2. 技术
  3. 基于超网络的网络空间行为知识图谱构建方法及架构

基于超网络的网络空间行为知识图谱构建方法及架构

allin2022-09-03  153


1.本发明涉及网络空间安全与数据分析技术领域,重点针对互联网、移动互联网、电信网中各类行为的知识图谱构建,尤其涉及一种基于超网络的网络空间行为知识图谱构建方法及架构。


背景技术:

2.随着信息技术的快速发展,网络空间与现实空间不断交融,网络诈骗、垃圾邮件等网络安全威胁与公害逐步出现,以各种新形态、新应用、新技术、新业态为载体,以国内国外网络空间为传输场,以网上网下舆论交流、行为交叉、利益交汇为媒介,形式复杂多样,活动日益频繁,刻意匿名伪装更为普遍,给网络空间安全带来巨大挑战。
3.目前的传统方法一般是基于特征、单网域、单链条构建通用知识图谱进行威胁发现。通用知识图谱在网络公害治理上存在以下局限性:(1)网络安全威胁与公害行为具有多要素、多链条的特点,目前知识图谱架构缺乏动态性,且难以有效表征刻画多行为要素关联、时序行为链条交叠的情形,在实时动态推理发现网络公害上较为被动;(2)多样化网络威胁与公害的分析挖掘涉及知识关系、网络关系、行为关系等方面的综合建模,现有知识图谱架构重点聚焦在单一的关系建模,在多元关系综合建模上仍存在不足;(3)传统知识图谱基于三元组的表示方法往往过分简化了存储在知识图谱中的数据的复杂性;特别是对于连接两个及以上实体的超关系数据,其中的高阶结构信息的丢失,会导致知识超图表示及推理能力受限。
4.因此亟需针对跨网域、多链条,以行为为中心构建知识图谱的研究方案。


技术实现要素:

5.针对仅从特定网域、特定特征构建的传统通用知识图谱不再适用于当前网络空间的威胁行为发现的问题,本发明提供一种基于超网络的网络空间行为知识图谱构建方法及架构。
6.一方面,本发明提供一种基于超网络的网络空间行为知识图谱构建方法,包括以下步骤:步骤1:定义网络空间行为的多维观测要素,所述观测要素至少包括行为体、时空环境、行为交互和状态;步骤2:在多维所述观测要素构成的观测域中,抽象刻画各个观测要素及各个观测要素之间的关系以构建得到多层网域平面;其中,每个观测要素对应网域平面中的一个实体;所述网域平面至少包括包含各种行为体的行为体域,包含各种行为体所处的虚实空间环境和信息的环境信息域,以及包含网络空间的各类行为的行为域和包含各类网络公害的行为体、信息内容流转及行为的状态的状态域;
步骤3:获取行为知识信息,基于已定义的多维观测要素抽取所述行为知识信息中的实体和实体间关系;基于抽取到的实体和实体间关系,基于已构建的多层网域平面建立同一层网域平面内的各个实体之间的连边关联,以及不同层网域平面之间的超边关联,即可形成超网络结构的网络空间行为知识图谱。
7.进一步地,所述行为体包括终端号码、账号和网址ip中的一种或多种。
8.进一步地,所述网络空间的各类行为包括通信类行为、网络访问类行为、网络社交类行为、金融交互类行为和公害威胁类行为中的一种或多种。
9.进一步地,步骤3具体包括:步骤a1:针对多层网域平面内的音、视、图、文和交互信息中的每条知识进行知识抽取,得到每条知识的知识结构;步骤a2:若所述知识结构为《实体ei,关系ri,实体ej》或《实体ei,属性ai,属性值vi》,则认为进入的当前条知识为通用知识,按照通用知识表征方式将其增加至网络空间行为知识图谱中;步骤a3:若所述知识结构为《行为体aci,时序关系ti,《环境信息实体eii,状态实体sti,行为实体bhi,其他实体xi》》,则认为当前进入的知识为行为知识,按照行为知识表征方式将其增加至网络空间行为知识图谱中;步骤a4:按照步骤a2至步骤a3对当前批多层网域平面内的音、视、图、文和交互信息中的每条知识进行处理,直至将所有知识全部增加至网络空间行为知识图谱中;步骤a5:按照步骤a1至步骤a4处理下一批多层网域平面内的音、视、图、文和交互信息,不断更新网络空间行为知识图谱。
10.进一步地,所述按照通用知识表征方式将其增加至网络空间行为知识图谱中,具体包括:以实体ei为匹配对象,分别将其与各个网域平面的实体类型进行匹配,确定所述实体ei所属的网域平面;在确定的所述网域平面内,根据知识内容建立连边,具体为:若为《实体ei,关系ri,实体ej》,则建立ei到ej的连边关系ri;若为《实体ei,属性ai,属性值vi》,则建立ei到vi连边关系ai,并存储到网络空间行为知识图谱中。
11.进一步地,所述按照行为知识表征方式将其增加至网络空间行为知识图谱中,具体包括:分别以行为体aci、环境信息实体eii、状态实体sti、行为实体bhi为匹配对象,在各自对应的网域平面内进行实体匹配;其中,若匹配对象在其对应的网域平面内没有匹配到已有实体,则在所述网域平面内为该匹配对象建立新的实体;根据行为贯穿的多网域实体,建立连接行为体aci、环境信息实体eii、状态实体sti、行为实体bhi和其他实体xi的超边关联关系,并存储到图谱数据库中;其中,所述超边的连边权值中包含所述时序关系ti。
12.另一方面,本发明提供一种基于超网络的网络空间行为知识图谱架构,采用上述的基于超网络的网络空间行为知识图谱构建方法构建得到。
13.本发明的有益效果:本发明针对网络安全威胁与公害挖掘面临的多链条、多要素的特点和需求,利用
超网络的多层次、多子图结构对行为观测域进行建模,刻画了网络中行为体的多要素、多链条的特征,具有多域特征融合的巨大潜力,为多样化的网络威胁发现和公害治理提供了新的知识图谱架构和可能的解决路径。本发明和现有知识图谱架构相比,具有的优点主要如下:(1)以超网络多域分层容纳了多样化知识,进行多元关系融合建模—可对知识关系、网络关系、行为关系融合建模,支撑多链条网络行为知识图谱构建;(2)以域内知识关系和跨域超边关联实现行为的时序、多要素、多链条刻画与关联—支撑网络空间行为体的时序行为演化分析与预测、支撑网络空间行为体的行为多要素关联分析与挖掘;(3)通过行为知识超网络构建的知识图谱,可以在此基础上利用超图计算与推理进行公害行为检测、预测与溯源—将网络空间威胁挖掘与公害行为的发现、预测等系列问题,转化为超边与子图发现、预测等超图挖掘问题。
附图说明
14.图1为本发明实施例提供的基于超网络的网络空间行为知识图谱构建方法的流程示意图;图2为本发明实施例提供的将每条知识增加至网络空间行为知识图谱数据库中的流程示意图;图3为本发明实施例提供的基于超网络的网络空间行为知识图谱架构示意图。
具体实施方式
15.为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
16.实施例1如图1所示,本发明实施例提供一种基于超网络的网络空间行为知识图谱构建方法,包括以下步骤:s101:定义网络空间行为的多维观测要素,所述观测要素至少包括行为体、时空环境、行为交互和状态;s102:在多维所述观测要素构成的观测域中,抽象刻画各个观测要素及各个观测要素之间的关系以构建得到多层网域平面;其中,每个观测要素对应网域平面中的一个实体;所述网域平面至少包括包含各种行为体的行为体域(简称ac),包含各种行为体所处的虚实空间环境和信息的环境信息域(简称ei),以及包含网络空间的各类行为的行为域(简称bh)和包含各类网络公害的行为体、信息内容流转及行为的状态的状态域(简称st);s103:获取行为知识信息,基于已定义的多维观测要素抽取所述行为知识信息中的实体和实体间关系;基于抽取到的实体和实体间关系,基于已构建的多层网域平面建立同一层网域平面内的各个实体之间的连边关联,以及不同层网域平面之间的超边关联,即可形成超网络结构的网络空间行为知识图谱。
17.具体地,本步骤主要包括以下子步骤:步骤a1:针对多层网域平面内的音、视、图、文和交互信息中的每条知识进行知识抽取,得到每条知识的知识结构;本发明实施例不限制具体的抽取方法,可基于传统的内容处理进行通用知识的抽取;通过交互信息抽取行为知识,抽取结构为:《行为体aci,时序关系ti,《环境信息实体eii,状态实体sti,行为实体bhi,其他实体xi》》。
18.步骤a2:若所述知识结构为《实体ei,关系ri,实体ej》或《实体ei,属性ai,属性值vi》,则认为进入的当前条知识为通用知识,按照通用知识表征方式将其增加至网络空间行为知识图谱中;作为一种可实施方式,所述按照通用知识表征方式将其增加至网络空间行为知识图谱中,具体包括:以实体ei为匹配对象,分别将其与各个网域平面的实体类型进行匹配,确定所述实体ei所属的网域平面(即输出最终的网域平面{ac,ei,bh,st}中的一个);在确定的所述网域平面内,根据知识内容建立连边,具体为:若为《实体ei,关系ri,实体ej》,则建立ei到ej的连边关系ri;若为《实体ei,属性ai,属性值vi》,则建立ei到vi连边关系ai,并存储到网络空间行为知识图谱中。
19.步骤a3:若所述知识结构为《行为体aci,时序关系ti,《环境信息实体eii,状态实体sti,行为实体bhi,其他实体xi》》,则认为当前进入的知识为行为知识,按照行为知识表征方式将其增加至网络空间行为知识图谱中;作为一种可实施方式,所述按照行为知识表征方式将其增加至网络空间行为知识图谱中,具体包括:分别以行为体aci、环境信息实体eii、状态实体sti、行为实体bhi为匹配对象,在各自对应的网域平面内进行实体匹配;其中,若匹配对象在其对应的网域平面内没有匹配到已有实体,则在所述网域平面内为该匹配对象建立新的实体;根据行为贯穿的多网域实体,建立连接行为体aci、环境信息实体eii、状态实体sti、行为实体bhi和其他实体xi的超边关联关系,并存储到图谱数据库中;其中,所述超边的连边权值中包含所述时序关系ti。
20.步骤a4:按照步骤a2至步骤a3对当前批多层网域平面内的音、视、图、文和交互信息中的每条知识进行处理,直至将所有知识全部增加至网络空间行为知识图谱中;图2为针对一条知识加入知识图谱数据库中的过程。
21.步骤a5:按照步骤a1至步骤a4处理下一批多层网域平面内的音、视、图、文和交互信息,不断更新网络空间行为知识图谱。
22.本发明实施例提供的基于超网络的网络空间行为知识图谱构建方法,首先定义了网络空间行为的多维观测要素:行为体(包括行为主体、行为客体)、时空环境、行为交互、状态等,然后从多维观测要素构成的观测域出发,抽象刻画各域中的实体及关系,构建行为体域、环境信息域、行为域、状态域等可扩展的多层网域平面,接着以行为知识的上述多维观测要素信息为基础,抽取实体和关系,建立域内实体连边和域间的贯穿多节点的超边关联,形成可反映行为发展演化规律的超网络结构的行为知识图谱架构,即行为知识超网络,从而为威胁公害类行为检测发现提供了关联、计算与推理基础。
23.实施例2采用上述实施例提供的网络空间行为知识图谱构建方法,本发明实施例提供一种
网络空间行为知识图谱架构—行为知识超网络,其具体框架如图3所示。该知识图谱架构分为多个可扩展的网域平面,包括行为体域、环境信息域、行为域、状态域、事件域等可扩展的多层网域平面,表示为{ac,ei,bh,st}。
24.本发明实施例构建得到的行为知识图谱架构
‑‑
行为知识超网络,依各个维度的观测要素构成多层观测域平面,包括行为体域、环境信息域、行为域、状态域等可扩展的多层网域平面;其中,行为体域(简称ac)涵盖终端号码、账号、网址ip等各种行为体;环境信息域(简称ei)主要包含了各种行为体所处的虚实空间环境和信息,涵盖基础属性、信息载体、内容信息、虚实位置等;行为域(简称bh)主要包含了网络空间的各类行为,涵盖呼叫通信类行为、网络访问类行为、网络社交类行为、金融交互类行为、公害威胁类行为等;状态域(简称st)主要包含了各类网络公害的行为体、信息内容流转及行为的状态。
25.本发明所提网络空间行为知识图谱核心在于利用了超网络进行分层分域进行知识结构的组织,从而形成了多个网域平面的行为知识图谱架构——知识超网络;本发明构建得到的知识图谱架构涵盖了通用知识和行为知识,既有三元组也有多元组结构,包含了行为的多个角度观测域(行为体、环境信息、行为交互、状态等);其中,行为知识《行为体aci,时序关系ti,《环境信息实体eii,状态实体sti,行为实体bhi,其他实体xi》》,为多元组结构,连接关系形成的边可以贯穿多个域的多个实体节点。
26.本发明突破了传统知识图谱三元组结构和通用知识组织模式,以超网络多层、多维特点提出了一种基于超网络的网络空间行为知识图谱构建方法及架构,从行为涉及的多个维度的观测域出发,以各个维度的观测域为基础建立基于超网络的知识图谱架构,通过三元组和多元组组合形成全新的知识组织结构容纳高阶结构信息反映多元关系,并以超网络多层网域结构反映不同类型实体及关系结构,可通过超网络的行为知识图谱进行单层网域平面分析和跨域耦合分析,如行为域进行异常行为挖掘、状态域进行传播状态分析,为网络空间跨网域威胁行为发现提供知识表征和分析基础。
27.最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

技术特征:
1.基于超网络的网络空间行为知识图谱构建方法,其特征在于,包括:步骤1:定义网络空间行为的多维观测要素,所述观测要素至少包括行为体、时空环境、行为交互和状态;步骤2:在多维所述观测要素构成的观测域中,抽象刻画各个观测要素及各个观测要素之间的关系以构建得到多层网域平面;其中,每个观测要素对应网域平面中的一个实体;所述网域平面至少包括包含各种行为体的行为体域,包含各种行为体所处的虚实空间环境和信息的环境信息域,以及包含网络空间的各类行为的行为域和包含各类网络公害的行为体、信息内容流转及行为的状态的状态域;步骤3:获取行为知识信息,基于已定义的多维观测要素抽取所述行为知识信息中的实体和实体间关系;基于抽取到的实体和实体间关系,基于已构建的多层网域平面建立同一层网域平面内的各个实体之间的连边关联,以及不同层网域平面之间的超边关联,即可形成超网络结构的网络空间行为知识图谱。2.根据权利要求1所述的基于超网络的网络空间行为知识图谱构建方法,其特征在于,所述行为体包括终端号码、账号和网址ip中的一种或多种。3.根据权利要求1所述的基于超网络的网络空间行为知识图谱构建方法,其特征在于,所述网络空间的各类行为包括通信类行为、网络访问类行为、网络社交类行为、金融交互类行为和公害威胁类行为中的一种或多种。4.根据权利要求1所述的基于超网络的网络空间行为知识图谱构建方法,其特征在于,步骤3具体包括:步骤a1:针对多层网域平面内的音、视、图、文和交互信息中的每条知识进行知识抽取,得到每条知识的知识结构;步骤a2:若所述知识结构为<实体e
i
,关系r
i
,实体e
j
>或<实体e
i
,属性a
i
,属性值v
i
>,则认为进入的当前条知识为通用知识,按照通用知识表征方式将其增加至网络空间行为知识图谱中;步骤a3:若所述知识结构为<行为体ac
i
,时序关系t
i
,<环境信息实体ei
i
,状态实体st
i
,行为实体bh
i
,其他实体x
i
>>,则认为当前进入的知识为行为知识,按照行为知识表征方式将其增加至网络空间行为知识图谱中;步骤a4:按照步骤a2至步骤a3对当前批多层网域平面内的音、视、图、文和交互信息中的每条知识进行处理,直至将所有知识全部增加至网络空间行为知识图谱中;步骤a5:按照步骤a1至步骤a4处理下一批多层网域平面内的音、视、图、文和交互信息,不断更新网络空间行为知识图谱。5.根据权利要求4所述的基于超网络的网络空间行为知识图谱构建方法,其特征在于,所述按照通用知识表征方式将其增加至网络空间行为知识图谱中,具体包括:以实体e
i
为匹配对象,分别将其与各个网域平面的实体类型进行匹配,确定所述实体e
i
所属的网域平面;在确定的所述网域平面内,根据知识内容建立连边,具体为:若为<实体e
i
,关系r
i
,实体e
j
>,则建立e
i
到e
j
的连边关系r
i
;若为<实体e
i
,属性a
i
,属性值v
i
>,则建立e
i
到v
i
连边关系a
i
,并存储到网络空间行为知识图谱中。6.根据权利要求4所述的基于超网络的网络空间行为知识图谱构建方法,其特征在于,
所述按照行为知识表征方式将其增加至网络空间行为知识图谱中,具体包括:分别以行为体ac
i
、环境信息实体ei
i
、状态实体st
i
、行为实体bh
i
为匹配对象,在各自对应的网域平面内进行实体匹配;其中,若匹配对象在其对应的网域平面内没有匹配到已有实体,则在所述网域平面内为该匹配对象建立新的实体;根据行为贯穿的多网域实体,建立连接行为体ac
i
、环境信息实体ei
i
、状态实体st
i
、行为实体bh
i
和其他实体x
i
的超边关联关系,并存储到图谱数据库中;其中,所述超边的连边权值中包含所述时序关系t
i
。7.基于超网络的网络空间行为知识图谱架构,其特征在于,采用权利要求1至6任一所述的基于超网络的网络空间行为知识图谱构建方法构建得到。

技术总结
本发明提供一种基于超网络的网络空间行为知识图谱构建方法及架构。该方法包括:步骤1:定义网络空间行为的多维观测要素;步骤2:在多维所述观测要素构成的观测域中,抽象刻画各个观测要素及各个观测要素之间的关系以构建得到多层网域平面;其中,每个观测要素对应网域平面中的一个实体;步骤3:获取行为知识信息,基于已定义的多维观测要素抽取所述行为知识信息中的实体和实体间关系;基于抽取到的实体和实体间关系,基于已构建的多层网域平面建立同一层网域平面内的各个实体之间的连边关联,以及不同层网域平面之间的超边关联,即可形成超网络结构的网络空间行为知识图谱。本发明为网络威胁发现提供了新的知识图谱架构。明为网络威胁发现提供了新的知识图谱架构。明为网络威胁发现提供了新的知识图谱架构。


技术研发人员:刘树新 陈鸿昶 王凯 李星 李邵梅 王庚润 李英乐 潘菲 巫岚 江昊聪
受保护的技术使用者:中国人民解放军战略支援部队信息工程大学
技术研发日:2022.03.31
技术公布日:2022/7/5
转载请注明原文地址: https://www.8miu.com/read-2466.html

专利

最新回复(0)