(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111418689.6 (22)申请日 2021.11.26 (71)申请人 北京交通大 学 地址 100044 北京市海淀区上园村 3号 申请人 中国国家铁路集团有限公司 (72)发明人 刘吉强　王健　王凯崙　翟翟　 袁恩泽　周琳　李蒙　 (74)专利代理 机构 北京卫平智业专利代理事务 所(普通合伙) 11392 代理人 闫萍 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) H04L 43/08(2022.01) H04L 43/16(2022.01) (54)发明名称 多层异粒度智能聚合铁路系统运行行为安 全风险识别方法 (57)摘要 本发明实施属于铁路信息系统安全技术领 域， 具体涉及多层异粒度智能聚合铁路系统运行 行为安全风险识别方法。 该方法主要包括： 首先 利用静态阈值对设备性能数据进行判断， 筛选出 异常的性能项目， 由异常的性能项目分别基于网 络攻击聚合规则和网络拓扑聚合规则得到需要 聚合分析的多源日志数据集合并且给每条日志 设置好相应的网络攻击权重q， 将它们依次作为 现有神经网络的输入， 并且对相应的输出结果进 行加权平均化处理， 得到风险等级预测数值， 该 值越大， 当前系统面临的网络安全风险就越大。 本发明使用了关联规则与深度学习技术相结合 的方式， 综合考虑了多方面因素， 达到了比传统 方法更高的效率。 权利要求书2页 说明书8页 附图2页 CN 114362994 A 2022.04.15 CN 114362994 A 1.一种多层异粒度的智能聚合铁路系统运行行为安全风险识别方法， 其特征在于， 包 括以下步骤： 步骤1、 从铁路信息系统中获取网络设备和安全设备的平均性能统计数据作为静态阈 值， 利用静态阈值对网络设备和安全设备 的性能数据进行检测， 筛选出大于静态阈值的设 备性能项目， 作为异常 设备性能项目； 步骤2、 由步骤1中得到的异常设备性能项目， 基于网络攻击聚合规则判断网络攻击的 类型， 得到用于进一步分析 的日志数据集合， 根据网络攻击的类型为所得日志数据集合中 的每条日志数据设置网络攻击 权重q； 步骤3、 根据步骤1中得到的异常设备性能项目， 基于网络拓扑聚合规则得到用于进一 步分析的日志数据集合， 并给日志 集合中每条日志设置网络攻击权重q， 每条日志的网络攻 击权重q都设置为固定值1； 步骤4、 将步骤2基于网络攻击的聚合规则所得出的日志数据集合作为神经网络模型的 输入， 利用现有神经网络模型进行分析， 神经网络的输出记为 out1； 将步骤3基于网络拓扑的聚合规则所得出的日志数据集合作为神经网络模型的输入， 利用现有神经网络模型进行分析， 神经网络的输出记为 out2； 步骤5、 设置设备权重向量λ和方案权重向量 μ， 根据设备权重向量λ和方案权重向量 μ对 out1和out2进行加权平均化处 理， 得到风险等级预测数值pred； 步骤6、 对风险等级预测数值pred进行判断， 得到风险等级。 2.如权利要求1所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法， 其特征在于， 步骤1所述静态阈值基于网络设备和安全设备过去30天的平均性能数据统计 数据得到， 用于表示网络设备和安全设备在正常工作的状态下每种性能指标的平均数值。 3.如权利要求1所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法， 其特征在于， 所述网络设备包括： 交换机、 路 由器、 Web服务器、 DNS服务器； 所述安全设备用 于提供日志数据， 具体包括： 防火墙装置和入侵检测装置； 所述设备性能项目包括： 防火墙装置CPU占用率、 路由器CPU占用率、 交换机CPU占用率、 Web服务器CPU占用率， 路由器Ping状态、 Web服务器Ping状态、 DNS服务器Ping状态， 防火墙 装置温度信息和防火墙装置端口状态。 4.如权利要求3所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法， 其特征在于， 步骤2所述网络攻击聚合规则包括以下几类， 出现任意一种攻击类型则表示存 在攻击行为： 当出现路由器Ping状态异常和Web服务器CPU占用率高时； 攻击类型为蠕虫病， 需要聚 合分析的日志包括： 路由器日志、 交换机日志和Web服 务器操作系统日志； 当出现防火墙装置温度过高、 防火墙装置端 口状态异常和Web服务器CPU占用率高时； 攻击类型为木马攻击， 需要聚合分析的日志包括： 防火墙装置日志和Web服务器操作系统日 志； 当防火墙装置、 路由器、 交换机、 Web服务器中任意一种设备出现CPU占用率高时； 攻击 类型为DoS攻击/DDoS攻击； 需要聚合分析的日志包括： 防火墙装置日志， 路由器 日志， 交换 机日志和Web服 务器操作系统日志； 当出现Web服务器CPU占用率高和Web服务器Pin g状态异常时， 攻击类型为CC攻击； 需要权　利　要　求　书 1/2 页 2 CN 114362994 A 2聚合分析的日志包括： 防火墙装置日志， 路 由器日志， 交换机日志和Web服务器操作系统日 志； 当出现DNS服务器的Ping状态异常时； 攻击类型为网络监听； 需要聚合分析的日志包 括： 路由器日志、 交换机日志和Web服 务器操作系统日志。 5.如权利要求4所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法， 其特征在于， 步骤2所述的网络攻击权重q是一个正整数， 其中， 蠕虫病毒的网络攻击权重q 值为1， 木马攻击的网络攻击权重q值为2， DoS攻击/DDoS攻击的网络攻击权重q值为3， CC攻 击的网络攻击 权重q值为4， 网络监听攻击的网络攻击 权重q值为5。 6.如权利要求3所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法， 其特征在于， 步骤3所述的网络拓扑聚合规则包括： 当出现交换机CPU占用率高时， 需要聚合分析的 日志包括： 路由器日志、 交换机日志、 DNS服 务器日志和Web服 务器操作系统日志； 当出现路由器CPU占用率高时， 需要聚合分析的日志包括： 防火墙装置日志、 路由器日 志和交换机日志； 当出现防火墙装置CPU占用率高时， 需要聚合分析的日志包括： 防火墙装置日志和路由 器日志。 7.如权利要求5所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法， 其特征在于， 步骤4所述的神经网络模 型用于对输入的日志数据集合进 行分析， 判断出每种 软件和硬件具有的异常日志条数， 并且在考虑每条日志的网络攻击权重q之后汇总为向量 的形式进行输出， 所述硬件 包括： 网络设备和安全设备。 8.如权利要求1所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法， 其特征在于， 步骤5所述设备权重 向量λ由人工经验得出， 用于表示各软件和 硬件的日志所 具有的不同重要程度； 所述方案权重向量μ由人工经验结合历史记录得出， 用于表示基于常见网络攻击行为 特征的聚合 规则和基于网络 拓扑的聚合 规则在衡量系统风险时所 具有的不同重要程度。 9.如权利要求8所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法， 其特征在于， 步骤5所述加权平均化处 理的具体 计算方法为： pred＝ μ1*(out1* λ )+ μ2*(out2* λ )    (1) 其中， pred表示风险等级预测数值， λ表示 设备权重向量， μ1表示基于常见网络攻击行为 特征的聚合规则在衡量本系统风险时的方案权重， μ2表示基于网络拓扑的聚合规则在衡量 本系统风险时的方案 权重， μ1+ μ2＝1。 10.如权利要求9所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法， 其特征在于， 步骤6具体包括： 如果当前pred值小于等于过去30天平均pred值的10％则认为 无风险， 如果高于过去30天平均pred值的10％则认为存在低级别风险， 若高于过去30天平 均pred值的20％则认 为存在中等级别风险， 若高于过去30天平均pred值的50％则认 为存在 高级别风险。权　利　要　求　书 2/2 页 3 CN 114362994 A 3