(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210885821.2 (22)申请日 2022.07.26 (71)申请人 中国电子科技 集团公司第十五研究 所 地址 100083 北京市海淀区北四环中路21 1 号 申请人 中国电子科技 集团公司第三十 研究 所 (72)发明人 任传伦　俞赛赛　刘晓影　谭震　 乌吉斯古愣 　孟祥頔　任秋洁　 王玥　王明琛　 (74)专利代理 机构 北京丰浩知识产权代理事务 所(普通合伙) 11781 专利代理师 李学康(51)Int.Cl. H04L 9/40(2022.01) G06F 16/36(2019.01) (54)发明名称 一种基于超图关联的APT攻击线索拓展方法 和装置 (57)摘要 本发明公开了一种基于超图关联的APT攻击 线索拓展方法和装置， 所述方法， 其具体包括： 利 用互联网开源的威胁情报库获取开源安全情报 信息， 构建定制化安全情报图库； 利用安全告警 实体关系， 构建得到针对APT攻击线索的知识图 谱超图； 对所构建的知识图谱超图进行实体抽 取， 得到安全信息关联数据， 利用更新后的实体 和超边对知识图谱超图进行更新， 将更新后的知 识图谱超图中的超边和顶点的交替循环序列作 为超边链接序列， 将超边链接序列作为APT攻击 线索关联拓展规则模式， 利用该APT攻击线索关 联拓展规则模式完成对APT攻击事件的线索拓 展。 本发明可有效实现弱信息线索下的APT攻击 线索关联拓展， 支撑网络攻击实现追踪溯源和攻 击过程还原。 权利要求书3页 说明书7页 附图1页 CN 115208684 A 2022.10.18 CN 115208684 A 1.一种基于超图关联的APT攻击线索拓展方法， 其特 征在于， 其具体包括： S1， 利用互联网开源的威胁情报库获取开源安全情报信 息， 利用开源安全情报信息， 构 建开源安全情 报知识图谱， 根据开源安全情 报知识图谱， 构建定制化 安全情报图库； S2， 对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取， 得到安全告警实 体和其对应的安全告警实体关系， 利用安全告警实体 关系， 构建得到针对APT攻击线索的知 识图谱超图； S3,获取APT攻击安全告警数据， 对所构建的知识图谱超图进行实体抽取， 得到安全信 息关联数据， 对安全信息关联数据以超图形式进行推理分析计算， 得到更新后的实体和超 边， 利用更新后的实体和超边对知识图谱超图进行更新， 将更新后的知识图谱超图中的超 边和顶点的交替循环序列作为超边链接序列， 将超边链接序列作为APT攻击线索关联拓展 规则模式， 利用该APT攻击线索关联拓展规则模式完成对APT攻击事 件的线索拓展。 2.如权利要求1所述的基于超图关联的APT攻击线索拓展方法， 其特征在于， 步骤S1所 述的根据开源安全情 报知识图谱， 构建定制化 安全情报图库， 其具体包括： 根据开源安全情报知识图谱， 利用开源安全情报信息所包含的攻击地址、 攻击资源和 协议类型， 对开源安全情报信息进行关联关系 标注， 得到标注结果， 利用标注结果， 对开源 安全情报信息所包含的APT攻击线索信息利用聚类方法进行聚合， 得到定制化安全情报图 库， 定制化 安全情报图库中包 含同类关联的APT攻击线索信息 。 3.如权利要求1所述的基于超图关联的APT攻击线索拓展方法， 其特征在于， 所述的步 骤S1,其具体包括： 按照网络威胁信息的结构化语言标准， 对开源安全情报信息进行预处理和格式整编， 得到无冗余、 格式化的安全情报信息， 对该安全情报信息进 行知识抽取、 知识融合和知识加 工， 得到开源安全情 报知识图谱； 利用开源安全情报信息所包含的攻击地址、 攻击资源和协议类型， 对开源安全情报信 息进行关联关系标注， 得到标注结果， 根据标注结果， 对开源安全情报信息所包含的APT攻 击线索信息利用聚类方法进行聚合， 得到聚合后的开源安全情报信息， 以聚合后的开源安 全情报信息中的实体为顶 点， 以实体的关联关系为边， 构建适用于APT攻击线索信息 关联拓 展的定制化 安全情报图库。 4.如权利要求1所述的基于超图关联的APT攻击线索拓展方法， 其特征在于， 所述的步 骤S2， 其具体包括： 对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取， 得到安全告警实体 和其对应的安全告警实体关系； 利用安全告警实体关系， 对具有关联关系的多个安全告警 实体进行链接， 得到安全告警实体链接信息； 利用安全告警实体链接信息构建得到知识图 谱超图中的超边， 将同类关联的APT攻击线索信息作为知识图谱超图中的顶 点， 利用顶 点和 超边构建得到针对APT攻击线索的知识图谱 超图。 5.如权利要求4所述的基于超图关联的APT攻击线索拓展方法， 其特征在于， 步骤S2中 所述的对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取， 得到安全告警实 体和其对应的安全告警 实体关系， 其具体包括： 对定制化安全情报图库中的APT攻击线索信息， 根据APT攻击线索信息类别和关联关系 特性进行分类， 得到威胁情报实体簇， 对威胁情报实体簇通过基于深度强化学习的关联关权　利　要　求　书 1/3 页 2 CN 115208684 A 2系抽取方法， 得到安全告警 实体和其对应的安全告警 实体关系。 6.如权利要求5所述的基于超图关联的APT攻击线索拓展方法， 其特 征在于， 所述的APT攻击线索信息类别包括人员、 组织、 IP、 设备、 样本和域名信息， 关联关系特 性是指是否在同一 攻击事件中关联 出现的APT攻击线索信息 。 7.如权利要求4所述的基于超图关联的APT攻击线索拓展方法， 其特征在于， 步骤S2中 所述的对定制化安全情报图库中的APT攻击线索信息进行实体关系抽取， 得到安全告警实 体和其对应的安全告警 实体关系， 其具体包括： 对定制化安全情报图库中的APT攻击线索信息， 按照实体类别和实体关系进行分类， 得 到安全分类情报信息； 对安全分类情报信息通过实体关系抽取方法， 得到安全告警实体和 其对应的安全告警 实体关系。 8.如权利要求1所述的基于超图关联的APT攻击线索拓展方法， 其特征在于， 所述的步 骤S3， 其具体包括： S31， 获取APT攻击安全告警数据， 对APT攻击安全告警数据进行实体抽取， 得到APT攻击 安全告警实体， 从实体类别和实体特征关联关系对APT攻击安全告警实体进 行分类， 得到告 警实体簇， 将告警 实体簇作为顶点， 增 加到知识图谱 超图中； S32， 利用语义匹配模型和超图学习方法计算知识图谱超图中的新增顶点与原有顶点 间的关联关系， 将有关联关系的顶点之间进行链接， 从而在有关联关系的顶点之间形成知 识图谱超图中的超边； S33， 对所有告警实体簇对应的新增顶点重 复步骤S32， 完成对知识图谱超图的更新； 将 更新后的知识图谱 超图中的超边和顶点的交替循环序列 作为超边链接序列； S34， 将超边链接序列以树的形式进行存储， 作为APT攻击线索关联拓展规则模式， 利用 该APT攻击线索关联拓展规则模式完成对APT攻击事 件的线索拓展。 9.一种基于超图关联的APT攻击线索拓展装置， 其特 征在于， 其具体包括： 定制化安全情报图库构建模块， 用于利用互联网开源的威胁情报库获取开源安全情报 信息， 利用开源安全情报信息， 构建开源安全情报知识图谱， 根据开源安全情报知识图谱， 构建定制化 安全情报图库； 知识图谱超图构建模块， 用于对定制化安全情报图库中的APT攻击线索信息进行实体 关系抽取， 得到安全告警实体和其对应的安全告警实体关系， 利用安全告警实体关系， 构建 得到针对APT攻击线索的知识图谱 超图； APT攻击事件的线索拓展模块， 用于获取APT攻击安全告警数据， 对所构建的知识图谱 超图进行实体抽取， 得到安全信息关联数据， 对安全信息关联数据以超图形式进行推理分 析计算， 得到更新后的实体和超边， 利用更新后的实体和超边对知识图谱超图进 行更新， 将 更新后的知识图谱超图中的超边和顶点的交替循环序列作为超边链接序列， 将超边链接序 列作为APT攻击线索关联拓展规则模式， 利用该APT攻击线索关联拓展规则模式完成对APT 攻击事件的线索拓展； 定制化安全情报图库构建模块与知识图谱超图构建模块相连接， 知识图谱超图构建模 块与APT攻击事 件的线索拓展模块相连接 。 10.一种基于超图关联的APT攻击线索拓展装置， 其特 征在于， 所述装置包括： 存储有可执行程序代码的存 储器；权　利　要　求　书 2/3 页 3 CN 115208684 A 3