基于知识图谱的网络安全威胁管理系统及方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于知识图谱的网络安全威胁管理系统及方法。

背景技术

从IT时代到DT时代针对网络安全的攻击层出不穷，现有防护手段仅仅利用爬虫框架采集互联网上的静态网络安全数据，但是技术更新日新月异，静态的网络安全数据无法用于分析实际网络中的真正攻击行为，进而用爬虫框架采集互联网上的静态网络安全数据无法与实际网络中的信息化业务系统相融合，进而导致现有的网络安全管理系统无法实时、有效、精确地对实际网络中不同安全系统的多源异构的网络安全威胁数据收集、识别、分析、预测以及更新，导致现有的网络安全管理系统风险度较高影响信息化业务系统的正常使用和存在信息泄露风险。

发明内容

发明目的：为了克服现有技术中的不足，本发明提供一种基于知识图谱的网络安全威胁管理系统及方法，能够借助知识图谱关系模型完成多系统网络安全威胁数据的知识获取，对网络安全威胁数据进行知识融合、以及借助数据库对网络安全威胁数据进行知识存储、并通过知识推理获得多系统在网络安全事件中的分析和预测结果，以及优化管理系统。

技术方案：第一方面本发明提供一种基于知识图谱构建的网络安全威胁管理系统，包括：

知识获取模块、知识融合模块、知识存储模块、知识推理模块；

所述知识获取模块用于获取多源异构的网络安全威胁数据，并将获取的网络安全威胁数据导入网络安全知识图谱关系模型，获得多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性；

所述知识融合模块用于对多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性进行融合处理，获得融合多源异构的网络安全威胁数据的知识图谱；

所述知识存储模块用于存储融合多源异构的网络安全威胁数据后的知识图谱并解析，确定多源异构的网络安全威胁数据的网络安全事件；

所述知识推理模块用于基于网络安全事件对知识图谱中融合后的多源异构的网络安全威胁数据进行推理，分别获得不同系统在网络安全事件中的分析和预测结果；

其中，网络安全知识图谱关系模型根据实际网络环境中部署的安全系统、攻击来源、网络威胁、攻击目标、业务系统为建模主题构建而成，用于多源异构网络安全威胁数据的实体抽取、关系抽取、属性抽取；并随更新的多源异构的网络安全威胁数据更新属性。

在进一步的实施例中，所述网络安全知识图谱关系模型中定义有与安全系统、攻击来源、网络威胁、攻击目标、业务系统相关的实体名称、实体之间的关系名称、实体的属性以及属性值；

所述网络安全知识图谱关系模型包括：模式层和数据层；所述模式层用于以三元组的形式输出网络安全威胁数据的实体、实体之间关系以及实体的属性和属性值；所述数据层用于展示攻击来源地址以及攻击所采用的工具。

第二方面本发明提供一种基于知识图谱构建的网络安全威胁管理方法，基于上述系统的管理方法，包括：

获取多源异构的网络安全威胁数据，并将获取的网络安全威胁数据导入网络安全知识图谱关系模型，获得多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性；

对多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性进行融合处理，获得融合多源异构的网络安全威胁数据的知识图谱；

对融合多源异构的网络安全威胁数据后的知识图谱进行存储并解析，确定多源异构的网络安全威胁数据的网络安全事件；

基于网络安全事件对知识图谱中融合后的多源异构的网络安全威胁数据进行推理，分别获得不同系统在网络安全事件中的分析和预测结果；其中，不同系统在网络安全事件中的分析和预测结果，用于优化网络安全威胁管理系统。

在进一步的实施例中，将获取的网络安全威胁数据导入网络安全知识图谱关系模型，获得多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性，包括：

对获取的多源异构的网络安全威胁数据进行判断，确定多源异构的网络安全威胁数据的来源系统及数据结构；

根据多源异构的网络安全威胁数据的来源系统及数据结构进行实体抽取，分别获得来源系统所属的实体；

基于网络安全知识图谱关系模型对来源系统所属的实体进行解析，抽取获得实体之间的关系、实体的属性；

其中，网络安全知识图谱关系模型还基于实体的属性获得属性键值。

在进一步的实施例中，对多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性进行融合处理，获得融合多源异构的网络安全威胁数据的知识图谱，包括：

判断多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性是否存在实体歧义；对存在实体歧义的网络安全威胁数据所关联的实体选择进行实体对齐，获得无实体歧义的网络安全威胁数据；

判断无实体歧义的网络安全威胁数据是否存在冲突数据；

对存在冲突数据的网络安全威胁数据解决冲突，获得冲突解决的网络安全威胁数据；

将冲突解决的网络安全威胁数据作为知识图谱数据进行知识融合，获得融合后的知识图谱；其中，所述知识图谱基于网络安全威胁数据实时更新，并判断实时更新的知识图谱，确定是否更新属性或更新知识图谱关系模型；

获得融合后的知识图谱还包括对冲突解决的网络安全威胁数据中的实体属性进行归一化处理。

在进一步的实施例中，判断实时更新的知识图谱，确定是否更新属性或新增知识图谱包括：

根据当前知识图谱对实时更新的知识图谱进行对比，判断是否已存在相同的知识图谱；

若存在相同的知识图谱，则确定更新相同知识图谱的属性；

若不存在相同的知识图谱，则利用实时更新的知识图谱，抽取实体、实体之间的关系、实体的属性进行知识融合形成知识图谱，用于更新已构建的网络安全知识图谱关系模型。

在进一步的实施例中，对存在实体歧义的网络安全威胁数据所关联的实体选择进行实体对齐，获得无实体歧义的网络安全威胁数据，包括：

对存在实体歧义的网络安全威胁数据所关联的实体导入文本相似度算法，计算出实体语义之间的相似度；

对实体语义之间的相似度进行匹配，并将相似度匹配的实体进行对齐连接，获得无歧义实体的网络安全威胁数据。

在进一步的实施例中，对存在冲突数据的网络安全威胁数据解决冲突，获得冲突解决的网络安全威胁数据，包括：

预设的冗杂数据标签；

对无歧义实体的网络安全威胁数据的标签进行识别，判断出标签属于冗杂数据标签的网络安全威胁数据；

对标签属于冗杂数据标签的网络安全威胁数据进行删除，获得获得冲突解决的网络安全威胁数据。

在进一步的实施例中，存储融合多源异构的网络安全威胁数据后的知识图谱并解析，确定多源异构的网络安全威胁数据的网络安全事件，包括：

将融合多源异构的网络安全威胁数据后的知识图谱存储至数据库中，并利用数据库进行数据分析和数据查询，获得多源异构的网络安全威胁数据的日志记录；

对多源异构的网络安全威胁数据的日志记录进行可视化输出并分析，确定网络安全事件；其中，数据库用于可视化展示多源异构的网络安全威胁数据为技术人员了解、分析知识图谱提供可视化的框架。

在进一步的实施例中，基于网络安全事件对知识图谱中融合后的多源异构的网络安全威胁数据进行推理，分别获得不同系统在网络安全事件中的分析和预测结果，包括：

将网络安全事件导入神经网络推理的R-GCN算法，计算获得网络安全态势预测结果；其中，网络安全态势预测结果包括：关系预测和推理任务；所述关系预测以三元组表示用于预测未知实体之间的关系；所述推理任务用于使用已知事实和推理规则推导出新的结论；

将关系预测的三元组的样本导入distmult打分函数并利用交叉熵损失函数优化采用样本，确定符合要求的预测三元组；

确定符合要求的预测三元组表达式为：

式中，f(s,r,o)为三元组打分函数，ω为预测的三元组的样本数量，

有益效果：本发明与现有技术相比具有以下优点：

借助知识图谱关系模型完成多系统网络安全威胁数据的知识获取，对网络安全威胁数据进行知识融合、以及借助数据库对网络安全威胁数据进行知识存储、并通过知识推理获得多系统在网络安全事件中的分析和预测结果；

通过将实际网络中不同安全系统的多源异构的网络安全威胁数据作为数据源，实时监测收集多系统的网络安全威胁数据，实时动态抽取网络安全实体和关系，并在知识图谱构建后，持续更新实体的属性，保持知识图谱关系模型的在线学习和更新；

能够根据实际网络环境中部署的安全系统、攻击来源、网络威胁、攻击目标、业务系统等真实业务系统作为数据源，并将真实业务系统所关联的实体纳入到知识图谱中，提升了知识图谱利用的有效率，以及利用数据库存储融合的数据图图谱，化繁为简的为技术人员可视化展示必要的网络安全数据，为技术人员了解、分析知识图谱提供可视化的框架；

能够根据真实的网络安全威胁数据利用知识图谱进行实时的推理，对网络安全事件进行预测和分析，并根据分析和预测结果，优化管理系统，提升了不同系统的网络安全态势感知的准确率，以及为管理系统的优化提供实时、准确、有效的数据支撑。

附图说明

图1是本发明网络安全威胁管理系统知识获取模块的实施例图一；

图2是本发明网络安全威胁管理系统知识获取模块的实施例图二；

图3是本发明存储在数据库中的多源异构的网络安全威胁数据后的知识图谱关系图；

图4是本发明利用数据库输出多源异构的网络安全威胁数据后的知识图谱的解析图；

图5是本发明知识融合模块的流程图。

具体实施方式

为了更充分理解本发明的技术内容，下面结合具体实施例对本发明的技术方案进一步介绍和说明，但不局限于此。

实施例1：

说明本实施例中的一种基于知识图谱构建的网络安全威胁管理系统，包括：

知识获取模块、知识融合模块、知识存储模块、知识推理模块；

知识获取模块用于获取多源异构的网络安全威胁数据，并将获取的网络安全威胁数据导入网络安全知识图谱关系模型，获得多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性；

知识融合模块用于对多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性进行融合处理，获得融合多源异构的网络安全威胁数据的知识图谱；

知识存储模块用于存储融合多源异构的网络安全威胁数据后的知识图谱并解析，确定多源异构的网络安全威胁数据的网络安全事件；

知识推理模块用于基于网络安全事件对知识图谱中融合后的多源异构的网络安全威胁数据进行推理，分别获得不同系统在网络安全事件中的分析和预测结果；

其中，网络安全知识图谱关系模型根据实际网络环境中部署的安全系统、攻击来源、网络威胁、攻击目标、业务系统为建模主题构建而成，用于多源异构网络安全威胁数据的实体抽取、关系抽取、属性抽取；并随更新的多源异构的网络安全威胁数据更新属性；

优选的，网络安全知识图谱关系模型中定义有与安全系统、攻击来源、网络威胁、攻击目标、业务系统相关的实体名称、实体之间的关系名称、实体的属性以及属性值；在本实施例中，结合图1至图2说明网络安全知识图谱关系模型主要定义了以下几种实体和之间的相互关系，具体为：

1)安全系统。能够检测发现或者拦截攻击行为的网络安全系统，例如：安全网关、WAF(Web应用防火墙)、IDS(入侵检测系统)、IPS(入侵防御系统)、抗拒绝服务系统、APT检测系统等。安全系统和攻击来源的关系是发现关系。

2)攻击来源。发起攻击行为的来源，可能是个人或者组织，当细分到网络安全实际环境中的数据层面，就是一系列的IP地址，这些个人或者组织所控制的电脑的IP地址，通过这些IP地址，发起一系列的攻击行为，也称为：攻击来源IP。攻击来源和威胁的关系是使用关系。

3)威胁。是某个实体(人、事件、程序等)对某一资源的机密性、完整性、可用性在合法使用时可能造成的损害。包括信息损害和功能损害。信息损害包括：网络窃听、数据篡改、个人隐私入侵等。功能损害包括：网络攻击、权限提升、系统不可用等。威胁和攻击目标的关系是攻击关系。

4)攻击目标。攻击行为的目标，可能是整个网络，也可能是某个业务系统，也可能某个资产。本发明重点是定位到网络环境中具体的IP地址。攻击目标和业务系统的关系是支撑关系。

5)业务系统。实际网络环境中运行的业务系统，这也是企业或组织最为重要的信息化资产。

优选的网络安全知识图谱关系模型包括：模式层和数据层；模式层用于以三元组的形式输出网络安全威胁数据的实体、实体之间关系以及实体的属性和属性值；数据层用于展示攻击来源地址以及攻击所采用的工具；

进一步的，在本实施例中，以以攻击者来源作为主题进行建模，模式层输出：实体-关系-实体，实体-属性-属性值；数据层输出：202.190.78.6(攻击来源)-使用-Cain嗅探工具，202.190.78.6(攻击来源)-所属地-马来西亚吉隆坡IP地址；

总结：从知识图谱构建的逻辑架构角度来看，知识建模体现了知识图谱的模式层，这也是知识图谱的核心，由专门的本体库来进行管理。除了模式层以外，知识图谱的逻辑架构的另一个层次是数据层，数据层体现的就是真实的数据。

知识获取模块用于获取多源异构的网络安全威胁数据，并将获取的网络安全威胁数据导入网络安全知识图谱关系模型，获得多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性，具体为需要从一些结构化、半结构化、非结构化数据中进行实体抽取、关系抽取、属性抽取等操作，在此基础上形成本体化的知识表达。在实际网络环境中，针对网络安全威胁的知识提取，以结构化、半结构化数据为主，目前很少涉及非结构化数据。

网络安全威胁的数据来源是实际网络环境中部署的安全系统，安全系统在发现网络安全威胁之后会以结构化、半结构化数据的格式存储在本地，也支持将这些数据进行转发，这些数据构成了网络安全威胁知识库。每个安全系统的网络安全威胁知识库都是经过安全厂商的专业的安全实验团队进行网络威胁数据收集、实验室验证和提炼后而形成的，并且在广泛的在多个行业的实际网络环境中得到过实际验证，为网络安全威胁知识图谱的构建提供了可靠的保障。而企业中的业务系统等资产数据，可以从企业的资产管理系统或者信息化运维管理系统中获取。

知识融合模块需要完成实体对齐、冲突解决、属性归一等过程；实体对齐也称为实体匹配、实体同义。在真实网络环境中，本发明的网络安全威胁知识图谱构建，针对安全系统、攻击来源、攻击目标、业务系统不需要进行实体对齐，但威胁需要进行实体对齐，不同的厂商对同一类威胁的定义了不同的名称，例如：BladeX未授权访问，也可以称为：BladeX接口未授权访问，BladeX日志接口未授权访问，BladeX接口权限限制宽松等。通过文本相似度算法可以解决这种模糊匹配的问题。

本实施例中冲突解决为数据采集引擎在收集网络安全威胁数据时，安全系统也会转发的一些与网络安全威胁无关的其他数据，这些数据也会被数据采集引擎收集，但这些数据对于网络安全威胁分析不具备任何意义称为冗杂数据。如：安全系统自身的运行数据，常见的数据为：系统启动行为、系统升级行为等；再如：安全系统的操作数据，常见的数据为：添加一个新的帐号、删除一个帐号、添加一条新的访问控制策略等。需要消除这些冗杂数据。安全系统转发的数据中，会采用某个标签来说明转发的数据类型，需要识别出这些冗杂数据的标签，进行消除。

本实施例中，属性归一的情景具体为数据采集引擎会持续收集安全系统的网络安全威胁数据，当在后续不同的时间，抽取的知识已经存在于知识库中时，对此知识进行属性归一，不会重新构建知识，而属性攻击次数会增加，攻击时长会增加。

知识存储模块用于存储融合多源异构的网络安全威胁数据后的知识图谱并解析，确定多源异构的网络安全威胁数据的网络安全事件；在本实施例中，知识图谱存储使用关系数据库、ES存储、图数据库存储三种存储方式。关系数据库以攻击来源为主要关键字，存储与其有关的属性；ES存储所有抽取后获得的知识；图数据库采用Neo4j存储知识图谱数据。neo4j是当前业界分析知识图谱的主流数据库，Neo4j通过键值对(Key-Value)的双向列表来保存节点和关系的属性值，所以Neo4j特别适用于存储实体关系和实体的属性。

Neo4j能够使用与结构化查询语言(Structured Query Language，SQL)相似的数据库查询语言Cypher语句，对存储的数据进行增删改查等操作，Cypher需要嵌入图数据库中，它适用于当图数据库需要进行大幅度的升级的情况，此时内部的Cypher代码需要进行相应的调整。因为它和数据库结合得更紧密，Cypher特别适用于遍历的场景。

也有一些开发人员会使用GraphQL，GraphQL提供了标准的图数据库接口。如果前端的开发和数据库管理人员想要进行解耦，那么GraphQL是一个不错的选择，因为它可以建立自己的API，使得后端的任何变动都不会影响前端的业务开发。但由于GraphQL是一个图数据库的接口语言，它无法像Cypher一样进行复杂的图数据查询，因此GraphQL只适用于存取数据。

总结：能够根据实际网络环境中部署的安全系统、攻击来源、网络威胁、攻击目标、业务系统等真实业务系统作为数据源，并将真实业务系统所关联的实体纳入到知识图谱中，提升了知识图谱利用的有效率，以及利用数据库存储融合的数据图图谱，化繁为简的为技术人员可视化展示必要的网络安全数据，为技术人员了解、分析知识图谱提供可视化的框架。

知识推理模块用于基于网络安全事件对知识图谱中融合后的多源异构的网络安全威胁数据进行推理，分别获得不同系统在网络安全事件中的分析和预测结果，利用已知知识推断出新知识的过程。知识图谱能够从大规模数据中挖掘、组织和有效的管理知识，以提高数据服务质量，为用户提供更智能的服务，这也是当前数字化转型的核心任务。知识图谱的知识推理是为了识别错误，从现有数据中推断出新的结论。通过知识推理，可以导出实体间的新关系，并反馈丰富知识图谱，以及基于网络安全威胁的知识图谱的推理功能，能够进行安全事件的分析和预测，并将其应用于网络安全风险评估场景中。

此外，知识图谱实时更新，包括概念更新和数据更新，知识图谱的内容更新包括全面更新和增量更新，针对网络安全威胁的知识图谱的构建就是通过对网络安全威胁的持续跟踪和分析，去感知网络安全态势，因此本发明主要进行增量更新，即：以当前新增数据为输入，向现有知识图谱中添加新增知识，而不是以更新后的全部数据为输入，从头开始构建知识图谱。

实施例6：

基于上述系统的一种基于知识图谱构建的网络安全威胁管理方法，包括：

获取多源异构的网络安全威胁数据，并将获取的网络安全威胁数据导入网络安全知识图谱关系模型，获得多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性；

对多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性进行融合处理，获得融合多源异构的网络安全威胁数据的知识图谱；

存储融合多源异构的网络安全威胁数据后的知识图谱并解析，确定多源异构的网络安全威胁数据的网络安全事件；

基于网络安全事件对知识图谱中融合后的多源异构的网络安全威胁数据进行推理，分别获得不同系统在网络安全事件中的分析和预测结果；并根据分析和预测结果，优化管理系统。

优选的，将获取的网络安全威胁数据导入网络安全知识图谱关系模型，获得多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性，包括：

对获取的多源异构的网络安全威胁数据进行判断，确定多源异构的网络安全威胁数据的来源系统及数据结构；

根据多源异构的网络安全威胁数据的来源系统及数据结构进行实体抽取，分别获得来源系统所属的实体；

基于网络安全知识图谱关系模型对来源系统所属的实体进行解析，抽取获得实体之间的关系、实体的属性；并基于实体的属性获得属性键值；

为了更好的说明本申请是如何获得多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性，以下列举了多个实施例对技术方案进行说明：

本申请设计了专门的数据采集引擎从安全系统中采集网络安全威胁数据，资产管理系统(或者信息化运维管理系统)采集业务系统资产数据。针对网络安全威胁数据，采集方式包括Syslog、SNMP TRAP等，在本实施例的实际网络环境中，不同类型的安全系统发出的网络安全威胁数据的结构完全不同，因此进行知识获取时需要对每个安全系统逐一进行。针对业务系统资产数据，采集方式为HTTP POST方式。

网络安全威胁信息获取流程如下表1：

表1

业务系统信息获取流程如下表2：

表2

实施例2，在实际网络环境中，不同类型的安全系统发出的网络安全威胁数据的结构完全不同，因此进行实体抽取时需要分别进行，以东软IDS输出的网络安全威胁数据为例，抽取出每个实体的名称，具体如下表3至4：

表3

实施例3：资产管理系统输出的业务系统数据为例，抽取出每个实体的名称和其对应的属性如表5至表6：

表4

表5

表6

实施例4：利用网络安全本体建模中构建的“实体-关系-实体”三元组的规则，来进行关系抽取，具体为表7至表8：

表7

表8

实施例5：属性抽取与实体属性抽取类似，实体与属性是1对多的关系，每个属性都具备属性键值，具体如表9所示：

表9

优选的，结合图5说明对多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性进行融合处理，获得融合多源异构的网络安全威胁数据的知识图谱的过程，包括：

根据多源异构的网络安全威胁数据所关联的实体、实体之间的关系、以及实体的属性，判断是否存在实体歧义；

对存在实体歧义的网络安全威胁数据所关联的实体选择进行实体对齐，获得无实体歧义的网络安全威胁数据；

根据无实体歧义的网络安全威胁数据，判断是否存在冲突数据；

对存在冲突数据的网络安全威胁数据解决冲突，获得冲突解决的网络安全威胁数据；

将冲突解决的网络安全威胁数据作为知识图谱数据进行知识融合，获得融合后的知识图谱；其中，知识图谱基于网络安全威胁数据实时更新，并判断实时更新的知识图谱，确定是否更新属性或更新知识图谱关系模型。

优选的，判断实时更新的知识图谱，确定是否更新属性或新增知识图谱包括：

根据当前知识图谱对实时更新的知识图谱进行对比，判断是否已存在相同的知识图谱；

若存在相同的知识图谱，则确定更新相同知识图谱的属性；

若不存在相同的知识图谱，则利用实时更新的知识图谱，抽取实体、实体之间的关系、实体的属性进行知识融合形成知识图谱，用于更新已构建的网络安全知识图谱关系模型；

本申请主要进行数据更新，主要是新增或更新实体、关系、属性值。在一个实际网络环境中，新增一个数据源，就是新增一个网络安全系统；更新一个数据源，就是对原来部署在网络中的网络安全系统进行功能、安全规则库等进行更新，而目前市场的允许销售的网络安全系统都是经过国内权威机构检测后取得安全系统销售许可证的专业网络安全设备，因此新增或者更新的数据源可靠性很高、数据一致性也较高，因此可以将各数据源中新出现的实体、关系、属性加入到知识库中，如表10所示。

表10

优选的，对存在实体歧义的网络安全威胁数据所关联的实体选择进行实体对齐，获得无实体歧义的网络安全威胁数据，包括：

对存在实体歧义的网络安全威胁数据所关联的实体导入文本相似度算法，计算出实体语义之间的相似度；

对实体语义之间的相似度进行匹配，并将相似度匹配的实体进行对齐连接，获得无歧义实体的网络安全威胁数据；

在本实施例中，采用采用优化后的编辑距离的相似性函数进行实体对齐，源代码如下：

步骤1：设置n为源字符串s的长度；

设置m为目标字符串t的长度；

如果n等于0，返回m并退出；

如果m等于0，返回n并退出；

构造两个一维数组V0[n+1]和V1[n+1]，串联0...n之间所有的元素。

步骤2：初始V0 to 0...n。

步骤3：检查t(j from 1to m)中的每个字符。

步骤4：检查s(j from 1to m)中的每个字符。

步骤5：如果s[i]等于t[j]，则编辑代价cost为0；

如果s[i]不等于t[j]，则编辑代价cost为1。

步骤6：设置一维数组单元格V1[i]的值为下面的最小值：

步骤6.1：正上方单元格的值1：V0[i]+1。

步骤6.2：左边单元格的值加1：V1[i-1]+1。

步骤6.3：对角线单元格的值加上编辑代价cost的值：V0[i-1]+cost。

步骤7：在完成(3，4，5，6)之后，V1[n]便是编辑距离的值。

优选的，对存在冲突数据的网络安全威胁数据解决冲突，获得冲突解决的网络安全威胁数据，包括：

预设的冗杂数据标签；

对无歧义实体的网络安全威胁数据的标签进行识别，判断出标签属于冗杂数据标签的网络安全威胁数据；

对标签属于冗杂数据标签的网络安全威胁数据进行删除，获得获得冲突解决的网络安全威胁数据。

优选的，将冲突解决的网络安全威胁数据作为知识图谱数据进行知识融合，获得融合后的知识图谱，还包括对冲突解决的网络安全威胁数据中的实体属性进行归一化处理。

优选的，存储融合多源异构的网络安全威胁数据后的知识图谱并解析，确定多源异构的网络安全威胁数据的网络安全事件，包括：

将融合多源异构的网络安全威胁数据后的知识图谱存储至数据库中，并利用数据库进行数据分析和数据查询，获得多源异构的网络安全威胁数据的日志记录；

根据多源异构的网络安全威胁数据的日志记录，确定网络安全事件以及利用数据库可视化展示多源异构的网络安全威胁数据，用于为技术人员了解、分析知识图谱提供可视化的框架；

如图3和图4所示知识存储利用数据库进行可视化输出，图3展示了所构建的网络安全威胁知识图谱的部分内容，其中每一个圆形节点代表一个实体，连接两个圆形节点的线代表这两个实体之间的关系。因为图谱数据量较大，图谱内容相对复杂，但在实际的网络安全威胁分析中，安全服务人员和安全技术分析人员不需要查看这么复杂的图形，图谱只是为数据分析和数据查询提供一个可视化的框架。

通过在图谱中搜索到某个攻击来源，也可以搜索到某个安全系统实体，以此实体为核心，查看与其紧密关联的知识，如图4和表11所示查看攻击来源为115.236.71.68隶属于浙江杭州的IP地址，对网络中的多个目的IP发起了SQL注入、XSS跨站等攻击行为：

表11

从表11中分析可得，自此攻击源的攻击行为实际上持续一周左右：5月29日到6月5日，多达9060次。在上述的知识图谱中进行了属性归一处理，使得知识图谱的内容更为清晰、可控、可知。

优选的，基于网络安全事件对知识图谱中融合后的多源异构的网络安全威胁数据进行推理，分别获得不同系统在网络安全事件中的分析和预测结果，包括：

将网络安全事件导入神经网络推理的R-GCN算法，计算获得网络安全态势预测结果；其中，网络安全态势预测结果包括：关系预测和推理任务；关系预测以三元组表示用于预测未知实体之间的关系；推理任务用于使用已知事实和推理规则推导出新的结论；

将关系预测的三元组的样本导入distmult打分函数并利用交叉熵损失函数优化采用样本，确定符合要求的预测三元组；

确定符合要求的预测三元组表达式为：

式中，f(s,r,o)为三元组打分函数，ω为预测的三元组的样本数量，

综上所述：本发明能够借助知识图谱关系模型完成多系统网络安全威胁数据的知识获取，对网络安全威胁数据进行知识融合、以及借助数据库对网络安全威胁数据进行知识存储、并通过知识推理获得多系统在网络安全事件中的分析和预测结果；

通过将实际网络中不同安全系统的多源异构的网络安全威胁数据作为数据源，实时监测收集多系统的网络安全威胁数据，实时动态抽取网络安全实体和关系，并在知识图谱构建后，持续更新实体的属性，保持知识图谱关系模型的在线学习和更新；

能够根据实际网络环境中部署的安全系统、攻击来源、网络威胁、攻击目标、业务系统等真实业务系统作为数据源，并将真实业务系统所关联的实体纳入到知识图谱中，提升了知识图谱利用的有效率，以及利用数据库存储融合的数据图图谱，化繁为简的为技术人员可视化展示必要的网络安全数据，为技术人员了解、分析知识图谱提供可视化的框架；

能够根据真实的网络安全威胁数据利用知识图谱进行实时的推理，对网络安全事件进行预测和分析，并根据分析和预测结果，优化管理系统，提升了不同系统的网络安全态势感知的准确率，以及为管理系统的优化提供实时、准确、有效的数据支撑。

本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。