一种基于人工智能的网络安全态势预测系统转让专利
申请号 : CN202110179232.8
文献号 : CN112995161B
文献日 : 2021-10-08
发明人 : 王先峰
申请人 : 王先峰
摘要 :
权利要求 :
1.一种基于人工智能的网络安全态势预测系统,包括网络安全态势感知系统和网络安全态势预测系统,其特征在于:所述网络安全态势感知系统与网络安全态势预测系统通讯连接,所述网络安全态势感知系统包括网络安全监测模块、信息采集模块、初步分析模块、网络安全态势计算中心和第一通讯模块;
所述网络安全态势预测系统包括人工智能分析中心、第二通讯模块、历史事件对比模块、学习模块和远程通讯模块;
所述网络安全态势计算中心内部设置有网络安全态势计算程序,所述网络安全态势计算程序获取信息采集模块获取的数据进行计算分析,给出网络安全评分值;当网络安全评分值为负数时,所述网络安全态势感知系统通过第一通讯模块与网络安全态势预测系统进行信息通讯,人工智能分析中心对该网络安全评分值进行确认,并通过第二通讯模块与第一通讯模块连接,主动获取信息采集模块的数据,通过历史事件对比模块,对获取的网络安全信息自主分析,并根据自主分析结果通过远程通讯模块通知关联人员;
所述网络安全评分值的评分标准为任一安全问题存在时间大于一个杀毒或维护周期,则评分值为负数,否则评分值为正数,所述杀毒和维护周期根据系统操作日志获取。
2.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述网络安全态势预测系统还包括基于互联网大数据的网络安全事件爬取模块,网络安全事件爬取模块与互联网大数据系统通讯连接,通过大数据系统获取网络安全历史事件信息,并存储于所述网络安全态势预测系统的历史事件数据库中。
3.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述网络安全监测模块用于在输入关键信息时对硬件设施进行检测,所述关键信息包括身份信息、验证码信息、交易密码和交易口令。
4.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述信息采集模块用于采集硬件设施自身安全系统的安全记录,所述安全记录包括木马攻击记录、防火墙漏洞、非法软件安装记录和病毒检测记录。
5.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述初步分析模块针对信息采集模块采集的信息进行初步分析判断,并在初步分析危险等级达到高时,通知网络安全态势计算中心,所述危险等级判断标准为存在一个以上系统异常项即判断危险等级为高。
6.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述人工智能分析中心调用历史事件对比模块,对当前安全异常信息与历史事件数据库内的参数进行对比,若相似度大于60%则发出通讯请求,若相似度小于或等于60%则判断为新异常事件,存储进历史事件数据库中,并通过第二通讯模块将信息发送给网络安全员。
7.根据权利要求6所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述通讯请求调用远程通讯模块发送给执行人员或者网络安全员。
8.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述学习模块与人工智能分析中心通讯连接,所述学习模块可人工设定关键判断条件以及最新判断特征,人工智能分析中心根据关键判断条件和最新判断特征进行快速判断,且人工智能分析中心内部设置有快速通讯程序,快速通讯程序与第二通讯模块连接。
9.根据权利要求6所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述人工智能分析中心调用历史事件对比模块,对当前安全异常信息与历史事件数据库内的参数进行对比的过程包括:
在所述当前安全异常信息中获取异常特征集合 :其中,表示第个异常特征;
针对历史事件数据库内事件进行事件参数提取,获得所述历史事件数据库中事件的参数信息 :
其中,表示历史事件数据库内第件事件的参数集合;
根据下述公式计算当前安全异常信息与历史事件数据库内事件的比对度;
上述公式中, 表示当前安全异常信息与历史事件数据库内的第件事件的比对度,表示当前安全异常信息中异常特征数量, 表示当前安全异常信息中第个异常特征与历史事件数据库内第件事件的第 个参数的语义相似度,的取值为区间范围内的正整数,的取值为1,2,…,,表示历史事件数据库内第 件事件的参数数目,表示预设阈值;
根据所述当前安全异常信息与历史事件数据库内事件的比对度得到相似度;
其中, 表示当前安全异常信息与历史事件数据库内事件的比对度得到相似度,表示历史事件数据库内事件数目。
说明书 :
一种基于人工智能的网络安全态势预测系统
技术领域
背景技术
络管理员要处理海量的信息反馈难以把握好整个网络的安全状态,如果不能及时发现安全
隐患就可能影响网络的正常运转。
角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行
动,是安全能力的落地。
应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采
取针对性响应处置措施。
网络安全风险的出现。
发明内容
网络安全态势感知系统包括网络安全监测模块、信息采集模块、初步分析模块、网络安全态
势计算中心和第一通讯模块;所述网络安全态势预测系统包括人工智能分析中心、第二通
讯模块、历史事件对比模块、学习模块和远程通讯模块;所述网络安全态势计算中心内部设
置有网络安全态势计算程序,所述网络安全态势计算程序获取信息采集模块获取的数据进
行计算分析,给出网络安全评分值;当网络安全评分值为负数时,所述网络安全态势感知系
统通过第一通讯模块与网络安全态势预测系统进行信息通讯,人工智能分析中心对该网络
安全评分值进行确认,并通过第二通讯模块与第一通讯模块连接,主动获取信息采集模块
的数据,通过历史事件对比模块,对获取的网络安全信息自主分析,并根据自主分析结果通
过远程通讯模块通知关联人员。
安全历史事件信息,并存储于所述网络安全态势预测系统的历史事件数据库中。
在一个以上系统异常项即判断危险等级为高。
获取。
等于60%则判断为新异常事件,存储进历史事件数据库中,并通过第二通讯模块将信息发
送给网络安全员。
行快速判断,且人工智能分析中心内部设置以后快速通讯程序,快速通讯程序与第二通讯
模块连接。
中第i个异常特征与历史事件数据库内第j件事件的第k个参数的语义相似度,i的取值为区
间[1,count{Y}]范围内的正整数,k的取值为1,2,…,nj,nj表示历史事件数据库内第j件事
件的参数数目,a表示预设阈值;
毒和维护周期,网络安全评分值的评分标准为任一安全问题存在时间大于一个杀毒或维护
周期,则评分值为负数,该算法适用于多种硬件设备,且根据每个硬件设备的杀毒周期不同
而灵活改变判断标准,从而判断准确的提高,降低因为统一判断周期造成的误判率。
存储于所述网络安全态势预测系统的历史事件数据库中,在人工智能分析中心进行预测分
析过程中,通过历史事件对比模块将当前异常信息与历史安全事件信息对比,从而快速得
到结果,同时网络安全态势预测系统内部还设置有学习模块,通过人工设定的判断条件快
速判断,从而可以快速针对突发安全事件快速响应和预测。
附图说明
具体实施方式
于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以
特定的方位构造和操作,因此不能理解为对本发明的限制。
态势感知系统包括网络安全监测模块、信息采集模块、初步分析模块、网络安全态势计算中
心和第一通讯模块;
常项即判断危险等级为高;
信息,并存储于网络安全态势预测系统的历史事件数据库中;
断为新异常事件,存储进历史事件数据库中,并通过第二通讯模块将信息发送给网络安全
员,通讯请求调用远程通讯模块发送给执行人员或者网络安全员,学习模块与人工智能分
析中心通讯连接,学习模块可人工设定关键判断条件以及最新判断特征,人工智能分析中
心根据关键判断条件和最新判断特征进行快速判断,且人工智能分析中心内部设置以后快
速通讯程序,快速通讯程序与第二通讯模块连接。
能分析中心进行预测分析过程中,通过历史事件对比模块将当前异常信息与历史安全事件
信息对比,从而快速得到结果,同时网络安全态势预测系统内部还设置有学习模块,通过人
工设定的判断条件快速判断,从而可以快速针对突发安全事件快速响应和预测。
为负数时,网络安全态势感知系统通过第一通讯模块与网络安全态势预测系统进行信息通
讯,人工智能分析中心对该网络安全评分值进行确认,并通过第二通讯模块与第一通讯模
块连接,主动获取信息采集模块的数据,通过历史事件对比模块,对获取的网络安全信息自
主分析,并在必要时通过远程通讯模块通知关联人员。
势计算中心内部设置有网络安全态势计算程序,网络安全态势计算程序通过系统操作日志
获取杀毒和维护周期,网络安全评分值的评分标准为任一安全问题存在时间大于一个杀毒
或维护周期,则评分值为负数,该算法适用于多种硬件设备,且根据每个硬件设备的杀毒周
期不同而灵活改变判断标准,从而判断准确的提高,降低因为统一判断周期造成的误判率。
后,信息采集模块即调用计算机系统的安全记录,和该计算机的用户设定的杀毒和维护周
期参数,安全记录包括木马攻击记录、防火墙漏洞、非法软件安装记录和病毒检测记录,初
步分析模块针对信息采集模块采集的信息进行初步分析判断,并在初步分析危险等级达到
高时,通知网络安全态势计算中心,所述危险等级判断标准为存在一个以上系统异常项即
判断危险等级为高,即会判断异常等级为高,然后网络安全态势计算中心针对异常信息进
行计算,计算规格为:如果存在一个非法程序或者异常问题存在一个杀毒和维护周期时间
以上的,即代表异常,然后通过第一通讯模块将信息传递给网络安全态势预测系统。
对比模块对获取的网络安全信息自主分析,对当前安全异常信息与历史事件数据库内的参
数进行对比,若相似度大于60%则发出通讯请求,若相似度小于或等于60%则判断为新异
常事件,存储进历史事件数据库中,并通过第二通讯模块将信息发送给网络安全员,同时网
络安全态势预测系统内部设置有学习模块,学习模块可人工设定关键判断条件以及最新判
断特征,人工智能分析中心根据关键判断条件和最新判断特征进行快速判断,且人工智能
分析中心内部设置以后快速通讯程序,快速通讯程序与第二通讯模块连接
中第i个异常特征与历史事件数据库内第j件事件的第k个参数的语义相似度,i的取值为区
间[1,count{Y}]范围内的正整数,k的取值为1,2,…,nj,nj表示历史事件数据库内第j件事
件的参数数目,a表示预设阈值,在这里取值为0.7;
数据库内的参数相似度,而且在进行比对时,通过将当前安全异常信息的特征与历史事件
数据库内事件的参数进行比对能够缩短比对过程的工作量,加快比对的速度,并且在比对
度计算时,通过当前安全异常信息的特征与历史事件数据库内事件的参数进行语义相似度
进行计算比对度,使得近义表述也能够比对出来,从而提高相似度的准确性。
发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。