The invention relates to a method and system for constructing security knowledge atlas for threat intelligence. The steps of this method include: 1) collecting structured data and unstructured data of threat intelligence; 2) extracting knowledge from structured data and unstructured data to get the relationship between Threat Intelligence entities and entities; 3) building an ontology model based on graph, in which nodes represent Threat Intelligence entities while representing the relationship between Threat Intelligence entities; 4) building a base based on step 3. In the ontology model of the graph, the extracted threat information entities and their relationships are stored in the graph database to form the knowledge map of threat information. The graph database is further utilized to provide query service and visual display function. The invention applies knowledge atlas technology to threat information field, constructs security knowledge atlas for threat information, integrates dispersed information, and improves the analysis ability of threat information.
【技术实现步骤摘要】
面向威胁情报的安全知识图谱构建方法及系统
本专利技术属于计算机网络安全领域,涉及一种知识图谱构建方法,更具体地,涉及一种面向威胁情报的安全知识图谱构建方法及系统。
技术介绍
近年来,网络空间安全环境日益复杂,随着技术的进步,不法分子发起的网络攻击越来越高级、隐蔽,尤其是高级持续性威胁(APT)攻击呈现出多发态势,传统的防御措施无法满足当前的安全需求。在此背景下,威胁情报这一新兴技术应运而生。威胁情报描述网络空间中的安全实体及关联关系,为威胁响应提供决策依据,已成为构建新一代网络空间安全防御的基石。威胁情报作为一个新兴领域,目前的研究较为散乱、初步,存在着情报获取方式有限,采集技术有待提高,缺乏分析能力,尚未形成统一的共享标准等问题。而知识图谱自2012年由谷歌公司提出以来,已在知识抽取,知识融合与知识推理等方面发展了许多研究成果,并在智能问答,个性化推荐,情报分析等方面发挥重要作用。从本质上讲,知识图谱是一个语义网。语义网被用来存储知识,具有有向图结构,其中,图中的顶点表示实体,图中的边表示实体间语义关系。知识图谱将杂乱的信息表示成实体-关系结构的知识,使资源更加容易理解与计算,以达到智能化语义搜索的目标。在威胁情报领域应用知识图谱技术,可以将分散的威胁信息融合,提高情报输出质量,缓解数据爆发带来的分析困难,更好的发掘和利用威胁情报,提升威胁情报共享、分析与利用等多个方面应用能力。
技术实现思路
本专利技术提出一种面向威胁情报的安全知识图谱构建方法及系统,通过将知识图谱技术应用到威胁情报领域,解决当前威胁情报多源异构、信息分析能力弱等问题。为达到上诉目的,本专 ...
【技术保护点】
1.一种面向威胁情报的安全知识图谱构建方法,其特征在于,包括以下步骤:1)采集威胁情报的结构化数据和非结构化数据;2)对采集的结构化数据和非结构化数据进行知识抽取,得到威胁情报实体及实体间关系;3)构建基于图的本体模式,其中的节点表示威胁情报实体,边表示威胁情报实体间关系;4)根据步骤3)构建的基于图的本体模式,将步骤2)抽取的威胁情报实体及实体间关系存储到图数据库中,形成威胁情报的知识图谱。
【技术特征摘要】
1.一种面向威胁情报的安全知识图谱构建方法,其特征在于,包括以下步骤:1)采集威胁情报的结构化数据和非结构化数据;2)对采集的结构化数据和非结构化数据进行知识抽取,得到威胁情报实体及实体间关系;3)构建基于图的本体模式,其中的节点表示威胁情报实体,边表示威胁情报实体间关系;4)根据步骤3)构建的基于图的本体模式,将步骤2)抽取的威胁情报实体及实体间关系存储到图数据库中,形成威胁情报的知识图谱。2.根据权利要求1所述的方法,其特征在于,步骤1)通过爬虫从网络开放的威胁情报数据源、安全社区博客、安全报告收集威胁情报的结构化数据和非结构化数据。3.根据权利要求1所述的方法,其特征在于,步骤1)将采集的威胁情报的结构化数据和非结构化数据发送到消息队列中,步骤2)对所述消息队列中的数据进行知识抽取。4.根据权利要求1所述的方法,其特征在于,步骤2)使用模式匹配和自然语言处理技术进行所述知识抽取,包括:2.1)实体抽取步骤:对结构化数据,对其数据模式进行解读,使用模式匹配的方式识别出威胁情报实体;对非结构化文本数据,使用自然语言处理工具进行命名实体识别,抽取出威胁情报实体;2.2)关系抽取步骤:对结构化数据,对其数据模式进行解读,使用模式匹配的方式识别出威胁情报实体间关系;对非结构化文本数据,在识别出威胁情报实体的基础上,使用自然语言处理工具找出满足特定模式的文本序列,抽取出实体间关系。5.根据权利要求1所述的方法,其特征在于,步骤3)根据根据威胁情报相关国际标准及行业经验构建基于图的本体模式。6.根据权利要求1所述的方法,其特征在于,步骤4)使用JanusGraph分布式图数据库,采用面向列的数据库HBase作为JanusGraph的存储后端,使用内置的JanusGraphServer引擎作为服务器组件与客户端交互,通过提交Gremlin语句的方式存储威胁情报数据。7.根据权利要求1所...
【专利技术属性】
技术研发人员:王天,姜波,江钧,杜翔宇,卢志刚,姜政伟,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。