(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111553671.7 (22)申请日 2021.12.17 (71)申请人 北京华清信安科技有限公司 地址 100043 北京市石景山区实兴东 街11 号1楼1306室 (72)发明人 田新远　 (74)专利代理 机构 北京汇智胜知识产权代理事 务所(普通 合伙) 11346 代理人 孙华 (51)Int.Cl. G06F 21/55(2013.01) G06K 9/62(2022.01) G06N 20/00(2019.01) (54)发明名称 网络安全态 势综合分析方法 (57)摘要 本发明公开了一种网络安全态势综合分析 方法， 其包括： 步骤一， 采集安全云平台的安全日 志数据， 整理后作为数据分析样本； 步骤二， 提取 特征后进行降维处理， 利用数据关联分析技术进 行关联关系分析， 将数据分析样 本基于业务访问 类型进行分类并输出分类结果； 步骤三， 安全分 析， 建立规则识别数据库， 预定义剧本进行用户 行为识别； 步骤四， 提取当前用户访问的请求数 据， 进行整理、 特征提取 以及降维处理后得待测 数据， 采用数据关联分析技术获得所述待测数据 的最相似样本， 确定所述待测数据的类型； 按照 预定义剧本进行所述待测数据的行为识别； 步骤 五， 按照当前用户访问的业务类型、 行为以及攻 击类型， 以图表形式呈现识别结果。 权利要求书2页 说明书6页 附图2页 CN 114168948 A 2022.03.11 CN 114168948 A 1.网络安全态 势综合分析 方法， 其特 征在于， 包括以下步骤： 步骤一， 采集 安全云平台的安全日志数据， 整理后作为数据分析样本； 步骤二， 将所述数据分析样本提取特征后进行降维处理， 然后利用数据关联分析技术 进行关联关系分析， 将所述数据分析样本基于业 务访问类型进行分类并输出分类结果； 步骤三， 根据步骤二的分类结果进行安全分析， 建立规则识别数据库， 预定义剧本进行 用户行为识别； 步骤四， 提取当前用户访问的请求数据， 进行整理、 特征提取以及降维处理后得待测数 据， 采用数据关联分析技术计算特征向量的相似度， 获得所述待测数据的最相似样本， 确定 所述待测数据的类型； 然后按照预定义剧本进行 所述待测数据的行为识别； 步骤五， 按照当前用户访问的业务类型、 行为以及攻击类型， 以图表形式将步骤四的行 为识别结果进行 呈现。 2.如权利要求1所述的网络安全态势综合分析方法， 其特征在于， 所述步骤二中采用分 布式K‑Means聚类算法对数据分析样本进行降维处 理。 3.如权利要求2所述的网络安全态势综合分析方法， 其特征在于， 所述步骤二中所述数 据关联分析具体包括： 获取所述数据分析样本的相似度的特征变量， 采用K近邻机器学习算 法， 计算所述数据分析样本中安全数据的相似度， 采用欧式距离计算不同向量之 间的距离， 确定安全数据所归属的业 务访问类型。 4.如权利要求1所述的网络安全态势综合分析方法， 其特征在于， 所述步骤四中， 当最 相似样本数量 n大于1时， 采用组合 函数方式继续计算， 所述组合 函数方式具体为： 首先， 采用均等投票方式， 用N个最近邻中分类 较多的分类作为所述待测数据的分类； 其次， 采用权重投票方式， 用N个最近邻进行投票， 每个最近邻投票的权重不一样， 权重 值和最近邻与待测数据样本的距离成反比， 距离越远， 投票的权重越低， 算出每个类别的加 权票数， 得票 最多的类别为所述待测数据的分类结果。 5.如权利要求1所述的网络安全态势综合分析方法， 其特征在于， 步骤四所述待测数据 的最相似样本通过 下述步骤获得： S401， 获取待测数据的多个特 征向量； S402， 计算待测数据和所述数据分析样本中安全数据多个特征向量的相似度， 采用欧 式距离计算 不同向量之间的距离， 计算公式如下： ； 其中相似度计算公式如下： 其中,L表示 不同向量之间的距离， x、 y分别表示向量距离 。 S403， 根据待测数据与数据库中安全数据的相似度， 获得n个最相似样本 。 6.如权利要求1所述的网络安全态势综合分析方法， 其特征在于， 所述步骤二中， 采用 分布式K‑Means聚类算法对数据分析样本中的数据进行一次降维后， 再利用主成分分析法 进行二次降维。 7.如权利要求1所述的网络安全态势综合分析方法， 其特征在于， 所述步骤四还包括： 所述待测数据先进行清洗和整理， 然后利用StandardScaler进行预处理， 使得所有数据的 两个特征值都被转换到 0‑1之间。 8.如权利要求7所述的网络安全态势综合分析方法， 其特征在于， 所述清洗和整理包权　利　要　求　书 1/2 页 2 CN 114168948 A 2括： 针对缺 失值的处理， 采用删除法对缺 失值占比低， 字段重要程度低的数据进 行缺失值的 删除， 同时采用填充法的方式对缺失占比较高、 数据分析重要性较高的字段进行填充， 其 中， 数据填充引入自定义词典， 对特定 字段数据进行填充。权　利　要　求　书 2/2 页 3 CN 114168948 A 3