(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210982903.9 (22)申请日 2022.08.16 (71)申请人 西安医学院 地址 710068 陕西省西安市碑林区含光北 路74号 (72)发明人 丁莉　张杜娟　薛方　曲蕴慧　 战昕　 (74)专利代理 机构 北京华际知识产权代理有限 公司 11676 专利代理师 施欢权 (51)Int.Cl. H04L 41/14(2022.01) H04L 9/40(2022.01) H04L 43/0823(2022.01) (54)发明名称 一种基于计算机网络安全数据采集分析的 管理系统及方法 (57)摘要 本发明公开了一种基于计算机网络安全数 据采集分析的管理系统及方法， 包括数据库白名 单建立模块、 数据库黑名单建立模块、 异常数据 特征比较模块、 控制数据包分析模块、 预警响应 模块； 数据库白名单建立模块用于建立存储家庭 网关接收智能设备传输的控制数据特征； 所述数 据库黑名单建立模块用于建立存储家庭网关中 的异常数据特征； 异常数据特征比较模块用于将 控制数据包与数据库黑名单和白名单中的数据 特征进行先后比较， 并根据相似度输出预警信 号； 控制数据包分析模块用于分析与数据库白名 单比较后满足相似度阈值的数据包； 预警响应模 块用于对与数据库黑名单或数据库白名单满足 预警响应条件的数据包 进行预警响应 。 权利要求书3页 说明书8页 附图1页 CN 115396325 A 2022.11.25 CN 115396325 A 1.一种基于计算机网络安全数据采集分析的管理方法， 其特 征在于， 包括以下步骤： 获取智能家居中家庭网关存储的历史存储数据， 并建立数据库白名单和数据库黑名 单， 所述数据库白名单用于存储家庭网关接 收智能设备传输的控制数据特征， 所述数据库 黑名单用于存 储家庭网关中已发生网络安全 事件中智能设备传输的异常数据特 征； 当家庭网关接收到智能设备传输的控制数据包时， 将控制数据包与 数据库黑名单中的 异常数据特 征进行比较； 如果所述控制数据包中存在特征与数据库黑名单中的异常数据特征的相似度大于等 于第一相似度阈值时， 控制家庭网关输出预警信号； 否则， 将控制数据包与数据库白名单中 的控制数据特 征进行比较； 如果所述控制数据包与数据库白名单中的控制数据特征的相似度大于等于第二相似 度阈值， 那么判断控制数据包为常态数据包， 否则对所述控制数据包进行进一 步的分析。 2.根据权利要求1所述的一种基于计算机网络安全数据采集分析的管理方法， 其特征 在于： 所述对 控制数据包进行进一 步的分析包括以下步骤： 设所述控制数据包为待分析数据包， 获取第 一关联分析数据包与待分析数据包产生关 联响应的时间差为第一关联时间间隔， 以及第一关联分析数据包与待分析数据包产生关联 响应后的响应数据为第一关联响应数据； 第一关联分析数据包为家庭网关中与所述控制数 据包的发送设备产生 直接关联的智能设备在待分析 数据包传输前的最近一个控制数据包； 获取第二关联分析数据包与待分析数据包产生关联响应的时间差为第二关联时间间 隔， 以及第二关联分析数据包与待分析数据包产生关联响应后的响应数据为第二关联响应 数据； 所述第二关联分析数据包为家庭网关中与所述控制数据包的发送设备产生直接 关联 的智能设备在待分析数据包传输后的最近一个控制数据包； 如果第一关联时间间隔与第二 关联时间间隔的差值小于差值阈值， 且第一关联响应数据与第二关联响应数据的相似度差 值小于差值阈值， 则输出待分析数据包为常态数据包， 并提取对应待分析数据包存入数据 库白名单中； 否则， 控制家 庭网关输出 预警信号。 3.根据权利要求2所述的一种基于计算机网络安全数据采集分析的管理方法， 其特征 在于： 所述判断控制数据包为常态数据包之后包括以下 具体步骤： 获取常态数据包对应智能设备的关联设备集中的关联数据包， 若所述常态数据包中的 关联设备集中的关联数据包大于等于家庭网关中所有智能设备关联设备集中的关联数据 包的平均值， 则设所述常态数据包为目标 数据包； 获取历史存储数据中目标数据包对应关联数据包的关联因子， 所述关联因子包括智能 设备具有共通 性的处理分析对象和控制指令来源； 若在监测时段内存在某两个目标数据包的关联因子相同， 则 令关联因子相同对应的目 标数据包为待选数据包， 对待选数据包构建一个新的数据包作为该相同关联 因子的个体数 据包； 若在监测时段内存在某两个目标数据包的关联因子不相同， 则对不相同关联因子的目 标数据包分别构建两个 个体数据包； 对各个个体数据包进行排序， 确定个 体数据包的关联级别评估顺序。 4.根据权利要求1所述的一种基于计算机网络安全数据采集分析的管理方法， 其特征 在于： 所述对待选数据包构建一个新的数据包作为相同关联因子的个体数据包， 包括以下权　利　要　求　书 1/3 页 2 CN 115396325 A 2具体步骤： 获取待选数据包中关联因子的具体属性， 所述具体属性为关联因子类别中的具体智能 设备或具体分析对 象； 若待选数据包中的具体属 性相似度大于属 性相似度阈值， 则构建待 选数据包的交集为新的数据包作为相同关联 因子的个体数据包； 若待选数据包中的具体属 性相似度小于等于属性相似度阈值， 则根据关联 因子的具体属性分别构建对应的个体数据 包。 5.根据权利要求4所述的一种基于计算机网络安全数据采集分析的管理方法， 其特征 在于： 所述对各个 个体数据包进行排序， 包括以下步骤： 获取各个个体数据包的接收时间并设置该接收时间为起始时间， 以及个体数据包对应 关联数据包的接收时间， 计算每个个体数据包对应关联数据包的接收时间与起始时间的差 值设为关联时间间隔时长， 对各个个体数据包中关联数据包的关联时间间隔时长进行归一 化处理得到第一 参数E； 计算各个个体数据包中关联数据包的相对大小sij， sij=(Si ‑S0j)/S0j， 其中sij表示 第j个个体数据包对应第i个关联数据包的相对大小， Si表示个体数据包对应的第i个关联 数据包的大小， S0j表示第j个个体数据包的大小； 获取m个个体数据包对应n个关联数据包 的相对大小sij并对其进行归一 化处理得到第二 参数D， 其中i≤n， j≤m； 获取各个个体数据包在监测时段内对应关联数据包的比重， 所述比重为关联数据包的 个数与关联数据包的个数最大值的比值， 所述关联数据包的个数最大值是指在所有个体数 据包中对应的关联数据包个数的最大值； 对所有个体数据包所对应在监测时段内对应关联 数据包的比重进行归一 化处理得到第三 参数F； 获取各个个体数据包与其关联数据包对应的智能设备的历史参数为第 四参数G， 其中 历史参数为个体数据包与其关联数据包对应智能设备传输异常数据包的总次数与个体数 据包与其关联 数据包对应智能设备传输数据包的总次数的比值； 计算综合关联级别评估值W=0.35*E+0.15*D+0.27*F+0.23*G； 将各个个体数据包的综 合关联级别评估值按照从小到大的顺序进 行排序生成关联级别评估顺序， 并按照该顺序对 存在异常数据时的个体数据包进 行先后处理， 所述异常数据为不同于数据库黑名单中的异 常数据特 征的数据。 6.应用权利要求1 ‑5所述的一种基于计算机网络安全数据采集分析的管理方法的一种 基于计算机网络安全 数据采集分析的管理系统， 其特征在于， 包括数据库白名单建立模块、 数据库黑名单建立模块、 异常数据特 征比较模块、 控制数据包分析模块、 预警响应模块； 所述数据库白名单建立模块用于建立存储家庭网关接收智能设备传输的控制数据特 征； 所述数据库黑名单建立模块用于建立存储家庭网关中已发生网络安全事件中智能设备 传输的异常数据特 征； 所述异常数据 特征比较模块用于将家庭网关接收到智能设备传输的控制数据包， 与 数 据库黑名单和白名单中的数据特 征进行先后比较， 并根据相似度输出 预警信号； 所述控制数据包分析模块用于分析与数据库白名单比较后满足相似度阈值的数据包； 所述预警响应模块用于对与数据库黑名单或数据库白名单满足预警响应条件的数据 包进行预警响应。 7.根据权利要求6所述的一种基于计算机网络安全数据采集分析的管理系统， 其特征权　利　要　求　书 2/3 页 3 CN 115396325 A 3