CN114491082A - 基于网络安全应急响应知识图谱特征提取的预案匹配方法 - Google Patents

基于网络安全应急响应知识图谱特征提取的预案匹配方法 Download PDF

Info

Publication number
CN114491082A
CN114491082A CN202210330021.4A CN202210330021A CN114491082A CN 114491082 A CN114491082 A CN 114491082A CN 202210330021 A CN202210330021 A CN 202210330021A CN 114491082 A CN114491082 A CN 114491082A
Authority
CN
China
Prior art keywords
plan
layer
node
attack means
target attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210330021.4A
Other languages
English (en)
Inventor
孙捷
车洵
梁小川
胡牧
金奎�
曹亚
孙翰墨
刘志顺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Zhongzhiwei Information Technology Co ltd
Original Assignee
Nanjing Zhongzhiwei Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Zhongzhiwei Information Technology Co ltd filed Critical Nanjing Zhongzhiwei Information Technology Co ltd
Priority to CN202210330021.4A priority Critical patent/CN114491082A/zh
Publication of CN114491082A publication Critical patent/CN114491082A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Animal Behavior & Ethology (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于网络安全应急响应知识图谱特征提取的预案匹配方法,包括步骤:S1:对于目标攻击手段的特征属性值,制定预案的限制类约束规则进行初次筛选,排除不适用于目标攻击手段的预案;S2:将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至加权图卷积神经网络中,获取预案特征向量的嵌入表示和目标攻击手段特征向量的嵌入表示;S3:通过余弦相似度算法计算S2中嵌入表示之间的相似度;S4:通过归一化指数函数对相似度进行处理,得到预案与目标攻击手段匹配度得分;S5:在S4中的匹配度得分进行降序排列,排序列表即为预案匹配结果列表;本方案能够解决传统方法的固有缺陷,提高预案匹配效率。

Description

基于网络安全应急响应知识图谱特征提取的预案匹配方法
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于网络安全应急响应知识图谱特征提取的预案匹配方法。
背景技术
随着互联网产业的不断发展,网络安全问题也显得日益严峻,网络攻击规模日益呈现组织化,其攻击手段不断变化,呈现多样化、结构化,网络应急响应工作也显得尤为重要。
应急响应预案能够有效减少网络攻击的损害,并且能够根据不同的攻击手段执行不同的安全编排剧本。应急响应预案匹配即根据目标攻击手段的特征在预案库中选择适用于对抗目标攻击手段的预案,其核心为预案和目标攻击手段的特征提取以及智能匹配机制。安全编排响应自动化(SOAR)能够极大提高网络安全应急响应预案的执行速度,依靠剧本库中的剧本能够高效简单地处理攻击手段,而安全编排响应自动化(SOAR)能否高效地执行取决于预案的选择。
目前,预案匹配的传统方法如下几种:通过制定一些约束条件对预案库中的预案进行搜索,此种方法需要大量的人工对数据进行标注,且搜索效率低下,难以满足网络安全事件发生后预案快速响应的要求;还有基于关键字的预案匹配算法,此方法需要将攻击手段和预案的特征完全形式化、格式化、定量化表示,但是实际应用场景中,很难满足上述要求,并且在精确度等方面存在诸多不足;同时基于机器学习的网络安全应急预案智能匹配也是近些年来兴起的方法,但是该种方法需要大量的数据样本对模型进行训练,但是目前该研究领域专业数据集较少难以满足训练要求。可见,传统手段基于关键字或索引等特征进行预案匹配,传统手段存在匹配效率以及匹配准确率较低的缺点,难以解决日益复杂化的攻击手段和网络安全事件,并且传统手段需要大量的人工参与数据标注,对于特征信息的数据格式化要求较高,难以满足网络安全事件发生后预案匹配的实时性要求。
基于以上考虑,本发明采用基于网络安全应急响应知识图谱特征提取的预案匹配方法,其中网络安全应急响应知识图谱内容包括攻击手段信息以及预案的信息,通过网络安全应急响应知识图谱能够较好地描述预案与攻击手段的特征信息,此外基于图的存储结构能够以低耦合的方式保存预案和攻击手段的特征信息,通过此方法能够解决传统方法的固有缺陷,提高预案匹配效率。
发明内容
为实现上述目的,发明人提供了一种基于网络安全应急响应知识图谱特征提取的预案匹配方法,包括以下步骤:
S1:对于目标攻击手段的特征属性值,制定预案的限制类约束规则进行初次筛选,排除不适用于目标攻击手段的预案;
S2:将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至加权图卷积神经网络中,获取预案特征向量的嵌入表示和目标攻击手段特征向量的嵌入表示;
S3:通过余弦相似度算法计算S2中嵌入表示之间的相似度;
S4:通过归一化指数函数对相似度进行处理,得到预案与目标攻击手段匹配度得分;
S5:在S4中的匹配度得分进行降序排列,排序列表即为预案匹配结果列表。
作为本发明的一种优选方式,所述S1中的特征属性值包括:目标攻击手段的应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号。
作为本发明的一种优选方式,所述S1包括:对于目标攻击手段提取其应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号,这三个特征的离散属性值,通过图数据库查询语句制定预案的限制类约束规则进行初次筛选。
作为本发明的一种优选方式,所述S2包括:通过加权图卷积神经网络提取经过初 次筛选后的预案的特征向量,考虑不同特征对于预案匹配的影响,对于预案和目标攻击手 段的每个特征加以不同的权值并且求和,每个特征的权值由相邻节点之间的相互作用决 定,每个特征的权值定义为
Figure 407848DEST_PATH_IMAGE001
,每个特征由加权图卷积神经网络自动学习。
作为本发明的一种优选方式,所述S2还包括:按照知识谱图中的节点关系对周围 相邻节点进行聚合,定义信息传递函数
Figure 48914DEST_PATH_IMAGE002
Figure 93093DEST_PATH_IMAGE003
其中
Figure 694976DEST_PATH_IMAGE002
是信息传递函数,用于在加权图卷积神经网络中传递信息,
Figure 154907DEST_PATH_IMAGE004
是节 点
Figure 791425DEST_PATH_IMAGE005
在第
Figure 429342DEST_PATH_IMAGE006
层的输入向量,
Figure 252941DEST_PATH_IMAGE007
为第
Figure 844460DEST_PATH_IMAGE006
层的权值矩阵,
Figure 945271DEST_PATH_IMAGE008
是节点
Figure 127990DEST_PATH_IMAGE009
在第
Figure 94678DEST_PATH_IMAGE006
层的输入向量;
选择线性整流函数
Figure 224308DEST_PATH_IMAGE010
作为加权图卷积神经网络的激活函数,该激活函数用于 每个节点的特征,线性整流函数
Figure 304260DEST_PATH_IMAGE010
的表达式为:
Figure 64405DEST_PATH_IMAGE011
其中
Figure 862597DEST_PATH_IMAGE012
为加权图卷积神经网络的输出,
Figure 530339DEST_PATH_IMAGE013
用于比较
Figure 376982DEST_PATH_IMAGE012
Figure 167084DEST_PATH_IMAGE014
的大小并且输出两 者中最大值。
作为本发明的一种优选方式,所述S2还包括:对于信息传递函数的计算结果进行加权,得到新的节点嵌入表示,表达式为:
Figure 327938DEST_PATH_IMAGE015
其中
Figure 861687DEST_PATH_IMAGE016
是节点
Figure 119493DEST_PATH_IMAGE017
在第
Figure 205130DEST_PATH_IMAGE006
层的输出向量,同时也是第
Figure 650018DEST_PATH_IMAGE018
层的输入向量,
Figure 613557DEST_PATH_IMAGE019
表示 激活函数,
Figure 522607DEST_PATH_IMAGE020
表示节点
Figure 857773DEST_PATH_IMAGE021
的邻居节点集合,
Figure 727640DEST_PATH_IMAGE022
表示对节点
Figure 603193DEST_PATH_IMAGE021
的所有邻居节点
Figure 22541DEST_PATH_IMAGE023
进行求和运 算,
Figure 59768DEST_PATH_IMAGE024
为第
Figure 10406DEST_PATH_IMAGE006
层中第
Figure 565015DEST_PATH_IMAGE025
个特征的权值,
Figure 448658DEST_PATH_IMAGE002
是信息传递函数,
Figure 279954DEST_PATH_IMAGE004
是节点
Figure 452309DEST_PATH_IMAGE005
在第
Figure 669664DEST_PATH_IMAGE006
层的输 入向量,
Figure 283179DEST_PATH_IMAGE026
是节点
Figure 193366DEST_PATH_IMAGE009
在第
Figure 774389DEST_PATH_IMAGE006
层的输入向量。
作为本发明的一种优选方式,所述S2还包括:将得到的新图层的中心节点与邻居节点分离,表达式为:
Figure 733118DEST_PATH_IMAGE027
其中
Figure 591353DEST_PATH_IMAGE016
是节点
Figure 547807DEST_PATH_IMAGE017
在第
Figure 225913DEST_PATH_IMAGE006
层的输出向量,同时也是第
Figure 411169DEST_PATH_IMAGE018
层的输入向量,
Figure 327173DEST_PATH_IMAGE019
表示 激活函数,
Figure 313583DEST_PATH_IMAGE028
表示节点
Figure 619931DEST_PATH_IMAGE021
的邻居节点集合,
Figure 717200DEST_PATH_IMAGE022
表示对节点
Figure 674660DEST_PATH_IMAGE021
的所有邻居节点
Figure 831972DEST_PATH_IMAGE023
进行求和运 算,
Figure 687933DEST_PATH_IMAGE024
为第
Figure 464259DEST_PATH_IMAGE006
层中第
Figure 151592DEST_PATH_IMAGE025
个特征的权值,
Figure 102974DEST_PATH_IMAGE008
是节点
Figure 508548DEST_PATH_IMAGE009
在第
Figure 822986DEST_PATH_IMAGE006
层的输入向量,
Figure DEST_PATH_IMAGE029
为第
Figure 99246DEST_PATH_IMAGE006
层的权 值矩阵,
Figure 988574DEST_PATH_IMAGE004
是节点
Figure 615864DEST_PATH_IMAGE005
在第
Figure 733993DEST_PATH_IMAGE006
层的输入向量;
将上述表达式转化为矩阵形式,表达式为:
Figure 599181DEST_PATH_IMAGE030
其中
Figure 269196DEST_PATH_IMAGE024
为第
Figure 9882DEST_PATH_IMAGE006
层中第
Figure 56335DEST_PATH_IMAGE031
个特征的权值,
Figure 776029DEST_PATH_IMAGE032
表示第
Figure 492313DEST_PATH_IMAGE025
个特征构成的0-1邻接矩阵,
Figure 94195DEST_PATH_IMAGE033
表示单位矩阵,
Figure 803394DEST_PATH_IMAGE032
表示第
Figure 377595DEST_PATH_IMAGE031
个特征构成的0-1邻接矩阵,
Figure 654992DEST_PATH_IMAGE034
表示第
Figure 619537DEST_PATH_IMAGE006
层所有特征的矩阵形 式,通过邻接矩阵存储空间邻接节点的信息,即预案和目标攻击手段的特征信息;从而得到 新图层的递推公式:
Figure 945477DEST_PATH_IMAGE035
其中,
Figure 702080DEST_PATH_IMAGE036
为第
Figure 507969DEST_PATH_IMAGE006
层的输出矩阵,
Figure 22126DEST_PATH_IMAGE037
表示激活函数,
Figure 948494DEST_PATH_IMAGE038
表示第
Figure 434970DEST_PATH_IMAGE006
层所有特征的矩阵 形式,
Figure 991854DEST_PATH_IMAGE039
为第
Figure 55625DEST_PATH_IMAGE006
层的输入矩阵,
Figure 910317DEST_PATH_IMAGE040
为第
Figure 313616DEST_PATH_IMAGE006
层的权值矩阵;
经过上述步骤得出预案特征向量的嵌入表示
Figure 838139DEST_PATH_IMAGE041
,以及目标攻击手段的特征向量的 嵌入表示
Figure 264572DEST_PATH_IMAGE042
;其中:
Figure 1584DEST_PATH_IMAGE043
,表示知识图谱中所有待选的预案特征向量的嵌入表 示集合。
作为本发明的一种优选方式,所述S3包括:使用余弦相似度计算
Figure 56127DEST_PATH_IMAGE041
Figure 643229DEST_PATH_IMAGE042
的相似度, 余弦相似度通过预案的特征向量与攻击手段特征向量之间的夹角余弦值来度量差异,表达 式为:
Figure 619275DEST_PATH_IMAGE044
其中
Figure 691136DEST_PATH_IMAGE045
表示第
Figure 741132DEST_PATH_IMAGE046
个预案特征向量的嵌入表示与目标攻击手段特征向量 嵌入表示之间的余弦相似度;
Figure 873036DEST_PATH_IMAGE047
是余弦函数,
Figure 70799DEST_PATH_IMAGE048
表示两向量之间的夹角,
Figure 336564DEST_PATH_IMAGE041
表示第
Figure 100121DEST_PATH_IMAGE046
个待 选的预案特征向量的嵌入表示,
Figure 606189DEST_PATH_IMAGE042
表示目标攻击手段特征向量的嵌入表示。
作为本发明的一种优选方式,所述S4包括:通过归一化指数函数对得出的余弦相似度进行处理,得到预案与目标攻击手段的匹配度得分,表达式为:
Figure 228931DEST_PATH_IMAGE049
Figure 642595DEST_PATH_IMAGE050
表示第
Figure 729500DEST_PATH_IMAGE046
个待选的预案与目标攻击手段的匹配度得分,
Figure 91954DEST_PATH_IMAGE051
为归一化指数 函数,
Figure 61047DEST_PATH_IMAGE052
表示第
Figure 481664DEST_PATH_IMAGE046
个预案特征向量的嵌入表示与目标攻击手段特征向量嵌入表 示之间的余弦相似度,
Figure 360759DEST_PATH_IMAGE053
代表自然常数。
作为本发明的一种优选方式,所述S5包括:将预案按照
Figure 5367DEST_PATH_IMAGE054
值从大到小排列,得出 预案排序列表,其中排名第一的预案即为最佳的网络安全应急响应预案。
区别于现有技术,上述技术方案所达到的有益效果有:
本方案采用加权图卷积神经网络,即在网络安全应急响应知识图谱中的节点信息累积过程加上了权重,用于控制不同的特征对于预案匹配度的影响,多层次地提取特征信息,解决使用单一特征匹配模型的缺陷,从而提高了预案匹配的准确率;余弦相似度可简单、便捷地表示出预案和目标攻击手段的嵌入表示之间的相似度,有效的提高了计算效率,在网络安全事件发生后能够制定并实施正确的抑制策略。
附图说明
图1为具体实施方式所述预案匹配方法的体系结构图。
图2为具体实施方式所述预案匹配流程图。
图3为具体实施方式所述加权图卷积神经网络示意图。
具体实施方式
为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明。
如图1至图3所示,本实施例提供了一种基于网络安全应急响应知识图谱特征提取的预案匹配方法,包括以下步骤:
S1:对于目标攻击手段的特征属性值,制定预案的限制类约束规则进行初次筛选,排除不适用于目标攻击手段的预案;特征属性值包括:目标攻击手段的应用平台(platform)、常见攻击模式枚举和分类(CAPEC)编号、对抗性战术、技术和常识(ATT&CK)编号;
S2:将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至加权图卷积神经网络(WGCN)中,获取预案特征向量的嵌入表示(embedding)和目标攻击手段特征向量的嵌入表示(embedding);
S3:通过余弦相似度算法计算S2中嵌入表示之间的相似度;
S4:通过归一化指数函数(Softmax)对相似度进行处理,得到预案与目标攻击手段匹配度得分;
S5:在S4中的匹配度得分进行降序排列,排序列表即为预案匹配结果列表。
在上述实施例的具体实施过程中,具体包括以下步骤:
对于目标攻击手段提取其应用平台、CAPEC编号、ATT&CK编号,这三个特征的离散属性值,通过图数据库查询语句(Cypher)制定预案的限制类约束规则进行初次筛选;
例如:当提取到攻击手段的应用平台为Windows10、CAPEC编号为:101、ATT&CK编号为G0067,则触发下列图数据库查询语句(Cypher):
MATCH
(Solution:S{Platform:Windows10,CAPEC_id=’101’,ATT&CK_id=’G0067’}),
(Cyberattack:R{Platform:Windows10,CAPEC_id=’101’,ATT&CK_id=’G0067’})
RETURN S;
通过加权图卷积神经网络(WGCN)提取经过初次筛选后的预案的特征向量,考虑不同特征对于预案匹配的影响,
如图3所示设
Figure 665018DEST_PATH_IMAGE055
是节点
Figure 810698DEST_PATH_IMAGE017
在第
Figure 668932DEST_PATH_IMAGE006
层的输入向量,
Figure 422125DEST_PATH_IMAGE056
为该层的输入矩阵,在本实施 例中,采用4层的图结构。
对于预案和目标攻击手段的每个特征加以不同的权值并且求和,每个特征的权值 由相邻节点之间的相互作用决定,每个特征的权值定义为
Figure 241176DEST_PATH_IMAGE001
,每个特征由加权 图卷积神经网络自动学习。在本实施例中,考虑四个特征进行计算,四个特征分别是:常见 攻击目标、常见利用工具、影响服务信息、所需权限,此时,n=4,即
Figure 65912DEST_PATH_IMAGE057
按照知识谱图中的节点关系对周围相邻节点进行聚合,定义信息传递函数
Figure 981916DEST_PATH_IMAGE002
Figure 594425DEST_PATH_IMAGE003
其中
Figure 25406DEST_PATH_IMAGE002
是信息传递函数,用于在加权图卷积神经网络中传递信息,
Figure 325938DEST_PATH_IMAGE004
是节 点
Figure 34131DEST_PATH_IMAGE005
在第
Figure 457022DEST_PATH_IMAGE006
层的输入向量,
Figure 234354DEST_PATH_IMAGE007
为第
Figure 338576DEST_PATH_IMAGE006
层的权值矩阵,
Figure 25909DEST_PATH_IMAGE008
是节点
Figure 495068DEST_PATH_IMAGE009
在第
Figure 838325DEST_PATH_IMAGE006
层的输入向量;
选择线性整流函数
Figure 277396DEST_PATH_IMAGE010
作为加权图卷积神经网络的激活函数
Figure 442405DEST_PATH_IMAGE019
,该激活函数用 于每个节点的特征,线性整流函数
Figure 207099DEST_PATH_IMAGE010
的表达式为:
Figure 37651DEST_PATH_IMAGE011
其中
Figure 155780DEST_PATH_IMAGE012
为加权图卷积神经网络的输出,
Figure 817706DEST_PATH_IMAGE013
用于比较
Figure 612355DEST_PATH_IMAGE012
Figure 930204DEST_PATH_IMAGE014
的大小并且输出两 者中最大值。
不同的边代表着不同的特征,对于信息传递函数的计算结果进行加权,得到新的节点嵌入表示,表达式为:
Figure 242237DEST_PATH_IMAGE015
其中
Figure 368456DEST_PATH_IMAGE016
是节点
Figure 209373DEST_PATH_IMAGE017
在第
Figure 14518DEST_PATH_IMAGE006
层的输出向量,同时也是第
Figure 490761DEST_PATH_IMAGE018
层的输入向量,
Figure 861699DEST_PATH_IMAGE019
表示 激活函数,
Figure 748884DEST_PATH_IMAGE020
表示节点
Figure 41325DEST_PATH_IMAGE021
的邻居节点集合,
Figure 164001DEST_PATH_IMAGE022
表示对节点
Figure 514080DEST_PATH_IMAGE021
的所有邻居节点
Figure 227958DEST_PATH_IMAGE023
进行求和运 算,
Figure 414220DEST_PATH_IMAGE024
为第
Figure 543850DEST_PATH_IMAGE006
层中第
Figure 889381DEST_PATH_IMAGE025
个特征的权值,
Figure 866171DEST_PATH_IMAGE002
是信息传递函数,
Figure 664362DEST_PATH_IMAGE004
是节点
Figure 269787DEST_PATH_IMAGE005
在第
Figure 469824DEST_PATH_IMAGE006
层 的输入向量,
Figure 384560DEST_PATH_IMAGE058
是节点
Figure 670048DEST_PATH_IMAGE009
在第
Figure 141480DEST_PATH_IMAGE006
层的输入向量,
Figure 71390DEST_PATH_IMAGE059
为上述步骤中定义的信息传递函数。
将得到的新图层的中心节点与邻居节点分离,表达式为:
Figure 297972DEST_PATH_IMAGE027
其中
Figure 696855DEST_PATH_IMAGE016
是节点
Figure 706399DEST_PATH_IMAGE017
在第
Figure 146608DEST_PATH_IMAGE006
层的输出向量,同时也是第
Figure 888299DEST_PATH_IMAGE018
层的输入向量,
Figure 833865DEST_PATH_IMAGE019
表示 激活函数,
Figure 762548DEST_PATH_IMAGE028
表示节点
Figure 198208DEST_PATH_IMAGE021
的邻居节点集合,
Figure 422385DEST_PATH_IMAGE022
表示对节点
Figure 638603DEST_PATH_IMAGE021
的所有邻居节点
Figure 927633DEST_PATH_IMAGE023
进行求和 运算,
Figure 76854DEST_PATH_IMAGE024
为第
Figure 176660DEST_PATH_IMAGE006
层中第
Figure 349015DEST_PATH_IMAGE025
个特征的权值,
Figure 300791DEST_PATH_IMAGE008
是节点
Figure 445464DEST_PATH_IMAGE009
在第
Figure 90072DEST_PATH_IMAGE006
层的输入向量,
Figure 749723DEST_PATH_IMAGE029
为第
Figure 895403DEST_PATH_IMAGE006
层 的权值矩阵,
Figure 488058DEST_PATH_IMAGE004
是节点
Figure 506830DEST_PATH_IMAGE005
在第
Figure 591461DEST_PATH_IMAGE006
层的输入向量;
将上述表达式转化为矩阵形式,表达式为:
Figure 150618DEST_PATH_IMAGE030
其中
Figure 66621DEST_PATH_IMAGE024
为第
Figure 410622DEST_PATH_IMAGE006
层中第
Figure 107182DEST_PATH_IMAGE031
个特征的权值,
Figure 79817DEST_PATH_IMAGE032
表示第
Figure 115906DEST_PATH_IMAGE025
个特征构成的0-1邻接矩阵,
Figure 7639DEST_PATH_IMAGE033
表示单位矩阵,
Figure 316130DEST_PATH_IMAGE032
表示第
Figure 217089DEST_PATH_IMAGE031
个特征构成的0-1邻接矩阵,
Figure 842106DEST_PATH_IMAGE038
表示第
Figure 45685DEST_PATH_IMAGE006
层所有特征的矩阵形 式,通过邻接矩阵存储空间邻接节点的信息,即预案和目标攻击手段的特征信息;从而得到 新图层的递推公式:
Figure 451259DEST_PATH_IMAGE035
其中,
Figure 359172DEST_PATH_IMAGE036
为第
Figure 527110DEST_PATH_IMAGE006
层的输出矩阵,
Figure 291804DEST_PATH_IMAGE019
表示激活函数,
Figure 122357DEST_PATH_IMAGE038
表示第
Figure 240485DEST_PATH_IMAGE006
层所有特征的矩阵 形式,
Figure 902411DEST_PATH_IMAGE039
为第
Figure 697060DEST_PATH_IMAGE006
层的输入矩阵,
Figure 14909DEST_PATH_IMAGE040
为第
Figure 61363DEST_PATH_IMAGE006
层的权值矩阵;
本步骤可将一个含有多特征的关系图转化为多个具有不同权值的特征单关系图,在计算中只考虑每个层的线性变换中的所有一阶邻居节点,充分利用知识图谱的节点结构、节点属性和边缘关系类型;加权图卷积神经网络具有可学习的权值,适应局部聚合中使用的来自邻居的信息量,从而实现更精确的图节点嵌入。
经过上述步骤得出预案特征向量的嵌入表示
Figure 781057DEST_PATH_IMAGE041
,以及目标攻击手段的特征向量的 嵌入表示
Figure 497340DEST_PATH_IMAGE060
;其中:
Figure 364802DEST_PATH_IMAGE043
,表示知识图谱中所有待选的预案特征向量的嵌入表示 集合。
使用余弦相似度计算
Figure 572536DEST_PATH_IMAGE041
Figure 146737DEST_PATH_IMAGE042
的相似度,余弦相似度通过预案的特征向量与攻击手 段特征向量之间的夹角余弦值来度量差异,表达式为:
Figure 158555DEST_PATH_IMAGE044
其中
Figure 123100DEST_PATH_IMAGE045
表示第
Figure 511356DEST_PATH_IMAGE046
个预案特征向量的嵌入表示与目标攻击手段特征向量 嵌入表示之间的余弦相似度;
Figure 940064DEST_PATH_IMAGE047
是余弦函数,
Figure 512996DEST_PATH_IMAGE048
表示两向量之间的夹角,
Figure 89471DEST_PATH_IMAGE041
表示第
Figure 219101DEST_PATH_IMAGE046
个待 选的预案特征向量的嵌入表示,
Figure 174419DEST_PATH_IMAGE042
表示目标攻击手段特征向量的嵌入表示。
通过归一化指数函数对得出的余弦相似度进行处理,得到预案与目标攻击手段的匹配度得分,表达式为:
Figure 793619DEST_PATH_IMAGE049
Figure 483489DEST_PATH_IMAGE050
表示第
Figure 416810DEST_PATH_IMAGE046
个待选的预案与目标攻击手段的匹配度得分,
Figure 351268DEST_PATH_IMAGE051
为归一化指数 函数,
Figure 282314DEST_PATH_IMAGE052
表示第
Figure 567802DEST_PATH_IMAGE046
个预案特征向量的嵌入表示与目标攻击手段特征向量嵌入表示 之间的余弦相似度,
Figure 39235DEST_PATH_IMAGE053
代表自然常数。
最后将预案按照
Figure DEST_PATH_IMAGE061
值从大到小排列,得出预案排序列表,其中排名第一的预案即 为最佳的网络安全应急响应预案。
为了验证本发明基于网络安全应急响应知识图谱特征提取的预案匹配方法的准确性,使用Malware Training Sets(恶意软件训练数据集)和Mitre D3fend(网络应急响应知识图谱),Malware Training Sets(恶意软件训练数据集)是一个机器学***均情况。
表1 不同模型的特征语义相似度匹配结果
Figure 15150DEST_PATH_IMAGE062
通过对比双向门控循环单元(BiGRU)、孪生神经网络-双向门控循环单元(Siamese-BiGRU)、层次聚类(Linkage)、自编码语言模型(BERT+WMD距离模型)、WGCN+余弦相似度模型的表现可以发现,本发明使用的方法具有较高的准确率,达到87.1%,证明本发明使用的方法能够有效的提取网络应急响应预案和目标攻击手段的特征信息,有效提高网络安全事件发生后预案匹配的准确率。
上述实验使用的Malware Training Sets数据集主要恶意软件分析的分类数据集,为验证模型泛化能力,故采取多个数据集进行实验。Malware Training Sets(恶意软件训练数据集)、EMBER(恶意 Windows 可移植可执行文件数据集)、Malicious URLs(恶意统一资源定位符数据集)、MAWILab(网络流量异常数据集)、Aposemat IoT-23(物联网设备网络流量数据集)、Annotations of Cybersecurity blogs and articles(网络安全博客和文章的注释数据集)。其中EMBER(恶意 Windows 可移植可执行文件数据集)用于训练机器学习模型以静态检测恶意 Windows 可移植可执行文件,Malicious URLs(恶意统一资源定位符数据集)包括来自大型网络邮件提供商的恶意统一资源定位符示例,其每天提供6000-7500 个垃圾邮件和网络钓鱼统一资源定位符示例,MAWILab(网络流量异常数据集)是网络流量异常检测数据集,它由多组流量异常的标签组成,Aposemat IoT-23(物联网设备网络流量数据集)来自物联网设备的网络流量数据集,Annotations of Cybersecurityblogs and articles(网络安全博客和文章的注释数据集)由网络安全领域的手动数据组成,其中收集了来自奥多比安全公告,微软安全公告和各种博客文章的文章,总数据有超过45000 个特征和 5000 个标记实体,其中使用加权图卷积神经网络(WGCN)+余弦相似度对上述数据集提取特征并且计算特征匹配相似度,实验结果如表2所示:
表2 不同数据集的特征语义相似度匹配结果
Figure 851519DEST_PATH_IMAGE063
从上表中可以看出,模型在EMBER(恶意 Windows 可移植可执行文件数据集)上表现最佳,主要是因为EMBER(恶意 Windows 可移植可执行文件数据集)中含有更多的攻击手段样本,包括900K 训练样本(300K 恶意,300K 良性,300K 未标记)和 200K 测试样本(100K 恶意,100K 良性),充足的训练样本使得加权图卷积神经网络得到充分的训练,使得网络表现更加出色。
完成目标攻击手段和预案的特征向量提取工作后,为验证本发明采用余弦相似度算法的有效性,通过与其他相似度算法进行比较,包括:线性判别式分析算法(LDA)、词位移距离算法(WMD)、线性判别分析与词位移距离综合算法(WMD-LDA)、局部敏感的哈希算法(Simhash)、欧几里得算法,实验结果如表3所示:
表3 不同相似度算法实验结果
Figure 561986DEST_PATH_IMAGE064
由上表可以看出余弦相似度在计算由加权图卷积神经网络(WGCN)提取的特征向量的相似度时,在准确率、召回率以及F1值上的表现都优于其他算法。
高效性也是建立网络安全应急响应体系的关键要素,通过对比双向门控循环单元(BiGRU)、孪生神经网络-双向门控循环单元(Siamese-BiGRU)、层次聚类模型(Linkage)、自编码语言模型(BERT+WMD)以及本发明采用的加权图卷积神经网络(WGCN)+余弦相似度模型,计算20次取平均值,实验结果如表4所示:
表4 不同模型运行时间
Figure 899426DEST_PATH_IMAGE065
由上表可知,相较于双向门控循环单元(BiGRU)、孪生神经网络-双向门控循环单元(Siamese-BiGRU)、层次聚类模型(Linkage),本发明采用的加权图卷积神经网络(WGCN)+余弦相似度方法具有较高的计算速度,与自编码语言模型(BERT+WMD)相比耗费的时间较多,但是加权图卷积神经网络(WGCN)+余弦相似度方法具有较高的准确率,在运行效率与计算准确率之间取得了良好的平衡性。
需要说明的是,尽管在本文中已经对上述各实施例进行了描述,但并非因此限制本发明的保护范围。因此,基于本发明的创新理念,对本文所述实施例进行的变更和修改,或利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接地将以上技术方案运用在其他相关的技术领域,均包括在本发明的保护范围之内。

Claims (10)

1.一种基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,包括以下步骤:
S1:对于目标攻击手段的特征属性值,制定预案的限制类约束规则进行初次筛选,排除不适用于目标攻击手段的预案;
S2:将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至加权图卷积神经网络中,获取预案特征向量的嵌入表示和目标攻击手段特征向量的嵌入表示;
S3:通过余弦相似度算法计算S2中嵌入表示之间的相似度;
S4:通过归一化指数函数对相似度进行处理,得到预案与目标攻击手段匹配度得分;
S5:在S4中的匹配度得分进行降序排列,排序列表即为预案匹配结果列表。
2.根据权利要求1所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,所述S1中的特征属性值包括:目标攻击手段的应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号。
3.根据权利要求1所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,所述S1包括:对于目标攻击手段提取其应用平台、常见攻击模式枚举和分类编号、对抗性战术、技术和常识编号,这三个特征的离散属性值,通过图数据库查询语句制定预案的限制类约束规则进行初次筛选。
4.根据权利要求3所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法, 其特征在于,所述S2包括:通过加权图卷积神经网络提取经过初次筛选后的预案的特征向 量,考虑不同特征对于预案匹配的影响,对于预案和目标攻击手段的每个特征加以不同的 权值并且求和,每个特征的权值由相邻节点之间的相互作用决定,每个特征的权值定义为
Figure 95431DEST_PATH_IMAGE001
,每个特征由加权图卷积神经网络自动学习。
5.根据权利要求4所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法, 其特征在于,所述S2还包括:按照知识谱图中的节点关系对周围相邻节点进行聚合,定义信 息传递函数
Figure 643087DEST_PATH_IMAGE002
Figure 875485DEST_PATH_IMAGE003
其中
Figure 115973DEST_PATH_IMAGE002
是信息传递函数,用于在加权图卷积神经网络中传递信息,
Figure 801033DEST_PATH_IMAGE005
是节点
Figure 417959DEST_PATH_IMAGE007
在第
Figure 504863DEST_PATH_IMAGE009
层的输入向量,
Figure 916253DEST_PATH_IMAGE011
为第
Figure 88609DEST_PATH_IMAGE012
层的权值矩阵,
Figure 243646DEST_PATH_IMAGE014
是节点
Figure 683593DEST_PATH_IMAGE016
在第
Figure 531463DEST_PATH_IMAGE017
层的输入向量;
选择线性整流函数
Figure 925535DEST_PATH_IMAGE018
作为加权图卷积神经网络的激活函数,该激活函数用于每个 节点的特征,线性整流函数
Figure 884264DEST_PATH_IMAGE018
的表达式为:
Figure 680182DEST_PATH_IMAGE019
其中
Figure 698953DEST_PATH_IMAGE021
为加权图卷积神经网络的输出,
Figure 580322DEST_PATH_IMAGE022
用于比较
Figure 342741DEST_PATH_IMAGE021
Figure 258745DEST_PATH_IMAGE024
的大小并且输出两者中最 大值。
6.根据权利要求5所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,所述S2还包括:对于信息传递函数的计算结果进行加权,得到新的节点嵌入表示,表达式为:
Figure 917259DEST_PATH_IMAGE025
其中
Figure 551503DEST_PATH_IMAGE026
是节点
Figure 852034DEST_PATH_IMAGE027
在第
Figure 121079DEST_PATH_IMAGE028
层的输出向量,同时也是第
Figure 216074DEST_PATH_IMAGE030
层的输入向量,
Figure 337614DEST_PATH_IMAGE031
表示激活 函数,
Figure 441836DEST_PATH_IMAGE033
表示节点
Figure 801273DEST_PATH_IMAGE034
的邻居节点集合,
Figure 332749DEST_PATH_IMAGE035
表示对节点
Figure 676005DEST_PATH_IMAGE036
的所有邻居节点
Figure 318339DEST_PATH_IMAGE037
进行求和运算,
Figure 63441DEST_PATH_IMAGE039
为第
Figure 765818DEST_PATH_IMAGE040
层中第
Figure 330792DEST_PATH_IMAGE042
个特征的权值,
Figure 776817DEST_PATH_IMAGE002
是信息传递函数,
Figure 376425DEST_PATH_IMAGE005
是节点
Figure 482659DEST_PATH_IMAGE007
在第
Figure 800508DEST_PATH_IMAGE009
层的输入向 量,
Figure 784645DEST_PATH_IMAGE043
是节点
Figure 504339DEST_PATH_IMAGE016
在第
Figure 282939DEST_PATH_IMAGE040
层的输入向量。
7.根据权利要求6所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,所述S2还包括:将得到的新图层的中心节点与邻居节点分离,表达式为:
Figure 88084DEST_PATH_IMAGE044
其中
Figure 875911DEST_PATH_IMAGE026
是节点
Figure 184533DEST_PATH_IMAGE027
在第
Figure 399614DEST_PATH_IMAGE028
层的输出向量,同时也是第
Figure 426476DEST_PATH_IMAGE030
层的输入向量,
Figure 752415DEST_PATH_IMAGE031
表示激活 函数,
Figure 181122DEST_PATH_IMAGE045
表示节点
Figure 65639DEST_PATH_IMAGE034
的邻居节点集合,
Figure 845376DEST_PATH_IMAGE035
表示对节点
Figure 709427DEST_PATH_IMAGE036
的所有邻居节点
Figure 992641DEST_PATH_IMAGE037
进行求和运算,
Figure 549524DEST_PATH_IMAGE039
为第
Figure 285399DEST_PATH_IMAGE040
层中第
Figure 218720DEST_PATH_IMAGE042
个特征的权值,
Figure 356440DEST_PATH_IMAGE046
是节点
Figure 349804DEST_PATH_IMAGE016
在第
Figure 572975DEST_PATH_IMAGE028
层的输入向量,
Figure 44408DEST_PATH_IMAGE011
为第
Figure 302214DEST_PATH_IMAGE017
层的权值矩阵,
Figure 699435DEST_PATH_IMAGE005
是节点
Figure 409902DEST_PATH_IMAGE007
在第
Figure 685025DEST_PATH_IMAGE009
层的输入向量;
将上述表达式转化为矩阵形式,表达式为:
Figure 797338DEST_PATH_IMAGE047
其中
Figure 866925DEST_PATH_IMAGE048
为第
Figure 330267DEST_PATH_IMAGE012
层中第
Figure DEST_PATH_IMAGE049
个特征的权值,
Figure 612344DEST_PATH_IMAGE051
表示第
Figure 579163DEST_PATH_IMAGE049
个特征构成的0-1邻接矩阵,
Figure 819651DEST_PATH_IMAGE053
表示 单位矩阵,
Figure 770290DEST_PATH_IMAGE051
表示第
Figure 387216DEST_PATH_IMAGE049
个特征构成的0-1邻接矩阵,
Figure 707077DEST_PATH_IMAGE055
表示第
Figure 384046DEST_PATH_IMAGE009
层所有特征的矩阵形式, 通过邻接矩阵存储空间邻接节点的信息,即预案和目标攻击手段的特征信息;从而得到新 图层的递推公式:
Figure 556401DEST_PATH_IMAGE056
其中,
Figure 445860DEST_PATH_IMAGE058
为第
Figure 652850DEST_PATH_IMAGE009
层的输出矩阵,
Figure 235141DEST_PATH_IMAGE031
表示激活函数,
Figure 629213DEST_PATH_IMAGE055
表示第
Figure 587942DEST_PATH_IMAGE009
层所有特征的矩阵形式,
Figure 649439DEST_PATH_IMAGE060
为第
Figure 402631DEST_PATH_IMAGE009
层的输入矩阵,
Figure 549579DEST_PATH_IMAGE011
为第
Figure 46419DEST_PATH_IMAGE012
层的权值矩阵;
经过上述步骤得出预案特征向量的嵌入表示
Figure 218816DEST_PATH_IMAGE062
,以及目标攻击手段的特征向量的嵌入 表示
Figure 408489DEST_PATH_IMAGE064
;其中:
Figure DEST_PATH_IMAGE065
,表示知识图谱中所有待选的预案特征向量的嵌入表示集 合。
8.根据权利要求7所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法, 其特征在于,所述S3包括:使用余弦相似度计算
Figure 511574DEST_PATH_IMAGE062
Figure 812106DEST_PATH_IMAGE064
的相似度,余弦相似度通过预案的特征 向量与攻击手段特征向量之间的夹角余弦值来度量差异,表达式为:
Figure 582616DEST_PATH_IMAGE066
其中
Figure 677611DEST_PATH_IMAGE067
表示第
Figure 799150DEST_PATH_IMAGE069
个预案特征向量的嵌入表示与目标攻击手段特征向量嵌入 表示之间的余弦相似度;
Figure 637793DEST_PATH_IMAGE071
是余弦函数,
Figure 262810DEST_PATH_IMAGE073
表示两向量之间的夹角,
Figure 794285DEST_PATH_IMAGE062
表示第
Figure 137542DEST_PATH_IMAGE069
个待选的预案 特征向量的嵌入表示,
Figure 278411DEST_PATH_IMAGE064
表示目标攻击手段特征向量的嵌入表示。
9.根据权利要求8所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法,其特征在于,所述S4包括:通过归一化指数函数对得出的余弦相似度进行处理,得到预案与目标攻击手段的匹配度得分,表达式为:
Figure 23513DEST_PATH_IMAGE074
Figure 725890DEST_PATH_IMAGE076
表示第
Figure 290863DEST_PATH_IMAGE069
个待选的预案与目标攻击手段的匹配度得分,
Figure DEST_PATH_IMAGE077
为归一化指数函数,
Figure 940150DEST_PATH_IMAGE078
表示第
Figure 805338DEST_PATH_IMAGE069
个预案特征向量的嵌入表示与目标攻击手段特征向量嵌入表示之间 的余弦相似度,
Figure 678616DEST_PATH_IMAGE080
代表自然常数。
10.根据权利要求9所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法, 其特征在于,所述S5包括:将预案按照
Figure DEST_PATH_IMAGE081
值从大到小排列,得出预案排序列表,其中排名第 一的预案即为最佳的网络安全应急响应预案。
CN202210330021.4A 2022-03-31 2022-03-31 基于网络安全应急响应知识图谱特征提取的预案匹配方法 Pending CN114491082A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210330021.4A CN114491082A (zh) 2022-03-31 2022-03-31 基于网络安全应急响应知识图谱特征提取的预案匹配方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210330021.4A CN114491082A (zh) 2022-03-31 2022-03-31 基于网络安全应急响应知识图谱特征提取的预案匹配方法

Publications (1)

Publication Number Publication Date
CN114491082A true CN114491082A (zh) 2022-05-13

Family

ID=81488417

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210330021.4A Pending CN114491082A (zh) 2022-03-31 2022-03-31 基于网络安全应急响应知识图谱特征提取的预案匹配方法

Country Status (1)

Country Link
CN (1) CN114491082A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115225532A (zh) * 2022-07-21 2022-10-21 北京天融信网络安全技术有限公司 网络安全态势预测方法、装置、设备及存储介质
CN116561385A (zh) * 2023-07-10 2023-08-08 中国人民解放军军事科学院***工程研究院 基于知识表示的预案快速匹配推荐方法
CN116599778A (zh) * 2023-07-18 2023-08-15 山东溯源安全科技有限公司 用于确定恶意设备的数据处理方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112463980A (zh) * 2020-11-25 2021-03-09 南京摄星智能科技有限公司 一种基于知识图谱的预案智能推荐方法
CN112529750A (zh) * 2020-12-23 2021-03-19 上海松鼠课堂人工智能科技有限公司 基于图神经网络模型的学习事件推荐方法及***
CN113902522A (zh) * 2021-09-29 2022-01-07 鹏城实验室 一种基于图神经网络的专利推荐方法及终端

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112463980A (zh) * 2020-11-25 2021-03-09 南京摄星智能科技有限公司 一种基于知识图谱的预案智能推荐方法
CN112529750A (zh) * 2020-12-23 2021-03-19 上海松鼠课堂人工智能科技有限公司 基于图神经网络模型的学习事件推荐方法及***
CN113902522A (zh) * 2021-09-29 2022-01-07 鹏城实验室 一种基于图神经网络的专利推荐方法及终端

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SHANG C 等: "《End-to-end Structure-Aware Convolutional Networks for Knowledge Base Completion》", 《ASSOCIATION FOR THE ADVANCEMENT OF ARTIFICIAL》 *
SHENGJIAWEI: "《阅读笔记:End-to-end Structure-Aware Convolutional Networks for Knowledge Base Completion》", 《HTTPS://WWW.CNBLOGS.COM/JWS-2018/P/11519383.HTML》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115225532A (zh) * 2022-07-21 2022-10-21 北京天融信网络安全技术有限公司 网络安全态势预测方法、装置、设备及存储介质
CN116561385A (zh) * 2023-07-10 2023-08-08 中国人民解放军军事科学院***工程研究院 基于知识表示的预案快速匹配推荐方法
CN116561385B (zh) * 2023-07-10 2023-10-13 中国人民解放军军事科学院***工程研究院 基于知识表示的预案快速匹配推荐方法
CN116599778A (zh) * 2023-07-18 2023-08-15 山东溯源安全科技有限公司 用于确定恶意设备的数据处理方法
CN116599778B (zh) * 2023-07-18 2023-09-26 山东溯源安全科技有限公司 用于确定恶意设备的数据处理方法

Similar Documents

Publication Publication Date Title
Fan et al. Metapath-guided heterogeneous graph neural network for intent recommendation
Wang et al. Heterogeneous network representation learning approach for ethereum identity identification
CN109902145B (zh) 一种基于注意力机制的实体关系联合抽取方法和***
CN109766524B (zh) 一种并购重组类公告信息抽取方法及***
Xie et al. Representation learning of knowledge graphs with entity descriptions
CN114491082A (zh) 基于网络安全应急响应知识图谱特征提取的预案匹配方法
CN111159395A (zh) 基于图神经网络的谣言立场检测方法、装置和电子设备
CN108804529A (zh) 一种基于Web的问答***实现方法
CN108717433A (zh) 一种面向程序设计领域问答***的知识库构建方法及装置
CN107844533A (zh) 一种智能问答***及分析方法
CN113742733B (zh) 阅读理解漏洞事件触发词抽取和漏洞类型识别方法及装置
Yin et al. A real-time dynamic concept adaptive learning algorithm for exploitability prediction
CN114048295A (zh) 一种用于数据处理的跨模态检索方法及***
CN114900346B (zh) 基于知识图谱的网络安全测试方法及***
CN117149974A (zh) 一种子图检索优化的知识图谱问答方法
Wang et al. An improved clustering method for detection system of public security events based on genetic algorithm and semisupervised learning
Han et al. Two birds with one stone: classifying positive and unlabeled examples on uncertain data streams
Cai et al. Semantic and correlation disentangled graph convolutions for multilabel image recognition
Shan Social Network Text Sentiment Analysis Method Based on CNN‐BiGRU in Big Data Environment
Shi et al. [Retracted] Research on Fast Recommendation Algorithm of Library Personalized Information Based on Density Clustering
CN116226404A (zh) 一种针对肠-脑轴的知识图谱构建方法及知识图谱***
CN111339258B (zh) 基于知识图谱的大学计算机基础习题推荐方法
Li et al. Intelligent fuzzy optimization algorithm of data mining based on BP neural network
Hu et al. Data visualization analysis of knowledge graph application
Shi et al. Soft prompt guided joint learning for cross-domain sentiment analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220513

RJ01 Rejection of invention patent application after publication