国家知识产权局有一项发明专利申请，其申请公布号为 CN A，申请公布日是 2023.09.08，申请号是 2.9/40（2022.01），申请日为 2023.08.10。申请人是深圳海云安网络安全技术有限公司，地址在广东省深圳市福田区梅林街道孖岭社区凯丰路 10 号翠林大厦 15 层 1501—1504 室。发明人有谢朝海、齐大伟、李志勇、谢朝战、张栋。该发明涉及计算机安全领域，权利要求书 2 页，说明书 6 页，附图 1 页。发明名称为一种基于评分和无监督自学习的安全设计规则标记方法。其具体包括以下步骤：S1，把安全设计规则与对应的用户实践数据记录进知识库；S2，依据业界标准及用户实践数据，设计并施行一个对知识库中的安全设计规则进行多维度评分的系统；S3，运用无监督学习算法，把所有安全设计规则分类为不同类别；S4，标注不同类别的使用场景，把对应使用场景类别的所有安全设计规则推荐给开发者；或者开发者可以去寻找已确认的安全设计规则所处类别内的其他安全设计规则，作为其开发过程中所要用到的其他安全设计规则的参考。

本发明能够提升开发人员选择安全设计规则的效率，并且能让选择过程更加便捷，提升幅度达到 159 度。最后标注不同类别的使用场景，在后续开发者需要在对应场景进行开发时，把对应类别的所有安全设计规则推荐给开发者，同时提供该类别内所有安全设计规则在各个不同维度的评分数据；或者，当开发者自行找到一个适合其开发场景的安全设计规则时，开发者可以去寻找该安全设计规则所处类别内的其他安全设计规则，以此作为其开发过程中所要用到的其他安全设计规则的参考。

基于评分和无监督自学习的安全设计规则标记方法如权利要求 1 所述，其特征在于，安全设计规则包含多种类型，包括密码强度规则、数据加密规则、用户认证规则以及网络通信安全规则等。基于评分和无监督自学习的安全设计规则标记方法，如权利要求 1 或 2 所述。其特征在于，用户实践数据包含多种情况，比如安全设计规则被开发者部署的频率，开发者对安全设计规则部署过程的便捷度所打的分，用户对安全设计规则的便捷度打的分，以及安全设计规则的历史成功率，这里的历史成功率指的是安全设计规则成功阻止历史攻击的频率。基于评分和无监督自学习的安全设计规则标记方法如权利要求 1 所述，其使用场景包含多种，其中包括 Web 应用安全，还包括移动应用安全，也包括云计算安全，同时还包括物联网安全。最后，依据 S22 设定的评分标准，为每一个安全设计规则的每一维度打分，从而得到每个规则的多维度评分数据。

基于评分和无监督自学习的安全设计规则标记方法，如权利要求 1 或 5 所述。其易用性维度包含多个子维度，其中有至少两个子维度，一个子维度是基于开发者对安全设计规则部署的便捷度进行打分，另一个子维度是基于用户在使用安全设计规则过程中的便捷度进行打分；安全性维度同样包含多个子维度，且至少包括两个子维度，一个子维度是安全设计规则阻止攻击的历史成功率，另一个子维度是安全设计规则的威胁模型覆盖率。然后，对各规则的综合评分进行排序，综合评分最高的规则被选定为该类别的代表规则。基于评分和无监督自学习的安全设计规则标记方法如权利要求 7 所述，其特征在于：综合评分是各维度评分的平均值；或者，综合评分是根据各维度人为设定的重要性程度进行加权求和所得的值。本发明的技术领域为计算机安全领域。具体而言，涉及一种安全设计规则标记方法，此方法基于评分且是无监督自学习的。

随着信息技术飞速发展以及互联网应用广泛应用，在开发过程中，安全设计已成为重要环节。在此过程中，安全设计规则起着重要作用。这些规则能协助开发者制定并实施可有效抵御各种安全威胁的设计方案。然而，在目前存在的技术中，通常存在以下这些问题：其一，现有的安全设计规则大多是静态的，开发者得依据自身的需求手动去挑选合适的规则。这个挑选过程不但会耗费时间，而且还有可能由于开发者经验不足或者对规则理解不够深入，从而挑选了不恰当的规则，进而对整个系统的安全性产生影响。2）然而，这些技术依然存在着比较大的局限性。目前常见的安全设计规则大多是针对特定的应用场景的，像 Web 应用、移动应用等，然而对于新兴的云计算、物联网等应用场景的支持相对来说比较少。

因此，怎样智能地去推荐安全设计规则呢？怎样完善规则评分机制呢？怎样有效地进行规则分类和标注呢？怎样扩大规则的应用范围呢？这些都成为了当前安全设计领域亟待解决的问题。发明内容：本发明要解决的技术问题是给出一种基于评分和无监督自学习的安全设计规则标记方法，以此来解决背景技术中提及的问题。其四，标注不同类别的使用场景，在后续开发者需在对应场景进行开发时，把对应类别的所有安全设计规则推荐给开发者，同时提供该类别内所有安全设计规则在各个不同维度的评分数据；或者，当开发者自行找到一个适合其开发场景的安全设计规则时，开发者可去寻找该规则所处类别内的其他安全设计规则，作为其开发过程中要用到的其他安全设计规则的参考。

进一步，安全设计规则包含以下这些方面：密码强度规则，数据加密规则，用户认证规则，网络通信安全规则。进一步，所述用户实践数据包含以下方面：安全设计规则被开发者部署的频率；开发者对安全设计规则部署过程的便捷度所打的分数；用户对安全设计规则的便捷度所打的分数；安全设计规则的历史成功率，此历史成功率是指安全设计规则成功阻止历史攻击的频率。进一步，所述应用场景包含以下几种：Web 应用安全；移动应用安全；云计算安全；物联网安全。最后，根据 S22 设定的评分标准，为每一个安全设计规则的每一维度进行打分，从而得到每个规则的多维度评分数据。在一些实施例里，易用性维度包含着多个子维度。其中，至少有两个子维度，一个是基于开发者对安全设计规则部署的便捷程度进行打分，另一个是基于用户在使用安全设计规则过程中的便捷程度进行打分。安全性维度同样包含多个子维度，并且至少包括两个这样的子维度：一是安全设计规则阻止攻击的历史成功率，二是安全设计规则的威胁模型覆盖率。

在一些实施例里，S3 中包含找出表现最为优异的规则当作该类别的代表规则这一内容，具体如下：S31，在每个类别中，把每个安全设计规则的综合评分给计算出来；S32，对各规则的综合评分进行排序，其中综合评分最高的规则会被选为该类别的代表规则。本发明相对于现有技术具有以下优点：本发明能够增加开发效率。具体而言，本发明把安全设计规则进行分类和打标，从而为开发者提供了在对应场景下的安全设计规则推荐。这使得开发者在一个场景下找到合适的安全设计规则后，能够依据此规则找到其他可能需要的安全设计规则，从而极大地提高了开发者的工作效率。本发明能够优化决策过程。具体而言，它基于评分和无监督自学习的安全设计规则标记方法，对各个规则进行了多维度的评分。这样就为开发者提供了更全面且更具参考价值的信息，有助于开发者做出更优的决策。本发明能够降低误操作的风险。具体而言，它提供了更为精确的规则推荐，使得开发者能够清晰地知晓在何种情况下应当使用何种规则，从而极大地降低了因对规则产生误解而引发的误操作风险。

本发明具备实时学习更新的功能。具体而言，因其采用无监督自学习的方式，所以本发明所应用的系统能够持续地依据最新的用户实践数据进行学习与更新，借此不断优化规则推荐，以确保在变化的环境和场景中依然能够提供最为有效的安全设计规则。 附图说明：图 1 为本发明方法的流程示意图。结合附图来对本发明的具体实施方式进行描述。步骤四：标注不同类别的使用场景，在后续开发者需要在对应场景进行开发时，把对应类别的所有安全设计规则推荐给开发者，同时提供该类别内所有安全设计规则在各个不同维度的评分数据；或者，当开发者自己找到一个适合其开发场景的安全设计规则时，开发者可以去寻找该安全设计规则所处类别内的其他安全设计规则，将其作为在开发过程中所要用到的其他安全设计规则的参考。

其中，安全设计规则包含多种类型，比如密码强度规则，数据要进行加密，有用户认证规则，还有网络通信需保证安全的规则。其中，用户实践数据包含以下方面：安全设计规则被开发者部署的频率；开发者对安全设计规则部署过程的便捷度所打的分数；用户对安全设计规则的便捷度所打的分数；安全设计规则的历史成功率，而历史成功率指的是安全设计规则成功阻止历史攻击的频率。其中，应用场景包含以下这些方面：Web 应用安全；移动应用安全；云计算安全；物联网安全。在一些实施例里，S2 中多维度评分系统的评分过程包含以下这些步骤：其一，给每一个安全设计规则都分配一个单独的向量，这个向量的每一个维度都代表着一种评分维度，评分维度涵盖但不限于安全设计规则的易用性、安全性以及符合业界标准的程度；其二，依据用户实践数据和业界标准，为每一个维度设定一个评分标准；其三，按照 S22 设定的评分标准，给每一个安全设计规则的每一个维度进行打分，从而得出每个规则的多维度评分数据。在一些实施例里，易用性维度涵盖多个子维度。其中，至少有两个子维度，一个子维度是基于开发者对安全设计规则部署的便捷程度进行打分，另一个子维度是基于用户在使用安全设计规则过程中的便捷程度进行打分。安全性维度同样包含多个子维度，并且至少包含以下两个子维度：一是安全设计规则阻止攻击的历史成功率，二是安全设计规则的威胁模型覆盖率。

在一些实施例里，在 S3 中还包含找出表现最为优异的规则当作该类别的代表规则，具体包含以下这些步骤：其一，在每个类别当中，对每个安全设计规则计算其综合评分；其二，把各规则的综合评分进行排序，其中综合评分最高的规则会被选作该类别的代表规则。在下面的实施例中，本发明将用一个具体场景来阐释本发明方法：假定我们正在构建一个面向众多开发者的安全设计规则推荐系统。这个系统的目标在于为开发者提供恰当的安全设计规则，以此来提升他们的开发效率，同时保障软件的安全性。系统启动时（S1），可先从各类开源社区、论坛、博客以及行业标准去收集各类安全设计规则。例如，密码需至少包含 8 个字符且必须包含数字和字母（密码强度规则），对敏感信息要进行 hash 存储（数据加密规则）等。然后将这些规则记录到知识库中。更具体的，下面这些例子可供参考：其一，部分密码强度规则为：密码需至少包含 8 个字符；其二，密码必须包含大写字母和小写字母；其三，密码必须包含至少一个数字以及一个特殊字符（例如!@#$% ^*）。

其中有一些数据加密的规则：所有的敏感数据，像是信用卡信息或者社保号码，在存储以及传输的过程中都必须进行加密。3）这里有一些用户认证规则：用户应当凭借用户名和密码来完成身份验证。不应该接受已经过期或者未经过认证的 SSL 证书。对于公开的网络 API，需要实施恰当的速率限制，这样能防止其被滥用。所有的网络通信都应该实施 DDoS 防御方面的措施。同时，我们收集这些规则在实际应用中的实践数据。例如，安全设计规则被开发者部署的频率，开发者对安全设计规则部署过程的便捷度打分，用户对安全设计规则的便捷度打分，以及安全设计规则的历史成功率（历史成功率是指该安全设计规则成功阻止历史攻击的频率）等。

在系统运行期间（S2），设计出一个评分系统并予以实施，此系统会依据业界标准以及用户实践数据来对知识库中的规则进行多维度的评分。比如，针对密码强度规则，我们能够按照其密码的复杂程度、对用户的便捷程度、防护效果（安全性）以及是否契合业界标准等标准来进行多维度的评分。接着，系统利用无监督学习算法（S3），例如 K‑算法，对这些多维度评分数据展开处理。通过该算法，系统能够找出评分相似的规则，并将这些规则聚集在一起，从而形成一个类别。在每个形成的类别中，系统会找出在各维度上表现最为优秀的规则，将其作为该类别的代表规则。然后，要对每个类别的适用场景进行人为标注，例如 Web 应用安全、移动应用安全等。当开发者在相应的场景中进行开发时，要把整个类别的安全设计规则告知他们。之所以要进行上述的聚类操作，是因为通常需要按照自身的需求，去寻觅一些能够适合具体场景的安全设计规则。举例来说，一般来说，密码的复杂程度越高，它的安全性就越高。

但同时，密码的复杂程度会对其易用性造成影响。例如，存在包含大写字母、小写字母、数字以及特殊字符的密码，这类密码的安全性相对较高，然而，正因为它过于复杂，用户或许会觉得难以记住，进而对其易用性给出负面的评价。而在具体的某个场景里，对于安全性和易用性的侧重可能会有所差异，所以可以在其他类别中去寻找，例如偏向安全性的那种场景。如果找到了对应偏向安全性场景类别的密码使用规则，就能够在该类别中找到其他规则，像数据加密规则、用户认证规则、网络通信安全规则等，这些规则都偏向安全性，能够打包推荐给开发者用于开发，这样能省去他们寻找规则的时间，用户也就可以一次性获得多种开发所需规则的推荐，同时还能附带各个维度的评分以供参考。另外，怎样确定每个类别所对应的是哪种场景呢？能够依据不同的标准来进行人工标注，例如：其一，利用领域专家的知识。可以邀请专业的领域专家参与其中，他们对于不同场景的安全需求以及规范或许有着更深入的认知。

用户需求调研方面：开展针对开发者和终端用户的调研工作，去知晓他们在不同场景下对于安全性和易用性的需求以及偏好情况。借助问卷调查、用户反馈、用户行为分析等这些方式来收集数据，并且对这些数据进行分析，以此来确定不同场景的需求。4、进行实际案例分析。对已经发生的安全事件和攻击进行研究，剖析它们发生的场景以及原因。这种方式能够识别特定场景中的安全挑战与需求，并且依据这些案例推断出适合的安全设计规则。同时，我们还可以通过收集和分析用户反馈来对判断进行辅助。如果开发者反馈在构建 Web 应用时发现数据加密规则很有用，那么此规则可能会被标记为与“Web 应用安全”场景相关类别中的代表规则。通过这种方式，我们能为每个类别确定其相关场景，并依据场景推荐最适合的安全设计规则。

接着，这些推荐规则会被存进最佳实践推荐库。当开发者于不同开发场景中寻觅最佳安全设计规则时，能够从该推荐库获取相关建议。另外，依据用户反馈进行优化是一个持续的进程，此过程需涉及知识库中的安全设计规则、评分系统以及无监督学习算法的更新与优化。具体而言，可能包含以下步骤：若用户反馈某一规则在实际运用中存在问题，或者对某类场景的处理不够完善，那么我们能够对该规则进行修改与优化。例如，倘若用户反馈一个数据加密规则在某种特定情形下无法给予足够的安全性，我们就需要重新对这个规则进行审视，或许需要修改规则的内容，亦或是增添额外的条件约束等。用户的反馈或许包含对规则评分的看法。例如，用户也许觉得某一规则的易用性评分偏高，可在实际使用中却发觉并非如此易用，这时我们就得检查评分系统，对易用性评分的标准进行调整，甚至对各个维度的权重也加以调整，让其更符合实际情况。无监督学习算法是从历史数据中学习出的规则聚类。用户的反馈有助于优化该算法。比如，若用户反馈某两个规则实际上极为相似，但在当前聚类结果中未被聚在一起，那我们就得检查无监督学习算法，或许需要调整算法参数，亦或尝试使用其他聚类算法。

这些步骤能够并行开展。通过持续进行优化，系统的准确性会逐步提高，系统的实用性也会逐步增强。以上所述的仅是本发明较为良好的具体实施方式而已，然而本发明的保护范围并不仅仅局限于此。任何熟悉本技术领域的技术人员，在本发明所披露的技术范围内，依据本发明的技术方案及其发明构思进行等同的替换或者改变，都应当被涵盖在本发明的保护范围之内。