CN113114489A

CN113114489A - 一种网络安全态势评估方法、装置、设备及存储介质

Info

Publication number: CN113114489A
Application number: CN202110337357.9A
Authority: CN
Inventors: 杜翠凤; 蒋仕宝; 吴兢劢
Original assignee: Guangzhou Jiesai Communication Planning And Design Institute Co ltd; GCI Science and Technology Co Ltd
Current assignee: Guangzhou Jiesai Communication Planning And Design Institute Co ltd; GCI Science and Technology Co Ltd
Priority date: 2021-03-29
Filing date: 2021-03-29
Publication date: 2021-07-13
Anticipated expiration: 2041-03-29
Also published as: CN113114489B

Abstract

本发明涉及网络安全技术领域，公开了一种网络安全态势评估方法、装置、设备及存储介质，所述方法包括：获取网络安全态势指标；通过滑动窗口对所述网络安全态势指标进行滑动处理，获得输入数据；根据所述输入数据获得网络安全态势感知特征向量；根据所述网络安全态势感知特征向量获得网络安全态势评估结果。本发明实施例提供的一种网络安全态势评估方法，能够提高网络安全态势评估的准确性。

Description

一种网络安全态势评估方法、装置、设备及存储介质

技术领域

本发明涉及网络安全技术领域，特别是涉及一种网络安全态势评估方法、装置、设备及存储介质。

背景技术

随着信息技术的广泛应用和网络空间的快速发展，计算机走进了千家万户，网络的开放、共享和互连程度越来越大，给人们的生活、工作都带来了极大的便利。但是信息化发展过程中信息安全问题日益突出，比如病毒感染、非法入侵、暴力破解和拒绝服务攻击等等都频繁发生，网络的安全性面临着极大的挑战，严重的影响了信息财产安全，所以有效地增强网络系统的安全成为当前的重要目标。目前，增强网络的安全性一般采用的是安装防火墙、入侵检测系统或者杀毒软件等措施，这些措施为网络筑起了一道安全防线。与此同时，伴随着网络的不断发展，其复杂性和不确定性因素逐步增加，这些措施只能检测已经发生的攻击行为或者异常活动，且只能从某个方面或者某个方法对网络进行独立防护，这些措施每天产生大量的警报信息，误报率高，不能够动态的调整来高效安全的保护网络，在大规模网络中很难起到有效的保护作用。

网络安全态势评估的提出能够帮助网络管理人员更好的掌握网络系统的安全运行情况，对网络中的脆弱点和潜在的威胁有更清晰的了解，从而及时有效地采取准确的防范措施。

但是，传统的网络安全态势评估忽略了网络安全态势感知指标之间的时空关联性，以及忽视了安全态势的演变规律，导致评估结果不够准确。

发明内容

本发明实施例所要解决的技术问题是：提供一种网络安全态势评估方法、装置、设备及存储介质，提高网络安全态势评估的准确性。

为了解决上述技术问题，第一方面，本发明实施例提供一种网络安全态势评估方法，包括：

获取网络安全态势指标；

通过滑动窗口对所述网络安全态势指标进行滑动处理，获得输入数据；

根据所述输入数据获得网络安全态势感知特征向量；

根据所述网络安全态势感知特征向量获得网络安全态势评估结果。

作为一个优选方案，所述根据所述输入数据获得网络安全态势感知特征向量，具体包括：

通过级联神经网络对所述输入数据进行卷积处理，获得深浅层不同维度的第一特征向量；

对所述第一特征向量进行上采样，获得尺寸相同的第二特征向量；

通过ROI pooling对所述第二特征向量进行处理，获得第三特征向量；

通过全连接层计算所述第三特征向量的各个维度的权重矩阵；

根据所述第二特征向量以及所述权重矩阵，获得所述网络安全态势感知特征向量。

作为一个优选方案，所述根据所述第二特征向量以及所述权重矩阵，获得所述网络安全态势感知特征向量，具体为：

将所述第二特征向量以及所述权重矩阵进行叉乘，获得所述网络安全态势感知特征向量。

作为一个优选方案，所述获取网络安全态势指标，具体包括：

获取预设时间的网络安全态势数据；

对所述网络安全态势数据进行正则化处理，获得所述网络安全态势指标。

作为一个优选方案，所述网络安全态势指标包括感染病毒的终端数、感染木马的主机数、被篡改的网站数、被植入后门的网站数、仿冒网页数以及应用程序漏洞数中的至少两种。

作为一个优选方案，所述根据所述网络安全态势感知特征向量获得网络安全态势评估结果，具体为：

通过支持向量机对所述网络安全态势感知特征向量进行模式识别，获得所述网络安全态势评估结果。

作为一个优选方案，所述网络安全态势评估结果包括安全、中度危险以及高度危险。

为了解决上述技术问题，第二方面，本发明实施例提供一种网络安全态势评估装置，包括：

指标获取模块，用于获取网络安全态势指标；

滑动处理模块，用于通过滑动窗口对所述网络安全态势指标进行滑动处理，获得输入数据；

向量获取模块，用于根据所述输入数据获得网络安全态势感知特征向量；

结果获取模块，用于根据所述网络安全态势感知特征向量获得网络安全态势评估结果。

为了解决上述技术问题，第三方面，本发明实施例提供一种终端设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序；

其中，所述处理器执行所述计算机程序时实现如第一方面任一项所述的网络安全态势评估方法。

为了解决上述技术问题，第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被执行时实现如第一方面任一项所述的网络安全态势评估方法。

与现有技术相比，本发明实施例提供的一种网络安全态势评估方法、装置、设备及存储介质，其有益效果在于：提出了动态性的网络安全态势评估方式，不仅考虑了网络安全态势的演化趋势，还考虑了网络安全态势指标的时空关联特征，通过滑动窗口重构数据，然后再进行特征提取，得到具有时空性的网络安全态势感知特征向量，最后再根据该网络安全态势感知特征向量获取网络安全态势评估的结果，保证评估结果能够体现出网络安全态势的演化规律以及时效性，从而提高了评估结果的准确性。

附图说明

为了更清楚地说明本发明实施例的技术特征，下面将对本发明实施例中所需要使用的附图做简单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域技术人员来说，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的一种网络安全态势评估方法的一个优选实施例的流程示意图；

图2是本发明提供的一种网络安全态势评估方法的步骤S13的一个优选实施例的流程示意图；

图3是步骤S13具体应用的一个优选实施例的流程示意图；

图4是本发明提供的一种网络安全态势评估装置的一个优选实施例的结构示意图；

图5是本发明提供的一种终端设备的一个优选实施例的结构示意图。

具体实施方式

为了对本发明的技术特征、目的、效果有更加清楚的理解，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例仅用于说明本发明，但是不用来限制本发明的保护范围。基于本发明的实施例，本领域技术人员在没有付出创造性劳动的前提下所获得的其他实施例，都应属于本发明的保护范围。

在本发明的描述中，应当理解的是，本文中的编号本身，例如“第一”、“第二”等，仅用于区分所描述的对象，不具有顺序或者技术含义，不能理解为规定或者暗示所描述的对象的重要性。

图1所示为本发明提供的一种网络安全态势评估方法的一个优选实施例的流程示意图。

如图1所示，所述方法包括如下步骤：

S11：获取网络安全态势指标；

S12：通过滑动窗口对所述网络安全态势指标进行滑动处理，获得输入数据；

S13：根据所述输入数据获得网络安全态势感知特征向量；

S14：根据所述网络安全态势感知特征向量获得网络安全态势评估结果。

需要说明的是，本发明实施例中的网络安全态势指标是具有时空性的指标，包括感染病毒的终端数、感染木马的主机数、被篡改的网站数、被植入后门的网站数、仿冒网页数以及应用程序漏洞数中的至少两种。仅仅一个时间段的网络安全态势指标没有任何的参考价值，只有以某一个周期的数据进行滑动处理，才能保证数据的时效性。其中，滑动窗口的选择需要考虑各个网络安全设备告警的时间周期、安全态势监测的频率，如果时间周期较长，则滑动窗口设置也相对较大。这些从网站、网页、主机、终端等事件信息的统计，是一个针对一个云环境的空间维度统计网络安全指标的一个体现，而每一个统计周期的特征肯定是有所区别的，也就意味着在每一个统计周期提取的网络安全态势特征具是有时空性的。而本发明通过滑动窗口，在一个统计的周期内，将上述的统计空间进行特征提取，就相当于一个时空融合的过程。

具体而言，本发明具体实施时，首先获取预设时间内的网络安全态势数据，并对所述网络安全态势数据进行处理，得到所述网络安全态势指标。然后，为了应对网络安全态势的不断变化和高度动态的特点，通过滑动窗口的机制对所述网络安全态势指标进行时空的融合，得到所述输入数据。再将所述输入数据输入网络安全态势评估模型，对所述输入数据进行相应数据处理，得到所述网络安全态势感知特征向量。最后，再根据所述网络安全态势感知特征向量判断安全等级，得到所述网络安全态势评估结果。

本发明实施例提供的一种网络安全态势评估方法，提出了动态性的网络安全态势评估方式，不仅考虑了网络安全态势的演化趋势，还考虑了网络安全态势指标的时空关联特征，通过滑动窗口重构数据，然后再进行特征提取，得到具有时空性的网络安全态势感知特征向量，最后再根据该网络安全态势感知特征向量获取网络安全态势评估的结果，保证评估结果能够体现出网络安全态势的演化规律以及时效性，从而提高了评估结果的准确性。

在一个优选实施例中，如图2所示，步骤S13具体包括：

S131：通过级联神经网络对所述输入数据进行卷积处理，获得深浅层不同维度的第一特征向量；

S132：对所述第一特征向量进行上采样，获得尺寸相同的第二特征向量；

S133：通过ROI pooling对所述第二特征向量进行处理，获得第三特征向量；

S134：通过全连接层计算所述第三特征向量的各个维度的权重矩阵；

S135：根据所述第二特征向量以及所述权重矩阵，获得所述网络安全态势感知特征向量。

其中，步骤S132具体为：

选取出尺寸最大的第一特征向量；

对剩余第一特征向量进行上采样，使得剩余第一特征向量的尺寸与尺寸最大的第一特征向量的尺寸相同。

作为一个举例，如图3所示，所述输入数据为S，所述级连神经网络包括四个卷积模块：第一个卷积模块包括Conv：3*3和MP：2*2、Conv：3*3、Conv：3*3，第二个卷积模块包括Conv：3*3和MP：3*3、Conc：3*3和MP：3*3、Conv：2*2，第三个卷积模块包括Conv：3*3和MP：2*2、Conc：3*3和MP：2*2、Conc：3*3和MP：2*2、Conv：2*2，第四个卷积模块包括Conv：3*3和MP：2*2、Conc：3*3和MP：2*2、Conc：3*3和MP：2*2、Conv：3*3。通过所述级连神经网络对所述输入数据S进行卷积处理之后，得到深浅层不同维度的第一特征向量S1、S2、S3、S4，再对S2、S3、S4进行上采样，得到S2’、S3’、S4’(S2’、S3’、S4’与S1共同组成第二特征向量)，其中，S2’、S3’、S4’的尺寸与S1的尺寸相同。然后通过ROI pooling对S1、S2’、S3’、S4’进行处理得到第三特征向量，并通过全连接层计算所述第三特征向量的各个维度的权重矩阵，需要说明的是，假如每一个维度的特征向量大小为M×N，那么每一个维度的权重矩阵也是M×N。最后再根据所述第二特征向量以及所述权重矩阵，获得所述网络安全态势感知特征向量。

其中，卷积层和卷积核的具体形式并不限于图3所示。

本实施例通过深浅层特征的语义信息来计算自适应权重，该权重能够根据网络态势评估指标的实际现状，自适应增强某些维度(高低维度指标特征)的特征或者削弱某些维度的特征，从而提升网络态势评估的自适应能力，进而提高了最终评估结果的准确性。

在一个优选实施例中，步骤S135具体为：

本实施例通过第三特征特征向量的权重矩阵与上采样后的第二特征向量进行叉乘，形成了一个能够表达不同尺寸维度特征的综合特征，形成一个综合的、具有高维语义信息和低维细节信息的特征(具体指指标之间的关联关系)，为网络安全态势评估提供了数据基础，从而提高了最终评估结果的准确性。

在一个优选实施例中，步骤S11具体包括：

获取预设时间的网络安全态势数据；

其中，正则化处理为L1正则化或者L2正则化。

本实施例对获取的安全态势数据进行正则化处理，能够避免过拟合现象。

在一个优选实施例中，步骤S14具体为：

在本实施例中，还采用时间衰减因子构建具有演化趋势、反映周期样本变化趋势的网络安全态势评估值。其中，所述网络安全态势评估值的计算公式具体为：V＝γ^n-kV_k，V_k表示k时刻各类设备的安全态势值，通过综合各类设备得到，γ取0-1范围内的数值。作为一个举例，时间周期是1个月，也就是4个周，那么n＝4；k表示第几周，如果第一周就取1，得到的数据为第一周安全V_k＝0、第二周中等危险V_k＝0.5、第三周危险V_k＝1.0、第四周高度危险V_k＝1.0。则利用时间衰减系数γ^n-k进行4周安全态势值的综合，第一周离现在最远，那么γ^4-1，同理，第四周离现在最近，γ^4-4＝1。即：将每一个周期的数据通过时间衰减进行融合，最后的V的数值在0-1之间，如果接近0，表示系统相对安全，如果接近1，表示系统高度危险，如果在0.5附近，说明系统中等危险。最后用模式识别评估出1/0的值，根据每一个颗粒度的0/1值，综合评估固定周期的网络安全态势评估值。

本实施例通过支持向量机对所述网络安全态势感知特征向量进行相似度计算，并根据相似程度判断归属等级，再根据所述归属等级获取所述网络安全态势评估结果。

进一步的，所述网络安全态势评估结果包括安全、中度危险以及高度危险。

其中，所述网络安全态势评估结果还包括有相似度计算结果以及相关描述。

本实施例可通过设置相似度与归属等级的映射关系来根据相似度获取网络安全态势评估结果。

综上所述，本发明提出一种融合深度学习和时间因素的网络安全态势评估方法，在安全态势感知指标获取的基础上，利用滑动窗口的机制，将不断变化和高度动态的网络安全态势指标进行融合，以固定的周期构造网络安全态势评估的输入样本；除此之外，输出数据则采用时间衰减指数将每一个颗粒度的网络安全态势评估值进行融合，使得网络安全态势评估值在固定周期内具有一定的时效性；然后，针对滑动窗口得出的样本数据，将其放进去级联神经网络中，通过不同大小的卷积核对样本数据进行特征提取，形成深浅维度不同的特征；最后，采用ROIpooling对数据进行处理，利用全连接层自适应计算深浅特征的权重，实现深浅特征的有效融合，并采用支持向量机对融合后的特征进行模式识别，实现网络安全态势的评估。

应当理解，本发明实现上述网络安全态势评估方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述网络安全态势评估方法的步骤。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

图4所示为本发明提供的一种网络安全态势评估装置的一个优选实施例的结构示意图，所述装置能够实现上述任一实施例所述的网络安全态势评估方法的全部流程以及达到相应的技术效果。

如图4所示，所述装置包括：

指标获取模块41，用于获取网络安全态势指标；

滑动处理模块42，用于通过滑动窗口对所述网络安全态势指标进行滑动处理，获得输入数据；

向量获取模块43，用于根据所述输入数据获得网络安全态势感知特征向量；

结果获取模块44，用于根据所述网络安全态势感知特征向量获得网络安全态势评估结果。

优选的，所述向量获取模块43具体包括：

第一特征向量获取单元，用于通过级联神经网络对所述输入数据进行卷积处理，获得深浅层不同维度的第一特征向量；

第二特征向量获取单元，用于对所述第一特征向量进行上采样，获得尺寸相同的第二特征向量；

第三特征向量获取单元，用于通过ROI pooling对所述第二特征向量进行处理，获得第三特征向量；

权重矩阵计算单元，用于通过全连接层计算所述第三特征向量的各个维度的权重矩阵；

网络安全态势感知特征向量获取单元，用于根据所述第二特征向量以及所述权重矩阵，获得所述网络安全态势感知特征向量。

优选的，所述网络安全态势感知特征向量获取单元具体用于：

优选的，所述指标获取模块41具体包括：

数据获取单元，用于获取预设时间的网络安全态势数据；

正则化处理单元，用于对所述网络安全态势数据进行正则化处理，获得所述网络安全态势指标。

优选的，所述网络安全态势指标包括感染病毒的终端数、感染木马的主机数、被篡改的网站数、被植入后门的网站数、仿冒网页数以及应用程序漏洞数中的至少两种。

优选的，所述结果获取模块44具体用于：

优选的，所述网络安全态势评估结果包括安全、中度、中度危险以及危险。

图5所示为本发明提供的一种终端设备的一个优选实施例的结构示意图，所述设备能够实现上述任一实施例所述的网络安全态势评估方法的全部流程以及达到相应的技术效果。

如图5所示，所述设备包括：

存储器51，用于存储计算机程序；

处理器52，用于执行所述计算机程序；

其中，所述存储器51中存储有计算机程序，所述计算机程序被配置为由所述处理器52执行，且被所述处理器52执行时实现如上述任一实施例所述的网络安全态势评估方法。

示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器51中，并由所述处理器52执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述终端设备中的执行过程。

所称处理器52可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器51可用于存储所述计算机程序和/或模块，所述处理器52通过运行或执行存储在所述存储器51内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述终端设备的各种功能。所述存储器51可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

需要说明的是，上述终端设备包括，但不仅限于，处理器、存储器，本领域技术人员可以理解，图5结构示意图仅仅是上述终端设备的示例，并不构成对终端设备的限定，可以包括比图示更多部件，或者组合某些部件，或者不同的部件。

以上所述，仅是本发明的优选实施方式，但本发明的保护范围并不局限于此，应当指出，对于本领域技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干等效的明显变型方式和/或等同替换方式，这些明显变型方式和/或等同替换方式也应视为本发明的保护范围。

Claims

1.一种网络安全态势评估方法，其特征在于，包括：

获取网络安全态势指标；

根据所述输入数据获得网络安全态势感知特征向量；

2.根据权利要求1所述的网络安全态势评估方法，其特征在于，所述根据所述输入数据获得网络安全态势感知特征向量，具体包括：

通过ROIpooling对所述第二特征向量进行处理，获得第三特征向量；

3.根据权利要求2所述的网络安全态势评估方法，其特征在于，所述根据所述第二特征向量以及所述权重矩阵，获得所述网络安全态势感知特征向量，具体为：

4.根据权利要求1至3任一项所述的网络安全态势评估方法，其特征在于，所述获取网络安全态势指标，具体包括：

获取预设时间的网络安全态势数据；

5.根据权利要求4所述的网络安全态势评估方法，其特征在于，所述网络安全态势指标包括感染病毒的终端数、感染木马的主机数、被篡改的网站数、被植入后门的网站数、仿冒网页数以及应用程序漏洞数中的至少两种。

6.根据权利要求1至3任一项所述的网络安全态势评估方法，其特征在于，所述根据所述网络安全态势感知特征向量获得网络安全态势评估结果，具体为：

7.根据权利要求6所述的网络安全态势评估方法，其特征在于，所述网络安全态势评估结果包括安全、中度危险以及高度危险。

8.一种网络安全态势评估装置，其特征在于，包括：

指标获取模块，用于获取网络安全态势指标；

9.一种终端设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序；

其中，所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的网络安全态势评估方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被执行时实现如权利要求1至7任一项所述的网络安全态势评估方法。