(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210890802.9 (22)申请日 2022.07.27 (71)申请人 天津市国瑞数码安全系统股份有限 公司 地址 300392 天津市西青区华苑产业区海 泰绿色产业基地K1-1- 601室 (72)发明人 吴冠标　齐帅　王旭　 (74)专利代理 机构 北京秉文同创知识产权代理 事务所(普通 合伙) 11859 专利代理师 孙富利　张文武 (51)Int.Cl. G06F 16/36(2019.01) G06F 16/35(2019.01) G06F 16/34(2019.01) G06F 40/211(2020.01)G06F 40/295(2020.01) G06N 3/04(2006.01) G06N 20/10(2019.01) (54)发明名称 基于知识图谱的威胁情 报分析方法和系统 (57)摘要 本发明提供一种基于知识图谱的威胁情报 分析方法和系统， 由于在现有的威胁情报分析的 基础上， 改进实体抽取的嵌入层处理， 可 以准确 标注实体类别和边界， 以及改进 LSTM层实现得到 隐藏状态， 再通过引入标签的转移概率算法， 预 测得到有关实体的映射关系， 克服了现有的知识 图谱在进行语义检索时无法得到隐式知识的不 足， 实现基 于知识图谱的语义检索和推理分析。 权利要求书2页 说明书5页 附图1页 CN 115238095 A 2022.10.25 CN 115238095 A 1.一种基于知识图谱的威胁情 报分析方法， 其特 征在于， 所述方法包括： 从不同的传感设备、 中转设备、 开源平台和网络侧设备处采集状态信息、 域名信息、 链 接地址和报文数据， 作为 开源威胁情 报数据； 对所述开源威胁情报数据进行初始化处理， 基于主题、 关键字、 长度作为特征， 采用支 持向量机算法进行文本分类， 滤除所述开源威胁情报数据中的噪音数据， 并以句 子为单位 进行分割处 理， 自动标注标识信息， 得到威胁情 报库； 从所述威胁情报库中按照预定顺序提取语句， 输入实体抽取模块； 所述实体抽取模块根据标注， 将隶属的开头单词、 实体后续单词和非实体单词送入不 同的嵌入层， 经过处理后送入对应的LSTM层， 所述处理包括输入的所述语句降低维度检测， 并将隶属的开头单词添加指引， 指向对应表示实体结束的单词， 所述指向依据降低 维度检 测的损失函数， 通过求 解该损失函数的最优解， 得到表示实体结束的单词； 经过相邻的所述LSTM层相互交换向量后， 计算得到当前的隐藏向量， 所述隐藏向量分 为前向隐藏向量和后向隐藏向量， 将所述前向隐藏向量与后向隐藏向量连接起来， 得到隐 藏状态， 再将所述隐藏状态送入解码层， 所述解码层引入标签的转移 概率算法， 将所述标注 作为标签项， 根据计算的概 率值， 预测得到有关实体的映射关系； 将所述有关实体的映射关系录入可视化模块， 展示威胁情报实体的知识图谱， 采用 Cypher语句查询存 储数据， 将所述知识图谱提供 给用户决策。 2.根据权利要求1所述的方法， 其特征在于： 所述采集包括根据信息来源的历史记录， 对不同的信息来源给出了不同的评分； 还包括根据预先设置的情报类型， 侧重采集所述情 报类型对应的信息， 动态将与所述情报类型相关度低的信息设置为冗余信息， 在初始化处 理中清除。 3.根据权利要求1所述的方法， 其特征在于： 所述采集包括提取要素， 判断发现的要素 是否与当前热门安全事件相关， 如果是则在要素中标记热门安全事件摘要， 并将多个与该 热门安全 事件相关的要素进行关联， 进行 数据融合。 4.根据权利要求2或3任一项所述的方法， 其特征在于： 所述指向对应表示实体结束的 单词后， 确定实体边界， 用属性加密算法 隔离不同的实体边界， 实现不同的实体边界访问控 制， 按所述实体边界进行查询和判断报警。 5.一种基于知识图谱的威胁情 报分析系统， 其特 征在于， 所述系统包括： 采集模块， 用于从不同的传感设备、 中转设备、 开源平台和网络侧设备处采集状态信 息、 域名信息、 链接地址和报文数据， 作为 开源威胁情 报数据； 初始化模块， 用于对所述开源威胁情报数据进行初始化处理， 基于主题、 关键字、 长度 作为特征， 采用支持向量机算法进行文本 分类， 滤除所述开源威胁情报数据中的噪音 数据， 并以句子为单位进行分割处 理， 自动标注标识信息， 得到威胁情 报库； 中转模块， 用于从所述 威胁情报库中按照预定顺序提取语句， 输入实体抽取模块； 实体抽取模块， 用于根据 标注， 将隶属的开头单词、 实体后 续单词和非实体单词送入不 同的嵌入层， 经过处理后送入对应的LSTM层， 所述处理包括输入的所述语句降低维度检测， 并将隶属的开头单词添加指引， 指向对应表示实体结束的单词， 所述指向依据降低 维度检 测的损失函数， 通过求 解该损失函数的最优解， 得到表示实体结束的单词； 经过相邻的所述LSTM层相互交换向量后， 计算得到当前的隐藏向量， 所述隐藏向量分权　利　要　求　书 1/2 页 2 CN 115238095 A 2为前向隐藏向量和后向隐藏向量， 将所述前向隐藏向量与后向隐藏向量连接起来， 得到隐 藏状态， 再将所述隐藏状态送入解码层， 所述解码层引入标签的转移 概率算法， 将所述标注 作为标签项， 根据计算的概 率值， 预测得到有关实体的映射关系； 可视化模块， 用于将所述有关实体的映射关系录入， 展示威胁情报 实体的知识图谱， 采 用Cypher语句查询存 储数据， 将所述知识图谱提供 给用户决策。 6.一种基于知识图谱的威胁情报分析系统， 其特征在于， 所述系统包括处理器以及存 储器： 所述存储器用于存 储程序代码， 并将所述 程序代码传输给 所述处理器； 所述处理器用于根据所述程序代码中的指令执行实现权利要求1 ‑4任一项所述的方 法。 7.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质用于存储程序代 码， 所述程序代码用于执 行实现权利要求1 ‑4任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115238095 A 3