(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210560076.4 (22)申请日 2022.05.23 (71)申请人 苏州思萃工业互联网技 术研究所有 限公司 地址 215000 江苏省苏州市高新区科技城 锦峰大厦1幢16 01室 (72)发明人 陈洪鑫　金伟毅　李明　李胜　 廖琦　 (74)专利代理 机构 济南信达专利事务所有限公 司 37100 专利代理师 孙园园 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) H04L 41/0654(2022.01)H04L 41/0631(2022.01) H04L 67/10(2022.01) H04L 67/12(2022.01) G06F 16/36(2019.01) (54)发明名称 基于知识图谱边缘节点安全检测系统及方 法 (57)摘要 本发明公开了基于知识图谱边缘节点安全 检测系统及方法， 属于边缘计算技术领域， 本发 明要解决的技术问题为如何实现在边缘计算场 景下对有效的边缘节点进行安全检测， 满足边缘 计算场景下边缘节点的安全检测需求， 采用的技 术方案为： 该系统包括数据采集模块、 安全检测 模块、 数据存储模块、 数据处理模块、 知识图谱模 块和告警模块； 数据采集模块作为守护进程部署 在各边缘节 点操作系统中， 用于实时采集边缘节 点设备的日志信息和流量信息， 并上传到云端存 储到数据存储模块中， 为数据处理模块后续的数 据分析提供数据基础； 安全检测模块用于实现网 络入侵检测功能， 并将检测到的告警信息传入数 据处理模块做进一 步处理。 权利要求书2页 说明书5页 附图2页 CN 114844712 A 2022.08.02 CN 114844712 A 1.一种基于知识图谱边缘节点安全检测系统， 其特征在于， 该系统包括数据采集模块、 安全检测模块、 数据存 储模块、 数据处 理模块、 知识图谱 模块和告警模块； 数据采集模块作为守护进程部署在各边缘节点操作系统中， 用于实时采集边缘节点设 备的日志信息和流量信息， 并上传到云端存储到数据存储模块中， 为数据 处理模块后续的 数据分析提供 数据基础； 安全检测模块用于实现网络入侵检测 功能， 并将检测到的告警信 息传入数据处理模块 做进一步处理； 数据存储模块部署在云端， 用于存储数据采集模块采集的日志信 息及流量信 息和安全 检测模块采集的告警信息； 数据处理模块用于对数据采集模块和安全检测模块上传的日志数据、 流量数据和告警 数据进行处 理； 知识图谱模块用于通过上传的告警数据、 日志数据和流量数据从不同的维度和关系 对 攻击源进行推理评估， 结合基于结构的知识图谱表示学习方法进行全面学习， 构建边缘计 算环境下的攻击源安全 模型； 告警模块用于将告警信息推送给运维人员， 并提醒运维人员快速响应。 2.根据权利要求1所述的基于知识图谱边缘节点安全检测系统， 其特征在于， 所述安全 检测模块采用安全检测设备， 安全检测设备采用网络入侵检测系统IDS/IPS或网络应用防 护系统。 3.根据权利要求1所述的基于知识图谱边缘节点安全检测系统， 其特征在于， 所述数据 存储模块为时序数据库， 时序数据库用于提供根据时间和存储空间自动分表和基于时序查 询数据的功能， 同时还支持高频插 入插入和频繁查询。 4.根据权利要求1所述的基于知识图谱边缘节点安全检测系统， 其特征在于， 边缘节点 受到攻击时， 数据处理模块通过对告警数据、 日志数据和流量数据的比对分析， 判断是否为 有效的告警： 若明确是有效的告警信息， 则直接传给告警模块进行相应的告警， 并同时传输给知识 图谱模块构建安全知识库； 若未明确是有效的告警信息， 则结合知识图谱 模块继续处 理分析。 5.根据权利要求1 ‑4中任一所述的基于知识图谱边缘节点安全检测系统， 其特征在于， 所述攻击源安全模型用于确定知识图谱中的实体和关系； 实体分为 目标客体和威胁主体； 目标客体为攻击的目标； 威胁主体为攻击发起者， 即攻击源； 关系分为直接关系和间接关 系， 直接关系 是指通过日志数据和 流量数据直接得到的关系对； 间接关系 是指通过间接关 联得到的关系。 6.根据权利要求5所述的基于知识图谱边缘节点安全检测系统， 其特征在于， 所述知识 图谱模块是通过实体和关系构成的， 知识图谱模块中包括多种实体， 实体中的直接关系和 间接关系表示 威胁传递。 7.根据权利要求6所述的基于知识图谱边缘节点安全检测系统， 其特征在于， 所述告警 模块的推送方式包括邮件、 短信或企业 微信订阅号。 8.一种基于知识图谱边 缘节点安全检测方法， 其特 征在于， 该 方法具体如下： S1、 数据采集模块获取边 缘节点的日志信息并上传到云端的数据存 储模块中；权　利　要　求　书 1/2 页 2 CN 114844712 A 2S2、 安全检测模块进行网络入侵检测， 并把产生的海量告警信息上传到云端的数据存 储模块； S3、 数据处理模块获取数据存储模块中的告警信息、 日志数据集流量数据并通过对告 警数据、 日志数据和流 量数据的比对分析， 判断是否为有效的告警： ①、 若明确是有 效的告警信息， 则直接传给告警模块进行相应的告警， 并 同时传输给知 识图谱模块构建安全知识库， 下一 步执行步骤S4； ②、 若未明确是有效的告警信息， 则在知识图谱模块进行相应检索， 匹配对应的知识图 谱， 结合攻击源安全 模型做进一 步的分析评估； S4、 知识图谱模块以告警信息中的IP地址、 端口、 告警及日志的实体为知识图谱的节 点， 通过日志解析和数据 挖掘得到实体之间的关系构成知识图谱的边； S5、 告警模块对数据处理模块传入过来的告警信息通过邮件、 短信或企业微信订阅号 推送给运维人员， 并提醒运维人员快速响应。 9.根据权利要求8所述的基于知识图谱边缘节点安全检测方法， 其特征在于， 所述知识 图谱模块结合知识图谱中的表示学习方法， 将三元组表示成向量； 具体是采用TransE模型 来学习知识图谱中节点和边的向量表示； 具体如下： 将每个三元组实例(head， relation， tail)中的关系relation看作头实体head到尾实 体tail的翻译， 通过不断调整h、 r和t， 使(h+r)尽可能与t相等， 即h+r＝t； 其中， h表示实体 head的向量； r 表示关系relati on的向量； t 表示实体tai l的向量； 通过不断的学习， 最终确定攻击源， 构建攻击源安全 模型； 根据不断上传的日志数据和告警信息提取三元组作为训练集对攻击源安全模型进行 不断的训练。 10.根据权利要求9所述的基于知识图谱边缘节点安全检测方法， 其特征在于， 所述攻 击源安全模型用于确定知识图谱中的实体和关系； 实体分为 目标客体和 威胁主体； 目标客 体为攻击的目标； 威胁主体为攻击发起者， 即攻击源； 关系分为直接关系和间接关系， 直接 关系是指通过日志数据和流量数据直接得到的关系对； 间接关系是指通过间接 关联得到的 关系。权　利　要　求　书 2/2 页 3 CN 114844712 A 3