[发明专利]一种应对持续威胁攻击的信息网络安全预警系统

权利要求书

1.一种应对持续威胁攻击的信息网络安全预警系统，其特征在于，包括：用户行为数据源模块、数据采集与预处理模块、数据库子系统、用户行为分析模块、特征提取与建模模块、异常检测与预警模块、输入输出界面模块；所述用户行为数据源模块，用于实时采集用户行为数据，为建立数据仓库提供可靠数据来源；所述数据采集与预处理模块，用于将采集到的数据进行预处理；所述数据库子系统，用于对分类的数据进行存储；所述用户行为分析模块，用于对用户行为进行分析；所述特征提取与建模模块，针对用户行为数据进行特征提取与建模，构建用户行为特征库；所述异常检测与预警模块，对异常用户行为进行检测并预警；所述输入输出界面模块，用于输出监测预警结果、输入命令。

2.根据权利要求1所述的系统，其特征在于，所述用户行为数据源模块，通过对信息传输网络中的数据流量、已部署的安全防护设备上报的数据进行统计，定义网络中固定区域或方向的业务参与程度和数据交互级别，数据源的数据包括网络旁路流量数据、主机管控数据、统一安全管理系统数据，形成用户行为数据。

3.根据权利要求2所述的系统，其特征在于，所述数据采集与预处理模块，通过数据采集、数据识别、数据清洗、离散化、归一化、区间对齐子模块，将采集到的数据，以区间对齐的方式对数据进行识别和清洗，对信息传输网络中的所有合法业务流量的进行分类，对剩余无法识别数据，根据用户行为特征进行解析研判。

4.根据权利要求3所述的系统，其特征在于，所述数据库子系统按照已经识别确认的正常业务数据、一时难以定性的灰色信息以及网络安全人员预先配置的具有攻击属性特征的黑色流量进行重新分类并存储，供用户行为分析模块、特征提取与建模模块、异常检测与预警模块分析研判；数据库子系统的数据分类包括原始历史数据、数据集市、行为模式库、实时数据。

5.根据权利要求4所述的系统，其特征在于，所述用户行为分析模块分析的用户行为数据包括用户行为习惯、用户来源、用户分布、用户动态、用户关联、系统访问方面；所述用户行为分析模块通过对网络历史流量的无监督或半监督学习，完成对网络流量属性、分布信息的分类、统计工作。

6.根据权利要求5所述的系统，其特征在于，所述特征提取与建模模块针对用户行为数据，利用基于人工智能的机器学习方法对用户的行为特征建模，建模方法包括模糊时序建模、隐马尔可夫建模、基于规则建模、基于对象建模、特征候选集建模、加权特征建模，通过特征分类提取、行为特征处理，构建用户行为特征库，作为用户行为新数据合法性的匹配对象，将提取处理的数据存入所述数据库子系统。

7.根据权利要求6所述的系统，其特征在于，所述异常检测与预警模块采用误用检测和异常检测相结合的两层混合异常检测模型，使用基于簇中心位置变化的异常检测方法、基于K近邻的异常检测算法和基于模式匹配的异常检测方法，将用户实时行为数据与行为模式库中的模式进行比对与检测，并将异常结果报告给界面模块。

8.根据权利要求7所述的系统，其特征在于，所述输入输出界面模块包括预警系统监听结果输出子模块、模式挖掘结果输出子模块、异常分析报告显示子模块、管理命令输入子模块，通过可视化、声音、键盘或触摸方式实现相关输入输出功能。

9.根据权利要求8所述的系统，其特征在于，所述系统还包括用于设置各种系统参数、对数据库的管理和维护的系统配置模块与系统管理模块。