[发明专利]一种基于神经网络的网络安全威胁情报分析方法及其分析系统

权利要求书

1.一种基于神经网络的网络安全威胁情报分析方法，其特征在于，所述分析方法包括以下步骤：

步骤1：采集以IP地址配合威胁等级与威胁手段构成的网络安全训练数据，所述网络数据包括网络数据包及日志文件；

步骤2：对网络数据进行预处理，获得标准化网络数据；

步骤3：构建神经网络模型；

步骤4：对步骤3的神经网络模型进行训练，并进行模型评估；

步骤5：将训练及评估后的神经网络模型应用于检测网络中的恶意活动，实现安全威胁情报分析。

2.根据权利要求1所述一种基于神经网络的网络安全威胁情报分析方法，其特征在于，所述步骤2具体包括以下步骤，

步骤2.1：对网络数据进行去重操作；

步骤2.2：过滤处理数据中与威胁分析目标不相关的数据；

步骤2.3：去除数据噪声，对数据进行平滑处理，同时去除掉数据中的异常值；

步骤2.4：根据神经网络的输入需求，对数据进行标准化处理，使数据尺度一致，消除数据间的单位差异。

3.根据权利要求1所述一种基于神经网络的网络安全威胁情报分析方法，其特征在于，所述步骤3构建神经网络模型使用多层的输入、隐藏和输出层组成神经网络，每层都包含多个神经元进行计算，结合使用ReLU或PReLU或Tanh函数作为激活函数，使用SGD或Adam优化算法，结合硬件算力、威胁对象的复杂程度和模型有关性能指标通过调试选择适当的深度、学习率以及进行迭代次数。

4.根据权利要求3所述一种基于神经网络的网络安全威胁情报分析方法，其特征在于，所述步骤4具体为，在神经网络模型的训练中，对学习率及迭代次数进行调节，防止过拟合的情况，在评估过程中应着重于准确性、召回率、F值、ROC曲线、混淆矩阵及AUC面积指标。

5.根据权利要求4所述一种基于神经网络的网络安全威胁情报分析方法，其特征在于，所述步骤5具体为，将新采集的网络流量数据输入到已经训练好的MLP神经网络中，通过网络输出层的输出来判断其属于哪种类型的威胁。如果输出层中某个神经元的输出值大于设定的阈值，则表示该网络流量数据属于该类型的威胁。例如，如果输出层中的某个神经元的输出值大于设定的阈值，那么该网络流量数据就会被分类为该类型的威胁。如果多个神经元的输出值均大于阈值，那么该网络流量数据可能属于多种类型的威胁，此时需要根据具体情况进行进一步分析和判断。

6.一种基于神经网络的网络安全威胁情报分析系统，其特征在于，所述网络安全威胁情报分析系统利用如权利要求1-5任一的所述基于神经网络的网络安全威胁情报分析方法，所述网络安全威胁情报分析系统包括采集与收集单元、数据预处理单元及数据处理单元；

所述采集与收集单元，用于采集，所述网络数据包括网络数据包及日志文件；

所述数据预处理单元，用于对网络数据进行预处理，获得标准化网络数据；

所述数据处理单元，用于构建神经网络模型；

对神经网络模型进行训练，并进行模型评估；

将训练及评估后的神经网络模型应用于检测网络中的恶意活动，实现安全威胁情报分析。

7.根据权利要求6所述一种基于神经网络的网络安全威胁情报分析系统，其特征在于，所述数据预处理单元具体为，

对网络数据进行去重操作；

过滤处理数据中与威胁分析目标不相关的数据；

去除数据噪声，对数据进行平滑处理，同时去除掉数据中的异常值；

根据神经网络的输入需求，对数据进行标准化处理，使数据尺度一致，消除数据间的单位差异。

8.根据权利要求6所述一种基于神经网络的网络安全威胁情报分析系统，其特征在于，所述数据处理单元具体为，构建的神经网络模型使用多层的输入、隐藏和输出层组成神经网络，每层都包含多个神经元进行计算，结合使用ReLU或PReLU或Tanh函数作为激活函数，使用SGD或Adam优化算法，结合硬件算力、威胁对象的复杂程度和模型有关性能指标通过调试选择适当的深度、学习率以及进行迭代次数。