 一种网络安全数据关联分析方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| "融合知识图谱的网络安全违法行为识别系统";吕明琪 等;《小型微型计算机系统》;20210430;第42卷(第4期);第740-747页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115098705A (zh) | 2022-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115098705B (zh) | 基于知识图谱推理的网络安全事件分析方法及系统 | |
| CN113657545B (zh) | 用户业务数据的处理方法、装置、设备及存储介质 | |
| CN113778894B (zh) | 测试用例的构建方法、装置、设备及存储介质 | |
| CN115814686B (zh) | 一种镭射气体混配生产系统的状态监控方法及系统 | |
| CN115577701B (zh) | 针对大数据安全的风险行为识别方法、装置、设备及介质 | |
| CN111612037A (zh) | 异常用户检测方法、装置、介质及电子设备 | |
| US20230156043A1 (en) | System and method of supporting decision-making for security management | |
| CN115620211B (zh) | 阻燃低烟无卤护套的性能数据处理方法及系统 | |
| CN115204536A (zh) | 楼宇设备故障预测方法、装置、设备及存储介质 | |
| CN117155771B (zh) | 一种基于工业物联网的设备集群故障溯源方法及装置 | |
| CN116628138A (zh) | 应用于深度学习的物流订单文本挖掘方法及系统 | |
| CN116070149A (zh) | 基于人工智能的数据分析方法、系统及云平台 | |
| CN116342164A (zh) | 目标用户群体的定位方法、装置、电子设备及存储介质 | |
| CN115757900A (zh) | 应用人工智能模型的用户需求分析方法及系统 | |
| CN115484044A (zh) | 一种数据状态的监控方法及系统 | |
| CN114528908A (zh) | 网络请求数据分类模型训练方法、分类方法及存储介质 | |
| CN113869431A (zh) | 虚假信息检测方法、系统、计算机设备及可读存储介质 | |
| CN112866295A (zh) | 一种区块链大数据防爬虫处理方法及云平台系统 | |
| CN116883952B (zh) | 基于人工智能算法的电力施工现场违章识别方法及系统 | |
| CN115906170B (zh) | 应用于存储集群的安全防护方法及ai系统 | |
| CN114625747B (zh) | 基于信息安全的风控更新方法及系统 | |
| CN117235265B (zh) | 一种电力数据文件的处理系统和方法 | |
| CN114139165B (zh) | 基于机器学习中的多目标识别的智能合约漏洞检测方法 | |
| CN115550014B (zh) | 应用程序防护方法及相关设备 | |
| CN116910729B (zh) | 应用于多组织架构的核身处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |