(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210740373.7 (22)申请日 2022.06.28 (71)申请人 国网上海市电力公司 地址 200122 上海市浦东 新区源深路1 122 号 申请人 南京南瑞信息通信科技有限公司 　 国网电力科 学研究院有限公司 (72)发明人 王治华　金明辉　犹锋　魏兴慎　 周剑　刘苇　朱世顺　祁龙云　 王梓　高鹏　曹永健　吴超　 田秋涵　朱溢铭　马增洲　张浩天　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 母秋松(51)Int.Cl. G06F 16/36(2019.01) G06F 16/35(2019.01) G06F 16/335(2019.01) G06F 16/31(2019.01) G06Q 50/06(2012.01) (54)发明名称 一种基于知识图谱的电力监控系统处理方 法及装置 (57)摘要 本发明公开了一种基于知识图谱的电力监 控系统处理方法及装置， 根据电力监控系统的数 据分类， 获取电力监控系统的安全数据； 对电力 监控系统的安全 数据进行数据处理， 生成三元组 安全数据； 对三元组安全数据进行知识融合处 理， 生成对安全数据的完整描述知识； 基于对安 全数据的完整描述知识， 构建电力监控系统的知 识图谱； 根据电力监控系统的知识图谱， 进行知 识计算， 获取安全数据的标签， 根据标签生成安 全数据画像。 本发明有效地分析电力监控系统中 的行为数据， 构建知识图谱并进行高效存储， 利 用知识图谱构建客体画像， 有助于深度挖掘攻击 行为和威胁风险。 权利要求书2页 说明书8页 附图3页 CN 115168604 A 2022.10.11 CN 115168604 A 1.一种基于知识图谱的电力监控系统 处理方法， 其特 征在于： 包括如下步骤： 根据电力监控系统的数据分类， 获取电力监控系统的历史安全数据； 对电力监控系统的历史安全数据进行 数据处理， 生成三元组安全数据； 对三元组安全数据进行知识融合处 理， 生成对历史安全数据的完整 描述知识； 基于完整描述知识， 构建电力监控系统的知识图谱； 根据电力监控系统 的知识图谱， 进行知识计算， 获取待处理安全数据的标签， 根据标签 生成安全数据画像。 2.根据权利要求1所述的一种基于知识图谱的电力监控系统 处理方法， 其特 征在于： 还包括： 通过图查询语法对安全数据画像进行查询， 获取异常行为、 异常实体， 并对异 常行为、 异常实体进行 可视化展示。 3.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法， 其特征在于： 所 述电力监控系统的数据分类， 包括原 始采集项、 异常采集项。 4.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法， 其特征在于： 所 述根据电力监控系统的数据分类， 获取电力监控系统的历史安全数据， 包括： AGENT利用监视方式获取原始采集项 的数据， 至少包括以下其中之一， 进程信息、 网络 信息、 日志信息、 文件完整性和访问行为信息、 外设信息、 自动运行信息、 软件信息、 硬件信 息、 服务信息、 会话信息和用户信息； AGENT利用威胁分析模块获取异常采集项 的数据， 至少包括以下其中之一， 资源异常、 账号变更、 权限变更、 关键目录异常、 启动项异常、 可疑文件、 可疑进程启动、 可疑服务注册、 安装可疑软件。 5.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法， 其特征在于： 所 述对电力监控系统的历史安全数据进行 数据处理， 生成三元组安全数据， 包括： 根据原始采集项的数据的数据关系转换成RDF 数据； 根据异常采集项的数据， 获取其异常规则， 根据异常规则进行关系抽取， 将关系抽取后 的异常规则转换成RDF 数据， 将RDF 数据作为 三元组安全数据。 6.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法， 其特征在于： 所 述对三元组安全数据进行知识融合处 理， 生成对历史安全数据的完整 描述知识， 包括： 对三元组安全数据进行数据整合处理， 生成与三元组安全数据对应的完整数据描述， 对三元组安全数据的完整数据描述， 进行实体对齐处理和属 性对齐处理， 生成标准知识表 示， 对标准知识 表示进行 数据融合处 理， 生成对历史安全数据的完整 描述知识。 7.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法， 其特征在于： 所 述基于对历史安全数据的完整 描述知识， 构建电力监控系统的知识图谱， 包括： 基于对历史安全数据的完整描述知识， 确定与三元组安全数据对应的安全数据信息 库， 再将安全数据信息库中数据采用Neo 4j结构保存为电力监控系统的知识图谱； 所述安全数据信息库以j son文件的形式进行存储， j son文件包括根节点、 根节点属性， 所述根节点采用圆角矩形框的形式， 圆角矩形框内设置有数据对 象中的类； 根节点通过直 线连接与数据对象相关的根节点或者本根节点属性； 所述Neo4j结构包括节点、 边、 节点与节点的关系， 其中， 节点包括： “Graph”  客体画像、 “Nodes”节点主体、 “Relationships ”节点关系、 “Properties ”属性， 节点之间通过边相 连权　利　要　求　书 1/2 页 2 CN 115168604 A 2接， 边上显示有节点与节点的关系， 包括： “records”记录、“organize”组织、“have”属于。 8.根据权利要求1所述的一种基于知识图谱的电力监控系统处理方法， 其特征在于： 所 述根据电力监控系统的知识图谱， 进 行知识计算， 获取待处理安全数据的标签， 根据标签生 成安全数据画像， 包括： 根据电力监控系统 的知识图谱， 进行知识计算， 获取待处理安全数据的标签， 所述知识 计算包括相似度计算和关联分析； 所述安全数据画像G=(V， E)， 其中V表示点集， E表示边集； 安全数据画像G包括如下性 质： 1） 对任意节点n∈V， n有唯一id， n表示安全数据的对象， 有若干条出边， 有若干条入边， 有若干个属性， 其中每 个属性都是一个key ‑value对； 2） 对任意边e∈E， e有唯一id， e表示安全数据的对象之间有关联， 有唯一头节点， 有唯 一尾节点， 边上显示有唯一的标签， 标签有若干个属性， 其中每个属性都是一个key ‑value 对。 9.一种基于知识图谱的电力监控系统 处理装置， 其特 征在于： 包括如下模块： 安全数据获取模块： 用于根据电力监控系统的数据分类， 获取电力监控系统的历史安 全数据； 三元组生成模块： 用于对电力监控系统的历史安全数据进行数据处理， 生成三元组安 全数据； 完整描述知识生成模块： 用于对三元组安全数据进行知识融合处理， 生成对历史安全 数据的完整 描述知识； 知识图谱构建模块： 用于基于 完整描述知识， 构建电力监控系统的知识图谱； 安全数据画像生成模块： 用于根据电力监控系统的知识图谱， 进行知识计算， 获取待处 理安全数据的标签， 根据标签生成安全数据画像。 10.一种基于知识图谱的电力监控系统处理系统， 其特征在于： 包括网络接口、 存储器 和处理器， 其中： 网络接口用于在与其它外 部网元之间进行收发信息过程中， 信号的接收和发送； 存储器用于存 储能够在所述处 理器上运行的计算机程序指令； 处理器用于在运行所述计算机程序指令时， 执行权利要求1至8任一项所述的基于知识 图谱的电力监控系统 处理方法的步骤。 11.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器 执行时， 实现如权利要求1 ‑8中任一所述的基于知识图谱的电力监控系统 处理方法。权　利　要　求　书 2/2 页 3 CN 115168604 A 3