[发明专利]一种结合威胁情报和机器学习的网络流量分析方法及系统

权利要求书

1.一种结合威胁情报和机器学习的网络流量分析方法，其特征在于，所述方法包括：

采集不同来源的传感器、节点设备、信息平台、网络设备的运行状态数据、IP数据、域名信息、URL信息、传输文件数据、数据库动态信息中的一种或若干种；

接收采集数据后，进行初始化处理，清除数据中冗余重复的信息，根据来源的类型，将数据初始化转换为统一的格式，分入对应的字段，合并成情报数据流；

其中，根据信息来源的历史记录，对不同的信息来源给出了不同的评分，当采集的信息出现冗余或重复时，优先采信评分的信息来源，如果后续环节验证信息为可用，则在原有评分基础上继续累计分值；

还可以根据预先设置的情报类型，侧重采集所述情报类型对应的信息，动态将与所述情报类型相关度低的信息设置为冗余信息，在初始化处理中清除；所述与所述情报类型相关度低为，采集到的信息的类型与预先设置的情报类型进行相关度计算，相关度的值低于阈值，则认定为相关度低；

从合并后的情报数据流中提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小中的一种或若干种，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，将更新权重后的数据进行数据融合，组成树状结构；

其中，所述提取要素时还包括判断发现的要素是否与当前热门安全事件相关，如果是则在要素中标记热门安全事件摘要，并将多个与该热门安全事件相关的要素进行关联，进行数据融合，形成专门的数据条；

所述热门安全事件包括僵尸网络、挖矿、攻击中的一种或多种，对采集的所述热门安全事件信息从时间、空间多重维度进行深度关联分析和数据挖掘，建立规则库，将疑似攻击的溯源信息与规则库中的信息进行对比，通过传播查询和追溯查询构建溯源图，根据所述溯源图获取攻击事件的发生脉络和攻击路径，并在发生脉络上标记热门安全事件摘要；

根据所述树状结构和专门的数据条，查询与单个关键设备地址相邻的资产态势信息，查询与单个关键设备的访问对象所属属性区域内的资产态势信息，以及查询与单个关键设备流量速度、流量总量相似的资产态势信息；

其中，属性区域为根据用户属性动态划分出的属性域，每个属性域与若干个关键设备建立关联关系，采用属性加密算法隔离不同属性域的边界，实现不同网络的边界访问控制，以及同一属性域内关键设备的授权访问；

判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞，判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同属性区域资产相同的报警，判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化，计算单个关键设备的安全态势值；

将邻近的若干个单个关键设备，或者依据有业务交互的若干个单个关键设备，组成局部网络，由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例，根据业务优先级引入模糊处理计算局部网络的安全态势值；

根据多个局部网络的拓扑关系，模糊处理计算整个网络的安全态势值；

分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型，通过神经网络模型推演，得出未来一段时间关于攻击者来源和攻击范围的预测，并将预测结果反馈给神经网络模型，更新神经网络模型的参数；

将单个关键设备、局部网络和整个网络的安全态势值，攻击者来源和攻击范围的预测结果进行可视化展示。

2.根据权利要求1所述的方法，其特征在于：所述模糊处理计算是基于D-S理论与模糊集相结合的方法，计算攻击发生支持的概率。

3.根据权利要求1所述的方法，其特征在于：所述可视化展示还包括风险评估、攻击关联分析、态势感知，进行主动防御，与云服务器中的数据挖掘、大数据分析配合，定位网络脆弱点和发现潜在的威胁和攻击。