(19)國家知識產(chǎn)權(quán)局(10)申請公布號CN120223439A(71)申請人新疆睿數(shù)云鼎信息科技有限公司市獨山子區(qū)大慶東路2806幢-1408(74)專利代理機構(gòu)北京藍企象專利代理有限公司16305專利代理師張麗娜GO6N3/045(2023.01)(54)發(fā)明名稱本發(fā)明涉及數(shù)字信息的傳輸技術(shù)領域，提出了基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法和4大類12子類多源異構(gòu)數(shù)據(jù)，結(jié)合動態(tài)加權(quán)機制，使特征提取更全面精準；模型架構(gòu)上，采用CNN-態(tài)閾值與蒙特卡洛模擬，實現(xiàn)提前預警；模型訓練模塊創(chuàng)新采用聯(lián)邦學習模式，保障數(shù)據(jù)隱私的同時提升模型泛化能力；預測分析模塊部署優(yōu)化混合模型，支持高并發(fā)預測且響應時間短；可視采集網(wǎng)絡層、設備層、情報層、行為層共4大類12子類數(shù)據(jù)采集網(wǎng)絡層、設備層、情報層、行為層共4大類12子類數(shù)據(jù)生成86維原始特征：采用雙向長短期記憶網(wǎng)絡(Bi-LSTD處理前72小時特征序列，輸出64維時序向量21.基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法，應用于通信網(wǎng)絡的實時安全風險評估與步驟一、多源異構(gòu)數(shù)據(jù)采集與標準化：采集網(wǎng)絡層、設備層、情報層、行為層共4大類12子類數(shù)據(jù)，采用ApacheAvro定義統(tǒng)一數(shù)據(jù)格式，通過Kafka消息隊列實現(xiàn)端到端傳輸延遲≤50ms,運用D-S證據(jù)理論融合沖突數(shù)據(jù)；步驟二、動態(tài)特征工程與權(quán)重分配：生成86維原始特征，包括流量熵值、TCP連接重置率、漏洞CVSS評分，采用雙向長短期記憶網(wǎng)絡建模時序依賴，輸入前72小時特征序步驟三、CNN-Bi-LSTM-Attention混合模型預測：構(gòu)建三級融合架構(gòu)；入粒子群算法動態(tài)優(yōu)化超參數(shù)，學習率范圍0.0005-0.002,注意力頭數(shù)4-16,LSTM隱藏層維度128-512,驗證步驟四、分層風險評估與智能預警：采用層次分析法結(jié)合熵權(quán)法構(gòu)建三級評估體系，資產(chǎn)價值權(quán)重0.25、威脅等級權(quán)重0.40、脆弱性權(quán)重0.35;實時異常檢測基于3σ原則結(jié)合貝葉斯優(yōu)化動態(tài)調(diào)整閾值置信度95%;趨勢預測模塊采用蒙特卡洛模擬生成未來72小時風險概2.根據(jù)權(quán)利要求1所述的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法，其特征在于：所述認證日志的MFA驗證結(jié)果、登錄IP地理定位信息；特權(quán)賬戶操作軌跡的API調(diào)用頻次、敏感數(shù)據(jù)訪問路徑記錄。3.根據(jù)權(quán)利要求1所述的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法，其特征在于：所述動態(tài)特征工程中，流量熵值計算中的P?為特定時間窗口內(nèi)協(xié)議類型出現(xiàn)概率；時序特征增強采用256維隱藏層捕捉雙向行為模式；Transformer機制通過特征映射函數(shù)Query、Key4.根據(jù)權(quán)利要求1所述的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法，其特征在于：所述融合架構(gòu)包括8個5×5卷積核提取流量包載荷空間特征，中層雙向LSTM層輸出128維時序特征，頂層注意力增強層結(jié)合資產(chǎn)脆弱性評分等上下文信息，輸出未來24小時風險等級范圍5.根據(jù)權(quán)利要求1所述的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法，其特征在于：所述混合模型預測中：卷積層通過ReLU激活函數(shù)生成200維特征圖，識別HTTP請求頭異常的模式化特征；注意力增強層結(jié)合攻擊源地理熵值，用以反映攻擊IP地域分散程度，優(yōu)化權(quán)重分6.根據(jù)權(quán)利要求1所述的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法，其特征在于：所述分層風險評估中：資產(chǎn)價值權(quán)重通過模糊綜合評價法考量業(yè)務影響度、數(shù)據(jù)敏感等級；威脅等級權(quán)重基于攻擊鏈階段的貝葉斯概率計算攻擊頻次、漏洞利用成熟度；脆弱性權(quán)重由基線檢查工具評分與漏洞掃描結(jié)果確定補丁缺失率、配置合規(guī)度。7.基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測系統(tǒng)，其特征在于：所述系統(tǒng)應用于如上述權(quán)利要求1至6任一所述的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法，所述系統(tǒng)包括以下模3數(shù)據(jù)采集模塊：部署Flume分布式采集節(jié)點，單節(jié)點支持10Gbps線速處理；集成工業(yè)協(xié)數(shù)據(jù)處理模塊：基于Flink流處理框架實現(xiàn)毫秒級特征提取，包含數(shù)據(jù)清洗、格式轉(zhuǎn)換、協(xié)議解析功能；采用ApacheAvro格式存儲標準化數(shù)據(jù)，通過Kafka消息隊列傳輸；模型訓練模塊：支持聯(lián)邦學習模式，原始數(shù)據(jù)本地化處理，參數(shù)通過安全多方計算聚預測分析模塊：部署CNN-Bi-LSTM-Attention混合模型，提供實時風險評分、攻擊鏈溯可視化決策模塊：開發(fā)三維可視化界面，包含網(wǎng)絡資產(chǎn)風險熱力圖、實時攻擊流量動態(tài)圖、歷史態(tài)勢對比分析模塊；提供RESTfulAPI輸出風險數(shù)據(jù)至第三方安全管理平臺。8.根據(jù)權(quán)利要求7所述的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測系統(tǒng)，其特征在于：所述9.根據(jù)權(quán)利要求7所述的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測系統(tǒng)，其特征在于：所述模型訓練模塊中：聯(lián)邦學習模式通過安全多方計算保障數(shù)據(jù)隱私；PSO算法動態(tài)調(diào)整超參數(shù)，模型收斂速度較傳統(tǒng)網(wǎng)格搜索提升70%。10.根據(jù)權(quán)利要求7所述的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測系統(tǒng)，其特征在于：所述可視化決策模塊中：風險熱力圖采用顏色梯度直觀展示資產(chǎn)風險分布；攻擊流量動態(tài)圖4技術(shù)領域[0001]本發(fā)明涉及數(shù)字信息的傳輸技術(shù)領域，具體為基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法和系統(tǒng)。背景技術(shù)[0002]在通信網(wǎng)絡領域，隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡規(guī)模持續(xù)擴張，架構(gòu)愈發(fā)復雜，安全態(tài)勢預測面臨著前所未有的挑戰(zhàn)。[0003]傳統(tǒng)安全態(tài)勢預測方法多依賴有限數(shù)據(jù)源，難以捕捉網(wǎng)絡全貌。例如，部分方案僅聚焦網(wǎng)絡流量數(shù)據(jù)，忽略設備日志、外部威脅情報及用戶行為特征，致使對Oday攻擊等新型威脅檢測乏力，檢測準確率低至58.3%。且其在數(shù)據(jù)融合時，多采用靜動態(tài)變化的威脅場景。[0004]在時序建模方面，常用的固定時間窗口提取方式，如以24小時為窗口，無法有效捕捉長周期異常行為模式，在突發(fā)DDoS攻擊時誤報率高達18.7%。同時，模型參數(shù)調(diào)整依賴人工設定閾值，對新型協(xié)議攻擊響應延遲超30分鐘，難以應對復雜多變的網(wǎng)絡攻擊。此外，現(xiàn)有技術(shù)在多源數(shù)據(jù)融合時，僅停留在簡單拼接層面，特征關聯(lián)性挖掘不足；時序建模缺乏雙向時間依賴捕捉能力；模型自適應性差，無法根據(jù)網(wǎng)絡變化實時優(yōu)化。[0005]因此提出了基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法和系統(tǒng)，構(gòu)建全面、智能、自適應的通信網(wǎng)絡安全態(tài)勢預測體系，填補現(xiàn)有技術(shù)空白，滿足不斷增長的網(wǎng)絡安全防護需發(fā)明內(nèi)容[0006]解決的技術(shù)問題現(xiàn)有技術(shù)在多源數(shù)據(jù)融合時，僅停留在簡單拼接層面，特征關聯(lián)性挖掘不足；時序建模缺乏雙向時間依賴捕捉能力；模型自適應性差，無法根據(jù)網(wǎng)絡變化實時優(yōu)化。[0007]技術(shù)方案為實現(xiàn)上述解決目的，本發(fā)明提供如下技術(shù)方案：基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法，應用于通信網(wǎng)絡的實時安全風險評估與精準預警，包括以下步驟：類12子類數(shù)據(jù)，采用ApacheAvro定義統(tǒng)一數(shù)據(jù)格式，通過Kafka消息隊列實現(xiàn)端到端傳輸延遲≤50ms,運用D-S證據(jù)理論融合沖突數(shù)據(jù)。置率、漏洞CVSS評分，采用雙向長短期記間步長15分鐘，輸出64維時序向量，基于Transformer多頭注意力機制，動態(tài)分配特征權(quán)重，突出異常流量增長率、高危漏洞利用概率的關鍵指標。[0009]步驟三、CNN-Bi-LSTM-Attention混合模型預測：構(gòu)建三級融合架構(gòu)法動態(tài)優(yōu)化超參數(shù)，學習率范圍0.0005-0.002,注意力頭數(shù)4-16,LSTM隱藏層維度128-512,5[0010]步驟四、分層風險評估與智能預警：采用層次分析法結(jié)合熵權(quán)法構(gòu)建三級評估體系，資產(chǎn)價值權(quán)重0.25、威脅等級權(quán)重0.40、脆弱性權(quán)重0.35;實時異常檢測基于3σ原則結(jié)合貝葉斯優(yōu)化動態(tài)調(diào)整閾值置信度95%;趨勢預測模塊采用蒙特卡洛模擬生成未來72小時風險概率分布，提前4小時預警高危攻擊。S7通信協(xié)議解析；用戶認證日志的MFA驗證結(jié)果、登錄IP地理定位信息；特權(quán)賬戶操作軌跡[0012]優(yōu)選的，所述動態(tài)特征工程中，流量熵值計算中的P為特定時間窗口內(nèi)協(xié)議類型出現(xiàn)概率；時序特征增強采用256維隱藏層捕捉雙向行為模式；Transformer機制通過特征映射函數(shù)Query、Key計算相關性，鍵向量維度d為64。[0013]優(yōu)選的，所述融合架構(gòu)包括8個5×5卷積核提取流量包載荷空間特征，中層雙向LSTM層輸出128維時序特征，頂層注意力增強層結(jié)合資產(chǎn)脆弱性評分等上下文信息，輸出未來24小時風險等級范圍為1-10級，分辨率0.5級。[0014]優(yōu)選的，所述混合模型預測中：卷積層通過ReLU激活函數(shù)生成200維特征圖，識別HTTP請求頭異常的模式化特征；注意力增強層結(jié)合攻擊源地理熵值，用以反映攻擊IP地域[0015]優(yōu)選的，所述分層風險評估中：資產(chǎn)價值權(quán)重通過模糊綜合評價法考量業(yè)務影響度、數(shù)據(jù)敏感等級；威脅等級權(quán)重基于攻擊鏈階段的貝葉斯概率計算攻擊頻次、漏洞利用成熟度；脆弱性權(quán)重由基線檢查工具評分與漏洞掃描結(jié)果確定補丁缺失率、配置合規(guī)度。[0016]基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測系統(tǒng)，應用于如上所述的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法，所述系統(tǒng)包括以下模塊：數(shù)據(jù)采集模塊：部署Flume分布式采集節(jié)點，單節(jié)點支持10Gbps線速處理；集成工[0017]數(shù)據(jù)處理模塊：基于Flink流處理框架實現(xiàn)毫秒級特征提取，包含數(shù)據(jù)清洗、格式[0018]模型訓練模塊：支持聯(lián)邦學習模式，原始數(shù)據(jù)本地化處理，參數(shù)通過安全多方計算預測分析模塊：部署CNN-Bi-LSTM-Attention混合模型，提供實時風險評分、攻擊[0019]可視化決策模塊：開發(fā)三維可視化界面，包含網(wǎng)絡資產(chǎn)風險熱力圖、實時攻擊流量動態(tài)圖、歷史態(tài)勢對比分析模塊；提供RESTfulAPI輸出風險數(shù)據(jù)至第三方安全管理平臺。[0021]優(yōu)選的，所述模型訓練模塊中：聯(lián)邦學習模式通過安全多方計算保障數(shù)據(jù)隱私；PSO算法動態(tài)調(diào)整超參數(shù)，模型收斂速度較傳統(tǒng)網(wǎng)格搜索提升70%。[0022]優(yōu)選的，所述可視化決策模塊中：風險熱力圖采用顏色梯度直觀展示資產(chǎn)風險分布；攻擊流量動態(tài)圖實時標注異常端口訪問、TC6[0023]有益效果與現(xiàn)有技術(shù)相比，本發(fā)明提供了基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法和系1、該基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法，在數(shù)據(jù)融合方面，突破單一數(shù)據(jù)局限，整合4大類12子類多源異構(gòu)數(shù)據(jù)，結(jié)合動態(tài)加權(quán)機制，使構(gòu)上，采用CNN-Bi-LSTM-Attention三級融合及PSO優(yōu)化，有效捕捉時空特征，收斂速度提[0024]2、該基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測系統(tǒng)，數(shù)據(jù)采集模塊支持工業(yè)協(xié)議解析與多源數(shù)據(jù)高速采集，突破傳統(tǒng)系統(tǒng)數(shù)據(jù)源單一局限；數(shù)據(jù)處理模塊基于Flink實現(xiàn)毫秒級特征提取，較傳統(tǒng)批量處理時效性大幅提升；模型訓練模塊創(chuàng)新采用聯(lián)邦學習模式，保障數(shù)據(jù)隱私的同時提升模型泛化能力；預測分析模塊部署優(yōu)化混合模型，支持高并發(fā)預測且響應時間短；可視化決策模塊提供三維可視化及地理下鉆功能，輸出數(shù)據(jù)可無縫對接第三方附圖說明[0025]圖1為本發(fā)明的方法流程示意圖；圖2為本發(fā)明的系統(tǒng)框架示意圖。具體實施方式[0026]下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實[0027]請參閱圖1～圖2,本發(fā)明提出基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測方法和系統(tǒng)，包括以下內(nèi)容：1.多源異構(gòu)數(shù)據(jù)采集與標準化映網(wǎng)絡拓撲的變更情況。設備層方面，接入防火墻會話日志，其處理能力≥200萬條/秒，且支持華為USG6000、深信服AF等多種主流設備日志解析，從中可獲取豐富的設備運行及安全信息，有助于準確識別攻擊行為。情報層通過API實時同步VirusTotal哈希信譽數(shù)據(jù)，更新頻率為10秒/次，該平臺覆蓋全球98%的惡意軟件樣本庫，能快速反饋文件的安全信譽情況。同時獲取CNVD漏洞補丁狀態(tài)，其中漏洞等級、受影響資產(chǎn)范圍、修復建議等信息對評估網(wǎng)絡脆弱性至關重要。行為層采集用戶認證日志，包含MFA(多因素認證)驗證結(jié)果、登錄IP地理7的64維時序向量，有效解決了傳統(tǒng)LST[0031]2.3動態(tài)權(quán)重分配：基于Tra3.1模型架構(gòu)設計：本方案采用創(chuàng)新的三級融合架8些特征對于識別常見的網(wǎng)絡攻擊類型至關重要。中層雙向LSTM層接收卷積層輸出的特征序列，通過雙向遞歸結(jié)構(gòu)同時學習過去與未來時間步的依賴關系，輸出128維時序特征。這種結(jié)構(gòu)能夠有效識別周期性攻擊，如每日凌晨的暴力破解嘗試，以及長期潛伏威脅，如持續(xù)一周的漏洞掃描行為。頂層注意力增強層對Bi-LSTM輸出的時序特征進行動態(tài)加權(quán)，結(jié)合資產(chǎn)脆弱性評分(來自漏洞掃描器)、攻擊源地理熵值(反映攻擊IP的地域分散程度)等上下文信息，最終輸出未來24小時的風險等級，范圍為1-10預測。通過這種分層融合架構(gòu)，模型能夠充分利用不同層次的特征，提高預測的準確性和可靠性。[0033]3.2自適應優(yōu)化機制：為提升模型性能，引入粒子群算法(PSO)動態(tài)調(diào)整模型超參數(shù)。學習率的搜索范圍設定為0.0005-0.002,學習率決定了模型在訓練過程中參數(shù)更新的步長，合適的學習率能夠使模型更快地收斂到最優(yōu)解。注意力頭數(shù)在4-16之間動態(tài)優(yōu)化，注意力頭數(shù)影響模型對不同特征維度的關注程度，通過動態(tài)調(diào)整能夠更好地適應不同的數(shù)據(jù)特征。LSTM隱藏層維度為128-512,隱藏層維度決定了LSTM模型的記憶能力和表達能力。這些范圍的確定是基于大量的實驗和對不同網(wǎng)絡安全場景的分析，通過PSO算法在這些范圍內(nèi)搜索最優(yōu)參數(shù)組合，模型收斂速度較傳統(tǒng)網(wǎng)格搜索提升70%,驗證集AUC值達0.953,顯著提高了模型的訓練效率和預測準確性。[0034]4.分層風險評估與智能預警4.1評估體系構(gòu)建：采用層次分析法(AHP)結(jié)合熵權(quán)法構(gòu)建三級評估體系。一級指標權(quán)重通過專家打分與數(shù)據(jù)熵值動態(tài)校準。資產(chǎn)價值權(quán)重設定為0.25,通過模糊綜合評價法考量業(yè)務影響度、數(shù)據(jù)敏感等級，數(shù)據(jù)來源于資產(chǎn)CMDB系統(tǒng)。業(yè)務影響度評估資產(chǎn)遭受攻擊后對業(yè)務運行的影響程度，數(shù)據(jù)敏感等級則反映資產(chǎn)所承載數(shù)據(jù)的敏感程度。威脅等級權(quán)重為0.40,基于攻擊鏈階段的貝葉斯概率計算攻擊頻次、漏洞利用成熟度，數(shù)據(jù)來自入侵檢測系統(tǒng)、CVE數(shù)據(jù)庫。攻擊鏈階段的分析有助于更準確地評估威脅的發(fā)展態(tài)勢，貝葉斯概率能夠結(jié)合先驗知識和新的證據(jù)來更新對事件發(fā)生概率的估計。脆弱性權(quán)重為0.35,由基線檢查工具評分加上漏洞掃描結(jié)果確定補丁缺失率、配置合規(guī)度，數(shù)據(jù)來自漏洞掃描器、配置審計系統(tǒng)。這種綜合考慮多方面因素的評估體系，能夠更全面、準確地評估網(wǎng)絡安全態(tài)[0035]4.2預警策略設計：實時異常檢測基于3則是一種基于統(tǒng)計學的方法，用于判斷數(shù)據(jù)是否異常。當實時風險評分超過動態(tài)閾值(置信采用蒙特卡洛模擬生成未來72小時的風險概率分布，提前4小時預警高危攻擊，準確率≥90%。蒙特卡洛模擬通過多次隨機抽樣來模擬未來可能的風險情況，提供攻擊路徑溯源，精度至具體IP地址與端口，為安全決策提供詳細且及時的支持。[0036]二、一種應用于上述方法的基于大數(shù)據(jù)的通信網(wǎng)絡安全態(tài)勢預測系統(tǒng)，包括以下模塊：1.數(shù)據(jù)采集模塊：本模塊部署Flume分布式采集節(jié)點，單節(jié)點支持10Gbps線速處協(xié)議，專門滿足工業(yè)互聯(lián)網(wǎng)場景的特殊需求。在工業(yè)互聯(lián)網(wǎng)中，這些協(xié)議廣泛應用于設備間的通信，通過對它們的解析，能夠獲取工業(yè)設備的運行狀態(tài)、控制指令等關鍵信息，為工業(yè)9互聯(lián)網(wǎng)的安全態(tài)勢分析提供重要數(shù)據(jù)支持。[0037]2.數(shù)據(jù)處理模塊：基于Flink流處理框架實現(xiàn)毫秒級特征提取，包含數(shù)據(jù)清洗、格式轉(zhuǎn)換、協(xié)議解析等功能單元。Flink框架的高效流處理能力能夠?qū)Σ杉降暮Ａ繑?shù)據(jù)進行快速處理。數(shù)據(jù)清洗環(huán)節(jié)去除噪聲數(shù)據(jù)和重復數(shù)據(jù)，格式轉(zhuǎn)換將不同數(shù)據(jù)源的數(shù)據(jù)統(tǒng)一為適合后續(xù)分析的格式，協(xié)議解析則進一步深入分析數(shù)據(jù)內(nèi)容，提取有價值的特征，為模型訓練提供高質(zhì)量的數(shù)據(jù)。[0038]3.模型訓練模塊：支持聯(lián)邦學習模式，原始數(shù)據(jù)本地化處理，參數(shù)通過安全多方計算聚合，保障數(shù)據(jù)隱私安全。在一些場景中，數(shù)據(jù)隱私至關重要，聯(lián)邦學習模式允許各參與方在不共享原始數(shù)據(jù)的情況下共同訓練模型。兼容Ten加速訓練，能夠充分利用現(xiàn)有主流深度學習框架的優(yōu)勢，并通過GPU集群提高模型訓練效[0039]4.預測分析模塊：部署優(yōu)化后的混合預測模型，提供實時風險評分、攻擊鏈溯源、趨勢預測等核心功能，支持5000+并發(fā)預測請求。實時風險評分能夠快速反饋當前網(wǎng)絡的安全狀態(tài)，攻擊鏈溯源幫助分析攻擊的路徑和來源，趨勢預測為未來的安全態(tài)勢提供前瞻性信息，高并發(fā)處理能力滿足大規(guī)模網(wǎng)絡環(huán)境下對實時性的要求。[0040]5.可視化決策模塊：開發(fā)三維可視化界面，包含網(wǎng)絡資產(chǎn)風險熱力圖，支持地理信息下鉆，可直觀展示資產(chǎn)風險分布。通過不同顏色和熱度來表示風險程度，用戶可通過地理信息下鉆功能深入了解特定區(qū)域的資產(chǎn)風險情況。實時攻擊流量動態(tài)圖，精度至端口級，清晰呈現(xiàn)攻擊流量情況，幫助用戶及時發(fā)現(xiàn)異常流量。歷史態(tài)勢對比分析模塊，便于用戶了解安全態(tài)勢的變化趨勢。同時支持RESTfulAPI輸出風險數(shù)據(jù)至第三方安全管理平臺，方便與其他系統(tǒng)集成，為安全決策提供全面的數(shù)據(jù)支持和直觀的展示方式。[0041]系統(tǒng)運行流程：首先，數(shù)據(jù)采集模塊通過Flume分布式采集節(jié)點，從網(wǎng)絡層、設備理模塊，利用Flink流處理框架進行數(shù)據(jù)清洗、格式轉(zhuǎn)換和協(xié)議解析，生成標準化數(shù)據(jù)。接LSTM-Attention混合模型的超參數(shù)進行訓練。訓練好的模型部署在預測分析模塊，對實時數(shù)據(jù)進行處理，輸出風險評分、攻擊鏈溯源和趨勢預測結(jié)果。最后，可視化決策模塊將這些結(jié)果以直觀的三維可視化界面展示，并可通過RESTfulAPI輸出數(shù)據(jù)至第三方平臺，為安全決策提供支持。實施例1:電信5G核心網(wǎng)安全態(tài)勢預測部署環(huán)境：該實施例接入200個5G基站的NetFlow數(shù)據(jù)，日均處理量高達120TB,時間窗口設定為10秒，能精準捕捉5G網(wǎng)絡的實時流量變化。同時接入華為NE5000E路由器日志，每秒可處理50萬條，為網(wǎng)絡設備運行狀態(tài)分析提供充足數(shù)據(jù)。模型訓練集群配置8臺署，支持分鐘級模型更新的增量訓練模式，確保模型能快速適應網(wǎng)絡環(huán)境變化。[0043]技術(shù)實現(xiàn)：采用文檔中的多源異構(gòu)數(shù)據(jù)采集方案，全面收集網(wǎng)絡層的NetFlow數(shù)消息隊列實現(xiàn)低延遲傳輸，保障數(shù)據(jù)及時處理。動態(tài)特征工程方面，計算流量熵值等86維原始特征，運用Bi-LSTM網(wǎng)絡輸入前72小時特征序列(時間步長15分鐘),經(jīng)256維隱藏層輸出64維時序向量，捕捉雙向時間依賴關系?；赥ransformer多頭注意力機制(8個注意力頭)計算特征權(quán)重，突出異常流量增長率等關鍵指標。通過CNN-Bi-LSTM-Attention混合模型，底層128個5×5卷積核提取流量包空間特征，中層雙向LSTM學習時序特征，頂層注意力增強層結(jié)合資產(chǎn)脆弱性評分等信息輸出風險等級。引入粒子群算法動態(tài)調(diào)整學習率(0.0005-0.002)、注意力頭數(shù)(4-16)等超參數(shù)。[0044]應用效果：在5G切片網(wǎng)絡DDoS攻擊前兆檢測上，提前量達到4.2小時，相較于現(xiàn)有方案提升8.4倍，大大增加了應對攻擊的準備時間。在CICIDS2017數(shù)據(jù)集上，未知攻擊檢測F1值達0.89,比傳統(tǒng)LSTM模型提升22%,有效提高了對未知威脅的識別能力。系統(tǒng)通過ETSINFVISG安全認證，滿足3GPPTS33.501對5G網(wǎng)絡安全的嚴格要求，證明了其在實際應用中的安全性和可靠性。[0045]實施例2:金融交易網(wǎng)絡聯(lián)邦學習應用部署環(huán)境：構(gòu)建跨15家分行的聯(lián)邦學習網(wǎng)絡，確保原始交易數(shù)據(jù)不出本地，采用SecureMulti-PartyComputation(安全多方計算)技術(shù)保障數(shù)據(jù)隱私。通過分布式架構(gòu)，整合各分行數(shù)據(jù)資源，為模型訓練提供豐富數(shù)據(jù)來源。[0046]技術(shù)實現(xiàn)：多源異構(gòu)數(shù)據(jù)采集涵蓋用戶認證日志、特權(quán)賬戶操作軌跡等行為層數(shù)據(jù)，以及外部威脅情報數(shù)據(jù)。在數(shù)據(jù)處理過程中，運用ApacheAvro和Kafka進行標準化與傳輸。動態(tài)特征工程新增金融專屬特征，如單筆交易金額變異系數(shù)反映交易金額波動異常，IP地域跳躍頻率體現(xiàn)單位時間內(nèi)登錄IP跨地域次數(shù)，構(gòu)建142維金融行業(yè)特征空間。利用Transformer多頭注意力機制計算特征權(quán)重，突出關鍵金融風險特征。通過CNN-Bi-LSTM-行原始數(shù)據(jù)本地化處理，參數(shù)通過安全多方計算聚合。[0047]應用效果：模型參數(shù)更新延遲≤50ms,滿足GDPR數(shù)據(jù)合規(guī)要求，保障了數(shù)據(jù)安全與隱私。在交易時段(9:00-17:00)實時預測準確率達94.8%,成功攔截某新型釣魚攻擊鏈，從釣魚郵件到數(shù)據(jù)庫拖庫的完整攻擊路徑識別時間<150ms,有效保護了金融交易安全?；诰珳实膽B(tài)勢預測，風險準備金計提減少45%,顯著優(yōu)化了風控策略，降低了運營成本。[0048]實施例3:工業(yè)互聯(lián)網(wǎng)產(chǎn)