(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210348774.8 (22)申请日 2022.04.01 (71)申请人 浙江乾冠信息安全研究院有限公司 地址 310000 浙江省杭州市拱 墅区祥园路 88号1幢12层 (72)发明人 董超　姜峰　徐玉芬　 (74)专利代理 机构 杭州创智卓英知识产权代理 事务所(普通 合伙) 33324 专利代理师 刘宏全 (51)Int.Cl. G06F 16/36(2019.01) G06N 3/04(2006.01) G06N 3/08(2006.01) G06N 20/00(2019.01) (54)发明名称 一种基于图结构的网络安全数据处理方法 和系统 (57)摘要 本申请涉及一种基于图结构的网络安全数 据处理方法， 其中， 该方法包括： 采集行为数据、 安全数据和知识数据； 分别将行为数据、 安全数 据和知识数据转换为图结构， 得到行为图数据、 安全图数据和知识图数据； 通过预设类型的实 体， 将行为图数据、 安全图数据和知识图数据进 行关联， 得到图分析模型。 由于本申请中基于多 种类型丰富且互相关联的安全数据得到分析模 型， 因此， 模型中可 以建立数据之间更广泛的联 系， 从而可以发现各种安全事件之间的关系， 该 分析模型也将具备更高的准确性和全面性， 从而 能够更加精准和 高效的分析处理各类网络安全 事件。 权利要求书2页 说明书8页 附图3页 CN 114756688 A 2022.07.15 CN 114756688 A 1.一种基于图结构的网络安全数据处 理方法， 其特 征在于， 所述方法包括： 采集行为数据、 安全数据和知识数据； 分别将所述行为数据、 所述安全数据和所述知识数据转换为图结构， 得到行为图数据、 安全图数据和知识图数据； 通过预设类型的实体， 将所述行为图数据、 安全图数据和知识图数据进行关联， 得到图 分析模型。 2.根据权利要求1所述的方法， 其特征在于， 分别将所述行为数据、 所述安全数据和所 述知识数据转换为图结构， 包括： 分别将所述行为数据、 所述安全数据和所述知识数据中的各个实体依次表示为图结构 中的节点； 分别将所述行为数据、 所述安全数据和所述知识数据中各个实体之间的跳转表示为图 结构中的边； 分别将所述行为数据、 所述安全数据和所述知识数据中， 各个实体和边的特征信息表 示为图结构中的属性信息 。 3.根据权利要求1所述的方法， 其特 征在于： 所述行为数据是网络空间内实体的动作数据， 包括： 原始日志、 信 息层的检测告警日志 和聚合生成的推断告警日志； 所述安全数据是通过安全设备采集的数据， 包括： 现存威胁数据和预测安全数据； 所述知识数据从开源网络获取， 是用于归纳和推理且与时间弱相关的安全数据， 包括 知识库数据和枚举库数据。 4.根据权利要求1所述的方法， 其特 征在于， 得到图分析模型之后， 所述方法还 包括： 应用所述图分析模型， 通过图查询方式进行局部数据分析， 以及， 通过图计算方式进行 全局分析和迭代分析； 得到用于检测、 推理、 响应和治理的网络安全支撑数据。 5.根据权利要求 4所述的方法， 其特 征在于， 通过图查询方式进行局部数据分析包括： 通过图查询语句进行 数据查询， 在所述图分析模型中进行局部数据分析。 6.根据权利要求4所述的方法， 其特征在于， 通过图计算方式进行全局分析和迭代分 析， 包括: 将所述图分析模型融合至 机器学习任务， 通过算法模型进行全局分析和迭代分析； 得到用于检测、 推理、 响应和治理的网络安全支撑数据。 7.一种基于 图结构的网络安全数据处理系统， 其特征在于， 所述系统包括： 采集模块、 转换模块以及关联模块， 其中； 所述采集模块用于， 采集行为数据、 安全数据和知识数据； 所述转换模块用于， 分别将所述行为数据、 所述安全数据和所述知识数据转换为图结 构， 得到行为图数据、 安全图数据和知识图数据； 所述关联模块用于， 通过特定类型的实体， 将所述行为图数据、 安全图数据和知识图数 据进行关联， 得到图分析模型。 8.根据权利要求7 所述的系统， 其特 征在于： 所述行为数据是网络空间内实体的动作数据， 包括： 原始日志、 信 息层的检测告警日志权　利　要　求　书 1/2 页 2 CN 114756688 A 2和聚合生成的推断告警日志； 所述安全数据是通过安全设备采集的数据， 包括： 现存威胁数据和预测安全数据； 所述知识数据从开源网络获取， 是用于归纳和推理且与时间弱相关的安全数据， 包括 知识库数据和枚举库数据。 9.一种计算机设备， 包括存储器、 处理器以及存储在所述存储器上并可在所述处理器 上运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求 1至 6中任一项所述的一种基于如数据的网络安全数据处 理方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器 执行时实现如权利要求1至 6中任一项所述的基于图结构的网络安全数据处 理方法。权　利　要　求　书 2/2 页 3 CN 114756688 A 3