(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111411564.0 (22)申请日 2021.11.25 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 李岩　 (74)专利代理 机构 北京金信知识产权代理有限 公司 11225 代理人 喻嵘 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/35(2019.01) G06F 16/36(2019.01)G06F 40/289(2020.01) G06N 5/02(2006.01) (54)发明名称 基于知识图谱的APT攻击 检测方法及装置 (57)摘要 本申请涉及一种基于知识图谱的APT攻击检 测方法及装置， 该方法包括： 构建APT知识图谱， 其中， 所述APT知识图谱所包含的实体至少包括 APT组织的属性信息、 攻击技术以及防御技术； 基 于构建的所述APT知识图谱， 构建网络安全日志 的针对APT组织的AP T检测模型； 获取第一网络安 全日志， 将所述第一网络安全日志输入所述APT 检测模型中， 得到所述第一网络安全日志的APT 检测结果。 本申请能够综合考虑APT攻击的各个 方面， 通过知识图谱方式扩展APT组织的画像维 度， 对APT 攻击进行快速、 全 面、 准确的检测， 提高 APT攻击检测率和检测准确率， 极大的减少了对 于APT组织的误报和漏 报问题， 并实现AP T组织攻 击的动态 跟踪。 权利要求书2页 说明书10页 附图4页 CN 114172701 A 2022.03.11 CN 114172701 A 1.一种基于知识图谱的APT攻击检测方法， 其特 征在于， 包括： 构建APT知识图谱， 其中， 所述APT知识图谱所包含的实体至少包括APT组织的属性信 息、 攻击技 术以及防御技 术； 基于构建的所述APT知识图谱， 构建网络安全日志的针对APT组织的APT检测模型； 获取第一网络安全日志， 将所述第一网络安全日志输入所述APT检测模型中， 得到所述 第一网络安全日志的APT检测结果。 2.根据权利 要求1所述的方法， 其特征在于， 所述APT组织的属性信息包括所述APT组织 的组织名称、 特定的字段、 地域、 域名、 IP地址、 攻击目标中的至少一种； 所述APT组织的攻击 技术包括攻击工具、 攻击方式以及攻击规则中的至少一种； 所述APT组织的防御技术包括防 御工具、 防御方式以及防御规则中的至少一种。 3.根据权利要求1所述的方法， 其特征在于， 将所述第一网络安全日志输入所述APT检 测模型中， 得到所述第一网络安全日志的APT检测结果， 包括： 将所述第一网络安全日志与所述APT检测模型进行匹配； 判断所述第一网络安全日志与所述APT检测模型 是否满足预设匹配条件； 若是， 确定所述第一网络安全日志存在APT攻击 。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 在检测到存在所述APT攻击时， 确定所述第一网络安全日志对应的APT组织； 基于所述第一网络安全日志对应的APT组织， 生成对应的第一APT画像； 根据所述第一APT画像生成对应的处置方案 。 5.根据权利要求1所述的方法， 其特征在于， 基于构建的所述APT知识图谱， 构建网络安 全日志的针对APT组织的APT检测模型， 包括： 对所述APT知识图谱进行自然语言处理， 提取所述APT知识图谱中的关键信息， 得到第 一分词； 获取预设数量的网络安全日志训练集， 对所述网络安全日志训练集进行自然语言处 理， 提取所述网络安全日志训练集中的关键信息， 得到第二分词； 获取所述第一分词和所述第二分词的分词交集； 基于所述分词交集训练得到所述APT检测模型。 6.根据权利要求5所述的方法， 其特征在于， 对所述APT知识图谱进行自然语言处理， 提 取所述APT知识图谱中的关键信息， 得到第一分词， 包括： 对所述APT知识图谱中的内容信息进行分词处 理得到多个分词； 计算多个所述分词的TF ‑IDF值， 基于所述TF ‑IDF值的大小对所述多个分词进行排序； 将排序靠前的预设数量的所述分词确定所述关键信息， 得到所述第一分词。 7.根据权利要求5所述的方法， 其特征在于， 基于所述分词 交集训练得到所述APT检测 模型， 包括： 基于所述APT知识图谱对所述分词交集进行分类处理， 确定所述分词交集对应的APT组 织的实体 类别， 构建所述APT知识图谱的实体匹配表； 基于所述分词交集对所述网络安全日志训练集进行算法训练， 确定与 所述实体类别对 应的分词组以及所述分词组对应的APT组织的概 率表； 基于所述APT知识图谱的实体匹配表和所述APT组织的概率表， 训练得到所述APT检测权　利　要　求　书 1/2 页 2 CN 114172701 A 2模型。 8.根据权利要求1至7中任一项所述的方法， 其特 征在于， 构建APT知识图谱， 包括： 基于预设的网络安全知识库， 构建初步APT知识图谱； 对所述初步APT知识图谱进行推理， 确定所述初步APT知识图谱中的隐含关系； 基于所述隐含关系构建最终的所述APT知识图谱。 9.根据权利要求1至7中任一项所述的方法， 其特征在于， 获取第一网络安全日志， 包 括： 通过流量分析获取 所述第一网络安全日志； 和/或 通过攻击入侵检测获取 所述第一网络安全日志； 和/或 通过威胁情 报检测获取 所述第一网络安全日志。 10.一种基于知识图谱的APT检测装置， 其特 征在于， 包括： 第一构建模块， 配置为构 建APT知识图谱， 其中， 所述APT知识图谱所包含的实体至少包 括APT组织的属性信息、 攻击技 术以及防御技 术； 第二构建模块， 配置为基于构建的所述APT知识图谱构 建网络安全日志的针对APT组织 的APT检测模型； 检测模块， 配置为获取第一网络安全日志， 将所述第一网络安全日志输入所述APT检测 模型中， 得到所述第一网络安全日志的APT检测结果。权　利　要　求　书 2/2 页 3 CN 114172701 A 3