(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210942932.2 (22)申请日 2022.08.08 (71)申请人 军工保密资格审查认证中心 地址 100089 北京市海淀区紫竹院路69号 兵器大厦 申请人 中科大数据研究院 (72)发明人 李璐　段荣成　吴琼　张畅　赵耀　 秦瑶　方澄　孙璞　翟立东　吕志　 (74)专利代理 机构 北京美智年 华知识产权代理 事务所(普通 合伙) 11846 专利代理师 李晨露　汪永生 (51)Int.Cl. G06F 16/36(2019.01) G06F 40/247(2020.01) G06F 40/289(2020.01)G06F 40/295(2020.01) (54)发明名称 威胁情报知识图谱的数据处理方法、 设备、 介质 (57)摘要 本发明涉及安全信息网络技术领域， 提供一 种威胁情报知识图谱的数据处理方法、 设备、 介 质， 方法包括： 获取威胁情报数据， 所述威胁情报 数据包括多类实体集， 每类实体集包括多个实 体； 每个实体包括多个基本属性和多个关联属 性； 每个基本属性和关联属性均包括属性名和属 性值， 每一个关联属性的属性值为另一个实体； 将每个实体的基本属性和关联属性存入一个实 体文档； 建立三元组列表； 将三元组列表和每个 实体文档转换格式， 导入搜索服务器， 形成威胁 情报知识图谱。 本方案将海量的威胁情报相关的 信息进行整 合、 清理、 图谱关联， 返回关键要素和 关联关系等有价值的信息， 及时为网络安全的预 防工作提供保障。 权利要求书2页 说明书11页 附图5页 CN 115186109 A 2022.10.14 CN 115186109 A 1.一种威胁情 报知识图谱的数据处 理方法， 其特 征在于， 包括以下步骤： 获取威胁情 报数据， 所述 威胁情报数据包括多类实体集， 每 类实体集包括多个实体； 每个实体包括多个基本属性和多个关联属性； 每个基本属性和关联属性均包括属性名 和属性值， 每个关联属 性的属性值为另一个实体； 将每个实体的基本属 性和关联属 性存入 一个实体文档； 建立三元组列表， 三元组列表包括多个三元组， 每个三元组包括实体、 属性名及属性 值； 将三元组列表和每 个实体文档转换格式， 导入搜索服 务器， 形成威胁情 报知识图谱。 2.根据权利要求1所述的威胁情报知识图谱的数据处理方法， 其特征在于， 还包括： 所 述导入搜索服 务器后， 建立同义词扩展库并关联搜索服 务器。 3.根据权利要求2所述的威胁情报知识图谱的数据处理方法， 其特征在于， 所述建立同 义词扩展库的方法包括： 抽取所有实体的名称以及实体所包含的属性名； 每个实体的基本属性均包括实体的名 称； 找到实体的名称和实体所包 含的属性名对应的同义词； 将同义词新增为对应实体的名称或实体所包 含的属性名的扩展名。 4.根据权利要求3所述的威胁情报知识图谱的数据处理方法， 其特征在于， 所述找到实 体的名称和实体所包 含的属性名对应的同义词的方法包括： 采用人工的方式或相似度计算的方法找到实体的名称和实体所包含的属性名对应的 同义词。 5.根据权利要求1所述的威胁情报知识图谱的数据处理方法， 其特征在于， 所述获取威 胁情报数据的方法包括： 获取ATT&CK数据和Threat  Group Cards数据； ATT&CK数据基于stix格式录入； 将Threat Group Cards数据与ATT&CK数据数据相同的部分合 并， 不同的部分以stix格 式录入； 补全stix格式 中Threat  Group Cards数据未填充的部分。 6.一种获取威胁情 报详细信息的方法， 其特 征在于， 包括以下步骤： 采用权利要求1 ‑5中任一项所述的数据处 理方法建立 威胁情报知识图谱； 向威胁情 报知识图谱输入自然语言问句； 对该自然语言问句进行分词， 得到一个或多个信息分词； 根据一个或多个信息分词从威胁情 报知识图谱中获取查询结果。 7.根据权利要求6所述的获取威胁情报详细信 息的方法， 其特征在于， 所述根据一个或 多个信息分词从威胁情 报知识图谱中获取属性 值的方法包括： 每个信息分词包括实体的名称、 属性名或属性 值； 判断信息分词为实体的名称、 属性名还是属性 值； 将判断的信息分词从威胁情 报知识图谱中获取查询结果； 所述将判断的信息分词从威胁情 报知识图谱中获取查询结果的方法包括： 如果信息分词为 一个且包括实体的名称， 则返回该实体的所有属性名和 属性值；权　利　要　求　书 1/2 页 2 CN 115186109 A 2如果信息分词为两个， 且第一个信息分词包括实体的名称， 第二个信息分词包括属性 名， 则先检索该实体， 判断该实体的所有属性名中是否包含所检索的属性名， 如果包含， 则 返回对应的属性 值； 如果信息分词为三个以上， 且第一个信息分词包括实体名称， 其余的信息分词包括属 性名， 则先检索该实体， 判断该实体的所有属性名中是否包含 所检索的第一个属性名， 如果 包含， 找到第一个属 性名对应的属 性值， 判断是否存在以第一个属 性名对应的属 性值为名 称的实体， 如果存在， 以第一个属性名对应的属性值为 实体的名称 检索对应的实体， 再判断 检索结果是否包含第二个属性名， 如果包含， 找到第二个属性名对应的属性值， 采用相同的 方法找到第N个属性名对应的属性值， 直到判断到最后一个属性名， 返回最后一个属性名对 应的属性 值； N为大于或等于2的自然数。 8.根据权利要求7所述的获取威胁情报详细信 息的方法， 其特征在于， 所述判断信 息分 词为实体的名称、 属性名还是属性 值的方法包括： 先判断是否为属性名， 在字典记录知识库中通过匹配的方法找出是否有属性名， 若有， 则为属性名； 所述字典记录知识库中存 储有所有属性名； 再判断是否为实体的名称， 将信息分词在威胁情报知识图谱中进行查询， 判断是否存 在以该信息分词为实体的名称的实体文档， 若 有， 则为实体的名称； 接着判断是否为属性值， 采用模糊匹配的方法或采用分词后根据n ‑gram模型通过 Elasticsearch进 行检索的方法判断信息分词是否为属性值， 如果为属性值， 统计该属性值 对应的属性名， 用该属性 值对应的最频繁使用的属性名作为补全的属性名。 9.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器； 存储装置， 用于存 储一个或多个程序； 当所述一个或多个程序被所述一个或多个处理器执行， 使得所述一个或多个处理器实 现如权利要求1 ‑5中任一所述的方法。 10.一种计算机可读介质， 其上存储有计算机程序， 其特征在于， 所述程序被处理器执 行时实现如权利要求1 ‑5中任一所述的方法。权　利　要　求　书 2/2 页 3 CN 115186109 A 3