(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111438539.1 (22)申请日 2021.11.30 (71)申请人 南京理工大 学 地址 210094 江苏省南京市玄武区孝陵卫 200号 (72)发明人 俞研　吉港　狄芳　邓芳伟　 付安民　 (74)专利代理 机构 南京理工大 学专利中心 32203 代理人 朱炳斐 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/16(2022.01) G06F 16/27(2019.01) G06F 16/28(2019.01)G06N 5/02(2006.01) (54)发明名称 一种基于知识图谱的安全日志分析系统 (57)摘要 本发明公开了一种基于知识图谱的安全日 志分析系统， 包括安全日志数据采集模块， 用于 采集网络安全设备产生的安全日志， 进行缓存及 过滤处理； 安全日志知识图谱构建模块， 采用自 底向上迭代更新方式， 通过知识抽取、 融合和加 工， 对各类型数据源进行解析处理， 构建本体， 形 成安全日志知识图谱； 基于知识图谱的安全日志 分析模块， 用于根据安全日志知识图谱对多样化 安全事件信息进行综合分析处理以及安全日志 关联分析。 本发 明将知识图谱技术与安全日志关 联分析相结合， 对采集安全日志的流量进行控制 及过滤， 将安全日志数据与网络安全 数据相结合 进行知识图谱构建， 利用知识 推理技术挖掘安全 日志实体等数据的关联性， 更加直观 地反映了数 据之间的逻辑关系。 权利要求书2页 说明书4页 附图2页 CN 114189367 A 2022.03.15 CN 114189367 A 1.一种基于知识图谱的安全日志分析系统， 其特征在于， 所述系统包括安全日志数据 采集模块、 安全日志知识图谱构建模块、 基于知识图谱的安全日志分析模块； 所述安全日志数据采集模块， 用于采集网络安全设备产生的安全日志， 并在进行缓存 以及过滤处理后将安全日志发送到安全日志知识图谱构建模块； 所述安全日志知识图谱构建模块， 采用自底向上迭代更新的方式， 通过知识抽取、 知识 融合和知识加工， 针对各种类型的数据源进行解析处理， 构建本体， 形成安全日志知识图 谱， 并提供 给基于知识图谱的安全日志分析模块进行关联性分析； 所述基于知识图谱的安全日志分析模块， 用于根据安全日志知识图谱对多样化安全事 件信息进行综合分析处 理以及安全日志关联分析。 2.根据权利要求1所述的基于知识图谱的安全日志分析系统， 其特征在于， 所述网络安 全设备包括入侵检测系统ID S、 杀毒软件和网络安全防火墙Firewal l。 3.根据权利要求2所述的基于知识图谱的安全日志分析系统， 其特征在于， 所述安全日 志数据采集模块采集目标安全日志数据的过程包括： 在所有需要收集安全日志的服务上部署日志收集工具， 由这些工具监控 并过滤收集安 全日志， 并将日志发送到消息队列Redis中进行缓存； 设置合理限制流量阈值， 由日志收集工具对Redis进行监控， 将缓存的日志过滤后写入 分布式全文搜索引擎Elasticsearc h集群中存 储； 数据分析和可视化平台进行 可视化读取分析。 4.根据权利要求3所述的基于知识图谱的安全日志分析系统， 其特征在于， 所述日志收 集工具包括轻量级的日志采集工具Filebeat和具有filter功能的日志收集处理框架 Logstash； 所述对Redi s进行监控具体通过Logstash  indexer实现； 所述数据分析和可视化 平台为Kibana。 5.根据权利要求3所述的基于知识图谱的安全日志分析系统， 其特征在于， 所述安全日 志数据采集模块还用于对采集到Elast icsearch集群的日志 根据日志的数据形式将安全日 志分为非结构化日志、 半结构化日志和结构化日志。 6.根据权利要求1所述的基于知识图谱的安全日志分析系统， 其特征在于， 所述安全日 志知识图谱构建模块下构建安全日志知识图谱的具体过程 为： 对所述安全日志数据采集模块收集到的安全日志数据进行知识抽取， 具体为： 采用实 体抽取技术识别出其中的安全日志实体， 并利用关系抽取技术实现实体之间的关系构建， 整合为安全日志知识； 通过知识融合， 将多源的安全日志数据解析的结构化字段进行本体构建， 将表示同一 实体或实体对的不同描述信息进行整合， 构建安全日志知识图谱； 对知识融合后的安全日志知识进行半自动化知识验证； 基于图数据库实现安全日志本体数据、 安全日志知识图谱知识数据的持久化存储， 并 利用通过验证的知识更新 安全日志知识图谱数据。 7.根据权利要求6所述的基于知识图谱的安全日志分析系统， 其特征在于， 所述安全日 志知识图谱构建模块通过Elasticsearch客户端组件RestHighLevelClient使用HTTP协议 连接查询安全日志数据采集模块的安全日志数据。 8.根据权利要求6所述的基于知识图谱的安全日志分析系统， 其特征在于， 所述安全日权　利　要　求　书 1/2 页 2 CN 114189367 A 2志知识图谱构建模块通过图数据库Neo4j实现安全 日志知识图谱组件节点、 节点间关联关 系的持久化存 储。 9.根据权利要求1所述的基于知识图谱的安全日志分析系统， 其特征在于， 所述基于知 识图谱的安全日志分析模块中的安全日志知识图谱以属 性图的形式将知识进行可视化展 示， 支持安全日志相关知识的知识检索。 10.根据权利要求1所述的基于知识图谱的安全日志分析系统， 其特征在于， 所述基于 知识图谱的安全日志分析模块采用基于知识图谱驱动的网络安全日志分析模型， 采用基于 规则和基于统计的分析 方法， 综合分析安全日志与安全 事件。权　利　要　求　书 2/2 页 3 CN 114189367 A 3