[发明专利]一种网络安全应急响应知识图谱实体对齐方法

说明书

本发明公开了一种网络安全应急响应知识图谱实体对齐方法，包括：将知识图谱输入到基于PARIS模型的PR模块进行计算，输出安全事件实体映射集及其相对应的等价概率；在得到的安全事件实体映射集中选择与之相对应的等价概率高的安全事件实体映射作为对齐种子，输入基于嵌入的MultiKE模型的SE模块进行训练；输出安全事件实体嵌入以及通过邻近检索算法得到的安全事件实体映射集及其相对应的每个映射的相似度得分；将获得的作为输入进行下一轮计算；经过K次迭代，PR模块输出安全事件实体映射集；本方案能将多个不同的网络安全应急响应知识图谱融合成一个知识更全面，正确性更高的知识图谱过程中。

技术领域

本发明涉及网络安全知识图谱领域，特别涉及一种网络安全应急响应知识图谱实体对齐方法。

背景技术

近年来网络威胁问题日益频繁，新一代网络威胁由于其传播速度快，覆盖面积广，潜伏时间长等特点，使得网络安全应急团队的工作人员面临巨大的挑战。一次常规的事件响应往往涉及多个系统或程序，面对每天成百上千的网络攻击，需要进行大量重复的人工操作，响应效率低下。为此提出了一种新型的安全应急技术SOAR,以网络安全应急响应知识图谱为基础，根据不同的威胁场景，自动编排生成剧本以阻止攻击行为，大幅节约了响应时间，降低了人员依赖，提高了工作效率。

作为SOAR制定、编排剧本的基础，网络安全应急响应知识图谱的构建至关重要。由于单一的网络安全应急响应知识图谱覆盖率低，泛化能力差，无法高效服务于后续对相应安全事件的深度分析，生成准确有效的剧本，实现快速高效的应急响应。由此提出可以通过知识图谱实体对齐技术将多个网络安全应急响应知识图谱融合为一个知识更综合全面，正确性更高的知识图谱，为提高网络安全突发事件的应对能力，减少由于网络安全事件造成的损失和危害，奠定了夯实基础。

知识图谱实体对齐可以分为两种类型，第一种是基于嵌入的模型，另一种是传统的基于推理和词汇匹配的模型。具体而言，前者将知识图谱中的关系三元组，属性三元组等特征以稠密低维的向量形式编码至同一个向量空间，通过计算向量距离或者相似度对实体映射进行预测。后者则利用传统技术如逻辑推理，词汇和图形匹配进行实体对齐。

虽然基于嵌入的模型在对实体映射的预测上表现得十分出色，但是此类模型在运用到工业部署上有一定的局限性。基于嵌入的模型依赖于一个相对理想的监督环境，即需要先在一些已知的映射上进行训练。已知映射的数量及其抽样分布对此类模型的性能影响十分显著。而这些已知映射的获取需要进行大量的手工作业，这在实际运用中往往是不易获得的。此外，该类模型对每个实体映射的预测是互相独立的，从而忽视了整体的分析与逻辑一致性，这通常会导致一些错误的映射。

然而传统的基于推理和词汇匹配的模型，虽然弥补了前者在逻辑推理上的不足，有一定的可扩展性，并且不需要进行对已知映射的训练，但是缺乏对知识图谱的图形结构和上下文信息利用的能力。

因此，急需提供一种网络安全应急响应知识图谱实体对齐方法以解决上述问题。

发明内容

为此，需要提供一种能将多个不同的网络安全应急响应知识图谱融合成一个知识更全面，正确性更高的知识图谱过程中实体对齐的方法。

为实现上述目的，发明人提供了一种网络安全应急响应知识图谱实体对齐方法，包括以下步骤：

S1：将知识图谱输入到基于PARIS模型的PR模块进行计算，输出安全事件实体映射集及其相对应的等价概率；

S2：在S1得到的安全事件实体映射集中选择与之相对应的等价概率高的安全事件实体映射作为对齐种子，输入基于嵌入的MultiKE模型的SE模块进行训练；

S3：训练完成后，SE模块在尚未被PR模块对齐的安全事件实体集上进行测试，输出安全事件实体嵌入以及通过邻近检索算法得到的安全事件实体映射集及其相对应的每个映射的相似度得分；