CN120301637A 一种基于模式识别的网络安全大数据状态评估方法 （山东能源集团有限公司）.docxVIP

(19)国家知识产权局

(12)发明专利申请

(10)申请公布号CN120301637A(43)申请公布日2025.07.11

(21)申请号202510427354.2

(22)申请日2025.04.07

(71)申请人山东能源集团有限公司

地址250014山东省济南市历城区高新区

舜华路28号

申请人云鼎科技股份有限公司

(72)发明人王野侯双双王西宝徐庆富

田莉明

(74)专利代理机构青岛海誉知识产权代理有限公司37421

专利代理师赵永伟

(51)Int.CI.

HO4LGO6FGO6N

9/40(2022.01)

18/214(2023.01)3/042(2023.01)

权利要求书2页

说明书7页附图1页

(54)发明名称

一种基于模式识别的网络安全大数据状态评估方法

(57)摘要

CN120301637A本发明涉及网络安全技术领域，具体涉及一种基于模式识别的网络安全大数据状态评估方法，包括以下步骤：从网络流量日志、系统事件日志、主机行为日志及威胁情报数据中提取多模态特征，生成特征矩阵，采用自编码网络进行特征降维，并结合无监督聚类和图神经网络进行攻击行为分类，识别异常模式，基于马尔可夫模型构建攻击转移概率矩阵，形成时序攻击链，预测攻击发展趋势，通过贝叶斯评估方法量化安全状态，计算安全评分，利用强化学习优化防御策略，并向安全设备下发动态防护指令。本发明能够提高未知攻击检测能力、增强时序攻击溯源、优化

CN120301637A

从多源数据中提取多模态特征，所述多模态特

从多源数据中提取多模态特征，所述多模态特征包括网络流量特征、用户行为特征、异常访间特征和威胁情报标签，并对所述特征进行数据预处理，包括归一化、去重和时间对齐，生成初始特征矩阵

对生成的初始特征矩阵进行蹄域特征融合，包括基于信息增益的方法筛选高相关性特征，并采用自编码网络构建降维后的综合特征空间，生成异常模式表征矩阵，其中异常模式表征矩

阵用于后续攻击行为分析

基于异常模式表征矩阵，采用多级模式识别方法进行攻击行为分类

基于生成的攻击类别标签，结合时间戳信息构建攻击链，包括：计算不同攻击事件之间的时间依赖关系，利用马尔可夫模型预测攻击发展趋势，并形成时序攻击链横型

依据构建的时序攻击链模型，评估网络安全状

攻击目标，并通过贝叶斯风险评估方法量化整体网络安全态势，生成安全状态评分

根据的安全状态评分，匹配预定义的防御策略模板，生成自适应安全防即策略，并向防火墙、入侵检测系统和安全信息与事件管理系统下发动态防御指令，实现网络安全防护优化

S1

CN120301637A权利要求书1/2页

2

1.一种基于模式识别的网络安全大数据状态评估方法，其特征在于，包括以下步骤：

S1,网络安全大数据多模态特征提取：从多源数据中提取多模态特征，所述多模态特征包括网络流量特征、用户行为特征、异常访问特征和威胁情报标签，并对所述特征进行数据预处理，包括归一化、去重和时间对齐，生成初始特征矩阵；

S2,特征融合与异常模式提取：对生成的初始特征矩阵进行跨域特征融合，包括基于信息增益的方法筛选高相关性特征，并采用自编码网络构建降维后的综合特征空间，生成异常模式表征矩阵，其中异常模式表征矩阵用于后续攻击行为分析；

S3,层次化模式识别与攻击行为分类：基于异常模式表征矩阵，采用多级模式识别方法进行攻击行为分类，其中：

第一层采用基于聚类的方法进行无监督异常检测，初步筛选高风险行为；

第二层采用基于图神经网络的攻击行为分类模型，对已筛选的高风险行为进行细粒度攻击分类，并生成攻击类别标签；

S4,时序攻击链构建：基于生成的攻击类别标签，结合时间戳信息构建攻击链，包括：计算不同攻击事件之间的时间依赖关系，利用马尔可夫模型预测攻击发展趋势，并形成时序攻击链模型；

S5,网络安全状态评估：依据构建的时序攻击链模型，评估网络安全状态，具体包括：计算攻击传播路径，预测潜在攻击目标，并通过贝叶斯风险评估方法量化整体网络安全态势，生成安全状态评分；

S6,自适应安全防御策略生成：根据的安全状态评分，匹配预定义的防御策略模板，生成自适应安全防御策略，并向防火墙、入侵检测系统和安全信息与事件管理系统下发动态防御指令，实现网络安全防护优化。

2.根据权利要求1所述的一种基于模式识别的网络安全大数据状态评估方法，其特征在于，所述S1包括：

S11,数