基于人工智能的关键信息基础设施安全威胁情报分析系统

摘要

基于人工智能的关键信息基础设施安全威胁情报分析系统，包括情报收集模块、情报处理模块、智能分析模块、人工分析模块和情报显示终端，所述情报收集模块用于实时收集网络上的安全信息形成威胁情报库，所述情报处理模块用于对威胁情报库中的威胁情报进行预处理并对处理后的情报数据进行分类，所述智能分析模块和人工分析模块用于对当前的安全形势进行综合分析，所述情报显示终端用于将分析得到的结果进行展示，并在发现危险时即进行报警。本发明的有益效果为：实时收集网络上的威胁情报，并采用数据挖掘技术和人工智能技术对采集得到的威胁情报进行实时处理和深度分析，从而实现对网络攻击行为的及时识别和预警，保证了关键信息基础设施的安全。

说明书

技术领域

本发明创造涉及关键信息基础设施安全检测领域，具体涉及一种基于人工智能的关键信息基础设施安全威胁情报分析系统。

背景技术

大数据环境下信息安全风险机理发生重大变化，国家机密、商业机密、隐私保护面临重大挑战，传统的信息安全管理范式已经无法面对严峻的安全形式，大数据环境下的威胁情报分析系统应运而生，对威胁情报进行有效的分析从而对关键信息基础设施安全进行防御，能够及时分析已发生的入侵，并对未来威胁态势进行有效预判，并能帮助评估潜在的安全风险进而指导用户制定有效的安全决策，因此，对威胁情报进行有效的分析，对关键信息基础设施的安全防护具有重要的意义。

大数据环境下的威胁情报往往存在数据量众多、来源多样和结构复杂的特点，因此，对海量威胁数据进行有效的聚类，将抽象的数据进行集合分组，是威胁情报的分析的重要基础，本发明提供一种基于人工智能的关键信息基础设施安全威胁情报分析系统，对网络上的威胁情报进行实时采集，采用聚类算法对采集得到的威胁情报进行分类，继而采用人工智能技术、异常行为识别技术、入侵检测技术和态势预测技术对处理后的威胁情报进行深度分析，从而实现对网络攻击行为的及时识别和预警，保证了关键信息基础设施的安全。

发明内容

针对上述问题，本发明旨在提供一种基于人工智能的关键信息基础设施安全威胁情报分析系统。

本发明创造的目的通过以下技术方案实现：

基于人工智能的关键信息基础设施安全威胁情报分析系统，包括情报收集模块、情报处理模块、智能分析模块、人工分析模块和情报显示终端，所述情报收集模块用于实时收集移动设备、社交网络、用户访问日志、传感器、语音通话、视频等设施的安全信息，形成威胁情报库，所述情报处理模块用于对威胁情报库中的威胁情报进行预处理并对处理后的情报数据进行分类，所述智能分析模块用于根据威胁情报的分类结果对当前的安全形势进行分析并预测潜在的风险，所述人工分析模块通过专业情报分析人员根据威胁情报的分类结果和智能分析模块的分析结果对当前的关键信息基础设施安全情况进行综合分析，所述情报显示终端将智能分析模块和人工分析模块分析得到的结果进行展示，并在发现对关键信息基础设施的安全存在威胁时即进行报警。

本发明创造的有益效果：本发明提供一种基于人工智能的关键信息基础设施安全威胁情报分析系统，实时收集网络上的威胁情报，并采用数据挖掘、人工智能技术、异常行为识别技术、入侵检测技术和态势预测等技术对采集得到的威胁情报进行实时处理和深度分析，从而实现对网络攻击行为的及时识别和预警，保证了关键信息基础设施的安全。

附图说明

利用附图对发明创造作进一步说明，但附图中的实施例不构成对本发明创造的任何限制，对于本领域的普通技术人员，在不付出创造性劳动的前提下，还可以根据以下附图获得其它的附图。

图1是本发明结构示意图；

图2是本发明情报处理模块和智能分析模块的结构示意图。

附图标记：

情报收集模块1；情报处理模块2；智能分析模块3；人工分析模块4；情报显示终端5；情报预处理单元21；情报分类单元22；可疑行为识别单元31；网络入侵检测单元32；态势预测分析单元33。

具体实施方式

结合以下实施例对本发明作进一步描述。

参见图1和图2，本实施例的基于人工智能的关键信息基础设施安全威胁情报分析系统，包括情报收集模块1、情报处理模块2、智能分析模块3、人工分析模块4和情报显示终端5，所述情报收集模块1用于实时收集移动设备、社交网络、用户访问日志、传感器、语音通话、视频等设施的安全信息，形成威胁情报库，所述情报处理模块2用于对威胁情报库中的威胁情报进行预处理并对处理后的情报数据进行分类，所述智能分析模块3用于根据威胁情报的分类结果对当前的安全形势进行分析并预测潜在的风险，所述人工分析模块4通过专业情报分析人员根据威胁情报的分类结果和智能分析模块的分析结果对当前的关键信息基础设施安全情况进行综合分析，所述情报显示终端5将智能分析模块3和人工分析模块4分析得到的结果进行展示，并在发现对关键信息基础设施的安全存在威胁时即进行报警。

本优选实施例提供一种基于人工智能的关键信息基础设施安全威胁情报分析系统，实时收集网络上的威胁情报，并采用数据挖掘、人工智能技术、异常行为识别技术、入侵检测技术和态势预测等技术对采集得到的威胁情报进行实时处理和深度分析，从而实现对网络攻击行为的及时识别和预警，保证了关键信息基础设施的安全。

优选地，所述情报处理模块2包括情报预处理单元21和情报分类单元22，所述情报预处理单元21用于对威胁数据库中的威胁情报进行数据过滤、数据补全和数据去重的预处理操作，所述情报分类单元22采用可能性C均值聚类算法对预处理后的威胁情报进行分类操作。

优选地，所述情报分类单元22采用可能性C均值聚类算法对预处理后的威胁情报进行分类，对可能性C均值聚类算法的目标函数进行改进，定义改进后的目标函数为fnew,则fnew的计算公式为：

式中，u_ik表示FCM算法定义的数据x_k属于第i类的隶属度，m表示FCM算法采用的模糊指标参数，且m>1，g_ik表示PCM算法中定义的数据x_k属于第i类的概率，t表示PCM算法采用的模糊指标参数，且t>1，c_i表示第i类的聚类中心，C表示聚类类别数，n表示样本数，c_a和c_b分别表示第a类和第b类的聚类中心；

对应的可能性C均值聚类算法的隶属度和聚类中心的更新公式如下：

式中，c_p和c_i分别表示第p类和第i类的聚类中心，u_ik表示FCM算法定义的数据x_k属于第i类的隶属度，u_ih表示FCM算法中数据x_h属于第i类的隶属度，m表示FCM算法采用的模糊指标参数，且m>1，g_ik表示PCM算法定义的数据x_k属于第i类的概率，g_ih表示PCM算法定义的数据x_h属于第i类的概率，t表示PCM算法采用的模糊指标参数，且t>1，C表示聚类类别数，n表示样本数。

本优选实施例对可能性C均值聚类算法的目标函数进行改进，克服了聚类算法对噪声较为敏感的缺陷，并使得该聚类算法在处理类与类之间存在重叠的情况时不易出错，此外，该目标函数的引入了数据集的紧凑和分离程度作为惩罚项，能够获得较好的聚类效果。

优选地，所述可能性C均值聚类算法采用一种基于信息粒度确定最佳聚类数的方法，通过信息粒耦合度和分离度定义可能性C均值聚类算法的聚类有效性指标H_CS，用来确定可能性C均值聚类算法的最佳聚类类别数，则聚类有效性指标H_CS的计算公式为：

式中，C表示聚类类别数，n表示样本数，c_i和c_k分别表示第i类和第k类的聚类中心，表示样本集的聚类中心；

依次选取不同聚类类别数进行聚类，H_CS最小值时相对应的C值即为最佳聚类类别数。

本优选实施例将聚类算法与信息粒度分析相结合，并引进信息粒耦合度和分离度来计算聚类算法的有效性指标，从而确定聚类算法的最佳聚类数，不仅能有效的取得最佳聚类数，而且使得该聚类算法能够适应威胁情报这种大规模数据集的聚类。

优选地，智能分析模块3包括可疑行为识别单元31、网络入侵检测单元32和态势预测分析单元33，所述可疑行为识别单元31用于根据处理后的威胁情报对网络中用户的当前行为模式进行检测，并与正常行为模式进行比较，从而识别是否存在可疑行为，所述网络入侵检测单元32用于根据威胁情报数据的分类结果分析是否存在入侵行为，所述态势预测分析单元33根据可疑行为识别单元31和网络入侵检测单元32以及威胁情报的分类结果对当前的网络安全态势进行预测。

本优选实施例根据威胁情报的聚类结果从可疑行为识别、网络入侵检测和态势预测三个不同的方面借助人工智能技术对威胁情报的聚类结果进行分析，能够较为全面的判断当前的网络安全情况，并为后续的人工分析判断网络的安全状况提供了帮助。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案，而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细地说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。