[发明专利]网络空间防护系统

权利要求书

1.一种网络空间防护系统，其特征在于，所述系统包括：

AI智能诊断模块，用于获取目标网络的运行状态并确定所述目标网络的数据变化信息，以从若干网络事件中，确定疑似威胁网络事件；

异常值检测模块，用于对所述疑似威胁网络事件进行特征提取，得到对应的特征信息；

网络安全杀伤链技术分析模块，用于根据所述特征信息，确定所述疑似威胁网络事件对应的异常类型和攻击阶段，所述攻击阶段包括侦察扫描、定向攻击、攻陷入侵、工具安装以及恶意行为中的至少一种，所述异常类型包括异常流益、异常操作行为、异常服务以及异常设备事件中的至少一种；

未知威胁检测模块，用于根据所述特征信息，确定所述疑似威胁网络事件对应的威胁源，并根据所述威胁源，确定可能被攻击的风险设备。

2.根据权利要求1所述的系统，其特征在于，所述网络安全杀伤链技术分析模块在确定所述疑似威胁网络事件对应的攻击阶段后，根据对应的攻击阶段，将所述疑似威胁网络事件映射到告警时序图中，所述告警时序图包括若干疑似威胁网络事件及其对应的攻击阶段。

3.根据权利要求1所述的系统，其特征在于，所述威胁源为攻击设备的标识信息，在根据所述威胁源，确定可能被攻击的风险设备时，所述未知威胁检测模块具体用于：

根据所述攻击设备的标识信息，获取由所述攻击设备发起的网络事件；

根据各所述网络事件对应的目标设备，确定可能被攻击的风险设备。

4.根据权利要求1所述的系统，其特征在于，所述安全杀伤链分析模块中设置有预定阈值和/或正常网络事件模型，根据所述特征信息与所述预定阈值和/或所述正常网络事件模型进行匹配，确定所述疑似威胁网络事件对应的异常类型。

5.根据权利要求1所述的系统，其特征在于，所述异常值检测模块根据数据聚类、核密度估计、基线特征和特征提取模型中的至少一种对所述疑似威胁网络事件进行特征提取，得到对应的特征信息。

6.根据权利要求2中所述的系统，其特征在于，所述系统还包括聚类事件分析与智能筛查模块，所述聚类事件分析与智能筛查模块用于根据所述疑似威胁网络事件的威胁源，对对应于同一所述威胁源的疑似威胁网络事件进行筛查处理，保留预定数量的疑似威胁网络事件。

7.根据权利要求6所述的系统，其特征在于，所述聚类事件分析与智能筛查模块中设置预定时间间隔，对所述时间间隔内的对应于同一所述威胁源的疑似威胁网络事件进行筛查处理，保留预定数量的疑似威胁网络事件。

8.根据权利要求6所述的系统，其特征在于，所述聚类事件分析与智能筛查模块还用于根据所述疑似威胁网络事件的异常类型，确定所述疑似威胁网络事件的危险程度。

9.根据权利要求1-8中任一项所述的系统，其特征在于，所述系统还包括数据库模块，所述数据库模块包括漏洞库、安全规则库、协议库以及威胁情报库中的至少一种，以便其他模块进行调用。