[发明专利]基于网络安全应急响应知识图谱特征提取的预案匹配方法

权利要求书

1.一种基于网络安全应急响应知识图谱特征提取的预案匹配方法，其特征在于，包括以下步骤：

S1：对于目标攻击手段的特征属性值，制定预案的限制类约束规则进行初次筛选，排除不适用于目标攻击手段的预案；

S2：将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至加权图卷积神经网络中，获取预案特征向量的嵌入表示和目标攻击手段特征向量的嵌入表示；

S3：通过余弦相似度算法计算S2中嵌入表示之间的相似度；

S4：通过归一化指数函数对相似度进行处理，得到预案与目标攻击手段匹配度得分；

S5：在S4中的匹配度得分进行降序排列，排序列表即为预案匹配结果列表。

2.根据权利要求1所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法，其特征在于，所述S1中的特征属性值包括：目标攻击手段的应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号。

3.根据权利要求1所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法，其特征在于，所述S1包括：对于目标攻击手段提取其应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号，这三个特征的离散属性值，通过图数据库查询语句制定预案的限制类约束规则进行初次筛选。

4.根据权利要求3所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法，其特征在于，所述S2包括：通过加权图卷积神经网络提取经过初次筛选后的预案的特征向量，考虑不同特征对于预案匹配的影响，对于预案和目标攻击手段的每个特征加以不同的权值并且求和，每个特征的权值由相邻节点之间的相互作用决定，每个特征的权值定义为，每个特征由加权图卷积神经网络自动学习。

5.根据权利要求4所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法，其特征在于，所述S2还包括：按照知识谱图中的节点关系对周围相邻节点进行聚合，定义信息传递函数；

其中是信息传递函数，用于在加权图卷积神经网络中传递信息，是节点 在第层的输入向量，为第层的权值矩阵，是节点在第层的输入向量；

选择线性整流函数作为加权图卷积神经网络的激活函数，该激活函数用于每个节点的特征，线性整流函数的表达式为：

其中为加权图卷积神经网络的输出，用于比较与的大小并且输出两者中最大值。

6.根据权利要求5所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法，其特征在于，所述S2还包括：对于信息传递函数的计算结果进行加权，得到新的节点嵌入表示，表达式为：

其中是节点在第层的输出向量，同时也是第层的输入向量，表示激活函数，表示节点的邻居节点集合，表示对节点的所有邻居节点进行求和运算， 为第层中第个特征的权值，是信息传递函数，是节点 在第层的输入向量，是节点在第层的输入向量。

7.根据权利要求6所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法，其特征在于，所述S2还包括：将得到的新图层的中心节点与邻居节点分离，表达式为：

其中是节点在第层的输出向量，同时也是第层的输入向量，表示激活函数，表示节点的邻居节点集合，表示对节点的所有邻居节点进行求和运算， 为第层中第个特征的权值，是节点在第层的输入向量，为第层的权值矩阵，是节点 在第 层的输入向量；

将上述表达式转化为矩阵形式，表达式为：

其中 为第层中第个特征的权值， 表示第个特征构成的0-1邻接矩阵， 表示单位矩阵， 表示第 个特征构成的0-1邻接矩阵， 表示第 层所有特征的矩阵形式，通过邻接矩阵存储空间邻接节点的信息，即预案和目标攻击手段的特征信息；从而得到新图层的递推公式：

其中，为第层的输出矩阵，表示激活函数， 表示第层所有特征的矩阵形式，为第层的输入矩阵， 为第层的权值矩阵；

经过上述步骤得出预案特征向量的嵌入表示，以及目标攻击手段的特征向量的嵌入表示；其中: ，表示知识图谱中所有待选的预案特征向量的嵌入表示集合。