CN113852510A - 一种网络安全态势预测方法和装置、电子设备、存储介质 - Google Patents

一种网络安全态势预测方法和装置、电子设备、存储介质 Download PDF

Info

Publication number
CN113852510A
CN113852510A CN202111193268.8A CN202111193268A CN113852510A CN 113852510 A CN113852510 A CN 113852510A CN 202111193268 A CN202111193268 A CN 202111193268A CN 113852510 A CN113852510 A CN 113852510A
Authority
CN
China
Prior art keywords
safety
security
state
target network
threat detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111193268.8A
Other languages
English (en)
Other versions
CN113852510B (zh
Inventor
张越
杨飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN202111193268.8A priority Critical patent/CN113852510B/zh
Publication of CN113852510A publication Critical patent/CN113852510A/zh
Application granted granted Critical
Publication of CN113852510B publication Critical patent/CN113852510B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Signal Processing (AREA)
  • Human Resources & Organizations (AREA)
  • Economics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Development Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Marketing (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Game Theory and Decision Science (AREA)
  • Algebra (AREA)
  • Artificial Intelligence (AREA)
  • Operations Research (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)

Abstract

本发明的实施例公开一种网络安全态势预测方法和装置、电子设备、存储介质,涉及网络安全态势感知预测技术领域。本发明提供的网络安全态势预测方法包括:获取目标时间段内目标网络中的N个安全设备的安全防护状态数据,作为输入数据;将所述输入数据输入预先训练至收敛的隐马尔可夫模型中计算,得到目标网络的安全态势预测数据;其中,所述隐马尔可夫模型以目标网络的安全态势为隐含状态,以目标网络中的N个安全设备的安全防护状态为观测状态,所述N为正整数。本发明能够根据一组安全设备的安全防护状态数据,预测出未来一段时间内网络整体安全状态的变化趋势。

Description

一种网络安全态势预测方法和装置、电子设备、存储介质
技术领域
本发明涉及网络安全态势感知预测技术领域,尤其涉及一种网络安全态势预测方法和装置、电子设备、存储介质。
背景技术
现阶段的网络安全态势感知技术主要依赖于防火墙、终端防护、网络流量监测等设备的检测数据以及态势感知平台大数据分析能力和专家人工分析能力以及网络威胁情报库容量等综合元素组成,实现对整体安全形式的事前预警和事后溯源。但现有技术无法对未来一个阶段内网络整体的安全性状态进行预测,即现有技术对网络整体的安全态势未来走向的预测还有不足。
发明内容
有鉴于此,本发明实施例提供一种网络安全态势预测方法和装置、电子设备、存储介质,用于解决现有技术无法预测未来一个阶段内网络整体的安全性状态的问题。
第一方面,本发明实施例提供一种网络安全态势预测方法,包括步骤:
获取目标时间段内目标网络中的N个安全设备的安全防护状态数据,作为输入数据;
将所述输入数据输入预先训练至收敛的隐马尔可夫模型中计算,得到目标网络的安全态势预测数据;其中,所述隐马尔可夫模型以目标网络的安全态势为隐含状态,以目标网络中的N个安全设备的安全防护状态为观测状态,所述N为正整数。
结合第一方面,在第一方面的第一种实施方式中,在所述获取目标时间段内目标网络中的N个安全设备的安全防护状态数据之前,还包括以下步骤:
在第一预设时长内,按照第一采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到所述第一预设时长内,由所述目标网络的安全态势数据组成的第一集合和由所述N个安全设备的安全防护状态数据组成的第二集合;
根据所述第一集合和第二集合,计算初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵;
根据所述初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵,建立隐马尔可夫模型;
在第二预设时长内,按照第二采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到训练样本;其中,所述第一预设时长和第二预设时长相等或不相等,所述第一采集周期和第二采集周期相同或不相同;
以所述训练样本训练所述隐马尔可夫模型,判断所述隐马尔可夫模型是否满足预设收敛条件;
若所述隐马尔可夫模型未满足预设收敛条件,则返回执行所述在第二预设时长内,按照第二采集周期定期获取所述N个安全设备的安全防护状态数据的步骤;
若所述隐马尔可夫模型满足预设收敛条件,则得到收敛的隐马尔可夫模型。
结合第一方面的第一种实施方式,在第一方面的第二种实施方式中,所述按照第一/第二采集周期定期获取所述目标网络中的N个安全设备的安全防护状态数据,包括:
统计每个采集周期内,每个所述安全设备的威胁检出量;
在每个采集周期届满时,计算当前届满的采集周期内所述N个安全设备的威胁检出量的均值,作为当前届满的采集周期内安全设备的状态基线;
根据预设的防护状态分类规则,确定每个采集周期内的各安全设备安全防护状态;其中,所述防护状态分类规则与所述状态基线有关。
结合第一方面的第二种实施方式,在第一方面的第三种实施方式中,所述防护状态分类规则,包括:
将威胁检出量小于第一威胁检出量的安全设备的安全防护状态分类为第一安全状态,将威胁检出量大于或等于第一威胁检出量且小于或等于第二威胁检出量的安全设备安全防护状态分类为第二安全状态,将威胁检出量大于第二威胁检出量的安全设备安全防护状态分类为第三安全状态;
其中,所述第一威胁检出量等于所述状态基线下降预设的第一百分比,所述第二威胁检出量等于所述状态基线上浮预设的第二百分比,所述第一百分比和第二百分比相等或不相等。
结合第一方面的第一种至第三种中任一种实施方式,在第一方面的第四种实施方式中,所述目标网络的安全态势种类包括:优、中、差;
所述N个安全设备包括:防火墙、终端防护设备、网络流量检测设备、入侵检测系统、入侵防御系统。
第二方面,本发明实施例提供一种网络安全态势预测装置,包括:
获取模块,用于获取目标时间段内目标网络中的N个安全设备的安全防护状态数据,作为输入数据;
预测模块,用于将所述输入数据输入预先训练至收敛的隐马尔可夫模型中计算,得到目标网络的安全态势预测数据;其中,所述隐马尔可夫模型以目标网络的安全态势为隐含状态,以目标网络中的N个安全设备的安全防护状态为观测状态,所述N为正整数。
结合第二方面,在第二方面的第一种实施方式中,所述装置还包括:
第一采集模块,用于在第一预设时长内,按照第一采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到所述第一预设时长内,由所述目标网络的安全态势数据组成的第一集合和由所述N个安全设备的安全防护状态数据组成的第二集合;
概率矩阵计算模块,用于根据所述第一集合和第二集合,计算初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵;
建模模块,用于根据所述初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵,建立隐马尔可夫模型;
第二采集模块,用于在第二预设时长内,按照第二采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到训练样本;其中,所述第一预设时长和第二预设时长相等或不相等,所述第一采集周期和第二采集周期相同或不相同;
训练模块,用于以所述训练样本训练所述隐马尔可夫模型,判断所述隐马尔可夫模型是否满足预设收敛条件,若是,则得到收敛的隐马尔可夫模型,否则通知所述第二采集模块继续定期获取所述N个安全设备的安全防护状态数据。
结合第二方面的第一种实施方式,在第二方面的第二种实施方式中,所述第一采集模块/第二采集模块,具体用于先统计每个采集周期内,每个所述安全设备的威胁检出量;随后在每个采集周期届满时,计算当前届满的采集周期内所述N个安全设备的威胁检出量的均值,作为当前届满的采集周期内安全设备的状态基线;最后根据预设的防护状态分类规则,确定每个采集周期内的各安全设备安全防护状态;其中,所述防护状态分类规则与所述状态基线有关。
结合第二方面的第二种实施方式,在第二方面的第三种实施方式中,所述防护状态分类规则,包括:
将威胁检出量小于第一威胁检出量的安全设备的安全防护状态分类为第一安全状态,将威胁检出量大于或等于第一威胁检出量且小于或等于第二威胁检出量的安全设备安全防护状态分类为第二安全状态,将威胁检出量大于第二威胁检出量的安全设备安全防护状态分类为第三安全状态;
其中,所述第一威胁检出量等于所述状态基线下降预设的第一百分比,所述第二威胁检出量等于所述状态基线上浮预设的第二百分比,所述第一百分比和第二百分比相等或不相等。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一项实施例所述的网络安全态势预测方法。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现本发明实施例提供的任一种网络安全态势预测方法。
本发明实施例提供的网络安全态势预测方法和装置、电子设备、存储介质,通过利用隐马尔可夫模型对各个安全设备每天的威胁检出量以及目标网络安全的安全态势等数据经过时间序列分析进行建模,建立起目标网络内各安全设备每日威胁检出量与网络态势安全性的联系,最终可根据一组安全设备的安全防护状态数据,预测出未来一段时间内网络整体安全状态的变化趋势。补充了现阶段网络安全态势感知领域对网络整体安全性状态未来趋势没有具体预测结果的不足。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明提供的一种网络安全态势预测方法实施例一的流程图;
图2为本发明提供的一种网络安全态势预测方法实施例二的流程图;
图3为一个具体实例中建立的网络安全态势HMM模型示意图;
图4为本发明提供的网络安全态势预测装置实施例一的结构示意图;
图5为本发明提供的网络安全态势预测装置实施例二的结构示意图;
图6为本发明提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图对本发明实施例提供的网络安全态势预测方法进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明提供的一种网络安全态势预测方法实施例一的流程图,如图1所示,本实施例的方法可以包括以下步骤S101-S102:
S101:获取目标时间段内目标网络中的N个安全设备的安全防护状态数据,作为输入数据;
其中,N为正整数,N为目标网络中的安全设备的数量。
优选地,N=5,此步骤获取目标网络中的防火墙、终端防护设备、网络流量检测设备、入侵检测系统(Intrusion Detection System,IDS)、入侵防御系统(IntrusionPrevention System,IPS)共5个安全设备的安全防护状态数据。本实施例中,采用最能代表网络安全性的5种安全设备的安全防护状态数据作为隐马尔可夫模型的输入数据,建立了网络内各安全设备每日威胁检出量与网络态势安全性的联系,使得通过安全设备的安全防护状态数据预测网络安全态势成为可能。
本实施例中,所述目标时间段内可以以1天或者1周等作为一个采集时间段,例如:可以以2021年9月1日作为目标时间段,采集2021年9月1日内目标网络中的防火墙、终端防护设备、网络流量检测设备、IDS、IPS的安全防护状态数据,作为输入数据。
在一可选实施例中,S101先统计目标时间段内每个所述安全设备的威胁检出量,随后计算目标时间段内这些安全设备的威胁检出量的均值,作为目标时间段内这些安全设备的状态基线,随后根据预设的防护状态分类规则,确定目标时间段内各安全设备安全防护状态;其中,所述防护状态分类规则与所述状态基线有关。本实施例中,根据一段时间的多个安全设备的威胁检出量的统计值计算状态基线,以此评判目标时间段内各安全设备安全防护状态,评价准确性更高。
优选地,所述防护状态分类规则为:将威胁检出量小于第一威胁检出量的安全设备的安全防护状态分类为第一安全状态,将威胁检出量大于或等于第一威胁检出量且小于或等于第二威胁检出量的安全设备安全防护状态分类为第二安全状态,将威胁检出量大于第二威胁检出量的安全设备安全防护状态分类为第三安全状态;其中,所述第一威胁检出量等于所述状态基线下降预设的第一百分比,所述第二威胁检出量等于所述状态基线上浮预设的第二百分比,所述第一百分比和第二百分比相等或不相等。本实施例中,将安全设备的安全防护状态分为三种,通过预设第一、第二威胁检出量来划分三种安全防护状态,可以根据实际需要设置第一、第二威胁检出量的具体数值,灵活控制网络安全态势预测精度的高低。
优选地,所述第一百分比和第二百分比均等于30%。例如:假设公司网络内部署了防火墙、终端防护设备、网络流量检测设备、IDS、IPS这5种安全设备,S101中统计目标网络内防火墙、终端防护设备、网络流量检测设备、IDS、IPS等安全设备在2021年9月1日内的威胁检出量均值为5000条,根据本文定义,将高于(5000+5000*30%)=6500条检出量的安全设备在2021年9月1日内的安全防护状态定义为高安全状态,将低于(5000-5000*30%)=3500条检出量的安全设备在2021年9月1日内的安全防护状态定义为高安全状态,将3500≤威胁检出量≤6500的安全设备在2021年9月1日内的安全防护状态定义为中安全状态。经过步骤S101,可以得到目标时间段内N个安全设备的安装防护状态数据为一个N维向量,例如[高中中高低]的形式(其中“高”代表安全状态高),将该N维向量作为输入数据。
S102:将所述输入数据输入预先训练至收敛的隐马尔可夫模型中计算,得到目标网络的安全态势预测数据。
其中,所述隐马尔可夫模型以目标网络的安全态势为隐含状态,以目标网络中的N个安全设备的安全防护状态为观测状态。
优选地,目标网络的安全态势种类包括三种,例如可以将这三种状态分别命名为:优、中、差。显然,也可以采用其他命名方式对目标网络的不同安全态势进行区分。
本实施例中,通过以目标网络的安全态势为隐含状态,以目标网络中的N个安全设备的安全防护状态为观测状态建立的隐马尔可夫模型对目标网络的安全态势进行预测,提出了一种新的预测模型和预测方式,解决了现阶段网络安全态势感知领域无法对网络整体安全性状态未来趋势进行预测的问题。
图2为本发明提供的一种网络安全态势预测方法实施例二的流程图,如图2所示,本实施例的方法可以包括以下步骤S201-S208:
S201:在第一预设时长内,按照第一采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到所述第一预设时长内,由所述目标网络的安全态势数据组成的第一集合和由所述N个安全设备的安全防护状态数据组成的第二集合。
本步骤中,在第一预设时长内按照第一采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,若第一采集周期t的目标网络的安全态势数据用qt表示,目标网络的安全态势种类集合为S={优、中、差}(即网络整体安全性优、中、差三种状态),则第一集合为Q={q1、q2、……、qt},其中qt∈S={优、中、差}。若N个安全设备的安全防护状态可能的结果集为V={v1、v2、……vM},第一采集周期t的N个安全设备的安全防护状态(观察结果)用ot表示,则每个第一采集周期t对应的安全设备的安全防护状态向量ot∈V,例如,若N=5,且每个安全设备有3种安全防护状态,则可得出M=35=243,即V包括243种排列组合.
例如:若第一预设时长为30天,第一采集周期为1天(每个第一采集周期以每天的00:00-24:00划分),以1日为周期采集30天内目标网络的安全态势数据得到第一集合{中、中、中、差、中、优、差、中……}(该第一集合中共有30个安全态势数据);此外,还1日为周期采集30天内5种安全设备的安全防护状态数据,得到第二集合{[低、中、中、中、高]、[中、高、低、中、高]、[中、中、中、中、高]、[高、中、中、高、高]、[低、中、低、低、高]、[低、中、高、高、高]、[低、高、低、中、高],……}(该第二集合中共有30个5为向量,分别对应30天内每日的5种安全设备的安全防护状态)。
S202:根据所述第一集合和第二集合,计算初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵。
其中,初始状态概率矩阵π指的是第一次观测的时候目标网络的安全态势q1取状态集合S={优、中、差}中的哪一个状态的概率。π是一个一维向量,例如上一步骤所举实例:经过30天对目标网络整体的安全态势采样得到第一集合{优、优、中、差、差、中、中、中、差……},若第一集合中有12个优、18个中和10个差那么可以计算得到初始状态概率矩阵:π=[12÷30,8÷30,10÷30]=[0.4,0.27,0.33]。
状态转移概率矩阵A是一个三维矩阵,A={aij},其中aij=P(qt+1=sj|qt=si),1≤i,j≤N,是从状态si转移到sj的转移概率,满足以下条件:
Figure BDA0003302026700000091
状态转移概率矩阵A描述了目标网络整体安全性状态转移的概率,例如若第一采集周期为1天,则A描述了今天是优,那么明天是优的概率是多少?明天是中的概率的多少?明天是差的概率是多少?根据第一集合可以统计得到例如下表1的数据:
表1
0.68 0.21 0.11
0.16 0.62 0.22
0.19 0.24 0.57
根据表1,可得到转移概率矩阵为:
Figure BDA0003302026700000092
观测状态转移概率矩阵B是一个M*N维的矩阵,在上述例子中,N为3(即优中差三种网络整体安全性状态),M为243(即5种安全设备每日威胁检出量对比状态基线得到的5维集合如:[高、高、中、中、高]或[中、中、中、中、高]或[低、中、低、低、高]等等243种)。B描述了每个采集周期观测到的5种安全设备的安全防护状的5维向量对目标网络整体安全性的影响,比如得到5种安全设备的安全防护状态[高、高、中、中、高],那出现这这组集合后,目标网络的安全态势是优的概率有多少?是中的概率有多少?是差的概率有多少?依此类推可以得到每种5维集合对应的目标网络安全态势分别是优、中、差的M*N概率矩阵B。若定义B={bjk},其中bjk=P(ot=vk|qt=sj)是在状态sj下产生观察vk的概率,且满足条件:
Figure BDA0003302026700000101
例如,根据第一集合和第二集合,可得到表2所示统计数据,根据表2即可得到观测状态转移概率矩阵B。
表2
[高、高、高、高、高] 0.0003 0.0125 0.9872
………… ………… ………… …………
[低、中、低、中、高] 0.1162 0.8312 0.0526
[低、低、低、中、低] 0.9647 0.0288 0.0065
S203:根据所述初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵,建立隐马尔可夫模型。
经过S202所述过程,得到了π、A、B这三个参数,就可以根据矩阵π、A、B,以目标网络的安全态势为隐含状态,以目标网络中的N个安全设备的安全防护状态为观测状态,建立一个隐马尔可夫(HMM)模型,即λ=(A、B、π)。经过上述过程,可以得到π、A、B这三个参数,图3所示为一个具体实例中建立的网络安全态势HMM模型示意图,图3中每个箭头上所2百分比为状态转移概率值。
S204:在第二预设时长内,按照第二采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到训练样本。
其中,所述第一预设时长和第二预设时长相等或不相等,所述第一采集周期和第二采集周期相同或不相同。
例如:在第二预设时长内,按照第二采集周期定期采集一段时间的观测样本,假设得到的N个安全设备的安全防护状态数据集合为{[低、中、中、中、高]、[中、高、低、中、高]、[中、中、中、中、高]、[高、中、中、高、高]、[低、中、低、低、高]、[低、中、高、高、高]、[低、高、低、中、高]},同时得到目标网络的安全态势集合为{中、中、中、优、差、优、中},以这些数据为训练样本输入建好的隐马尔可夫模型中进行训练。
S205:以所述训练样本训练所述隐马尔可夫模型,判断所述隐马尔可夫模型是否满足预设收敛条件;若是,则执行S206,否则,返回执行S204。
S206:得到收敛的隐马尔可夫模型。
本实施例中,不断通过步骤S204采集训练样本训练隐马尔可夫模型,直至该模型收敛时停止。
S207:获取目标时间段内目标网络中的N个安全设备的安全防护状态数据,作为输入数据。
本实施例中,步骤S207的具体实施方法类似于上述步骤S101,此处不再赘述。
S208:将所述输入数据输入所述收敛的隐马尔可夫模型中计算,得到目标网络的安全态势预测数据。
本实施例中,步骤S208的具体实施方法类似于上述步骤S102,此处不再赘述。
优选地,将所述输入数据输入预先训练至收敛的隐马尔可夫模型中,利用维特比Viterbi算法进行计算。
本实施例中,建立了目标网络内各安全设备每日威胁检出量与目标网络的安全态势的联系,根据每日安全设备威胁检出量定义出每个安全设备的安全防护状态,并将各个安全设备的每日安全防护状态组合作为可观测序列,将网络态势安全性作为状态集合,通过时间序列分析得到每种安全设备状态可观测序列组合与目标网络安全态势之间的输出概率(转移概率)矩阵,通过对防火墙、终端防护设备、网络流量检测设备、IDS、IPS等安全设备的安全防护状态进行时间序列分析得到每种安全设备状态可观测序列组合与网络态势安全性之间的观测概率矩阵,建立并训练得到对应的隐马尔可夫模型(HMM),以用于对未来网络整体安全状态变化趋势进行预测。
在一可选实施例中,上述步骤S201/S204中,按照第一/第二采集周期定期获取目标网络中的N个安全设备的安全防护状态数据的方法包括如下步骤A1-A3:
步骤A1:统计每个采集周期内,每个所述安全设备的威胁检出量;
例如:若采集周期为1日,在某日得到防火墙、终端防护设备、网络流量检测设备、IDS、IPS这5种安全设备所检出的威胁数分别为:3000、4000、5000、6000、7000。
步骤A2:在每个采集周期届满时,计算当前届满的采集周期内所述N个安全设备的威胁检出量的均值,作为当前届满的采集周期内安全设备的状态基线。
例如,若某个采集周期内统计得到防火墙、终端防护设备、网络流量检测设备、IDS、IPS这5种安全设备所检出的威胁数分别为:3000、4000、5000、6000、7000,则计算出该周期内这5个安全设备的状态基线为:(3000、4000、5000、6000、7000)÷5=5000。
步骤A3:根据预设的防护状态分类规则,确定每个采集周期内的各安全设备安全防护状态;其中,所述防护状态分类规则与所述状态基线有关。
优选地,所述防护状态分类规则,包括:将威胁检出量小于第一威胁检出量的安全设备的安全防护状态分类为第一安全状态,将威胁检出量大于或等于第一威胁检出量且小于或等于第二威胁检出量的安全设备安全防护状态分类为第二安全状态,将威胁检出量大于第二威胁检出量的安全设备安全防护状态分类为第三安全状态;其中,所述第一威胁检出量等于所述状态基线下降预设的第一百分比,所述第二威胁检出量等于所述状态基线上浮预设的第二百分比,所述第一百分比和第二百分比相等或不相等。
优选地,第一安全状态为“高安全状态”,第二安全状态为“中安全状态”,第二安全状态为“低安全状态”,所述第一百分比和第二百分比均等于30%。若某一采集周期内5种安全设备所检出的威胁数分别为:3000、4000、5000、6000、7000,上一步骤计算出某个采集周期内安全设备的状态基线为5000,则本步骤中得到这5种安全设备在该采集周期内的安全防护状态为:高安全状态、中安全状态、中安全状态、中安全状态、低安全状态。显然,也可以根据安全防控需要设置第一百分比和第二百分比的具体数值,此处不再赘述。
对应于本发明实施例提供网络安全态势预测方法,本发明实施例还提供一种网络安全态势预测装置,如图4所示,该装置包括:
获取模块11,用于获取目标时间段内目标网络中的N个安全设备的安全防护状态数据,作为输入数据;
预测模块12,用于将所述输入数据输入预先训练至收敛的隐马尔可夫模型中计算,得到目标网络的安全态势预测数据;其中,所述隐马尔可夫模型以目标网络的安全态势为隐含状态,以目标网络中的N个安全设备的安全防护状态为观测状态,所述N为正整数。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图5为本发明提供的网络安全态势预测装置实施例二的结构示意图。参看图5,本实施例是在图4所示实施例一的结构的基础上,进一步地,所述装置还包括:
第一采集模块13,用于在第一预设时长内,按照第一采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到所述第一预设时长内,由所述目标网络的安全态势数据组成的第一集合和由所述N个安全设备的安全防护状态数据组成的第二集合;
概率矩阵计算模块14,用于根据所述第一集合和第二集合,计算初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵;
建模模块15,用于根据所述初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵,建立隐马尔可夫模型;
第二采集模块16,用于在第二预设时长内,按照第二采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到训练样本;其中,所述第一预设时长和第二预设时长相等或不相等,所述第一采集周期和第二采集周期相同或不相同;
训练模块17,用于以所述训练样本训练所述隐马尔可夫模型,判断所述隐马尔可夫模型是否满足预设收敛条件,若是,则得到收敛的隐马尔可夫模型,否则通知所述第二采集模块继续定期获取所述N个安全设备的安全防护状态数据。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在一可选实施例中,第一采集模块13/第二采集模块16,具体用于先统计每个采集周期内,每个所述安全设备的威胁检出量;随后在每个采集周期届满时,计算当前届满的采集周期内所述N个安全设备的威胁检出量的均值,作为当前届满的采集周期内安全设备的状态基线;最后根据预设的防护状态分类规则,确定每个采集周期内的各安全设备安全防护状态;其中,所述防护状态分类规则与所述状态基线有关。
优选地,所述防护状态分类规则,包括:将威胁检出量小于第一威胁检出量的安全设备的安全防护状态分类为第一安全状态,将威胁检出量大于或等于第一威胁检出量且小于或等于第二威胁检出量的安全设备安全防护状态分类为第二安全状态,将威胁检出量大于第二威胁检出量的安全设备安全防护状态分类为第三安全状态;其中,所述第一威胁检出量等于所述状态基线下降预设的第一百分比,所述第二威胁检出量等于所述状态基线上浮预设的第二百分比,所述第一百分比和第二百分比相等或不相等。
本发明实施例还提供一种电子设备。图6为本发明提供的一种电子设备的结构示意图,可以实现本发明图1或图2所示实施例的流程,如图5所示,上述电子设备可以包括:壳体21、处理器22、存储器23、电路板24和电源电路25,其中,电路板24安置在壳体21围成的空间内部,处理器22和存储器23设置在电路板24上;电源电路25,用于为上述电子设备的各个电路或器件供电;存储器23用于存储可执行程序代码;处理器22通过读取存储器23中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的网络安全态势预测方法。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放模块(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种网络安全态势预测方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的防护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的防护范围之内。因此,本发明的防护范围应以权利要求的防护范围为准。

Claims (11)

1.一种网络安全态势预测方法,其特征在于,包括步骤:
获取目标时间段内目标网络中的N个安全设备的安全防护状态数据,作为输入数据;
将所述输入数据输入预先训练至收敛的隐马尔可夫模型中计算,得到目标网络的安全态势预测数据;其中,所述隐马尔可夫模型以目标网络的安全态势为隐含状态,以目标网络中的N个安全设备的安全防护状态为观测状态,所述N为正整数。
2.如权利要求1所述的网络安全态势预测方法,其特征在于,在所述获取目标时间段内目标网络中的N个安全设备的安全防护状态数据之前,还包括以下步骤:
在第一预设时长内,按照第一采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到所述第一预设时长内,由所述目标网络的安全态势数据组成的第一集合和由所述N个安全设备的安全防护状态数据组成的第二集合;
根据所述第一集合和第二集合,计算初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵;
根据所述初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵,建立隐马尔可夫模型;
在第二预设时长内,按照第二采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到训练样本;其中,所述第一预设时长和第二预设时长相等或不相等,所述第一采集周期和第二采集周期相同或不相同;
以所述训练样本训练所述隐马尔可夫模型,判断所述隐马尔可夫模型是否满足预设收敛条件;
若所述隐马尔可夫模型未满足预设收敛条件,则返回执行所述在第二预设时长内,按照第二采集周期定期获取所述N个安全设备的安全防护状态数据的步骤;
若所述隐马尔可夫模型满足预设收敛条件,则得到收敛的隐马尔可夫模型。
3.如权利要求2所述的网络安全态势预测方法,其特征在于,所述按照第一/第二采集周期定期获取目标网络中的N个安全设备的安全防护状态数据,包括:
统计每个采集周期内,每个所述安全设备的威胁检出量;
在每个采集周期届满时,计算当前届满的采集周期内所述N个安全设备的威胁检出量的均值,作为当前届满的采集周期内安全设备的状态基线;
根据预设的防护状态分类规则,确定每个采集周期内的各安全设备安全防护状态;其中,所述防护状态分类规则与所述状态基线有关。
4.如权利要求3所述的网络安全态势预测方法,其特征在于,所述防护状态分类规则,包括:
将威胁检出量小于第一威胁检出量的安全设备的安全防护状态分类为第一安全状态,将威胁检出量大于或等于第一威胁检出量且小于或等于第二威胁检出量的安全设备安全防护状态分类为第二安全状态,将威胁检出量大于第二威胁检出量的安全设备安全防护状态分类为第三安全状态;
其中,所述第一威胁检出量等于所述状态基线下降预设的第一百分比,所述第二威胁检出量等于所述状态基线上浮预设的第二百分比,所述第一百分比和第二百分比相等或不相等。
5.如权利要求1-4任一项所述的网络安全态势预测方法,其特征在于,所述目标网络的安全态势种类包括:优、中、差;
所述N个安全设备包括:防火墙、终端防护设备、网络流量检测设备、入侵检测系统、入侵防御系统。
6.一种网络安全态势预测装置,其特征在于,包括:
获取模块,用于获取目标时间段内目标网络中的N个安全设备的安全防护状态数据,作为输入数据;
预测模块,用于将所述输入数据输入预先训练至收敛的隐马尔可夫模型中计算,得到目标网络的安全态势预测数据;其中,所述隐马尔可夫模型以目标网络的安全态势为隐含状态,以目标网络中的N个安全设备的安全防护状态为观测状态,所述N为正整数。
7.如权利要求6所述的网络安全态势预测装置,其特征在于,所述装置还包括:
第一采集模块,用于在第一预设时长内,按照第一采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到所述第一预设时长内,由所述目标网络的安全态势数据组成的第一集合和由所述N个安全设备的安全防护状态数据组成的第二集合;
概率矩阵计算模块,用于根据所述第一集合和第二集合,计算初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵;
建模模块,用于根据所述初始状态概率矩阵、状态转移概率矩阵、观测状态转移概率矩阵,建立隐马尔可夫模型;
第二采集模块,用于在第二预设时长内,按照第二采集周期定期获取目标网络的安全态势数据和目标网络中的N个安全设备的安全防护状态数据,得到训练样本;其中,所述第一预设时长和第二预设时长相等或不相等,所述第一采集周期和第二采集周期相同或不相同;
训练模块,用于以所述训练样本训练所述隐马尔可夫模型,判断所述隐马尔可夫模型是否满足预设收敛条件,若是,则得到收敛的隐马尔可夫模型,否则通知所述第二采集模块继续定期获取所述N个安全设备的安全防护状态数据。
8.如权利要求7所述的网络安全态势预测装置,其特征在于,所述第一采集模块/第二采集模块,具体用于先统计每个采集周期内,每个所述安全设备的威胁检出量;随后在每个采集周期届满时,计算当前届满的采集周期内所述N个安全设备的威胁检出量的均值,作为当前届满的采集周期内安全设备的状态基线;最后根据预设的防护状态分类规则,确定每个采集周期内的各安全设备安全防护状态;其中,所述防护状态分类规则与所述状态基线有关。
9.如权利要求8所述的网络安全态势预测装置,其特征在于,所述防护状态分类规则,包括:
将威胁检出量小于第一威胁检出量的安全设备的安全防护状态分类为第一安全状态,将威胁检出量大于或等于第一威胁检出量且小于或等于第二威胁检出量的安全设备安全防护状态分类为第二安全状态,将威胁检出量大于第二威胁检出量的安全设备安全防护状态分类为第三安全状态;
其中,所述第一威胁检出量等于所述状态基线下降预设的第一百分比,所述第二威胁检出量等于所述状态基线上浮预设的第二百分比,所述第一百分比和第二百分比相等或不相等。
10.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-5中任一项所述的网络安全态势预测方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1至5中任一项所述的网络安全态势预测方法。
CN202111193268.8A 2021-10-13 2021-10-13 一种网络安全态势预测方法和装置、电子设备、存储介质 Active CN113852510B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111193268.8A CN113852510B (zh) 2021-10-13 2021-10-13 一种网络安全态势预测方法和装置、电子设备、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111193268.8A CN113852510B (zh) 2021-10-13 2021-10-13 一种网络安全态势预测方法和装置、电子设备、存储介质

Publications (2)

Publication Number Publication Date
CN113852510A true CN113852510A (zh) 2021-12-28
CN113852510B CN113852510B (zh) 2024-03-05

Family

ID=78978333

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111193268.8A Active CN113852510B (zh) 2021-10-13 2021-10-13 一种网络安全态势预测方法和装置、电子设备、存储介质

Country Status (1)

Country Link
CN (1) CN113852510B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115296876A (zh) * 2022-07-26 2022-11-04 北京科能腾达信息技术股份有限公司 一种自适应拟态技术的网络安全预警系统
CN117221009A (zh) * 2023-11-07 2023-12-12 国家工业信息安全发展研究中心 网络安全态势预测方法、装置、服务器及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103049643A (zh) * 2012-11-22 2013-04-17 无锡南理工科技发展有限公司 基于风险熵和马尔可夫链方法的移动自组网安全风险评估方法
CN106600138A (zh) * 2016-12-09 2017-04-26 贵州大学 一种二次设备风险评估方法
US20190108330A1 (en) * 2017-10-10 2019-04-11 The Florida International University Board Of Trustees Context-aware intrusion detection method for smart devices with sensors
CN112422524A (zh) * 2020-10-29 2021-02-26 中国铁道科学研究院集团有限公司通信信号研究所 一种多模型综合决策的列控系统入侵检测方法
CN112995115A (zh) * 2019-12-17 2021-06-18 中国移动通信集团河南有限公司 一种物联网安全态势感知方法及装置
US20210211472A1 (en) * 2018-06-20 2021-07-08 Tugboat Logic, Inc. Usage-Tracking Of Information Security (InfoSec) Entities For Security Assurance

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103049643A (zh) * 2012-11-22 2013-04-17 无锡南理工科技发展有限公司 基于风险熵和马尔可夫链方法的移动自组网安全风险评估方法
CN106600138A (zh) * 2016-12-09 2017-04-26 贵州大学 一种二次设备风险评估方法
US20190108330A1 (en) * 2017-10-10 2019-04-11 The Florida International University Board Of Trustees Context-aware intrusion detection method for smart devices with sensors
US20210211472A1 (en) * 2018-06-20 2021-07-08 Tugboat Logic, Inc. Usage-Tracking Of Information Security (InfoSec) Entities For Security Assurance
CN112995115A (zh) * 2019-12-17 2021-06-18 中国移动通信集团河南有限公司 一种物联网安全态势感知方法及装置
CN112422524A (zh) * 2020-10-29 2021-02-26 中国铁道科学研究院集团有限公司通信信号研究所 一种多模型综合决策的列控系统入侵检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张晴: "《基于隐马尔可夫模型的网络安全态势预测方法研究》", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》, pages 15 - 44 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115296876A (zh) * 2022-07-26 2022-11-04 北京科能腾达信息技术股份有限公司 一种自适应拟态技术的网络安全预警系统
CN117221009A (zh) * 2023-11-07 2023-12-12 国家工业信息安全发展研究中心 网络安全态势预测方法、装置、服务器及存储介质
CN117221009B (zh) * 2023-11-07 2024-02-20 国家工业信息安全发展研究中心 网络安全态势预测方法、装置、服务器及存储介质

Also Published As

Publication number Publication date
CN113852510B (zh) 2024-03-05

Similar Documents

Publication Publication Date Title
CN113852510B (zh) 一种网络安全态势预测方法和装置、电子设备、存储介质
CN110166344B (zh) 一种身份标识识别方法、装置以及相关设备
CN113412607B (zh) 内容推送方法、装置、移动终端及存储介质
CN112329895A (zh) 一种具有窃电嫌疑的用户的识别方法及装置
CN107451249B (zh) 事件发展趋势的预测方法及装置
CN112214677A (zh) 一种兴趣点推荐方法、装置、电子设备及存储介质
CN115174250A (zh) 网络资产安全评估方法、装置、电子设备及存储介质
CN113114770B (zh) 用户识别方法、电子设备和计算机可读存储介质
CN110196805B (zh) 数据处理方法、装置、存储介质和电子装置
CN113050782B (zh) 画像构建方法、装置、终端及存储介质
CN116795628B (zh) 终端设备的功耗处理方法、终端设备以及可读存储介质
CN110769003B (zh) 一种网络安全预警的方法、系统、设备及可读存储介质
CN111915378A (zh) 用户属性预测方法、装置、计算机设备及存储介质
CN113011503B (zh) 一种电子设备的数据取证方法、存储介质及终端
CN116091133A (zh) 一种目标对象属性的识别方法、装置及存储介质
CN114238062A (zh) 板卡烧录装置性能分析方法、装置、设备及可读存储介质
CN113254788A (zh) 一种基于大数据的推荐方法、系统及可读存储介质
CN116257791B (zh) 设备集合确定方法、电子设备和计算机可读存储介质
CN113656275B (zh) 用户活跃度预测方法、装置、电子设备和存储介质
CN115624755B (zh) 一种数据处理方法、装置及计算机设备、存储介质
CN111400508B (zh) 必要属性判定方法、相关设备及可读存储介质
CN117056239B (zh) 测试功能使用特征的确定方法、装置、设备及存储介质
CN106373013A (zh) 协作标准调整方法和协作标准调整装置
CN116015926A (zh) 一种检测方法、装置及电子设备
CN116541611A (zh) 一种面向社交网的网络传销团体检测方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant