本發(fā)明涉及一種面向威脅情報(bào)的安全知識(shí)圖譜構(gòu)建方法及系統(tǒng)。該方法的步驟包括：1)采集威脅情報(bào)的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)；2)對(duì)采集的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行知識(shí)抽取，得到威脅情報(bào)實(shí)體及實(shí)體間關(guān)系；3)構(gòu)建基于圖的本體模式，其中的節(jié)點(diǎn)表示威脅情報(bào)實(shí)體，邊表示威脅情報(bào)實(shí)體間關(guān)系；4)根據(jù)步驟3)構(gòu)建的基于圖的本體模式，將步驟2)抽取的威脅情報(bào)實(shí)體及實(shí)體間關(guān)系存儲(chǔ)到圖數(shù)據(jù)庫(kù)中，形成威脅情報(bào)的知識(shí)圖譜。進(jìn)一步利用所述圖數(shù)據(jù)庫(kù)提供查詢服務(wù)和可視化展示功能。本發(fā)明將知識(shí)圖譜技術(shù)應(yīng)用到威脅情報(bào)領(lǐng)域，構(gòu)建面向威脅情報(bào)的安全知識(shí)圖譜，將分散的情報(bào)融合，同時(shí)提高了威脅信息的分析能力。

技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，涉及一種知識(shí)圖譜構(gòu)建方法，更具體地，涉及一種面向威脅情報(bào)的安全知識(shí)圖譜構(gòu)建方法及系統(tǒng)。

背景技術(shù)

近年來，網(wǎng)絡(luò)空間安全環(huán)境日益復(fù)雜，隨著技術(shù)的進(jìn)步，不法分子發(fā)起的網(wǎng)絡(luò)攻擊越來越高級(jí)、隱蔽，尤其是高級(jí)持續(xù)性威脅(APT)攻擊呈現(xiàn)出多發(fā)態(tài)勢(shì)，傳統(tǒng)的防御措施無法滿足當(dāng)前的安全需求。在此背景下，威脅情報(bào)這一新興技術(shù)應(yīng)運(yùn)而生。威脅情報(bào)描述網(wǎng)絡(luò)空間中的安全實(shí)體及關(guān)聯(lián)關(guān)系，為威脅響應(yīng)提供決策依據(jù)，已成為構(gòu)建新一代網(wǎng)絡(luò)空間安全防御的基石。威脅情報(bào)作為一個(gè)新興領(lǐng)域，目前的研究較為散亂、初步，存在著情報(bào)獲取方式有限，采集技術(shù)有待提高，缺乏分析能力，尚未形成統(tǒng)一的共享標(biāo)準(zhǔn)等問題。

而知識(shí)圖譜自2012年由谷歌公司提出以來，已在知識(shí)抽取，知識(shí)融合與知識(shí)推理等方面發(fā)展了許多研究成果，并在智能問答，個(gè)性化推薦，情報(bào)分析等方面發(fā)揮重要作用。從本質(zhì)上講，知識(shí)圖譜是一個(gè)語(yǔ)義網(wǎng)。語(yǔ)義網(wǎng)被用來存儲(chǔ)知識(shí)，具有有向圖結(jié)構(gòu)，其中，圖中的頂點(diǎn)表示實(shí)體，圖中的邊表示實(shí)體間語(yǔ)義關(guān)系。知識(shí)圖譜將雜亂的信息表示成實(shí)體-關(guān)系結(jié)構(gòu)的知識(shí)，使資源更加容易理解與計(jì)算，以達(dá)到智能化語(yǔ)義搜索的目標(biāo)。

在威脅情報(bào)領(lǐng)域應(yīng)用知識(shí)圖譜技術(shù)，可以將分散的威脅信息融合，提高情報(bào)輸出質(zhì)量，緩解數(shù)據(jù)爆發(fā)帶來的分析困難，更好的發(fā)掘和利用威脅情報(bào)，提升威脅情報(bào)共享、分析與利用等多個(gè)方面應(yīng)用能力。

發(fā)明內(nèi)容

本發(fā)明提出一種面向威脅情報(bào)的安全知識(shí)圖譜構(gòu)建方法及系統(tǒng)，通過將知識(shí)圖譜技術(shù)應(yīng)用到威脅情報(bào)領(lǐng)域，解決當(dāng)前威脅情報(bào)多源異構(gòu)、信息分析能力弱等問題。

為達(dá)到上訴目的，本發(fā)明采用具體技術(shù)方案是：

一種面向威脅情報(bào)的安全知識(shí)圖譜構(gòu)建方法，包括以下步驟：

1)數(shù)據(jù)采集。通過爬蟲等手段從網(wǎng)絡(luò)開放的威脅情報(bào)數(shù)據(jù)源、安全社區(qū)博客、安全報(bào)告等來源收集威脅情報(bào)的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，用于后續(xù)的威脅情報(bào)知識(shí)抽取。

2)知識(shí)抽取。使用模式匹配和自然語(yǔ)言處理技術(shù)對(duì)收集的威脅情報(bào)基礎(chǔ)數(shù)據(jù)進(jìn)行抽取，抽取出威脅情報(bào)實(shí)體及其關(guān)系，得到高質(zhì)量的情報(bào)知識(shí)。

3)本體構(gòu)建。參考結(jié)構(gòu)化威脅信息表達(dá)式(STIX^TM)威脅情報(bào)標(biāo)準(zhǔn)，結(jié)合實(shí)際，提出一種基于圖的本體模式，節(jié)點(diǎn)表示威脅情報(bào)實(shí)體，邊表示威脅情報(bào)實(shí)體間關(guān)系。

4)數(shù)據(jù)轉(zhuǎn)儲(chǔ)。使用圖數(shù)據(jù)庫(kù)作為后端存儲(chǔ)解決方案，將抽取的威脅情報(bào)知識(shí)轉(zhuǎn)化為一定的格式，存儲(chǔ)到圖數(shù)據(jù)庫(kù)中，形成情報(bào)知識(shí)圖譜，用于后續(xù)的共享、分析和利用。

進(jìn)一步地，利用所述圖數(shù)據(jù)庫(kù)提供查詢服務(wù)和可視化展示功能。使用數(shù)據(jù)可視化技術(shù)對(duì)分析、查詢所得的結(jié)果以圖的方式進(jìn)行直觀的可視化展現(xiàn)。

一種面向威脅情報(bào)的安全知識(shí)圖譜系統(tǒng)，包括數(shù)據(jù)采集模塊、消息隊(duì)列模塊、實(shí)體抽取模塊、關(guān)系抽取模塊、本體構(gòu)建模塊和數(shù)據(jù)轉(zhuǎn)儲(chǔ)模塊。

1、數(shù)據(jù)采集模塊。使用爬蟲技術(shù)從網(wǎng)絡(luò)上開放的威脅情報(bào)數(shù)據(jù)源、安全社區(qū)博客、安全報(bào)告等來源收集威脅情報(bào)結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，將威脅情報(bào)發(fā)送到相應(yīng)的消息隊(duì)列中。