(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210330021.4 (22)申请日 2022.03.31 (71)申请人 南京众智维信息科技有限公司 地址 211300 江苏省南京市高淳区龙井路3 号 (72)发明人 孙捷　车洵　梁小川　胡牧　金奎　 曹亚　孙翰墨　刘志顺　 (74)专利代理 机构 南京知识律师事务所 32 207 专利代理师 张苏沛 (51)Int.Cl. G06F 16/36(2019.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 基于网络安全应急响应知识图谱特征提取 的预案匹配方法 (57)摘要 本发明公开了一种基于网络安全应急响应 知识图谱特征提取的预案匹配方法， 包括步骤： S1： 对于目标攻击手段的特征属性值， 制定预案 的限制类约束规则进行初次筛选， 排除不适用于 目标攻击手段的预案； S2： 将网络安全应急响应 知识图谱经过初次筛选后的预案和目标攻击手 段加载至加权图卷积神经网络中， 获取预案特征 向量的嵌入表示和目标攻击手段特征向量的嵌 入表示； S3： 通过余弦相似度算法计算S2中嵌入 表示之间的相似度； S4： 通过归一化指数函数对 相似度进行处理， 得到预案与目标攻击手段匹配 度得分； S5： 在S4中的匹配度得分进行降序排列， 排序列表即为预案匹配结果列表； 本方案能够解 决传统方法的固有缺陷， 提高预案匹配效率。 权利要求书3页 说明书9页 附图3页 CN 114491082 A 2022.05.13 CN 114491082 A 1.一种基于网络安全应急响应知识图谱特征提取的预案匹配方法， 其特征在于， 包括 以下步骤： S1： 对于目标攻击手段的特征属性值， 制定预案的限制类约束规则进行初次筛选， 排除 不适用于目标攻击手段的预案； S2： 将网络安全应急响应知识图谱经过初次筛选后的预案和目标攻击手段加载至加权 图卷积神经网络中， 获取 预案特征向量的嵌入表示和目标攻击手段 特征向量的嵌入表示； S3： 通过余弦相似度算法计算S2中嵌入表示之间的相似度； S4： 通过归一 化指数函数对相似度进行处 理， 得到预案与目标攻击手段匹配度得分； S5： 在S4中的匹配度得分进行降序排列， 排序列表即为预案匹配结果列表。 2.根据权利要求1所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法， 其特征在于， 所述S1中的特征属性值包括： 目标攻击手段的应用平台、 常见攻击模式枚举和 分类编号、 对抗 性战术、 技 术和常识编号。 3.根据权利要求1所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法， 其特征在于， 所述S1包括： 对于目标攻击手段提取其应用平台、 常见攻击模式枚举和分类编 号、 对抗性战术、 技术和常识编号， 这三个特征 的离散属 性值， 通过图数据库查询语句制 定 预案的限制类约束规则进行初次筛 选。 4.根据权利要求3所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法， 其特征在于， 所述S2包括： 通过加权图卷积神经网络提取经过初次筛选后的预案的特征向 量， 考虑不同特征对于预案匹配的影响， 对于预案和目标攻击手段的每个特征加以不同的 权值并且求和， 每个特征 的权值由相邻节点之间的相互作用决定， 每个特征 的权值定义为 ， 每个特征由加权图卷积神经网络自动学习。 5.根据权利要求4所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法， 其特征在于， 所述S2还包括： 按照知识谱图中的节点关系对周围相 邻节点进 行聚合， 定义信 息传递函数 ； 其中 是信息传递函数， 用于在加权图卷积神 经网络中传递信息， 是节点    在第 层的输入向量， 为第 层的权值矩阵， 是节点 在第 层的输入向量； 选择线性整流函数 作为加权 图卷积神经网络的激活函数， 该激活函数用于每个 节点的特 征， 线性整流 函数 的表达式为： 其中 为加权图卷积神经网络的输出， 用于比较 与 的大小并且输出两 者中最 大值。 6.根据权利要求5所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法， 其特征在于， 所述S2还包括： 对于信息传递函数的计算结果进 行加权， 得到新的节点 嵌入表权　利　要　求　书 1/3 页 2 CN 114491082 A 2示， 表达式为： 其中 是节点 在第 层的输出向量， 同时也是第 层的输入向量， 表示激活 函数， 表示节点 的邻居节点集合， 表示对节点 的所有邻居节点 进行求和运算，     为第 层中第 个特征的权值， 是信息传递函数， 是节点   在第 层的输入向 量， 是节点 在第 层的输入向量。 7.根据权利要求6所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法， 其特征在于， 所述S2还 包括： 将得到的新图层的中心 节点与邻居节点分离， 表达式为： 其中 是节点 在第 层的输出向量， 同时也是第 层的输入向量， 表示激活 函数， 表示节点 的邻居节点集合， 表示对节点 的所有邻居节点 进行求和运算，    为第 层中第 个特征的权值， 是节点 在第 层的输入向量， 为第 层的权值矩阵， 是节点  在第  层的输入向量； 将上述表达式转 化为矩阵形式， 表达式为： 其中  为第 层中第 个特征的权值，   表示第 个特征构成的0 ‑1邻接矩阵，   表示 单位矩阵，   表示第  个特征构成的0 ‑1邻接矩阵，   表示第  层所有特征 的矩阵形式， 通过邻接矩阵存储空间邻接节点的信息， 即预案和目标攻击手段的特征信息； 从而得到新 图层的递推公式： 其中， 为第 层的输出矩阵， 表示激活函数，   表示第 层所有特征的矩阵形式， 为第 层的输入矩阵，   为第 层的权值矩阵； 经过上述步骤得出预案特征向量的嵌入表示 ， 以及目标攻击手段的特征向量的嵌入 表示 ； 其中:  ， 表示知识图谱中所有待选的预案特征向量的嵌入表示集 合。 8.根据权利要求7所述的基于网络安全应急响应知识图谱特征提取的预案匹配方法，权　利　要　求　书 2/3 页 3 CN 114491082 A 3