(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211106662.8 (22)申请日 2022.09.13 (65)同一申请的已公布的文献号 申请公布号 CN 115189970 A (43)申请公布日 2022.10.14 (73)专利权人 珠海市鸿瑞信息技 术股份有限公 司 地址 519000 广东省珠海市唐家湾镇大 学 路101号清华科技园4栋12层 (72)发明人 刘智勇　段海宁　翁炜城　 (74)专利代理 机构 北京华际知识产权代理有限 公司 11676 专利代理师 冯姣 (51)Int.Cl. H04L 9/40(2022.01)H04L 41/14(2022.01) H04L 41/147(2022.01) (56)对比文件 CN 114996080 A,202 2.09.02 CN 114024831 A,202 2.02.08 审查员 陈婷 (54)发明名称 一种安全态势感知系统的网络安全分析系 统及方法 (57)摘要 本发明公开了一种安全态势感知系统的网 络安全分析系统及方法， 属于网络安全分析系统 技术领域， 该网络安全分析系统包括数据采集模 块、 态势感知模块、 态势 映射模块和安全分析模 块， 通过数据采集模块对当前整个网络状态进行 数据采集并获取整个网络状态的历史数据， 通过 态势感知模块对异常数据进行识别并理解异常 数据隐藏的目的， 通过态势映射模块建立危险模 型从而进行危险预测， 通过安全分析模块根据危 险预测结果及历史数据对网络安全进行维护和 升级， 当态势映射模块预测出某 一危险事件即将 发生时， 系统会迅速做出预警从而使得工作人员 及时进行防御和应对， 并根据态势映射和历史数 据的分析结果进行综合分析， 从而针对性的升级 和维护网络安全。 权利要求书4页 说明书10页 附图2页 CN 115189970 B 2022.12.20 CN 115189970 B 1.一种安全态势感知系统的网络安全分析方法， 其特征在于： 该网络安全分析方法包 括以下步骤： S1、 利用数据采集模块获取整个网络状态当前 数据以及历史数据； S2、 利用态 势感知模块识别异常数据并理解异常数据隐藏的目的； S3、 利用态 势映射模块建立 危险模型并进行危险预测； S4、 利用安全分析模块实现网络安全的维护和升级； 在S4中， 所述 安全分析模块包括预警单 元、 分析单元和维护单 元； 所述预警单 元是将态势映射中的预测结果选择不同的方式进行传输预警； 将各个危险事件的危险预警概率值放入集合 为 危险事件m的危险预警概率值； 将集合F和集合Q中的元素进行比较； 集合F是指危险事件发 生的概率的集合， ， 其中 表示第m件危险事 件发生的概 率； 当 时， 则证明该危险事 件的危害程度高， 系统会立即发出警告； 当 时， 系统会及时将各个危险事 件的预测结果以图表的形式进行传输预警； 所述分析单元是根据态势映射中的预测结果和历史记录进行分析， 将 获取的历史数据 进行统计分析， 将各个危险事件发生的次数存储到集合 ， 其中 分别表示危险事件1发生 的次数、 危险事件2发生的次数、 危险事件3 发生的次数、 、 危险事件m发生的次数； 将集合E中的元素与集合 进行比较； 其中集合R为危险事件预 警次数值， 分别表示危险事件1的预警次数、 危险事件2的预警次数、 危 险事件3的预警次数、 危险事件m的预警次数； 当 时， 证明该危险事 件出现的频率过高； 所述维护单元根据分析单元的分析结果和态势映射的分析结果对网络安全进行升级 和维护； 当 且 不论什么情况下， 都证明该危险事件出现的频率过高， 需要对该 危险事件出现的漏洞进行修 正； 当 且 不论什么情况下， 都证明该危险事件的危害程度过高； 需要对该 危险事件出现的漏洞进行修 正； 其他情况下， 将危险事件出现的次数和态势映射的分析结果相结合从而对 网络安全进 行维护和升级。权　利　要　求　书 1/4 页 2 CN 115189970 B 22.根据权利要求1所述的一种安全态势感知系统 的网络安全分析方法， 其特征在于： 在 S1中， 所述 获取整个网络状态当前数据以及历史数据是利用数据采集单元和历史数据获取 单元实现的； 并将获取的数据根据不同的业 务把数据存 储到不同的存 储系统上。 3.根据权利要求2所述的一种安全态势感知系统 的网络安全分析方法， 其特征在于： 在 S2中， 所述识别异常数据是指利用态 势察觉单 元识别出异常数据， 其识别过程 为： Z1、 将获取的网络运行状态放入集合 ， 其中 为库所， 表示 网络运行状态， n表示第n次获取网络运行状态； 变迁集合为 ， 其 中集合T为有限集 合， 其中 为变迁条件， v表示第v种变迁方式； Z2、 的结合关系的表达式为： ; Z3、 数据异常的判断公式为： ； 其中 代表原始状态的谓词, 为状态变迁时需要符合的变迁条 件， 其功能允许变量组  T在不同状态时取值 不变； Z 4 、通 过 上 述 公 式 来 判 断 数 据 是 否 异 常 ， 并 将 异 常 的 数 据 放 入 集 合 ， 其中 代表第n个异常数据， 集 合M为异常数据集 合； 所述理解异常数据隐藏的目的是利用态势理解单元实现的， 通过STIX  本体模型表示 系统任务间依赖关系， 并利用数据驱动型和认知驱动型两种技术推理态势的演变， 理解隐 藏目的。 4.根据权利要求3所述的一种安全态势感知系统 的网络安全分析方法， 其特征在于： 在 S3中， 所述建立 危险模型 是指建立 攻击预测模型、 病毒预测模型和零日漏洞预测模型； 所述攻击预测模型的建立是指利用多级贝叶斯网络进行预测， 该攻击预测模型建立的 具体步骤为： L1、 将态势察觉单 元分析到的异常数据存 储到集合S中； L2、 基于证据 集合S， 利用MATLAB  的贝叶斯网络工具集建立多级贝叶斯网络， 多级贝叶 斯网络的每个节点都有一个 唯一索引， 索引范围是  1~ N， 其中N 表示节点总数量， 数组元 素的取值范围是 –N N的整数； L3、 计算出攻击事 件发生的概 率； 所述病毒预测模型是指分析病毒在PC网络和PLC网络的状态转移情况并计算PC ‑PLC  网络存在部 分已感染节点， 但不再有新的节点被感染这种情况所需的平衡条件从而建立模 型以此对病毒的传播趋势进行 预测； 所述零日漏洞预测模型建立的具体步骤为： H1、 根据过 滤规则从系统调用日志提取 出单个设备的访问路径； H2、 基于上述访问路径为每台设备构建进程、 文件和 sockets对象依赖图， 并根据网络 拓扑将这些设备级对象依赖图扩展为网络级对象依赖图；权　利　要　求　书 2/4 页 3 CN 115189970 B 3