(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111642473.8 (22)申请日 2021.12.2 9 (71)申请人 湖北天融信网络安全技 术有限公司 地址 430040 湖北省武汉市临 空港经济技 术开发区五环大道6 66号(21) 申请人 北京天融信网络安全技 术有限公司 　 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 艾冲　周晓阳　王卓　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. G06F 16/36(2019.01) G06F 16/35(2019.01)G06K 9/62(2022.01) (54)发明名称 一种审计方法、 装置及电子设备 (57)摘要 本申请提供一种审计方法、 装置及电子设 备。 该方法包括： 获取预先构建的知识图谱； 其 中， 知识图谱由多条数据组构建而成， 每个数据 组包括两个网络实体及该两个网络实体之间的 关系； 接收用户发起的违规行为查询指令， 基于 违规行为查询指令从知 识图谱中获取审计结果。 在本申请实施例中， 可以预先构建知识图谱， 由 于知识图谱中包括网络中的各个网络实体之间 的关系， 因此， 可 以基于用户发起的违规行为查 询指令从知识图谱中获取审计结果。 通过该方 式， 可以规避掉审计规则与 审计模型之间转换困 难的问题， 且在构建完知识图谱后， 可 以直接根 据用户的不同的违规行为 查询要求， 进行审计 。 权利要求书2页 说明书9页 附图2页 CN 114297406 A 2022.04.08 CN 114297406 A 1.一种审计方法， 其特 征在于， 包括： 获取预先构建的知识图谱； 其中， 所述知识图谱由多条数据组构建而成， 每个数据组包 括两个网络实体及该两个网络实体之间的关系； 接收用户发起的违规行为查询 指令， 基于所述违规行为查询指令从所述知识图谱中获 取审计结果。 2.根据权利要求1所述的方法， 其特 征在于， 通过如下步骤构建所述知识图谱， 包括： 获取网络数据； 提取所述网络数据中的网络实体与关系， 生成所述多条 数据组； 将所述多条 数据组写入图形 数据库中； 基于所述图形 数据库构建所述知识图谱。 3.根据权利要求2所述的方法， 其特征在于， 所述网络数据包括基础数据以及日志数 据； 所述基础数据为静态属性的数据； 相应的， 所述 提取所述网络数据中的网络实体与关系， 生成多条 数据组， 包括： 提取所述基础数据中的网络实体与关系， 生成多条第一数据组； 对所述日志数据进行聚类和/或分类处 理， 以得到处 理后的日志数据； 提取所述处理后的日志数据中的网络实体与关系， 生成多条第二数据组； 其中， 所述多 条数据组包括所述多条第一数据组及所述多条第二数据组。 4.根据权利要求2所述的方法， 其特征在于， 所述提取所述网络数据中的网络实体与关 系， 生成多条 数据组， 包括： 对所述网络数据进行 结构化； 提取结构化后的网络数据中的网络实体与关系， 生成多条 数据组。 5.根据权利要求2所述的方法， 其特征在于， 每条数据组分别包括源 网络实体及目的网 络实体， 所述源网络实体包括属性信息， 针对每一条数据组， 将该条数据组写入图形数据库 中， 包括： 基于该条数据组的源网络实体的属性信息， 确定出 该条数据组的标识； 在所述图形 数据库中查找是否已存在所述标识； 若存在， 则 基于该条数据组对所述图形数据库中与所述标识对应的网络实体进行数据 更新； 若不存在， 则直接将该 条数据组写入所述图形 数据库。 6.根据权利要求2所述的方法， 其特征在于， 在所述将所述多条数据组写入图形数据库 中之后， 所述方法还 包括： 向所述图形数据库发送预设的规则命令， 以触发所述图形数据库基于所述多条数据组 之间的关系扩充网络实体之间的关系。 7.根据权利要求1所述的方法， 其特征在于， 所述接收用户发起的违规行为查询指令， 基于所述违规行为 查询指令从所述知识图谱中获取审计结果， 包括： 基于所述用户配置的审计规则建立审计模型； 其中， 所述审计规则配置有待查询网络 实体的违规行为； 基于所述审计模型发起的与所述待查询网络实体的违规行为对应的违规行为查询指 令， 从所述知识图谱中获取 所述审计结果。权　利　要　求　书 1/2 页 2 CN 114297406 A 28.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 获取最新的网络数据； 提取所述最新的网络数据中的网络实体与关系， 生成多条第 三数据组； 其中， 每条第三 数据组包括所述 最新的网络数据中的两个网络实体及该两个网络实体之间的关系； 基于所述多条第三数据组对所述知识图谱进行 更新。 9.一种审计装置， 其特 征在于， 包括： 获取模块， 用于获取预先构建的知识图谱； 其中， 所述知识图谱由多条数据组构建而 成， 每个数据组包括两个网络实体及该两个网络实体之间的关系； 审计模块， 用于接收用户发起的违规行为查询指令， 基于所述违规行为查询指令从所 述知识图谱中获取审计结果。 10.一种电子设备， 其特征在于， 包括： 处理器和存储器， 所述处理器和所述存储器连 接； 所述存储器用于存 储程序； 所述处理器用于运行存储在所述存储器中的程序， 执行如权利要求1 ‑8中任一项所述 的方法。权　利　要　求　书 2/2 页 3 CN 114297406 A 3