(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210704887.7 (22)申请日 2022.06.21 (71)申请人 四维创智 （北京） 科技发展 有限公司 地址 100089 北京市海淀区上地六街28号 院2号楼4层40 3 (72)发明人 孙基栩　蔡挺　司红星　 (74)专利代理 机构 北京维正专利代理有限公司 11508 专利代理师 董凯特 (51)Int.Cl. G06F 16/36(2019.01) G06F 16/18(2019.01) (54)发明名称 知识图谱构建的方法、 装置、 电子设备及可 读存储介质 (57)摘要 本申请涉及一种知识图谱构建的方法、 装 置、 电子设备及可读存储介质， 涉及网络安全技 术领域。 该方法包括： 获取Web日志， 基于Web日 志， 实例化生成待构建的图谱中的第一实体集合 以及第二实体集合， 第一实体集合包括： IP实体、 URI实体以及Web日志实体， 第二实体集合包括： 行为实体和攻击事件实体， 基于Web日志、 第一实 体集合以及第二实体集合， 实例化生成各实体 之 间的关系， 基于第一实体集合、 第二实体集合和 各实体之间的关系构建知识图谱。 本申请提供的 知识图谱构建的方法、 装置、 电子设备及可读存 储介质可以节省通过攻击事件查找与攻击事件 相关联的各实体的时间， 以提高对Web日志检索 的效率。 权利要求书2页 说明书16页 附图3页 CN 115048533 A 2022.09.13 CN 115048533 A 1.一种知识图谱构建的方法， 其特 征在于， 包括： 获取Web日志； 基于所述Web日志， 实例化生成待构建的图谱中的第 一实体集合以及第 二实体集合， 所 述第一实体集合包括： IP实体、 统一资源标识符URI 实体以及Web日志实体， 所述第二 实体集 合包括： 行为实体和攻击事 件实体； 基于所述Web日志、 所述第一实体集合以及所述第二实体集合， 实例化生成各实体之间 的关系， 所述各实体之间的关系包括： 第一 实体集合中各实体之间的关系、 第二实体集合中 各实体之间的关系以及第一实体集 合与第二实体集 合之间的关系； 基于所述第一实体集 合、 第二实体集 合和所述各实体之间的关系构建知识图谱。 2.根据权利要求1所述的方法， 其特征在于， 所述基于所述Web日志， 实例化生成待构建 的图谱中的第一实体集 合以及第二实体集 合， 包括： 基于所述Web日志， 实例化生成待构建的图谱中的第一实体集合， 以及基于所述Web日 志， 实例化 生成待构建的图谱中的第二实体集 合； 或者， 基于所述Web日志， 实例化生成待构建的图谱中的第一实体集合， 以及， 获取告警日志， 并基于所述告警日志， 实例化 生成待构建的图谱中的第二实体集 合； 其中， 所述基于所述Web日志、 所述第一实体集合以及所述第二实体集合， 实例化生成 各实体之间的关系， 包括： 基于所述Web日志以及所述第一实体集合， 实例化生成第一实体集合中各实体之间的 关系； 基于所述Web日志以及所述第二实体集合， 实例化生成第二实体集合中各实体之间的 关系； 基于所述Web日志、 所述第一实体集合以及所述第二实体集合， 实例化生成所述第一实 体集合与所述第二实体集 合之间的关系。 3.根据权利要求1或2所述的方法， 其特征在于， 基于所述Web日志， 实例化生成待构建 的图谱中的第二实体集 合， 包括以下任一项： 基于所述Web日志、 所述第一实体集合以及第一实体集合中各实体之间的关系， 并通过 行为建模工具实例化 生成待构建的知识图谱中的第二实体集 合； 获取告警日志， 并基于所述告警日志、 所述Web日志、 所述第一实体集合以及第一实体 集合中各实体之间的关系， 实例化 生成待构建的知识图谱中的第二实体集 合。 4.根据权利 要求3所述的方法， 其特征在于， 所述Web日志中包含IP对URI的请求次数以 及时间窗口内的请求序列； 其中， 基于所述Web日志、 所述第一实体集合以及所述第 一实体集合中各实体之间的关 系， 实例化 生成待构建的知识图谱中的第二实体集 合， 包括： 基于所述 IP对URI的请求次数以及所述时间窗口内的请求序列， 实例化 生成行为实体； 基于所述行为实体， 实例化 生成攻击事 件实体。 5.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 基于所述 Web日志和所述URI实体， 实例化 生成待构建的知识图谱中的URI抽象实体； 基于所述Web日志、 所述URI实体和所述URI抽象实体， 实例化生成URI实体和URI抽象实 体之间的关系。权　利　要　求　书 1/2 页 2 CN 115048533 A 26.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 获取资产拓扑信息和Web服 务接口信息； 基于所述资产拓扑信息以及所述Web服务接口信息， 实例化生成第三实体集合以及第 三实体集 合中各实体之间的关系， 所述第三实体集 合包括： 服 务实体和服 务器实体； 基于所述Web服务接口信息、 所述Web日志、 所述第一实体集合以及所述第三实体集合， 实例化生成所述第一实体集 合和所述第三实体集 合之间的关系。 7.根据权利要求6所述的方法， 其特征在于， 所述基于所述资产拓扑信息以及所述Web 服务接口信息， 生成第三实体集 合以及第三实体集 合中各实体之间的关系， 包括： 根据所述 Web服务接口信息实例化 生成所述 服务实体； 根据所述资产拓扑信息实例化 生成所述 服务器实体； 根据所述服务实体、 所述服务器实体以及所述资产拓扑信息， 实例化生成所述第三实 体集合中各实体之间的关系； 其中， 所述基于所述Web服务接口信息、 所述Web日志、 所述第一实体集合以及所述第三 实体集合， 确定所述第一实体集 合和所述第三实体集 合之间的关系， 包括： 基于所述Web服务接口信息、 所述Web日志、 所述第一实体集合以及所述第三实体集合， 确定所述URI实体与所述服务实体之间的关系， 以得到所述第一实体集合和所述第三实体 集合之间的关系。 8.根据权利要求6或7所述的方法， 其特征在于， 所述基于所述第一实体集合、 第 二实体 集合和所述各实体之间的关系构建知识图谱， 包括： 基于以下信息， 构建知识图谱： 所述第一实体集 合； 所述第二实体集 合； 所述第三实体集 合； 所述URI抽象实体； 所述第一实体集 合中各实体之间的关系； 所述第二实体集 合中各实体之间的关系； 所述第三实体集 合中各实体之间的关系； 所述第一实体集 合与所述第二实体集 合之间的关系； 所述第一实体集 合与所述第三实体集 合之间的关系； 所述URI实体和所述URI抽象实体之间的关系。 9.一种电子设备， 其特 征在于， 包括： 一个或者多个处 理器； 存储器； 一个或多个应用程序， 其中所述一个或多个应用程序被存储在所述存储器中并被配置 为由所述一个或多个处理器执行， 所述一个或多个应用程序用于： 执行根据权利要求1～8 任一项所述的知识图谱构建的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器 执行时实现权利要求1～8任一项所述的一种知识图谱构建的方法。权　利　要　求　书 2/2 页 3 CN 115048533 A 3