基于机器学习的网络威胁监测系统技术方案

本发明专利技术公开了基于机器学习的网络威胁监测系统，具体涉及网络威胁监测领域，包括机器学习行为信息获取模块、网络威胁词条数据库模块、机器学习行为信息预处理模块、机器学习行为信息处理模块、机器学习行为异常预警模块、机器学习行为信息分析模块、机器学习行为评估模块、机器学习行为安全监管模块。本发明专利技术通过获取目标监测机器在预设时间段内的所有机器学习行为相关信息，进行预处理，分析得到网络威胁词条相关性指数、机器学习态度指数及机器学习网络安全影响指数，进一步分析得到网络威胁监测系数，对比分析后识别机器学习存在网络威胁异常风险的机器，进行对应的处理，将结果发送至操作终端，从而通过机器学习算法改善网络安全。络安全。络安全。

【技术实现步骤摘要】
基于机器学习的网络威胁监测系统


[0001]本专利技术涉及网络威胁监测
，更具体地说，本专利技术涉及基于机器学习的网络威胁监测系统。

技术介绍

[0002]随着经济的不断发展，近年来，计算机网络取得了快速的发展，在计算机网络不断发展的形势下，计算机网络在各个领域的应用的逐渐扩大，同时也导致了使用人工智能系统带来的严重和复杂的网络安全威胁因素，单纯依靠个人或传统系统已经无法处理当下的海量数据，机器学习促使我们解决这一难题。机器学习能够从输入和经验中进行学习，无须特别的编程，提供需要采集和处理的数据信息，并基于此采取行动，能够检测出运行系统是否受到未知的威胁或者网络攻击，从而通过机器学习算法改善网络安全。
[0003]但是其在实际使用时，仍旧存在一些缺点，如传统的机器学习系统通过检测新型文件来发现威胁，所识别的样本数量多且复杂，关键的风险或漏洞识别存在安全风险，从而无法做出合理的决策，使网络威胁事件日益增加；机器学习对于网络安全性来说是非常有价值的，不仅能通过自主的学习保护系统免受恶意程序或病毒的干扰，还能阻止威胁的进一步扩大，但是机器学习的自主性过于强烈，人们对机器的依赖程度不断增加，过于依赖科技带来的便利，而缺乏相关系统的监测其运行过程，会给社会带来危害。

技术实现思路

[0004]为了克服现有技术的上述缺陷，本专利技术的实施例提供基于机器学习的网络威胁监测系统，用于解决上述
技术介绍
中提出的问题。
[0005]为实现上述目的，本专利技术提供如下技术方案：机器学习行为信息获取模块：用于获取目标监测机器在预设时间段内的所有机器学习行为相关信息，筛选出目标监测机器各单元的状态参数值。
[0006]所述机器学习行为信息获取模块包括网络威胁词条获取单元、机器学习行为获取单元、机器内部活动获取单元。
[0007]网络威胁词条数据库模块：用于储存目标监测机器对应文本信息的网络威胁词条。
[0008]机器学习行为信息预处理模块：用于接收机器学习行为信息获取模块传输的状态参数值，消除数据中的异常值，通过机器输出的文本信息和数据库模块匹配，计算出网络威胁文本信息相关性权重，通过机器内部漏洞个数和机器后台活动次数，计算得出内部漏洞产生概率，通过机器恶意软件阻拦次数和机器后台活动次数，计算得出恶意软件阻拦概率。
[0009]机器学习行为信息处理模块：用于接收机器学习行为信息预处理模块传输的数据信息，通过网络威胁文本信息相关性权重，计算得出网络威胁词条相关性指数，通过机器运行时长、机器工作时长及机器流量统计，计算得出机器学习态度指数，通过内部漏洞产生概
率和恶意软件阻拦概率计算，得出机器学习网络安全影响指数。
[0010]机器学习行为异常预警模块：用于提取目标监测机器的网络威胁词条相关性指数、机器学习态度指数及机器学习网络安全影响指数，分别分析对应的变化波动，进行实时预警提示，并将处理结果发送至监测系统终端。
[0011]所述机器学习行为异常预警模块包括网络威胁词条预警单元、机器学习行为预警单元及机器内部活动预警单元。
[0012]机器学习行为信息分析模块：用于通过网络威胁词条相关性指数、机器学习态度指数及机器学习网络安全影响指数计算得出网络威胁监测系数。
[0013]机器学习行为评估模块：用于获取目标监测机器的网络威胁监测系数，与预设的网络威胁监测系数进行对比，若大于预设的网络威胁监测系数，表明该机器存在网络威胁异常风险，应立即将该机器进行封锁，并将结果发送至操作终端，反之则表明目标机器并未监测到网络威胁风险，并持续对机器进行检测，预测网络威胁。
[0014]机器学习行为安全监管模块：用于设置机器管理权限，储存目标监管机器的历史网络威胁监测系数，并储存网络威胁词条相关性变化波动指数、机器学习态度变化波动指数及机器学习网络安全影响变化波动指数。
[0015]所述机器学习行为信息获取模块的具体获取方式为：获取目标监测机器在预设时间段内的所有机器学习行为相关信息，通过网络威胁词条获取单元设置文本提取器，提取目标监测机器在预设时间段内的机器输出文本信息，将机器输出文本信息进行拆解，与网络威胁词条数据库模块储存的机器对应文本信息的网络威胁词条进行匹配，分别编号为、
…………
，其中i=1、2
……
n，i表示为第i个监测子区域编号。
[0016]机器学习行为获取单元用于设置观测点，获取目标监测机器在预设时间段内的机器运行时长、机器工作时长及机器流量统计，分别标记为、、，其中i=1、2
……
n，i表示为第i个监测子区域编号。
[0017]机器内部活动获取单元用于设置观测点，获取目标监测机器在预设时间段内的机器内部漏洞个数、机器恶意软件阻拦次数及机器后台活动次数，分别标记为、、，其中i=1、2
……
n，i表示为第i个监测子区域编号。
[0018]所述机器学习行为信息预处理模块具体为：将机器输出的文本信息和数据库模块匹配，代入公式：Kca=，其中Kca表示为网络威胁文本信息相关性权重，ca表示为机器输出的文本信息网络词条序号，表示为权重系数。
[0019]其中k的计算公式为：=*100%，其中表示为第i个监测子区域的权重系数，表示为第i个监测子区域的机器输出的文本信息网络词条序号。
[0020]将机器内部漏洞个数和机器后台活动次数代入公式：
Kd=*100%，其中Kd表示为内部漏洞产生概率，hd表示为机器内部漏洞个数，ht表示为机器后台活动次数。
[0021]将机器恶意软件阻拦次数和机器后台活动次数代入公式：Kz=*100%，其中kz表示为恶意软件阻拦概率，hz表示为机器恶意软件阻拦次数，ht表示为机器后台活动次数。
[0022]所述网络威胁词条相关性指数计算公式为：，其中表示为网络威胁词条相关性指数，表示为自然常数，e表示为自然常数，Kca表示为网络威胁文本信息相关性权重，表示为网络威胁词条相关性指数的其他影响因子。
[0023]所述机器学习态度指数的计算公式为：，其中表示为机器学习态度指数，表示为机器流量统计，表示为预设的机器流量，表示为机器工作时长，表示为机器运行时长，表示为预设的机器工作时长，e表示为自然常数，、、分别表示为机器流量统计、机器工作时长、机器运行时长的其他影响因子。
[0024]所述机器学习网络安全影响指数的计算公式为：，其中表示为机器学习网络安全影响指数，Kd表示为内部漏洞产生概率，表示为预设的内部漏洞产生概率，kz表示为恶意软件阻拦概率，表示为预设的恶意软件阻拦概率，、分别表示为内部漏洞产生概率、恶意软件阻拦概率的其他影响因子。
[0025]所述机器学习行为异常预警模块的具体预警方式为：网络威胁词条预警单元用于提取目标监测机器在预设时间段内的网络威胁词条相关性指数，得到目标监测机器在预设时间段内的网络威胁词条相关性变化波动指数公式：=，若目标监测机器在预设时间段内的某监测子区域的，表明目标监测机器在预本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于机器学习的网络威胁监测系统，其特征在于，包括：机器学习行为信息获取模块：用于获取目标监测机器在预设时间段内的所有机器学习行为相关信息，筛选出目标监测机器各单元的状态参数值；所述机器学习行为信息获取模块包括网络威胁词条获取单元、机器学习行为获取单元、机器内部活动获取单元；网络威胁词条数据库模块：用于储存目标监测机器对应文本信息的网络威胁词条；机器学习行为信息预处理模块：用于接收机器学习行为信息获取模块传输的状态参数值，消除数据中的异常值，通过机器输出的文本信息和数据库模块匹配，计算出网络威胁文本信息相关性权重，通过机器内部漏洞个数和机器后台活动次数，计算得出内部漏洞产生概率，通过机器恶意软件阻拦次数和机器后台活动次数，计算得出恶意软件阻拦概率；机器学习行为信息处理模块：用于接收机器学习行为信息预处理模块传输的数据信息，通过网络威胁文本信息相关性权重，计算得出网络威胁词条相关性指数，通过机器运行时长、机器工作时长及机器流量统计，计算得出机器学习态度指数，通过内部漏洞产生概率和恶意软件阻拦概率计算，得出机器学习网络安全影响指数；机器学习行为异常预警模块：用于提取目标监测机器的网络威胁词条相关性指数、机器学习态度指数及机器学习网络安全影响指数，分别分析对应的变化波动，进行实时预警提示，并将处理结果发送至监测系统终端；所述机器学习行为异常预警模块包括网络威胁词条预警单元、机器学习行为预警单元及机器内部活动预警单元；机器学习行为信息分析模块：用于通过网络威胁词条相关性指数、机器学习态度指数及机器学习网络安全影响指数计算得出网络威胁监测系数；机器学习行为评估模块：用于获取目标监测机器的网络威胁监测系数，与预设的网络威胁监测系数进行对比，若大于预设的网络威胁监测系数，表明该机器存在网络威胁异常风险，应立即将该机器进行封锁，并将结果发送至操作终端，反之则表明目标机器并未监测到网络威胁风险，并持续对机器进行检测，预测网络威胁；机器学习行为安全监管模块：用于设置机器管理权限，储存目标监管机器的历史网络威胁监测系数，并储存网络威胁词条相关性变化波动指数、机器学习态度变化波动指数及机器学习网络安全影响变化波动指数。2.根据权利要求1所述的基于机器学习的网络威胁监测系统，其特征在于：所述机器学习行为信息获取模块的具体获取方式为：获取目标监测机器在预设时间段内的所有机器学习行为相关信息，通过网络威胁词条获取单元设置文本提取器，提取目标监测机器在预设时间段内的机器输出文本信息，将机器输出文本信息进行拆解，与网络威胁词条数据库模块储存的机器对应文本信息的网络威胁词条进行匹配，分别编号为、
…………
，其中i=1、2
……
n，i表示为第i个监测子区域编号；机器学习行为获取单元用于设置观测点，获取目标监测机器在预设时间段内的机器运行时长、机器工作时长及机器流量统计，分别标记为、、，其中i=1、2
……
n，i表示为第i个监测子区域编号；
机器内部活动获取单元用于设置观测点，获取目标监测机器在预设时间段内的机器内部漏洞个数、机器恶意软件阻拦次数及机器后台活动次数，分别标记为、、，其中i=1、2
……
n，i表示为第i个监测子区域编号。3.根据权利要求1所述的基于机器学习的网络威胁监测系统，其特征在于：所述机器学习行为信息预处理模块具体为：将机器输出的文本信息和数据库模块匹配，代入公式：Kca=，其中Kca表示为网络威胁文本信息相关性权重，ca表示为机器输出的文本信息网络词条序号，表示为权重系数；其中k的计算公式...

【专利技术属性】
技术研发人员：陈冰，陈波，曾令明，
申请(专利权)人：深圳市光网世纪科技有限公司，
类型：发明
国别省市：