本發(fā)明屬于知識(shí)圖譜，具體地涉及一種內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法、系統(tǒng)、電子設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、知識(shí)圖譜是結(jié)構(gòu)化的語義知識(shí)庫，用于迅速描述物理世界中的概念及其相關(guān)關(guān)系。通過將數(shù)據(jù)粒度從document級(jí)別降到data級(jí)別，聚合大量知識(shí)從而實(shí)現(xiàn)知識(shí)的快速響應(yīng)和推理。實(shí)體行為圖譜是知識(shí)圖譜的一種，比如網(wǎng)絡(luò)中用戶上傳下載文件就是典型代表。本發(fā)明是構(gòu)建內(nèi)部網(wǎng)絡(luò)中實(shí)體和行為關(guān)系，刻畫內(nèi)部網(wǎng)絡(luò)活動(dòng)的方法，是知識(shí)圖譜在具體垂直業(yè)務(wù)領(lǐng)域的應(yīng)用。

2、目前還沒有完整的針對(duì)內(nèi)部網(wǎng)絡(luò)活動(dòng)，構(gòu)建網(wǎng)絡(luò)內(nèi)實(shí)體和行為關(guān)系圖譜的有效方法。其大部分構(gòu)建方法太泛化模糊，無法落地應(yīng)用。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明實(shí)施例的目的是提供一種內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法、系統(tǒng)、電子設(shè)備及存儲(chǔ)介質(zhì)，用于全部或至少部分的解決上述現(xiàn)有技術(shù)中存在的技術(shù)問題。

2、第一方面，本申請(qǐng)實(shí)施例提供一種內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法，包括：

3、根據(jù)業(yè)務(wù)專家知識(shí)對(duì)內(nèi)部網(wǎng)絡(luò)活動(dòng)實(shí)體和行為進(jìn)行分類以構(gòu)建本體；

4、采集內(nèi)部網(wǎng)絡(luò)活動(dòng)的不同日志，并按照活動(dòng)主體特征配置規(guī)則提取三元組來表征內(nèi)網(wǎng)實(shí)體行為圖譜中節(jié)點(diǎn)之間的關(guān)系；

5、將三元組向量化并進(jìn)行相似度計(jì)算，得到相似度矩陣和三元組關(guān)聯(lián)度的正態(tài)分布，并根據(jù)關(guān)聯(lián)度進(jìn)行分組，對(duì)分組后的三元組進(jìn)行鏈接。

6、可選的，實(shí)體分類包括主機(jī)、人員、應(yīng)用、賬號(hào)和設(shè)備；行為分類包括操作、從屬、訪問和關(guān)聯(lián)。

7、可選的，在采集內(nèi)部網(wǎng)絡(luò)活動(dòng)的不同日志，并按照活動(dòng)主體特征配置規(guī)則提取三元組來表征內(nèi)網(wǎng)實(shí)體行為圖譜中節(jié)點(diǎn)之間的關(guān)系之后，所述內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法還包括通過資產(chǎn)信息、屬性和維度數(shù)據(jù)對(duì)三元組知識(shí)進(jìn)行補(bǔ)充：

8、針對(duì)每一三元組進(jìn)行標(biāo)記標(biāo)識(shí)以通過標(biāo)識(shí)查找補(bǔ)充的知識(shí)，并確定抽取的每個(gè)三元組的時(shí)間戳。

9、可選的，將三元組向量化并進(jìn)行相似度計(jì)算，得到相似度矩陣和三元組關(guān)聯(lián)度的正態(tài)分布，并根據(jù)關(guān)聯(lián)度進(jìn)行分組，包括：

10、對(duì)三元組含有的屬性信息進(jìn)行獨(dú)熱編碼后拼接成為三元組向量；

11、遍歷三元組向量集合，計(jì)算兩個(gè)三元組之間的距離，將所有三元組間的距離關(guān)系組成矩陣，并計(jì)算距離的標(biāo)準(zhǔn)差與均值，若符合正態(tài)分布規(guī)律，則除去三元組中超過距離閾值的值；

12、對(duì)重復(fù)出現(xiàn)的三元組添加相關(guān)度，并對(duì)三元組進(jìn)行分組。

13、可選的，根據(jù)以下公式計(jì)算兩個(gè)三元組之間的距離：

14、；

15、式中，d表示三元組x與三元組y之間的距離，三元組x表示為，三元組y表示為。

16、可選的，對(duì)分組后的三元組進(jìn)行鏈接，包括：

17、針對(duì)同一節(jié)點(diǎn)，人員和主機(jī)通過備案資產(chǎn)從屬建立關(guān)系，應(yīng)用和主機(jī)通過備案關(guān)聯(lián)表建立關(guān)系，賬號(hào)和應(yīng)用通過資產(chǎn)備案表建立關(guān)系；

18、根據(jù)人員和主機(jī)通過備案資產(chǎn)從屬建立的關(guān)系，應(yīng)用和主機(jī)通過備案關(guān)聯(lián)表建立的關(guān)系，賬號(hào)和應(yīng)用通過資產(chǎn)備案表建立的關(guān)系，選擇出現(xiàn)頻率和相關(guān)度均符合預(yù)設(shè)要求的實(shí)體鏈接各個(gè)子圖。

19、可選的，活動(dòng)主體特征配置規(guī)則表征為：主機(jī)按ip/mac，人員按id，應(yīng)用按ip/port，賬號(hào)按權(quán)限表id，設(shè)備按pid/vid。

20、第二方面，本申請(qǐng)實(shí)施例還提供一種內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建系統(tǒng)，包括：

21、構(gòu)建單元，用于根據(jù)業(yè)務(wù)專家知識(shí)對(duì)內(nèi)部網(wǎng)絡(luò)活動(dòng)實(shí)體和行為進(jìn)行分類以構(gòu)建本體；

22、采集單元，用于采集內(nèi)部網(wǎng)絡(luò)活動(dòng)的不同日志，并按照活動(dòng)主體特征配置規(guī)則提取三元組來表征內(nèi)網(wǎng)實(shí)體行為圖譜中節(jié)點(diǎn)之間的關(guān)系；

23、鏈接單元，用于將三元組向量化并進(jìn)行相似度計(jì)算，得到相似度矩陣和三元組關(guān)聯(lián)度的正態(tài)分布，并根據(jù)關(guān)聯(lián)度進(jìn)行分組，對(duì)分組后的三元組進(jìn)行鏈接。

24、第三方面，本申請(qǐng)實(shí)施例還提供一種電子設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)上述所述內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法的步驟。

25、第四方面，本申請(qǐng)實(shí)施例還提供一種存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述所述內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法的步驟。

26、從以上技術(shù)方案可以看出，本發(fā)明具有以下優(yōu)點(diǎn)：

27、本申請(qǐng)?zhí)峁┑膬?nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法、系統(tǒng)、電子設(shè)備及存儲(chǔ)介質(zhì)中，根據(jù)業(yè)務(wù)專家知識(shí)抽象出一個(gè)標(biāo)準(zhǔn)的行為樹，構(gòu)建本體。將異構(gòu)數(shù)據(jù)根據(jù)關(guān)鍵詞規(guī)則清洗到標(biāo)準(zhǔn)行為樹，提取三元組，將三元組向量化進(jìn)行相似度計(jì)算，根據(jù)關(guān)聯(lián)度進(jìn)行分組，對(duì)分組后的三元組進(jìn)行鏈接，當(dāng)有新的三元組只需更新局部圖，更貼近實(shí)際、生成的實(shí)體行為譜圖準(zhǔn)確度高，實(shí)用性強(qiáng)，效率高。

技術(shù)特征：

1.一種內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法，其特征在于，實(shí)體分類包括主機(jī)、人員、應(yīng)用、賬號(hào)和設(shè)備；行為分類包括操作、從屬、訪問和關(guān)聯(lián)。

3.根據(jù)權(quán)利要求1所述的內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法，其特征在于，在采集內(nèi)部網(wǎng)絡(luò)活動(dòng)的不同日志，并按照活動(dòng)主體特征配置規(guī)則提取三元組來表征內(nèi)網(wǎng)實(shí)體行為圖譜中節(jié)點(diǎn)之間的關(guān)系之后，所述內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法還包括通過資產(chǎn)信息、屬性和維度數(shù)據(jù)對(duì)三元組知識(shí)進(jìn)行補(bǔ)充：

4.根據(jù)權(quán)利要求1所述的內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法，其特征在于，將三元組向量化并進(jìn)行相似度計(jì)算，得到相似度矩陣和三元組關(guān)聯(lián)度的正態(tài)分布，并根據(jù)關(guān)聯(lián)度進(jìn)行分組，包括：

5.根據(jù)權(quán)利要求4所述的內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法，其特征在于，根據(jù)以下公式計(jì)算兩個(gè)三元組之間的距離：

6.根據(jù)權(quán)利要求2所述的內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法，其特征在于，對(duì)分組后的三元組進(jìn)行鏈接，包括：

7.根據(jù)權(quán)利要求2所述的內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法，其特征在于，活動(dòng)主體特征配置規(guī)則表征為：主機(jī)按ip/mac，人員按id，應(yīng)用按ip/port，賬號(hào)按權(quán)限表id，設(shè)備按pid/vid。

8.一種內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建系統(tǒng)，其特征在于，包括：

9.一種電子設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，其特征在于，所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)如權(quán)利要求1至7任一項(xiàng)所述內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法的步驟。

10.一種存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，其特征在于，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至7任一項(xiàng)所述內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法的步驟。

技術(shù)總結(jié)
本發(fā)明提供一種內(nèi)網(wǎng)實(shí)體行為圖譜的構(gòu)建方法、系統(tǒng)、電子設(shè)備及存儲(chǔ)介質(zhì)，屬于知識(shí)圖譜領(lǐng)域。該方法包括：根據(jù)業(yè)務(wù)專家知識(shí)對(duì)內(nèi)部網(wǎng)絡(luò)活動(dòng)實(shí)體和行為進(jìn)行分類以構(gòu)建本體；采集內(nèi)部網(wǎng)絡(luò)活動(dòng)的不同日志，并按照活動(dòng)主體特征配置規(guī)則提取三元組來表征內(nèi)網(wǎng)實(shí)體行為圖譜中節(jié)點(diǎn)之間的關(guān)系；將三元組向量化并進(jìn)行相似度計(jì)算，得到相似度矩陣和三元組關(guān)聯(lián)度的正態(tài)分布，并根據(jù)關(guān)聯(lián)度進(jìn)行分組，對(duì)分組后的三元組進(jìn)行鏈接。根據(jù)業(yè)務(wù)專家知識(shí)構(gòu)建本體提取三元組，將三元組向量化進(jìn)行相似度計(jì)算，根據(jù)關(guān)聯(lián)度進(jìn)行分組，對(duì)分組后的三元組進(jìn)行鏈接，當(dāng)有新的三元組只需更新局部圖，更貼近實(shí)際、生成的實(shí)體行為譜圖準(zhǔn)確度高，實(shí)用性強(qiáng)，效率高。

技術(shù)研發(fā)人員：孫強(qiáng),趙紅方,李棟,程海軍,馬衍碩
受保護(hù)的技術(shù)使用者：中孚信息股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6