CN111787001A

CN111787001A - 网络安全信息的处理方法、装置、电子设备和存储介质

Info

Publication number: CN111787001A
Application number: CN202010622190.6A
Authority: CN
Inventors: 司瑞彬; 顾杜娟; 杨传安; 巩磊; 陈超; 田宇
Original assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd; China Academy of Electronic and Information Technology of CETC
Current assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd; China Academy of Electronic and Information Technology of CETC
Priority date: 2020-06-30
Filing date: 2020-06-30
Publication date: 2020-10-16
Anticipated expiration: 2040-06-30
Also published as: CN111787001B

Abstract

本公开提供网络安全信息的处理方法、装置、电子设备和存储介质。网络资产的描述信息采用有向图表示，其中，在所述有向图中，节点和所述网络资产一一对应，有向图中的边表示所述网络资产之间的通信关系，且每个节点具有节点属性列表，每个边具有边属性列表，所述方法包括：从所述有向图中获取目标节点的描述信息；所述目标节点是根据期望的总安全防护目标来确定的；基于人工智能技术对所述目标节点的描述信息进行解析，得到关于所述目标节点的安全防护策略；根据所述安全防护策略，确定网络安全防护操作。将网络资产的描述信息通过有向图这种统一的机制来进行表示,解决了人工智能技术模型训练的数据预处理操作复杂、效率低的问题。

Description

网络安全信息的处理方法、装置、电子设备和存储介质

技术领域

本申请涉及信息安全技术领域，特别涉及一种网络安全信息的处理方法、装置、电子设备和存储介质。

背景技术

人工智能技术是一把双刃剑。人工智能技术与安全的融合是大势所趋。一方面，我们要利用人工智能技术提升安全方面的能力。另一方面，人工智能技术作为一种计算机软硬件技术。它自身如何防止安全缺陷，防止被攻击者利用，也必须引起各方的高度重视。

由于网络安全信息多种多样，采用网络安全信息对人工智能技术模型进行训练时，需要专家对网络安全信息进行分析和整理，导致训练的操作复杂，效率低。

发明内容

本申请的目的是提供一种网络安全信息的处理方法、装置、电子设备和存储介质，以解决现有技术中人工智能技术模型训练的操作复杂、效率低的问题。

第一方面，本申请提供了一种网络安全信息的处理方法，网络资产的描述信息采用有向图表示，其中，在所述有向图中，节点和所述网络资产一一对应，有向图中的边表示所述网络资产之间的通信关系，且每个节点具有节点属性列表，每个边具有边属性列表，所述方法包括：

从所述有向图中获取目标节点的描述信息；所述目标节点是根据期望的总安全防护目标来确定的；

基于人工智能技术对所述目标节点的描述信息进行解析，得到关于所述目标节点的安全防护策略；

根据所述安全防护策略，确定网络安全防护操作。

在一个实施例中，所述网络资产包括受保护的网络资产以及提供安全防护能力的网络资产；

所述受保护的网络资产包括软件应用和硬件设备；

所述提供安全防护能力的网络资产包括安全设备和安全服务。

在一个实施例中，所述节点属性列表中的各属性的实时状态和属性值以及所述边属性列表中的各属性的实时状态和属性值是根据获取的感知信息来确定的；

所述节点属性列表中的属性包括节点类型、运行状态、风险评分；

所述边属性列表中的属性包括带宽和风险评分。

在一个实施例中，所述得到关于所述目标节点的安全防护策略之前，还包括：

获取所述期望的总安全防护目标；

按照预设分析规则，将所述期望的总安全防护目标进行分解，得到各类子安全防护目标；

根据各类子安全防护目标，确定所述目标节点以及所述目标节点的安全防护目标；

所述基于人工智能技术对所述目标节点的描述信息进行解析，得到关于所述目标节点的安全防护策略，包括：

基于人工智能技术根据所述目标节点的安全防护目标对所述目标节点的描述信息进行解析，得到关于所述目标节点的安全防护策略。

在一个实施例中，所述根据各类子安全防护目标，确定所述目标节点的安全防护目标，包括：

将各类子安全防护目标输入至预先训练的安全防护目标模型中，得到与各类子安全防护目标对应的各节点安全防护目标；

从各节点安全防护目标中，确定出与所述目标节点相对应的安全防护目标。

在一个实施例中，所述根据所述安全防护策略，确定网络安全防护操作，包括：

根据预先建立的安全防护策略映射表，确定与所述安全防护策略相对应的网络安全防护操作，所述网络安全防护操作包括分解动作集和/或联动动作集，其中，所述分解动作集为单个动作；所述联动动作集为动作集合。

第二方面，本公开提供一种网络安全信息的处理装置，网络资产的描述信息采用有向图表示，其中，在所述有向图中，节点和所述网络资产一一对应，有向图中的边表示所述网络资产之间的通信关系，且每个节点具有节点属性列表，每个边具有边属性列表，所述装置包括：

描述信息获取模块，用于从所述有向图中获取目标节点的描述信息；所述目标节点是根据期望的总安全防护目标来确定的；

安全防护策略确定模块，用于基于人工智能技术对所述目标节点的描述信息进行解析，得到关于所述目标节点的安全防护策略；

网络安全防护操作确定模块，用于根据所述安全防护策略，确定网络安全防护操作。

所述受保护的网络资产包括软件应用和硬件设备；

所述边属性列表中的属性包括带宽和风险评分。

在一个实施例中，所述装置还包括：

总安全防护目标获取模块，用于得到关于所述目标节点的安全防护策略之前，获取所述期望的总安全防护目标；

子安全防护确定模块，用于按照预设分析规则，将所述期望的总安全防护目标进行分解，得到各类子安全防护目标；

目标节点的安全防护目标确定模块，用于根据各类子安全防护目标，确定所述目标节点以及所述目标节点的安全防护目标；

所述安全防护策略确定模块，具体用于：

在一个实施例中，所述目标节点的安全防护目标确定模块，具体用于：

在一个实施例中，所述网络安全防护操作确定模块，具体用于：

根据本公开实施例的第三方面，提供一种电子设备，包括：

至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令；所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如第一方面所述的方法。

根据本公开实施例提供的第四方面，提供一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序用于执行如第一方面所述的方法。

本公开的实施例提供的技术方案至少带来以下有益效果：

本公开提供一种网络安全信息的处理方法、装置、电子设备和存储介质。网络资产的描述信息采用有向图表示，其中，在所述有向图中，节点和所述网络资产一一对应，有向图中的边表示所述网络资产之间的通信关系，且每个节点具有节点属性列表，每个边具有边属性列表，所述方法包括：从所述有向图中获取目标节点的描述信息；所述目标节点是根据期望的总安全防护目标来确定的；基于人工智能技术对所述目标节点的描述信息进行解析，得到关于所述目标节点的安全防护策略；根据所述安全防护策略，确定网络安全防护操作。由此，本公开将网络资产的描述信息通过有向图这种统一的机制来进行表示，利用统一的表示方式，使得人工智能技术方便训练得到安全防护策略。由此，解决了现有技术中将数值化和形式化后的网络资产的描述信息应用于人工智能技术中时，需要专家分析和整理网络安全信息，导致训练操作复杂，效率低，也即解决了相关技术中人工智能技术难以进行训练的问题。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理，并不构成对本公开的不当限定。

图1为根据本公开一个实施例中的适用场景示意图；

图2为根据本公开一个实施例的网络安全信息的处理方法的流程示意图之一；

图3为根据本公开一个实施例的网络安全信息的处理方法的总安全防护目标分解示意图；

图4为根据本公开一个实施例的网络安全信息的处理方法的攻击链示意图；

图5为根据本公开一个实施例的网络安全信息的处理方法的模型示意图；

图6为根据本公开一个实施例的网络安全信息的处理方法的流程示意图之一；

图7为根据本公开一个实施例的网络安全信息的处理装置；

图8为根据本公开一个实施例的电子设备的结构示意图。

具体实施方式

为进一步说明本公开实施例提供的技术方案，下面结合附图以及具体实施方式对此进行详细的说明。虽然本公开实施例提供了如下述实施例或附图所示的方法操作步骤，但基于常规或者无需创造性的劳动在方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中，这些步骤的执行顺序不限于本公开实施例提供的执行顺序。方法在实际的处理过程中或者控制设备执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行。

本公开实施例中术语“多个”是指两个或两个以上，其它量词与之类似应当理解，此处所描述的优选实施例仅用于说明和解释本公开，并不用于限定本公开，并且在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。

发明人研究发现，现有技术中是针对不同的问题将网络资产的描述信息用不同的形式来进行表示。所以，网络资产的描述信息有多种多样的表达形式来。由此，应用到人工智能技术中时，需要专家对不同表达形式进行解析和分析，来帮助人工智能技术进行训练。

有鉴于此，本公开提出一种网络安全信息的处理方法、装置、电子设备和存储介质。本公开的发明构思为：通过将网络资产的描述信息通过有向图来进行统一的表示，当应用于人工智能技术中时，人工智能技术只训练这一种表达形式的网络资产的描述信息，以此解决了现有技术中将数值化和形式化后的网络资产的描述信息应用于人工智能技术中时，人工智能技术模型进行训练时操作复杂、效率低的问题。下面结合附图，对本公开进行详细的说明。

如图1所示，为一种网络安全信息处理的应用场景，该应用场景中包括多个终端设备110和服务器120，图1中是以三个终端设备110为例，实际上不限制终端设备110的数量。终端设备110例如手机、平板电脑和个人计算机等。服务器120可以通过单个服务器实现，也可以通过多个服务器实现。服务器120可以通过实体服务器实现，也可以通过虚拟服务器实现。

本公开实施例中，采用有向图表示网络资产的描述信息。在所述有向图中，节点和所述网络资产一一对应。有向图中的边表示所述网络资产之间的通信关系，且每个节点具有节点属性列表，每个边具有边属性列表。故此，在一种可能的应用场景中，服务器120可从有向图中获取目标节点的描述信息，所述目标节点是根据期望的总安全防护目标来确定的；然后服务器120基于人工智能相关技术对所述目标节点的描述信息进行解析，得到关于所述目标节点的安全防护策略。并根据所述安全防护策略，确定网络安全防护操作并将发送给终端设备110进行显示。

如图2所示，图2为本公开中一种网络安全信息的处理方法的流程示意图,可包括以下步骤：

步骤201：从所述有向图中获取目标节点的描述信息；所述目标节点是根据期望的总安全防护目标来确定的；

需要说明的是：网络资产的描述信息采用有向图表示，其中，在所述有向图中，节点和所述网络资产一一对应，有向图中的边表示所述网络资产之间的通信关系，且每个节点具有节点属性列表，每个边具有边属性列表。

其中，有向图中的边表示网络资产之间的通信关系。既包含主机间的通信关系，也包含跨主机间的通信关系。例如，服务进程间的通信关系为高层服务进程对底层服务进程的直接或间接的调用。各服务进程既可能部署在同一台主机上，也可能部署在不同的主机上。当各服务进程部署在同一台主机上时，通过感知信息获取进程调度表来确定服务进程之间的通信关系。例如，服务进程A调用服务进程B，则在有向图中节点A和节点B之间的通信关系为A→B。当各服务进程部署在不同的主机上时，可通过感知信息获取通信关系。例如，服务进程C向服务进程D发起通信，服务进程D回应服务进程C，则有向图中节点C和节点D之间的通信关系为C→D。

需要说明的是，最后构成的有向图为有向无环图，以此避免将有向图输入人工智能中会引发非法的、不合理的无线递归依赖。

其中，有向图反映的是网络资产的描述信息的实时安全状况(即实时状态)，涉及到威胁攻击(例如：网络扫描、口令猜测、缓冲区溢出攻击、拒绝服务攻击、网络病毒、蠕虫等)的状态信息。资产脆弱性(例如：安全漏洞的普遍性和严重性)、安全资源(例如：防火墙、病毒查杀系统、入侵检测系统等)的部署情况等。

步骤202：基于人工智能技术对所述目标节点的描述信息进行解析，得到关于所述目标节点的安全防护策略；

步骤203：根据所述安全防护策略，确定网络安全防护操作。

由此，本公开将网络资产的描述信息通过有向图这种统一的机制来进行表示，利用统一的表示方式，使得人工智能技术方便训练得到安全防护策略。由此，解决了现有技术中将数值化和形式化后的网络资产的描述信息应用于人工智能技术中时，需要专家分析和整理网络安全信息，导致训练操作复杂，效率低，也即解决了相关技术中人工智能技术难以进行训练的问题。

在一个实施例中，所述网络资产包括受保护的网络资产以及提供安全防护能力的网络资产；下面对受保护的网络资产和提供安全防护能力的网络资产分别进行介绍：

(一)、受保护的网络资产包括软件应用和硬件设备；

其中，需要说明的是：受保护的网络资产是由相互作用、相互依存的若干组成部分结合而成的，具有特定功能的有机整体。其中，受保护的网络资产不仅包括服务器等物理实体，而且包括服务器中具体的应用服务等不同形态的组成部分。例如，应用服务、主机、组件等。

(二)、提供安全防护能力的网络资产包括安全设备和安全服务；

例如：防火墙、入侵检测系统(Intrusion Detection System，IDS)、入侵防御系统(Intrusion Prevention System，IPS)、虚拟专用网络(Virtual Private Network,VPN)、网络安全审计、堡垒机、漏洞扫描、主机杀毒软件等。

其中，同一网络资产既可能是受保护的网络资产，也可能是可提供安全防护能力的网络资产。例如，安装了杀毒软件的主机。

由此，将网络资产通过有向图的形式进行形式化，以便于人工智能技术能够根据统一的表达方式对网络安全信息进行识别和学习。

在一个实施例中，所述节点属性列表中的各属性的实时状态和属性值以及所述边属性列表中的各属性的实时状态和属性值是根据获取的感知信息来确定的，包括：

(一)、所述节点属性列表中的属性包括节点类型、运行状态、风险评分等；

需要说明的是，每一个节点都有对应的节点属性列表，不同节点的对应的节点属性是在知识库中提前定义好的。并且每个属性都有相对应的属性函数来进行表示。例如，节点v_i的节点属性列表为

其中，

均为节点vi的属性。节点v_i的类型可通过属性函数

获得，例如获得的节点类型为防火墙。则可通过属性函数f_c(v_i)获得该防火墙的防护带宽为100G,并可通过属性函数

获得该防火墙的风险评分为98分。

(二)、所述边属性列表中的属性包括带宽和风险评分等；

每一条边也都有对应的边属性列表。不同边对应的边属性列表也是在知识库中提前定义好的。并且边的属性也可用边的属性函数来进行表示。例如，边e_i的属性列表为

其中，边e_i的带宽可通过属性函数

获得，边e_i的风险评分为可通过函数f_R(e_i)获得。

综上所述，有向图

表示网络资产的描述信息,其中，节点集合

边的集合

所有节点的节点属性列表可构成节点的属性矩阵为(v₁，v₂，v₃…v_n)^T(f_T，f_C，f_R…)。所有边的边属性列表可构成边的属性矩阵，可表示为(e₁，e₂，e₃…e_n)^T(f_B，f_R…)。

需要说明的是，针对任一边或节点，若其属性没有相应的属相函数，可返回无，其中，属相函数求值可返回三种类型：连续值、可枚举值和布尔值。

由此，通过感知信息确定节点属性列表中的各属性的实时状态和属性值以及所述边属性列表中的各属性的实时状态和属性值，将所述网络资产的描述信息数值化，以便于人工智能技术进行识别训练。

在执行步骤202之前，为了得到目标节点的安全防护目标，在一个实施例中，获取所述期望的总安全防护目标；按照预设分析规则，将所述期望的总安全防护目标进行分解，得到各类子安全防护目标；根据各类子安全防护目标，确定所述目标节点以及所述目标节点的安全防护目标；所述步骤202，还可执行为：基于人工智能技术根据所述目标节点的安全防护目标对所述目标节点的描述信息进行解析，得到关于所述目标节点的安全防护策略。

例如，如图3可知，按照预设分析规则可将期望的总安全防护目标进行分解，从五个安全属性和四个类型进行分解的。安全属性包括：保密性、完整性、可用性、可抵赖性和可控性。类型包括：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。例如，将总安全防护目标进行分解后的得到的各类子安全防护目标，为物理和环境安全的保密性为3级，物理和环境安全的可用性为4级。网络和通信安全的保密性为2级、可用性为4级、可抵赖性为2级和可控性为3级。然后根据各类子安全防护目标，确定所述目标节点的安全防护目标。

其中，之所以将总安全防护目标按照安全属性进行分类，是因为从需求分析可知，若存在威胁攻击或存在脆弱性会给受保护的网络资产带来直接或间接的安全威胁。例如通过破解口令能盗用服务，会侵害受保护的网络资产的机密性；缓冲区溢出攻击能导致服务崩溃，侵害受保护的网络资产的完整性；拒绝服务攻击能以多种方式侵害受保护的网络资产的可用性。服务进程常被授予读写数据的权限，当权限集被弱点暴露或被攻击窃取后，会影响到受保护的网络资产的安全性。例如非法读取数据会侵害数据的机密性；越权改写数据会侵害数据的完整性；若损毁的数据难以快速恢复，则会侵害受保护的网络资产的可用性。这是一种沿授权关系传递的间接风险或威胁。

按照安全属性进行分类后，需要再进一步的分类，是因为网络空间中的信息安全问题在物理安全、运行安全、数据安全、内容安全等不同层面上表现不一。针对不同的安全需求，需要建设相对应的信息安全应用设施。

由此，本公开通过将总安全防护目标进行分解，得到各类子安全防御目标，便于针对不同的网络安全问题确定出相对应的安全防护策略，以保障网络安全。

在一个实施例中，将各类子安全防护目标输入至预先训练的安全防护目标模型中，得到与各类子安全防护目标对应的各节点安全防护目标；从各节点安全防护目标中，确定出与所述目标节点相对应的安全防护目标。

由此，通过安全防护目标模型确定与目标节点相对应的安全防护目标。

前文所述步骤203，在一个实施例中，可实施为：根据预先建立的安全防护策略映射表，确定与所述安全防护策略相对应的网络安全防护操作，所述网络安全防护操作包括分解动作集和/或联动动作集，其中，所述分解动作集为单个动作；所述联动动作集为动作集合。

例如，确定出安全防护目标为安全防护目标1，则在应安全防护策略映射表中查找与安全防护目标1对应的安全防护操作，包括分解动作集和/或联动动作集。

下面，分别对分解动作集和联动动作集分别进行介绍：

(1)、分解动作集：

分解动作集可用公式(1)表示：

T＝(V^s，F(A×P)，O(V⁰×C)) (1)。

其中，V^s是安全防护策略的实施对象。包括提供安全防护能力的网络资产。

F(A×P)为具体动作集，包括：A为采用结构化数据形式对“应对措施”进行规范化的可操作的描述。用于自动实施的安全规则行为；其中P是安全防护策略实施的技术参数，定义自动化的安全防护策略分解。自动将安全防护策略分解，分解后所获得具体动作表示为A＝{a₁，a₂，a₃…a_n}。

O(V⁰×C)为安全防护目标集。包括V⁰和C。其中，V⁰是受保护的网络资产。可为安全域、子网、主机、组件、数据、网络数据包、密码算法、密钥文件、进程、帐号等。C是受保护的网络资产的节点属性列表，如配置错误或存在漏洞等。

上述公式输出的为安全规则，要将其转化为具体动作策略，转化规则为：Modality×Target×Event→Subject×Action×Condition。其中：

Modality为安全规则执行权限，包括肯定授权A+、否定授权A－、义务O+、抑制O－四种；其中，A+表示提供安全防护能力的网络资产被授权之后才有权限执行安全规则。A-表示为提供安全防护能力的网络资产即使被授权之后也没有权限执行安全规则。O+表示为提供安全防护能力的网络资产不管有没有被授权都能去执行安全规则，O－表示为提供安全防护能力的网络资产虽然有权限，但是不能去执行此安全规则。

Target为受安全规则控制的目标，即安全防护目标集，及受保护的网络资产的集合。

Event触发安全规则执行的事件，即受保护的网路资产的节点属性列表，例如，配置错误、存在漏洞、数据包到达、系统启动等。

Subject为执行安全规则的主体，即安全防护策略实施的对象。

Action为安全规则行为，即具体动作集。

Condition为使安全规则生效的条件，包括时间约束、网络资源约束等。例如，时间参数为24小时，即表示为安全规则要在24小时内执行生效，网络资源约束可为带宽在90％以上，表示为带宽在90％以上才能执行生效。

(2)、联动动作集：

联动动作集D表示为一组安全动作的集合D＝{d₁，d₂，…}。其中，安全动作包括加密动作、访问控制动作、授权动作、防病毒动作、入侵检测动作、漏洞扫描动作等。联动动作集包括：设备安全策略、用户安全策略、数据库安全策略、服务器安全策略、系统安全策略、网络安全策略等。从关注点分类有面向应用的安全策略、面向系统的安全策略、面向网络的安全策略、面向设备的安全策略等。

由于黑客的攻击行为也不再是普遍的破坏行为(例如，之前爆发的蠕虫风暴)，而是采用了多目标、多阶段、更低调的攻击方式。如图4可知，基于防御思维的攻击链将一次攻击划分为7个阶段。所以，我们把一个安全策略分解为攻击链七个阶段的子策略。分别在七个阶段内自动建立分解动作T。其中，图4中攻击链的各个阶段的安全防护操作，包括：

KC_R为侦查目标子策略集，且存在全函数f_p：O(V⁰×C→R)。

KC_W为制作工具子策略集，且存在全函数f_D：O(V⁰×C→W)。

KC_D为传送工具子策略集,且存在全函数f_E：O(V⁰×C→D)。

KC_V为触发工具子策略集，且存在全函数f_R：O(V⁰×C→V)。

KC_C为控制目标子策略集，且存在全函数f_D：0(V⁰×C→C)。

KC_E为执行活动子策略集，且存在全函数f_E：O(V⁰×C→E)。

KC_M为保留据点子策略集，且存在全函数f_R：O(V⁰×C)×D×E→M。

以上述定义的安全策略为基础，将攻击链的各个阶段的、反映不同安全需求的子策略集以一种利于连动的、策略协同的方式组织起来构成了联动动作集。其中，策略协同包括安全防护策略协同、网络流量控制和安全资源的协同。

(1)安全资源的协同：在发挥安全功能的资源池中的资源如何生成、何时生成、何时扩容、如何扩容等。特别是在云信息系统中通过虚拟监视器Hypervisor生成虚拟化的资源，资源管理的编排可实现的功能更多更复杂。

(2)安全策略的协同：向相应的提供安全防护能力的网络资源下发相应的安全规则。

(3)网络流量控制的协同：通过流量动态调度实现服务链，即多安全设备的串接、并联等网络功能。

如图5所示，图5为策略树模型。策略树提供了安全防御的方法，以指导在网络对抗环境中，制定安全需求、部署网络系统、开发具有主动防御能力的安全应用。其反向应用是依据系统可能的安全漏洞建立攻击系统的入侵对策，实现自动攻击系统。

同样的，上述各阶段输出的是安全规则，要将其转化为联动动作策略，转化规则为：策略模式×策略触发方式→策略编号。其中：

策略模式为策略执行权限，分为授权策略、义务策略、委托策略；

策略触发方式包括周期触发型安全策略、持续激活型安全策略、事件触发型安全策略、时间触发型安全策略等。

策略编号，策略编号为各阶段对应的分解动作T的编号。

由此，本公开通过确定与安全防护策略相对应的分解动作集和/或联动动作集，以便于执行相对应的网络安全防护操作。

为了进一步了解本公开提供的技术方案，下面结合图6进行详细说明，可包括以下步骤：

步骤601：从所述有向图中获取目标节点的描述信息；所述目标节点是根据期望的总安全防护目标来确定的；

步骤602：获取期望的总安全防护目标；

步骤603：按照预设分析规则，将所述期望的总安全防护目标进行分解，得到各类子安全防护目标；

步骤604：将各类子安全防护目标输入至预先训练的安全防护目标模型中，得到与各类子安全防护目标对应的各节点安全防护目标；

步骤605：基于人工智能技术根据所述目标节点的安全防护目标对所述目标节点的描述信息进行解析，得到关于所述目标节点以及所述目标节点的安全防护策略；

步骤606：根据预先建立的安全防护策略映射表，确定与所述安全防护策略相对应的网络安全防护操作，所述网络安全防护操作包括分解动作集和/或联动动作集，其中，所述分解动作集为单个动作；所述联动动作集为动作集合。

基于相同的发明构思，本公开如上所述的网络安全信息的处理方法还可以由一种网络安全信息的处理装置实现。该装置的效果与前述方法的效果相似，在此不再赘述。

图7为根据本公开一个实施例的网络安全信息的处理装置的结构示意图。

如图7所示，本公开的网络安全信息的处理装置700可以包括描述信息获取模块710、安全防护策略确定模块720和网络安全防护操作确定模块730。

描述信息获取模块710，用于从所述有向图中获取目标节点的描述信息；所述目标节点是根据期望的总安全防护目标来确定的；

安全防护策略确定模块720，用于基于人工智能技术对所述目标节点的描述信息进行解析，得到关于所述目标节点的安全防护策略；

网络安全防护操作确定模块730，用于根据所述安全防护策略，确定网络安全防护操作。

所述受保护的网络资产包括软件应用和硬件设备；

所述边属性列表中的属性包括带宽和风险评分。

在一个实施例中，所述装置还包括：

总安全防护目标获取模块740，用于得到关于所述目标节点的安全防护策略之前，获取所述期望的总安全防护目标；

子安全防护确定模块750，用于按照预设分析规则，将所述期望的总安全防护目标进行分解，得到各类子安全防护目标；

目标节点的安全防护目标确定模块760，用于根据各类子安全防护目标，确定所述目标节点以及所述目标节点的安全防护目标；

所述安全防护策略确定模块720，具体用于：

在一个实施例中，所述目标节点的安全防护目标确定模块760，具体用于：

在一个实施例中，所述网络安全防护操作确定模块730，具体用于：

在介绍了本申请示例性实施方式的一种网络安全信息的处理方法和装置之后，接下来，介绍根据本申请的另一示例性实施方式的电子设备。

所属技术领域的技术人员能够理解，本申请的各个方面可以实现为系统、方法或程序产品。因此，本申请的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

在一些可能的实施方式中，根据本申请的电子设备可以至少包括至少一个处理器、以及至少一个计算机存储介质。其中，计算机存储介质存储有程序代码，当程序代码被处理器执行时，使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的网络安全信息的处理方法中的步骤。例如，处理器可以执行如图2中所示的步骤201-203。

下面参照图8来描述根据本申请的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图8所示，电子设备800以通用电子设备的形式表现。电子设备800的组件可以包括但不限于：上述至少一个处理器801、上述至少一个计算机存储介质802、连接不同系统组件(包括计算机存储介质802和处理器801)的总线803。

总线803表示几类总线结构中的一种或多种，包括计算机存储介质总线或者计算机存储介质控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。

计算机存储介质802可以包括易失性计算机存储介质形式的可读介质，例如随机存取计算机存储介质(RAM)821和/或高速缓存存储介质822，还可以进一步包括只读计算机存储介质(ROM)823。

计算机存储介质802还可以包括具有一组(至少一个)程序模块824的程序/实用工具825，这样的程序模块824包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

电子设备800也可以与一个或多个外部设备804(例如键盘、指向设备等)通信，还可与一个或者多个使得用户能与电子设备800交互的设备通信，和/或与使得该电子设备800能与一个或多个其它电子设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口805进行。并且，电子设备800还可以通过网络适配器806与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器806通过总线803与用于电子设备800的其它模块通信。应当理解，尽管图中未示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

在一些可能的实施方式中，本申请提供的一种网络安全信息的处理方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在计算机设备上运行时，程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种网络安全信息的处理方法中的步骤。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取计算机存储介质(RAM)、只读计算机存储介质(ROM)、可擦式可编程只读计算机存储介质(EPROM或闪存)、光纤、便携式紧凑盘只读计算机存储介质(CD-ROM)、光计算机存储介质件、磁计算机存储介质件、或者上述的任意合适的组合。

本申请的实施方式的用于网络安全信息的处理的程序产品可以采用便携式紧凑盘只读计算机存储介质(CD-ROM)并包括程序代码，并可以在电子设备上运行。然而，本申请的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中，远程电子设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户电子设备，或者，可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。

应当注意，尽管在上文详细描述中提及了装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。

此外，尽管在附图中以特定顺序描述了本申请方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘计算机存储介质、CD-ROM、光学计算机存储介质等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读计算机存储介质中，使得存储在该计算机可读计算机存储介质中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种网络安全信息的处理方法，其特征在于，网络资产的描述信息采用有向图表示，其中，在所述有向图中，节点和所述网络资产一一对应，有向图中的边表示所述网络资产之间的通信关系，且每个节点具有节点属性列表，每个边具有边属性列表，所述方法包括：

根据所述安全防护策略，确定网络安全防护操作。

2.根据权利要求1所述的方法，其特征在于，所述网络资产包括受保护的网络资产以及提供安全防护能力的网络资产；

所述受保护的网络资产包括软件应用和硬件设备；

3.根据权利要求1所述的方法，其特征在于，所述节点属性列表中的各属性的实时状态和属性值以及所述边属性列表中的各属性的实时状态和属性值是根据获取的感知信息来确定的；

所述边属性列表中的属性包括带宽和风险评分。

4.根据权利要求1所述的方法，其特征在于，所述得到关于所述目标节点的安全防护策略之前，还包括：

获取所述期望的总安全防护目标；

5.根据权利要求4所述的方法，其特征在于，所述根据各类子安全防护目标，确定所述目标节点的安全防护目标，包括：

6.根据权利要求4所述的方法，其特征在于，所述根据所述安全防护策略，确定网络安全防护操作，包括：

7.一种网络安全信息的处理装置，其特征在于，网络资产的描述信息采用有向图表示，其中，在所述有向图中，节点和所述网络资产一一对应，有向图中的边表示所述网络资产之间的通信关系，且每个节点具有节点属性列表，每个边具有边属性列表，所述装置包括：

8.根据权利要求7所述的装置，其特征在于，所述网络资产包括受保护的网络资产以及提供安全防护能力的网络资产；

所述受保护的网络资产包括软件应用和硬件设备；

9.一种电子设备，其特征在于，包括至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令；所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行根据权利要求1-6中任一项所述的方法。

10.一种计算机存储介质，其特征在于，所述计算机存储介质存储有计算机程序，所述计算机程序用于执行根据权利要求1-6中任一项所述的方法。