(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211156094.2 (22)申请日 2022.09.22 (71)申请人 中国电子科技 集团公司第三十 研究 所 地址 610000 四川省成 都市高新区创业路6 号 (72)发明人 饶志宏　刘方　徐锐　聂大成　 陈剑锋　许卡　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 周浩杰 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/2458(2019.01) G06F 16/28(2019.01)G06N 5/02(2006.01) (54)发明名称 一种基于知识图谱的网络攻击预测方法及 装置 (57)摘要 本发明公开了一种基于知识图谱的网络攻 击预测方法及装置， 属于网络安全领域， 包括步 骤： S101， 获取数据； S102， 对获取的数据进行预 处理； S103， 构建面向网络攻击的网络安全本体； S104， 按照定义好的知识表达模型抽取数据； S105， 对抽取的各类数据进行融合修正， 构建网 络安全知识图谱； S106， 利用构建的网络安全知 识图谱对攻击事件进行预测。 本发 明提高了攻击 行为的预测准确率。 权利要求书2页 说明书9页 附图3页 CN 115296924 A 2022.11.04 CN 115296924 A 1.一种基于知识图谱的网络攻击预测方法， 其特 征在于， 包括以下步骤： S101， 获取 数据； S102， 对获取的数据进行 预处理； S103， 构建面向网络攻击的网络安全本体； S104， 按照定义 好的知识 表达模型抽取 数据； S105， 对抽取的各类数据进行融合 修正， 构建网络安全知识图谱； S106， 利用构建的网络安全知识图谱 对攻击事 件进行预测。 2.根据权利要求1所述的基于知识图谱的网络攻击预测方法， 其特征在于， 在步骤S101 中， 获取的数据包括网络资产探测数据、 漏洞信息数据、 威胁情报数据和安防设备日志数 据。 3.根据权利要求1所述的基于知识图谱的网络攻击预测方法， 其特征在于， 在步骤S102 中， 所述预处理包括数据归一化处理、 数据去重与归并处理、 数据分类处理和数据时空配准 处理。 4.根据权利要求1所述的基于知识图谱的网络攻击预测方法， 其特征在于， 在步骤S103 中， 包括子步骤： 定义知识 表达模型， 采用三元组进行知识 表示。 5.根据权利要求4所述的基于知识图谱的网络攻击预测方法， 其特征在于， 在步骤S104 中， 按照定义 好的知识 表达模型抽取 各类数据三元组。 6.根据权利要求1所述的基于知识图谱的网络攻击预测方法， 其特征在于， 在步骤S105 中， 所述修正包括对安全事件的聚合归并、 事件可信度修正、 互斥事件修正、 误报事件去除 和漏报事件补全； 所述网络安全知识图谱包括攻击模式图谱、 威胁情报图谱和网络资产图 谱， 具体包括子步骤： 1） 将相同设备的数据进行归并； 2） 对一致的事件数据进行归并； 3） 基于威胁情报数据对事件进行标签化， 分析可信度， 将互斥事件进行修正， 剔除误报 事件； 4） 利用专家知识， 针对已知攻击建立攻击模式库； 根据攻击模式库， 对漏报事件进行补 全； 通过攻击模式库中对攻击链的描述， 在关联到的多步攻击中， 如果 发现少了其中一个攻 击步骤， 则判断少了的这个攻击步骤是否是所述多步攻击中此步骤的下一个攻击步骤的必 要步骤， 如是， 则据此推断安防设备对攻击事件进行了漏报， 对该多步攻击事件进行补全； 如否， 则直接进入步骤5） ； 5） 对修正后的数据进行图谱构建， 形成攻击模式图谱、 威胁情报图谱、 网络资产图谱； 利用基础数据库对图谱进行访问存 储。 7.根据权利要求6所述的基于知识图谱的网络攻击预测方法， 其特征在于， 所述基础数 据库为Neo4J数据库。 8.根据权利要求1所述的基于知识图谱的网络攻击预测方法， 其特征在于， 在步骤S106 中， 包括如下子步骤： 1）针对网络安全知识图谱中的结构化知识表示为无向图 G= (V,E) ， 其中 表示图谱中实体节点的集合， E表示实体间各种关系边的集合； 网络安权　利　要　求　书 1/2 页 2 CN 115296924 A 2全知识图谱中的每个三元组被表示为 ， 其中 和 分别表示被链接的头实体 节点和尾实体节点， 表示这两个实体节点间的关系； 将网络安全知识图谱的异构网络嵌入 到低维向量空间中， 形成低维向量； 2） 在向量化的基础上， 先加入约束规则条件， 再将约束条件转换为基础数据库查询语 句， 获得候选子图， 再对候选子图进 行相似度计算， 利用相似度计算算法来度量安防设备检 测到的攻击事件序列和构建的知识图谱中攻击模式图谱的相似度， 挖掘攻击事件序列的 隐 藏关系和路径， 并对攻击路径和目标进行预测； 所述约束规则条件包括攻击事件序列发生 需要利用的漏洞、 攻击目标的资产属 性、 其中一项攻击事件发生的前提是必须在某个攻击 执行成功后； 3） 将向量化后的攻击事件序列与经过约束条件过滤的攻击模式子图基于DTW算法来计 算最短路径； 4） 对获得的攻击模式子图依靠领域专 家进行校正； 5） 根据获得的攻击模式子图， 对攻击路径和攻击目标进行 预测。 9.根据权利要求8所述的基于知识图谱的网络攻击预测方法， 其特征在于， 在步骤3） 中， 包括子步骤： 步骤①： 将攻击事 件序列和经 过约束条件过 滤的攻击模式子图进行向量 化； 步骤②： 计算向量化的攻击事件序列与攻击模式子图中每个攻击模式序列之间的距离 矩阵； 步骤③： 寻找一条从矩阵左上角到右下角的路径， 如果该路径上的元素和最小， 则该条 路径就是与攻击事 件序列匹配的攻击模式子图。 10.一种基于知识图谱的网络攻击预测装置， 其特征在于， 包括程序存储单元和程序运 行单元， 当程序存储单元中的程序被程序运行单元加载时执行如权利要求1~9任一项所述 的基于知识图谱的网络攻击预测方法。权　利　要　求　书 2/2 页 3 CN 115296924 A 3