CN114021140B

CN114021140B - 网络安全态势的预测方法、装置及计算机可读存储介质

Info

Publication number: CN114021140B
Application number: CN202111224276.4A
Authority: CN
Inventors: 关雨呈; 陈桂耀; 冯智强
Original assignee: Shenzhen Rongan Networks Technology Co ltd
Current assignee: Shenzhen Rongan Networks Technology Co ltd
Priority date: 2021-10-20
Filing date: 2021-10-20
Publication date: 2022-10-21
Anticipated expiration: 2041-10-20
Also published as: CN114021140A

Abstract

本发明公开了一种网络安全态势的预测方法、装置及计算机可读存储介质，所述方法包括：获取第一预设时间段内待预测网络的待预测节点数据，所述待预测节点数据包括所述待预测网络中每个待预测网络节点的数据；根据长短期记忆网络预测模型对所述待预测节点数据进行预测，得到每个所述待预测网络节点在目标时间的第一特征信息；根据图注意力预测模型以及所述待预测网络的邻接矩阵信息，对每个所述待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的网络安全态势，所述相邻网络节点为与所述待预测网络节点相邻的网络节点。本发明能够提升预网络节点的安全态势的准确性。

Description

网络安全态势的预测方法、装置及计算机可读存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络安全态势的预测方法、装置及计算机可读存储介质。

背景技术

为了预测网络中网络节点的安全态势，目前，现有技术基于卷积神经网络进行网络安全态势的预测。发明人发现，上述现有技术没有充分考虑时间维度和空间维度，存在预测网络节点的安全态势准确性低的问题。因此，本发明所要解决的技术问题为：如何提升预网络节点的安全态势的准确性。

发明内容

本发明的主要目的在于提供一种网络安全态势的预测方法、装置及计算机可读存储介质，旨在解决如何提升预网络节点的安全态势的准确性的技术问题。

为实现上述目的，本发明提供一种网络安全态势的预测方法，所述方法包括：

获取第一预设时间段内待预测网络的待预测节点数据，所述待预测节点数据包括所述待预测网络中每个待预测网络节点的数据；

根据长短期记忆网络预测模型对所述待预测节点数据进行预测，得到每个所述待预测网络节点在目标时间的第一特征信息；

根据图注意力预测模型以及所述待预测网络的邻接矩阵信息，对每个所述待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的网络安全态势，所述相邻网络节点为与所述待预测网络节点相邻的网络节点。

可选地，所述根据长短期记忆网络预测模型对所述待预测节点数据进行预测，得到每个所述待预测网络节点在目标时间的第一特征信息的步骤包括：

将所述待预测网络节点的三维矩阵数据输入至所述长短期记忆网络预测模型中，得到所述长短期记忆网络输出的二维矩阵数据；

根据所述二维矩阵数据，预测每个所述待预测网络节点在所述目标时间的所述第一特征信息；

其中，所述待预测节点数据为所述三维矩阵数据，所述三维矩阵数据包括每个所述待预测网络节点的第一信息容量、每个所述待预测网络节点的节点信息以及所述待预测网络节点的数量，所述二维矩阵数据包括所述待预测网络节点的数量以及每个所述待预测网络节点对应的第二信息容量。

可选地，所述根据图注意力预测模型以及所述待预测网络的邻接矩阵信息，对每个所述待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的网络安全态势的步骤包括：

根据所述待预测网络的所述邻接矩阵信息，确定每个所述待预测网络节点对应的所述相邻网络节点；

确定每个所述相邻网络节点的第一特征信息；

根据所述图注意力预测模型，对每个所述待预测网络节点的所述第一特征信息以及所述相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的所述网络安全态势。

可选地，所述获取第一预设时间段内待预测网络的待预测节点数据的步骤包括：

获取所述第一预设时间段内所述待预测网络中所有所述待预测网络节点的一维向量数据，所述一维向量数据包括符号型数据，所述符号型数据包括协议类型、服务类型以及网络连接状态；

采用独热编码将所述符号型数据转换为目标编码数据；

根据所述目标编码数据生成时间序列数据，将所述时间序列数据作为所述待预测节点数据。

可选地，所述方法还包括：

获取第二预设时间段内预设网络中每个预设网络节点的原始待训练节点数据；

对所述原始待训练节点数据进行处理，得到目标待训练节点数据，所述目标待训练数据的矩阵形式为三维矩阵；

采用所述目标待训练数据对长短期记忆网络训练模型进行训练，得到所述长短期记忆网络预测模型；

采用所述长短期记忆网络预测模型对所述目标待训练数据进行预测，得到所述预设网络中每个所述预设网络节点对应的第二特征信息，所述第二特征信息包括每个所述预设网络节点的第一态势信息；

根据所述第二特征信息对图注意力训练模型进行训练，得到所述图注意力预测模型。

可选地，所述根据所述第二特征信息对图注意力训练模型进行训练，得到所述图注意力预测模型的步骤包括：

将所述第二特征信息以及所述预设网络的预设邻接矩阵信息输入至所述图注意力训练模型中，得到所述图注意力训练模型输出的每个所述预设网络节点的第二态势信息；

根据所述第二态势信息、预设实际态势信息以及交叉熵损失函数，检测所述图注意力训练模型是否收敛；

在所述图注意力训练模型未收敛时，对所述图注意力模型进行反向传播；

在所述图注意力训练模型收敛时，将所述图注意力训练模型保存为所述图注意力预测模型。

可选地，所述根据图注意力预测模型以及所述待预测网络的邻接矩阵信息，对每个所述待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的网络安全态势的步骤之后，还包括：

输出所述网络安全态势，所述网络安全态势包括正常态势Normal、分布式拒绝服务攻击DDoS、远程到本地攻击R2L、提权攻击U2R或者端口攻击PROBING。

此外，为实现上述目的，本发明还提供一种网络安全态势的预测装置，所述网络安全态势的预测装置包括：

获取模块，用于获取第一预设时间段内待预测网络的待预测节点数据，所述待预测节点数据包括所述待预测网络中每个待预测网络节点的数据；

长短期记忆网络预测模块，用于根据长短期记忆网络预测模型对所述待预测节点数据进行预测，得到每个所述待预测网络节点在目标时间的第一特征信息；

图注意力预测模块，用于根据图注意力预测模型以及所述待预测网络的邻接矩阵信息，对每个所述待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的网络安全态势，所述相邻网络节点为与所述待预测网络节点相邻的网络节点。

此外，为实现上述目的，本发明还提供一种网络安全态势的预测装置，所述网络安全态势的预测装置包括存储器、处理器及存储在所述存储器上并在所述处理器上运行的网络安全态势的预测程序，所述网络安全态势的预测程序被所述处理器执行时实现上述任一项所述的网络安全态势的预测方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有网络安全态势的预测程序，所述网络安全态势的预测程序被处理器执行时实现上述任一项所述的网络安全态势的预测方法的步骤。

本发明实施例提出的一种网络安全态势的预测方法、装置及计算机可读存储介质，通过获取第一预设时间段内待预测网络的待预测节点数据，待预测节点数据包括待预测网络中每个待预测网络节点的数据；根据长短期记忆网络预测模型对待预测节点数据进行预测，得到每个待预测网络节点在目标时间的第一特征信息；根据图注意力预测模型以及待预测网络的邻接矩阵信息，对每个待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个待预测网络节点的网络安全态势，相邻网络节点为与待预测网络节点相邻的网络节点。不仅考虑了待预测网络节点的待预测节点数据在时间上的连续性，同时充分考虑了相邻网络节点之间的数据传播可能造成的网络安全的风险，从而能够更准确地初始化风险程度，更有效地分析风险传播的过程，提高预测网络节点的安全态势的准确性。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的装置结构示意图；

图2为本发明网络安全态势的预测方法第一实施例的流程示意图；

图3为本发明网络安全态势的预测方法第二实施例的流程示意图；

图4为本发明网络安全态势的预测方法第三实施例的流程示意图；

图5为本发明网络安全态势的预测方法第四实施例的流程示意图；

图6为本发明网络安全态势的预测方法第五实施例的流程示意图；

图7为本发明实施例涉及的网络安全态势的预测装置一实施例的架构示意图。

本发明目的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，图1是本发明实施例方案涉及的硬件运行环境的装置结构示意图。

如图1所示，该装置可以包括：处理器1001，例如CPU，存储器1002，通信总线1003。其中，通信总线1003用于实现这些组件之间的连接通信。存储器1002可以是高速RAM存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1002可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的装置结构并不构成对装置的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1002中可以包括网络安全态势的预测程序。

在图1所示的装置中，处理器1001可以用于调用存储器1002中存储的网络安全态势的预测程序，并执行以下操作：

进一步地，处理器1001可以调用存储器1002中存储的网络安全态势的预测程序，还执行以下操作：

确定每个所述相邻网络节点的第一特征信息；

采用独热编码将所述符号型数据转换为目标编码数据；

参照图2，本发明第一实施例提供一种网络安全态势的预测方法，所述网络安全态势的预测方法包括：

步骤S10，获取第一预设时间段内待预测网络的待预测节点数据，所述待预测节点数据包括所述待预测网络中每个待预测网络节点的数据；

在本实施例中，执行主体为网络安全态势的预测装置，该装置具体可以是各类计算机设备，比如服务器以及与待预测网络节点通信连接的终端设备等。第一预设时间段为预先设定的，用于限定待预测节点数据所在时间的时间段。待预测网络为需要预测网络安全态势的网络。待预测网络节点为需要预测网络安全态势的网络节点。待预测网络节点比如为路由器、服务器、防火墙以及主机等。待预测节点数据为待预测网络节点的数据。

可选地，第一预设时间段为连续时间点构成的时间段。

可选地，待预测节点数据包括待预测节点的硬件信息和软件信息，硬件信息比如硬件标识、设备类型等，软件信息比如网络连接状态、协议类型以及服务类型等。

可选地，所述待预测节点数据为基于时间序列的节点数据。

步骤S20，根据长短期记忆网络预测模型对所述待预测节点数据进行预测，得到每个所述待预测网络节点在目标时间的第一特征信息；

长短期记忆网络(Long Short-Term Memory，LSTM)预测模型为通过对LSTM训练模型进行训练得到的，用于预测网络节点的网络安全态势的模型。LSTM模型能够学习一个目标在长期时间内的特征规律。目标时间为所要预测的时间。第一特征信息为基于LSTM预测模型预测得到的网络节点的网络安全态势信息。

可选地，第一特征信息包括正常态势Normal、分布式拒绝服务攻击DDoS(Distributed Denial of Service)、远程到本地攻击R2L(Remote to Login)、提权攻击U2R(User to Root)以及端口攻击PROBING。

可选地，长短期记忆网络预测模型在对所有待预测网络节点的待预测节点数据进行预测的过程中，处理一个时间序列中的所有节点数据，得到每个待预测网络节点在最后一个时间的第一特征信息。

步骤S30，根据图注意力预测模型以及所述待预测网络的邻接矩阵信息，对每个所述待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的网络安全态势，所述相邻网络节点为与所述待预测网络节点相邻的网络节点。

图注意力预测模型为对图注意力训练模型进行训练得到的，用于预测网络节点的网络安全态势的模型。图注意力模型能够学习一个网络节点自身的信息以及该网络节点与其它所有相邻节点之间的关系。邻接矩阵信息根据待预测网络的网络拓扑结构得到。

可选地，邻接矩阵信息包括待预测网络的节点信息和边信息。比如，待预测网络中包含n个待预测网络节点，则邻接矩阵的大小为n×n，若两个待预测网络节点之间存在网络连接，则对应位置标记为1，否则对应位置标记为0。

其中，与采用卷积神经网络进行网络安全态势的预测相比较，图神经网络可以将实际数据作为输入，而不是将原始随机数据作为输入，因此可以将实际的网络节点数据初始化处理后作为图神经网络的输入，可以更快地初始化网络节点的风险程度，并可以更快地形成准确的网络风险传播模型。

图神经网络的结构与网络拓扑图中的网络节点相似，所以在分析风险传播的过程中，图神经网络针对特定的网络结构的数据有更好的解释性。同时，图神经网络将事物表示为对象而不是像素模式，不会轻易被噪音干扰。因此，它的网络结构不容易受到对抗性攻击的干扰，可以更加精确地量化潜在的风险。并且，采用图神经网络结合注意力机制，对数据进行注意力预处理，只关注特定有用的网络节点信息，能够解决图神经网络不好训练的问题。

图神经网络有利于对网络拓扑图中的网络节点的信息融合和分析，在构建网络风险传播模型的过程中，采用注意力机制区分不同网络节点之间的不同影响程度，通过图神经网络模型融合网络拓扑中的节点信息，分析风险传播过程并预测潜在的风险。另外，图神经网络结构本身的特性优势是可以模拟网络拓扑中的相似节点风险传播和模拟相似节点风险传播。

因此，采用上述方式，结合了LSTM技术以及图注意力网络模型。一方面，通过LSTM技术处理同一个网络节点在时间序列下的数据信息，并进行有效地信息融合；另一方面，通过结合图注意力神经网络处理待预测网络中不同节点之间的数据信息，从而处理网络节点之间的关联特征，预测网络节点的网络安全态势。因此能够从时间和空间两个维度处理网络中的信息，达到更高的预测准确性。

在一实施例中，所述步骤S30之后，还包括：

输出所述网络安全态势，所述网络安全态势为正常态势Normal、分布式拒绝服务攻击DDoS、远程到本地攻击R2L、提权攻击U2R或者端口攻击PROBING。

在本实施例中，通过获取第一预设时间段内待预测网络的待预测节点数据，待预测节点数据包括待预测网络中每个待预测网络节点的数据；根据长短期记忆网络预测模型对待预测节点数据进行预测，得到每个待预测网络节点在目标时间的第一特征信息；根据图注意力预测模型以及待预测网络的邻接矩阵信息，对每个待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个待预测网络节点的网络安全态势，相邻网络节点为与待预测网络节点相邻的网络节点。不仅考虑了待预测网络节点的待预测节点数据在时间上的连续性，同时充分考虑了相邻网络节点之间的数据传播可能造成的网络安全的风险，从而能够更准确地初始化风险程度，更有效地分析风险传播的过程，提高预测网络节点的安全态势的准确性。

参照图3，本发明第二实施例提供一种网络安全态势的预测方法，基于上述图2所示的第一实施例，所述步骤S20包括：

步骤S21，将所述待预测网络节点的三维矩阵数据输入至所述长短期记忆网络预测模型中，得到所述长短期记忆网络输出的二维矩阵数据；

三维矩阵数据是由所有待预测网络节点的节点信息构成的数据，LSTM预测模型可以一次处理所有节点信息，因此所有节点在同一时间序列中的信息被保存为一个三维矩阵大小(m×n×i)，m表示一个网络节点在预设的连续时间段内的信息按照时间序列排列的行数，n表示一个网络节点在某一时刻的信息大小容量，该容量可以用信息的维度表示，i表示待预测网络中的待预测网络节点的数量。第一信息容量为网络节点在被LSTM处理前某一时刻的信息容量。上述“n”表示第一信息容量。

可选地，LSTM技术对事件发生前的网络节点信息和当前网络节点信息进行数据融合分析。在处理待预测网络中每一个网络节点的信息之后，输入至LSTM中时，LSTM预测模型需要一次处理所有网络节点的信息，因此所有节点的信息被保存为一个三维矩阵，并输入至LSTM预测模型中，得到最新的网络节点的态势信息。

可选地，将最后时刻的网络节点的标签作为第一特征信息的标签，标签由五维组成，五维分别指Normal、DDos、R2L、U2R、PROBING。

可选地，LSTM预测模型输出的数据为一个i×j的二维矩阵，i表示待预测网络中待预测网络节点的数量，j表示第i个网络节点经过LSTM处理后的最新的网络态势信息容量。其中，LSTM技术是处理一个网络节点在一段时序上的特征，一个网络节点在时序中的二维特征可以经LSTM技术处理后得到一个最终状态的一维特征，因此得到所有的网络节点的最终状态的特征就是一个i×j二维矩阵。可选地，在增加了5维标签的情况下，j＝n+5。5维标签指Normal、DDos、R2L、U2R、PROBING。

步骤S22，根据所述二维矩阵数据，预测每个所述待预测网络节点在所述目标时间的所述第一特征信息；

第二信息容量为网络节点经过LSTM处理后的最新态势的信息容量。

二维矩阵数据中包括网络安全态势的标签信息，标签信息比如为Normal、DDos、R2L、U2R、PROBING，通过标签信息可以确定第一特征信息。

在本实施例中，通过将待预测网络节点的三维矩阵数据输入至长短期记忆网络预测模型中，得到长短期记忆网络输出的二维矩阵数据；根据二维矩阵数据，预测每个待预测网络节点在目标时间的第一特征信息；其中，待预测节点数据为三维矩阵数据，三维矩阵数据包括每个待预测网络节点的第一信息容量、每个待预测网络节点的节点信息以及待预测网络节点的数量，二维矩阵数据包括待预测网络节点的数量以及每个待预测网络节点对应的第二信息容量。通过LSTM技术处理同一个网络节点在时间序列下的数据信息，并进行有效地信息融合，从而能够在时间维度上得到准确的预测网络节点的网络安全态势。通过结合图注意力神经网络处理待预测网络中不同节点之间的数据信息，从而处理网络节点之间的关联特征，预测网络节点的网络安全态势。因此能够从时间和空间两个维度处理网络中的信息，达到更高的预测准确性。

参照图4，本发明第三实施例提供一种网络安全态势的预测方法，基于上述图2所示的实施例，所述步骤S30包括：

步骤S31，根据所述待预测网络的所述邻接矩阵信息，确定每个所述待预测网络节点对应的所述相邻网络节点；

将邻接矩阵信息以及在目标时间的第一特征信息输入至图注意力预测模型中，图注意力预测模型的输出信息即为网络安全态势。

其中，图注意力预测模型在针对每个待预测网络节点确定其网络安全态势时，还需要参考其相邻网络节点的第一特征信息，因此需要确定每个待预测网络节点的相邻网络节点。图注意力预测模型根据邻接矩阵信息确定每个待预测网络节点的相邻网络节点。

步骤S32，确定每个所述相邻网络节点的第一特征信息；

在确定相邻网络节点后，确定相邻网络节点的第一特征信息。

步骤S33，根据所述图注意力预测模型，对每个所述待预测网络节点的所述第一特征信息以及所述相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的所述网络安全态势。

将每个待预测网络节点的第一特征信息以及邻接矩阵信息输入至图注意力预测模型中后，图注意力预测模型每个网络节点自身的特征以及该网络节点相邻节点的特征之间关系进行融合分析，处理后得到每个网络节点的标签类型，并根据标签类型确定网络安全态势。

在本实施例中，通过根据待预测网络的邻接矩阵信息，确定每个待预测网络节点对应的相邻网络节点；确定每个相邻网络节点的第一特征信息；根据图注意力预测模型，对每个待预测网络节点的第一特征信息以及相邻网络节点的第一特征信息进行预测，得到每个待预测网络节点的网络安全态势。图神经网络有利于对网络拓扑图中的网络节点的信息融合和分析，在构建网络风险传播模型的过程中，采用注意力机制区分不同网络节点之间的不同影响程度，通过图神经网络模型融合网络拓扑中的节点信息，分析风险传播过程并预测潜在的风险。

参照图5，本发明第四实施例提供一种网络安全态势的预测方法，基于上述图2所示的实施例，所述步骤S10包括：

步骤S11，获取所述第一预设时间段内所述待预测网络中所有所述待预测网络节点的一维向量数据，所述一维向量数据包括符号型数据，所述符号型数据包括协议类型、服务类型以及网络连接状态；

可选地，每个不同待预测网络节点在某一时刻下的数据信息用长度相同的一维向量表示。

步骤S12，采用独热编码将所述符号型数据转换为目标编码数据；

对待预测网络节点的一维向量数据进行处理的过程中，采用独热编码将一维向量数据中的符号型数据处理成计算机识别的0、1编码的数据，符号型数据包括协议类型、服务类型以及网络连接状态，待预测网络节点在某一时刻的信息大小容量为n维。比如，在一数据集中，采用独热编码将非数值信息转换为0、1数据，则原41维数据的向量信息扩充至128维。

步骤S13，根据所述目标编码数据生成时间序列数据，将所述时间序列数据作为所述待预测节点数据。

可选地，一个待预测网络节点在第一预设时间段内的节点信息按照时间序列进行排列，从第一行至第m行，因此，预处理完成的数据为一个二维矩阵m×n表示。

在本实施例中，通过获取所述第一预设时间段内所述待预测网络中所有所述待预测网络节点的一维向量数据，所述一维向量数据包括符号型数据，所述符号型数据包括协议类型、服务类型以及网络连接状态；采用独热编码将所述符号型数据转换为目标编码数据；根据所述目标编码数据生成时间序列数据，将所述时间序列数据作为所述待预测节点数据。从而能够编码得到基于时间序列排列的节点数据，以使LSTM预测模型对该节点数据进行预测。

参照图6，本发明第五实施例提供一种网络安全态势的预测方法，基于上述图2所示的实施例，所述方法还包括：

步骤S40，获取第二预设时间段内预设网络中每个预设网络节点的原始待训练节点数据；

第二预设时间段是预先设定的，用于限定待训练节点数据所在时间的时间段。预设网络是预先设定的用于进行模型训练的网络。预设网络节点是预设网络中的网络节点。原始待训练节点数据为未经预处理的预设网络中的网络节点的数据。

可选地，原始待训练节点数据包括预设网络节点的硬件信息和软件信息，硬件信息比如硬件标识、设备类型等，软件信息比如网络连接状态、协议类型以及服务类型等。

可选地，第二预设时间段为连续时间点构成的时间段。

步骤S50，对所述原始待训练节点数据进行处理，得到目标待训练节点数据，所述目标待训练数据的矩阵形式为三维矩阵；

可选地，对原始待训练节点数据进行处理包括：将原始待训练节点数据转换为一维向量数据，该一维向量数据包括符号型数据，符号型数据包括协议类型、服务类型以及网络连接状态，采用独热编码将符号型数据转换为目标编码数据，根据目标编码数据生成时间序列数据，根据所有预设网络节点的时间序列数据生成三维矩阵形式的目标待训练数据。每个不同待预测网络节点在某一时刻下的数据信息用长度相同的一维向量表示。对预设网络节点的一维向量数据进行处理的过程中，采用独热编码将一维向量数据中的符号型数据处理成计算机识别的0、1编码的数据，符号型数据包括协议类型、服务类型以及网络连接状态，预设网络节点在某一时刻的信息大小容量为n维。比如，在一数据集中，采用独热编码将非数值信息转换为0、1数据，则原41维数据的向量信息扩充至128维。

三维矩阵形式的目标待训练数据是由所有预设网络节点的节点信息构成的数据，LSTM预测模型可以一次处理所有节点信息，因此所有节点在同一时间序列中的信息被保存为一个三维矩阵大小(m×n×i)，m表示一个网络节点在预设的连续时间段内的信息按照时间序列排列的行数，n表示一个网络节点在某一时刻的信息大小容量，该容量可以用信息的维度表示，i表示待预测网络中的待预测网络节点的数量。第一信息容量为网络节点在被LSTM处理前某一时刻的信息容量。“n”表示第一信息容量。

步骤S60，采用所述目标待训练数据对长短期记忆网络训练模型进行训练，得到所述长短期记忆网络预测模型；

LSTM训练模型采用目标待训练数据，学习所有预设节点在一段连续时间内的数据特征，并得到长短期记忆网络预测模型。LSTM技术对事件发生前的网络节点信息和当前网络节点信息进行数据融合分析。在处理待预测网络中每一个网络节点的信息之后，输入至LSTM中时，LSTM预测模型需要一次处理所有网络节点的信息，因此所有节点的信息被保存为一个三维矩阵，并输入至LSTM预测模型中，得到最新的网络节点的态势信息。

步骤S70，采用所述长短期记忆网络预测模型对所述目标待训练数据进行预测，得到所述预设网络中每个所述预设网络节点对应的第二特征信息，所述第二特征信息包括每个所述预设网络节点的第一态势信息；

第二特征信息为通过LSTM预测模型预测得到的，预设网络节点的特征信息。第一态势信息为根据LSTM预测模型预测得到的，预设网络节点的网络安全态势信息。

可选地，第一态势信息包括Normal、DDos、R2L、U2R、PROBING。

可选地，第二特征信息的矩阵形式为二维矩阵形式。

步骤S80，根据所述第二特征信息对图注意力训练模型进行训练，得到所述图注意力预测模型。

在一实施例中，所述根据所述第二特征信息对图注意力训练模型进行训练，得到所述图注意力预测模型，包括：

其中，用交叉熵损失函数判断模型的预测效果，并将效果反馈给网络模型，图注意力训练模型训练多次后，最终达到收敛。

在一具体场景中，获取网络拓扑中i个网络节点在m个连续时刻内的信息数据集，通过数据预处理，得到m×n×i的三维矩阵，n为一个网络节点的信息维度，LSTM模型学习所有网络节点在一段连续时间内的数据特征，得到i×j的二维矩阵，j＝n+5，该二维矩阵为i个网络节点处理后的节点状态信息，图注意力训练模型采用二维矩阵，学习网络节点和它的相邻节点之间的数据特征，并预测得到节点类型标签，节点类型标签用于指示网络安全态势，根据预测得到的节点类型标签、实际的节点类型标签以及损失函数的反馈信息，反复多次训练图注意力网络模型，在未收敛时进行反向传播，直到模型收敛，收敛后将图注意力训练模型作为图注意力预测模型保存。还可以进一步采用测试数据集，测试图注意力预测模型的准确率。

在本实施例中，通过获取第二预设时间段内预设网络中每个预设网络节点的原始待训练节点数据；对原始待训练节点数据进行处理，得到目标待训练节点数据，目标待训练数据的矩阵形式为三维矩阵；采用目标待训练数据对长短期记忆网络训练模型进行训练，得到长短期记忆网络预测模型；采用长短期记忆网络预测模型对目标待训练数据进行预测，得到预设网络中每个预设网络节点对应的第二特征信息，第二特征信息包括每个预设网络节点的第一态势信息；根据第二特征信息对图注意力训练模型进行训练，得到图注意力预测模型。其中，与采用卷积神经网络进行网络安全态势的预测相比较，图神经网络可以将实际数据作为输入，而不是将原始随机数据作为输入，因此可以将实际的网络节点数据初始化处理后作为图神经网络的输入，可以更快地初始化网络节点的风险程度，并可以更快地形成准确的网络风险传播模型。图神经网络的结构与网络拓扑图中的网络节点相似，所以在分析风险传播的过程中，图神经网络针对特定的网络结构的数据有更好的解释性。同时，图神经网络将事物表示为对象而不是像素模式，不会轻易被噪音干扰。因此，它的网络结构不容易受到对抗性攻击的干扰，可以更加精确地量化潜在的风险。并且，采用图神经网络结合注意力机制，对数据进行注意力预处理，只关注特定有用的网络节点信息，能够解决图神经网络不好训练的问题。

参照图7，在一实施例中，所述网络安全态势的预测装置包括：

获取模块10，用于获取第一预设时间段内待预测网络的待预测节点数据，所述待预测节点数据包括所述待预测网络中每个待预测网络节点的数据；

长短期记忆网络预测模块20，用于根据长短期记忆网络预测模型对所述待预测节点数据进行预测，得到每个所述待预测网络节点在目标时间的第一特征信息；

图注意力预测模块30，用于根据图注意力预测模型以及所述待预测网络的邻接矩阵信息，对每个所述待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的网络安全态势，所述相邻网络节点为与所述待预测网络节点相邻的网络节点。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台网络安全状态的预测装置执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种网络安全态势的预测方法，其特征在于，所述方法包括：

根据长短期记忆网络预测模型对所述待预测节点数据进行预测，得到每个所述待预测网络节点在目标时间的第一特征信息，所述第一特征信息为通过所述长短期记忆网络预测模型得到的每个所述待预测网络节点的网络安全态势信息；

2.如权利要求1所述的方法，其特征在于，所述根据长短期记忆网络预测模型对所述待预测节点数据进行预测，得到每个所述待预测网络节点在目标时间的第一特征信息的步骤包括：

3.如权利要求1所述的方法，其特征在于，所述根据图注意力预测模型以及所述待预测网络的邻接矩阵信息，对每个所述待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的网络安全态势的步骤包括：

确定每个所述相邻网络节点的所述第一特征信息；

4.如权利要求1所述的方法，其特征在于，所述获取第一预设时间段内待预测网络的待预测节点数据的步骤包括：

采用独热编码将所述符号型数据转换为目标编码数据；

5.如权利要求1所述的方法，其特征在于，所述方法还包括：

对所述原始待训练节点数据进行处理，得到目标待训练数据，所述目标待训练数据的矩阵形式为三维矩阵；

6.如权利要求5所述的方法，其特征在于，所述根据所述第二特征信息对图注意力训练模型进行训练，得到所述图注意力预测模型的步骤包括：

在所述图注意力训练模型未收敛时，对所述图注意力训练模型进行反向传播；

7.如权利要求1所述的方法，其特征在于，所述根据图注意力预测模型以及所述待预测网络的邻接矩阵信息，对每个所述待预测网络节点以及相邻网络节点的第一特征信息进行预测，得到每个所述待预测网络节点的网络安全态势的步骤之后，还包括：

8.一种网络安全态势的预测装置，其特征在于，所述网络安全态势的预测装置包括：

9.一种网络安全态势的预测装置，其特征在于，所述网络安全态势的预测装置包括存储器、处理器及存储在所述存储器上并在所述处理器上运行的网络安全态势的预测程序，所述网络安全态势的预测程序被所述处理器执行时实现如权利要求1至7中任一项所述的网络安全态势的预测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有网络安全态势的预测程序，所述网络安全态势的预测程序被处理器执行时实现如权利要求1至7中任一项所述的网络安全态势的预测方法的步骤。