[发明专利]基于人工智能的关键信息基础设施安全威胁主动防御系统

权利要求书

1.基于人工智能的关键信息基础设施安全威胁主动防御系统，其特征是，包括：

数据采集模块，用于采集网络系统中网络检测数据，所述网络检测数据包括网络设备运行状况、网络行为信息和用户行为信息；

数据分析模块，用于对获取的网络检测数据进行分析处理，生成用于描述网络设备安全状态的态势信息；

安全态势评估模块，用于根据所述数据分析模块的分析结果，对网络系统的安全状态进行评估；

主动防御模块，用于根据所述安全态势评估模块的评估结果确定防御策略，进而对网络系统中的威胁行为进行主动防御。

2.根据权利要求1所述的关键信息基础设施安全威胁主动防御系统，其特征是，所述数据采集模块包括：

网络设备状态采集单元，用于获取网络环境中网络设备的运行情况数据；

网络行为采集单元，用于获取网络拓扑、连通性和漏洞信息等；

用户行为采集单元，用于获取攻击方的攻击行为信息和防御方的防御行为信息。

3.根据权利要求2所述的关键信息基础设施安全威胁主动防御系统，其特征是，所述对获取的网络检测数据进行分析处理，生成用于描述网络设备安全状态的态势信息，具体是指对所述网络检测数据进行去冗和清洗，并进一步对其进行格式统一处理，得到用于描述网络设备安全状态的态势信息。

4.根据权利要求3所述的关键信息基础设施安全威胁主动防御系统，其特征是，所述安全态势评估模块包括：

安全态势评估单元，用于根据获取的网络设备安全状态的态势信息，对网络系统的安全态势进行评估；

安全态势预测单元，用于根据当前网络系统的安全态势和历史威胁行为数据，对未来时刻的网络系统的安全状态进行预测。

5.根据权利要求4所述的关键信息基础设施安全威胁主动防御系统，其特征是，所述主动防御模块包括深度学习单元、防御策略生成单元和防御策略执行单元；

所述深度学习单元，用于基于深度学习算法对所述安全态势评估模块的评估结果进行识别分类，获取网络系统的安全状态的置信度值；

所述防御策略生成单元，用于根据得到的置信度值和所述置信度值对应的威胁行为的解决方案，生成相应的防御策略；

所述防御策略执行单元，用于根据所述防御策略生成单元生成的防御策略，按照所述防御策略对网络系统中的威胁行为进行防御。

6.根据权利要求5所述的关键信息基础设施安全威胁主动防御系统，其特征是，所述安全态势评估单元包括态势信息融合子单元、威胁行为评估子单元和威胁行为综合评估子单元；

所述态势信息融合子单元，用于根据获取的网络设备安全状态的态势信息，分别计算待评估的网络设备中不同威胁行为发生的概率值，其中，待评估的网络设备中单个威胁行为发生的概率函数为：

式中，P(t)是t时刻威胁行为发生的概率值，x_i是第i个态势信息对威胁行为的贡献度值，α_i是第i个态势信息在威胁行为发生时所占的权重，n是态势信息的总数，ε是权重因子，且0＜ε＜1，pl(v_j)是威胁行为对漏洞v_j的利用率，γ_j是影响因子，用于表述漏洞v_j对威胁行为的影响程度；J是待评估的网络设备中的漏洞数；

所述威胁行为评估子单元，用于根据得到的待评估的网络设备中不同威胁行为发生的概率值和威胁行为对待评估的网络设备的威胁程度，获取待评估的网络设备的安全态势值；

所述威胁行为综合评估子单元，用于根据所述待评估的网络设备的安全态势值，计算整个网络系统的安全态势值，其中，整个网络系统的安全态势值的计算公式为：

式中，Φ_total是整个网络系统的安全态势值，Z是整个网络系统中网络设备的个数，Φ_z是第z个网络设备的安全态势值，ω_z是第z个网络设备在整个网络系统的权值，f(z,x)是第z个网络设备和第x个网络设备的关联程度，且x≠z。

7.根据权利要求6所述的关键信息基础设施安全威胁主动防御系统，其特征是，所述待评估的网络设备的安全态势值的计算公式为：

式中，Φ是待评估的网络设备的安全态势值，b是底数，Level_m是威胁行为m对待评估的网络设备的威胁程度值，M是威胁行为的个数，P_m(t)是t时刻时威胁行为m发生的概率值。