[发明专利]网络空间威胁知识抽取方法和装置

说明书

本申请涉及一种网络空间威胁知识抽取方法和装置。所述方法包括：根据预先训练的多标签分类器，提取待提取文本的本体概念以及本体概念之间的关系；根据每个本体概念预先训练的多类分类器，提取待提取文本中本体概念对应的实例；根据本体概念对应的实体以及本体概念之间的关系，确定实例之间的关系。采用本方法能够联合隐实体以及本体关系很好的解决了非结构化文本中网络空间威胁知识的抽取问题。

技术领域

本申请涉及知识图谱技术领域，特别是涉及一种网络空间威胁知识抽取方法和装置。

背景技术

全维度、多视角地感知网络空间威胁，特别是智能化、系统性地认知高级可持续威胁攻击关联的战术、战技、漏洞及产品等，有助于提升国家及企业对网络威胁的科学防御能力。为了全面认知网络空间威胁，STIX 2.0(结构化威胁信息表达)从攻击模式、攻击活动、行动等12种构件方面来对网络空间威胁信息进行描述。针对STIX 2.0的结构化语言描述，MITRE公司分别构建了ATTCK框架(A Globally Accessible Knowledge base of CyberAdversary Tactics and Techniques)、CAPEC攻击模式(Common Attack PatternEnumeration and Classification，通用攻击模式枚举和分类)、CWE(Common WeaknessEnumeration，通用弱点枚举)等知识库，但是MITRE公司构建的知识库仅包括了约40种战术、千级规模的技术与弱点、以及百级规模的攻击模式，忽略了网络空间威胁影响的产品和漏洞等知识；另一方面，互联网中存在大量的开放漏洞库，如美国国家信息安全漏洞库(NVD)、国家信息安全漏洞共享平台(CNVD)等；同时，网络空间产品大多数被通用平台枚举(CPE，Common Platform Enumeration)收录。

目前已有的网络空间威胁知识图谱还不能完整描绘“威胁-弱点-资产”等复杂的关联关系，且存在已收录的知识更新慢、实体关系不全面等问题，因此需要基于网络空间多源情报数据抽取更加丰富的网络空间威胁知识。

目前已有的类如漏洞库(CVE，Common Vulnerability Enumeration，通用漏洞枚举)、攻击模式库(CAPEC，Common Attack Pattern Enumeration and Classification，通用攻击模式枚举和分类)等关联形成的网络空间知识图谱中的实例节点大多数采用统一编码体系，如CAPEC-ID、CVE-ID等，不具备语义特性。

而维基百科、Freebase、DBpedia等开放知识图谱通常具备语义特性，比如实体“邱勇”可以直接显式地从非结构化文本中抽取。但是，网络空间威胁知识图谱区别于开放知识图谱在于实例节点不具备语义特性，而多由编码体系组成，且网络安全威胁报告中通常不会直接提及具体的攻击模式编号(CAPEC-ID)或者漏洞编号(CVE-ID)，而由一段非结构化文本描述漏洞、攻击模式、以及漏洞与攻击模式的关系。因此，传统的结构化信息抽取技术不能够很好地适用于网络空间威胁知识图谱的隐实体及关系抽取。

发明内容

基于此，有必要针对上述技术问题，提供一种能够解决传统结构化信息抽取技术不能够很好地适用于网络空间威胁知识图谱的隐实体及关系抽取问题的网络空间威胁知识抽取方法和装置。

一种网络空间威胁知识抽取方法，所述方法包括：

根据预先训练的多标签分类器，提取待提取文本的本体概念以及所述本体概念之间的关系；

根据每个所述本体概念预先训练的多类分类器，提取所述待提取文本中本体概念对应的实例；

根据本体概念对应的实体以及所述本体概念之间的关系，确定所述实例之间的关系；