CN111787000B

CN111787000B - 网络安全评估方法及电子设备

Info

Publication number: CN111787000B
Application number: CN202010622184.0A
Authority: CN
Inventors: 薛见新; 刘文懋; 陈磊; 吴复迪
Original assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Current assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Priority date: 2020-06-30
Filing date: 2020-06-30
Publication date: 2022-03-25
Anticipated expiration: 2040-06-30
Also published as: CN111787000A

Abstract

本发明是关于一种网络安全评估方法及电子设备，涉及网络安全领域，本发明包括：从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；构建源IP地址对应的结构向量，以及构建源IP地址对应的属性向量；构建源IP地址作为用户业务的发起地址的情况下的参考结构向量以及参考属性向量；将两个结构向量进行对比得到对比结果，两个属性向量进行对比得到对比结果，根据得到的两个对比结果，确定源IP地址的威胁程度值。由于本发明实施例通过源IP地址为用户业务的发起地址的情况下的信息与实际的信息之间进行对比，而非采用容易导致误报的方式确定威胁程度，这样降低了确定的IP地址的威胁程度的误报率。

Description

网络安全评估方法及电子设备

技术领域

本发明涉及网络安全领域，尤其涉及一种网络安全评估方法及电子设备。

背景技术

企业为了更好地满足信息交流与资源共享，提高工作效率，会建立自己的内部信息网络。然而企业内部网络信息包含很多内部机密和重要文件资料,它的安全性对企业来说意义重大。由于计算机网络拥有互联性、开放性的特点，企业利用计算机网络进行企业信息的管理，将会面临系统内部和外部的双重威胁，给企业的信息安全带来危害。

采用全流量分析平台、IPS(Intrusion Prevention System，入侵防御系统)/IDS(intrusion detection system，入侵检测系统)、WAF(Web Application Firewall，网站应用级入侵防御系统)进行网络检测，对于同一个网络攻击行为，会在上述检测设备上产生多条告警信息。

目前，会根据产生的多个条告警信息中IP地址的角色，找到IP地址作为网络异常行为的发起者的数量，直接通过当前告警信息确定出告警信息中IP地址(InternetProtocol Address，互联网协议地址)的威胁情况。然而，告警信息是在进行网络攻击时违反检测设备设定的条件而产生的，同时在进行用户业务时也会产生告警信息，在网络攻击时也会产生告警信息，若单独以当前得到的告警信息分析IP地址的角色，容易因为用户业务的发起地址与网络攻击的发起地址混淆，导致误报。

发明内容

本发明提供一种网络安全评估方法及电子设备，非采用容易导致误报的方式确定威胁程度，而是通过源IP地址为用户业务的发起地址的情况下的信息与实际的信息之间进行对比，确定源IP地址的威胁程度，降低误报率。

第一方面，本发明实施例提供的一种网络安全评估方法，包括：

从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；

针对每个源IP地址，根据源IP地址与每个目的IP地址之间发生网络异常的概率，构建所述源IP地址对应的结构向量，以及根据所述源IP地址所属的告警信息确定的源IP地址属性信息，构建所述源IP地址对应的属性向量；

将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量，以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量；

将所述参考结构向量与所述结构向量进行对比得到对比结果，以及将所述参考属性向量与所述属性向量进行对比得到对比结果，根据得到的两个对比结果，确定所述源IP地址的威胁程度值。

上述方法，通过当前产生的告警信息中的源IP地址与每个目的IP地址之间发生网络异常的概率，构建源IP地址对应的当前的结构向量，以及构建当前的属性向量，并在满足当前告警信息中源IP地址对应的结构和属性下，构建源IP地址仅为用户业务的发起地址的情况下的参考结构向量，以及参考属性向量，通过参考结构向量与实际的结构向量对比的结果，参考属性向量与实际的属性向量对比的结果，分析源IP除了作为用户业务的发起地址之外，是否还是网络攻击的发起地址，本发明通过与正常的用户业务进行对比确定IP地址作为网络攻击的发起地址的可能性，能够避免直接通过告警信息确定IP地址的角色而容易因为用户业务的发起地址与网络攻击的发起地址混淆导致误报的情况，从而能够降低误报率。

在一种可能的实现方式中，通过以下方式确定源IP地址与每个目的IP地址之间发生网络异常的概率：

由预设时间段内网络生成的告警信息，构建多个第一告警序列；其中，所述第一告警序列由多个包含同一个源IP地址的告警信息组成，或由包含同一个源IP地址和同一个目的IP地址的告警信息组成；

将所述多个第一告警序列输入统计模型中，确定每两个告警信息之间的转移概率；

根据每两个告警信息之间的转移概率，确定预设时间段内网络生成的每个告警信息的生成概率；

针对每个包含同一个源IP地址和同一个目的IP地址的第一告警序列，根据第一告警序列中所有告警信息的生成概率，确定第一告警序列的生成概率；将第一告警序列的生成概率作为所述第一告警序列中的源IP地址与目的IP地址之间发生网络异常的概率。

上述方法，由于告警序列中表明告警信息之间的转移关系，所以将不同类型的告警序列输入到统计模型中得到转移概率，能够提高转移概率的准确性，同时，根据转移概率确定每个告警信息的生成概率，从而得到源IP地址与目的IP地址发生网络异常的概率，得到以源IP地址作为中心的与目的IP之间出现该种结构的可能性，这样考虑告警信息之间的上下文信息，即告警信息与其他告警信息之间的因果关系，使得确定出源IP地址的结构关系与实际的结构关系更加符合，从而降低误报率。

在一种可能的实现方式中，所述根据每两个告警信息之间的转移概率，确定预设时间段内网络生成的每个告警信息的生成概率，包括：

采用随机游走的方式，对多个第一告警序列中的告警信息重新划分为多个第二告警序列；

将第二告警序列中每两个告警信息之间的转移概率，作为所述每两个告警信息采用向量表示时两个向量之间的距离；

根据所述距离确定每个告警信息生成概率的向量表示。

上述方法，通过随机游走的方式确定出多个告警信息的关联链，即得到每个告警信息的上下文信息，从而确定出每个告警信息的生成概率，进一步的确定出源IP地址的结构关系，这样确定的结构关系与实际的结构关系更加符合，从而降低误报率。

在一种可能的实现方式中，根据第一告警序列中所有告警信息的生成概率，确定第一告警序列的生成概率，包括：

将第一告警序列中所有告警信息生成概率的向量表示输入到句向量生成模型中，确定第一告警序列的生成概率的向量表示。

上述方法，通过句向量生成模型以多个告警信息作为词，学习第一告警序列作为句时的特征，得到向量更加符合第一告警序列中源IP地址到目的IP地址的结构特点。

在一种可能的实现方式中，所述结构重构模型包括图卷积神经模型和链路预测模型；所述属性重构模型包括图卷积神经模型和属性预测模型；

将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量，以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量，包括：

将所述源IP地址对应的结构向量与属性向量输入到图卷积神经模型中，以得到源IP地址的生成向量；其中所述源IP地址的生成向量表示所述预设时间段内产生源IP地址的概率；

将所述源IP地址的生成向量输入到链路预测模型中，以得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量；

将所述源IP地址的生成向量输入到属性预测模型中，以得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量。

上述方法，图卷积神经模型考虑高阶节点的邻近性，从而减轻了节点间的链路之外的网络稀疏性问题。同时，通过图卷积神经模型中的多层非线性变换，更加能够捕获两个向量数据的非线性特征和两种信息模态之间的复杂交互，将学习到的交互，即源IP地址自身的结构信息分别采用链路预测模型对结构向量进行重构，并采用属性预测模型对属性向量进行重构，使得源IP地址处于异常地址的概率比较低，这样再使用重构的源IP的两种信息与没有重构之间的两个信息，进行对比，更加方便找到异常源IP地址。

第二方面，本发明实施例提供的一种电子设备，包括：存储器和处理器：

所述存储器用于存储电子设备运行时所使用的程序代码；

所述处理器用于执行所述程序代码，以实现如下过程：

在一种可能的实现方式中，所述处理器，具体用于：

根据所述距离确定每个告警信息生成概率的向量表示。

在一种可能的实现方式中，所述处理器，具体用于：

所述结构重构模型包括图卷积神经模型和链路预测模型；所述属性重构模型包括图卷积神经模型和属性预测模型；

第三方面，本申请还提供一种计算机存储介质，其上存储有计算机程序，该程序被处理单元执行时实现第一方面所述网络安全评估方法的步骤。

另外，第二方面至第三方面中任一种实现方式所带来的技术效果可参见第一方面中不同实现方式所带来的技术效果，此处不再赘述。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理，并不构成对本发明的不当限定。

图1是本发明实施例提供的一种网络安全评估方法的流程图；

图2是本发明实施例提供的一种确定IP地址的威胁程度排序的工作原理的示意图；

图3是本发明实施例提供的一种确定源IP地址与每个目的IP地址之间发生网络异常的概率的方式的流程图；

图4是本发明实施例提供的一种确定告警信息之间有向转移的概率的工作图；

图5是本发明实施例提供的一种确定源IP地址与目的IP地址之间的结构的向量表示的示意图；

图6是本发明实施例提供的一种电子设备的结构框图；

图7是本发明实施例提供的另一种电子设备的结构框图。

具体实施方式

为了使本领域普通人员更好地理解本发明的技术方案，下面将结合附图，对本发明实施例中的技术方案进行清楚、完整地描述。

本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着新应用场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

以下对名词进行解释：

属性图是指图中的顶点之间包括有方向性的边的关系图，其中每个节点上包括属性信息。

图表征学习(Graph Rrepresentation Learning)旨在将网络中的节点表示成低维、实值、稠密的向量形式，这样得到的向量形式可以在向量空间中具有表示以及推理的能力，从而可以更加灵活地应用于不同的数据挖掘任务中。

图嵌入(Graph Embedding，也叫Network Embedding)是一种将图数据(通常为高维稠密的矩阵)映射为低微稠密向量的过程，能够很好地解决图数据难以高效输入机器学习算法的问题。知识图谱属于异构图数据，即节点与边不只一种类型。

图卷积神经网络(Graph Convolutional Network)通过在图上定义一个卷积运算符来解决这个问题。该模型迭代地聚集了一个节点的邻居的嵌入，并在以前的迭代中使用了获得的嵌入和嵌入的功能来获得新的嵌入。聚集局部邻居的聚合使其具有可伸缩性，并且多次迭代允许学习嵌入一个节点来描述全局邻居。图卷积神经网络，就是借助于图的Laplacian(拉普拉斯)矩阵的特征值和特征向量来研究图的性质。

图注意力网络(Graph Attention Networks)一个新的用来操作图结构数据的神经网络结构，它利用自我注意力层来解决基于图卷积以及和它类似结构的短板。通过堆叠一些层，这些层的节点能够参与其邻居节点的特征，并为该节点的不同邻居指定不同的权重，此过程不需要任何计算密集的矩阵操作(例如转置)或者事先预知图的结构。

告警信息：在进行网络行为时因违反检测设备设定的条件而产生的。告警信息中包括源IP地址和目的IP地址；网络行为可以为正常的用户业务，也可以为网络攻击。

源IP地址为违反检测设备设定的条件的发起地址，在因为网络攻击时因违反检测设备设定的条件的发起地址也可以称为攻击地址；

目的IP地址为违反检测设备设定的条件时的接收地址，因网络攻击时因违反检测设备设定的条件的发起地址也可以称为受害地址。

在进行企业的网络安全检测时，通过检测设备会产生大量的告警信息，告警信息之所以会产生，主要是因为触发了检测设备设定的条件。然而，除了异常的网络攻击会违反检测设备设定的条件，用户在进行正常业务时，也有可能会违反检测设备设定的条件，同时，单纯查看告警信息，并不能明确源IP地址是网络攻击产生的发起地址还是用户业务的发起地址。

基于此，本发明实施例提供的一种网络安全评估方法及电子设备，通过实时建立的源IP地址的结构信息和属性信息，并建立源IP地址作为用户业务的发起地址的情况下的参考结构信息和参考属性信息，并将对应的结构进行对比，以及属性进行对比，确定IP地址作为网络攻击的发起地址的可能性，能够避免直接通过告警信息确定IP地址的角色而容易因为用户业务的发起地址与网络攻击的发起地址混淆导致误报的情况，从而能够降低误报率。

以下结合附图对本发明的技术进行详细阐述。

结合图1所示，示出了本发明实施例提供的一种网络安全评估方法，包括以下步骤：

S100：从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址。

其中，预设时间段内网络产生的告警信息可以为企业中安装的IDS/IPS，WAF等检测设备中产生的告警信息。由于告警信息中包括源IP地址和目的IP地址，所以从告警信息中将源IP地址和目的IP地址直接提取出来。

S101：针对每个源IP地址，根据源IP地址与每个目的IP地址之间发生网络异常的概率，构建源IP地址对应的结构向量，以及根据源IP地址所属的告警信息确定的源IP地址属性信息，构建源IP地址对应的属性向量。

其中源IP地址对应的结构向量中每个维度的数值为源IP地址与一个目的IP地址之间发生网络异常的概率，即源IP地址指向目的IP地址的概率。

例如，当源IP地址具有5个目的IP地址之间发生网络异常，源IP地址与目的地址1之间发生网络异常的概率为a％，源IP地址与目的地址2之间发生网络异常的概率为b％，源IP地址与目的地址3之间发生网络异常的概率为c％，源IP地址与目的地址4之间发生网络异常的概率为d％，源IP地址与目的地址5之间发生网络异常的概率为e％，则源IP地址对应的结构向量为[a％，b％，c％，d％，e％]。

源IP地址对应的属性向量中的每个维度的数值为源IP的属性信息。

源IP地址属性信息，包括：基本的特征信息以及统计特征信息；

其中，根据源IP地址所属的告警信息确定源IP地址的基本特征信息为：

根据源IP地址所属的告警信息中提取源IP地址的所属地址位置，将源IP地址的所属地址位置作为属性信息；

根据源IP地址所属的告警信息中确定源IP地址是否属于内网或外网的信息，将源IP地址的所属网络作为属性信息。

根据源IP地址所属的告警信息确定源IP地址的统计特征信息为：

根据源IP地址所属的告警信息确定源IP地址，从告警payload中提取源IP地址的攻击意图相关特征；

根据源IP地址所属的告警信息，统计源IP作为攻击者单位时间内产生的告警数；

将上述属性信息作为属性向量中的数值。

其中，由于在提取时，基本特征信息和统计特征信息可能不会处于同一个向量空间中，所以，在得到属性向量之前，将其向量空间进行统一，然后组成属性向量。

在提取时，有些属性信息采用向量表示，有些没有采用向量表示，例如，源IP地址的所属地址位置为向量表示，源IP作为攻击者单位时间内产生的告警数为没有采用向量表示，从而将没有采用向量表示的属性信息转换为向量表示，这样均转换为向量表示时，将其每一个属性信息组成源IP地址对应的属性向量。

S102：将源IP地址对应的结构向量与属性向量输入到结构重构模型中，得到源IP地址作为用户业务的发起地址的情况下构建的参考结构向量，以及将源IP地址对应的结构向量与属性向量输入到属性重构模型中，得到源IP地址作为用户业务的发起地址的情况下构建的参考属性向量。

S103：将参考结构向量与结构向量进行对比得到对比结果，以及将参考属性向量与属性向量进行对比得到对比结果，根据得到的两个对比结果，确定源IP地址的威胁程度值。

其中，源IP地址的威胁程度值为源IP地址作为网络攻击的发起地址的可能性。

对于预设时间段内的源IP地址可以作为用户业务的发起地址，也可以作为网络攻击的发起地址。

在结构重构时，将当前的源IP地址的结构特点，构建源IP地址均作为用户业务的发起地址的情况下的参考结构向量。

在属性重构时，将当前的源IP地址的结构特点，构建源IP地址均作为用户业务的发起地址的情况下的参考属性向量。

将参考结构向量与结构向量对比，与作为用户业务的发起地址的情况下的结构向量与实际的结构向量比较，其中，对比结果为对比度。对比度比较高，则说明源IP越倾向于均作为用户业务的发起地址，当对比度相差比较大时，说明源IP除了作为用户业务的发起地址，还可能作为网络攻击的发起地址。

将参考属性向量与属性向量对比，与作为用户业务的发起地址的情况下的属性向量与实际的属性向量比较，对比度比较高，则说明源IP越倾向于均作为用户业务的发起地址，当对比度相差比较大时，说明源IP除了作为用户业务的发起地址，还可能作为网络攻击的发起地址。

例如，当对公司内部的网络进行检测时，IP地址的所属地址位置，当该所属地址位置为公司外部，则很有可能该源IP地址为网络攻击的发起地址，属性重构出来的地址为公司内部地址，则重构的所属地址位置与实际的所属地址位置差距比较大，则源IP地址作为网络攻击的发起地址可能性比较高。

其中，根据得到的两个对比结果，确定源IP地址的威胁程度值，包括：

将得到的两个对比结果的数值直接相加，作为源IP地址的威胁程度值；或者

将得到的两个对比结果的数值加权后再相加的数值作为源IP地址的威胁程度值。

通过上述方法，分析源IP的异常行为，相比于通过分析告警信息的方式确定源IP的威胁程度，降低误报率。

其中，结构重构模型包括图卷积神经模型和链路预测模型；属性重构模型包括图卷积神经模型和属性预测模型；

则得到参考结构向量和参考属性向量的方式为：

将源IP地址对应的结构向量与属性向量输入到图卷积神经模型中，以得到源IP地址的生成向量；其中源IP地址的生成向量表示预设时间段内产生源IP地址的概率；

将源IP地址的生成向量输入到链路预测模型中，以得到源IP地址作为用户业务的发起地址的情况下构建的参考结构向量；

将源IP地址的生成向量输入到属性预测模型中，以得到源IP地址作为用户业务的发起地址的情况下构建的参考属性向量。

对于上述的过程，是编码和解码的过程，编码过程使用的编码器为在同一框架下实现对源IP地址的拓扑结构和属性的无缝建模，然后利用图卷积网络实现了源IP地址的特征表示学习。结构重构模型，即结构重构解码器通过源IP地址的特征表示重构源IP地址的拓扑结构。属性重构模型，即属性重构解码器通过源IP地址的特征表示重构源IP地址的属性。

将结构向量以及属性向量均输入到图卷积神经模型中，即进行编码的过程，得到源IP地址的生成向量，然后根据该源IP地址的生成向量进行结构方面的解码，解码时，通过源IP地址的生成向量解码出该源IP地址在正常的用户业务产生的网络异常行为的发起地址的结构特点，即参考结构向量。

同样的，将根据该源IP地址的生成向量进行属性的解码，解码时，通过源IP地址的生成向量解码出该源IP地址在正常的用户业务产生的网络异常行为的发起地址的属性特点，即参考属性向量。

其中，编码过程不仅需要考虑源IP地址的结构的编码还需要实现对所有源IP地址的属性的编码。然而，传统的深度自编码器只能用独立同分析的属性值数据，因此不能移植到本发明采用拓扑结构以及属性特征相结合的应用场景中。针对这些问题，本发明设计了一种新的编码器。具体来说，采用图卷积神经模型(GCN)在学习IP地址的特征表示时考虑高阶节点的邻近性，从而减轻了IP地址间的链路之外的网络稀疏性问题。同时，通过多层非线性变换，图卷积神经网络确定出非线性特征的属性信息和拓扑结构信息之间的复杂交互。

其中为了提高计算效率，将建立包括预设时间段内的所有IP地址的结构矩阵，其结构矩阵由每个IP地址对应的结构向量构建，以及建立包括预设时间段内的所有IP地址的属性矩阵，其属性矩阵由每个IP地址对应的属性向量构建。

结构矩阵建立的方式为，结构矩阵中每行代表一个IP地址对应的结构向量，每列为其他IP地址与每行代表的IP地址之间产生网络异常的概率，当没有概率时，则设定该元素的值为零。结合表1所示，预设时间段内出现5个IP地址，IP地址从1到5。

表1

	IP地址1	IP地址2	IP地址3	IP地址4	IP地址5
						IP地址1	0	A1	A2	0	0
IP地址2	0	0	A3	0	A4
						IP地址3	A5	0	0	A6	0
IP地址4	A7	A8	0	0	0
						IP地址5	0	0	0	A9	A10

IP地址1作为源IP地址，与IP地址1～IP地址5产生网络异常的概率分别为0、A1、A2、0、0；IP地址2作为源IP地址，与IP地址1～IP地址5产生网络异常的概率分别为0、0、A3、0、A4；IP地址3作为源IP地址，与IP地址1～IP地址5产生网络异常的概率分别为A5、0、0、A6、0；IP地址4作为源IP地址，与IP地址1～IP地址5产生网络异常的概率分别为A7、A8、0、0、0；IP地址5作为源IP地址，与IP地址1～IP地址5产生网络异常的概率分别为0、0、0、A9、A10。针对上述的概率生成对应的结构矩阵，即得到IP地址1～IP地址5的拓扑结构。

属性矩阵建立的方式为，属性矩阵中每行代表一个IP地址对应的属性向量，每列为一个属性信息对应的向量表示，当没有属性时，则设定该元素的值为零。结合表2所示。

表2

IP地址1～IP地址5中每一项内容采用向量表示，生成对应的结构矩阵，即得到IP地址1～IP地址5的属性矩阵。其中，采用结构矩阵以及属性矩阵表示以IP地址作为节点的属性图。

结合图2所示，以6个IP地址为例，形成6个IP地址的属性图，并采用对应的结构矩阵以及属性矩阵表示，将上述得到的两个矩阵输入到图卷积神经模型中，即网卷积神经网络。GCN把卷积操作扩展到网络数据的谱域中，通过谱卷积函数学习分层的潜在特征表示：

H^(l+1)＝f(H^(l)，A|W^(l)) 公式(1)

其中，H^l表示卷积层l的输入，H^l+1表示卷积层的输出。结构矩阵以及属性矩阵X作为第一层的输入也就是H⁰。W^l就是需要提前训练的神经网络的加权矩阵，即该加权矩阵为图注意力网络得到的。每一层的图卷积网络都可以表示成如下函数：

其中，

是一个对角矩阵，

因此可直接计算

σ()是一个非线性激活函数，例如Relu函数。W^l对于矩阵中的所有IP地址都是共享的。对于给定的结构矩阵以及属性矩阵X，每个IP地址的K跳邻居都可能通过连续叠加多个K卷积层实现。通过上述公式(1)和公式(2)，本发明提供通过三层卷积的方式，结合图2所示，公式(3)进行编码，如下：

H⁽¹⁾＝f_Relu(x，A|W⁽⁰⁾)

H⁽²⁾＝f_Relu(H⁽¹⁾，A|W⁽¹⁾)

Z＝H⁽³⁾＝f_Relu(H⁽²⁾，A|W⁽²⁾). 公式(3)

上式中，H⁽¹⁾为第一卷积层，第一卷积层的输入为属性矩阵X，采用H⁽¹⁾的公式进行卷积处理，得到H⁽¹⁾的卷积结果，然后将H⁽¹⁾的卷积结果作为第二卷积层的输入，得到第二卷积层的结果H⁽²⁾，将第二卷积层的结果H⁽²⁾作为第三卷积层的输入，得到第三卷积层的结果，Z，通过上述三卷积层，得到的Z不仅仅编码了IP地址的属性信息，同时也编码了该IP地址的K跳内邻节点的信息。其中，图2中，Z颜色的深浅表示Z的数值的大小，每行为一个IP地址的向量表示。

对于Z为预设时间段内出现IP地址的概率，其中，Z为一个矩阵，每行记载一个IP地址的出现的概率的向量表示。针对每一个源IP地址与目的IP地址形成的IP对，在IP地址作为源IP地址的向量表示加上IP对产生网络异常的概率等于IP对中目的IP地址的向量表示。其中，对于同一个IP地址来说，可以是源IP地址也可以作为目的IP地址。

例如，Z有IP地址1～5的向量表示，IP地址1与IP地址5之间为IP对，IP地址1为源IP地址，IP地址5为目的IP地址，则IP地址1的向量表示加上IP地址1和IP地址5之间的发生网络异常的概率约等于IP地址5的向量表示。

解码过程是预测两两IP地址之间是否存在边，即存在产生网络异常的可能性，类似链路预测，通过以下公式(4)计算：

其中，以特征表示Z为输入，重构IP地址与其他IP地址的拓扑结构，该重构的拓扑结构采用与之前的拓扑结构的结构矩阵具有相同行数和列数的矩阵表示。

对于上述链路预测，基于Z训练一个链路预测层，可表示为：

其中，图2中的σ()为sigmoid函数，得到6个IP地址的拓扑结构对应的结构矩阵。其中采用v表示IP地址。v1～v6的拓扑结构对应的结构矩阵。图中颜色的深浅表示数值的大小。

属性重构解码器，与结构重构类似，只不过不是预测两个IP地址之间的拓扑关系，而是根据特征表示Z预测每个IP地址的属性信息。

对于属性重构解码器来说，为进行卷积操作，得到预测每个IP地址的属性信息。6个IP地址的属性对应的属性矩阵。

确定IP地址的威胁程度值，采用如下的目标函数进行：

A表示结构矩阵，

为预估解码后的结构矩阵，那么结构的重构误差可表示为

该重构误差可以用来评估网络结构的异常。因为

为假设IP地址均为用户业务的发起地址的情况下建立的结构矩阵，也就是说如果一个IP地址，它自身的结构信息与通过结构重构解码器得到的结构信息相似度比较高，那么该IP地址属于异常节点的概率就较低，相反，一种IP地址的重构误差较大，那么它就有很大概率是异常节点。

X表示属性矩阵，

为预估解码后的属性矩阵，那么属性的重构误差可表示为

该重构误差可以用来评估属性的异常。因为

为假设IP地址均为用户业务的发起地址的情况下建立的属性矩阵，也就是说如果一个IP地址，它自身的属性信息与通过属性重构解码器得到的属性信息相似度比较高，那么该IP地址属于异常节点的概率就较低，相反，一种IP地址的重构误差较大，那么它就有很大概率是异常节点。

目标函数把结构重构误差和属性重构误差进行加权求和。然后在最小化目标函数的情况下进行迭代，将向量表示的结构和属性转换为一个数值。最终利用重构误差计算源IP地址的威胁程度值。

由于结构特征和属性特征均采用矩阵的方式表示，所以，进行加权时，也需要建立一个权值矩阵，权值矩阵的计算采用梯度下降法。在经过一定次数的迭代之后，可以通过如下公式计算每个节点的异常得分：

图卷积网络的计算复杂性是随着网络中的边的数据线性增涨的。本方法的复杂性是O(mdH+n²)，m表示结构矩阵中非零元素的个数据，d表示属性矩阵的维度，H表示图卷积不同层特征数据之和，n表示IP地址的个数。

在根据得到的两个对比结果，确定源IP地址的威胁程度值之后，所述方法还包括：

按照得到的两个对比结果计算差别值，按照差别值的大小进行排序，将排序后的队列反馈给用户。

由于队列中靠前的源IP地址是网络攻击的发起地址的可能性比较大，所以用户可以首先处理反馈的队列中靠前的源IP地址，从而可以避免用户每天分析大量的告警信息。

对于IP地址为IP地址1～IP地址6，将6个IP地址进行排序，排队的结果为v2、v1、……、v4。v2为威胁程度最大的IP地址，即最有可能为网络攻击的攻击者的发起地址。其次v1，最不可能的为v4。

由于一个攻击行为会触发多条告警信息，每条告警信息的源IP地址和目的IP地址也可能不同，存在因果关系和时序关系，以告警信息1和告警信息2为例，因果关系是指因为出现的告警信息1，必然会出现告警信息2这个结果。时序关系是指告警信息1出现的时间比告警信息2出现的时间早，针对同一个源IP地址和同一个目的IP地址来说，不一定是同一个攻击行为造成的，也可能是不同攻击行为造成的。所以，IP地址的网络行为有些是隐藏在告警信息之间的。

在本发明中，本发明在构建源IP地址对应的结构向量时，并非是传统意义上的邻接矩阵，邻接矩阵为源IP地址与目的IP地址出现在同一个告警信息，在该矩阵中的元素设置为1，当源IP与目的IP地址没有出现在同一个告警信息，在该矩阵中的元素设置为0。邻接矩阵并没有考虑IP地址之间的内部关联，仅从表面上确定IP地址的关系，并不能很好的反馈IP地址的结构特点。

本发明中在构建源IP地址对应的结构向量时，是由源IP地址与每个目的IP地址之间发生网络异常的概率形成的，即源IP攻击目的IP的可能性，其中，结合图3所示，确定源IP地址与每个目的IP地址之间发生网络异常的概率的方式为：

S300：由预设时间段内网络生成的告警信息，构建多个第一告警序列；其中，第一告警序列由多个包含同一个源IP地址的告警信息组成，或由包含同一个源IP地址和同一个目的IP地址的告警信息组成；

告警信息的两个主要实体是源IP与目的IP，源IP表示攻击者，目的IP表示受害者。由于攻击者与受害者的行为模式并不相同，这里暂时只以攻击者为目标进行研究。根据源IP与目的IP之间的告警序列进行建模，但是很多时候攻击者针对单一受害者的攻击行为并不明显，通过分析间一源IP与目的IP之间的告警序列并不能很好的评估攻击者的威胁性，还需要考虑攻击者针对多个攻击目标的攻击行为。为此，本发明分别从两个场景对于攻击者的告警序列进行建模。

一对一(O2O)：在一个固定时间窗口内，从一个源IP到一个目标IP所触发的告警序列。

一对多(O2M)：在一个固定时间窗口内，从一个源IP到所有目标IP所触发的告警序列。

以表3为例：

表3

表3中示出了5条告警信息，作为网络异常行为的发起地址是E和T，时间的大小为t1>t2>t3>t4>t5。其中E分别对W和Q进行疑似攻击行为，触发了告警信息{a1,a3}，对以E为攻击者的O2O场景建模分别是(E，W)的告警序列{a1,a3}，和(E,Q)的告警序列{a1,a3}。对以E为发起地址的所有攻击目标的O2M场景建模会生成告警序列{a1,a1,a3,a3}。

其中，针对第一告警序列中的多个告警信息之间的顺序为时间顺序，即根据告警信息，将多个告警信息形成时间顺序的关系链，其中关系链中由时间在前的告警信息指向时间在后的告警信息。

由于第一告警序列包括两种形式，所以可以找到同一条告警信息转移到其他多条告警信息的隐含关系。

S301：将多个第一告警序列输入统计模型中，确定每两个告警信息之间的转移概率。

其中，统计模型统计一个告警信息转向到其他告警信息的可能性，即转移概率。

结合图4所示，包含两个第一告警序列，两个第一告警序列中的告警信息分别为：告警信息a3、告警信息a2、告警信息a0；告警信息a2、告警信息a1；告警信息a3早于告警信息a2产生，告警信息a2早于告警信息a0产生，告警信息a2早于告警信息a1产生。

将该两个第一告警序列输入到统计模型中，得到告警信息a3与告警信息a2的转移概率，告警信息a2与告警信息a1的转移概率，告警信息a2与告警信息a0的转移概率。

对于第一告警序列中的结构可以采用有向图表示，有向图的节点为告警信息，两个告警信息的边为转移概率，两个告警信息之间的箭头为转移的方向。

由于告警信息a3转移到告警信息a2只出现过一次，则告警信息a3转移到告警信息a2的转移概率为100％；由于告警信息a2可以转移的告警信息包括告警信息a1以及告警信息a0，所以，告警信息a2转移到告警信息a1的转移概率为50％；告警信息a2转移到告警信息a0的转移概率为50％。

其中，统计模型可以为隐马尔可夫链模型。

S302：根据每两个告警信息之间的转移概率，确定预设时间段内网络生成的每个告警信息的生成概率。

设定其中一个告警信息的生成概率，根据其他告警信息与该告警信息的转移概率求取与该告警信息具有转移概率的其他告警信息，根据其他告警信息的生成概率，求取与其他告警信息具有转移概率的告警信息，依次类推，得到每个告警信息的生成概率。

S303：针对每个包含同一个源IP地址和同一个目的IP地址的第一告警序列，根据第一告警序列中所有告警信息的生成概率，确定第一告警序列的生成概率；将第一告警序列的生成概率作为第一告警序列中的源IP地址与目的IP地址之间发生网络异常的概率。

由于现有的IP地址的网络行为是隐藏在告警信息之间的，所以，上述的方式，通过告警信息之间的隐含关系与直接关系，确定源IP地址的隐藏的网络行为，本发明将隐藏的源IP地址的网络行为找到出来，则能够更加有效的找出源IP地址的网络攻击行为。

由于源IP地址采用向量表示，所以，针对源IP地址与目的IP地址之间发生网络异常的概率也需要采用向量表示，本发明提供一种向量表示的方式。结合图5所示，具体来说：

S500：采用随机游走的方式，对多个第一告警序列中的告警信息重新划分为多个第二告警序列；第一告警序列按照时间顺序指出告警信息之间的转移情况；第二告警序列是以告警信息之间转移情况为基础，随机组成关系链，每个关系链中的节点为告警信息。

随机游走后得到的第二告警序列中每两个告警信息的有向关系出现的概率为两个告警信息之间的转移概率，例如，告警信息1转向告警信息2之间的转移概率为50％，则告警信息1转向告警信息2出现在所有第二告警序列中的概率为50％。即，在进行游走形成关系链，采用两个告警信息之间的概率作为游走概率，得到多个第二告警序列，其中，第二告警序列以时间作为顺序排列的。

S501：将第二告警序列中每两个告警信息之间的转移概率，作为每两个告警信息采用向量表示时两个向量之间的距离。

S502：根据距离确定每个告警信息生成概率的向量表示。

对于确定的每个告警信息的向量表示均设置在同一个向量空间，当该向量空间中两个告警信息之间的距离已知，则告警信息之间的相对位置已知，即每个告警信息的向量表示为告警信息在向量空间的相对位置。

其中，上述过程为图表征学习的过程，图表征学习旨在将网络中的节点表示成低维、实值、稠密的向量形式，使得到的向量形式可以在向量空间中具有表示以及推理的能力，从而可以更加灵活地应用于不同的数据挖掘任务中。

在本发明中将预设时间段内网络产生的告警信息之间的关联形成告警关联图；在告警关联图中，每两个告警信息的转移概率，作为两个告警信息的边，告警信息作为顶点。则在得到每个告警信息的向量表示时，需要学习该告警关联图的特征。

由于告警关联图本身是相互之间具有转移关系的图模型，可以采用图嵌入的算法DeepWalk(深度游走)模型确定每个告警信息的向量表示，DeepWalk模型包括随机游走模型和词向量生成模型，具体工作为：

步骤1)节点序列采样。在告警关联图中进行随机游走，以每条出边的转移概率作为游走概率，执行l跳，生成长度为L的第二告警序列。该步骤将由于IP地址产生的告警序列转换为根据告警信息之间的转移生成的告警序列，这样的告警序列代表告警信息之间的转移关系。

步骤2)重复步骤1的过程m次，生成n×m个长度为L的第二告警序列。

步骤3)把告警信息看作是词，步骤2)生成的n×m个告警序列作为语料库，使用word2vec模型学习告警信息的向量表达。即在同一个向量空间中得到每个告警信息的向量表达。

S503：将第一告警序列中所有告警信息生成概率的向量表示输入到句向量生成模型中，确定第一告警序列的生成概率的向量表示。

其中，句向量生成模型为setence2vec模型，将第一告警序列中每个告警信息的向量表示输入到句向量生成模型中，以告警信息作为一个词，以告警序列作为句子，通过句向量生成模型，将多个词进行组合，得到该句子的向量表示。

其中，句向量生成模型通过分别对第一告警序列中的多个告警信息的向量表示进行加权处理，并将加权后的向量进行相加，得到的新的向量为该句子的向量表示。

上述方式得到的源IP地址与目的IP地址之间发生网络异常的概率，是根据告警信息之间的关联关系确定的源IP地址与目的IP地址之间的第一告警序列的向量表达而确定的，相比于现有技术中单独研究告警信息得到的威胁程度来说，本发明考虑到考虑告警信息之间上下文后生成的结构向量，这样得到的结构向量更加符合源IP地址的行为特点，降低误报率。

在实际处理过程中，由于预设时间段内网络产生的告警信息的数量比较庞大，所以，形成第一告警序列中待处理告警信息比较大，为了提高计算效率，本发明对第一告警序列中的告警信息进行合并处理为：

将第一告警序列输入到PrefixSpan模型中，确定第一告警序列中满足支持度高于阈值的告警子序列，将支持度高于阈值的告警子序列合成一个超告警信息。

通过上述方式，进行告警信息的合并，从而能够降低后续处理告警信息的数量，提高计算效率。

具体来说：

步骤1)找出所有长度为i的前缀告警子序列和对应的投影数据库，投影数据库是满足前缀的所有告警序列的集合；

步骤2)对长度为i的前缀告警子序列进行计数，将支持度低于阈值α的前缀对应的告警子序列从数据集S删除，同时得到所有的频繁1项告警子序列，i＝1；

步骤3)对于每个长度为i满足支持度高于阈值α的前缀告警子序列进行递归挖掘：

递归挖掘过程为：

步骤a)找出前缀告警子序列对应的投影数据库。如果投影数据库为空，则递归返回。

步骤b)统计对应投影数据库中各项的支持度计数。如果所有告警子序列的支持度计数都低于阈值α，则递归返回。

步骤c)将满足支持度计数的各个告警子序列和当前的前缀告警子序列进行合并，得到若干新的前缀告警子序列。

步骤d)令i＝i+1，前缀告警子序列为合并单项后的各个前缀告警子序列，分别递归执行第3步。

本发明实施例提供了一种电子设备600，结合图6所示，包括：存储器620和处理器610：

所述存储器620用于存储电子设备运行时所使用的程序代码；

所述处理器610用于执行所述程序代码，以实现如下过程：

可选的，所述处理器610，具体用于：

根据所述距离确定每个告警信息生成概率的向量表示。

可选的，所述处理器610，具体用于：

在示例性实施例中，还提供了一种包括指令的存储介质，例如包括指令的存储器，上述指令可由处理器610执行以完成上述网络安全评估方法。可选地，存储介质可以是非临时性计算机可读存储介质，例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

其中，该电子设备还可以为具有通信功能的电子设备，所以，该电子设备除了上述介绍的处理器以及存储器外，结合图7所示，还包括：射频(Radio Frequency，RF)电路710、无线保真(Wireless Fidelity，Wi-Fi)模块720、通信接口730、显示单元740、电源750、处理器770、存储器770等部件。本领域技术人员可以理解，图7中示出的电子设备的结构并不构成对电子设备的限定，本申请实施例提供的电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图7对所述电子设备600的各个构成部件进行具体的介绍：

所述电子设备600中可以通过所述RF电路710、Wi-Fi模块720、通信接口730的通信模块，获取预设时间段内网络产生的告警信息。

所述RF电路710可用于通信过程中，数据的接收和发送。特别地，所述RF电路710在接收到基站的下行数据后，发送给所述处理器770处理；另外，将待发送的上行数据发送给基站。通常，所述RF电路710包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low Noise Amplifier，LNA)、双工器等。

此外，RF电路710还可以通过无线通信与网络和其他电子设备通信。所述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(Global System ofMobile communication，GSM)、通用分组无线服务(General Packet Radio Service，GPRS)、码分多址(Code Division MultIP地址le Access，CDMA)、宽带码分多址(WidebandCode Division MultIP地址le Access，WCDMA)、长期演进(Long Term Evolution，LTE)、电子邮件、短消息服务(Short Messaging Service，SMS)等。

Wi-Fi技术属于短距离无线传输技术，所述电子设备600通过Wi-Fi模块720可以连接接入点(Access Point，AP)，从而实现数据网络的访问。所述Wi-Fi模块720可用于通信过程中，数据的接收和发送。

所述电子设备600可以通过所述通信接口730与其他电子设备实现物理连接。可选的，所述通信接口730与所述其他电子设备的通信接口通过电缆连接，实现所述电子设备600和其他电子设备之间的数据传输。

由于在本申请实施例中，所述电子设备600能够实现通信业务，向其他联系人发送信息，因此所述电子设备600需要具有数据传输功能，即所述电子设备600内部需要包含通信模块。虽然图7示出了所述RF电路710、所述Wi-Fi模块720、和所述通信接口730等通信模块，但是可以理解的是，所述电子设备600中存在上述部件中的至少一个或者其他用于实现通信的通信模块(如蓝牙模块)，以进行数据传输。

例如，当所述电子设备600为计算机时，所述电子设备600可以包含所述通信接口730，还可以包含所述Wi-Fi模块720；当所述电子设备600为平板电脑时，所述电子设备600可以包含所述Wi-Fi模块。

所述显示单元740可用于显示源IP地址的威胁程度值。所述显示单元740即为所述电子设备600的显示系统，用于呈现界面，实现人机交互。

所述显示单元740可以包括显示面板741。可选的，所述显示面板741可以采用液晶显示屏(Liquid Crystal Display，LCD)、有机发光二极管(Organic Light-EmittingDiode，OLED)等形式来配置。

所述存储器770可用于存储软件程序以及模块。所述处理器770通过运行存储在所述存储器770的软件程序以及模块，从而执行所述电子设备600的各种功能应用以及数据处理，其中，存储器770包括图6中的存储器620的功能。可选的，所述存储器770可以主要包括存储程序区和存储数据区。其中，存储程序区可存储操作系统、各种应用程序(比如通信应用)以及人脸识别模块等；存储数据区可存储根据所述电子设备的使用所创建的数据(比如各种图片、视频文件等多媒体文件，以及人脸信息模板)等。此外，所述存储器770可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

所述处理器770是所述电子设备600的控制中心，利用各种接口和线路连接各个部件，通过运行或执行存储在所述存储器770内的软件程序和/或模块，以及调用存储在所述存储器770内的数据，执行所述电子设备600的各种功能和处理数据，从而实现基于所述电子设备的多种业务。其中，处理器770包括图6中的处理器610的功能。可选的，所述处理器770可包括一个或多个处理单元。可选的，所述处理器770可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到所述处理器770中。

所述电子设备600还包括用于给各个部件供电的电源750(比如电池)。可选的，所述电源750可以通过电源管理系统与所述处理器770逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗等功能。

本发明实施例还提供一种计算机程序产品，当所述计算机程序产品在电子设备上运行时，使得所述电子设备执行实现本发明实施例上述任意一项网络安全评估方法。

本领域技术人员在考虑说明书及实践这里发明的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未发明的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

1.一种网络安全评估方法，其特征在于，包括：

针对每个源IP地址，根据源IP地址与每个目的IP地址之间发生网络异常的概率，构建所述源IP地址对应的结构向量，以及根据所述源IP地址所属的告警信息确定的源IP地址属性信息，构建所述源IP地址对应的属性向量；其中，源IP地址对应的结构向量中每个维度的数值为源IP地址与一个目的IP地址之间发生网络异常的概率；源IP地址对应的属性向量中的每个维度的数值为源IP的属性信息；

将所述参考结构向量与所述结构向量进行对比得到对比结果，以及将所述参考属性向量与所述属性向量进行对比得到对比结果，根据得到的两个对比结果，确定所述源IP地址的威胁程度值；

2.根据权利要求1所述的网络安全评估方法，其特征在于，通过以下方式确定源IP地址与每个目的IP地址之间发生网络异常的概率：

3.根据权利要求2所述的网络安全评估方法，其特征在于，所述根据每两个告警信息之间的转移概率，确定预设时间段内网络生成的每个告警信息的生成概率，包括：

根据所述距离确定每个告警信息生成概率的向量表示。

4.根据权利要求3所述的网络安全评估方法，其特征在于，根据第一告警序列中所有告警信息的生成概率，确定第一告警序列的生成概率，包括：

5.一种电子设备，其特征在于，包括：存储器和处理器：

所述存储器用于存储电子设备运行时所使用的程序代码；

所述处理器用于执行所述程序代码，以实现如下过程：

所述处理器，具体用于：

6.根据权利要求5所述的电子设备，其特征在于，所述处理器，具体用于：

7.根据权利要求5所述的电子设备，其特征在于，所述处理器，具体用于：

根据所述距离确定每个告警信息生成概率的向量表示。

8.根据权利要求6所述的电子设备，其特征在于，所述处理器，具体用于：