一种信息安全风险评估的扩展知识图谱及构建方法、系统

摘要

本发明属于信息安全、人工智能与数据库技术领域，具体涉及一种信息安全风险评估的扩展知识图谱及构建方法、系统，包括如下步骤：构建实体，至少包括评估目标实体T和针对评估目标实体T在特定时间范围内的全部评估指标实体M；构建评估目标实体T和评估指标实体M之间的关系类型；构建知识图谱数据扩充和老化删除的计算过程；利用构建的实体、构建的关系类型及构建的计算过程，形成信息安全风险评估的扩展知识图谱。本发明将评估指标数据也进行图谱化建模，从而将评估指标信息也纳入传统的信息安全知识图谱，同评估对象建立充分的关联，从而对风险评估带来便利性、提高查询效率及可维护性。

说明书

技术领域

本发明属于信息安全、人工智能与数据库技术领域，具体涉及一种信息安全风险评估的扩展知识图谱及构建方法、系统。

背景技术

信息安全评估，是指采用一个特定指标体系和量化算法，对信息安全状况和趋势进行量化与评价的过程，也常被称作信息安全态势感知。信息安全评估包括机构安全风险评估、安全事件严重性评估及安全威胁有害性评估等类型。评估指标体系是一系列具体指标值的组合，这些指标值之间具有一定的层级关系，同时处于动态的变化过程中。指标值是由量化特征经一定的处理后得来的。量化特征是指在对评估目标中执行一定的测量后得到的计量值。当进行安全风险评估时，评估目标可以是一个组织机构集团、一个分支机构、一组资产、一类资产或单个设备。当进行威胁有害性评估时，评估目标可以是一个攻击团伙、一套攻击手法、一个病毒软件等。在这两类评估活动中，分别说评估目标位于资产域和威胁域，而指标值则位于测量域。

目前常见的信息安全态势感知系统中，利用知识图谱对组织机构、资产、安全事件、威胁情报等常见评估目标进行建模和存储是较为常用的做法。在这些方案中，上述评估目标在经过图谱化建模后，作为图谱实体，结合这些实体间的相互关系，共同构成了一体化的知识图谱，但这些方案忽视了对指标体系的图谱化，从而不能与评估目标建立完整、有序、充分的关联，导致信息安全风险的不便利、查询效率低以及维护性能差。

发明内容

为了解决上述技术问题，本发明提供一种信息安全风险评估的扩展知识图谱及构建方法、系统，假定评估目标的知识图谱已经建立，而评估过程已经产生了指标体系数据，在此基础上，增加评估指标体系相关的实体和关系定义，将已有知识图谱的范畴扩展至测量域，并将评估指标体系数据向测量域进行映射。

本发明是这样实现的，提供一种信息安全风险评估的扩展知识图谱构建方法，包括如下步骤：

1）构建实体，至少包括评估目标实体T和针对评估目标实体T在特定时间范围内的全部评估指标实体M；

2）构建评估目标实体T和评估指标实体M之间的关系类型；

3）构建知识图谱数据扩充和老化删除的计算过程；

4）利用步骤1）构建的实体、步骤2）构建的关系类型及步骤3）构建的计算过程，形成信息安全风险评估的扩展知识图谱。

优选地，步骤1）中构建的所述实体还包括隶属于所述评估目标实体T的下一级评估目标实体subT。

进一步优选，步骤2）中所述评估目标实体T和所述评估指标实体M之间的关系类型至少包括：

测量对象srcT，表示将评估指标实体M关联到对应的评估目标实体T的关系；

最新指标lastM，表示将评估目标实体T关联到最新一个测量时段的评估指标实体M的关系，具有测量周期属性；

最早指标firstM，表示将评估目标实体T关联到最早一个测量时段的评估指标实体M的关系，具有测量周期属性；

上一个指标prevM，表示将一个评估指标实体M关联到另一个评估指标实体M，这两个评估指标实体M测量自同一个评估目标实体T；

分割指标subM，表示将一个评估指标实体M关联到其他评估指标实体M，标识指标的分割。

进一步优选，步骤3）中知识图谱数据扩充和老化删除的计算过程至少包括：

增加评估指标实体addM，表示向扩展知识图谱中导入新的、针对同一评估目标实体T的、隶属于单个测量时段的评估指标实体M；

删除评估指标实体delM，表示从扩展知识图谱中删除指定的评估指标实体M；

批量导入评估指标实体addMBatch，表示向扩展知识图谱批量导入针对多个评估目标实体T的、隶属单个测量时段的新的评估指标实体M；

预测评估指标实体predictM，表示在已有评估指标实体时间序列的基础上，对下一个时间节点上的评估指标实体M的值进行预测；

补全评估指标实体interpolateM，表示对有缺失值的评估指标实体时间序列进行补全；

查询获取特征值getSeqValue，表示在扩展知识图谱中查询获取外部程序所需的特征值；

查询获取评估指标实体getSeqM，表示在扩展知识图谱中查询获取外部程序所需的评估指标实体M；

删除评估指标实体时间序列子序列delSeqM，表示删除评估指标实体时间序列中指定的一段子序列；

删除老化评估指标实体cleanAgedM，表示删除过于老化的评估指标实体M；

在时间维度聚合评估指标实体aggregateByTime，表示在时间维度上进行评估指标实体M的聚合，以获取新的评估指标实体M数据；

在空间维度聚合评估指标实体aggregateBySpace，表示在空间维度上进行评估指标实体M的聚合，以获取新的评估指标实体M数据。

本发明还提供一种信息安全风险评估的扩展知识图谱，包括：

至少2类实体：评估目标实体T和针对评估目标实体T在特定时间范围内的全部评估指标实体M；

多个表示评估目标实体T和评估指标实体M之间双向连接关系的关系类型；

多个用于对扩展知识图谱进行扩充和老化删除的计算过程。

优选地，所述实体还包括隶属于所述评估目标实体T的下一级评估目标实体subT。

进一步优选，多个表示评估目标实体T和评估指标实体M之间双向连接关系的关系类型至少包括：

测量对象srcT，表示将评估指标实体M关联到对应的评估目标实体T的关系；

最新指标lastM，表示将评估目标实体T关联到最新一个测量时段的评估指标实体M的关系，具有测量周期属性；

最早指标firstM，表示将评估目标实体T关联到最早一个测量时段的评估指标实体M的关系，具有测量周期属性；

上一个指标prevM，表示将一个评估指标实体M关联到另一个评估指标实体M，这两个评估指标实体M测量自同一个评估目标实体T；

分割指标subM，表示将一个评估指标实体M关联到其他评估指标实体M，标识指标的分割。

进一步优选，多个用于对扩展知识图谱进行扩充和老化删除的计算过程至少包括：

增加评估指标实体addM，表示向扩展知识图谱中导入新的、针对同一评估目标实体T的、隶属于单个测量时段的评估指标实体M；

删除评估指标实体delM，表示从扩展知识图谱中删除指定的评估指标实体M；

批量导入评估指标实体addMBatch，表示向扩展知识图谱批量导入针对多个评估目标实体T的、隶属单个测量时段的新的评估指标实体M；

预测评估指标实体predictM，表示在已有评估指标实体时间序列的基础上，对下一个时间节点上的评估指标实体M的值进行预测；

补全评估指标实体interpolateM，表示对有缺失值的评估指标实体时间序列进行补全；

查询获取特征值getSeqValue，表示在扩展知识图谱中查询获取外部程序所需的特征值；

查询获取评估指标实体getSeqM，表示在扩展知识图谱中查询获取外部程序所需的评估指标实体M；

删除评估指标实体时间序列子序列delSeqM，表示删除评估指标实体时间序列中指定的一段子序列；

删除老化评估指标实体cleanAgedM，表示删除过于老化的评估指标实体M；

在时间维度聚合评估指标实体aggregateByTime，表示在时间维度上进行评估指标实体M的聚合，以获取新的评估指标实体M数据；

在空间维度聚合评估指标实体aggregateBySpace，表示在空间维度上进行评估指标实体M的聚合，以获取新的评估指标实体M数据。

本发明还提供一种信息安全风险评估系统，所述信息安全风险评估系统包括上述的信息安全风险评估的扩展知识图谱。

与现有技术相比，本发明的优点在于：

将评估指标数据也进行图谱化建模，从而将评估指标信息也纳入知识图谱，同评估对象建立充分的关联，从而对风险评估带来便利性、提高查询效率及可维护性。

附图说明

图1为本发明提供的信息安全风险评估的扩展知识图谱构建方法流程图；

图2为实施例1的具体示意图。

具体实施方式

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

首先以对某机构进行安全风险评估的活动作为例子，阐述信息安全评估过程。可以采集和提取的量化特征包括发现漏洞数量、存在隐患的资产数量、安全培训投入经费等。这些要素的数量尺度具有较大差异，如发现漏洞数量不足10个，而安全培训投入经费可能数以万计，因此，一般要对量化特征进行一定的标准化，例如统一缩放到0到10之间的尺度。在这个例子里，可以将上述三个量化特征分别进行标准化处理，获得三个尺度一致的指标值。指标值是时间范围和评估对象的因变量。在空间维度，该机构在全国各地存在多个分支机构，甚至是多层级的分支机构，每个分支机构实体可独立作为评估目标，使得指标值具备可分割现象。在时间维度，指标值在不同的测量频率和测量时段下存在变化，同一测量频率下不同时段的值构成一个时间序列，而采用多组测量频率则可产生多个时间序列。基于各指标值，可以借助于一个综合度量法，计算出该机构的综合评分，用于刻画被评估对象的整体安全状况。例如，可以提出一个简单的综合度量法，认为综合评分等于第三个指标值除以前两个指标值的乘积。可以认为综合评分是各指标值的矢量化组合，而各指标值为综合评分的特征分量。从这个例子可知，指标体系具有多特征分量、可定制的综合度量法、可分割的评估目标、序列化时间范围、可变测量频率等要素，在建模时应予考虑。本发明就此提出一种图谱化的建模及实现方案。

本发明不包括资产域知识图谱的构建及评估指标的选取，而只针对评估指标信息如何进行组织存放的问题。本方案假定评估目标的知识图谱已经建立，而评估过程已经产生了指标体系数据。在此基础上，本发明将已有知识图谱的范畴扩展至测量域，并将指标体系数据向测量域进行映射，得到最终的知识图谱，即扩展知识图谱。

参考图1，为本发明提供的一种信息安全风险评估的扩展知识图谱构建方法，具体包括如下步骤：

1）构建实体，至少包括评估目标实体T和针对评估目标实体T在特定时间范围内的全部评估指标实体M；

评估目标实体T可以为组织机构、资产、漏洞、事件等；

所述步骤1）中构建的所述实体还包括隶属于所述评估目标实体T的下一级评估目标实体subT，例如，一个企业同其各分公司之间即为T与subT的关系。

评估目标实体T和subT是对已有技术进行简化命名的约定。在上述基础上，定义一个实体类型，称作M。一个M实体记录了针对特定评估目标实体T在特定时间范围内的全部指标体系信息，包括量化特征和综合评分等。评估指标实体M对内封装了测量域中的内容，对外同图谱中的资产域实体进行交互。在上文风险评估的例子中，对于某个公司在某个月度的各类量化特征及指标值均存储于单个评估指标实体M中。这些量化特征、指标值、综合度量法及综合评分均为该实体的属性。

2）构建评估目标实体T和评估指标实体M之间的关系类型；

所述步骤2）中所述评估目标实体T和所述评估指标实体M之间的关系类型至少包括：

测量对象srcT，表示将评估指标实体M关联到对应的评估目标实体T的关系；

最新指标lastM，表示将评估目标实体T关联到最新一个测量时段的评估指标实体M的关系，具有测量周期属性，称为period；

最早指标firstM，表示将评估目标实体T关联到最早一个测量时段的评估指标实体M的关系，具有测量周期属性，也可称为period；

具体的，lastM、firstM和srcT建立了评估目标实体T和评估指标实体M之间的双向连接，从而构建起测量域与资产域之间的桥梁。

上一个指标prevM，表示将一个评估指标实体M关联到另一个评估指标实体M，这两个评估指标实体M测量自同一个评估目标实体T；

进一步的，prevM将同一评估目标在同一测量频率下的指标值序列构建成一个时间序列。

分割指标subM，表示将一个评估指标实体M关联到其他评估指标实体M，标识指标的分割。

3）构建知识图谱数据扩充和老化删除的计算过程；

所述步骤3）中知识图谱数据扩充和老化删除的计算过程至少包括：

增加评估指标实体addM，表示向扩展知识图谱中导入新的、针对同一评估目标实体T的、隶属于单个测量时段的评估指标实体M；

进一步的，addM过程的输入参数针对一个评估目标实体T在一个测量时段的指标体系数据，以及给定的测量频率、测量时段信息，在输入参数的基础上执行如下步骤：

101）针对输入参数中的指标数据，构建一个评估指标实体M，在实体内部的属性字典中存储该指标体系信息；

102）检索出新创建的评估指标实体M所应该对应的评估目标实体T的所有时间序列，根据当前评估指标实体M的测量频率，找到一个已有的适合此测量频率的时间序列，或者在不存在相应测量频率的时机序列时新建一个时间序列；

103）从上述时间序列的lastM端开始游走，直到完成游走，或遇到一个晚于给定测量时段的评估指标实体M。记录第一个晚于给定测量时段的实体，作为当前评估指标实体M的后继实体。如果后继实体并非时间序列的lastM端实体，则记录后继实体的前一个实体为前驱实体；

104）如果前驱实体存在，则创建前驱实体到当前评估指标实体M的prevM关系。否则，时间序列的lastM关系指向当前评估指标实体M。

105）如果后继实体存在，则创建当前评估指标实体M到后继实体的prevM关系。否则，时间序列的firstM关系指向当前评估指标实体M。

106）建立当前评估指标实体M到T实体的srcT关系；

107）如果当前评估指标实体M所对应的T实体，存在同其他T实体（记作otherT）的subT关系，则遍历所有此类otherT实体，如果这些otherT实体具有与当前M实体有相同测量时段的M实体(记作otherM)，则创建这些otherM实体与当前M实体的subM关系。

删除评估指标实体delM，表示从扩展知识图谱中删除指定的评估指标实体M；

进一步的，delM方法用于清除指定的指标体系数据，输入参数为相关T实体和测量时段。在输入参数的基础上，执行如下步骤：

201）根据输入的测量时段信息推算出测量频率信息。根据输入的T实体和测量频率信息，定位到所需的时间序列。如果时间序列不存在，退出执行；否则继续执行后续步骤；

202）从时间序列尾部开始游走，直到遇到的M实体符合起止时间范围。如果遍历完时间序列后仍未发现符合起止时间的M实体，退出执行；否则继续执行后续步骤；

203）记录当前M实体在所属时间序列中的前驱M实体和后继M实体。如果当前M实体为subM关系的起始端或终止端，则记录与当前M实体有subM关系的邻居M实体；

204）删除当前M实体，以及相关的srcT关系；

205）如果当前M实体为时间序列的firstM端，且当前M实体存在前驱实体，该时间序列的firstM端指向当前M实体的前驱实体；

206）如果当前M实体为时间序列的lastM端，且当前M实体存在后继实体，该时间序列的lastM端指向当前M实体的后继实体；

207）如果当前M实体涉及subM关系，则联合其邻居M实体，删除subM关系；

208）如果前驱实体和后继实体均存在，则建立前驱实体指向后继实体的prevM关系，保持时间序列不断裂。

批量导入评估指标实体addMBatch，表示向扩展知识图谱批量导入针对多个评估目标实体T的、隶属单个测量时段的新的评估指标实体M；

进一步的，addMBatch过程的输入参数包括一个批次的指标体系数据，这些指标体系数据隶属单个测量时段，但可以针对多个T实体作为评估目标。在输入参数的基础上，执行如下步骤：

301）针对各T实体所对应的指标数据，各创建一个M实体，并创建相应srcT关系；

302）将上述各M实体插入到其所对应T实体的相应时间序列中，并根据firstM、lastM及prevM关系的定义，创建或更新相应关系；

303）如果输入参数中的T实体间存在subT关系，则按照相同拓扑创建其所对应M实体之间的subM关系。

预测评估指标实体predictM，表示在已有评估指标实体时间序列的基础上，对下一个时间节点上的评估指标实体M的值进行预测；

进一步的，predictM过程的输入参数为特定时间序列，以及一个预先训练好的预测模型，输出该序列的下一个值的预测量。预测模型通过前几个值预测最新值，可以采用LSTM或ARIMA等算法实现。在输入参数的基础上，执行如下步骤：

401）从时间序列的头部M实体出发，按照预测模型的指定步长，获取该序列头部的几个最新M实体；

402）对于上述M实体中涉及到的每个特征向量，提取成一个特征向量序列，其长度等于步长；

403）将上述各组特征向量序列带入预测模型，计算出预测值；

404）组合各个特征向量的预测值，形成新的指标体系。

应针对不同的特征值和测量频率，训练不同的预测模型。为不同的预测模型维护训练数据集。每当调用addM过程时，以新加入的M实体内部的特征值为因变量，以其前驱若干步长的M实体中的对应特征值为自变量，抽取训练素材。训练过程应周期性进行。在冷启动状态下，预测模型退化为滑动平均模型。

补全评估指标实体interpolateM，表示对有缺失值的评估指标实体时间序列进行补全；

进一步的，interpolateM过程的输入参数为特定时间序列，以及一个预先训练好的插值模型，输出补全后的时间序列。预测模型通过存在的值预测缺失值，可以采用线性模型、SVM回归器或GBRT等算法实现。在输入参数的基础上，执行如下步骤：

501）从时间序列的头部M实体出发开始游走，搜索缺失值。如果不存在缺失值，算法结束；否则继续执行后续操作；

502）按照预测模型的指定的窗口，获取该序列在缺失值位置开始的窗口内部的所有M实体。如果窗口内部的M实体数量为零，算法结束；否则继续执行后续操作；

503）对于上述窗口内M实体中涉及到的每个特征向量，提取成一个特征向量序列，其长度等于步长；

504）将上述各组特征向量序列带入插值模型，计算出补偿值；

505）组合各个特征向量的预测值，形成新的指标体系，然后进入第501）步，重复执行。

应针对不同的特征值和测量频率，训练不同的插值模型。为不同的插值模型维护训练数据集。每当调用addM过程时，以新加入的M实体内部的特征值为因变量，以其前后特定长度(参数可调)的时间窗口内的M实体中的对应特征值为自变量，抽取训练素材。训练过程应周期性进行。在冷启动状态下，插值模型退化为仅针对给定自变量建立最小二乘线性预测。

查询获取特征值getSeqValue，表示在扩展知识图谱中查询获取外部程序所需的特征值；

进一步的，getSeqValue方法用于获取外部程序所需的特征值，输入参数为T实体、起止时间、测量频率、所需特征值的名称。在输入参数的基础上，执行如下步骤：

601）根据输入的T实体和测量频率，定位到所需的时间序列。如果时间序列不存在，退出执行；否则继续执行后续步骤；

602）从时间序列尾部开始游走，直到遇到的M实体符合起止时间范围。如果遍历完时间序列后仍未发现符合起止时间的M实体，退出执行；否则继续执行后续步骤；

603）如果当前M实体符合起止时间范围，输出M实体中所需特征的值。游走到下一个M实体，重复本步骤，直到当前M实体不再符合起止时段。

查询获取评估指标实体getSeqM，表示在扩展知识图谱中查询获取外部程序所需的评估指标实体M；

进一步的，getSeqM方法用于获取外部程序所需的指标体系，输入参数为T实体、起止时间、测量频率。在输入参数的基础上，执行如下步骤：

701）根据输入的T实体和测量频率，定位到所需的时间序列。如果时间序列不存在，退出执行；否则继续执行后续步骤；

702）从时间序列尾部开始游走，直到遇到的M实体符合起止时间范围。如果遍历完时间序列后仍未发现符合起止时间的M实体，退出执行；否则继续执行后续步骤。

703）如果当前M实体符合起止时间范围，输出M实体中全部特征的值，并伴随输出该M实体的上下文，如测量时段信息、T实体信息等。游走到下一个M实体，重复本步骤，直到当前M实体不再符合起止时段。

删除评估指标实体时间序列子序列delSeqM，表示删除评估指标实体时间序列中指定的一段子序列；

进一步的，delSeqM方法用于清除时间序列中指定的一段子序列，输入参数为T实体、起止时间、测量频率、所需特征值的名称。在输入参数的基础上，执行如下步骤：

801）根据输入的T实体和测量频率，定位到所需的时间序列。如果时间序列不存在，退出执行；否则继续执行后续步骤；

802）从时间序列lastM开始游走，直到遇到的M实体符合起止时间范围。如果遍历完时间序列后仍未发现符合起止时间的M实体，退出执行；否则，记录符合时间范围条件的首个M实体，及其前驱实体，并继续执行后续步骤；

803）从当前M实体开始继续游走，记录所有符合时间范围条件的M实体，直到当前M实体不再符合时间范围条件，或时间序列遍历结束。如果遇到了首个不符合时间范围的M实体，称其为后继实体；

804）对于所有已经记录到的符合时间范围条件的M实体，其作为起始端或终止端参与subM关系，则记录与该M实体有subM关系的邻居M实体，并联合其邻居M实体，删除subM关系。

805）删除符合时间范围条件的M实体，以及相关的srcT关系。

806）如果被删除M实体包括时间序列的firstM端，且后继实体存在，该时间序列的firstM端指向后继实体。

807）如果被删除M实体包括时间序列的lastM端，且前驱实体存在，该时间序列的lastM端指向当前M实体的前驱实体。

808）如果前驱实体和后继实体均存在，则建立前驱实体指向后继实体的prevM关系，保持时间序列不断裂。

删除老化评估指标实体cleanAgedM，表示删除过于老化的评估指标实体M；

进一步的，cleanAgedM过程执行如下步骤：

901）遍历所有的时间序列，对每个时间序列，执行第2步。

902）利用firstM关系，跳转到时间序列的队尾。

903）如果队尾M实体符合老化机制，则标记为待删除实体；否则，退出执行

904）通过prevM关系逆向移动，获取该M实体的前一个M实体。如果前一个M实体存在，将firstM实体指向它。

905）调用delM过程清理已被标记为待删除的原有的队尾实体，然后进入第3步。

在时间维度聚合评估指标实体aggregateByTime，表示在时间维度上进行评估指标实体M的聚合，以获取新的评估指标实体M数据；

例如，根据已有的以日为测量频率的时间序列，聚合成以月为测量频率的时间序列，避免对后者进行重新测量。对时间序列的聚合体现为对该时间序列上的评估指标实体M进行分组和累加，而对评估指标实体M的累加过程意味着对各属性值进行合适的聚合计算。“信息安全投入资金量”这类量化特征采用求和计算进行聚合，而“单个设备最大漏洞数量”这类量化特征则需要采用求MAX计算进行聚合。

进一步的，aggregateByTime过程的输入参数包括给定的时间序列，和目标测量频率。该时间序列的测量频率必须是目标测量频率的整数倍，换言之目标测量周期必须是给定时间序列的测量周期的整数倍。aggregateByTime过程执行如下步骤：

1001）对给定的时间序列，按照目标测量频率执行M分组。

1002）针对每个M分组，对各M实体进行聚合，创建新的M实体存储聚合结果。

1003）新的M实体作为一个批次，调用addM过程插入到知识图谱，addM的测量频率参数取aggregateByTime过程的目标测量频率参数。

在空间维度聚合评估指标实体aggregateBySpace，表示在空间维度上进行评估指标实体M的聚合，以获取新的评估指标实体M数据。

例如，对某地区的所有机构的指标体系进行聚合，获得该地区的整体指标体系。

进一步的，aggregateBySpace过程的输入参数为一个T实体，以及该T实体的子T实体。该过程要求各个子T实体的M时间序列具有完全相同的结构，这意味着各子T具有测量时段一致的M实体。在这些参数基础上，执行如下步骤：

1101）称第1个子T实体为原型T实体，对原型T实体的各个时间序列的各M进行遍历。

1102）对于原型T的当前M实体，成为原型M实体，获取其兄弟T实体在相应测量时段的对应M实体。

1103）对于第2步获取的单个测量时段的M实体进行聚合，创建新的M实体存储聚合结果。

1104）新的M实体作为一个批次，调用addM过程插入到知识图谱，addM的测量频率参数取原型M实体对应的测量频率。

1105）维护新M实体的subM关系，使得这些关系指向其子M实体。

4）利用步骤1）构建的实体、步骤2）构建的关系类型及步骤3）构建的计算过程，形成信息安全风险评估的扩展知识图谱。

根据上述创建方法，本发明还提出一种信息安全风险评估的扩展知识图谱，包括上述构建方法中构建的：

至少2类实体：评估目标实体T和针对评估目标实体T在特定时间范围内的全部评估指标实体M；

所述实体还包括隶属于所述评估目标实体T的下一级评估目标实体subT。

多个表示评估目标实体T和评估指标实体M之间双向连接关系的关系类型；

多个用于对扩展知识图谱进行扩充和老化删除的计算过程。

本发明还提出一种信息安全风险评估系统，所述信息安全风险评估系统包括上述的信息安全风险评估的扩展知识图谱。

采用图数据库对实体和关系进行存储，构建扩展知识图谱系统。JanusGraph、Neo4j等开源图数据库都是构建知识图谱的常见工具。假定评估目标已经实现图谱化，即已经存在以评估目标为实体的知识图谱系统，同时我们假定已有知识图谱采用图数据库实现。

知识图谱的实体和关系分别实现为图数据库的端点和边，实体或关系的属性则分别存储到对应端点或边结构的内部字段。根据这一原则，可以明确对M实体和srcT、firstM等关系的实现方式。

由于图数据库的功能局限，上述addM等过程未必能通过图数据库直接实现，此时，借助外部软件系统实现addM等过程对应的运行逻辑，并提供接口供用户程序调用。

实施例：

参考图2，如果某企业X集团作为评估目标实体，以日为测量周期进行评估。从1月1日开始每日测量其多种量化特征，并计算综合评分。假设最近一次评估发生在10月31日。那么，该机构本身作为T类型的实体，各个日期的指标体系分别构成一个M类型的实体。T以一个firstM关系指向1月1日的M实体，以一个lastM关系指向10月31日的M实体。同时，10月31日的M实体以一个prevM关系指向10月30日的M实体，以此类推，直到指向1月1日的M实体。

X集团下辖A、B、C三个公司，也分别作为评估目标，对应相应的T实体。这几个T实体及相关关系存在于资产域知识图谱中。在每个测量周期，每个公司级T也对应一个M对象，这些公司级M对象是集团级M对象的分割指标，用subM关系进行关联。同一个公司在不同测量周期所对应的公司级M对象之间也可通过firstM、lastM和prevM关系构建时间序列，但这会让图谱变得过度复杂，不是必须的。评估对象之间可以具有更深的层次关系。例如，A公司还下辖A1和A2两个部门，那么，其对应的M对象也具有相同结构的层次关系。

如果对X集团的评估同时采用日、周、月等多个测量频率，那么，各测量频率下的指标值将构成多个时间序列，其在图谱中各对应一个链表。各个链表都存在一个M对象作为头部，T实体通过lastMeric关系同这些首部分别建立连接，并在关系中设置相应的period属性值。对于日、周、月链表，period的值可以设置为“1d”、“1w”和“1m”以示区分。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的保护范围当中。