(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210561689.X (22)申请日 2022.05.23 (71)申请人 昆明元叙网络科技有限公司 地址 650000 云南省昆明市官渡区锦城官 南广场608号 (72)发明人 李伟　 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/36(2019.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 基于威胁攻击大数据的威胁情报生成方法 及AI安全系统 (57)摘要 本申请实施例提供一种基于威胁攻击大数 据的威胁情报生成方法及AI安全系统， 依据目标 威胁情报提取模型提取针对威胁攻击大数据的 第一威胁攻击活动 知识图谱， 并依据预设攻击实 例连通策略输出第一威胁攻击活动知识图谱对 应的攻击实例连通特征， 依据攻击实例连通特征 和所述第一威胁攻击活动知识图谱生成第二威 胁攻击活动知识图谱， 并依据所述目标威胁情报 提取模型提取与所述威胁攻击大数据对应的威 胁情报数据， 从而考虑了攻击实例连通维度进行 威胁攻击活动知识图谱更新后， 再进行威胁情报 数据提取， 可以提高威胁情 报提取的可靠性。 权利要求书4页 说明书11页 附图2页 CN 114928493 A 2022.08.19 CN 114928493 A 1.一种基于威胁攻击大数据的威胁情报生成方法， 其特征在于， 应用于与所述信息安 全服务器通信的AI 安全系统， 所述方法包括： 依据目标威胁情报提取模型提取针对威胁攻击大数据的第 一威胁攻击活动知识图谱， 并依据预设攻击实例连通策略输出第一 威胁攻击活动知识图谱 对应的攻击实例连通特 征； 依据攻击实例连通特征和所述第一威胁攻击活动知识图谱生成第二威胁攻击活动知 识图谱， 并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数 据。 2.根据权利要求1所述的基于威胁攻击大数据的威胁情报生成方法， 其特征在于， 所述 依据目标威胁情报提取模型提取威胁攻击大数据的第一威胁攻击活动知识图谱， 并依据预 设攻击实例连通策略输出第一 威胁攻击活动知识图谱 对应的攻击实例连通特 征， 包括： 针对所述信 息安全服务器的威胁情报挖掘 指示， 从威胁攻击数据库中提取对应字段区 间的威胁攻击大 数据； 依据目标威胁情报提取模型对所述威胁攻击大数据进行威胁活动实体成员以及威胁 活动实体成员之 间的攻击活动关系特征提取， 确定第一威胁攻击活动知识图谱； 其中， 所述 第一威胁攻击活动知识图谱包括与所述威胁攻击大数据对应的衍生攻击实例下的威胁攻 击活动知识图谱； 依据预设攻击实例连通策略对所述第一威胁攻击活动知识图谱进行可连通性变量分 析， 确定攻击实例连通特 征； 所述依据攻击实例连通特征和第一威胁攻击活动知识图谱生成第二威胁攻击活动知 识图谱， 并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数 据， 包括： 依据所述攻击实例连通特征对所述第一威胁攻击活动知识图谱的至少部分威胁攻击 活动知识图谱进 行联合攻击实例连通， 而后依据联合攻击实例连通处理后的所述威胁攻击 活动知识图谱生成第二 威胁攻击活动知识图谱； 依据所述目标威胁情报提取模型对所述第二威胁攻击活动知识图谱进行威胁情报提 取， 确定所述 威胁攻击大 数据的威胁情 报数据。 3.根据权利要求2所述的基于威胁攻击大数据的威胁情报生成方法， 其特征在于， 在所 述依据所述攻击实例连通特征对所述第一威胁攻击活动知识图谱的至少部分威胁攻击活 动知识图谱进 行联合攻击实例连通， 而后依据联合攻击实例连通处理后的所述威胁攻击活 动知识图谱生成第二 威胁攻击活动知识图谱之前， 还 包括： 依据频繁活动项挖掘模型对所述第 一威胁攻击活动知识图谱进行频繁活动项挖掘， 确 定频繁活动项； 所述依据所述攻击实例连通特征对所述第一威胁攻击活动知识图谱的至少部分威胁 攻击活动知识图谱进 行联合攻击实例连通， 而后依据联合攻击实例连通处理后的所述威胁 攻击活动知识图谱生成第二 威胁攻击活动知识图谱， 包括： 依据所述攻击实例连通特征对所述第一威胁攻击活动知识图谱的至少部分威胁攻击 活动知识图谱进行 联合攻击实例连通； 依据所述频繁活动项对联合攻击实例连通的所述威胁攻击活动知识图谱进行威胁权 重更新；权　利　要　求　书 1/4 页 2 CN 114928493 A 2依据完成威胁权重更新的所述威胁攻击活动知识图谱， 确定第 二威胁攻击活动知识图 谱。 4.根据权利要求3所述的基于威胁攻击大数据的威胁情报生成方法， 其特征在于， 所述 第一威胁攻击活动知识图谱的连通维度包括联合 攻击实例连通维度和扩展连通维度； 所述依据所述攻击实例连通特征对所述第一威胁攻击活动知识图谱的至少部分威胁 攻击活动知识图谱进行 联合攻击实例连通， 包括： 依据扩展连通维度从第一威胁攻击活动知识图谱中提取多个扩展威胁攻击活动知识 图谱， 每个扩展威胁攻击活动知识图谱包括相同的扩展连通 维度下匹配衍生攻击实例的威 胁攻击活动知识图谱； 依据所述攻击实例连通特征对所述多个扩展威胁攻击活动知识图谱在联合攻击实例 连通维度下进行 连通。 5.根据权利要求4所述的基于威胁攻击大数据的威胁情报生成方法， 其特征在于， 所述 扩展连通维度为攻击实例触发点连通 维度， 并且所述攻击实例连通特征包括W个连通特征， 所述多个扩展威胁攻击活动知识图谱 包括W个第一威胁攻击活动知识图谱； 所述依据所述攻击实例连通特征对所述多个扩展威胁攻击活动知识图谱在联合攻击 实例连通维度下进行 连通的步骤， 包括： 依据所述攻击实例连通特征中第R个所述连通特征对第R个所述第一威胁攻击活动知 识图谱在所述联合攻击实例连通 维度下进 行连通， 确定第R个第二威胁攻击活动知识图谱， 所述R为小于或等于所述 W的正整数； 其中， 所述依据 所述攻击实例连通特征中第R个所述连通特征对第R个所述第 一威胁攻 击活动知识图谱在所述联合攻击实例连通维度下进行连通， 确定第 R个第二威胁攻击活动 知识图谱的步骤， 包括： 确定第R个所述连通特征映射的威胁活动连通区间， 且所述威胁活动连通区间的第一 连通节点数据与第二连通节点数据的连通区间数据为完整威胁活动数据； 依据所述联合攻击实例连通维度， 以及与所述第一连通节点数据对应的连通节点位 置， 对第R个所述第一威胁攻击活动知识图谱进行联合防护实例连通处理， 确定第 R个第三 威胁攻击活动知识图谱， 并依据所述联合攻击实例连通维度， 以及与所述第二连通节点数 据对应的连通节点位置， 对第 R个所述第一威胁攻击活动知识图谱进行联合防护实例连通 处理， 确定第R个第四威胁攻击活动知识图谱； 以第R个所述连通特征与 所述第二连通节点数据的连通代价信 息作为威胁权重参数对 第R个所述第三威胁攻击活动知识图谱进 行威胁权重更新， 确定第R个第一威胁权重更新知 识图谱， 并以所述第一连通节点数据与所述第 R个连通特征 的连通代价信息作为威胁权重 参数对第R个所述第四威胁攻击活动知识图谱进 行威胁权重更新， 确定第R个第二威胁权重 更新知识图谱； 依据所述第R个第一威胁权重更新知识图谱和第R个第二威胁权重更新知识图谱之间 的组合分析信息， 生成第R个所述第二 威胁攻击活动知识图谱。 6.根据权利要求4所述的基于威胁攻击大数据的威胁情报生成方法， 其特征在于， 所述 威胁攻击大数据包括S 个目标威胁攻击联动事件数据， 所述频繁活动项包括所述S 个频繁活 动变量；权　利　要　求　书 2/4 页 3 CN 114928493 A 3