(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211208148.5 (22)申请日 2022.09.30 (71)申请人 重庆航天职业 技术学院 地址 400021 重庆市江北区红石路25 5号 (72)发明人 蒋文豪　李铮　田燕　 (74)专利代理 机构 重庆弘毅智行专利代理事务 所(普通合伙) 50268 专利代理师 熊雄 (51)Int.Cl. G06F 16/22(2019.01) G06F 16/215(2019.01) G06F 16/2458(2019.01) G06F 16/951(2019.01) G06N 3/04(2006.01) (54)发明名称 一种基于网络威胁和情报分析的网络安全 平台构建方法 (57)摘要 本发明请求保护一种基于网络威胁和情报 分析的网络安全平台构建方法， 属于网络平台监 管和搭建技术领域。 其包括以下步骤： 步骤1、 采 用网络爬 虫收集网络大数据， 并对 大数据进行打 标和数据清理、 数据分片在内的预处理； 步骤2、 安全大数据分析步骤， 具体包括： 数据挖掘步骤、 关联规则分析步骤、 深度学习步骤、 特征工程步 骤及检索索引步骤； 步骤3、 根据步骤2的安全大 数据分析步骤， 得出安全大数据分析结果。 本发 明提高了网络威胁和情报分析的准确性和安全 性。 权利要求书2页 说明书5页 附图1页 CN 115544009 A 2022.12.30 CN 115544009 A 1.一种基于网络威胁和情报分析的网络安全平台构建方法， 其特征在于， 包括以下步 骤： 步骤1、 采用网络爬虫收集网络大数据， 并对大数据进行打标和数据清理、 数据分片在 内的预处 理； 步骤2、 安全大 数据分析步骤， 具体包括： 数据挖掘步骤、 关联规则分析步骤、 深度学习步骤、 特 征工程步骤及检索 索引步骤； 步骤3、 根据步骤2的安全大 数据分析步骤， 得 出安全大 数据分析 结果。 2.根据权利要求1所述的一种基于网络威胁和情报分析的网络安全平台构建方法， 其 特征在于， 所述步骤1、 采用网络爬虫手机网络大数据， 并对 大数据进 行去噪、 数据分片在内 的预处理， 具体包括： 采用网络爬虫收集网络大数据， 并对 网络大数据进行打标和数据清理后将数据分为正 常用户和 威胁用户两类， 然后对数据中存在异常值和空值的数据进行清理， 对每个威胁用 户的相似度进行计算， 对每个威胁用户中所包含的url数、 @数、 ##数进行计算和提取， 得到 威胁用户模型使用的数据集。 3.根据权利要求1所述的一种基于网络威胁和情报分析的网络安全平台构建方法， 其 特征在于， 所述步骤1对数据分片主要包括： 对威胁用户信息、 用户社 交关系、 用户历史行为 记录三个方面的数据进行时间分片， 将数据按照时间区间进行划分。 4.根据权利要求1所述的一种基于网络威胁和情报分析的网络安全平台构建方法， 其 特征在于， 所述 步骤2中， 数据 挖掘步骤具体包括： 采用KNN即最近邻算法对数据进行挖掘， 最近邻算法具体步骤为： 计算训练样本和测试样本中每个样本点的欧式距离； 对欧式距离值进行排序； 选前k个 最小距离的样本； 根据这 k个样本的标签进行投票， 得到最后的分类 类别。 5.根据权利要求1所述的一种基于网络威胁和情报分析的网络安全平台构建方法， 其 特征在于， 所述关联规则分析步骤具体包括： 在得到了分类类别后， 采用基于Apriori算法对其进行关联规则分析， 基于Apriori算 法具体包括： 对数据中每一项数据进行 频率次数统计； 构成候选项集C1， 计算每一项的支持度(频率次数/总数)； 根据给定的最小支持度值， 对候选集进行筛选， 得到频繁项集L1， 即去掉支持度小于最 小支持度的候选集； 对频繁项集L1进行连接生成候选集C2， 重复上述步骤， 最终形成频繁K项集或者最大的 频繁项集。 6.根据权利要求4所述的一种基于网络威胁和情报分析的网络安全平台构建方法， 其 特征在于， 所述深度学习步骤具体包括： 采用RBM受限玻尔兹曼机深度学习网络进 行深度学 习， RBM受限玻尔兹曼机具备两层结构、 层间全连接和层内无连接的特点， 适用于有效地提 取数据特征以及预训练传统的前馈神经网络， 可明显提高网络的判别能力； 其可见层所描 述的是观察数据一个方面或一个特征， 约束条件是可见单元和隐藏单元必须构成二分图； 这种机制可用于组建更加有效的训练算法， 特别是基于梯度的对比发散算法； 用RBM可以组 成以下深层模型： 深度置信网络(Deep  Belief Network， DBN)、 深度玻尔兹曼机(Deep  权　利　要　求　书 1/2 页 2 CN 115544009 A 2Boltzmann Machines， DBM)和深能模型(Deep  Energy Models， DEM)， 适用于 特征提取、 数据 编码、 构建用于监 督学习的分类或回归学习模型， 以及 初始化神经网络等场景。 7.根据权利要求5所述的一种基于网络威胁和情报分析的网络安全平台构建方法， 其 特征在于， 所述特 征工程步骤具体为： 在完成深度学习后， 对其特征进行提取， 采用Wi ‑Fi距离强度这一指标对其进行特征提 取， 具体包括： 首先将Wi ‑Fi名称离散化为1000维特征向量， 特征值即为Wi ‑Fi名所对应的 Wi‑Fi强度， 然后根据转换公式： 将离散化的Wi ‑Fi强度特征向量转 换为了Wi ‑Fi距离强度特征向量， 其中 为第i个样本 的1000维Wi ‑Fi距离强度特征向量， 为第i个样本的1000维Wi ‑Fi名所对应的Wi ‑Fi强度特 征向量， |Yi|为第i个样本对应的威胁用户集合的大小， 分别表示该样 本对应威胁用户Aj对应位置的经纬度， λa, 分别表示该样本对应用户所在的经纬度。 8.根据权利要求6所述的一种基于网络威胁和情报分析的网络安全平台构建方法， 其 特征在于， 所述检索 索引具体包括： 采用BTree算法进行检索索引， BTree是最常用的mysql数据库索引算法， 也是mysql默 认的算法； 因为它不仅可以被用在＝， >， >＝， <＝和b etween这些比较操作符上而且还可以 用于like操作符； 只要它的查询条件是一个不以通配符开头的变量。权　利　要　求　书 2/2 页 3 CN 115544009 A 3