(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211083553.9 (22)申请日 2022.09.06 (65)同一申请的已公布的文献号 申请公布号 CN 115146299 A (43)申请公布日 2022.10.04 (73)专利权人 南京众智维信息科技有限公司 地址 211300 江苏省南京市高淳区龙井路3 号 (72)发明人 孙捷　车洵　梁小川　胡牧　金奎　 孙翰墨　程佳　 (74)专利代理 机构 南京知识律师事务所 32 207 专利代理师 张苏沛 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/55(2013.01)G06F 16/36(2019.01) G06N 3/04(2006.01) G06N 3/08(2006.01) G06N 5/04(2006.01) (56)对比文件 CN 112231489 A,2021.01.15 CN 114491541 A,202 2.05.13 CN 112883200 A,2021.0 6.01 CN 111522965 A,2020.08.1 1 审查员 李佳曦 (54)发明名称 一种基于知识图谱和域适应的安全托管服 务方法 (57)摘要 本发明公开了一种基于知识图谱和域适应 的安全托管服务方法， 包括步骤： 将准备的网络 应急响应知识图谱集合， 输入至知识图谱冗余处 理模块中， 去除不同知识图谱中的冗余特征， 提 取高相关性的特征， 处理后作为服务器端的源 域； 在服务器端使用源域对网络安全事件推理模 型进行训练， 将训练好的网络安全事件推理模型 的参数广播至各个客户端； 每个客户端将网络安 全日志文件作为目标域， 对于不同的客户端构建 不同的源域 ‑目标域对， 并训练客户端的网络安 全事件推理模 型； 客户端的网络安全事件推理模 型训练完成后， 客户端将本地的网络安全事件推 理模型中强化推理模块的参数上传至服务器端； 本方法具有有效提高网络安全事件处理效率的 特点。 权利要求书5页 说明书11页 附图2页 CN 115146299 B 2022.12.09 CN 115146299 B 1.一种基于知识图谱和域 适应的安全托管服 务方法， 其特 征在于， 包括以下步骤： S1： 准备网络应急响应知识图谱集合， 输入至知识图谱冗余处理模块中， 知识图谱冗余 处理模块通过具有自适应特征选择 的图胶囊神经网络， 去除不同知识图谱中的冗余特征， 提取高相关性的特征， 并将网络应急响应知识图谱集合融合为一个新的特征集合作为服务 器端的源域； S2： 在服务器端使用源域对网络安全事件推理模型进行训练， 网络安全事件推理模型 采用子胶囊 对源域中的特 征进行编码， 并且通过局部 重建模块加强编码后的语义信息； S3： 将若干个子胶囊组装成部件胶囊输入至推理模块进行解码， 推理模块通过解码语 义信息生成网络安全应急响应预案， 并将训练好的网络安全事件推理模型的参数广播至各 个客户端； S4： 每个客户端将网络安全日志文件作为目标域， 对于不同的客户端构建不同的源域 ‑ 目标域对， 并训练客户端的网络安全事件推理模型， 每个客户端的网络安全事件推理模型 在推理时， 增加 一个强化推理模块， 并根据强化推理模块结果选择合适的网络安全应急响 应预案； S5： 客户端的网络安全事件推理模型训练完成后， 客户端将本地的网络安全事件推理 模型中强化推理模块的参数 上传至服 务器端； 所述S1还 包括以下步骤： S101： 给定网络应急响应知识图谱集合， 记为SN， 对于SN中的第一个知识图谱S1， 进行知 识图谱内部的特征冗余处理和相关性特征选择， 对知识图谱S1中第p层的节点a和节点b分 别构建节点胶囊 和 S102： 通过胶囊图神经网络的特征映射层计算出节点a和节点b的特征映射向量 表 达式为： 其中， 表示第p层节点a的第i个邻居节点的节点胶囊， m表示节点a邻居节点个数， 当 i＝0时表示节点a自身的节点胶囊， 表示第p层节点b的第j个邻居节点的节点胶囊， n是 节点b邻居节点个数， 当j＝0时表示节点b自身的节点胶囊， MLP是多层感知机； 用互信息函数 Kinfo度量两个节点胶囊的相关性， 表达式为： 其中， 表示 的转置， 表示 的转置， exp表示以自然常数e为底数的指数 函数； S103： 对知 识图谱S1中同一层中任 意两个节点执行S102步骤， 对每层中节点特征映射进权　利　要　求　书 1/5 页 2 CN 115146299 B 2行自适应选择， 去除层与层之间的高冗余的特征映射， 直至所有层都被计算， 得到压缩后的 S1中节点特 征映射集合 表达式为： 其中fr表示第r层的特征映射集合， fs表示第s层的特征映射集合， softmax表示归一化 指数函数； S104： 对于SN中的其余知识图谱循环S102至S103步骤， 得到全部的知 识图谱的特征映射 集合FS, 将FS作为源域用于训练服务器端的网络安全事件推理模 型； 所述S2包括 步骤： S201： 服务器端的网络安全事件推理模型采用两个基于自注意机制的胶囊编码器， 对 源域中的 进行编码， 生成两个子胶囊 和 表达式为： 其中Encoderkey是键胶囊特征提取器， 由残差网络 ‑50组成， Encodervalue是值胶囊特征 提取器， 由残差网络 ‑50组成； S202： 使用局部重建模块对两个子胶囊进行特征重建， 用于丰富的语义信息， 表达式 为： 其中 分别表示特征重建后的键胶囊和值胶囊， τ、 μ表示特征重建向 量， 由客户端的网络安全 事件推理模型在训练时自动学习得来。 2.根据权利要求1所述的基于知识图谱和域适应的安全托管服务方法， 其特征在于， 所 述S3还包括以下步骤： S301： 将子胶囊的输出 特征通过组装成为部件胶囊， 表达式为： 其中， 表示源域中的 产生的部件胶囊， 表示两个权重参 数， 由客户端的网络安全事件推理模型在训练时自动学习得来， 用于控制 键胶囊和 值胶囊 在特征中所占权 重； S302： 对源 域FS中其余子集执行S201、 S202、 S301步骤， 将部件胶囊拼接在一起后输入至权　利　要　求　书 2/5 页 3 CN 115146299 B 3