最新中国发明专利
/
2021-10-08

一种基于人工智能的网络安全态势预测系统转让专利

申请号 : CN202110179232.8

文献号 : CN112995161B

文献日 :

基本信息:

PDF:

法律信息:

相似专利:

发明人 : 王先峰

申请人 : 王先峰

摘要 :

本发明公开了一种基于人工智能的网络安全态势预测系统,包括网络安全态势感知系统和网络安全态势预测系统,网络安全态势感知系统与网络安全态势预测系统通讯连接,网络安全态势感知系统包括网络安全监测模块、信息采集模块、初步分析模块、网络安全态势计算中心和第一通讯模块;网络安全态势预测系统包括人工智能分析中心、第二通讯模块、历史事件对比模块、学习模块和远程通讯模块。该系统,通过大数据系统实时获取网络安全历史事件信息,在人工智能分析中心进行预测分析过程中,将当前异常信息与历史安全事件信息对比,快速得到结果,同时设置学习模块,通过人工设定的判断条件快速判断,从而可以快速针对突发安全事件快速响应和预测。

权利要求 :

1.一种基于人工智能的网络安全态势预测系统,包括网络安全态势感知系统和网络安全态势预测系统,其特征在于:所述网络安全态势感知系统与网络安全态势预测系统通讯连接,所述网络安全态势感知系统包括网络安全监测模块、信息采集模块、初步分析模块、网络安全态势计算中心和第一通讯模块;

所述网络安全态势预测系统包括人工智能分析中心、第二通讯模块、历史事件对比模块、学习模块和远程通讯模块;

所述网络安全态势计算中心内部设置有网络安全态势计算程序,所述网络安全态势计算程序获取信息采集模块获取的数据进行计算分析,给出网络安全评分值;当网络安全评分值为负数时,所述网络安全态势感知系统通过第一通讯模块与网络安全态势预测系统进行信息通讯,人工智能分析中心对该网络安全评分值进行确认,并通过第二通讯模块与第一通讯模块连接,主动获取信息采集模块的数据,通过历史事件对比模块,对获取的网络安全信息自主分析,并根据自主分析结果通过远程通讯模块通知关联人员;

所述网络安全评分值的评分标准为任一安全问题存在时间大于一个杀毒或维护周期,则评分值为负数,否则评分值为正数,所述杀毒和维护周期根据系统操作日志获取。

2.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述网络安全态势预测系统还包括基于互联网大数据的网络安全事件爬取模块,网络安全事件爬取模块与互联网大数据系统通讯连接,通过大数据系统获取网络安全历史事件信息,并存储于所述网络安全态势预测系统的历史事件数据库中。

3.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述网络安全监测模块用于在输入关键信息时对硬件设施进行检测,所述关键信息包括身份信息、验证码信息、交易密码和交易口令。

4.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述信息采集模块用于采集硬件设施自身安全系统的安全记录,所述安全记录包括木马攻击记录、防火墙漏洞、非法软件安装记录和病毒检测记录。

5.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述初步分析模块针对信息采集模块采集的信息进行初步分析判断,并在初步分析危险等级达到高时,通知网络安全态势计算中心,所述危险等级判断标准为存在一个以上系统异常项即判断危险等级为高。

6.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述人工智能分析中心调用历史事件对比模块,对当前安全异常信息与历史事件数据库内的参数进行对比,若相似度大于60%则发出通讯请求,若相似度小于或等于60%则判断为新异常事件,存储进历史事件数据库中,并通过第二通讯模块将信息发送给网络安全员。

7.根据权利要求6所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述通讯请求调用远程通讯模块发送给执行人员或者网络安全员。

8.根据权利要求1所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述学习模块与人工智能分析中心通讯连接,所述学习模块可人工设定关键判断条件以及最新判断特征,人工智能分析中心根据关键判断条件和最新判断特征进行快速判断,且人工智能分析中心内部设置有快速通讯程序,快速通讯程序与第二通讯模块连接。

9.根据权利要求6所述的一种基于人工智能的网络安全态势预测系统,其特征在于:所述人工智能分析中心调用历史事件对比模块,对当前安全异常信息与历史事件数据库内的参数进行对比的过程包括:

在所述当前安全异常信息中获取异常特征集合 :其中,表示第个异常特征;

针对历史事件数据库内事件进行事件参数提取,获得所述历史事件数据库中事件的参数信息 :

其中,表示历史事件数据库内第件事件的参数集合;

根据下述公式计算当前安全异常信息与历史事件数据库内事件的比对度;

上述公式中, 表示当前安全异常信息与历史事件数据库内的第件事件的比对度,表示当前安全异常信息中异常特征数量, 表示当前安全异常信息中第个异常特征与历史事件数据库内第件事件的第 个参数的语义相似度,的取值为区间范围内的正整数,的取值为1,2,…,,表示历史事件数据库内第 件事件的参数数目,表示预设阈值;

根据所述当前安全异常信息与历史事件数据库内事件的比对度得到相似度;

其中, 表示当前安全异常信息与历史事件数据库内事件的比对度得到相似度,表示历史事件数据库内事件数目。

说明书 :

一种基于人工智能的网络安全态势预测系统

技术领域

[0001] 本发明涉及网络安全技术领域,尤其涉及一种基于人工智能的网络安全态势预测系统。

背景技术

[0002] 随着互联网的广泛应用,网络攻击频繁出现,网络安全问题已经成为社会广泛关注的问题,现在网络安全维护手段有很多,各种杀毒软件和防火墙会拦截许多危险信息,网
络管理员要处理海量的信息反馈难以把握好整个网络的安全状态,如果不能及时发现安全
隐患就可能影响网络的正常运转。
[0003] 为了提高网络安全信息的处理能力,网络安全态势感知系统随之产生。态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视
角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行
动,是安全能力的落地。
[0004] 随着网络安全重要性的凸显,态势感知开始在网络安全领域斩露头角,现阶段面对传统安全防御体系失效的风险,态势感知能够全面感知网络安全威胁态势、洞悉网络及
应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采
取针对性响应处置措施。
[0005] 通过网络安全态势信息的整合做出评价,为网络管理员提供全面、直观、精确的决策参考。
[0006] 在对网络安全态势的监测中包含一项重要的内容,就是网络安全态势预测,通过对网络安全发展趋势的预测,找出潜在的威胁,提高管理员对于危险的预先处理能力,防控
网络安全风险的出现。
[0007] 而目前,网络安全态势预测都需要人工进行分析预测,为此,非常耗费人力了,本发明结合人工智能的优点提出一种基于人工智能的网络安全态势预测系统。

发明内容

[0008] 本发明的目的是为了解决现有技术中存在的缺点,而提出的一种基于人工智能的网络安全态势预测系统。
[0009] 为了实现上述目的,本发明采用了如下技术方案:
[0010] 一种基于人工智能的网络安全态势预测系统,包括网络安全态势感知系统和网络安全态势预测系统,所述网络安全态势感知系统与网络安全态势预测系统通讯连接,所述
网络安全态势感知系统包括网络安全监测模块、信息采集模块、初步分析模块、网络安全态
势计算中心和第一通讯模块;所述网络安全态势预测系统包括人工智能分析中心、第二通
讯模块、历史事件对比模块、学习模块和远程通讯模块;所述网络安全态势计算中心内部设
置有网络安全态势计算程序,所述网络安全态势计算程序获取信息采集模块获取的数据进
行计算分析,给出网络安全评分值;当网络安全评分值为负数时,所述网络安全态势感知系
统通过第一通讯模块与网络安全态势预测系统进行信息通讯,人工智能分析中心对该网络
安全评分值进行确认,并通过第二通讯模块与第一通讯模块连接,主动获取信息采集模块
的数据,通过历史事件对比模块,对获取的网络安全信息自主分析,并根据自主分析结果通
过远程通讯模块通知关联人员。
[0011] 优选地,所述网络安全态势预测系统还包括基于互联网大数据的网络安全事件爬取模块,网络安全事件爬取模块与互联网大数据系统通讯连接,通过大数据系统获取网络
安全历史事件信息,并存储于所述网络安全态势预测系统的历史事件数据库中。
[0012] 优选地,所述网络安全监测模块用于在输入关键信息时对硬件设施进行检测,所述关键信息包括身份信息、验证码信息、交易密码和交易口令。
[0013] 优选地,所述信息采集模块用于采集硬件设施自身安全系统的安全记录,所述安全记录包括木马攻击记录、防火墙漏洞、非法软件安装记录和病毒检测记录。
[0014] 优选地,所述初步分析模块针对信息采集模块采集的信息进行初步分析判断,并在初步分析危险等级达到高时,通知网络安全态势计算中心,所述危险等级判断标准为存
在一个以上系统异常项即判断危险等级为高。
[0015] 优选地,所述网络安全评分值的评分标准为任一安全问题存在时间大于一个杀毒或维护周期,则评分值为负数,否则评分值为正数,所述杀毒和维护周期根据系统操作日志
获取。
[0016] 优选地,所述人工智能分析中心调用历史事件对比模块,对当前安全异常信息与历史事件数据库内的参数进行对比,若相似度大于60%则发出通讯请求,若相似度小于或
等于60%则判断为新异常事件,存储进历史事件数据库中,并通过第二通讯模块将信息发
送给网络安全员。
[0017] 优选地,所述通讯请求调用远程通讯模块发送给执行人员或者网络安全员。
[0018] 优选地,所述学习模块与人工智能分析中心通讯连接,所述学习模块可人工设定关键判断条件以及最新判断特征,人工智能分析中心根据关键判断条件和最新判断特征进
行快速判断,且人工智能分析中心内部设置以后快速通讯程序,快速通讯程序与第二通讯
模块连接。
[0019] 优选地,所述人工智能分析中心调用历史事件对比模块,对当前安全异常信息与历史事件数据库内的参数进行对比的过程包括:
[0020] 在所述当前安全异常信息中获取异常特征集合Y:
[0021] Y={yi}
[0022] 其中,yi表示第i个异常特征;
[0023] 针对历史事件数据库内事件进行事件参数提取,获得所述历史事件数据库中事件的参数信息A:
[0024] A={Xj}
[0025] 其中,Xj表示历史事件数据库内第j件事件的参数集合;
[0026] 根据下述公式计算当前安全异常信息与历史事件数据库内事件的比对度;
[0027]
[0028] 上述公式中,Wj表示当前安全异常信息与历史事件数据库内的第j件事件的比对度,count{Y}表示当前安全异常信息中异常特征数量,sim(yi,xjk)表示当前安全异常信息
中第i个异常特征与历史事件数据库内第j件事件的第k个参数的语义相似度,i的取值为区
间[1,count{Y}]范围内的正整数,k的取值为1,2,…,nj,nj表示历史事件数据库内第j件事
件的参数数目,a表示预设阈值;
[0029] 根据所述当前安全异常信息与历史事件数据库内事件的比对度得到相似度;
[0030]
[0031] 其中,L(Y)表示当前安全异常信息与历史事件数据库内事件的比对度得到相似度,count(A)表示历史事件数据库内事件数目。
[0032] 本发明具有以下有益效果:
[0033] 1、本发明提出的一种基于人工智能的网络安全态势预测系统,网络安全态势计算中心内部设置有网络安全态势计算程序,网络安全态势计算程序通过系统操作日志获取杀
毒和维护周期,网络安全评分值的评分标准为任一安全问题存在时间大于一个杀毒或维护
周期,则评分值为负数,该算法适用于多种硬件设备,且根据每个硬件设备的杀毒周期不同
而灵活改变判断标准,从而判断准确的提高,降低因为统一判断周期造成的误判率。
[0034] 2、本发明提出的一种基于人工智能的网络安全态势预测系统,采用网络安全事件爬取模块与互联网大数据系统通讯连接,通过大数据系统获取网络安全历史事件信息,并
存储于所述网络安全态势预测系统的历史事件数据库中,在人工智能分析中心进行预测分
析过程中,通过历史事件对比模块将当前异常信息与历史安全事件信息对比,从而快速得
到结果,同时网络安全态势预测系统内部还设置有学习模块,通过人工设定的判断条件快
速判断,从而可以快速针对突发安全事件快速响应和预测。

附图说明

[0035] 图1为本发明提出的一种基于人工智能的网络安全态势预测系统整体结构框图;
[0036] 图2为本发明提出的一种基于人工智能的网络安全态势预测系统中网络安全态势感知系统执行流程图;
[0037] 图3为本发明提出的一种基于人工智能的网络安全态势预测系统中网络安全态势预测系统执行流程图;
[0038] 图4为本发明提出的一种基于人工智能的网络安全态势预测系统与大数据系统连接框图。

具体实施方式

[0039] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
[0040] 在本发明的描述中,需要理解的是,术语“上”、“下”、“前”、“后”、“左”、“右”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便
于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以
特定的方位构造和操作,因此不能理解为对本发明的限制。
[0041] 一种基于人工智能的网络安全态势预测系统,包括网络安全态势感知系统和网络安全态势预测系统,网络安全态势感知系统与网络安全态势预测系统通讯连接,网络安全
态势感知系统包括网络安全监测模块、信息采集模块、初步分析模块、网络安全态势计算中
心和第一通讯模块;
[0042] 网络安全监测模块用于在输入关键信息时对硬件设施进行检测,关键信息包括身份信息、验证码信息、交易密码和交易口令等信息;
[0043] 信息采集模块用于采集硬件设施自身安全系统的安全记录,安全记录包括木马攻击记录、防火墙漏洞、非法软件安装记录和病毒检测记录;
[0044] 初步分析模块针对信息采集模块采集的信息进行初步分析判断,并在初步分析危险等级达到高时,通知网络安全态势计算中心,危险等级判断标准为存在一个以上系统异
常项即判断危险等级为高;
[0045] 网络安全态势预测系统包括人工智能分析中心、第二通讯模块、历史事件对比模块、学习模块和远程通讯模块;
[0046] 网络安全态势预测系统还包括基于互联网大数据的网络安全事件爬取模块,网络安全事件爬取模块与互联网大数据系统通讯连接,通过大数据系统获取网络安全历史事件
信息,并存储于网络安全态势预测系统的历史事件数据库中;
[0047] 人工智能分析中心调用历史事件对比模块,对当前安全异常信息与历史事件数据库内的参数进行对比,若相似度大于60%则发出通讯请求,若相似度小于或等于60%则判
断为新异常事件,存储进历史事件数据库中,并通过第二通讯模块将信息发送给网络安全
员,通讯请求调用远程通讯模块发送给执行人员或者网络安全员,学习模块与人工智能分
析中心通讯连接,学习模块可人工设定关键判断条件以及最新判断特征,人工智能分析中
心根据关键判断条件和最新判断特征进行快速判断,且人工智能分析中心内部设置以后快
速通讯程序,快速通讯程序与第二通讯模块连接。
[0048] 采用网络安全事件爬取模块与互联网大数据系统通讯连接,通过大数据系统获取网络安全历史事件信息,并存储于网络安全态势预测系统的历史事件数据库中,在人工智
能分析中心进行预测分析过程中,通过历史事件对比模块将当前异常信息与历史安全事件
信息对比,从而快速得到结果,同时网络安全态势预测系统内部还设置有学习模块,通过人
工设定的判断条件快速判断,从而可以快速针对突发安全事件快速响应和预测。
[0049] 网络安全态势计算中心内部设置有网络安全态势计算程序,网络安全态势计算程序获取信息采集模块获取的数据进行计算分析,给出网络安全评分值;当网络安全评分值
为负数时,网络安全态势感知系统通过第一通讯模块与网络安全态势预测系统进行信息通
讯,人工智能分析中心对该网络安全评分值进行确认,并通过第二通讯模块与第一通讯模
块连接,主动获取信息采集模块的数据,通过历史事件对比模块,对获取的网络安全信息自
主分析,并在必要时通过远程通讯模块通知关联人员。
[0050] 网络安全评分值的评分标准为任一安全问题存在时间大于一个杀毒或维护周期,则评分值为负数,否则评分值为正数,杀毒和维护周期根据系统操作日志获取,网络安全态
势计算中心内部设置有网络安全态势计算程序,网络安全态势计算程序通过系统操作日志
获取杀毒和维护周期,网络安全评分值的评分标准为任一安全问题存在时间大于一个杀毒
或维护周期,则评分值为负数,该算法适用于多种硬件设备,且根据每个硬件设备的杀毒周
期不同而灵活改变判断标准,从而判断准确的提高,降低因为统一判断周期造成的误判率。
[0051] 实施例1
[0052] 采用该基于人工智能的网络安全态势预测系统进行网络安全预测,用于在计算机上输入身份证信息,此时网络安全监测模块捕捉到键盘上的按键信息,确定是身份证信息
后,信息采集模块即调用计算机系统的安全记录,和该计算机的用户设定的杀毒和维护周
期参数,安全记录包括木马攻击记录、防火墙漏洞、非法软件安装记录和病毒检测记录,初
步分析模块针对信息采集模块采集的信息进行初步分析判断,并在初步分析危险等级达到
高时,通知网络安全态势计算中心,所述危险等级判断标准为存在一个以上系统异常项即
判断危险等级为高,即会判断异常等级为高,然后网络安全态势计算中心针对异常信息进
行计算,计算规格为:如果存在一个非法程序或者异常问题存在一个杀毒和维护周期时间
以上的,即代表异常,然后通过第一通讯模块将信息传递给网络安全态势预测系统。
[0053] 实施例2
[0054] 网络安全态势预测系统内部的人工智能分析中心对该网络安全评分值进行确认,并通过第二通讯模块与第一通讯模块连接,主动获取信息采集模块的数据,通过历史事件
对比模块对获取的网络安全信息自主分析,对当前安全异常信息与历史事件数据库内的参
数进行对比,若相似度大于60%则发出通讯请求,若相似度小于或等于60%则判断为新异
常事件,存储进历史事件数据库中,并通过第二通讯模块将信息发送给网络安全员,同时网
络安全态势预测系统内部设置有学习模块,学习模块可人工设定关键判断条件以及最新判
断特征,人工智能分析中心根据关键判断条件和最新判断特征进行快速判断,且人工智能
分析中心内部设置以后快速通讯程序,快速通讯程序与第二通讯模块连接
[0055] 实施例3
[0056] 所述人工智能分析中心调用历史事件对比模块,对当前安全异常信息与历史事件数据库内的参数进行对比的过程包括:
[0057] 在所述当前安全异常信息中获取异常特征集合Y:
[0058] Y={yi}
[0059] 其中,yi表示第i个异常特征;
[0060] 针对历史事件数据库内事件进行事件参数提取,获得所述历史事件数据库中事件的参数信息A:
[0061] A={Xj}
[0062] 其中,Xj表示历史事件数据库内第j件事件的参数集合;
[0063] 根据下述公式计算当前安全异常信息与历史事件数据库内事件的比对度;
[0064]
[0065] 上述公式中,Wj表示当前安全异常信息与历史事件数据库内的第j件事件的比对度,count{Y}表示当前安全异常信息中异常特征数量,sim(yi,xjk)表示当前安全异常信息
中第i个异常特征与历史事件数据库内第j件事件的第k个参数的语义相似度,i的取值为区
间[1,count{Y}]范围内的正整数,k的取值为1,2,…,nj,nj表示历史事件数据库内第j件事
件的参数数目,a表示预设阈值,在这里取值为0.7;
[0066] 根据所述当前安全异常信息与历史事件数据库内事件的比对度得到相似度;
[0067]
[0068] 其中,L(Y)表示当前安全异常信息与历史事件数据库内事件的比对度得到相似度,count(A)表示历史事件数据库内事件数目。
[0069] 上述技术方案人工智能分析中心在调用历史事件对比模块将当前安全异常信息与历史事件数据库内的参数进行对比时,能够高效快速获得当前安全异常信息与历史事件
数据库内的参数相似度,而且在进行比对时,通过将当前安全异常信息的特征与历史事件
数据库内事件的参数进行比对能够缩短比对过程的工作量,加快比对的速度,并且在比对
度计算时,通过当前安全异常信息的特征与历史事件数据库内事件的参数进行语义相似度
进行计算比对度,使得近义表述也能够比对出来,从而提高相似度的准确性。
[0070] 以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其
发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。