基于知识图谱关系推理模型的威胁情报推理方法、装置、电子设备和存储介质与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种基于知识图谱关系推理模型的威胁情报推理方法、装置、电子设备和存储介质。


背景技术：

2.随着网络安全领域的不断发展，有关网络安全的情报信息呈现多样化海量式增长。另一方面，知识图谱是客观世界中不同实体及其之间联系的集合，用三元组及图的结构化形式来呈现数据关系，便于从数据中提取知识，为数据融合、数据推理、数据共享等智能应用赋能。如何从知识图谱中挖掘、发现、推演出相关的隐藏知识或新知识是威胁情报推理研究的重点问题。
3.目前，基于知识图谱嵌入的关系推理方法将知识图谱中的实体和关系映射为嵌入向量，以便于进行特征计算，完成关系推理，具体而言，首先，通过训练知识图谱嵌入模型来对知识图谱中已有信息进行收集、并保存到嵌入向量中；其次，利用保存了已有知识图谱实体和关系信息的实体嵌入关系嵌入对知识图谱进行推理，完成知识图谱关系推理。所以，知识图谱嵌入模型的训练对最终关系推理效果的影响至关重要。模型的训练主要可以分为两部分：打分函数设计、损失函数设计，进一步地基于知识图谱嵌入的关系推理方法，主要可分为3类：张量分解方法、几何方法和深度学习方法，这些方法主要的区别在于采用了不同的打分函数，distmult、transe、conve分别对应以上3类关系推理方法中最常用的打分函数。
4.然而，虽然这些方法取得了很好的关系推理效果，但它们都是基于已有的知识图谱三元组数据，直接学习实体、关系嵌入，没有充分利用知识图谱的结构信息，因此现有技术存在推理准确率低的缺点。与此同时，现有技术在推理时，需要考虑知识图谱中的正向关系和逆向关系，以及需要考虑自连接关系，因此其推理效率较低。


技术实现要素：

5.本技术实施例的目的在于提供一种基于知识图谱关系推理模型的威胁情报推理方法、装置、电子设备和存储介质，用以推理恶意软件的威胁情报，同时，本技术能够提高推理准确率和提高推理效率。
6.第一方面，本发明提供一种基于知识图谱关系推理模型的威胁情报推理方法，所述方法包括：
7.获取针对恶意软件的查询信息并基于所述查询信息确定目标实体和目标关系；
8.将所述目标实体和所述目标关系作为知识图谱关系推理模型的输入，以使所述知识图谱关系推理模型匹配与所述目标实体和所述目标关系相关的若干个候选尾实体和对若干个所述候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个所述候选尾实体的打分结果对若干个候选尾实体排序和使所述知识图谱关系推理模型基于排序结果将
得分最高的候选尾实体作为所述恶意软件的威胁情报分析数据，其中，所述知识图谱关系推理模型包括编码器、distmult解码器和adam优化器，所述知识图谱关系推理模型通过以下训练方式得到：
9.获取恶意软件的知识图谱，其中，所述恶意软件的知识图谱包括若干个三元组，所述三元组包括头实体、尾实体，以及所述头实体与所述尾实体之间的关系，所述头实体流向所述尾实体的正向关系与所述尾实体流向所述头实体的逆向关系相同；
10.初始化所述头实体、所述尾实体，以及所述头实体与所述尾实体之间的关系，得到头实体嵌入向量、尾实体嵌入向量和关系嵌入向量，其中，关系嵌入向量同时为所述正向关系和所述逆向关系的向量表示；
11.基于所述编码器中的消息函数和实体嵌入更新函数更新所述头实体嵌入向量和所述尾实体嵌入向量；
12.基于所述三元组生成训练样本，所述训练样本包括正样本和负样本；
13.基于distmult解码器得到所述正样本的得分和所述负样本的得分；
14.基于所述正样本的得分、所述负样本的得分和二分类交叉熵损失函数、所述adam优化器训练所述知识图谱关系推理模型的参数。
15.本技术第一方面的装置，通过获取针对恶意软件的查询信息并基于所述查询信息确定目标实体和目标关系，进而能够将所述目标实体和所述目标关系作为知识图谱关系推理模型的输入，以使所述知识图谱关系推理模型匹配与所述目标实体和所述目标关系相关的若干个候选尾实体和对若干个所述候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个所述候选尾实体的打分结果对若干个候选尾实体排序和使所述知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为所述恶意软件的威胁情报分析数据，最终实现恶意软件的威胁情报分析。另一方面，在知识图谱关系推理模型的训练过程中，其仅需要关系嵌入向量同时为所述正向关系和所述逆向关系的向量表示，进而在训练时，需要为每个关系定义一个关系嵌入向量，进而可降低关系嵌入向量的数量，从而降低训练的计算量，最终提高推理效率。此外，本技术能够基于所述编码器中的消息函数和实体嵌入更新函数更新所述头实体嵌入向量和所述尾实体嵌入向量，进而使得嵌入向量能从图谱中获得更多的信息，从而提高推理的准确率。
16.在可选的实施方式中，所述实体嵌入更新函数为：
[0017][0018]
其中，u表示所述头实体或所述尾实体，n(u)表示所述头实体的邻居实体关系对组成的集合，或所述尾实体的邻居实体关系对组成的集合，(v,r)表示邻居实体关系对组成的集合中的一个邻居实体关系对，v表示头实体或尾实体的邻居实体，表示邻居消息聚合时的加权系数，其中,和分别表示实体u和v的邻居实体关系对集合的大小，σ(
·
)表示非线性激活函数，m(ev,er)表示所述消息函数。
[0019]
本可选的实施方式通过上述实体嵌入更新函数，能够更新所述头实体嵌入向量和所述尾实体嵌入向量。同时，该实体嵌入更新函数能够通过加权平均的方式直接聚合来自所有邻居实体的消息，进而更新的实体嵌入向量，而不需先基于转换矩阵对消息进行转换，
从而降低了模型复杂性。相比而言，现有技术在聚合邻居实体的消息前，需要先基于转换矩阵对消息进行转换，这一步骤增加了模型复杂性。
[0020]
在可选的实施方式中，当消息从所述头实体流向所述尾实体时，所述消息函数为：
[0021]
m(eh，er)＝eh⊙er
；
[0022]
其中，所述eh表示所述头实体嵌入向量，er表示关系嵌入向量；
[0023]
当消息从尾实体流向所述头实体时，所述消息函数为：
[0024]
m(e
t
，er)＝e
t
⊙er
；
[0025]
其中，e
t
表示所述尾实体嵌入向量。
[0026]
本可选的实施方式能够使两个方向的信息流动均通过实体嵌入向量和关系嵌入向量的hadamard积
⊙
完成。
[0027]
在可选的实施方式中，所述方法还包括：删除所述恶意软件的知识图谱中的自连接关系。
[0028]
本可选的实施方式能够通过删除所述恶意软件的知识图谱中的自连接关系，避免定义自连接关系对应的关系嵌入向量，从而能够进一步降低需要考虑的关系嵌入向量的数量，从而提高推理效率。
[0029]
第二方面，本发明提供一种基于知识图谱关系推理模型的威胁情报推理装置，所述装置包括：
[0030]
获取模块，用于获取针对恶意软件的查询信息并基于所述查询信息确定目标实体和目标关系；
[0031]
预测模块，用于将所述目标实体和所述目标关系作为知识图谱关系推理模型的输入，以使所述知识图谱关系推理模型匹配与所述目标实体和所述目标关系相关的若干个候选尾实体和对若干个所述候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个所述候选尾实体的打分结果对若干个候选尾实体排序和使所述知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为所述恶意软件的威胁情报分析数据，其中，所述知识图谱关系推理模型包括编码器、distmult解码器和adam优化器，所述知识图谱关系推理模型通过以下训练模块得到，其中，所述训练模块用于：
[0032]
获取恶意软件的知识图谱，其中，所述恶意软件的知识图谱包括若干个三元组，所述三元组包括头实体、尾实体，以及所述头实体与所述尾实体之间的关系，所述头实体流向所述尾实体的正向关系与所述尾实体流向所述头实体的逆向关系相同；
[0033]
初始化所述头实体、所述尾实体，以及所述头实体与所述尾实体之间的关系，得到头实体嵌入向量、尾实体嵌入向量和关系嵌入向量，其中，关系嵌入向量同时为所述正向关系和所述逆向关系的向量表示；
[0034]
基于所述编码器中的消息函数和实体嵌入更新函数更新所述头实体嵌入向量和所述尾实体嵌入向量；
[0035]
基于所述三元组生成训练样本，所述训练样本包括正样本和负样本；
[0036]
基于distmult解码器得到所述正样本的得分和所述负样本的得分；
[0037]
基于所述正样本的得分、所述负样本的得分和二分类交叉熵损失函数、所述adam优化器训练所述知识图谱关系推理模型的参数。
[0038]
本技术第一方面的方法，通过获取针对恶意软件的查询信息并基于所述查询信息
确定目标实体和目标关系，进而能够将所述目标实体和所述目标关系作为知识图谱关系推理模型的输入，以使所述知识图谱关系推理模型匹配与所述目标实体和所述目标关系相关的若干个候选尾实体和对若干个所述候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个所述候选尾实体的打分结果对若干个候选尾实体排序和使所述知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为所述恶意软件的威胁情报分析数据，最终实现恶意软件的威胁情报分析。另一方面，在知识图谱关系推理模型的训练过程中，其仅需要关系嵌入向量同时为所述正向关系和所述逆向关系的向量表示，进而在训练时，需要为每个关系定义一个关系嵌入向量，进而可降低关系嵌入向量的数量，从而降低训练的计算量，最终提高推理效率。此外，本技术能够基于所述编码器中的消息函数和实体嵌入更新函数更新所述头实体嵌入向量和所述尾实体嵌入向量，进而使得嵌入向量能从图谱中获得更多的信息，从而提高推理的准确率。
[0039]
在可选的实施方式中，所述实体嵌入更新函数为：
[0040][0041]
其中，u表示所述头实体或所述尾实体，n(u)表示所述头实体的邻居实体关系对组成的集合，或所述尾实体的邻居实体关系对组成的集合，(v,r)表示邻居实体关系对组成的集合中的一个邻居实体关系对，v表示头实体或尾实体的邻居实体，表示邻居消息聚合时的加权系数，其中,和分别表示实体u和v的邻居实体关系对集合的大小，σ(
·
)表示非线性激活函数，m(ev,er)表示所述消息函数。
[0042]
本可选的实施方式通过上述实体嵌入更新函数，能够更新所述头实体嵌入向量和所述尾实体嵌入向量。同时，该实体嵌入更新函数能够通过加权平均的方式直接聚合来自所有邻居实体的消息，进而更新的实体嵌入向量，而不需先基于转换矩阵对消息进行转换，从而降低了模型复杂性。相比而言，现有技术在聚合邻居实体的消息前，需要先基于转换矩阵对消息进行转换，这一步骤增加了模型复杂性。
[0043]
在可选的实施方式中，当消息从所述头实体流向所述尾实体时，所述消息函数为：
[0044]
m(eh，er)＝eh⊙er
；
[0045]
其中，所述eh表示所述头实体嵌入向量，er表示关系嵌入向量；
[0046]
当消息从尾实体流向所述头实体时，所述消息函数为：
[0047]
m(e
t
，er)＝e
t
⊙er
；
[0048]
其中，e
t
表示所述尾实体嵌入向量。
[0049]
本可选的实施方式能够使两个方向的信息流动均通过实体嵌入向量和关系嵌入向量的hadamard积
⊙
完成。
[0050]
在可选的实施方式中，所述方法还包括：删除所述恶意软件的知识图谱中的自连接关系。
[0051]
本可选的实施方式能够通过删除所述恶意软件的知识图谱中的自连接关系，避免定义自连接关系对应的关系嵌入向量，从而能够进一步降低需要考虑的关系嵌入向量的数量，从而提高推理效率。
[0052]
第三方面，本发明提供一种电子设备，包括：
[0053]
处理器；以及
[0054]
存储器，配置用于存储机器可读指令，所述指令在由所述处理器执行时，执行如前述实施方式任一项所述的基于知识图谱关系推理模型的威胁情报推理方法。
[0055]
本技术第三方面的电子设备通过执行知识图谱关系推理模型的威胁情报推理方法，进而能够获取针对恶意软件的查询信息并基于所述查询信息确定目标实体和目标关系，进而能够将所述目标实体和所述目标关系作为知识图谱关系推理模型的输入，以使所述知识图谱关系推理模型匹配与所述目标实体和所述目标关系相关的若干个候选尾实体和对若干个所述候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个所述候选尾实体的打分结果对若干个候选尾实体排序和使所述知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为所述恶意软件的威胁情报分析数据，最终实现恶意软件的威胁情报分析。另一方面，在知识图谱关系推理模型的训练过程中，其仅需要关系嵌入向量同时为所述正向关系和所述逆向关系的向量表示，进而在训练时，需要为每个关系定义一个关系嵌入向量，进而可降低关系嵌入向量的数量，从而降低训练的计算量，最终提高推理效率。此外，本技术能够基于所述编码器中的消息函数和实体嵌入更新函数更新所述头实体嵌入向量和所述尾实体嵌入向量，进而使得嵌入向量能从图谱中获得更多的信息，从而提高推理的准确率。
[0056]
第四方面，本发明提供一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行如前述实施方式任一项所述的基于知识图谱关系推理模型的威胁情报推理方法。
[0057]
本技术第四方面的存储介质通过执行知识图谱关系推理模型的威胁情报推理方法，进而能够获取针对恶意软件的查询信息并基于所述查询信息确定目标实体和目标关系，进而能够将所述目标实体和所述目标关系作为知识图谱关系推理模型的输入，以使所述知识图谱关系推理模型匹配与所述目标实体和所述目标关系相关的若干个候选尾实体和对若干个所述候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个所述候选尾实体的打分结果对若干个候选尾实体排序和使所述知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为所述恶意软件的威胁情报分析数据，最终实现恶意软件的威胁情报分析。另一方面，在知识图谱关系推理模型的训练过程中，其仅需要关系嵌入向量同时为所述正向关系和所述逆向关系的向量表示，进而在训练时，需要为每个关系定义一个关系嵌入向量，进而可降低关系嵌入向量的数量，从而降低训练的计算量，最终提高推理效率。此外，本技术能够基于所述编码器中的消息函数和实体嵌入更新函数更新所述头实体嵌入向量和所述尾实体嵌入向量，进而使得嵌入向量能从图谱中获得更多的信息，从而提高推理的准确率。
附图说明
[0058]
为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0059]
图1是本技术实施例公开的一种基于知识图谱关系推理模型的威胁情报推理方法
的流程示意图；
[0060]
图2是本技术实施例公开的一种知识图谱关系推理模型的示意图；
[0061]
图3是本技术实施例公开的一种基于知识图谱关系推理模型的威胁情报推理装置的结构示意图；
[0062]
图4是本技术实施例公开的一种电子设备的结构示意图。
具体实施方式
[0063]
下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
[0064]
实施例一
[0065]
请参阅图1，图1是本技术实施例公开的基于知识图谱关系推理模型的威胁情报推理方法的流程示意图。如图1所示，本技术实施例的方法包括以下步骤：
[0066]
101、获取针对恶意软件的查询信息并基于查询信息确定目标实体和目标关系；
[0067]
102、将目标实体和目标关系作为知识图谱关系推理模型的输入，以使知识图谱关系推理模型匹配与目标实体和目标关系相关的若干个候选尾实体和对若干个候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个候选尾实体的打分结果对若干个候选尾实体排序和使知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为恶意软件的威胁情报分析数据，其中，请参阅图2，图2是本技术实施例公开的一种知识图谱关系推理模型的示意图。如图2所示，知识图谱关系推理模型包括编码器、distmult解码器和adam优化器，进一步地，知识图谱关系推理模型通过以下训练方式得到：
[0068]
获取恶意软件的知识图谱，其中，恶意软件的知识图谱包括若干个三元组，三元组包括头实体、尾实体，以及头实体与尾实体之间的关系，头实体流向尾实体的正向关系与尾实体流向头实体的逆向关系相同；
[0069]
初始化头实体、尾实体，以及头实体与尾实体之间的关系，得到头实体嵌入向量、尾实体嵌入向量和关系嵌入向量，其中，关系嵌入向量同时为正向关系和逆向关系的向量表示；
[0070]
基于编码器中的消息函数和实体嵌入更新函数更新头实体嵌入向量和尾实体嵌入向量；
[0071]
基于三元组生成训练样本，训练样本包括正样本和负样本；
[0072]
基于distmult解码器得到正样本的得分和负样本的得分；
[0073]
基于正样本的得分、负样本的得分和二分类交叉熵损失函数、adam优化器训练知识图谱关系推理模型的参数。
[0074]
本技术实施例的方法通过获取针对恶意软件的查询信息并基于查询信息确定目标实体和目标关系，进而能够将目标实体和目标关系作为知识图谱关系推理模型的输入，以使知识图谱关系推理模型匹配与目标实体和目标关系相关的若干个候选尾实体和对若干个候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个候选尾实体的打分结果对若干个候选尾实体排序和使知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为恶意软件的威胁情报分析数据，最终实现恶意软件的威胁情报分析。另一方面，在知识图谱关系推理模型的训练过程中，其仅需要关系嵌入向量同时为正向关系和逆向关系的向量表示，进而在训练时，需要为每个关系定义一个关系嵌入向量，进而可降低关系嵌
入向量的数量，从而降低训练的计算量，最终提高推理效率。此外，本技术能够基于编码器中的消息函数和实体嵌入更新函数更新头实体嵌入向量和尾实体嵌入向量，进而使得嵌入向量能从图谱中获得更多的信息，从而提高推理的准确率。
[0075]
在本技术实施例中，作为一种示例，假设，针对恶意软件的查询信息为“软件a相关的攻击手段”，进而查询信息确定目标实体为“软件a”，目标关系为“相关”。进一步地，恶意软件的威胁情报分析数据可以包括软件a的攻击手段、攻击目标等情报信息。
[0076]
在本技术实施例中，恶意软件可以是安装恶意软件，对此本技术实施例不作限定。
[0077]
在本技术实施例中，恶意软件的知识图谱包括若干个三元组是指恶意软件的知识图谱可以包括至少两个三元组。进一步地，三元组是指恶意软件的知识图谱中两个有关系的实体及这两个实体之间的关系构成的数据，其中，一个实体为头实体，另一个实体为尾实体，即三元组包括头实体、尾实体，以及头实体与尾实体之间的关系。进一步地，在本技术实施例中，由于头实体流向尾实体的正向关系与尾实体流向头实体的逆向关系相，因此在知识图谱上执行消息传递，头实体流向尾实体的正向关系与尾实体流向头实体的逆向关系相同是指在实体信息从有向边的一端流向另一端时经过的是相同的变换，该变换只因两端实体间连接关系的不同而不同，进而只需要为每个关系定义一个关系嵌入向量即可，无需定义某个关系的反向关系嵌入向量，从而减少了关系嵌入向量的数量。
[0078]
在本技术实施例中，基于三元组生成训练样本，训练样本包括正样本和负样本的一种具体方式为：
[0079]
将三元组作为正样本；
[0080]
生成三元组生成负样本，其中，负样本是指不存在于知识图谱中的三元组，例如，存在于知识图谱中的三元组为正样本，其可表示为(h,r,t)，而不存在于知识图谱中的三元组可表示为(h^
′
，r，t)或者(h，r，t^
′
)。
[0081]
在本技术实施例中，基于distmult解码器得到正样本的得分和负样本的得分的一种具体方式为：
[0082]
基于distmult解码器的打分函数为正样本和负样本打分，得到正样本的得分和负样本的得分，其中，distmult解码器的打分函数的表达式为：
[0083][0084]
其中，r是一个对角矩阵，其对角元素为er。
[0085]
在本技术实施例中，二分类交叉熵损失函数的表达式为：
[0086][0087]
其中，s为知识图谱中所有真实三元组的集合，ε为知识图谱中所有实体的集合，y
(h，r，t)
是三元组(h，r，t)的标签。该损失函数将所有不在已知知识图谱中出现的三元组都视为负样本。为防止模型的过拟合，训练过程使用了标签平滑技巧，将标签y
(h，r，t)
平滑到[0，1]之间的小数。
[0088]
在本技术实施例中，作为一种可选的实施方式，实体嵌入更新函数为：
[0089][0090]
其中，u表示所述头实体或所述尾实体，n(u)表示所述头实体的邻居实体关系对组成的集合，或所述尾实体的邻居实体关系对组成的集合，(v，r)表示邻居实体关系对组成的集合中的一个邻居实体关系对，v表示头实体或尾实体的邻居实体，表示邻居消息聚合时的加权系数，其中，和分别表示实体u和v的邻居实体关系对集合的大小，σ(
·
)表示非线性激活函数，m(ev，er)表示所述消息函数。
[0091]
本可选的实施方式通过上述实体嵌入更新函数，能够更新头实体嵌入向量和尾实体嵌入向量。同时，该实体嵌入更新函数能够通过加权平均的方式直接聚合来自所有邻居实体的消息，进而更新的实体嵌入向量，而不需先基于转换矩阵对消息进行转换，从而降低了模型复杂性。相比而言，现有技术在聚合邻居实体的消息前，需要先基于转换矩阵对消息进行转换，这一步骤增加了模型复杂性。
[0092]
在可选的实施方式中，当消息从头实体流向尾实体时，消息函数为：
[0093]
m(eh，er)＝eh⊙er
；
[0094]
其中，eh表示头实体嵌入向量，er表示关系嵌入向量；
[0095]
当消息从尾实体流向头实体时，消息函数为：
[0096]
m(e
t
，er)＝e
t
⊙er
；
[0097]
其中，e
t
表示尾实体嵌入向量。
[0098]
本可选的实施方式能够使两个方向的信息流动均通过实体嵌入向量和关系嵌入向量的hadamard积
⊙
完成。
[0099]
在本技术实施例中，作为一种可选的实施方式，本技术实施例的方法还包括以下步骤：
[0100]
删除恶意软件的知识图谱中的自连接关系。
[0101]
本可选的实施方式能够通过删除恶意软件的知识图谱中的自连接关系，避免定义自连接关系对应的关系嵌入向量，从而能够进一步降低需要考虑的关系嵌入向量的数量，从而提高推理效率。
[0102]
实施例二
[0103]
请参阅图3，图3是本技术实施例公开的一种基于知识图谱关系推理模型的威胁情报推理装置的结构示意图，如图3所述，该装置包括以下功能模块：
[0104]
获取模块201，用于获取针对恶意软件的查询信息并基于查询信息确定目标实体和目标关系；
[0105]
预测模块202，用于将目标实体和目标关系作为知识图谱关系推理模型的输入，以使知识图谱关系推理模型匹配与目标实体和目标关系相关的若干个候选尾实体和对若干个候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个候选尾实体的打分结果对若干个候选尾实体排序和使知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为恶意软件的威胁情报分析数据，其中，知识图谱关系推理模型包括编码器、distmult解码器和adam优化器，知识图谱关系推理模型通过以下训练模块得到，其中，训练
模块用于：
[0106]
获取恶意软件的知识图谱，其中，恶意软件的知识图谱包括若干个三元组，三元组包括头实体、尾实体，以及头实体与尾实体之间的关系，头实体流向尾实体的正向关系与尾实体流向头实体的逆向关系相同；
[0107]
初始化头实体、尾实体，以及头实体与尾实体之间的关系，得到头实体嵌入向量、尾实体嵌入向量和关系嵌入向量，其中，关系嵌入向量同时为正向关系和逆向关系的向量表示；
[0108]
基于编码器中的消息函数和实体嵌入更新函数更新头实体嵌入向量和尾实体嵌入向量；
[0109]
基于三元组生成训练样本，训练样本包括正样本和负样本；
[0110]
基于distmult解码器得到正样本的得分和负样本的得分；
[0111]
基于正样本的得分、负样本的得分和二分类交叉熵损失函数、adam优化器训练知识图谱关系推理模型的参数。
[0112]
本技术实施例的装置通过获取针对恶意软件的查询信息并基于查询信息确定目标实体和目标关系，进而能够将目标实体和目标关系作为知识图谱关系推理模型的输入，以使知识图谱关系推理模型匹配与目标实体和目标关系相关的若干个候选尾实体和对若干个候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个候选尾实体的打分结果对若干个候选尾实体排序和使知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为恶意软件的威胁情报分析数据，最终实现恶意软件的威胁情报分析。另一方面，在知识图谱关系推理模型的训练过程中，其仅需要关系嵌入向量同时为正向关系和逆向关系的向量表示，进而在训练时，需要为每个关系定义一个关系嵌入向量，进而可降低关系嵌入向量的数量，从而降低训练的计算量，最终提高推理效率。此外，本技术能够基于编码器中的消息函数和实体嵌入更新函数更新头实体嵌入向量和尾实体嵌入向量，进而使得嵌入向量能从图谱中获得更多的信息，从而提高推理的准确率。
[0113]
在本技术实施例中，作为一种可选的实施方式，实体嵌入更新函数为：
[0114][0115]
其中，u表示所述头实体或所述尾实体，n(u)表示所述头实体的邻居实体关系对组成的集合，或所述尾实体的邻居实体关系对组成的集合，(v,r)表示邻居实体关系对组成的集合中的一个邻居实体关系对，v表示头实体或尾实体的邻居实体，表示邻居消息聚合时的加权系数，其中，和分别表示实体u和v的邻居实体关系对集合的大小，σ(
·
)表示非线性激活函数，m(ev，er)表示所述消息函数。
[0116]
本可选的实施方式通过上述实体嵌入更新函数，能够更新头实体嵌入向量和尾实体嵌入向量。同时，该实体嵌入更新函数能够通过加权平均的方式直接聚合来自所有邻居实体的消息，进而更新的实体嵌入向量，而不需先基于转换矩阵对消息进行转换，从而降低了模型复杂性。相比而言，现有技术在聚合邻居实体的消息前，需要先基于转换矩阵对消息进行转换，这一步骤增加了模型复杂性。
[0117]
在本技术实施例中，作为一种可选的实施方式，当消息从头实体流向尾实体时，消息函数为：
[0118]
m(eh，er)＝eh⊙er
；
[0119]
其中，eh表示头实体嵌入向量，er表示关系嵌入向量；
[0120]
当消息从尾实体流向头实体时，消息函数为：
[0121]
m(e
t
，er)＝e
t
⊙er
；
[0122]
其中，e
t
表示尾实体嵌入向量。
[0123]
本可选的实施方式能够使两个方向的信息流动均通过实体嵌入向量和关系嵌入向量的hadamard积
⊙
完成。
[0124]
在本技术实施例中，作为一种可选的实施方式，本技术实施例的装置还包括：
[0125]
删除模块，用于删除恶意软件的知识图谱中的自连接关系。
[0126]
本可选的实施方式能够通过删除恶意软件的知识图谱中的自连接关系，避免定义自连接关系对应的关系嵌入向量，从而能够进一步降低需要考虑的关系嵌入向量的数量，从而提高推理效率。
[0127]
实施例三
[0128]
请参阅图4，图4是本技术实施例公开的一种电子设备的结构示意图。如图4所示，本技术实施例的电子设备包括
[0129]
处理器301；以及
[0130]
存储器302，配置用于存储机器可读指令，指令在由处理器301执行时，执行如前述实施方式任一项的基于知识图谱关系推理模型的威胁情报推理方法。
[0131]
本技术实施例的电子设备通过执行知识图谱关系推理模型的威胁情报推理方法，进而能够获取针对恶意软件的查询信息并基于查询信息确定目标实体和目标关系，进而能够将目标实体和目标关系作为知识图谱关系推理模型的输入，以使知识图谱关系推理模型匹配与目标实体和目标关系相关的若干个候选尾实体和对若干个候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个候选尾实体的打分结果对若干个候选尾实体排序和使知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为恶意软件的威胁情报分析数据，最终实现恶意软件的威胁情报分析。另一方面，在知识图谱关系推理模型的训练过程中，其仅需要关系嵌入向量同时为正向关系和逆向关系的向量表示，进而在训练时，需要为每个关系定义一个关系嵌入向量，进而可降低关系嵌入向量的数量，从而降低训练的计算量，最终提高推理效率。此外，本技术能够基于编码器中的消息函数和实体嵌入更新函数更新头实体嵌入向量和尾实体嵌入向量，进而使得嵌入向量能从图谱中获得更多的信息，从而提高推理的准确率。
[0132]
实施例四
[0133]
本技术实施例提供一种存储介质，存储介质存储有计算机程序，计算机程序被处理器执行如前述实施方式任一项的基于知识图谱关系推理模型的威胁情报推理方法。
[0134]
本技术实施例的存储介质通过执行知识图谱关系推理模型的威胁情报推理方法，进而能够获取针对恶意软件的查询信息并基于查询信息确定目标实体和目标关系，进而能够将目标实体和目标关系作为知识图谱关系推理模型的输入，以使知识图谱关系推理模型匹配与目标实体和目标关系相关的若干个候选尾实体和对若干个候选尾实体进行打分，以
及使知识图谱关系推理模型基于若干个候选尾实体的打分结果对若干个候选尾实体排序和使知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为恶意软件的威胁情报分析数据，最终实现恶意软件的威胁情报分析。另一方面，在知识图谱关系推理模型的训练过程中，其仅需要关系嵌入向量同时为正向关系和逆向关系的向量表示，进而在训练时，需要为每个关系定义一个关系嵌入向量，进而可降低关系嵌入向量的数量，从而降低训练的计算量，最终提高推理效率。此外，本技术能够基于编码器中的消息函数和实体嵌入更新函数更新头实体嵌入向量和尾实体嵌入向量，进而使得嵌入向量能从图谱中获得更多的信息，从而提高推理的准确率。
[0135]
在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0136]
另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0137]
再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
[0138]
需要说明的是，功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
[0139]
在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
[0140]
以上仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。

技术特征：
1.一种基于知识图谱关系推理模型的威胁情报推理方法，其特征在于，所述方法包括：获取针对恶意软件的查询信息并基于所述查询信息确定目标实体和目标关系；将所述目标实体和所述目标关系作为知识图谱关系推理模型的输入，以使所述知识图谱关系推理模型匹配与所述目标实体和所述目标关系相关的若干个候选尾实体和对若干个所述候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个所述候选尾实体的打分结果对若干个候选尾实体排序和使所述知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为所述恶意软件的威胁情报分析数据，其中，所述知识图谱关系推理模型包括编码器、distmult解码器和adam优化器，所述知识图谱关系推理模型通过以下训练方式得到：获取恶意软件的知识图谱，其中，所述恶意软件的知识图谱包括若干个三元组，所述三元组包括头实体、尾实体，以及所述头实体与所述尾实体之间的关系，所述头实体流向所述尾实体的正向关系与所述尾实体流向所述头实体的逆向关系相同；初始化所述头实体、所述尾实体，以及所述头实体与所述尾实体之间的关系，得到头实体嵌入向量、尾实体嵌入向量和关系嵌入向量，其中，关系嵌入向量同时为所述正向关系和所述逆向关系的向量表示；基于所述编码器中的消息函数和实体嵌入更新函数更新所述头实体嵌入向量和所述尾实体嵌入向量；基于所述三元组生成训练样本，所述训练样本包括正样本和负样本；基于distmult解码器得到所述正样本的得分和所述负样本的得分；基于所述正样本的得分、所述负样本的得分和二分类交叉熵损失函数、所述adam优化器训练所述知识图谱关系推理模型的参数。2.如权利要求1所述的方法，其特征在于，所述实体嵌入更新函数为：其中，u表示所述头实体或所述尾实体，n(u)表示所述头实体的邻居实体关系对组成的集合，或所述尾实体的邻居实体关系对组成的集合，(v,r)表示邻居实体关系对组成的集合中的一个邻居实体关系对，v表示头实体或尾实体的邻居实体，表示邻居消息聚合时的加权系数，其中,和分别表示实体u和v的邻居实体关系对集合的大小，σ(
…
)表示非线性激活函数，m(e
v
,e
r
)表示所述消息函数。3.如权利要求2所述的方法，其特征在于，当消息从所述头实体流向所述尾实体时，所述消息函数为：m(e
h
,e
r
)＝e
h
⊙
e
r
；其中，所述e
h
表示所述头实体嵌入向量，e
r
表示关系嵌入向量；当消息从尾实体流向所述头实体时，所述消息函数为：m(e
t
,e
r
)＝e
t
⊙
e
r
；其中，e
t
表示所述尾实体嵌入向量。4.如权利要求1所述的方法，其特征在于，所述方法还包括：
删除所述恶意软件的知识图谱中的自连接关系。5.一种基于知识图谱关系推理模型的威胁情报推理装置，其特征在于，所述装置包括：获取模块，用于获取针对恶意软件的查询信息并基于所述查询信息确定目标实体和目标关系；预测模块，用于将所述目标实体和所述目标关系作为知识图谱关系推理模型的输入，以使所述知识图谱关系推理模型匹配与所述目标实体和所述目标关系相关的若干个候选尾实体和对若干个所述候选尾实体进行打分，以及使知识图谱关系推理模型基于若干个所述候选尾实体的打分结果对若干个候选尾实体排序和使所述知识图谱关系推理模型基于排序结果将得分最高的候选尾实体作为所述恶意软件的威胁情报分析数据，其中，所述知识图谱关系推理模型包括编码器、distmult解码器和adam优化器，所述知识图谱关系推理模型通过以下训练模块得到，其中，所述训练模块用于：获取恶意软件的知识图谱，其中，所述恶意软件的知识图谱包括若干个三元组，所述三元组包括头实体、尾实体，以及所述头实体与所述尾实体之间的关系，所述头实体流向所述尾实体的正向关系与所述尾实体流向所述头实体的逆向关系相同；初始化所述头实体、所述尾实体，以及所述头实体与所述尾实体之间的关系，得到头实体嵌入向量、尾实体嵌入向量和关系嵌入向量，其中，关系嵌入向量同时为所述正向关系和所述逆向关系的向量表示；基于所述编码器中的消息函数和实体嵌入更新函数更新所述头实体嵌入向量和所述尾实体嵌入向量；基于所述三元组生成训练样本，所述训练样本包括正样本和负样本；基于distmult解码器得到所述正样本的得分和所述负样本的得分；基于所述正样本的得分、所述负样本的得分和二分类交叉熵损失函数、所述adam优化器训练所述知识图谱关系推理模型的参数。6.如权利要求5所述的装置，其特征在于，所述实体嵌入更新函数为：其中，u表示所述头实体或所述尾实体，n(u)表示所述头实体的邻居实体关系对组成的集合，或所述尾实体的邻居实体关系对组成的集合，(v,r)表示邻居实体关系对组成的集合中的一个邻居实体关系对，v表示头实体或尾实体的邻居实体，表示邻居消息聚合时的加权系数，其中,和分别表示实体u和v的邻居实体关系对集合的大小，σ(
·
)表示非线性激活函数，m(e
v
,e
r
)表示所述消息函数。7.如权利要求6所述的装置，其特征在于，当消息从所述头实体流向所述尾实体时，所述消息函数为：m(e
h
,e
r
)＝e
h
⊙
e
r
；其中，所述e
h
表示所述头实体嵌入向量，e
r
表示关系嵌入向量；当消息从尾实体流向所述头实体时，所述消息函数为：m(e
t
,e
r
)＝e
t
⊙
e
r
；其中，e
t
表示所述尾实体嵌入向量。
8.如权利要求5所述的装置，其特征在于，所述装置还包括：删除模块，用于删除所述恶意软件的知识图谱中的自连接关系。9.一种电子设备，其特征在于，包括：处理器；以及存储器，配置用于存储机器可读指令，所述指令在由所述处理器执行时，执行如权利要求1-4任一项所述的基于知识图谱关系推理模型的威胁情报推理方法。10.一种存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序被处理器执行如权利要求1-4任一项所述的基于知识图谱关系推理模型的威胁情报推理方法。

技术总结
本申请提供一种基于知识图谱关系推理模型的威胁情报推理方法、装置、电子设备和存储介质，其中，基于知识图谱关系推理模型的威胁情报推理方法包括：获取针对恶意软件的查询信息并基于所述查询信息确定目标实体和目标关系；将所述目标实体和所述目标关系作为知识图谱关系推理模型的输入等步骤。本申请实施例能够推理恶意软件的威胁情报，同时，本申请能够提高推理准确率和提高推理效率。提高推理准确率和提高推理效率。提高推理准确率和提高推理效率。


技术研发人员：龚开奇 宋晓 李娇
受保护的技术使用者：北京天融信网络安全技术有限公司
技术研发日：2023.07.21
技术公布日：2023/10/15