[发明专利]一种基于知识图谱的安全日志分析系统

权利要求书

1.一种基于知识图谱的安全日志分析系统，其特征在于，所述系统包括安全日志数据采集模块、安全日志知识图谱构建模块、基于知识图谱的安全日志分析模块；

所述安全日志数据采集模块，用于采集网络安全设备产生的安全日志，并在进行缓存以及过滤处理后将安全日志发送到安全日志知识图谱构建模块；

所述安全日志知识图谱构建模块，采用自底向上迭代更新的方式，通过知识抽取、知识融合和知识加工，针对各种类型的数据源进行解析处理，构建本体，形成安全日志知识图谱，并提供给基于知识图谱的安全日志分析模块进行关联性分析；

所述基于知识图谱的安全日志分析模块，用于根据安全日志知识图谱对多样化安全事件信息进行综合分析处理以及安全日志关联分析。

2.根据权利要求1所述的基于知识图谱的安全日志分析系统，其特征在于，所述网络安全设备包括入侵检测系统IDS、杀毒软件和网络安全防火墙Firewall。

3.根据权利要求2所述的基于知识图谱的安全日志分析系统，其特征在于，所述安全日志数据采集模块采集目标安全日志数据的过程包括：

在所有需要收集安全日志的服务上部署日志收集工具，由这些工具监控并过滤收集安全日志，并将日志发送到消息队列Redis中进行缓存；

设置合理限制流量阈值，由日志收集工具对Redis进行监控，将缓存的日志过滤后写入分布式全文搜索引擎Elasticsearch集群中存储；

数据分析和可视化平台进行可视化读取分析。

4.根据权利要求3所述的基于知识图谱的安全日志分析系统，其特征在于，所述日志收集工具包括轻量级的日志采集工具Filebeat和具有filter功能的日志收集处理框架Logstash；所述对Redis进行监控具体通过Logstash indexer实现；所述数据分析和可视化平台为Kibana。

5.根据权利要求3所述的基于知识图谱的安全日志分析系统，其特征在于，所述安全日志数据采集模块还用于对采集到Elasticsearch集群的日志根据日志的数据形式将安全日志分为非结构化日志、半结构化日志和结构化日志。

6.根据权利要求1所述的基于知识图谱的安全日志分析系统，其特征在于，所述安全日志知识图谱构建模块下构建安全日志知识图谱的具体过程为：

对所述安全日志数据采集模块收集到的安全日志数据进行知识抽取，具体为：采用实体抽取技术识别出其中的安全日志实体，并利用关系抽取技术实现实体之间的关系构建，整合为安全日志知识；

通过知识融合，将多源的安全日志数据解析的结构化字段进行本体构建，将表示同一实体或实体对的不同描述信息进行整合，构建安全日志知识图谱；

对知识融合后的安全日志知识进行半自动化知识验证；

基于图数据库实现安全日志本体数据、安全日志知识图谱知识数据的持久化存储，并利用通过验证的知识更新安全日志知识图谱数据。

7.根据权利要求6所述的基于知识图谱的安全日志分析系统，其特征在于，所述安全日志知识图谱构建模块通过Elasticsearch客户端组件RestHighLevelClient使用HTTP协议连接查询安全日志数据采集模块的安全日志数据。

8.根据权利要求6所述的基于知识图谱的安全日志分析系统，其特征在于，所述安全日志知识图谱构建模块通过图数据库Neo4j实现安全日志知识图谱组件节点、节点间关联关系的持久化存储。

9.根据权利要求1所述的基于知识图谱的安全日志分析系统，其特征在于，所述基于知识图谱的安全日志分析模块中的安全日志知识图谱以属性图的形式将知识进行可视化展示，支持安全日志相关知识的知识检索。

10.根据权利要求1所述的基于知识图谱的安全日志分析系统，其特征在于，所述基于知识图谱的安全日志分析模块采用基于知识图谱驱动的网络安全日志分析模型，采用基于规则和基于统计的分析方法，综合分析安全日志与安全事件。