[发明专利]面向动态数据的网络行为分析及态势感知系统和方法

权利要求书

1.面向动态数据的网络行为分析及态势感知方法，其特征在于，包括以下步骤，

S10、动态获取网络行为数据特征；

S20、基于无监督在线学习增强系统结合聚类算法对网络业务数据特征进行初步聚类；

S30、计算不同分簇的可疑度指标，以此来反向指导聚类算法，形成闭环增益；

S40，将所述可疑度较高的分簇，进行第二级细化分析，抽取数据特征进行进一步检测；

S50、按照预设可疑度指标阈值计算规则，对所述可疑度指标进行多级的计算，以动态获取所述网络行为的可疑度阈值；

S60、对超过可疑度阈值的网络行为判定为潜在网络攻击行为，进行拦截处理。

2.根据权利要求1所述的面向动态数据的网络行为分析及态势感知方法，其特征在于，

S20包括：

S21、确定预设聚类中心选取规则，基于已有的网络分析专家知识确定一个聚类参考中心；

S22，确定预设动态聚类规则，计算所述网络行为特征与所述参考聚类中心的相似度值；

S23，根据相似度值对网络业务数据特征进行初步聚类。

3.根据权利要求1所述的面向动态数据的网络行为分析及态势感知方法，其特征在于，

S30包括：

S31，对同一网络业务特征集合中的所有原始数据特征进行平均池化，获取每个网络业务特征集合对应的代表数据特征；

步骤S32，获取所述聚类之后的代表数据特征的权重值；

步骤S33，根据不同网络业务对应的可疑度指标反向指导聚类算法，形成闭环增益。

4.根据权利要求3所述的面向动态数据的网络行为分析及态势感知方法，其特征在于，

S32包括步骤S321、步骤S322、步骤S323；

S321、通过所述代表数据特征分析所述预设共享网络行为数据，确定所述代表数据特征的分析准确度；

S322、根据所述分析准确度，确定所述代表模型的权重值；其中，所述分析准确度越高，则所述分析准确度对应的所述权重值越高；

S323，根据所述权重值，确定每个网络业务特征对应的可疑度指标。

5.面向动态数据的网络行为分析及态势感知系统，其特征在于，

数据采集模块：根据所述动态网络业务，动态收集网络行为数据特征；

聚类模块：根据无监督在线学习增强系统，对网络业务数据特征进行初步聚类；

可疑度确定模块：用于确定每个网络行为对应的可疑度指标；

多级检测和分析模块：可疑度较高的分簇，进行第二级细化分析，抽取数据特征进行有针对性的多级检测和分析，提升网络安全行为的快速响应能力；

异常处理模块：将超过可疑度阈值的网络行为判定为潜在网络攻击行为，进行拦截处理。

6.根据权利要求5所述面向动态数据的网络行为分析及态势感知系统，其特征在于，

数据采集模块，包括：

数据采集单元：用于按照预设网络数据选取规则，对网络业务中各节点的流通数据进行在线实时采集；

数据预处理单元：用于按照预设网络行为数据特征提取规则，备份原始的网络数据，并对网络行为数据特征进行数据预处理。

7.根据权利要求5所述面向动态数据的网络行为分析及态势感知系统，其特征在于，

聚类模块202，包括：

参考中心单元，用于根据预设聚类中心选取规则，通过已有的网络分析专家知识确定一个聚类参考中心；

相似度值单元，用于按照预设动态聚类规则，计算所述网络行为特征与所述参考聚类中心的相似度值；

初步聚类单元，用于根据所述相似度值，对网络业务数据特征进行初步聚类。

8.根据权利要求5所述面向动态数据的网络行为分析及态势感知系统，其特征在于，

多级检测和分析模块204，包括：

分布距离单元，用于基于所述可疑度较高的分簇，计算所述异常分簇中的每个网络业务行为的分布距离值；

可疑度值单元，用于根据所述分布距离值，计算网络行为数据特征的细化可疑度值。