(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211022325.0 (22)申请日 2022.08.25 (65)同一申请的已公布的文献号 申请公布号 CN 115098705 A (43)申请公布日 2022.09.23 (73)专利权人 成都航空职业 技术学院 地址 610000 四川省成 都市龙泉驿区车城 东七路69 9号 (72)发明人 林琳　申巧俐　罗惠　 (74)专利代理 机构 成都厚为专利代理事务所 (普通合伙) 5125 5 专利代理师 刘应迁 (51)Int.Cl. G06F 16/36(2019.01) G06N 3/04(2006.01)H04L 9/40(2022.01) (56)对比文件 CN 112487208 A,2021.0 3.12 CN 109005069 A,2018.12.14 CN 109922075 A,2019.0 6.21 CN 112073415 A,2020.12.1 1 US 20180486 61 A1,2018.02.15 吕明琪 等.“融合知识图谱的网络安全违法 行为识别系统 ”. 《小型微型计算机系统》 .2021, 第42卷(第4期),第740 -747页. 审查员 王佩文 (54)发明名称 基于知识图谱推理的网络安全事件分析方 法及系统 (57)摘要 本发明提供的基于知识图谱推理的网络安 全事件分析方法及系统， 涉及网络安全技术领 域。 在本发明中， 提取出目标网络安全事件。 依据 目标网络安全事件包括的每一个目标网络行为， 构建形成目标网络安全知识图谱， 在目标网络安 全知识图谱中， 每一个目标图谱成员对应于一个 目标网络 行为， 目标网络安全知识图谱中携带有 用于反映目标网络行为之间的行为相关性的信 息。 利用目标知识图谱分析神经网络， 对目标网 络安全知识图谱进行分析处理， 以输出目标网络 安全事件对应的事件安全风险程度， 事件安全风 险程度用于反映目标网络设备遭受到网络攻击 的概率。 基于上述内容， 可 以在一定程度上提高 网络安全 事件分析的可靠度。 权利要求书4页 说明书12页 附图3页 CN 115098705 B 2022.11.11 CN 115098705 B 1.一种基于知识图谱推理的网络安全事件分析方法， 其特征在于， 应用于网络安全服 务器， 所述网络安全 事件分析方法包括： 提取出目标网络安全事件， 所述目标网络安全事件包括多个目标网络行为， 每一个所 述目标网络行为用于反映目标网络 设备与其它网络 设备之间的网络交互， 所述多个目标网 络行为对应的行为时间为至少一个， 所述 其它网络设备的数量 为至少一个； 依据所述目标网络安全事件包括的每一个目标网络行为， 构建形成 目标网络安全知识 图谱， 在所述 目标网络安全知识图谱中， 每一个目标图谱成员对应于一个所述目标网络行 为， 且所述目标网络安全知识图谱中携带有用于反映所述目标网络行为之 间的行为相关性 的信息； 利用目标知识图谱分析神经网络， 对所述目标网络安全知识图谱进行分析处理， 以输 出所述目标网络安全事件对应的事件安全风险程度， 所述事件安全风险程度用于反映所述 目标网络设备遭受到网络攻击的概 率； 所述利用目标知识图谱分析神经网络， 对所述目标网络安全知识图谱进行分析处理， 以输出所述目标网络安全 事件对应的事 件安全风险程度的步骤， 包括： 对所述目标网络安全知识图谱进行分割处理， 以形成多个网络安全知识分割子 图谱， 再将所述多个网络安全知识分割子图谱进 行有序的组合， 以形成对应的分割子图谱有序集 合； 对所述分割子图谱有序集合中的网络安全知识分割子图谱进行图谱特征映射处理， 以 输出图谱映射特征有序集合； 将 配置的网络事件识别特征插入所述图谱映射特征有序集合 中， 以形成对应的映射特征有序集合； 将所述映射特征有序集合包括的每一个图谱映射特 征对应的分布特征信息合并至所述映射特征有序集合中， 以生成初始图谱特征有序集合， 所述分布特征信息用于指示对应的图谱映射特征在所述映射特征有序集合中的排序分布 位置， 所述初始图谱特征有序集合包括网络事件识别特征和所述分割子图谱有序集合中每 一个网络安全知识分割子图谱 对应的网络安全知识分割子图谱特 征； 利用目标知识图谱分析神经网络包括的多个编码处理单元分别对所述初始图谱特征 有序集合进行特征挖掘处 理， 输出初始特 征关系表示网络； 对于每一个所述编码处理单元， 对该编码处理单元包括的每一个编码处理模块的特征 分布向量进行融合计算， 以输出该编码处理单元对应的特征分布向量； 从所述编码处理单 元对应的特征分布向量中， 分析出所述网络事件识别特征对应的目标分布信息； 对每一个 所述编码处理单元对应的目标分布信息进 行融合计算， 以输出对应的初始特征分布表示网 络； 对所述初始特征分布表示网络进行特征分布的转换， 以形成转换特征分布表示网络， 再将所述转换特征分布表示网络和所述初始特征关系表示网络进 行网络拼接处理， 以形成 中间特征关系表示网络； 依据所述初始特征关系表示网络、 所述初始特征分布表示网络和所述中间特征关系表 示网络， 进行事件安全风险分析处理， 以输出所述 目标网络安全事件对应的事件安全风险 程度。 2.如权利要求1所述的基于知识图谱推理的网络安全事件分析方法， 其特征在于， 所述 提取出目标网络安全 事件的步骤， 包括： 对所述目标网络设备进行网络行为监控， 以输出所述目标网络设备对应的网络行为集权　利　要　求　书 1/4 页 2 CN 115098705 B 2合， 所述网络行为 集合包括多个网络行为； 从所述网络行为集合包括的多个网络行为中提取出每一个目标网络行为， 以组建形成 目标网络安全事件， 每一个所述目标网络行为对应的行为时间属于最近的一个网络安全监 控周期内。 3.如权利要求1所述的基于知识图谱推理的网络安全事件分析方法， 其特征在于， 所述 依据所述目标网络安全事件包括的每一个目标网络行为， 构建形成目标网络安全知识图谱 的步骤， 包括： 对于所述目标网络安全事件包括的每一个目标网络行为， 分别对该目标网络行为的行 为时间和行为设备进 行确定处理， 所述目标网络行为用于反映两个网络设备之 间的网络交 互， 所述行为设备属于该两个网络设备中所述目标网络设备以外的另一个网络设备； 依据每一个所述目标网络行为对应的行为 时间和行为设备， 对所述目标网络安全事件 包括的每一个目标网络行为进 行排序分布， 以确定每一个所述目标网络行为对应的排序分 布位置； 对于所述目标网络安全事件包括的每一个目标网络行为， 分别对该目标网络行为和每 一个其它目标网络行为进 行行为相关性的确定处理， 再对该目标网络行为和每一个其它目 标网络行为之间的行为相关性进行融合， 以输出该目标网络行为对应的行为相关性融合 值； 依据每一个所述目标网络行为对应的排序分布位置和对应的行为相关性融合值， 构建 形成目标网络安全知识图谱， 在所述 目标网络安全知识图谱中， 每一个目标图谱成员对应 于一个所述目标网络行为， 且每一个目标图谱成员的成员属性值为对应的目标网络行为对 应的行为相关性融合 值。 4.如权利要求1所述的基于知识图谱推理的网络安全事件分析方法， 其特征在于， 所述 依据所述初始特征关系表示网络、 所述初始特征分布表示网络和所述中间特征关系表示网 络， 进行事件安全风险分析处理， 以输出所述 目标网络安全事件对应的事件安全风险程度 的步骤， 包括： 基于所述中间特征关系表示网络和所述初始特征关系表示网络， 分析出所述目标网络 安全知识图谱中攻击网络行为的行为危险程度和中间特征分布表示网络， 再对所述初始特 征分布表示网络和所述中间特征分布表示网络进 行表示网络的融合处理， 以生成目标特征 分布表示网络； 基于所述目标特征分布表示网络分析出所述目标网络安全知识图谱中所述攻击网络 行为的排序分布位置； 基于所述攻击网络行为的行为危险程度和排序分布位置， 分析输出所述目标网络安全 事件对应的事 件安全风险程度。 5.如权利要求4所述的基于知识图谱推理的网络安全事件分析方法， 其特征在于， 所述 基于所述中间特征关系表示网络和所述初始特征关系表示网络， 分析出所述目标网络安全 知识图谱中攻击网络行为的行为 危险程度和中间特 征分布表示网络的步骤， 包括： 基于所述中间特征关系表示网络进行识别， 输出对应的初始识别特征， 所述初始识别 特征包括多个真实行为 危险程度中每一个真实行为 危险程度对应的匹配程度表征系数； 基于所述初始识别特征对多个第一编码网络进行融合处理， 以形成第二编码网络， 再权　利　要　求　书 2/4 页 3 CN 115098705 B 3