(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211080088.3 (22)申请日 2022.09.05 (71)申请人 浙江御安信息技 术有限公司 地址 310000 浙江省杭州市拱 墅区石祥路 242号2幢40 3室 (72)发明人 吴艳　郭银锋　刘彦伸　虞雁群　 陈基展　 (74)专利代理 机构 合肥市科融知识产权代理事 务所(普通 合伙) 34126 专利代理师 吴伟栋 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06K 9/62(2022.01) G06F 40/30(2020.01)G06F 40/284(2020.01) G06F 16/35(2019.01) (54)发明名称 基于多源数据的网络安全扫描风险管控系 统及其方法 (57)摘要 公开了一种基于多源数据的网络安全扫描 风险管控系统及其方法， 其利用基于深度学习的 深度神经网络模型作为特征提取器对网络安全 系统所产生的安全日志、 系统日志、 漏洞数据和 流量数据进行多源数据编码以充分挖掘其内部 隐含信息和关联特征， 并将所挖掘的特征表示通 过分类器以得到用于表示是否产生网络安全预 警提示的分类结果。 这样， 提高网络安全风险管 控能力。 权利要求书4页 说明书12页 附图5页 CN 115529166 A 2022.12.27 CN 115529166 A 1.一种基于多源数据的网络安全扫描风险管控系统， 其特 征在于， 包括： 扫描数据采集单元， 用于获取从网络安全服务器采集的安全日志、 系统日志、 漏洞数据 和流量数据； 安全日志语义理解单元， 用于对所述安全日志进行分词处理后通过经训练完成的包含 嵌入层的上 下文编码器以得到安全日志语义理解特 征向量； 系统日志语义理解单元， 用于对所述系统日志进行分词处理后通过经训练完成的所述 包含嵌入层的上 下文编码器以得到系统日志语义理解特 征向量； 漏洞数据语义理解单元， 用于对所述漏洞数据进行分词处理后通过经训练完成的所述 包含嵌入层的上 下文编码器以得到漏洞数据语义理解特 征向量； 多源数据二维关联编码单元， 用于将所述安全日志语义理解特征向量、 所述系统日志 语义理解特征向量和所述漏洞数据语义理解特征向量排列为二维特征矩阵后通过经训练 完成的具有 多尺度卷积结构的第一卷积神经网络模型以得到多尺度二维关联 特征向量； 多源数据一维关联编码单元， 用于将所述安全日志语义理解特征向量、 所述系统日志 语义理解特征向量和所述漏洞数据语义理解特征向量排列为一维特征向量后通过经训练 完成的多尺度邻域特 征提取模块以得到多尺度邻域关联 特征向量； 特征向量融合单元， 用于 融合所述多尺度二维关联特征向量和所述多尺度邻域关联特 征向量以得到多维多尺度关联 特征向量； 流量数据 特征提取单元， 用于将所述流量数据按时间维度排列为流量输入向量后通过 经训练完成的包 含一维卷积层的时序编码器以得到流 量特征向量； 转移单元， 用于计算所述流量特征向量相对于所述多维多尺度关联特征向量的转移矩 阵作为分类特 征矩阵； 以及 风险管理结果生成单元， 用于将所述分类特征矩阵通过分类器以得到分类结果， 所述 分类结果用于表示是否产生网络安全预警提 示。 2.根据权利要求1所述的基于多源数据的网络安全扫描风险管控系统， 其特征在于， 所 述安全日志语义理解单 元， 包括： 分词子单 元， 用于对所述 安全日志进行分词处 理以得到词序列； 词嵌入子单元， 用于将所述词序列中各个词分别 输入所述上下文编码器的嵌入层以由 所述嵌入层将所述各个词转 化为词嵌入向量以得到词嵌入向量的序列； 上下文语义理解子单元， 用于将所述词嵌入向量的序列输入所述上下文编码器的基于 转换器的Ber t模型以得到多个词语义特 征向量； 以及 级联子单元， 用于将所述多个词语义特征向量进行级联以得到所述安全日志语义理解 特征向量。 3.根据权利要求2所述的基于多源数据的网络安全扫描风险管控系统， 其特征在于， 所 述多源数据二维关联编码单元， 进一步用于： 使用所述第一卷积神经网络模型 的各层在层 的正向传递中分别对输入数据进行： 使用第一卷积核对所述输入数据进行 卷积处理以得到第一卷积特 征图； 使用第二卷积核对所述输入数据进行 卷积处理以得到第二卷积特 征图； 使用第三卷积核对所述输入数据进行 卷积处理以得到第三卷积特 征图； 使用第四卷积核对所述输入数据进行 卷积处理以得到第四卷积特 征图；权　利　要　求　书 1/4 页 2 CN 115529166 A 2将所述第一卷积特征图、 所述第二卷积特征图、 所述第三卷积特征图和所述第 四卷积 特征图进行级联以得到卷积特 征图； 对所述卷积特 征图进行基于特 征矩阵的池化处 理以得到池化特 征图； 和 对所述池化特 征图进行非线性激活 处理以得到 激活特征图； 其中， 所述第一卷积神经网络模型的最后一层的输出为所述多尺度二维关联特征向 量。 4.根据权利要求3所述的基于多源数据的网络安全扫描风险管控系统， 其特征在于， 所 述第一卷积核的尺 寸为7×7， 所述第二卷积核的尺寸为5 ×5， 所述第三卷积核的尺 寸为3× 3且所述第四卷积核的尺寸 为1×1。 5.根据权利要求4所述的基于多源数据的网络安全扫描风险管控系统， 其特征在于， 所 述多源数据一维关联编码单 元， 包括： 第一邻域尺度编码子单元， 用于将所述一维特征向量输入所述多尺度邻域特征提取模 块的第一卷积层， 其中， 所述第一卷积层使用具有第一长度的一维卷积核对所述一维特征 向量进行一维卷积编码以得到第一尺度邻域关联 特征向量； 第二邻域尺度编码子单元， 用于将所述一维特征向量输入所述多尺度邻域特征提取模 块的第二卷积层， 其中， 所述第二卷积层使用具有第二长度的一维卷积核对所述一维特征 向量进行一维卷积编码以得到第二尺度邻域关联 特征向量； 以及 多尺度级联子单元， 用于将所述第 一尺度邻域关联特征向量和所述第 二尺度邻域关联 特征向量进行级联以得到所述多尺度邻域关联 特征向量。 6.根据权利要求5所述的基于多源数据的网络安全扫描风险管控系统， 其特征在于， 所 述转移单元， 进一步用于以如下公式来计算所述流量特征向量相对于所述多维多尺度关联 特征向量的转移 矩阵作为所述分类特 征矩阵； 其中， 所述公式为： v1为流量特征向量， v2为多维多尺度关联特征向 量， Mc为分类特 征矩阵。 7.根据权利要求6所述的基于多源数据的网络安全扫描风险管控系统， 其特征在于， 所 述风险管理结果生成单元， 进一步用于使用所述分类器以如下公式对所述分类特征矩阵进 行处理以得到所述分类结果； 其中， 所述公式为： O＝softmax{(Wn,Bn)： ...： (W1， B1)|Project(F)， 其中Project(F)表 示将所述分类特征矩阵投影为向量， W1至Wn为各层全连接层的权重矩阵， B1至Bn表示各层全 连接层的偏置矩阵。 8.根据权利要求1所述的基于多源数据的网络安全扫描风险管控系统， 其特征在于， 所 述基于多源数据的网络安全扫描风险管控系统， 还包括用于对所述包含嵌入层的上下文编 码器、 所述第一卷积神经网络模型、 所述多尺度邻域特征提取模块和所述包含一维卷积层 的时序编码器进行训练的训练模块； 其中， 所述训练模块， 包括： 训练数据采集单元， 用于获取训练数据， 所述训练数据包括安全日志、 系统日志、 漏洞 数据、 流量数据和是否产生网络安全预警的标注值； 训练安全日志语义理解单元， 用于对所述安全日志进行分词处理后 通过所述包含嵌入 层的上下文编码器以得到训练安全日志语义理解特 征向量；权　利　要　求　书 2/4 页 3 CN 115529166 A 3