一种基于知识图谱和域适应的安全托管服务方法技术

本发明专利技术公开了一种基于知识图谱和域适应的安全托管服务方法，包括步骤：将准备的网络应急响应知识图谱集合，输入至知识图谱冗余处理模块中，去除不同知识图谱中的冗余特征，提取高相关性的特征，处理后作为服务器端的源域；在服务器端使用源域对网络安全事件推理模型进行训练，将训练好的网络安全事件推理模型的参数广播至各个客户端；每个客户端将网络安全日志文件作为目标域，对于不同的客户端构建不同的源域

【技术实现步骤摘要】
一种基于知识图谱和域适应的安全托管服务方法


[0001]本专利技术涉及网络安全
，特别涉及一种基于知识图谱和域适应的安全托管服务方法。

技术介绍

[0002]随着互联网技术日益创新和发展，网络安全问题也显得日益严峻，网络攻击规模日益呈现组织化，其攻击手段不断变化，呈现多样化、结构化，网络应急响应工作也显得尤为重要。
[0003]目前，传统的网络应急响应根据告警事件内容基于关键字或索引等特征进行预案匹配，传统手段存在匹配效率以及匹配准确率较低的缺点，难以解决日益复杂化和综合度较高的网络安全事件。同时传统手段需要大量的人工参与数据分析，对于特征信息的数据格式化要求较高，难以满足网络安全事件发生后预案匹配的准确性要求。网络安全应急响应知识图谱中包含了大量的攻击手段的特征信息以及相应的解决方案，知识图谱通过图结构存储数据，该种结构存储的数据关系为非单一关系并且图谱中的冗余信息较多，不利于后续的处理。安全托管服务（MSS：Managed Security Service）将部分繁重、重复安全运营工作托付给专业云服务商，由专业安全运营团队开展的持续分析及运营服务。企业转向安全托管服务提供商可以减轻他们每天面临的与信息安全有关的压力，借助安全托管服务商在某些安全领域的优势，可以补齐企业在安全建设或运营管理中的短板，提升安全管理效率，因此，急需提供一种基于知识图谱和域适应的安全托管服务方法以解决上述问题。

技术实现思路

[0004]为实现上述目的，专利技术人提供了一种基于知识图谱和域适应的安全托管服务方法，包括以下步骤：S1：准备网络应急响应知识图谱集合，输入至知识图谱冗余处理模块中，知识图谱冗余处理模块通过具有自适应特征选择的图胶囊神经网络，去除不同知识图谱中的冗余特征，提取高相关性的特征，并将网络应急响应知识图谱集合融合为一个新的特征集合作为服务器端的源域；S2：在服务器端使用源域对网络安全事件推理模型进行训练，网络安全事件推理模型采用子胶囊对源域中的特征进行编码，并且通过局部重建模块加强编码后的语义信息；S3：将若干个子胶囊组装成部件胶囊输入至推理模块进行解码，推理模块通过解码语义信息生成网络安全应急响应预案，并将训练好的网络安全事件推理模型的参数广播至各个客户端；S4：每个客户端将网络安全日志文件作为目标域，对于不同的客户端构建不同的源域
‑
目标域对，并训练客户端的网络安全事件推理模型，每个客户端的网络安全事件推理模型在推理时，增加一个强化推理模块，并根据强化推理模块结果选择合适的网络安全应
急响应预案；S5：客户端的网络安全事件推理模型训练完成后，客户端将本地的网络安全事件推理模型中强化推理模块的参数上传至服务器端。
[0005]作为本专利技术的一种优选方式，所述S1还包括以下步骤：S101：给定网络应急响应知识图谱集合，记为，对于中的第一个知识图谱，进行知识图谱内部的特征冗余处理和相关性特征选择，对知识图谱中第层的节点和节点分别构建节点胶囊和；S102：通过胶囊图神经网络的特征映射层计算出节点和节点的特征映射向量，表达式为：其中，表示第层节点的第i个邻居节点的节点胶囊，m表示节点邻居节点个数，当时表示节点自身的节点胶囊，表示第层节点的第个邻居节点的节点胶囊，n是节点邻居节点个数，当时表示节点自身的节点胶囊，MLP是多层感知机；用互信息函数K度量两个节点胶囊的相关性，表达式为：其中，表示 的转置，表示 的转置，exp表示以自然常数e为底数的指数函数；S103：对知识图谱中同一层中任意两个节点执行S102步骤，对每层中节点特征映射进行自适应选择，去除层与层之间的高冗余的特征映射，直至所有层都被计算，得到压缩后的中节点特征映射集合,表达式为：其中表示第r层的特征映射集合，表示第s层的特征映射集合，表示归一化指数函数；S104：对于中的其余知识图谱循环S102至S103步骤，得到全部的知识图谱的特征映射集合,将作为源域用于训练服务器端的网络安全事
件推理模型。
[0006]作为本专利技术的一种优选方式，所述S2包括步骤：S201：服务器端的网络安全事件推理模型采用两个基于自注意机制的胶囊编码器，对源域中的进行编码，生成两个子胶囊和，表达式为：为：其中，是键胶囊特征提取器，由残差网络
‑
50组成，是值胶囊特征提取器，由残差网络
‑
50组成；S202：使用局部重建模块对两个子胶囊进行特征重建，用于丰富的语义信息，表达式为：其中，，分别表示特征重建后的键胶囊和值胶囊，、表示特征重建向量，由客户端的网络安全事件推理模型在训练时自动学习得来。
[0007]作为本专利技术的一种优选方式，所述S3还包括以下步骤：S301：将子胶囊的输出特征通过组装成为部件胶囊，表达式为：其中，表示源域中的产生的部件胶囊，、表示两个权重参数，由客户端的网络安全事件推理模型在训练时自动学习得来，用于控制键胶囊和值胶囊在特征中所占权重；S302：对源域中其余子集执行S201、S202、S301步骤，将部件胶囊拼接在一起后输入至推理模块中，在推理模块中进行解码，即将编码阶段的语义信息结果通过上采样转化为三维的嵌入式表示，表达式为：其中，表示部件胶囊拼接操作，表示解码器，由4个3*3*3的3维卷积组成，是三维嵌入式表示；作为本专利技术的一种优选方式，所述S3还包括以下步骤：S303：网络安全应急预案生成，即对于解码后的特征和编码阶段的子胶囊特征进行跳跃连接，并按照时序信息构建网络安全应急预案，记为，设定一个网络安全应急预案中有不超过m个待处置事件，表达式为：
其中，在中表示待处置事件，表示该事件在网络安全应急预案中的顺序，表示源域中第个源域产生的部件胶囊，表示跳跃连接，FAM表示特征聚合层，其由3*3的卷积和双倍上采样组成，PAM表示金字塔池化层，用于处理不同形状特征向量；S304：服务器端的网络安全事件推理模型的整体损失函数表达式为：04：服务器端的网络安全事件推理模型的整体损失函数表达式为：其中，DICE是相似性度量函数，其表达式为：其中，DICE是相似性度量函数，其表达式为：其中，DICE是相似性度量函数，其表达式为：，表示源域中第k个源域中的键胶囊和特征重建后的键胶囊；, 表示源域中第k个源域中的值胶囊和重建后的值胶囊；推理模块损失函数的表达式为：其中，KL用于计算源域中第k个源域产生的部件胶囊和网络安全应急预案中第p个待处置事件之间的相对熵；S305：将服务器端的网络安全事件推理模型的参数发送至每个客户端,表示共有M台客户端。
[0008]作为本专利技术的一种优选方式，所述S4还包括步骤：
S401：对于每个客户端,将服务器端的网络安全事件推理模型的子胶囊编码和局部重建模块的参数固定，训练推理模块和强化推理模块；第i台客户端对应的目标域为,使用基于信息熵的域对齐损失,表达式为：其中，表示源域对于第i台客户端上目标域的数学期望值，此处KL是源域中每个子集和第i台客户端上目标域之间的相对熵，表达式为：其中，log表示对数运算；S402：在客户端的网络安全时间推理模型中引入强化本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于知识图谱和域适应的安全托管服务方法，其特征在于，包括以下步骤：S1：准备网络应急响应知识图谱集合，输入至知识图谱冗余处理模块中，知识图谱冗余处理模块通过具有自适应特征选择的图胶囊神经网络，去除不同知识图谱中的冗余特征，提取高相关性的特征，并将网络应急响应知识图谱集合融合为一个新的特征集合作为服务器端的源域；S2：在服务器端使用源域对网络安全事件推理模型进行训练，网络安全事件推理模型采用子胶囊对源域中的特征进行编码，并且通过局部重建模块加强编码后的语义信息；S3：将若干个子胶囊组装成部件胶囊输入至推理模块进行解码，推理模块通过解码语义信息生成网络安全应急响应预案，并将训练好的网络安全事件推理模型的参数广播至各个客户端；S4：每个客户端将网络安全日志文件作为目标域，对于不同的客户端构建不同的源域
‑
目标域对，并训练客户端的网络安全事件推理模型，每个客户端的网络安全事件推理模型在推理时，增加一个强化推理模块，并根据强化推理模块结果选择合适的网络安全应急响应预案；S5：客户端的网络安全事件推理模型训练完成后，客户端将本地的网络安全事件推理模型中强化推理模块的参数上传至服务器端。2.根据权利要求1所述的基于知识图谱和域适应的安全托管服务方法，其特征在于，所述S1还包括以下步骤：S101：给定网络应急响应知识图谱集合，记为，对于中的第一个知识图谱，进行知识图谱内部的特征冗余处理和相关性特征选择，对知识图谱中第层的节点和节点分别构建节点胶囊和；S102：通过胶囊图神经网络的特征映射层计算出节点和节点的特征映射向量，表达式为：其中，表示第层节点的第个邻居节点的节点胶囊，表示节点邻居节点个数，当时表示节点自身的节点胶囊，表示第层节点的第个邻居节点的节点胶囊，是节点邻居节点个数，当时表示节点自身的节点胶囊，MLP是多层感知机；用互信息函数K度量两个节点胶囊的相关性，表达式为：
其中，表示的转置，表示的转置，exp表示以自然常数e 为底数的指数函数；S103：对知识图谱中同一层中任意两个节点执行S102步骤，对每层中节点特征映射进行自适应选择，去除层与层之间的高冗余的特征映射，直至所有层都被计算，得到压缩后的中节点特征映射集合,表达式为：其中，表示第r层的特征映射集合，表示第s层的特征映射集合，表示归一化指数函数；S104：对于中的其余知识图谱循环S102至S103步骤，得到全部的知识图谱的特征映射集合,将作为源域用于训练服务器端的网络安全事件推理模型。3.根据权利要求1所述的基于知识图谱和域适应的安全托管服务方法，其特征在于，所述S2包括步骤：S201：服务器端的网络安全事件推理模型采用两个基于自注意机制的胶囊编码器，对源域中的进行编码，生成两个子胶囊和，表达式为：，表达式为：其中，是键胶囊特征提取器，由残差网络
‑
50组成，是值胶囊特征提取器，由残差网络
‑
50组成；S202：使用局部重建模块对两个子胶囊进行特征重建，用于丰富的语义信息，表达式为：其中，，分别表示特征重建后的键胶囊和值胶囊，、表示特征重建向量，由客户端的网络安全事件推理模型在训练时自动学习得来。4.根据权利要求3所述的基于知识图谱和域适应的安全托管服务方法，其特征在于，所述S3还包括以下步骤：S301：将子胶囊的输出特征通过组装成为部件胶囊，表达式为：其中，表示源域中的产生的部件胶囊，、表示两个权重参
数，由客户...

【专利技术属性】
技术研发人员：孙捷，车洵，梁小川，胡牧，金奎，孙翰墨，程佳，
申请(专利权)人：南京众智维信息科技有限公司，
类型：发明
国别省市：