(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211059511.1 (22)申请日 2022.09.01 (65)同一申请的已公布的文献号 申请公布号 CN 115150195 A (43)申请公布日 2022.10.04 (73)专利权人 珠海市鸿瑞信息技 术股份有限公 司 地址 519000 广东省珠海市唐家湾镇大 学 路101号清华科技园4栋12层 (72)发明人 刘智勇　陈良汉　翁炜城　洪超　 (74)专利代理 机构 北京华际知识产权代理有限 公司 11676 专利代理师 吕青霜 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 113037745 A,2021.0 6.25 CN 113269389 A,2021.08.17 CN 112039862 A,2020.12.04 CN 111447168 A,2020.07.24 CN 114679338 A,202 2.06.28 US 2022210173 A1,202 2.06.30 US 20182 25964 A1,2018.08.09 US 2007089165 A1,2007.04.19 李晓东.基 于云平台的智慧安全态势感知系 统构建. 《河北能源职业 技术学院学报》 .2018, (第02期), 工业互联网安全监测与态势感知解决方案. 《自动化博览》 .2020,(第02期), 审查员 曾康玲 (54)发明名称 基于网络安全态势感知系统的实时动态预 警系统及方法 (57)摘要 本发明公开了基于网络安全态势感知系统 的实时动态预警系统及方法， 包括数据采集模 块， 用于采集网络安全态势感知系统在不同安全 事件下的特征数据； 数据库模块， 用于构建网络 安全态势感知系统的安全事件 ‑特征数据集合； 独立评价模块， 用于构建独立评价模型； 集体评 价模块， 用于构建集体评价模型； 经典评价模块， 用于构建经典评价模型； 环境态势评价模块， 用 于获取数据采集模块采集的不同应用环境下的 网络安全态势感知系统的特征数据， 然后分别与 独立评价模块中的独立参考范围、 集体评价模块 的集体参考范围和经典评价模块中的标准参考 区间进行比较， 从而获得 实时监测下网络安全态 势感知系统的环境态 势评价结果。 权利要求书3页 说明书7页 附图1页 CN 115150195 B 2022.12.20 CN 115150195 B 1.基于网络安全态 势感知系统的实时动态预警方法， 其特 征在于， 包括以下步骤： 步骤S1： 获取历史监测周期内网络安全态势感知系统中记录安全事件的数据， 所述安 全事件的数据指系统遭受攻击的前中后期对应的数据， 并以不同安全事件对应的特征指标 构建网络安全态势感知系统的安全事件 ‑特征数据集合， 所述特征数据是指在 网络安全态 势感知系统中发生安全事件时涉及的波动数据， 所述波动数据包括网络结构数据、 网络服 务数据、 漏洞数据、 脆弱性数据、 威胁入侵数据和用户异常行为数据； 步骤S2： 基于应用于不同环境下的网络安全态势感知系统， 统计其在每次安全事件时 段内的每种特征数据的中心值a和标准差b， 且将(a ‑b,a+b)作为对应特征数据的系统环境 参考范围， 完成所有环境下网络安全态势感知系统的统计， 从而得到每种环境下网络安全 态势感知系统在每次安全 事件时段内的独立 参考范围， 获得独立评价模型； 步骤S3： 基于每个安全事件时段， 计算每种特征数据在所有环境下网络安全态势感知 系统中的中心值的平均值a0和 对应标准差的平均值b0， 将(a0 ‑b0,a0+b0)作为对应特征数 据的集体参考范围， 完成所有安全事件时段 的统计， 从而得到每个安全事件时段内的每种 特征数据在所有环境下的平均水平， 获取集体评价模型； 步骤S4： 统计每种特征数据在所有安全事件时段内的标准参考区间， 完成所有特征数 据的统计， 从而得到每个安全事件时段内的每种 特征数据的标准参考区间， 获取经典评价 模型； 步骤S5： 实时采集网络安全态势感知系统中的特征数据， 分别与独立评价模型中的独 立参考范围、 集体评价模型中的集体参考范围以及经典评价模型中的标准参考范围进 行比 较， 从而获取网络安全态势感知系统的环境态势评价结果； 并根据环境态势评价结果与系 统设定的评价阈值进 行对比， 当环境态势评价结果小于评价阈值时， 继续监测； 当环境态势 评价结果大于等于 评价阈值时， 对所处态 势感知系统进行实时动态预警。 2.根据权利要求1所述的基于网络安全态势感知系统的实时动态预警方法， 其特征在 于： 所述构建网络安全态 势感知系统的安全 事件‑特征数据集合， 包括以下 具体步骤： 获取安全事件发生时段内的前中后期划分为h个监测时段， 对第u种应用环境下的网络 安全态势感知系统Qu在第v个监测时段Tv内获取第j种特征数据Gj， Qu表示第u种应用环境 下的网络安全态势感知系统， u={1,2,...,w}， v≤h， j={1,2,...,m}， w表示网络安全态势感 知系统应用环 境的总个数， m表 示特征数据的总数量； 完成历史数据的提取， 得到安全事件 ‑ 特征数据集合。 3.根据权利要求2所述的基于网络安全态势感知系统的实时动态预警方法， 其特征在 于： 构建所述独立评价模型的方法包括以下 具体步骤： 针对应用环境下的网络安全态势感知系统Qu， 统计其在每个安全事件监测时段Tv内的 每种特征数据Guvj的中心值auvj和标准差buvj； 将(auvj‑buvj,auvj+buvj)作为对应特征数据Guvj的独立参考范围， 完成所有应用环 境下的网络安全态 势感知系统Qu的统计； 从而得到每种应用环境下网络安全态势感知系统Qu在每个安全事件监测时段Tv内的 每种特征数据Gj的独立 参考范围： (aj ‑bj,aj+bj)， 构建独立评价模型。 4.根据权利要求3所述的基于网络安全态势感知系统的实时动态预警方法， 其特征在 于： 构建所述 集体评价模型包括以下 具体步骤：权　利　要　求　书 1/3 页 2 CN 115150195 B 2提取每种应用环境下网络安全态势感知系统Qu的特征数据Guvj的中心值auvj和标准 差buvj， 计算所有应用环境下网络安全态势感知系统的特征数据Gvj的中心值的平均值 auj0和标准差的平均值buj 0， 从而得到安全事件监测时段Tv内特征数据Gj的群体参考范围 (avj0‑bvj0,avj0+bvj0)； 其中avj0=(av1j+av2j+. ..+avvj+...+avwj)/w， bvj0=(bv1j+bv2j+. ..+bvuj+. ..+bvwj)/w； 计算安全事件监测时段Tv内的所有特征数据的集体参考范围， 记为(av0 ‑bv0,av0+ bv0)； 计算所有安全事件监测时段内所有特征数据的群体参考范围， 记为(a0 ‑b0,a0+b0)； 从 而得到安全事件每个监测时段Tv内的每种特征数据Gj在集体中的平均水平， 即集体参考范 围(a0‑b0,a0+b0)， 构建集体评价模型。 5.根据权利要求4所述的基于网络安全态势感知系统的实时动态预警方法， 其特征在 于： 构建所述经典评价模型包括以下 具体步骤： 获取历史数据中每种特征数据在所有安全事件时段内的标准参考 区间， 所述标准参考 区间由安全事件发生后在预设时间范围内恢复系统的标准特征数据对应的目标安全事件 分析而得， 所述标准特 征数据为系统设置的正常运作时的特 征数据； 获取目标安全事件中特征数据Gj在监测时段Tv内的标准参考区间记为Gvj(mingvj, maxgvj)， 其中mingvj表示在监测时段Tv内目标安全事件中特征数据Gj波动的最小值， maxgvj表示在监测时段Tv内目标安全 事件中特征数据Gj波动的最大值； 完成所有特征数据的统计， 从而得到每个监测时段内的所有特征数据的标准参考区间 (ming,maxg)， 构建经典评价模型。 6.根据权利要求5所述的基于网络安全态势感知系统的实时动态预警方法， 其特征在 于： 所述步骤S5包括以下 具体步骤： 步骤S5.1： 实时获取网络安全态 势感知系统的特 征数据Gj'； 步骤S5.2： 将每个特征数据Gj'与独立评价模型中相同安全事件监测时段内的相同特 征数据的独立参考范围进行比较， 获得针对每个特征数据Gj'的独立评价模型的环境态势 得分D1j， 计算所有环境态 势得分D1j的平均值， 记为D1j0； 步骤S5.3： 将每个特征数据Gj'与集体评价模型中相同安全事件监测时段内的相同特 征数据的集体参考范围进行比较， 获得针对每个特征数据Gj'的集体评价模型的环境态势 得分D2j， 计算所有环境态 势得分D2j的平均值， 记为D2j0； 步骤S5.4： 将每个特征数据Gj'与经典评价模型中相同安全事件监测时段内的相同特 征数据的标准参考区间进行比较， 获得针对每个特征数据Gj'的经典评价模型的环境态势 得分D3j， 计算所有环境态 势得分D3j的平均值， 记为D3j0； 步骤S5.5： 分别赋予独立评价模型、 集体评价模型和经典评价模型的评价结果以相应 的权重， 依次记为α 、 β 和γ， 利用公式： 计算实时监测的网络安全态势感知系统 的综合态势评分， 并作为环境态势评估结果输 出， 其中α +β +γ=1， 且α ＞β ＞γ。 7.根据权利