(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210492336.9 (22)申请日 2022.05.07 (71)申请人 南京南瑞信息通信科技有限公司 地址 210003 江苏省南京市 鼓楼区南瑞路8 号 (72)发明人 徐胜国　鲁国亮　王晔　郭靓　 张付存　姜训　吴道林　王朝兴　 王志勇　洪昊　刘剑　屠正伟　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 董建林 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/069(2022.01) H04L 67/1095(2022.01)G06F 16/36(2019.01) G06F 16/901(2019.01) G06F 9/455(2006.01) (54)发明名称 一种基于图数据库的电网网络安全分析方 法及系统 (57)摘要 本发明公开了一种基于图数据库的电网网 络安全分析方法及系统， 其方法包括： 采集各种 电网网络安全 数据， 对所述安全 数据进行去噪去 重处理后存储到数据库mysql中； 采用多线程并 行的方式， 将数据库mysql中每个数据表通过单 独线程加载到内存集合； 在内存合集中构建各类 节点和关系形成Neo4jCypher语句； 基于 Neo4jCypher语句通过图数据库Neo4j全量和增 量构建知 识图谱； 编写DockerFile文件将上述步 骤打包成镜像， 运行到docker容器中实现快速部 署； 本发明能够提高攻击链路溯源能力以及部署 灵活性和拓展性。 权利要求书1页 说明书8页 附图2页 CN 114844707 A 2022.08.02 CN 114844707 A 1.一种基于图数据库的电网 网络安全分析 方法， 其特 征在于， 包括： 采集各种电网网络安全数据， 对所述安全数据进行去噪去重处理后存储到数据库 mysql中； 采用多线程并行的方式， 将数据库mysql中每 个数据表通过 单独线程加载到内存集 合； 在内存合 集中构建各类节点和关系形成Neo 4jCypher语句； 基于Neo4jCypher语句通过图数据库Neo 4j全量和 增量构建知识图谱； 编写DockerFi le文件将上述 步骤打包成镜像， 运行到docker容器中实现快速 部署。 2.根据权利要求1所述的一种基于图数据库的电网网络安全分析方法， 其特征在于， 所 述采集各种电网网络安全数据包括通过webservice和UDP的方式获取告警日志、 主机登录 日志、 主机信息日志以及威胁情报日志； 所述告警日志包括攻击源、 被攻击目标、 所属系统、 运维单位以及地理信息； 所述威胁情报日志包括威胁情报数据； 所述主机信息日志包括操 作系统和mac地址； 所述主机登录日志包括主机登录数据。 3.根据权利要求1所述的一种基于图数据库的电网网络安全分析方法， 其特征在于， 所 述对所述 安全数据进行去重去噪处 理包括： 去噪： 将安全数据与预设格式进行匹配， 将与预设格式对应的属性个数和要求不一致 的记录删除； 去重： 在预设时间间隔内， 若安全数据中多次出现仅时间属性不同的记录， 则只保留时 间最后的记录 。 4.根据权利要求1所述的一种基于图数据库的电网网络安全分析方法， 其特征在于， 所 述存储到数据库mysql中包括将不同类型的安全数据转换成数据对象并存储到数据库 mysql中不同的数据表中。 5.根据权利要求2所述的一种基于图数据库的电网网络安全分析方法， 其特征在于， 所 述构建各类节点和关系形成Neo4jCypher语句包括构建被攻击目标和操作系统关系图、 被 攻击目标和mac地址关系图、 攻击源和威胁情 报数据关系图、 攻击源和被攻击目标关系图。 6.根据权利要求1所述的一种基于图数据库的电网网络安全分析方法， 其特征在于， 所 述构建知识图谱 包括： 将Neo4jCypher语句发送至图数据库Neo 4j， 进行端和边的构建； 全量： 每隔1天删除图数据库Neo4j中所有Neo4jCypher语句， 然后加载过去三个月的 Neo4jCypher语句； 增量： 每隔5分钟 加载过去5分钟新增的Neo 4jCypher语句。 7.一种基于图数据库的电网 网络安全分析系统， 其特 征在于， 所述系统包括： 数据准备模块， 用于采集各种电网网络安全数据， 对所述安全数据进行去噪去重处理 后存储到数据库mysql中； 数据加载模块， 用于采用多线程并行的方式， 将数据库mysql中每个数据表通过单独线 程加载到内存集 合； 关系图模块， 用于在内存合 集中构建各类节点和关系形成Neo 4jCypher语句； 知识图谱 模块， 用于基于Neo 4jCypher语句通过图数据库全量和 增量构建知识图谱； 方法部署模块， 用于编写DockerFile文件将上述步骤打包成镜像， 运行到docker容器 中实现快速 部署。权　利　要　求　书 1/1 页 2 CN 114844707 A 2一种基于图数据库的电网 网络安全分析方 法及系统 技术领域 [0001]本发明涉及 一种基于图数据库的电网网络安全分析方法及系统， 属于计算机信息 处理技术领域。 背景技术 [0002]互联网基础设施的不断发展和新应用的不断涌现使得网络规模逐渐扩大， 拓扑结 构日益复杂， 网络安全管理的难度不断增加。 为了应对 日益复杂、 隐蔽的网络威胁， 各种检 测技术相继出现， 如脆弱性检测技术、 恶意代码检测技术、 入侵检测技术等。 这些技术试图 从不同的角度发现网络中可能存在的安全问题， 但在是否主动、 有效地应对各种安全事件 方面不够理想， 限制了网络安全管理员做出最佳响应决策的能力。 发明内容 [0003]本发明的目的在于克服现有技术中的不足， 提供一种基于图数据库的电网网络安 全分析方法及系统， 能够提高攻击链路溯源能力以及部署灵活性和拓展性。 [0004]为达到上述目的， 本发明是采用下述 技术方案实现的： [0005]第一方面， 本发明提供了一种基于图数据库的电网 网络安全分析 方法， 包括： [0006]采集各种电网网络安全数据， 对所述安全数据进行去噪去重处理后存储到数据库 mysql中； [0007]采用多线程并行的方式， 将数据库mysql中每个数据表通过单独线程加载到内存 集合； [0008]在内存合 集中构建各类节点和关系形成Neo 4jCypher语句； [0009]基于Neo4jCypher语句通过图数据库Neo 4j全量和 增量构建知识图谱； [0010]编写DockerFile文件将上述步骤打包成镜像， 运行到docker容器中实现快速部 署。 [0011]可选的， 所述采集各种电网网络安全数据包括通过web service和UDP的方式获取 告警日志、 主机登录日志、 主机信息日志以及威胁情报日志； 所述告警日志包括攻击源、 被 攻击目标、 所属系统、 运维单位以及地理信息； 所述威胁情报日志包括威胁情报数据； 所述 主机信息日志包括操作系统和mac地址； 所述主机登录日志包括主机登录数据。 [0012]可选的， 所述对所述 安全数据进行去重去噪处 理包括： [0013]去噪： 将安全数据与预设格式进行匹配， 将与预设格式对应的属性个数和要求不 一致的记录删除； [0014]去重： 在预设时间间隔内， 若安全数据中多次出现仅时间属性不同的记录， 则只保 留时间最后的记录 。 [0015]可选的， 所述存储到数据库mysql中包括将不同类型的安全数据转换成数据对象 并存储到数据库mysql中不同的数据表中。 [0016]可选的， 所述构建各类节点和关系形成Neo4jCypher语句包括构建被攻击目标和说　明　书 1/8 页 3 CN 114844707 A 3