一种基于知识图谱的攻击检测方法和系统

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于知识图谱的攻击检测方法和系统。

背景技术

近年来，国内外都非常重视智能驾驶系统信息安全问题，各国相继出台了多项政策，制定了多项标准规范，进行了大量的技术研究，形成了非常多的研究成果。但是，针对智能驾驶系统融合安全防护与测试，目前还缺乏成体系的标准规范以及成熟的技术体系，在安全层次体系架构、网络攻击检测、入侵检测与态势感知、融合安全测试验证等方面形成了一些单项技术的研究成果。智能驾驶车路云一体化为网络攻击检测带来了挑战，其特殊的多模态网络与终端融合特性使得传统基于单一模态特征的攻击检测技术不再适用。现有的多模态网络攻击检测研究主要聚焦于构建安全图谱以挖掘隐式表征知识，但尚未考虑“功能·网络”耦合风险下知识关联融合与动态演化的需求，存在高隐蔽未知攻击传播机理不明、难以精确识别的问题。另外，现有方法还存在有融合安全特征难以表示、缺乏灵活有效的攻击动态演化能力等问题。

知识图谱是引文分析与数据、信息可视化技术相结合的产物。知识图谱本质上是一种基于图的数据结构，一般由代表实体的节点和代表关系的边组合而成。现有方法中还未有将知识图谱应用于网络威胁检测方法。因此，有必要提供一种基于知识图谱的攻击检测方法，以解决上述问题。

发明内容

本发明意在提供一种基于知识图谱的攻击检测方法和系统，以解决现有技术中传统的网络威胁检测方法只能检测网络威胁, 无法检测出未知、复杂的网络威胁行为, 同时还存在检测速度慢、资源消耗大，无法描述复杂网络威胁行为攻击链，甚至严重影响系统的整体性能等的技术问题，本发明要解决的技术问题通过以下技术方案来实现。

本发明第一方面提出一种基于知识图谱的攻击检测方法，包括：采集用户信息并进行数据预处理，搜集已授权的终端节点上的各种网络威胁事件；基于图注意力网络，构建指定知识图谱，在构建所述指定知识图谱的过程中提取节点特征，并对所提取的节点特征进行聚合拼接处理后形成指定知识图谱的全局表示；所述指定知识图谱中的每一个场景节点表示一个网络威胁事件，两个场景节点之间的连线表示两个场景节点所对应的网络威胁事件之间的路径关系；

在接收到当前数据请求中的当前事件时，采用所构建的指定知识图谱对当前事件进行识别，具体读取预存储的指定知识图谱中的已有网络威胁事件，并将所述已有网络威胁事件与所述当前事件进行比对，以确定是否出现未知威胁事件；当所述已有网络威胁事件与所述当前威胁事件比对失败时，确定所述当前威胁事件为未知事件，则触发网络威胁自学习模块对所述当前事件进行学习，并将与所述当前事件相关的信息加入到所述指定知识图谱以更新所述指定知识图谱；在更新所述指定知识图谱之后，统计并记录所述当前事件的攻击信息数据，以进一步对所述攻击信息数据进行数据分析。

根据可选的实施方式，所述在构建所述指定知识图谱的过程中提取节点特征，并对所提取的节点特征进行聚合拼接处理后形成指定知识图谱的全局表示，包括：使用改进后的图注意力层提取通信行为图的节点特征向量，再通过图池化层将经过多次迭代的所有节点特征向量进行聚合拼接，得到指定知识图谱的全局表示，最后利用全连接层的非线性拟合能力将聚合拼接后的特征向量映射得到对应类型的指定知识图谱。

根据可选的实施方式，进一步包括以下步骤：初始化共享线性变换矩阵，用来存储变换矩阵信息，对不同类型威胁时间的节点特征进行特定类型的投影操作，具体将不同类型威胁事件的节点边距离特征投影到同一特征空间中，特定类型变换矩阵为基于节点类型形成，通过以下表达式表示投影后的特征：

;

其中，h

表示第i个节点的投影特征，i为正整数，且具体为1、2、...n；/>

根据可选的实施方式，进一步包括以下步骤：在进行特定类型的投影操作之后，计算各网络威胁事件所对应的节点的权重系数，以用于聚合拼接而得到全局表示：

;

其中，

根据可选的实施方式，进一步包括以下步骤：

在触发威胁自学习模块对所述当前事件进行学习时，通过以下表达式计算当前事件所对应的节点的嵌入信息，并将得到的嵌入信息加入到所述指定知识图谱以更新所述指定知识图谱：

;

其中，

根据可选的实施方式，当所述已有网络威胁事件与所述当前事件对比成功时，确定所述当前事件为已知威胁事件；进一步检索与当前事件所对应的节点相同的攻击路径，得到一条或多条攻击路径。

根据可选的实施方式，计算各攻击路径中相同路径的概率，以判断是否大于指定值；在大于指定值的情况下，将大于指定值所对应的攻击路径增加到威胁行为库。

根据可选的实施方式，在各指定知识图谱更新完成后，将各指定知识图谱中的相关数据存储到图数据库中以进行持久化处理；和/或对所述当前事件所对应的主机设备进行威胁程度判断，以进行相应广播处理。

根据可选的实施方式，调用前端显示模块，将所确定的当前事件的信息实时更新到显示界面，以向用户展示实时安全情况

本发明第二方面提出一种基于指定知识图谱的攻击检测系统，采用本发明第一方面所述的基于知识图谱的攻击检测方法，包括：数据采集模块，采集用户信息并进行数据预处理，搜集经过授权的终端节点上的各种网络威胁事件；构建模块，基于图注意力网络，构建指定知识图谱，在构建所述指定知识图谱的过程中提取节点特征，并对所提取的节点特征进行聚合拼接处理后形成指定知识图谱的全局表示；所述指定知识图谱中的每一个场景节点表示一个网络威胁事件，两个场景节点之间的连线表示两个场景节点所对应的网络威胁事件之间的路径关系；识别处理模块，在接收到当前数据请求中的当前事件时，采用所构建的指定知识图谱对当前事件进行识别，具体读取预存储的指定知识图谱中的已有网络威胁事件，并将所述已有网络威胁事件与所述当前事件进行比对，以确定是否出现未知威胁事件；更新模块，当所述已有网络威胁事件与所述当前事件比对失败时，确定所述当前事件为未知事件，则触发威胁自学习模块对所述当前事件进行学习，并将与所述当前事件相关的信息加入到所述指定知识图谱以更新所述指定知识图谱；统计分析模块，在更新所述指定知识图谱之后，统计并记录所述当前事件的攻击信息数据，以进一步对所述攻击信息数据进行数据分析。

本发明第三方面提供一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明第一方面所述的基于知识图谱的攻击检测方法。

本发明第四方面提供一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现本发明第一方面所述的基于知识图谱的攻击检测方法。

本发明包括以下优点：

与现有技术相比，本发明针对智能驾驶信息系统安全特征刻画难、未知威胁发现难的问题，设计基于安全威胁关系和安全图谱的未知攻击检测机制，实现了可动态识别并学习新型网络攻击的网络威胁行为。利用知识图谱构建网络威胁行为库，对复杂的网络威胁行为以及这些行为直接的逻辑关系进行描述，提升知识图谱各节点之间的遍历搜索速度，加快网络威胁行为识别效率，更好地提升了恶意攻击检测的精度。

此外，通过图注意力神经网络模块更新注意力系数，同时通过门控循环神经网络模块更新隐藏状态,使得能够捕获调用图局部恶意行为信息与调用图结构的演变过程，更加适应非典型的恶意软件检测，因此，能够解决对于未知威胁难发现的问题，构建大规模融合安全知识图谱与攻击检测技术，提出多域多模态隐式表征的知识获取、关联融合与动态演化方法，更好地提升了恶意攻击检测的精度。

此外，针对未知事件、即未知网络威胁，基于知识图谱的自学习能力，增设了网络威胁检测自学习方案，该方案主要依赖大数据平台的计算能力和知识图谱的扩展学习能力。当平台探测到新的网络威胁事件，且当前的知识图谱系统无法识别出该事件时，即开启自学习过程，对未知事件进行学习并将新知识添加至现有图谱中，因此，能够实现对高隐蔽复杂威胁的全面感知、智能识别与深度防护，并能够拥有良好的自适应性和鲁棒性。

附图说明

图1是本发明的基于知识图谱的攻击检测方法的一示例的流程图；

图2是本发明的基于知识图谱的攻击检测方法的一原理框架示意图；

图3是本发明的基于知识图谱的攻击检测方法的一局部流程示意图；

图4是本发明的基于知识图谱的攻击检测方法的另一局部流程示意图；

图5是本发明的基于指定知识图谱的攻击检测系统的结构框图；

图6是根据本发明的电子设备实施例的结构示意图；

图7是根据本发明的计算机可读介质实施例的结构示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

鉴于上述问题，本发明提出一种基于知识图谱的攻击检测方法，具体利用知识图谱建立复杂网络威胁库，并针对多元威胁行为进行建模描述。通过多模态知识嵌入与多模态对比学习，建立功能安全、网络安全与预期功能安全耦合下的统一表示模型，实现融合安全统一知识表示。针对未知安全威胁，基于安全知识图谱的自学习能力，通过链路预测与跨图谱融合进行增量的高效动态演化，在规则推理的基础上提出了未知威胁自学习方案，可自主学习网络环境中新出现的安全威胁，并对安全图谱信息进行同步更新。本发明不仅具有传统检测方法的优势，而且解决了传统检测方法速度慢、资源消耗大、缺乏灵活有效的动态演化能力等问题。

基于上述分析，提出了一种基于知识图谱的攻击检测方法和系统，能够提出多域多模态隐式表征的知识获取、关联融合与动态演化方法，实现对高隐蔽复杂威胁的全面感知、智能识别与深度防护。

通过知识图谱能够更加快捷地查找到目标节点的信息内容，发现目标节点与相邻节点之间的关系。图注意力网络则是在空域图卷积神经网络的基础上加入注意力机制，侧重于计算目标节点与相邻节点之间的相对重要性，并为各相邻节点赋予权重以衡量其重要性。此外，图注意力网络是一种通过计算注意力系数为邻域节点赋予权重的算法，并根据所获得的权重对相邻节点的表示加权求和，从而实现对目标节点信息的更新。图注意力网络是一种利用注意力机制进行信息传播的方法，它能够在信息传播的同时分配权重，从而提高信息的传播效率。

实施例1

图1是本发明的基于知识图谱的攻击检测方法的一示例的步骤流程图。

下面参照图1、图2、图3和图4，将对本发明的内容进行详细说明。

如图1所示，在步骤S101中，采集用户信息并进行数据预处理，搜集已授权的终端节点上的各种网络威胁事件。

具体地，在网络威胁事件采集阶段，采集用户位置、速度、连接关系等信息并进行数据预处理，使用消息采集平台提供的接口，搜集已授权的终端节点（例如车辆）上的各种网络威胁事件,再将这些网络威胁事件提交给例如消息中间件进行缓冲处理，消息中间件发往实时流处理平台，再将经处理后生成的实时数据流发送到威胁图数据库，以用于构建指定知识图谱，该指定知识图谱用于识别指定应用场景下的网络威胁事件。

进一步地，从上述实时数据流中筛选用于构建主机级的通信关系行为图，以描述网络中各节点（例如为场景节点，所述场景节点包括与各应用场景相关的各类节点，诸如车辆节点等）之间的逻辑关系，建立威胁检测模型。

在一具体实施方式中，在智能驾驶应用场景中，采集车辆的位置、速度、网络连接关系等信息。

需要说明的是，上述仅作为可选示例进行说明，不能理解成对本发明的限制。

接下来，在步骤S102中，基于图注意力网络，构建指定知识图谱，在构建所述指定知识图谱的过程中提取节点特征，并对所提取的节点特征进行聚合拼接处理后形成指定知识图谱的全局表示；所述指定知识图谱中的每一个场景节点表示一个网络威胁事件，两个场景节点之间的连线表示两个节点所对应的网络威胁事件之间的路径关系。

图2是本发明的基于知识图谱的攻击检测方法的一原理框架示意图。

如图2所示，具体使用改进后的图注意力层提取通信行为图的节点特征向量，再通过图池化层将经过多次迭代的所有节点特征向量进行聚合拼接，得到指定知识图谱的全局表示，最后利用全连接层的非线性拟合能力将聚合后的特征向量映射得到对应类型的指定知识图谱。

从图2中可知，改进后的图注意力层的注意力机制的输入包括键值对以及查询，首先，在阶段1中，计算查询与键值的注意力得分，例如使用键值1→F（Q，K）→s1、键值2→F（Q，K）→s2、键值3→F（Q，K）→s3、键值4→F（Q，K）→s4来表示；在阶段2，通过softmax 函数（对应图2中的softmax（）归一化）计算查询与键值的相似性（例如使用a1、a2、a3和a4表示）；在阶段3中，通过得到的注意力权值对所得到的数值（例如数值1、数值2、数值3和数值4）进行加权求和即可得到输出的注意力值。

进一步包括以下步骤：

初始化共享线性变换矩阵，用来存储变换矩阵信息，对不同类型威胁事件的节点特征进行特定类型的投影操作，具体将不同类型威胁事件的节点边距离特征投影到同一特征空间中，特定类型变换矩阵为基于节点类型而形成的，通过以下表达式表示投影后的特征：

;

其中，h

表示第i个节点的投影特征，i为正整数，且具体为1、2、...n；/>

进一步包括以下步骤：

在进行特定类型的投影操作之后，计算各网络威胁事件所对应的节点的权重系数，以用于聚合拼接而得到全局表示：

;

其中，

进一步包括以下步骤：在触发威胁自学习模块对所述当前事件进行学习时，通过以下表达式计算当前事件所对应的节点的嵌入信息，并将得到的嵌入信息加入到所述指定知识图谱以更新所述指定知识图谱：

;

其中，

所述基于图注意力网络的安全图谱使用3个改进后的图注意力层提取通信行为图的节点特征向量，再通过图池化层将经过多次迭代的所有节点特征向量进行聚合拼接，得到图的全局表示，最后利用全连接层的非线性拟合能力将聚合后的特征向量映射得到对应类型的知识图谱，并使用图数据库存储构建好的指定知识图谱。

通过Neo4j来完成安全知识图谱的构建，采用智能驾驶安全检测平台架构对网络威胁行为数据进行处理，在自动驾驶智能框架中，建立后端存储模块对知识图谱中的数据进行优化管理，加强节点数据之间的关联性同时加快图谱知识遍历搜索效率，进一步提升了针对威胁事件的识别能力。

接下来，在步骤S103中，在接收到当前数据请求中的当前事件时，采用所构建的指定知识图谱对当前事件进行识别，具体读取预存储的指定知识图谱中的已有网络威胁事件，并将所述已有网络威胁事件与所述当前事件进行比对，以确定是否出现未知威胁事件。

图3是本发明的基于知识图谱的攻击检测方法的一局部流程示意图。

在接收到当前数据请求中的当前事件时，采用所构建的指定知识图谱对当前事件进行识别（对应图3中“将当前事件与指定知识图谱中已有网络威胁事件进行比对，以确定是否为未知事件”）。

接下来，在步骤S104中，当所述已有网络威胁事件与所述当前事件比对失败时，确定所述当前事件为未知事件，则触发网络威胁自学习模块对所述当前事件进行学习，并将与所述当前事件相关的信息加入到所述指定知识图谱以更新所述指定知识图谱。

所述触发网络威胁自学习模块对所述当前事件进行学习主要结合了知识图谱网络的自学习能力和云数据安全平台的计算能力。当检测到新的安全威胁事件且当前指定知识图谱无法识别该事件时，系统通过自学习模块对当前威胁事件的路径进行分析（即对应图3中“沿当前事件所对应的节点的相关路径继续比对确定”），随后通过分析从当前威胁事件所对应的场景节点处获取的威胁事件的行为特征以将当前事件与指定知识图谱中已有网络威胁事件进行比对，通过反复比对分析，即可精确确定当前新威胁事件的特征和路径，通过后验信息分析并更新当前当前指定知识图谱。

当所述已有网络威胁事件与所述当前威胁事件比对失败时，确定所述当前威胁事件为未知事件。

例如，在图3的示例中，在确定当前事件为未知事件时，则将当前事件及相关攻击数据发送到数据持久层，同时触发威胁自学习模块对所述当前事件进行学习，并将与所述当前事件相关的信息加入到所述指定知识图谱以更新所述指定知识图谱。

在另一实施方式中，当所述已有网络威胁事件与所述当前事件对比成功时，确定所述当前事件为已知威胁事件。

进一步检索与当前事件所对应的节点相同的攻击路径（对应图4中“继续检索与当前事件所对应的节点相同的攻击路径”），得到一条或多条攻击路径。

接着，计算各攻击路径中相同路径的概率，以判断所计算的概率是否大于指定值（例如90%）。当所计算的概率大于指定值时（对应图4中的“是”），将大于指定值所对应的攻击路径增加到威胁行为库中，以用于构建威胁行为库。而当所计算的概率小于指定值时（对应图4中的“否”），重复执行确定是否为未知事件的步骤。或者，重新开始监听或检测新的事件。

接下来，在步骤S105中，在更新所述指定知识图谱之后，统计并记录所述当前事件的攻击信息数据，以进一步对所述攻击信息数据进行数据分析。

在一具体实施方式中，在各指定知识图谱更新完成后，将各指定知识图谱中的相关数据存储到图数据库中以进行持久化处理。

对当前安全威胁事件对应的主机进行威胁度判定排序，并将高威胁度主机添加进系统黑名单，对后续安全节点进行广播通知。

在一可选实施方式中，本发明的方法还包括可视化实时显示的步骤。

具体地，调用前端显示模块，将所确定的当前事件的信息实时更新到显示界面，以向用户展示实时安全情况。

具体地，从图数据库中读取相关威胁事件信息，通过MySQL数据库对这些相关威胁事件信息进行存储，使用例如Mybatis框架进行数据处理，再将处理后的数据流返回给前端用户模块以进行实时显示。例如，所有数据均使用MySQL 数据库进行持久化存储，因此，通过将所有数据均使用MySQL 数据库进行持久化存储，能够有效防止数据丢失，通过将处理后的数据流返回给前端用户模块以进行实时显示，能够实现实时可视化显示。

在另一可选实施方式中，还包括以下功能：注册功能和登录功能。具体按照用户身份信息将用户分为普通用户和管理员用户。普通用户即正常注册使用的用户，可以查看自己的主机遭受攻击的数据统计。管理员用户拥有高权限,可看到所有用户的受攻击数据统计，并可监视例如整个智能驾驶网络等应用网络。

需要说明的是，上述仅作为可选示例进行说明，不能理解成对本发明的限制。

此外，附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以例如在多个模块中同步或异步执行的。

与现有技术相比，本发明针对智能驾驶信息系统安全特征刻画难、未知威胁发现难的问题，设计基于安全威胁关系和安全图谱的未知攻击检测机制，实现了可动态识别并学习新型网络攻击的网络威胁行为。利用知识图谱构建网络威胁行为库，对复杂的网络威胁行为以及这些行为直接的逻辑关系进行描述，提升知识图谱各节点之间的遍历搜索速度，加快网络威胁行为识别效率，更好地提升了恶意攻击检测的精度。

此外，通过图注意力神经网络模块更新注意力系数，同时通过门控循环神经网络模块更新隐藏状态,使得能够捕获调用图局部恶意行为信息与调用图结构的演变过程，更加适应非典型的恶意软件检测，因此，能够解决对于未知威胁难发现的问题，构建大规模融合安全知识图谱与攻击检测技术，提出多域多模态隐式表征的知识获取、关联融合与动态演化方法，更好地提升了恶意攻击检测的精度。

此外，针对未知事件、即未知网络威胁，基于知识图谱的自学习能力，增设了网络威胁检测自学习方案，该方案主要依赖大数据平台的计算能力和知识图谱的扩展学习能力。当平台探测到新的网络威胁事件，且当前的知识图谱系统无法识别出该事件时，即开启自学习过程，对未知事件进行学习并将新知识添加至现有图谱中，因此，能够实现对高隐蔽复杂威胁的全面感知、智能识别与深度防护，并能够拥有良好的自适应性和鲁棒性。

实施例2

下述为本发明系统实施例，可以用于执行本发明方法实施例。对于本发明系统实施例中未披露的细节，请参照本发明方法实施例。

图5是根据本发明的基于知识图谱的攻击检测系统的一示例的结构示意图。

参照图5，本公开第二方面提供一种基于知识图谱的攻击检测系统500，采用本发明第一方面所述的攻击检测方法，攻击检测系统500包括数据采集模块510、构建模块520、识别处理模块530、更新模块540和统计分析模块550。

在一具体实施方式中，数据采集模块510采集用户信息并进行数据预处理，搜集已授权的终端节点上的各种网络威胁事件。构建模块520基于图注意力网络，构建指定知识图谱，在构建所述指定知识图谱的过程中提取节点特征，并对所提取的节点特征进行聚合拼接处理后形成指定知识图谱的全局表示；所述指定知识图谱中的每一个场景节点表示一个网络威胁事件，两个场景节点之间的连线表示两个节点所对应的网络威胁事件之间的路径关系。识别处理模块530在接收到当前数据请求中的当前事件时，采用所构建的指定知识图谱对当前事件进行识别，具体读取预存储的指定知识图谱中的已有网络威胁事件，并将所述已有网络威胁事件与所述当前事件进行比对，以确定是否出现未知威胁事件。更新模块540当所述已有网络威胁事件与所述当前事件比对失败时，确定所述当前事件为未知事件，则触发威胁自学习模块对所述当前事件进行学习，并将与所述当前事件相关的信息加入到所述指定知识图谱以更新所述指定知识图谱。统计分析模块550在更新所述指定知识图谱之后，统计并记录所述当前事件的攻击信息数据，以进一步对所述攻击信息数据进行数据分析。

根据可选的实施方式，所述在构建所述指定知识图谱的过程中提取节点特征，并对所提取的节点特征进行聚合拼接处理后形成指定知识图谱的全局表示，包括：使用改进后的图注意力层提取通信行为图的节点特征向量，再通过图池化层将经过多次迭代的所有节点特征向量进行聚合拼接，得到指定知识图谱的全局表示，最后利用全连接层的非线性拟合能力将聚合拼接后的特征向量映射得到对应类型的指定知识图谱。

根据可选的实施方式，进一步包括以下步骤：初始化共享线性变换矩阵，用来存储变换矩阵信息，对不同类型威胁时间的节点特征进行特定类型的投影操作，具体将不同类型威胁事件的节点边距离特征投影到同一特征空间中，特定类型变换矩阵为基于节点类型形成，通过以下表达式表示投影后的特征：

;

其中，h

表示第i个节点的投影特征，i为正整数，且具体为1、2、...n；/>

根据可选的实施方式，进一步包括以下步骤：在进行特定类型的投影操作之后，计算各网络威胁事件所对应的节点的权重系数，以用于聚合拼接而得到全局表示：

;

其中，

根据可选的实施方式，进一步包括以下步骤：

在触发威胁自学习模块对所述当前事件进行学习时，通过以下表达式计算当前事件所对应的节点的嵌入信息，并将得到的嵌入信息加入到所述指定知识图谱以更新所述指定知识图谱：

;

其中，

根据可选的实施方式，当所述已有网络威胁事件与所述当前事件对比成功时，确定所述当前事件为已知威胁事件；进一步检索与当前事件所对应的节点相同的攻击路径，得到一条或多条攻击路径。

根据可选的实施方式，计算各攻击路径中相同路径的概率，以判断是否大于指定值；在大于指定值的情况下，将大于指定值所对应的攻击路径增加到威胁行为库。

根据可选的实施方式，在各指定知识图谱更新完成后，将各指定知识图谱中的相关数据存储到图数据库中以进行持久化处理；和/或对所述当前事件所对应的主机设备进行威胁程度判断，以进行相应广播处理。

根据可选的实施方式，调用前端显示模块，将所确定的当前事件的信息实时更新到显示界面，以向用户展示实时安全情况。

需要说明的是，由于该系统实施例中的攻击检测方法的内容与方法实施例中的攻击检测方法的内容大致相同，因此，省略相同部分的说明。

与现有技术相比，本发明针对智能驾驶信息系统安全特征刻画难、未知威胁发现难的问题，设计基于安全威胁关系和安全图谱的未知攻击检测机制，实现了可动态识别并学习新型网络攻击的网络威胁行为。利用知识图谱构建网络威胁行为库，对复杂的网络威胁行为以及这些行为直接的逻辑关系进行描述，提升知识图谱各节点之间的遍历搜索速度，加快网络威胁行为识别效率，更好地提升了恶意攻击检测的精度。

此外，通过图注意力神经网络模块更新注意力系数，同时通过门控循环神经网络模块更新隐藏状态,使得能够捕获调用图局部恶意行为信息与调用图结构的演变过程，更加适应非典型的恶意软件检测，因此，能够解决对于未知威胁难发现的问题，构建大规模融合安全知识图谱与攻击检测技术，提出多域多模态隐式表征的知识获取、关联融合与动态演化方法，更好地提升了恶意攻击检测的精度。

此外，针对未知事件、即未知网络威胁，基于知识图谱的自学习能力，增设了网络威胁检测自学习方案，该方案主要依赖大数据平台的计算能力和知识图谱的扩展学习能力。当平台探测到新的网络威胁事件，且当前的知识图谱系统无法识别出该事件时，即开启自学习过程，对未知事件进行学习并将新知识添加至现有图谱中，因此，能够实现对高隐蔽复杂威胁的全面感知、智能识别与深度防护，并能够拥有良好的自适应性和鲁棒性。

实施例3

图6是根据本发明的电子设备实施例的结构示意图。

如图6所示，电子设备以通用计算设备的形式表现。其中处理器可以是一个，也可以是多个并且协同工作。本发明也不排除进行分布式处理，即处理器可以分散在不同的实体设备中。本发明的电子设备并不限于单一实体，也可以是多个实体设备的总和。

所述存储器存储有计算机可执行程序，通常是机器可读的代码。所述计算机可读程序可以被所述处理器执行，以使得电子设备能够执行本发明的方法，或者方法中的至少部分步骤。

所述存储器包括易失性存储器，例如随机存取存储单元（RAM）和/或高速缓存存储单元，还可以是非易失性存储器，如只读存储单元（ROM）。

可选的，该实施例中，电子设备还包括有I/O接口，其用于电子设备与外部的设备进行数据交换。I/O接口可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

应当理解，图6显示的电子设备仅仅是本发明的一个示例，本发明的电子设备中还可以包括上述示例中未示出的元件或组件。例如，有些电子设备中还包括有显示屏等显示单元，有些电子设备还包括人机交互元件，例如按钮、键盘等。只要该电子设备能够执行存储器中的计算机可读程序以实现本发明方法或方法的至少部分步骤，均可认为是本发明所涵盖的电子设备。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，如图7所示，根据本发明实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是CD-ROM，U盘，移动硬盘等）中或网络上，包括若干命令以使得一台计算设备（可以是个人计算机、服务器、或者网络设备等）执行根据本发明实施方式的上述方法。

所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器（RAM）、只读存储器（ROM）、可擦式可编程只读存储器（EPROM或闪存）、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由命令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网（LAN）或广域网（WAN），连接到用户计算设备，或者，可以连接到外部计算设备（例如利用因特网服务提供商来通过因特网连接）。

上述计算机可读介质承载有一个或者多个程序（例如计算机可执行程序），当上述一个或者多个程序被一个该设备执行时，使得该计算机可读介质实现本公开的数据交互方法。

本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中，也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

通过以上的实施例的描述，本领域的技术人员易于理解，这里描述的示例实施例可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本发明实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是CD-ROM，U盘，移动硬盘等）中或网络上，包括若干命令以使得一台计算设备（可以是个人计算机、服务器、移动终端、或者网络设备等）执行根据本发明实施例的方法。

以上具体地示出和描述了本发明的示例性实施例。应可理解的是，本发明不限于这里描述的详细结构、设置方式或实现方法；相反，本发明意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。