(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210668069.6 (22)申请日 2022.06.14 (71)申请人 国网安徽省电力有限公司芜湖供电 公司 地址 241000 安徽省芜湖市中山北路18号 (72)发明人 杨安东　李祝红　赵灿明　包万敏　 汪太兴　 (74)专利代理 机构 合肥律众知识产权代理有限 公司 34147 专利代理师 余小映 (51)Int.Cl. H04L 41/14(2022.01) H04L 9/40(2022.01) G06F 16/36(2019.01) (54)发明名称 一种网络安全态 势感知分析系统 (57)摘要 本发明涉及网络安全， 具体涉及一种网络安 全态势感知分析系统， 包括服务器和网络数据获 取模块， 网络数据获取模块获取物理网络设备的 历史网络数据、 实时网络数据， 服务器通过知识 图谱构建模块基于历史网络数据构建知识图谱， 服务器通过攻击威胁评估模型构建模块基于知 识图谱构建攻击威胁评估模型， 并通过攻击威胁 评估结果生成模块利用攻击威胁评估模型得到 攻击威胁评估 结果； 服务器通过攻击场景识别模 型构建模块基于知识 图谱构建攻击场景识别模 型， 并通过攻击场景识别结果生成模块利用攻击 场景识别模 型得到攻击场景识别结果； 本发明提 供的技术方案能够有效克服现有技术所存在的 单一分析模型难以得出较为准确的网络安全态 势评估结果的缺陷。 权利要求书2页 说明书6页 附图3页 CN 115037632 A 2022.09.09 CN 115037632 A 1.一种网络安全态势感知 分析系统， 其特征在于： 包括服务器和网络数据获取模块， 所 述网络数据获取模块获取物理网络设备 的历史网络数据、 实时网络数据， 所述服务器通过 知识图谱构建模块基于历史网络数据构建知识图谱， 所述服务器通过攻击威胁评估模型构 建模块基于知识图谱构建攻击威胁评估模型， 并通过攻击威胁评估结果生成模块利用攻击 威胁评估 模型得到攻击威胁评估结果； 所述服务器通过攻击场景识别模型构建模块基于知识图谱构建攻击场景识别模型， 并 通过攻击场景识别结果 生成模块利用攻击场景识别模型 得到攻击场景识别结果； 所述服务器通过网络数据特征提取模块从历史网络数据中提取历史特征向量， 并通过 网络安全特征库构建模块基于历史特征向量建立数据库结构， 形成网络安全特征库， 所述 服务器通过网络数据特征提取模块从实时网络数据中提取实时特征向量， 并通过网络安全 状态识别模块利用网络安全特征库对实时特征向量进行识别， 得到网络安全状态结果， 所 述服务器通过网络态势综合分析模块对攻击威胁评估结果、 攻击场景识别结果和网络安全 状态结果进行综合分析。 2.根据权利要求1所述的网络安全态势感知 分析系统， 其特征在于： 所述知识图谱构建 模块基于历史网络数据构建知识图谱， 包括： 确定历史网络数据中所有告警序列的初始序列向量， 并进行主成分分析， 得到各告警 序列的主成分； 将各告警序列中重复次数最多的主成分对应的初始序列向量， 作为各告警序列的向量 表示； 将顶点和边刻画成知识图谱的结构信 息， 并基于各告警序列的向量表示确定实体属性 特征， 得到知识图谱。 3.根据权利要求2所述的网络安全态势感知 分析系统， 其特征在于： 所述攻击威胁评估 模型构建模块基于知识图谱构建攻击威胁评估 模型， 包括： 采用卷积神经网络对知识图谱进行属性编码， 得到编码知识图谱； 采用图神经网络对编码知识图谱进行解码重构， 得到原始知识图谱， 并基于原始知识 图谱构建攻击威胁评估 模型。 4.根据权利要求1所述的网络安全态势感知 分析系统， 其特征在于： 所述攻击场景识别 结果生成模块利用攻击场景识别模型 得到攻击场景识别结果， 包括： 挖掘潜在的多步攻击以确定时间关联量、 空间关联量和服务关联量， 并基于时间关联 量、 空间关联量和服 务关联量确定攻击场景类型； 时间关联量表示 为： 其中， E1F表示攻击事件E1的结束时间， E2S表示攻击事件E2的开始时间； 空间关联量表示 为： 其中， V1表示攻击事件E1的攻击范围， V2表示攻击事件E2的攻击范围；权　利　要　求　书 1/2 页 2 CN 115037632 A 2服务关联量表示 为： 其中， S1表示攻击事件E1涉及的网络服 务， S2表示攻击事件E2涉及的网络服 务。 5.根据权利要求4所述的网络安全态势感知 分析系统， 其特征在于： 所述基于时间关联 量、 空间关联量和服 务关联量确定攻击场景类型， 包括： 判断时间关联量、 空间关联量和服务关联量之和是否大于设定阈值， 若大于设定阈值， 则判定当前攻击场景为多步 攻击场景， 否则判定当前攻击场景为单步 攻击场景。 6.根据权利要求1所述的网络安全态势感知 分析系统， 其特征在于： 所述网络数据 特征 提取模块从历史网络数据中提取历史特 征向量， 包括： 对历史网络数据进行分析处 理， 得到历史网络数据的属性 值； 根据网络安全约束条件， 对不满足网络安全约束条件的属性值进行过滤， 将对应网络 安全的属性 值筛选出来； 从筛选出来的属性 值中提取与历史网络数据对应的历史特 征向量。 7.根据权利要求1所述的网络安全态势感知 分析系统， 其特征在于： 所述网络数据 特征 提取模块从实时网络数据中提取实时特 征向量， 包括： 对实时网络数据进行分析处理， 得到实时网络数据的属性值， 从得到的属性值中提取 与实时网络数据对应的实时特 征向量。 8.根据权利要求6或7所述的网络安全态势感知分析系统， 其特征在于： 所述属性值包 括源物理端口、 源IP地址、 源传输控制协议端口、 源网络硬件地址 。 9.根据权利要求7所述的网络安全态势感知 分析系统， 其特征在于： 所述网络安全状态 识别模块利用网络安全特 征库对实时特 征向量进行识别， 得到网络安全状态结果， 包括： 将实时特征向量与网络安全特征库进行特征匹配， 若未匹配的实时特征向量数量小于 设定阈值， 则网络安全状态识别模块判定网络处于安全状态， 否则网络安全状态识别模块 判定网络处于异常状态。 10.根据权利要求2或6所述的网络安全态势感知分析系统， 其特征在于： 还包括用于对 网络数据获取模块获取物理网络设备的历史网络数据、 实时网络数据进 行预处理的网络数 据预处理模块， 所述网络数据预处理模块对历史网络数据、 实时网络数据进行预处理， 包 括： 对历史网络数据、 实时网络数据进行 标准化处理， 转换成标准格式的网络数据； 对来自同一物 理网络设备的同类型标准格式网络数据进行简化， 并对简化后的网络数 据进行数据融合。权　利　要　求　书 2/2 页 3 CN 115037632 A 3