一种基于安全产品风险威胁的智能识别方法及系统与流程

1.本发明涉及智能识别领域，特别是一种基于安全产品风险威胁的智能识别方法及系统。


背景技术：

2.随着互联网的飞速发展，信息技术和网络应用的广泛应用，安全产品应用作为当前业务系统使用最为广泛的形式，已经深入各行各业，特别是在安全产品 2.0的技术趋势下，安全产品业务平台已在各类信息和业务平台广泛应用，如政府、金融、电子商务、互联网业务等各行业。然而绝大多数的网站都存在着不同程度的安全问题。网站安全风险主要包括以下方面：风险不能事先发现；缺乏有效的防御体系；缺乏检测和响应能力。因此如何降低网站安全管理风险是现阶段丞待解决的问题。


技术实现要素：

3.本发明的目的是为了解决上述问题，设计了一种基于安全产品风险威胁的智能识别方法及系统。
4.实现上述目的本发明的技术方案为，进一步，在上述安全产品风险威胁的智能识别方法中，该所述智能识别方法包括以下步骤：获取安全产品应用系统中的运行代码数据和历史网络攻击数据；建立网络安全状态模型，并利用数据挖掘算法对所述运行代码数据和所述历史网络攻击数据进行特征参数挖掘；利用入侵检测方法提取所述特征参数中的自适应特征参数和历史特征参数，得到复杂高频敏感信息流；通过优化后的 fcm方法对所述复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息；利用相似度计算方法判断实时网络信息数据与所述目标复杂敏感高频信息的相似度；若所述目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息。
5.进一步，在上述智能识别方法中，所述所述获取安全产品应用系统中的运行代码数据和历史网络攻击数据包括：建立多进程的架构设计数据采集模块；通过所述多进程的架构设计数据采集模块采集安全产品应用系统中的运行代码数据和历史网络攻击数据。
6.进一步，在上述智能识别方法中，所述建立网络安全状态模型包括，包括：利用强化学习(rl)搭建网络安全状态模型，所述rl基于实际场景进行学习；获取所述运行代码数据和所述历史网络攻击数据，建立数据样本集；随机选择所述样本集中的新样本，针对分类器的预期目标进行奖励；根据学习目标对算法进行初始化,通过环境提高分类器的预测难度；得到对所述
新样本发起攻击概率；判断所述攻击概率，当所述攻击概率为0时，则表示攻击无法获益；当所述攻击概率为1时，表示攻击行为可以获益。
7.进一步，在上述智能识别方法中，所述并利用数据挖掘算法对所述运行代码数据和所述历史网络攻击数据进行特征参数挖掘，包括：对所述运行代码数据和所述历史网络攻击数据进行数据预处理，得到特征候选参数；使用特征融合方法组合特征增量tf-idf方法计算所述特征候选参数；令词频（tf）=特征候选参数在所述历史网络攻击数据的出现次数；令逆文档频率（idf）=log(历史网络攻击数据总数/(特征候选参数出现次数+1））;计算：tf-idf=词频（tf）x逆文档频率（idf），得到特征参数。
8.进一步，在上述智能识别方法中，所述利用入侵检测方法提取自适应特征参数和历史特征参数，得到复杂高频敏感信息流，包括：获取所述特征参数，利用入侵检测方法计算所述特征参数；收集所述特征参数中的用户活动的状态和行为参数、系统和网络日志文件参数、网络流量参数、非正常的目录和文件参数、非正常的程序执行参数；对所述用户活动的状态和行为参数、系统和网络日志文件参数、网络流量参数、非正常的目录和文件参数、非正常的程序执行参数进行参数模式匹配、参数统计和参数完整性分析；得到自适应特征参数和历史特征参数。
9.进一步，在上述智能识别方法中，所述利用入侵检测方法提取自适应特征参数和历史特征参数，得到复杂高频敏感信息流，还包括：获取所述自适应特征参数和历史特征参数，通过使用数据聚类约束一般分析方法，对所述自适应特征参数和历史特征参数的调幅信号进行检验；将所述自适应特征参数和历史特征参数的两个交叉点所涉及的范围设置为匹配范围，并引入特征自相关变量s；采用数据聚类对提取所述自适应特征参数和历史特征参数进行自关联检验，得到复杂高频敏感信息流。
10.进一步，在上述智能识别方法中，所述通过优化后的fcm方法对所述复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息，包括：获取所述复杂高频敏感信息流；利用fcm算法聚类算法对所述复杂高频敏感信息流进行分类；从所有复杂高频敏感信息流中任取c个点作为聚类中心，选点使得价值函数（目标函数）达到最小；每次簇的均值作为新的中心，迭代直到簇中的复杂高频敏感信息流的分布不再变化，得到欧几里德距离；欧氏距离越小，相似度就越大，欧氏距离越大，相似度就越小；将相似度大的复杂高频敏感信息流进行收集整理，得到目标复杂敏感高频信息。
11.进一步，在上述智能识别方法中，所述利用相似度计算方法判断实时网络信息数据与所述目标复杂敏感高频信息的相似度，若目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息，包括：
获取实时网络信息数据；利用相似度计算方法计算所述实时网络信息数据与所述目标复杂敏感高频信息的相似度；若目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息；若目标复杂敏感高频信息的相似度低于设定的阈值，则判定为无风险信息。
12.实现上述目的本发明的技术方案为，进一步，在上述一种基于安全产品风险威胁的智能识别系统中，所述智能识别系统，包括：数据获取模块，用于获取安全产品应用系统中的运行代码数据和历史网络攻击数据；数据挖掘模块，用于建立网络安全状态模型，并利用数据挖掘算法对所述运行代码数据和所述历史网络攻击数据进行特征参数挖掘；数据检测模块，用于利用入侵检测方法提取所述特征参数中的自适应特征参数和历史特征参数，得到复杂高频敏感信息流；数据分类模块，用于通过优化后的 fcm方法对所述复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息；相似度判断模块，用于利用相似度计算方法判断实时网络信息数据与所述目标复杂敏感高频信息的相似度；若所述目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息。
13.进一步，在上述一种基于安全产品风险威胁的智能识别系统中，所述数据分类模块，包括：获取子模块，用于获取所述复杂高频敏感信息流；利用fcm算法聚类算法对所述复杂高频敏感信息流进行分类；聚类子模块，用于从所有复杂高频敏感信息流中任取c个点作为聚类中心，选点使得价值函数（目标函数）达到最小；迭代子模块，用于将每次簇的均值作为新的中心，迭代直到簇中的复杂高频敏感信息流的分布不再变化，得到欧几里德距离；欧氏距离越小，相似度就越大，欧氏距离越大，相似度就越小；整理子模块，用于将相似度大的复杂高频敏感信息流进行收集整理，得到目标复杂敏感高频信息。
14.其有益效果在于，通过获取安全产品应用系统中的运行代码数据和历史网络攻击数据；建立网络安全状态模型，并利用数据挖掘算法对所述运行代码数据和所述历史网络攻击数据进行特征参数挖掘；利用入侵检测方法提取所述特征参数中的自适应特征参数和历史特征参数，得到复杂高频敏感信息流；通过优化后的 fcm方法对所述复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息；利用相似度计算方法判断实时网络信息数据与所述目标复杂敏感高频信息的相似度；若所述目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息。可以有效的防止因黑客攻击而造成的用户网站被恶意篡改、恶意仿冒、敏感信息被泄露、网站被远程控制、被信息安全主管单位漏洞通报等安全事件的发生；客户可以对自身网站安全情况了然于胸，提升用户对自身网站安全防护的信心。
附图说明
15.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。
16.图1为本发明实施例中基于安全产品风险威胁的智能识别方法的第一个实施例示意图；图2为本发明实施例中基于安全产品风险威胁的智能识别方法的第二个实施例示意图；图3为本发明实施例中基于安全产品风险威胁的智能识别方法的第三个实施例示意图；图4为本发明实施例中基于安全产品风险威胁的智能识别系统的第一个实施例示意图；图5为本发明实施例中基于安全产品风险威胁的智能识别系统的第二个实施例示意图。
具体实施方式
17.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
18.本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。
19.下面结合附图对本发明进行具体描述，如图1所示，一种基于安全产品风险威胁的智能识别方法，该导购方法包括以下步骤：步骤101、获取安全产品应用系统中的运行代码数据和历史网络攻击数据；具体的，数据获取阶段，首先将威胁级别分为高、中、低三类。第一类是侵入计算机并获得计算机控制权的攻击，可以对计算机系统造成致命威胁，定义为高。第二类攻击是为了获取系统内部的私人信息而进入计算机的攻击，这种攻击被定义为中。第三类攻击不进入计算机系统，目的是消耗网络带宽。这种类型的攻击使计算机无法与外界通信或提供正常的操作，它被定义为中。第四类是网络扫描型攻击，对计算机的影响较小，定义为低。
20.步骤102、建立网络安全状态模型，并利用数据挖掘算法对运行代码数据和历史网络攻击数据进行特征参数挖掘；具体的，数据挖掘算法可以用k-means算法，将运行代码数据和历史网络攻击数据以k个类心，聚成k个聚类，通常先确定一个相异度度量方法，常用的相异度有:欧式距离、曼哈顿距离、马氏距离、余弦距离等。根据运行代码数据和历史网络攻击数据间的“距离”来确定两个数据之间的相异度。具体计算步骤：1）所有运行代码数据和历史网络攻击数据中取k个数据 (可随机，也可选定)作为k个聚类的初始类心；2）遍历所有运行代码数据和历史网络攻击数据，计算他们到k个类心的“距离”并将其归类到对应“距离”最小的那个类心所在
的聚类；3）根据聚类结果，重新计算k个聚类各自的中心，取聚类中所有元素各自维度的算术平均数；4）若新的类心与之前的类心不同，则重复2、3步骤，直到聚类结果不再变化；5）将结果输出。
21.步骤103、利用入侵检测方法提取特征参数中的自适应特征参数和历史特征参数，得到复杂高频敏感信息流；具体的，自适应特征参数和历史特征参数为网络攻击过程中的攻击代码、访问地址、网站日志中的异常记录、网站代码中的漏洞、网站数据库中的异常数据、网络流量监控中的异常流量等。
22.具体的入侵检测方法为基于统计学的异常检测：根据正常网络流量的统计规律建立模型，当流量的统计量超过一定阈值时，判定为异常或攻击。基于聚类的异常检测：将网络流量进行聚类，当新的流量与已知聚类的距离较远时，判定为异常或攻击。基于神经网络的异常检测：利用神经网络对正常网络流量进行建模，当新的流量与神经网络建模的结果相差较大时，判定为异常或攻击。基于特征的检测算法：签名检测：根据已知攻击行为的特征制定规则，当网络流量匹配到规则时，即可判定为攻击。统计检测：根据正常网络流量的统计规律建立模型，当流量的统计量超过一定阈值时，判定为异常或攻击。基于机器学习的检测：通过机器学习算法对正常和攻击流量进行分类。
23.具体的，复杂高频敏感信息流是一种含有网络攻击敏感词、敏感代码、敏感流量数据、敏感访问数据流。
24.步骤104、通过优化后的 fcm方法对复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息；具体的，目标复杂敏感高频信息包括，目标网络sql注入信息、xss信息、会话劫持信息、应用层ddos攻击信息、cc攻击信息、网页篡改信息在内的各种高危害性安全产品攻击信息等。
25.步骤105、利用相似度计算方法判断实时网络信息数据与目标复杂敏感高频信息的相似度；若目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息。
26.具体的，相似度计算方法可以为余弦相似度计算方法，通过计算目标复杂敏感高频信息向量和实时网络信息数据向量的夹角余弦值来评估他们的相似度。
27.相似度计算方法还可以用皮尔逊相关系数计算方法，用于计算两个定距变量间联系的紧密程度。假设目标复杂敏感高频信息=x,实时网络信息数据=y，则它们之间的相关系数为：
28.最终计算出的相关系数的含义可以有如下理解：1）当相关系数为0时，x和y两变量无关系。2）当x的值增大（减小），y值增大（减小），两个变量为正相关，相关系数在0.00与1.00之间。3）当x的值增大（减小），y值减小（增大），两个变量为负相关，相关系数在-1.00与0.00之间。 当两个变量的标准差都不为零时，相关系数才有定义，皮尔逊相关系数适用于：1）两个变量之间是线性关系，都是连续数据。2）两个变量的总体是正态分布，或接近正态的单峰分布。3）两个变量的观测值是成对的，每对观测值之间相互独立。
29.杰卡德相似系数计算方法，杰卡德相似性系数主要用于计算符号度量或布尔值度量的样本间的相似度。杰卡德系数等于样本集交集的个数和样本集并集个数的比值。
30.具体的设定阈值为相似度阈值，相似度的阈值范围为0-100%；当设定阈值为80%时，若目标复杂敏感高频信息的相似度的大于80%，则判定为目标复杂敏感高频信息的相似度高于设定的阈值，该实时网络信息为高风险威胁信息。当设定阈值为20%时，若目标复杂敏感高频信息的相似度的小于20%，则判定为目标复杂敏感高频信息的相似度小于设定的阈值，该实时网络信息为无风险信息。若目标复杂敏感高频信息的相似度在40%-60%之间，则需要再次进行判断，或者将该信息暂时拦截，等待用户自行判定。
31.其有益效果在于，通过获取安全产品应用系统中的运行代码数据和历史网络攻击数据；建立网络安全状态模型，并利用数据挖掘算法对所述运行代码数据和所述历史网络攻击数据进行特征参数挖掘；利用入侵检测方法提取所述特征参数中的自适应特征参数和历史特征参数，得到复杂高频敏感信息流；利用优化后的 fcm方法对所述复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息；利用相似度计算方法判断实时网络信息数据与所述目标复杂敏感高频信息的相似度；若所述目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息。可以有效的防止因黑客攻击而造成的用户网站被恶意篡改、恶意仿冒、敏感信息被泄露、网站被远程控制、被信息安全主管单位漏洞通报等安全事件的发生；客户可以对自身网站安全情况了然于胸，提升用户对自身网站安全防护的信心。
32.本实施例中，请参阅图2，本发明实施例中基于安全产品风险威胁的智能识别方法的第二个实施例，建立网络安全状态模型具体包括以下步骤：步骤201、利用强化学习(rl)搭建网络安全状态模型，所述rl基于实际场景进行学习；具体的利用强化学习(rl)搭建网络安全状态模型，rl 大多基于实际场景进行学习，并不是提前继续数据，因此本文利用真实动态场景作为仿真环境。先在样本集随机选择一个新的样本，并针对分类器的预期目标进行奖励，随后再根据学习目标对算法进行初始化,从而通过环境提高分类器的预测难度。可以计算黑客对当前节点发起攻击的概率。当攻击概率为0时，表示攻击无法获益，此时黑客不会对节点进行攻击；当概率为1时，表示攻击行为可以获益，此时黑客将会发起攻击。因此，不但要考虑网络用户的静态数据,而且还要考虑移动网络用户的动态变化数据。通过收集有关移动网络用户的静态和动态数据，从而提升算法对网络空间中危险信息的检测精度。
33.步骤202、获取运行代码数据和历史网络攻击数据，建立数据样本集；随机选择样本集中的新样本，针对分类器的预期目标进行奖励；具体的，分类器是可以利用决策树分类器、选择树分类器、证据分类器等。
34.决策树分类器：1）构建根节点，将所有训练数据都放在根节点，根据算法选择一个最优特征，按着这一特征将训练数据集分割成子集，使得各个子集有一个在当前条件下最好的分类。2）如果子集已经能够被基本正确分类，则构建叶节点，并将子集分到所对应的叶节点去。3）如果有子集不能被正确分类，则选取子集选择新的最优特征，继续对其进行分割，构建相应的节点，如此递归，直至所有训练数据子集被基本正确的分类，或者没有合适的特征为止。4）最后将每个子集被分到叶节点上。
35.步骤203、根据学习目标对算法进行初始化,通过环境提高分类器的预测难度；得到对新样本发起攻击概率；具体的，通过环境提高分类器的预测难度是利用多种数据组合、多种网络攻击类型组合，判断数据集是否存在类不平衡问题，如果存在，对其进行采样生成新的训练集；其次，基于类平衡的数据集，构建超限学习机分类器和随机森林分类器，并基于这两种分类器的预测结果进行预测；最终判断分类器是否存在缺陷。
36.步骤204、判断所述攻击概率，当攻击概率为0时，则表示攻击无法获益；当攻击概率为1时，表示攻击行为可以获益。
37.具体的，在真实的网络场景中，网络安全指标会根据网络的运行状态而动态变化。当黑客的目标已知时，静态风险评价的精确度也会随之下降。因此，可以利用基于 bayes 原理得出的动态可达率，通过时刻更新网络节点的可达率，建立动态风险评价模型。考虑以下两种修改：(1)根据 sdn 问题模型模拟强化学习的环境，该环境的状态为网络入侵类型。(2) agent 是复杂的分类器，其主要任务是通过模拟环境的状态预测流量的类别。
38.本实施例中，请参阅图3，本发明实施例中基于安全产品风险威胁的智能识别方法的第三个实施例，利用数据挖掘算法对所述运行代码数据和所述历史网络攻击数据进行特征参数挖掘包括以下步骤：步骤301、对运行代码数据和所述历史网络攻击数据进行数据预处理，得到特征候选参数；具体的，特征候选参数为网络sql注入参数、xss参数、会话劫持参数、应用层ddos攻击参数、cc攻击参数、网页篡改参数在内的各种高危害性安全产品攻击参数等。
39.步骤302、使用特征融合方法组合特征增量tf-idf方法计算特征候选参数；步骤303、令词频（tf）=特征候选参数在历史网络攻击数据的出现次数；步骤304、令逆文档频率（idf）=log(历史网络攻击数据总数/(特征候选参数出现次数+1））;步骤305、计算：tf-idf=词频（tf）x逆文档频率（idf），得到特征参数。
40.具体的，特征参数为高危害性安全产品攻击参数。
41.上面对本发明实施例提供的一种基于安全产品风险威胁的智能识别方法进行了描述，下面对本发明实施例的一种基于安全产品风险威胁的智能识别系统进行描述，请参阅图4，本发明实施例中智能识别系统一个实施例包括：步骤401、数据获取模块，用于获取安全产品应用系统中的运行代码数据和历史网络攻击数据；步骤402、数据挖掘模块，用于建立网络安全状态模型，并利用数据挖掘算法对运行代码数据和历史网络攻击数据进行特征参数挖掘；步骤403、数据检测模块，用于利用入侵检测方法提取特征参数中的自适应特征参数和历史特征参数，得到复杂高频敏感信息流；步骤404、数据分类模块，用于通过优化后的 fcm方法对复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息；步骤405、相似度判断模块，用于利用相似度计算方法判断实时网络信息数据与目标复杂敏感高频信息的相似度；若目标复杂敏感高频信息的相似度高于设定的阈值，则判
定为高风险威胁信息。
42.本实施例中，请参阅图5，本发明实施例中基于安全产品风险威胁的智能识别方法的第二个实施例，数据分类模块包括：步骤4041、获取子模块，用于获取复杂高频敏感信息流；利用fcm算法聚类算法对复杂高频敏感信息流进行分类；具体的，fcm算法聚类算法通过使用数据聚类约束的的一般分析方法，对模型的调幅信号进行检验，将网络入侵信息的两个交叉点所涉及的范围设置为匹配范围，并引入特征自相关变量 s，采用数据聚类对提取的网络入侵信息流进行自关联检验，从而完成对网络安全的精确评价。而不同的安全基本单元指标的特征参数，往往有着不同的维数和物理含义。如果将上述基本信息数据放入网络态势预测进行计算，物理单元中的各类数据会发生难以预见的偏差，从而使得无法成功预测网络态势。某样本适应度值越大，其可以成为样本集中心的概率就会越大。其中适应度值表示样本与当前聚类中心欧氏距离的最小值。
43.步骤4042、聚类子模块，用于从所有复杂高频敏感信息流中任取c个点作为聚类中心，选点使得价值函数（目标函数）达到最小；步骤4043、迭代子模块，用于将每次簇的均值作为新的中心，迭代直到簇中的复杂高频敏感信息流的分布不再变化，得到欧几里德距离；欧氏距离越小，相似度就越大，欧氏距离越大，相似度就越小；步骤4044、整理子模块，用于将相似度大的复杂高频敏感信息流进行收集整理，得到目标复杂敏感高频信息。
44.以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的仅为本发明的优选例，并不用来限制本发明，在不脱离本发明精神和范围的前提下，本发明还会有各种变和改进，这些变和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

技术特征：
1.一种基于安全产品风险威胁的智能识别方法，其特征在于，所述智能识别方法包括以下步骤：获取安全产品应用系统中的运行代码数据和历史网络攻击数据；建立网络安全状态模型，并利用数据挖掘算法对所述运行代码数据和所述历史网络攻击数据进行特征参数挖掘；利用入侵检测方法提取所述特征参数中的自适应特征参数和历史特征参数，得到复杂高频敏感信息流；通过优化后的 fcm方法对所述复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息；利用相似度计算方法判断实时网络信息数据与所述目标复杂敏感高频信息的相似度；若所述目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息。2.如权利要求1所述的一种基于安全产品风险威胁的智能识别方法，其特征在于，所述获取安全产品应用系统中的运行代码数据和历史网络攻击数据包括：建立多进程的架构设计数据采集模块；通过所述多进程的架构设计数据采集模块采集安全产品应用系统中的运行代码数据和历史网络攻击数据。3.如权利要求1所述的一种基于安全产品风险威胁的智能识别方法，其特征在于，所述建立网络安全状态模型包括：利用强化学习(rl)搭建网络安全状态模型，所述rl基于实际场景进行学习；获取所述运行代码数据和所述历史网络攻击数据，建立数据样本集；随机选择所述样本集中的新样本，针对分类器的预期目标进行奖励；根据学习目标对算法进行初始化,通过环境提高分类器的预测难度；得到对所述新样本发起攻击概率；判断所述攻击概率，当所述攻击概率为0时，则表示攻击无法获益；当所述攻击概率为1时，表示攻击行为可以获益。4.如权利要求1所述的一种基于安全产品风险威胁的智能识别方法，其特征在于，所述并利用数据挖掘算法对所述运行代码数据和所述历史网络攻击数据进行特征参数挖掘包括：对所述运行代码数据和所述历史网络攻击数据进行数据预处理，得到特征候选参数；使用特征融合方法组合特征增量tf-idf方法计算所述特征候选参数；令词频（tf）=特征候选参数在所述历史网络攻击数据的出现次数；令逆文档频率（idf）=log(历史网络攻击数据总数/(特征候选参数出现次数+1））;计算：tf-idf=词频（tf）x逆文档频率（idf），得到特征参数。5.如权利要求1所述的一种基于安全产品风险威胁的智能识别方法，其特征在于，所述利用入侵检测方法提取自适应特征参数和历史特征参数，得到复杂高频敏感信息流包括：获取所述特征参数，利用入侵检测方法计算所述特征参数；收集所述特征参数中的用户活动的状态和行为参数、系统和网络日志文件参数、网络流量参数、非正常的目录和文件参数、非正常的程序执行参数；对所述用户活动的状态和行为参数、系统和网络日志文件参数、网络流量参数、非正常
的目录和文件参数、非正常的程序执行参数进行参数模式匹配、参数统计和参数完整性分析；得到自适应特征参数和历史特征参数。6.如权利要求1所述的一种基于安全产品风险威胁的智能识别方法，其特征在于，所述利用入侵检测方法提取自适应特征参数和历史特征参数，得到复杂高频敏感信息流还包括：获取所述自适应特征参数和历史特征参数，通过使用数据聚类约束一般分析方法，对所述自适应特征参数和历史特征参数的调幅信号进行检验；将所述自适应特征参数和历史特征参数的两个交叉点所涉及的范围设置为匹配范围，并引入特征自相关变量s；采用数据聚类对提取所述自适应特征参数和历史特征参数进行自关联检验，得到复杂高频敏感信息流。7.如权利要求1所述的一种基于安全产品风险威胁的智能识别方法，其特征在于，所述通过优化后的fcm方法对所述复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息包括：获取所述复杂高频敏感信息流；利用fcm算法聚类算法对所述复杂高频敏感信息流进行分类；从所有复杂高频敏感信息流中任取c个点作为聚类中心，选点使得价值函数（目标函数）达到最小；每次簇的均值作为新的中心，迭代直到簇中的复杂高频敏感信息流的分布不再变化，得到欧几里德距离；欧氏距离越小，相似度就越大，欧氏距离越大，相似度就越小；将相似度大的复杂高频敏感信息流进行收集整理，得到目标复杂敏感高频信息。8.如权利要求1所述的一种基于安全产品风险威胁的智能识别方法，其特征在于，所述利用相似度计算方法判断实时网络信息数据与所述目标复杂敏感高频信息的相似度，若目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息包括：获取实时网络信息数据；利用相似度计算方法计算所述实时网络信息数据与所述目标复杂敏感高频信息的相似度；若目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息；若目标复杂敏感高频信息的相似度低于设定的阈值，则判定为无风险信息。9.一种基于安全产品风险威胁的智能识别系统，其特征在于，智能识别系统包括以下模块：数据获取模块，用于获取安全产品应用系统中的运行代码数据和历史网络攻击数据；数据挖掘模块，用于建立网络安全状态模型，并利用数据挖掘算法对所述运行代码数据和所述历史网络攻击数据进行特征参数挖掘；数据检测模块，用于利用入侵检测方法提取所述特征参数中的自适应特征参数和历史特征参数，得到复杂高频敏感信息流；数据分类模块，用于通过优化后的 fcm方法对所述复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息；相似度判断模块，用于利用相似度计算方法判断实时网络信息数据与所述目标复杂敏感高频信息的相似度；若所述目标复杂敏感高频信息的相似度高于设定的阈值，则判定为
高风险威胁信息。10.一种基于安全产品风险威胁的智能识别系统，其特征在于，所述数据分类模块包括：获取子模块，用于获取所述复杂高频敏感信息流；利用fcm算法聚类算法对所述复杂高频敏感信息流进行分类；聚类子模块，用于从所有复杂高频敏感信息流中任取c个点作为聚类中心，选点使得价值函数（目标函数）达到最小；迭代子模块，用于将每次簇的均值作为新的中心，迭代直到簇中的复杂高频敏感信息流的分布不再变化，得到欧几里德距离；欧氏距离越小，相似度就越大，欧氏距离越大，相似度就越小；整理子模块，用于将相似度大的复杂高频敏感信息流进行收集整理，得到目标复杂敏感高频信息。

技术总结
本发明公开了一种基于安全产品风险威胁的智能识别方法及系统，该方法能有效的防止因黑客攻击而造成的用户网站被恶意篡改、恶意仿冒、网站被远程控制、被信息安全主管单位漏洞通报等安全事件的发生。通过获取安全产品应用系统中的运行代码数据和历史网络攻击数据；建立网络安全状态模型，并利用数据挖掘算法对所述运行代码数据和所述历史网络攻击数据进行特征参数挖掘；通过优化后的FCM方法对所述复杂高频敏感信息流进行分类，并收集所有分类好的目标复杂敏感高频信息；利用相似度计算方法判断实时网络信息数据与所述目标复杂敏感高频信息的相似度；若所述目标复杂敏感高频信息的相似度高于设定的阈值，则判定为高风险威胁信息。信息。信息。


技术研发人员：欧乐
受保护的技术使用者：深圳齐杉科技有限公司
技术研发日：2023.07.14
技术公布日：2023/8/24