一种基于知识图谱的网络安全监控预警管理方法及系统

技术领域

本公开涉及网络安全技术领域，具体涉及一种基于知识图谱的网络安全监控预警管理方法及系统。

背景技术

随着互联网、云计算、大数据等现代信息技术已经渗透到经济和社会生活的方方面面，网络信息安全成为人们关注的焦点。主要表现有：一方面，针对信息泄露、篡改，系统入侵等网络违法犯罪活动缺乏监管预警手段；另一方面，企业普遍存在管理水平有限、网络安全防护能力薄弱、人员和资金投入不足等问题，其网站服务器成为遭受攻击的“重灾区”。因此，能否主动、有效地对网络安全事件进行监测预警，已经成为网络安全监管的关键任务之一。

目前，现有技术中存在由于网络安全分析路径较短，进而导致监测预警准确性和针对性较差的技术问题。

发明内容

本公开提供了一种基于知识图谱的网络安全监控预警管理方法及系统，用以解决现有技术中存在的由于网络安全分析路径较短，进而导致监测预警准确性和针对性较差的技术问题。

根据本公开的第一方面，提供了一种基于知识图谱的网络安全监控预警管理方法，包括：设定预设网络区域内的目标攻击节点；对所述目标攻击节点的任意一个进行攻击路径优化，生成多个攻击路径集合，其中，所述多个攻击路径集合具有多个访问序列复杂度集合；根据所述多个访问序列复杂度集合，设定安全预警级别；对所述多个攻击路径集合的任意一个集合中的任意一个攻击路径进行行为关联度分析，获得攻击行为匹配结果；将所述攻击行为匹配结果设为监控单元数据，将所述多个攻击路径集合设为检索单元数据，将所述目标攻击节点和所述安全预警级别设为管理单元数据；根据所述监控单元数据、所述检索单元数据和所述管理单元数据，基于知识图谱结构，构建安全监控预警图谱；根据所述安全监控预警图谱对所述预设网络区域进行安全管理。

根据本公开的第二方面，提供了一种基于知识图谱的网络安全监控预警管理系统，包括：目标攻击节点设定模块，所述目标攻击节点设定模块用于设定预设网络区域内的目标攻击节点；攻击路径优化模块，所述攻击路径优化模块用于对所述目标攻击节点的任意一个进行攻击路径优化，生成多个攻击路径集合，其中，所述多个攻击路径集合具有多个访问序列复杂度集合；安全预警级别设置模块，所述安全预警级别设置模块用于根据所述多个访问序列复杂度集合，设定安全预警级别；关联度分析模块，所述关联度分析模块用于对所述多个攻击路径集合的任意一个集合中的任意一个攻击路径进行行为关联度分析，获得攻击行为匹配结果；单元数据分析模块，所述单元数据分析模块用于将所述攻击行为匹配结果设为监控单元数据，将所述多个攻击路径集合设为检索单元数据，将所述目标攻击节点和所述安全预警级别设为管理单元数据；安全监控预警图谱构建模块，所述安全监控预警图谱构建模块用于根据所述监控单元数据、所述检索单元数据和所述管理单元数据，基于知识图谱结构，构建安全监控预警图谱；安全管理模块，所述安全管理模块用于根据所述安全监控预警图谱对所述预设网络区域进行安全管理。

根据本公开采用的一种基于知识图谱的网络安全监控预警管理方法，本公开首先设定预设网络区域内的目标攻击节点，对目标攻击节点的访问路径进行分析，获得多个攻击路径集合，并根据攻击路径集合的访问序列复杂度设置不同的安全预警级别，进一步对多个攻击路径集合进行用户行为分析，获得可能被攻击的攻击行为匹配结果，进而基于以上分析结果构建安全监控预警图谱，根据安全监控预警图谱对预设网络区域进行网络安全管理。通过预设网络区域内的目标攻击节点进行访问路径进行分析，全面对预设网络区域内所有访问路径进行分析，达到提高对网络安全监控的全面性的技术效果。根据攻击路径集合的访问序列复杂度设置不同的安全预警级别，并对攻击路径进行攻击行为匹配，达到针对性的对安全预警级别较高的行为和可能被攻击的用户行为进行监控预警，提高网络安全预警的准确性的技术效果。

应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本公开或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本公开实施例提供的一种基于知识图谱的网络安全监控预警管理方法的流程示意图；

图2为本公开实施例中生成访问序列复杂度的流程示意图；

图3为本公开实施例中获取攻击行为匹配结果的流程示意图；

图4为本公开实施例提供的一种基于知识图谱的网络安全监控预警管理系统的结构示意图。

附图标记说明：目标攻击节点设定模块11，攻击路径优化模块12，安全预警级别设置模块13，关联度分析模块14，单元数据分析模块15，安全监控预警图谱构建模块16，安全管理模块17。

具体实施方式

以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

为了解决现有技术中存在由于网络安全分析路径较短，进而导致监测预警准确性和针对性较差的技术问题，本公开的发明人经过创造性的劳动，得到了本公开的一种基于知识图谱的网络安全监控预警管理方法及系统。

实施例一

图1为本公开实施例提供的一种基于知识图谱的网络安全监控预警管理方法图，如图1所示，所述方法包括：

步骤S100：设定预设网络区域内的目标攻击节点；

具体而言，预设网络区域是指同一地点或比较封闭的地区内，用于连接用户计算机和其他网络通信设备的网络，它由多台计算机和其他网络通信设备组成，网络连接可以采用网线、同轴电缆、光纤传输以及微波等多种方式，它们提供了通信和资源共享的环境。目标攻击节点是预设网络区域中的一个网络信息传输的节点，比如某个网址、某个服务器、某个终端等。

步骤S200：对所述目标攻击节点的任意一个进行攻击路径优化，生成多个攻击路径集合，其中，所述多个攻击路径集合具有多个访问序列复杂度集合；

其中，本公开实施例步骤S200还包括：

步骤S210：以所述目标攻击节点的任意一个为访问终点，从所述预设网络区域筛选多个访问节点序列；

步骤S220：根据访问复杂度标识规则遍历所述多个访问节点序列进行标识，获取所述多个访问序列复杂度；

步骤S230：根据所述多个访问序列复杂度，结合所述多个访问节点序列的多个访问序列深度进行攻击路径优化，生成所述多个攻击路径集合。

其中，如图2所示，本公开实施例步骤S220还包括：

步骤S221：获取所述多个访问节点序列的任意一个访问节点序列的第i访问节点和第i+1访问节点，其中，所述第i+1访问节点为所述第i访问节点的下一访问深度并列节点中的任意一个访问节点；

步骤S222：获取从所述第i访问节点到所述第i+1访问节点的访问权限数量、访问交互需求数量和访问路径深度；

步骤S223：根据所述访问权限数量、所述访问交互需求数量和所述访问路径深度，计算从所述第i访问节点到所述第i+1访问节点的访问复杂度，其中，任意一个访问节点序列具有多个所述访问复杂度；

步骤S224：将任意一个访问节点序列的多个所述访问复杂度求和，生成访问序列复杂度。

其中，本公开实施例步骤S223还包括：

步骤S2231：为所述访问权限数量、所述访问交互需求数量和所述访问路径深度分别设定第一融合权重指数、第二融合权重指数和第三融合权重指数，其中，所述第一融合权重指数、所述第二融合权重指数和所述第三融合权重指数属于正数；

步骤S2232：根据所述第一融合权重指数、所述第二融合权重指数和所述第三融合权重指数对所述访问权限数量、所述访问交互需求数量和所述访问路径深度进行融合，生成所述访问复杂度。

其中，本公开实施例步骤S230还包括：

步骤S231：为所述多个访问序列复杂度设定第一评分权重，为所述多个访问序列深度设定第二评分权重；

步骤S232：根据所述第一评分权重和所述第二评分权重对所述多个访问序列复杂度和所述多个访问序列深度进行攻击可用性评估，生成多个攻击可用性评分，其中，攻击可用性指的是被利用进行攻击网络的可能性评分：

步骤S233：获取攻击可用性评分阈值；

步骤S234：将所述多个攻击可用性评分大于或等于所述攻击可用性评分阈值的攻击路径，添加进所述多个攻击路径集合。

具体而言，对目标攻击节点的任意一个进行攻击路径优化，生成多个攻击路径集合，多个攻击路径集合是指抵达目标攻击节点的访问请求序列，其中，多个攻击路径集合具有多个访问序列复杂度集合。

具体地，以目标攻击节点的任意一个为访问终点，对该访问终点进行访问请求的路径有多种，访问过程中经过的节点也会不同，按照不同的访问路径，从预设网络区域筛选多个访问节点，对多个访问节点按照访问路径进行排序，从而获得多个访问节点序列，也就是说，任一个目标攻击节点都对应多个访问节点序列。根据访问复杂度标识规则是计算多个访问节点序列的访问复杂度，并对多个访问节点序列进行复杂度标识，获取多个访问序列复杂度，访问序列深度计算公式如下：

具体地，访问复杂度标识规则如下：获取多个访问节点序列的任意一个访问节点序列的第i访问节点和第i+1访问节点，其中，第i+1访问节点为第i访问节点的下一访问深度并列节点中的任意一个访问节点，下一访问深度并列节点是指经过不同访问路径到达的同一个访问节点，获取从第i访问节点到第i+1访问节点的访问权限数量、访问交互需求数量和访问路径深度，访问权限数量是指从第i访问节点到第i+1访问节点中需要进行权限验证的次数，访问交互需求数量是指需要用户通过鼠标或者键盘等设备对访问节点进行访问的次数，访问路径深度是指从第i访问节点到第i+1访问节点经过的节点数量，根据访问权限数量、访问交互需求数量和访问路径深度对访问复杂度的影响，对访问权限数量、访问交互需求数量和访问路径深度设置不同的权重，根据各自对应的权重计算从第i访问节点到所述第i+1访问节点的访问复杂度，其中，任意一个访问节点序列具有多个访问复杂度，将任意一个访问节点序列的多个访问复杂度求和，以求和结果作为访问序列复杂度。

具体地，分析访问权限数量、访问交互需求数量和访问路径深度对访问复杂度的影响程度，影响越大，对应的权重指数就越大，基于此，为访问权限数量、访问交互需求数量和访问路径深度分别设定第一融合权重指数、第二融合权重指数和第三融合权重指数，第一融合权重指数、第二融合权重指数和第三融合权重指数分别表征访问权限数量、访问交互需求数量和访问路径深度对访问复杂度的影响，第一融合权重指数、第二融合权重指数和第三融合权重指数属于正数，进而根据第一融合权重指数、第二融合权重指数和第三融合权重指数对访问权限数量、访问交互需求数量和访问路径深度分别赋予一个复杂度值，然后对复杂度值进行求和，所得结果即为访问复杂度。

具体地，第一评分权重和第二评分权重分别表征多个访问序列复杂度、多个访问序列深度对攻击可用性评估的影响程度，比如，如果访问序列复杂度对某一个访问序列是否可能会被攻击的影响较大，对应的第一评分权重就较大。攻击可用性指的是被利用进行攻击网络的可能性评分，可以先分别根据多个访问序列复杂度、多个访问序列深度进行攻击可用性评估，获得多个访问序列复杂度、多个访问序列深度对应的第一攻击可能性评分和第二攻击可能性评分，然后根据第一评分权重和第二评分权重对第一攻击可能性评分和第二攻击可能性评分进行加权计算，以加权计算结果作为攻击可用性评分，任一个访问序列对应一个攻击可用性评分，由此获得多个攻击可用性评分，访问序列复杂度越高，访问序列深度越深，对应的攻击可用性评分越低。进一步地，通过网络管理人员设定攻击可用性评分阈值，攻击可用性评分阈值用于对多个攻击可用性评分进行判断，筛选出多个攻击可用性评分大于或等于攻击可用性评分阈值的访问序列(攻击路径)，并将其添加进多个攻击路径集合，达到筛选出可能被攻击的路径，进而进行及时的监控预警，提升网络安全管理准确性的技术效果。

步骤S300：根据所述多个访问序列复杂度集合，设定安全预警级别；

具体而言，根据多个访问序列复杂度集合，设定安全预警级别，访问序列复杂度越低，被攻击的可能性越大，需要重点进行监控，对应的安全预警级别就越高，基于此对多个访问序列复杂度集合设置不同的安全预警级别。

步骤S400：对所述多个攻击路径集合的任意一个集合中的任意一个攻击路径进行行为关联度分析，获得攻击行为匹配结果；

其中，如图3所示，本公开实施例步骤S400还包括：

步骤S410：根据所述多个攻击路径集合的任意一个集合中的任意一个攻击路径进行用户行为数据采集，获取用户访问行为序列记录数据；

步骤S420：对所述用户访问行为序列记录数据进行频繁序列挖掘，生成用户常规行为序列集合；

步骤S430：将所述用户常规行为序列集合从所述用户访问行为序列记录数据中删除，获得用户访问行为筛选结果；

步骤S440：将所述用户访问行为筛选结果发送至管理人员进行二次筛选，获取所述攻击行为匹配结果。

其中，本公开实施例步骤S420还包括：

步骤S421：获取预先设定的一项频繁度，将所述用户访问行为序列记录数据小于或等于所述一项频繁度的行为进行剪枝，生成一项剪枝结果；

步骤S422：获取预先设定的二项频繁度直到k项频繁度，对所述一项剪枝结果进行频繁度分析，生成一项频繁项、二项频繁项直到k项频繁项，其中，k指的是所述一项剪枝结果多个离散行为序列的最长序列的项数量；

步骤S423：将所述一项频繁项、所述二项频繁项直到所述k项频繁项，添加进所述用户常规行为序列集合。

对多个攻击路径集合的任意一个集合中的任意一个攻击路径获取用户访问行为序列，并对其进行行为关联度分析，获得可能被攻击的行为作为攻击行为匹配结果。

具体地，根据多个攻击路径集合的任意一个集合中的任意一个攻击路径进行用户行为数据采集，比如用户点击进入某个网站，获取用户访问行为序列记录数据，用户访问行为序列记录数据和攻击路径是对应的，也是按照行为顺序将用户行为组成一个序列作为用户访问行为序列记录数据，对用户访问行为序列记录数据进行频繁序列挖掘，生成用户常规行为序列集合，也就是说，将用户经常需要进行的访问行为提取出来作为用户常规行为序列集合，将用户常规行为序列集合从用户访问行为序列记录数据中删除，获得用户访问行为筛选结果，进一步地，将用户访问行为筛选结果发送至管理人员，管理人员对用户访问行为筛选结果进行二次筛选，将不易被攻击的访问行为剔除，筛选出可能被攻击的用户访问行为作为攻击行为匹配结果，达到对攻击行为匹配结果进行针对性管理，提升安全管理效率的技术效果。

具体地，获取预先设定的一项频繁度，一项频繁度是指用户对任意一个访问节点的访问频繁程度，可以用单日访问次数表示，一项频繁度由管理人员根据实际情况自行设定，对用户访问行为序列记录数据中的单个访问节点的频繁度进行分析，将小于或等于一项频繁度的访问行为进行剪枝，也就是说，访问频繁度较高的行为，是比较常规的网络行为，不易被攻击，访问频繁度较低的访问行为更容易被攻击，基于此将访问频繁度小于或等于一项频繁度的访问行为去除，得到一项剪枝结果。进一步获取预先设定的二项频繁度直到k项频繁度，k指的是一项剪枝结果多个离散行为序列的最长序列的项数量，也就是说，用户访问行为序列记录数据是包含用户连续的访问行为，经过一项剪枝对其中的多个单项行为进行剔除后，用户访问行为序列中的行为就不连续了，变为多个离散行为序列，一个离散行为序列中可能包括一个行为项、两个行为项或者多个行为项。基于此，对一项剪枝结果进行频繁度分析，一项剪枝只是剔除了单个频繁行为，还存在一种情况，就是单个的访问行为频繁度较低，但是该访问行为与另一个访问行为连接后，整体的频繁度较高，基于此判断一项剪枝结果中的多个离散行为序列进行频繁度判断，对小于或等于二项频繁度直到k项频繁度的离散行为序列进行剪枝，由此生成频繁度较高的一项频繁项、二项频繁项直到k项频繁项，将其添加到用户常规行为序列集合，由此获得用户常规行为序列集合，达到根据用户常规行为序列集合对常规行为进行剔除，便于对攻击行为进行针对性管理的技术效果。

步骤S500：将所述攻击行为匹配结果设为监控单元数据，将所述多个攻击路径集合设为检索单元数据，将所述目标攻击节点和所述安全预警级别设为管理单元数据；

步骤S600：根据所述监控单元数据、所述检索单元数据和所述管理单元数据，基于知识图谱结构，构建安全监控预警图谱；

具体而言，监控单元数据、检索单元数据和管理单元数据中的数据之间存在关联性，根据关联性建立相关的知识图谱，知识图谱结构是“实体-关系-实体”，“实体”是指两个关联性较强的节点，“关系”是指两个节点之间的关系，具体地，以管理单元数据中的目标攻击节点和安全预警级别作为“实体”，也就是知识图谱中的节点，监控单元数据中的攻击行为匹配结果和检索单元数据中的多个攻击路径集合用于描述知识图谱中节点之间的连接关系，由此构建完成安全监控预警图谱，安全监控预警图谱中包括多个目标攻击节点之间的连接图，同时安全监控预警图谱映射着安全预警级别、攻击行为匹配结果和多个攻击路径集合。

步骤S700：根据所述安全监控预警图谱对所述预设网络区域进行安全管理。

具体地，通过安全监控预警图谱对预设网络区域进行网络监控，并进行实时预警，预防网络安全事故的发生，达到基于访问行为序列进行全面的网络安全分析，提升网络安全监控全面性，同时提高网络安全预警准确性的技术效果。

基于上述分析可知，本公开提供了一种基于知识图谱的网络安全监控预警管理方法，在本实施例中，首先设定预设网络区域内的目标攻击节点，对目标攻击节点的访问路径进行分析，获得多个攻击路径集合，并根据攻击路径集合的访问序列复杂度设置不同的安全预警级别，进一步对多个攻击路径集合进行用户行为分析，获得可能被攻击的攻击行为匹配结果，进而基于以上分析结果构建安全监控预警图谱，根据安全监控预警图谱对预设网络区域进行网络安全管理。通过预设网络区域内的目标攻击节点进行访问路径进行分析，全面对预设网络区域内所有访问路径进行分析，达到提高对网络安全监控的全面性的技术效果。根据攻击路径集合的访问序列复杂度设置不同的安全预警级别，并对攻击路径进行攻击行为匹配，达到针对性的对安全预警级别较高的行为和可能被攻击的用户行为进行监控预警，提高网络安全预警的准确性的技术效果。

实施例二

基于与前述实施例中一种基于知识图谱的网络安全监控预警管理方法同样的发明构思，如图4所示，本公开还提供了一种基于知识图谱的网络安全监控预警管理系统，所述系统包括：

目标攻击节点设定模块11，所述目标攻击节点设定模块11用于设定预设网络区域内的目标攻击节点；

攻击路径优化模块12，所述攻击路径优化模块12用于对所述目标攻击节点的任意一个进行攻击路径优化，生成多个攻击路径集合，其中，所述多个攻击路径集合具有多个访问序列复杂度集合；

安全预警级别设置模块13，所述安全预警级别设置模块13用于根据所述多个访问序列复杂度集合，设定安全预警级别；

关联度分析模块14，所述关联度分析模块14用于对所述多个攻击路径集合的任意一个集合中的任意一个攻击路径进行行为关联度分析，获得攻击行为匹配结果；

单元数据分析模块15，所述单元数据分析模块15用于将所述攻击行为匹配结果设为监控单元数据，将所述多个攻击路径集合设为检索单元数据，将所述目标攻击节点和所述安全预警级别设为管理单元数据；

安全监控预警图谱构建模块16，所述安全监控预警图谱构建模块16用于根据所述监控单元数据、所述检索单元数据和所述管理单元数据，基于知识图谱结构，构建安全监控预警图谱；

安全管理模块17，所述安全管理模块17用于根据所述安全监控预警图谱对所述预设网络区域进行安全管理。

进一步而言，所述系统还包括：

访问节点序列筛选模块，所述访问节点序列筛选模块用于以所述目标攻击节点的任意一个为访问终点，从所述预设网络区域筛选多个访问节点序列；

复杂度标识模块，所述复杂度标识模块用于根据访问复杂度标识规则遍历所述多个访问节点序列进行标识，获取所述多个访问序列复杂度；

攻击路径集合生成模块，所述攻击路径集合生成模块用于根据所述多个访问序列复杂度，结合所述多个访问节点序列的多个访问序列深度进行攻击路径优化，生成所述多个攻击路径集合。

进一步而言，所述系统还包括：

访问深度并列节点获取模块，所述访问深度并列节点获取模块用于获取所述多个访问节点序列的任意一个访问节点序列的第i访问节点和第i+1访问节点，其中，所述第i+1访问节点为所述第i访问节点的下一访问深度并列节点中的任意一个访问节点；

访问数据获取模块，所述访问数据获取模块用于获取从所述第i访问节点到所述第i+1访问节点的访问权限数量、访问交互需求数量和访问路径深度；

访问复杂度计算模块，所述访问复杂度计算模块用于根据所述访问权限数量、所述访问交互需求数量和所述访问路径深度，计算从所述第i访问节点到所述第i+1访问节点的访问复杂度，其中，任意一个访问节点序列具有多个所述访问复杂度；

访问复杂度求和模块，所述访问复杂度求和模块用于将任意一个访问节点序列的多个所述访问复杂度求和，生成访问序列复杂度。

进一步而言，所述系统还包括：

融合权重指数设定模块，所述融合权重指数设定模块用于为所述访问权限数量、所述访问交互需求数量和所述访问路径深度分别设定第一融合权重指数、第二融合权重指数和第三融合权重指数，其中，所述第一融合权重指数、所述第二融合权重指数和所述第三融合权重指数属于正数；

访问复杂度融合模块，所述访问复杂度融合模块用于根据所述第一融合权重指数、所述第二融合权重指数和所述第三融合权重指数对所述访问权限数量、所述访问交互需求数量和所述访问路径深度进行融合，生成所述访问复杂度。

进一步而言，所述系统还包括：

评分权重设定模块，所述评分权重设定模块用于为所述多个访问序列复杂度设定第一评分权重，为所述多个访问序列深度设定第二评分权重；

攻击可用性评分获取模块，所述攻击可用性评分获取模块用于根据所述第一评分权重和所述第二评分权重对所述多个访问序列复杂度和所述多个访问序列深度进行攻击可用性评估，生成多个攻击可用性评分，其中，攻击可用性指的是被利用进行攻击网络的可能性评分：

评分阈值获取模块，所述评分阈值获取模块用于获取攻击可用性评分阈值；

攻击可用性评分判断模块，所述攻击可用性评分判断模块用于将所述多个攻击可用性评分大于或等于所述攻击可用性评分阈值的攻击路径，添加进所述多个攻击路径集合。

进一步而言，所述系统还包括：

用户行为数据采集模块，所述用户行为数据采集模块用于根据所述多个攻击路径集合的任意一个集合中的任意一个攻击路径进行用户行为数据采集，获取用户访问行为序列记录数据；

频繁序列挖掘模块，所述频繁序列挖掘模块用于对所述用户访问行为序列记录数据进行频繁序列挖掘，生成用户常规行为序列集合；

常规行为序列删除模块，所述常规行为序列删除模块用于将所述用户常规行为序列集合从所述用户访问行为序列记录数据中删除，获得用户访问行为筛选结果；

二次筛选模块，所述二次筛选模块用于将所述用户访问行为筛选结果发送至管理人员进行二次筛选，获取所述攻击行为匹配结果。

进一步而言，所述系统还包括：

一项剪枝结果生成模块，所述一项剪枝结果生成模块用于获取预先设定的一项频繁度，将所述用户访问行为序列记录数据小于或等于所述一项频繁度的行为进行剪枝，生成一项剪枝结果；

频繁项生成模块，所述频繁项生成模块用于获取预先设定的二项频繁度直到k项频繁度，对所述一项剪枝结果进行频繁度分析，生成一项频繁项、二项频繁项直到k项频繁项，其中，k指的是所述一项剪枝结果多个离散行为序列的最长序列的项数量；

用户常规行为序列集合获取模块，所述用户常规行为序列集合获取模块用于将所述一项频繁项、所述二项频繁项直到所述k项频繁项，添加进所述用户常规行为序列集合。

前述实施例一中的一种基于知识图谱的网络安全监控预警管理方法具体实例同样适用于本实施例的一种基于知识图谱的网络安全监控预警管理系统，通过前述对一种基于知识图谱的网络安全监控预警管理方法的详细描述，本领域技术人员可以清楚的知道本实施例中一种基于知识图谱的网络安全监控预警管理系统，所以为了说明书的简洁，在此不再详述。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本公开中记载的各步骤可以并行地执行，也可以顺序地执行也可以不同的次序执行，

只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。