(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210983676.1 (22)申请日 2022.08.17 (65)同一申请的已公布的文献号 申请公布号 CN 115051879 A (43)申请公布日 2022.09.13 (73)专利权人 珠海市鸿瑞信息技 术股份有限公 司 地址 519000 广东省珠海市唐家湾镇大 学 路101号清华科技园4栋12层 (72)发明人 陈良汉　段海宁　洪超　 (74)专利代理 机构 北京华际知识产权代理有限 公司 11676 专利代理师 吕青霜 (51)Int.Cl. H04L 9/40(2022.01)G06N 20/00(2019.01) (56)对比文件 CN 110740141 A,2020.01.31 US 2016330219 A1,2016.1 1.10 陶源等.网络安全态势感知关键技 术研究及 发展趋势分析. 《信息网络安全》 .2018,(第08 期), 审查员 陈佳 (54)发明名称 基于机器学习的网络安全态势感知系统的 数据分析系统 (57)摘要 本发明公开了基于机器学习的网络安全态 势感知系统的数据分析系统， 系统包括安全要素 采集模块、 安全态势分析模块、 网络安全规划模 块和网络安全 预警模块； 安全要素采集模块用于 采集网络中用户操作的行为习惯数据、 终端设备 的数据和操作系统的数据； 安全态势分析模块用 于获取安全要素采集模块采集到的数据并分析 用户操作的异常、 操作系统存在的漏洞和终端设 备的脆弱性， 最后得出网络安全态势分析报告； 网络安全规划模块用于获取网络安全态势分析 报告并进行网络安全规划， 建立网络安全管理制 度和制定网络安全应急响应方案； 网络安全预警 模块用于实时监测网络中操作系统和终端设备 的运行， 对当前和将来要发生的网络安全威胁进 行判断和预警。 权利要求书3页 说明书7页 附图2页 CN 115051879 B 2022.11.22 CN 115051879 B 1.基于机器学习的网络安全态势感知系统的数据分析系统， 其特征在于， 所述系统包 括安全要 素采集模块、 安全态势分析模块、 网络安全规划模块和网络安全预警模块； 所述安 全要素采集模块用于采集网络中用户操作的行为习惯数据、 终端设备的数据和操作系统的 数据； 所述安全态势分析模块用于获取安全要素采集模块采集到的数据并分析用户操作行 为的异常、 终端设备的脆弱性和操作系统存在的漏洞， 最后得出网络安全态势分析报告； 所 述网络安全规划模块用于获取网络安全态势分析报告并进 行网络安全规划， 建立网络安全 管理制度和制定网络安全应急响应方案； 所述网络安全预警模块用于实时监测网络中操作 系统和终端设备的运行， 对当前和将来要发生的网络安全威胁进行判断和预警； 基于机器学习的网络安全态势感知系统 的数据分析系统可以实现的方法， 包括以下步 骤： S1： 安全要素采集模块采集网络中操作系统的数据、 终端设备的数据和用户的行为习 惯数据； S2： 安全态势分析模块获取安全要素采集模块采集到的数据并分析， 得到网络安全态 势分析报告； S3： 网络安全规划模块根据网络安全态势分析报告进行网络安全规划， 建立网络安全 管理制度和制定网络安全应急响应方案； S4： 网络安全预警模块根据网络安全态势分析报告发出的预警进行可视化分析得到具 体执行指令； 在步骤S1中： 安全采集模块采集网络 中操作系统的数据， 包括操作系统 的版本、 网络协 议、 安全配置和防火墙信息， 得到一组操作系统数据集合A={ 、 、 ...、 },m表示操 作系统的数据种类； 采集网络中终端设备的数据， 包括设备制 造商、 设备使用年限、 接口连 接情况和移动存储介质使用情况， 得到一组终端数据集合B={ 、 、 、 ...、 },n表示终 端设备数据的种类； 采集用户的行为习惯数据， 包括用户登录账号、 IP地址、 浏览页面和读 取文件， 得到一组用户行为习惯数据集合C={ 、 、 、 ...、 }， k表示用户行为习惯的数 据种类； 在步骤S2中： 安全态势分析模块获取数据集合A、 B、 C， 利用协方差分析算法首先分别计 算集合A、 B、 C的均值， 均值计算公式为： 其中， 为集合中第i项数值， d为集合总数， 为均值； 其次计算集合A、 B、 C的方差， 方差 计算公式为： 其中 为集合的方差； 然后根据协方差公式计算集合中任意两个数据之间相关性程 度， 协方差公式为：权　利　要　求　书 1/3 页 2 CN 115051879 B 2最后得到集 合中第i个元 素和第j个元 素的协方差组成的协方差矩阵为： D= 如果协方差矩阵D的值大于0则表示该集合A、 B、 C数据与网络安全威胁正相 关， 协方差 矩阵D的值小于0则表示该集合A、 B、 C数据与网络安全威胁负相关， 协方差矩阵D的值等于0 则表示该集合A、 B、 C数据与网络安全威胁不相关； 根据计算三组集合A、 B、 C的协方差矩阵D， 得出网络态 势分析报告； 在步骤S3中： 网络安全规划模块接收网络态势分析报告， 根据网络态势分析报告进行 网络安全规划， 网络安全规划包括以下步骤： S301、 全面排查网络中操作系 统， 进行安全补丁更新， 全面修复操作系 统漏洞； 加固安 全配置， 检查网络口令强弱、 删除多余过期账户、 关闭默认开启共享和高危端口排 查； S302、 增加用户操作权限， 根据不同的用户账号进行权限分级， 限制部分用户的操作； 实时监测用户进入网络的行为， 对异常行为进行预警； 升级网络中的数据保护， 用户访问并 获取数据需要 进行再次验证； S303、 升级终端设备， 排查终端设备的制造信息， 对不兼容最新操作系统更新的设备进 行固件更新， 发生过数据 泄露的终端设备进行更换， 管控移动存储介质在终端设备之间的 使用； 根据网络安全规划， 建立安全管理制度和制定网络安全应急响应方案， 安全管理制度 包括： S311、 培训操作终端设备 人员的网络安全意识； S312、 定期进行操作系统与终端设备的安全评估； S313、 从架构优化、 安全运维以及监测预警方面建立 安全技术防御体系； 在步骤S4中： 网络安全预警模块接收到网络安全威胁风险预警， 针对预警中的专业网 络安全用语进行 可视化分析转换为可 执行的简单指令 。 2.根据权利要求1所述的基于机器学习的网络安全态势感知系统的数据分析系统， 其 特征在于： 所述安全要素采集模块包括用户行为采集单元、 终端设备采集单元和操作系统 采集单元， 所述用户行为采集单元用于采集用户在网络中操作终端设备与运行操作系统过 程中产生的行为习惯数据； 所述终端设备采集单元用于采集网络中的终端设备的参数信 息、 终端设备之间的连接情况和移动存储介质在各终端设备之间使用的信息； 所述操作系 统采集单元用于采集网络中操作系统运行的系统日志信息、 应用日志信息和网络日志信 息。 3.根据权利要求1所述的基于机器学习的网络安全态势感知系统的数据分析系统， 其 特征在于： 所述安全态势分析模块包括第一分析单元、 第二分析单元和第三分析单元， 所述 第一分析单元用于获取用户行为采集单元采集到的数据， 并分析用户在网络中操作终端设 备与运行操作系统的行为习惯是否存在异常； 所述第二分析单元用于获取终端设备采集单权　利　要　求　书 2/3 页 3 CN 115051879 B 3