[发明专利]面向威胁情报的安全知识图谱构建方法及系统

说明书

本发明涉及一种面向威胁情报的安全知识图谱构建方法及系统。该方法的步骤包括：1)采集威胁情报的结构化数据和非结构化数据；2)对采集的结构化数据和非结构化数据进行知识抽取，得到威胁情报实体及实体间关系；3)构建基于图的本体模式，其中的节点表示威胁情报实体，边表示威胁情报实体间关系；4)根据步骤3)构建的基于图的本体模式，将步骤2)抽取的威胁情报实体及实体间关系存储到图数据库中，形成威胁情报的知识图谱。进一步利用所述图数据库提供查询服务和可视化展示功能。本发明将知识图谱技术应用到威胁情报领域，构建面向威胁情报的安全知识图谱，将分散的情报融合，同时提高了威胁信息的分析能力。

技术领域

本发明属于计算机网络安全领域，涉及一种知识图谱构建方法，更具体地，涉及一种面向威胁情报的安全知识图谱构建方法及系统。

背景技术

近年来，网络空间安全环境日益复杂，随着技术的进步，不法分子发起的网络攻击越来越高级、隐蔽，尤其是高级持续性威胁(APT)攻击呈现出多发态势，传统的防御措施无法满足当前的安全需求。在此背景下，威胁情报这一新兴技术应运而生。威胁情报描述网络空间中的安全实体及关联关系，为威胁响应提供决策依据，已成为构建新一代网络空间安全防御的基石。威胁情报作为一个新兴领域，目前的研究较为散乱、初步，存在着情报获取方式有限，采集技术有待提高，缺乏分析能力，尚未形成统一的共享标准等问题。

而知识图谱自2012年由谷歌公司提出以来，已在知识抽取，知识融合与知识推理等方面发展了许多研究成果，并在智能问答，个性化推荐，情报分析等方面发挥重要作用。从本质上讲，知识图谱是一个语义网。语义网被用来存储知识，具有有向图结构，其中，图中的顶点表示实体，图中的边表示实体间语义关系。知识图谱将杂乱的信息表示成实体-关系结构的知识，使资源更加容易理解与计算，以达到智能化语义搜索的目标。

在威胁情报领域应用知识图谱技术，可以将分散的威胁信息融合，提高情报输出质量，缓解数据爆发带来的分析困难，更好的发掘和利用威胁情报，提升威胁情报共享、分析与利用等多个方面应用能力。

发明内容

本发明提出一种面向威胁情报的安全知识图谱构建方法及系统，通过将知识图谱技术应用到威胁情报领域，解决当前威胁情报多源异构、信息分析能力弱等问题。

为达到上诉目的，本发明采用具体技术方案是：

一种面向威胁情报的安全知识图谱构建方法，包括以下步骤：

1)数据采集。通过爬虫等手段从网络开放的威胁情报数据源、安全社区博客、安全报告等来源收集威胁情报的结构化和非结构化数据，用于后续的威胁情报知识抽取。

2)知识抽取。使用模式匹配和自然语言处理技术对收集的威胁情报基础数据进行抽取，抽取出威胁情报实体及其关系，得到高质量的情报知识。

3)本体构建。参考结构化威胁信息表达式(STIX^TM)威胁情报标准，结合实际，提出一种基于图的本体模式，节点表示威胁情报实体，边表示威胁情报实体间关系。

4)数据转储。使用图数据库作为后端存储解决方案，将抽取的威胁情报知识转化为一定的格式，存储到图数据库中，形成情报知识图谱，用于后续的共享、分析和利用。

进一步地，利用所述图数据库提供查询服务和可视化展示功能。使用数据可视化技术对分析、查询所得的结果以图的方式进行直观的可视化展现。

一种面向威胁情报的安全知识图谱系统，包括数据采集模块、消息队列模块、实体抽取模块、关系抽取模块、本体构建模块和数据转储模块。

1、数据采集模块。使用爬虫技术从网络上开放的威胁情报数据源、安全社区博客、安全报告等来源收集威胁情报结构化和非结构化数据，将威胁情报发送到相应的消息队列中。