[发明专利]下一代关键信息基础设施的网络安全态势感知系统

权利要求书

1.下一代关键信息基础设施的网络安全态势感知系统，其特征是，包括恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块、人工智能网络安全态势评估模块和安全态势展示模块，其中恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块皆与人工智能网络安全态势评估模块连接，人工智能网络安全态势评估模块与安全态势展示模块连接；

其中，恶性病毒感知防御模块用于对下一代关键信息基础设施网络进行恶性病毒检测，将恶性病毒检测结果发送至人工智能网络安全态势评估模块，并对检测出的恶性病毒进行处理，实现对下一代关键信息基础设施网络的恶性病毒感知和防御；

漏洞扫描数据获取模块用于采用指定的漏洞扫描系统对下一代关键信息基础设施网络各主机进行漏洞扫描，获取存在中高级以上漏洞的主机信息，并将该主机信息发送至人工智能网络安全态势评估模块；

普通病毒清除数据获取模块用于统计已安装指定的网络防病毒系统的主机数量，并用于根据网络防病毒系统获取所在主机的普通病毒检测结果以及普通病毒清除结果，将获取的数据发送至人工智能网络安全态势评估模块；

人工智能网络安全态势评估模块用于按照选定时段提取恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块发送的数据，并根据提取的数据计算该时段内下一代关键信息基础设施网络的安全态势值；

安全态势展示模块，用于通过图表展示下一代关键信息基础设施网络的历史安全态势值及相关的安全威胁处理方案；

所述的恶性病毒感知防御模块包括设置于下一代关键信息基础设施网络各主机上的监测单元、恶性病毒检测单元、恶性病毒防御单元；监测单元用于监测所在主机，记录所在主机的行为信息并将记录的行为信息发送至恶性病毒检测单元；恶性病毒检测单元用于对来自各个监测单元发送的行为信息进行标准恶性病毒检测，当检测到行为信息存在恶性病毒时，将该行为信息保存下来作为恶性病毒的标准特征信息，并利用恶性病毒的标准特征信息对后续的行为信息进行快速恶性病毒检测；恶性病毒防御单元与恶性病毒检测单元连接，用于根据恶性病毒检测单元输出的恶性病毒检测结果生成相应的威胁抑制/消除策略，并采用生成的威胁抑制/消除策略对受到恶性病毒感染的主机进行处理，实现对下一代关键信息基础设施网络的恶性病毒防御；

恶性病毒检测单元对来自各个监测单元发送的行为信息进行标准恶性病毒检测，具体包括：

(1)比较同一个周期内来自各个监测单元发送的行为信息，并构建主机列表，将具有相同行为信息且属性不同的主机归入同一个主机列表，并将该相同的行为信息作为对应主机列表的标识，其中具有相同的业务类型的主机属于同一属性；每个主机列表存储有作为标识的行为信息、所包含的各主机的连接节点数量以及所在的网络域信息，其中若所在主机列表中主机i与主机j交换过网络报文，则主机i与主机j互为对方的连接节点；

(2)判断各主机列表中作为标识的行为信息是否为恶性病毒，当是时，恶性病毒检测单元将该作为标识的行为信息保存下来作为恶性病毒的标准特征信息，其中，当主机列表满足下列条件时，判定该主机列表中作为标识的行为信息为恶性病毒：

式中，m_k为主机列表k中包含的主机数量，n_kl为主机列表k中第l个主机的连接节点数量，为由主机列表k中各主机覆盖的网络域数量，N₁为设定的第一数量上限，N₂为设定的第二数量上限；表示对的值进行取整；为比较函数，当时，当时，

2.根据权利要求1所述的下一代关键信息基础设施的网络安全态势感知系统，其特征是，还包括人工智能预警模块，用于根据下一代关键信息基础设施网络的安全态势值定期计算网络安全警告级别，并将计算的网络安全警告级别发送给系统管理员。

3.根据权利要求1所述的下一代关键信息基础设施的网络安全态势感知系统，其特征是，所述的行为信息包括文件系统操作行为、注册表操作行为、网络报文发送行为；当两主机存在相同的文件系统操作行为、注册表操作行为或者网络报文发送行为时，判定两主机具有相同行为信息。