[发明专利]基于人工智能的关键信息基础设施安全威胁情报分析系统

权利要求书

1.基于人工智能的关键信息基础设施安全威胁情报分析系统，其特征是，包括情报收集模块、情报处理模块、智能分析模块、人工分析模块和情报显示终端，所述情报收集模块用于实时收集移动设备、社交网络、用户访问日志、传感器、语音通话和视频中的安全信息，形成威胁情报库，所述情报处理模块用于对威胁情报库中的威胁情报进行预处理并对处理后的情报数据进行分类，所述智能分析模块用于根据威胁情报的分类结果对当前的安全形势进行分析并预测潜在的风险，所述人工分析模块通过专业情报分析人员根据威胁情报的分类结果和智能分析模块的分析结果对当前的关键信息基础设施安全情况进行综合分析，所述情报显示终端将智能分析模块和人工分析模块分析得到的结果进行展示，并在发现对关键信息基础设施的安全存在威胁时即进行报警，所述情报处理模块包括情报预处理单元和情报分类单元，所述情报预处理单元用于对威胁情报库中的威胁情报进行数据过滤、数据补全和数据去重的预处理操作，所述情报分类单元采用可能性C均值聚类算法对预处理后的威胁情报进行分类操作，对可能性C均值聚类算法的目标函数进行改进，定义改进后的目标函数为f_new,则f_new的计算公式为：

式中，u_ik表示FCM算法定义的数据x_k属于第i类的隶属度，m表示FCM算法采用的模糊指标参数，且m>1，g_ik表示PCM算法中定义的数据x_k属于第i类的概率，t表示PCM算法采用的模糊指标参数，且t>1，c_i表示第i类的聚类中心，C表示聚类类别数，n表示样本数，c_a和c_b分别表示第a类和第b类的聚类中心；

对应的可能性C均值聚类算法的隶属度和聚类中心的更新公式如下：

式中，c_p和c_i分别表示第p类和第i类的聚类中心，u_ik表示FCM算法定义的数据x_k属于第i类的隶属度，u_ih表示FCM算法中数据x_h属于第i类的隶属度，m表示FCM算法采用的模糊指标参数，且m>1，g_ik表示PCM算法定义的数据x_k属于第i类的概率，g_ih表示PCM算法定义的数据x_h属于第i类的概率，t表示PCM算法采用的模糊指标参数，且t>1，C表示聚类类别数，n表示样本数。

2.根据权利要求1所述的基于人工智能的关键信息基础设施安全威胁情报分析系统，其特征是，所述可能性C均值聚类算法采用一种基于信息粒度确定最佳聚类数的方法，通过信息粒耦合度和分离度定义可能性C均值聚类算法的聚类有效性指标H_CS，用来确定可能性C均值聚类算法的最佳聚类类别数，则聚类有效性指标H_CS的计算公式为：

式中，C表示聚类类别数，n表示样本数，c_i和c_k分别表示第i类和第k类的聚类中心，表示样本集的聚类中心；

依次选取不同聚类类别数进行聚类，H_CS最小值时相对应的C值即为最佳聚类类别数。

3.根据权利要求2所述的基于人工智能的关键信息基础设施安全威胁情报分析系统，其特征是，智能分析模块包括可疑行为识别单元、网络入侵检测单元和态势预测分析单元，所述可疑行为识别单元用于根据处理后的威胁情报对网络中用户的当前行为模式进行检测，并与正常行为模式进行比较，从而识别是否存在可疑行为，所述网络入侵检测单元用于根据威胁情报数据的分类结果分析是否存在入侵行为，所述态势预测分析单元根据可疑行为识别单元和网络入侵检测单元的分析结果以及威胁情报的分类结果对当前的网络安全态势进行预测。