(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210394256.X (22)申请日 2022.04.14 (71)申请人 北京金睛云华科技有限公司 地址 100089 北京市海淀区北三环中路4 4 号58号1层21号 申请人 金睛云华 （沈阳） 科技有限公司 (72)发明人 胡文友　曲武　胡永亮　李家豪　 (74)专利代理 机构 成都华复知识产权代理有限 公司 512 98 专利代理师 蒋文芳 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) G06F 16/35(2019.01) G06F 16/36(2019.01)G06N 3/04(2006.01) G06N 3/08(2006.01) G06N 5/02(2006.01) (54)发明名称 一种基于知识图谱的黑客攻击场景构建方 法和设备 (57)摘要 本发明的实施例提供了一种基于知识图谱 的黑客攻击场景构建方法和设备。 所述方法包括 获取告警信息， 对所述告警信息进行预处理， 得 到多维矩阵关联模型； 将所述多维矩阵关联模型 中的一类逻辑链条映射到知识图谱 结构中； 对所 述多维矩 阵关联模型中的二类逻辑链条和三类 逻辑链条进行补充， 将补充后形成的一类逻辑链 条映射到所述知识图谱结构中， 构建知识图谱。 以此方式， 可以对知识图谱的完整性进行改良完 善， 更好的推理出黑客攻击场景， 对攻击场景的 补全和逻辑分析拥有较好的效果。 权利要求书3页 说明书14页 附图4页 CN 114726634 A 2022.07.08 CN 114726634 A 1.一种基于黑 客攻击场景的知识图谱构建方法， 其特 征在于， 包括： 获取告警信息， 对所述告警信息进行 预处理， 得到多维矩阵关联模型； 将所述多维矩阵关联模型中的一类逻辑链条映射到知识图谱结构中； 对所述多维矩阵关联模型中的二类逻辑链条和三类逻辑链条进行补充， 将补充后形成 的一类逻辑链条映射到所述知识图谱结构中， 构建知识图谱。 2.根据权利要求1所述的方法， 其特 征在于， 所述对所述告警信息进行 预处理， 包括： 提取告警信息中的告警事 件， 并将告警事 件以九元组的形式表示； 将所述告警事 件按照时间属性进行排序， 得到告警序列； 根据告警信息中的源端口和目标端口信息， 提取所述告警序列中告警事件的逻辑关 系； 将所述告警序列按照 时间段进行聚类， 将聚类后的告警事件进行矩阵化， 得到若干个 告警矩阵， 其中告警事 件作为告警矩阵中的告警状态 节点； 根据所述告警状态节点之间的逻辑关系生成告警状态节点之间的链路关系， 并建立存 在告警状态 节点之间的链路关系的告警矩阵之间的逻辑链条， 生成多维矩阵关联模型。 3.根据权利要求2所述的方法， 其特征在于， 所述逻辑链条包括一类逻辑链条、 二类逻 辑链条和三类逻辑链条； 所述一类逻辑链条为包含黑客从攻击开始到攻击成功的告警信息所对应的告警状态 节点与链路关系组成的完整逻辑链条； 所述二类逻辑链条为除所述一类逻辑链条外的逻辑链长度 大于标准长度的逻辑链条； 所述标准长度为 其中p为长度比例， 且 0＜p＜1； S_ L表示完整逻辑链条S的平均 长度； 所述三类逻辑链条为除所述 一类逻辑链条和二类逻辑链条外的其 他逻辑链条。 4.根据权利要求2所述的方法， 其特 征在于， 还 包括： 在所述多维矩阵关联模型中， 若告警矩阵中的告警状态节点数量小于预设的节点数量 阈值， 则将该告警矩阵从所述多维矩阵关联模型中删除； 在所述多维矩阵关联模型中， 若所述告警矩阵与其他多维告警矩阵之间的链接数量小 于预设的链接数量阈值， 则将该告警矩阵从所述多维矩阵关联模型中删除。 5.根据权利要求3所述的方法， 其特征在于， 所述将所述多维矩阵关联模型中的一类逻 辑链条映射到知识图谱结构中， 包括： 获取知识图谱结构， 所述知识图谱结构包括模式层和数据层， 所述模式层包括以 “实 体‑关系‑实体”的元模型； 将所述一类逻辑链条中的节点与链路关系以 “实体‑关系‑实体”的形式映射到知识图 谱结构的数据层。 6.根据权利要求3所述的方法， 其特征在于， 所述对所述多维矩阵关联模型中的二类逻 辑链条和三类逻辑链条进行补充， 包括： 将专家知识与感染模型补充到所述知识图谱的模式层； 判断所述二类逻辑链条和三类逻辑链条是否符合专家知识， 若不符合， 则不予映射； 判 断所述二类逻辑链条和三类逻辑链条对应的黑客攻击是否符合所述感染模 型的攻击场景， 若符合， 则根据所述感染模型推演出 所述黑客攻击对应的逻辑链条；权　利　要　求　书 1/3 页 2 CN 114726634 A 2将所述黑客攻击对应的逻辑链条与 所述多维矩阵关联模型中的逻辑链条进行印证， 若 印证成功， 则保留所述黑客攻击对应的逻辑链条； 若印证不成功， 则继续判断是否存在冲 突， 若冲突， 则不保留所述黑客攻击对应的逻辑链条并将所述逻辑链条记录为不再启用； 若 不冲突， 则不保留所述 黑客攻击对应的逻辑链条； 若记录为不再启用的逻辑链条个数超过预设的个数阈值， 则弃用对应的感染模型， 更 新模式层。 7.根据权利要求6所述的方法， 其特征在于， 所述将补充后形成的一类逻辑链条映射到 所述知识图谱结构中， 包括： 计算补充后知识图谱中的告警状态 节点之间的逻辑关联度； 根据所述逻辑关联度对补充后知识图谱中的告警状态节点进行聚类， 将聚类后 不同聚 类中告警状态 节点之间的链路关系映射到所述知识图谱结构中； 所述计算补充后知识图谱中的告警状态 节点之间的逻辑关联度， 包括： 其中， Lin为逻辑关联度； Mac为告警状态节点链路数； ToM为告警状态节点与逻辑链条 的全部状态转移数量； DB为 易感因子 。 8.根据权利要求1所述的方法， 其特 征在于， 还 包括： 构建GAN模型， 将黑客攻击的真实样本数据输入所述GAN模型， 将输出结果输入到所述 多维矩阵关联模型中， 更新所述多维矩阵关联模型； 其中， 所述GAN模型通过生成器接收扰动值， 分析告警事件和逻辑链条， 构建神经网络， 输出假样本数据到鉴别器； 所述神经网络包括三层网络结构， 第一层网络为由两个卷积层、 两个实例正则化层和一个线性整流层组成的堆栈； 第二层网络由两个卷积层和一个实例正 则化层组成； 第三层网络由两个反卷积层、 一个实例正则化层和一个线性整数层组成； 所述 鉴别器接收黑客攻击的真实样本数据以及所述生成器输出的假样本数据的混合数据， 对所 述混合数据进行鉴别， 输出鉴别结果； 其中， GAN模型的损失函数为： 其中， E表示期望； G表示生成器； D表示鉴别器； t表示随机噪声； G(t)表示所述生成器的 神经网络输出的假样 本数据； D(G(t))表 示鉴别器鉴别假样本数据为真实样本数据的概率； x表示真实样本数据； p(x)表示真实的样本分布； p(t)表示虚假的样本分布； Ex‑p(x)[log(D (x))]表示x 服从p(x)分布的情况下， log(D(x))的期望； Et‑p(t)[log(1‑D(G(t)))表示t服从p (t)分布的情况 下， log(1‑D(G(t)))的期望； 所述将输出 结果输入到所述多维矩阵关联模型中， 包括： 将输出结果加入到所述多维矩阵关联模型中， 建立对应的告警状态节点以及告警状态 节点之间的链路关系， 更新所述多维矩阵关联模型中的逻辑链条。 9.根据权利要求8所述的方法， 其特 征在于， 还 包括： 计算补充后知识图谱结构的有效因子， 若所述有效因子大于预设的有效因子阈值， 则 通过减小逻辑关联度对所述知识图谱进行调整； 若所述有效因子小于预设的有效因子阈 值， 则通过增大逻辑关联度对所述知识图谱进行调整； 计算补充后知识图谱结构的有效因子， 包括：权　利　要　求　书 2/3 页 3 CN 114726634 A 3