(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211007510.2 (22)申请日 2022.08.22 (71)申请人 中国南方电网有限责任公司超高压 输电公司 地址 510700 广东省广州市黄埔区高新 技 术产业开发区科 学大道223号 申请人 中国科学院微电子 研究所 (72)发明人 卢金奇　高兴宇　黄宇　张宝斌　 冯万进　曾嘉伟　钱方　 (74)专利代理 机构 北京华沛德权律师事务所 11302 专利代理师 王瑞琳 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络空间防护系统 (57)摘要 本申请的实施例提供了一种网络空间防护 系统。 该系统包括： AI智能诊断模块， 用于获取目 标网络的运行状态并确定所述目标网络的数据 变化信息， 以从若干网络事件中， 确定疑似威胁 网络事件； 异常值检测模块， 用于对所述疑似威 胁网络事件进行特征提取， 得到对应的特征信 息； 网络安全杀伤链技术分析模块， 用于根据所 述特征信息， 确定所述疑似威胁网络事件对应的 异常类型和攻击阶段； 未知威胁检测模块， 用于 根据所述特征信息， 确定所述疑似威胁网络事件 对应的威胁源， 并根据所述威胁源， 确定可能被 攻击的风险设备。 本申请实施例的技术方案可以 对网络攻击事件进行主动防护， 提高网络的安全 性。 权利要求书1页 说明书7页 附图1页 CN 115499166 A 2022.12.20 CN 115499166 A 1.一种网络空间防护系统， 其特 征在于， 所述系统包括： AI智能诊断模块， 用于获取目标网络的运行状态并确定所述目标网络的数据变化信 息， 以从若干网络事 件中， 确定疑似威胁网络事 件； 异常值检测模块， 用于对所述疑似威胁网络事 件进行特征提取， 得到对应的特 征信息； 网络安全杀伤链技术分析模块， 用于根据所述特征信息， 确定所述疑似威胁网络事件 对应的异常类型和攻击阶段， 所述攻击阶段包括侦察扫描、 定向攻击、 攻陷入侵、 工具安装 以及恶意行为中的至少一种， 所述异常类型包括异常流益、 异常操作行为、 异常服务以及异 常设备事件中的至少一种； 未知威胁检测模块， 用于根据所述特征信息， 确定所述疑似威胁网络事件对应的威胁 源， 并根据所述 威胁源， 确定可能被攻击的风险设备。 2.根据权利要求1所述的系统， 其特征在于， 所述网络安全杀伤链技术分析模块在确定 所述疑似威胁网络事件对应的攻击阶段后， 根据对应的攻击阶段， 将所述疑似威胁网络事 件映射到告警时序图中， 所述告警时序图包括若干疑似威胁网络事件及其对应的攻击阶 段。 3.根据权利要求1所述的系统， 其特征在于， 所述威胁源为攻击设备的标识信息， 在根 据所述威胁源， 确定可能被攻击的风险设备时， 所述未知威胁 检测模块具体用于： 根据所述 攻击设备的标识信息， 获取由所述 攻击设备发起的网络事 件； 根据各所述网络事 件对应的目标设备， 确定可能被攻击的风险设备。 4.根据权利要求1所述的系统， 其特征在于， 所述安全杀伤链分析模块中设置有预定 阈 值和/或正常网络事件模型， 根据所述特征信息与所述预定阈值和/或所述正常 网络事件模 型进行匹配， 确定所述疑似威胁网络事 件对应的异常类型。 5.根据权利要求1所述的系统， 其特征在于， 所述异常值检测模块根据数据聚类、 核密 度估计、 基线特征和特征提取模型中的至少一种对所述疑似威胁网络事件进行特征提取， 得到对应的特 征信息。 6.根据权利要求2中所述的系统， 其特征在于， 所述系统还包括 聚类事件分析与智能筛 查模块， 所述聚类事件分析与智能筛查模块用于根据所述疑似威胁网络事件的威胁源， 对 对应于同一所述威胁源的疑似威胁网络事件进行筛查处理， 保留预定数量的疑似威胁网络 事件。 7.根据权利要求6所述的系统， 其特征在于， 所述 聚类事件分析与智能筛查模块中设置 预定时间间隔， 对所述时间间隔内的对应于同一所述威胁源的疑似威胁网络事件进行筛查 处理， 保留预定数量的疑似威胁网络事 件。 8.根据权利要求6所述的系统， 其特征在于， 所述 聚类事件分析与智能筛查模块还用于 根据所述疑似威胁网络事 件的异常类型， 确定所述疑似威胁网络事 件的危险程度。 9.根据权利要求1 ‑8中任一项所述的系统， 其特征在于， 所述系统还包括数据库模块， 所述数据库模块包括漏洞库、 安全规则库、 协 议库以及威胁情报库中的至少一种， 以便其他 模块进行调用。权　利　要　求　书 1/1 页 2 CN 115499166 A 2网络空间防护系统 技术领域 [0001]本申请涉及网络安全技 术领域， 具体而言， 涉及一种网络空间防护系统。 背景技术 [0002]随着广泛感知、 万物互联和数据共享的不断深入发展， 信息安全带来的威胁无论 是在深度上还是广度上都有所增加。 互联网安全事件频发， 针对互联网业务系统的攻击形 式呈现多样化， 传统的防御手段难以满足日益增长的安全防护需求。 伴随攻防技术的发展， 互联网安全防护手段将由 “被动防御 ”向“主动防御 ”转移， 因此， 如何对网络攻击事件进行 主动防护， 提高网络的安全性成为了亟 待解决的技 术问题。 发明内容 [0003]本申请的实施例提供了一种网络空间防护系统， 进而至少在一定程度上可以对网 络攻击事 件进行主动防护， 提高网络的安全性。 [0004]本申请的其他特性和优点将通过下面的详细描述变得显然， 或部分地通过本申请 的实践而习得。 [0005]根据本申请实施例的一个方面， 提供了一种网络空间防护系统， 该系统包括： [0006]AI智能诊断模块， 用于获取目标 网络的运行状态并确定所述目标 网络的数据变化 信息， 以从若干网络事 件中， 确定疑似威胁网络事 件； [0007]异常值检测模块， 用于对所述疑似威胁网络事件进行特征提取， 得到对应的特征 信息； [0008]网络安全杀伤链技术分析模块， 用于根据所述特征信息， 确定所述疑似威胁网络 事件对应的异常类型和攻击阶段， 所述攻击阶段包括侦察扫描、 定 向攻击、 攻陷入侵、 工具 安装以及恶意行为中的至少一种， 所述异常类型包括异常流益、 异常操作行为、 异常服务以 及异常设备事件中的至少一种； [0009]未知威胁检测模块， 用于根据所述特征信息， 确定所述疑似威胁网络事件对应的 威胁源， 并根据所述 威胁源， 确定可能被攻击的风险设备。 [0010]在本申请的一些实施例中， 基于前述方案， 所述网络安全杀伤链技术分析模块在 确定所述疑似威胁网络事件对应的攻击阶段后， 根据对应的攻击阶段， 将所述疑似威胁网 络事件映射到告警时序图中， 所述告警时序图包括若干 疑似威胁网络事件及其对应的攻击 阶段 [0011]在本申请的一些实施例中， 基于前述方案， 所述威胁源为攻击设备的标识信息， 在 根据所述威胁源， 确定可能被攻击的风险设备时， 所述未知威胁检测模块具体用于： 根据所 述攻击设备 的标识信息， 获取 由所述攻击设备发起的网络事件； 根据各所述网络事件对应 的目标设备， 确定可能被攻击的风险设备。 [0012]在本申请的一些实施例中， 基于前述方案， 所述安全杀伤链分析模块中设置有预 定阈值和/或正常 网络事件模型， 根据所述特征信息与所述预定阈值和/或所述正常网络事说　明　书 1/7 页 3 CN 115499166 A 3