CN115225373A - 一种信息不完备条件下的网络空间安全态势表达方法及装置 - Google Patents
一种信息不完备条件下的网络空间安全态势表达方法及装置 Download PDFInfo
- Publication number
- CN115225373A CN115225373A CN202210844980.8A CN202210844980A CN115225373A CN 115225373 A CN115225373 A CN 115225373A CN 202210844980 A CN202210844980 A CN 202210844980A CN 115225373 A CN115225373 A CN 115225373A
- Authority
- CN
- China
- Prior art keywords
- situation
- information
- network
- feature vector
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种信息不完备条件下的网络空间安全态势表达方法及装置,该方法包括:从网络节点采集四模态缺省流量数据向量,利用深度多模态编码器,进行数据融合,得到联合特征向量集;对每个网络节点的联合特征向量进行处理,得到态势影响因子信息,进而得到网络节点的安全态势值;利用预设的网络整体安全态势模型,计算得到网络整体安全态势值;利用关联规则挖掘算法模型,得到网络漏洞预测信息。本发明通过深度多模态编码器,解决了信息不完备条件下部分流量特征数据缺省的问题,提高了态势计算及表达的效率,通过关联规则挖掘算法更好地识别未知漏洞,提高态势预测的准确度。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种信息不完备条件下的网络空间安全态势表达方法及装置领域。
背景技术
近年来,在日益不稳定的全球网络安全格局中,大规模针对性网络行动大幅增加,攻击复杂性持续上升,网络安全已成为国家安全的重要因素。网络空间安全态势表达是网络空间筹划布局中的重要组成部分,它将网络空间中获取的态势信息经过处理后,以直观、清晰的方式加以显示,为网络空间指挥和运维人员提供态势图,从而为网络空间指挥和行动提供有效支撑。
现有网络空间安全态势表达的技术方案存在以下不足:一是缺乏针对信息不完备条件下的流量数据融合方法,使网络空间安全态势难以直观表达;二是网络漏洞数据的内在联系挖掘不足,造成网络漏洞误报率高。
发明内容
鉴于上述网络空间安全态势表达方法存在的问题,本发明提出了一种信息不完备条件下的网络空间安全态势表示方法,设计针对缺省流量数据的数据融合方法,对融合后的数据进行分析计算,得到网络安全态势值,以直观、清晰的方式显示网络空间态势信息;基于规则关联算法进行数据挖掘,从而利用已知漏洞数据获取未知漏洞特征,提高安全态势表达及预测的准确度与效率。
为了解决上述技术问题,本发明实施例第一方面公开了一种信息不完备条件下的网络空间安全态势表达方法,所述方法包括:
S1,利用路由器、防火墙、交换机、流量采集器,分别从网络节点采集流量数据,得到四模态缺省流量数据向量集;所述四模态缺省流量数据向量集包括N个四模态缺省流量数据向量;所述N表征所述网络节点的数量;
S2,利用预设的深度多模态编码器,对所述四模态缺省流量数据向量集进行数据融合,得到联合特征向量集;所述联合特征向量集包括N个联合特征向量;
S3,遍历所述联合特征向量集,对每个网络节点的联合特征向量进行处理,得到态势影响因子信息集;所述态势影响因子信息包括入侵威胁度IT、漏洞威胁度VT、节点重要度NI、运行性能值OP;所述态势影响因子集包括N个态势影响因子信息;
S4,利用预设的态势计算模型,对所述态势影响因子信息集进行处理,得到安全态势值集;所述安全态势值集包括N个安全态势值;
S5,利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值;
S6,根据所述联合特征向量,利用预设的关联规则挖掘算法模型,得到网络漏洞预测信息。
作为一种可选的实施方式,在本发明实施例第一方面中,所述预设的深度多模态编码器,包括:
第一隐藏层,用于从四模态缺省流量数据向量中提取特征信息,得到四模态缺省特征信息;所述第一隐藏层包含四个子隐藏层,分别对应四模态缺省流量数据向量中四种模态;所述四种模态包括路由器、防火墙、交换机、流量采集器;
第一融合层,对所述四模态缺省特征信息进行融合,完成模态内及模态间信息补缺,得到完整特征信息;
第二隐藏层,对所述完整特征信息进行处理,得到四模态完整流量信息;所述第二隐藏层包含四个子隐藏层,分别对应所述四种模态;
第二融合层,对所述四模态完整流量信息进行融合,得到联合特征向量。
作为一种可选的实施方式,在本发明实施例第一方面中,所述对所述四模态完整流量信息进行融合,得到联合特征向量,包括:
提取所述四模态完整流量信息的特征,得到四模态完整特征向量;
利用相似度矩阵模型,去除所述四模态完整特征向量的冗余特征,得到四模态主要特征向量;所述四模态主要特征向量的四种模态主要特征向量的维数可以不同;
对所述四模态主要特征向量进行向量拼接融合,得到节点联合特征向量。
作为一种可选的实施方式,在本发明实施例第一方面中,所述对联合特征向量进行处理,得到态势影响因子信息,包括:
对所述联合特征向量中防火墙报警误报率、安全攻击事件防御情况进行计算,得到入侵威胁度IT;
对所述节点联合特征向量中漏洞扫描情况、系统安全设备配置强度进行计算,得到漏洞威胁度VT;
对所述节点联合特征向量中节点的资产价值度、节点在网络拓扑结构中与其他节点的关联程度进行计算,得到节点重要度NI;
对所述节点联合特征向量中主机通信状况进行计算,得到运行性能值OP。
作为一种可选的实施方式,在本发明实施例第一方面中,所述预设的态势计算模型为:
HS(t)=NI(t)×[a1×IT(t)+a2×VT(t)+a3×OP(t)]
式中,t表示时间,HS(t)表示t时刻的安全态势值,NI(t)表示t时刻的重要度,IT(t)表示t时刻的入侵威胁度,VT(t)表示t时刻的漏洞威胁度,OP(t)表示t时刻的运行性能值,α1为入侵威胁度的权重值,α2为漏洞威胁度的权重值,α3是为运行性能值的权重值。
作为一种可选的实施方式,在本发明实施例第一方面中,所述利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值,包括:
将网络节点的入侵威胁度IT与漏洞威胁度VT相乘,得到所述网络节点的攻击概率;
将所述网络节点的攻击概率与安全态势值相乘,得到节点的安全态势因子;
将N个网络节点的安全态势因子求和,得到网络整体安全态势值。
作为一种可选的实施方式,在本发明实施例第一方面中,所述根据所述联合特征向量,利用预设的关联规则挖掘算法模型,得到网络漏洞预测信息,包括:
S71,遍历所述联合特征向量,找出第i个属性的最大频繁单维集Fi及其非空单维集Li’;
S72,并对所述单维子集Fi进行剪枝;
S73,通过连接Li-1和所述非空单维集Li’生成Ci;
S74,对于所述Ci中的每个候选i-维集,扫描剪枝后的数据库并计数,生成频繁的i-维集Li;
S75,重复上述步骤S72~S74,直到生成频繁n-维集Ln;
S76,通过对频繁n-维集进行处理,得到多维关联规则;
S77,根据所述多维关联规则,得到漏洞预测信息。
本发明实施例第二方面公开了一种信息不完备条件下的网络空间安全态势表达装置,所述装置包括:
数据采集模块,用于利用路由器、防火墙、交换机、流量采集器分别从网络节点采集流量数据,得到四模态缺省流量数据向量集;
数据融合模块,用于利用预设的深度多模态编码器,对所述四模态缺省流量数据向量集进行数据融合,得到联合特征向量集;
第一计算模块,用于对网络中每个节点的联合特征向量进行处理,得到态势影响因子信息集;
第二计算模块,用于利用预设的态势计算模型,对所述态势影响因子信息集进行处理,得到安全态势值集;
第三计算模块,用于利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值;
漏洞预测模块,用于利用预设的关联规则挖掘算法模型,得到网络漏洞预测信息。
作为一种可选的实施方式,在本发明实施例第二方面中,所述利用预设的深度多模态编码器,对所述四模态缺省流量数据向量集进行数据融合,得到联合特征向量集,包括:
利用第一隐藏层,从四模态缺省流量数据向量中提取特征信息,得到四模态缺省特征信息;所述第一隐藏层包含四个子隐藏层,分别对应四模态缺省流量数据向量中四种模态;所述四种模态包括路由器、防火墙、交换机、流量采集器;
利用第一融合层,对所述四模态缺省特征信息进行融合,完成模态内及模态间信息补缺,得到完整特征信息;
利用第二隐藏层,对所述完整特征信息进行处理,得到四模态完整流量信息;所述第二隐藏层包含四个子隐藏层,分别对应所述四种模态;
利用第二融合层,对所述四模态完整流量信息进行融合,得到联合特征向量。
作为一种可选的实施方式,在本发明实施例第二方面中,所述对所述四模态完整流量信息进行融合,得到联合特征向量,包括:
提取所述四模态完整流量信息的特征,得到四模态完整特征向量;
利用相似度矩阵模型,去除所述四模态完整特征向量的冗余特征,得到四模态主要特征向量;所述四模态主要特征向量的四种模态主要特征向量的维数可以不同;
对所述四模态主要特征向量进行向量拼接融合,得到节点联合特征向量。
作为一种可选的实施方式,在本发明实施例第二方面中,所述对联合特征向量进行处理,得到态势影响因子信息,包括:
对所述联合特征向量中防火墙报警误报率、安全攻击事件防御情况进行计算,得到入侵威胁度IT;
对所述节点联合特征向量中漏洞扫描情况、系统安全设备配置强度进行计算,得到漏洞威胁度VT;
态势感知影响因子中的IT和VT,可由下式确定因子的值:
其中wi是权值系数,其中xi表示在所属情况下的参数因子,可预先通过离散化取出参数因子。对于参数因子xi用无偏估计近似数据期望μ,用无偏估计近似方差σ2。由n组方程求解出未知参数wi的值。根据下列方程组求解出n组wi的值:
对所述节点联合特征向量中节点的资产价值度、节点在网络拓扑结构中与其他节点的关联程度进行计算,得到节点重要度NI;
对所述节点联合特征向量中主机通信状况进行计算,得到运行性能值OP。
作为一种可选的实施方式,在本发明实施例第二方面中,所述预设的态势计算模型为:
HS(t)=NI(t)×[a1×IT(t)+a2×VT(t)+a3×OP(t)]
式中,t表示时间,HS(t)表示t时刻的安全态势值,NI(t)表示t时刻的重要度,IT(t)表示t时刻的入侵威胁度,VT(t)表示t时刻的漏洞威胁度,OP(t)表示t时刻的运行性能值,α1为入侵威胁度的权重值,α2为漏洞威胁度的权重值,α3是为运行性能值的权重值。
作为一种可选的实施方式,在本发明实施例第二方面中,所述利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值,包括:
根据所述入侵威胁度IT、所述漏洞威胁度VT,计算网络节点的攻击概率;计算公式为:
q(t)=VT(t)×IT(t)
式中,t表示时间,q(t)表示t时刻的攻击概率,IT(t)表示t时刻的入侵威胁度,VT(t)表示t时刻的漏洞威胁度。
利用预设的网络整体安全态势模型,对所有网络节点的攻击概率与安全态势值相乘后求和,得到网络整体安全态势值;所述网络整体安全态势模型为:
式中,i表示网络节点,m表示网络节点的总数,NHS(t)表示网络整体安全态势,q(t)表示t时刻的攻击概率,HS(t)表示t时刻的安全态势值。
作为一种可选的实施方式,在本发明实施例第二方面中,所述根据所述联合特征向量,利用预设的关联规则挖掘算法模型,得到网络漏洞预测信息,包括:
步骤1,遍历所述联合特征向量,找出第i个属性的最大频繁单维集Fi及其非空单维集Li’;
步骤2,并对所述单维子集Fi进行剪枝;
步骤3,通过连接Li-1和所述非空单维集Li’生成Ci;
步骤4,对于所述Ci中的每个候选i-维集,扫描剪枝后的数据库并计数,生成频繁的i-维集Li;
步骤5,重复执行上述步骤2~步骤4,直到生成频繁n-维集Ln;
步骤6,通过对频繁n-维集进行处理,得到多维关联规则;
步骤7,根据所述多维关联规则,得到漏洞预测信息。
本发明第三方面公开了另一种一种信息不完备条件下的网络空间安全态势表达装置,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明实施例第一方面公开的信息不完备条件下的网络空间安全态势表达方法中的部分或全部步骤。
本发明第四方面公开了一种计算机存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本发明实施例第一方面公开的信息不完备条件下的网络空间安全态势表达方法中的部分或全部步骤。
本发明的有益效果:
本发明所述的一种信息不完备条件下的网络空间安全态势表达方法,提出了一种深度多模态编码器,将多源异构的流量数据进行补缺,并利用特征融合方法进行多维度融合处理,从而获得每个网络节点的联合特征向量;通过态势计算公式,计算得出单个网络节点的安全态势值,进一步计算得到网络整体安全态势值。提出一种关联规则挖掘算法,可得到网络漏洞预测信息,减少了后续数据挖掘的工作量,实现高效处理。本发明解决了信息不完备条件下部分流量特征数据缺省的问题,通过深度多模态编码器实现多源异构流量信息的补缺,利用相似度矩阵计算来进行特征融合处理,提高态势计算及表达的效率,通过关联规则挖掘算法挖掘漏洞数据的内在联系,利用已知漏洞数据获取未知漏洞特征,从而扩展安全规则,以便更好地识别未知漏洞,提高态势预测的准确度。
附图说明
图1是本发明实施例公开的一种信息不完备条件下的网络空间安全态势表达方法流程图;
图2是本发明实施例公开的一种信息不完备条件下的网络空间安全态势表达装置的结构示意图;
图3是本发明实施例公开的另一种信息不完备条件下的网络空间安全态势表达装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本发明公开了一种信息不完备条件下的网络空间安全态势表达方法,提出了一种基于神经网络的多模态数据融合框架,将多源异构的流量数据进行多维度融合处理,解决了信息不完备条件下部分流量特征数据缺省的问题,通过深度多模态编码器的数据融合算法实现多源异构流量信息的融合处理,提高态势计算及表达的效率;提出一种MSMINE关联规则挖掘算法,挖掘漏洞数据的内在联系,利用已知漏洞数据获取未知漏洞特征,从而扩展安全规则,以便更好地识别未知漏洞,提高态势预测的准确度。
实施例一
请参阅图1,图1是本发明实施例公开的一种信息不完备条件下的网络空间安全态势表达方法流程图。其中,图1所描述的一种信息不完备条件下的网络空间安全态势表达方法应用于空间系统中,如用于网络空间系统的本地服务器或云端服务器等,本发明实施例不做限定。如图1所示,该信息不完备条件下的网络空间安全态势表达方法可以包括以下操作:
101、利用路由器、防火墙、交换机、流量采集器,分别从网络节点采集流量数据,得到四模态缺省流量数据向量集。
本发明实施例中,上述四模态缺省流量数据向量集包括N个四模态缺省流量数据向量;所述N表征所述网络节点的数量。
可见,利用路由器、防火墙、交换机、流量采集器采集的多源异构的流量数据,从不同方式进行采集数据,对网络态势分析更加全面。
102、利用预设的深度多模态编码器,对所述四模态缺省流量数据向量集进行数据融合,得到联合特征向量集。
本发明实施例中,上述联合特征向量集包括N个联合特征向量。
在一个可选的实施例中,上述预设的深度多模态编码器,具体包括:
第一隐藏层,用于从四模态缺省流量数据向量中提取特征信息,得到四模态缺省特征信息;所述第一隐藏层包含四个子隐藏层,分别对应四模态缺省流量数据向量中四种模态;所述四种模态包括路由器、防火墙、交换机、流量采集器;
第一融合层,对所述四模态缺省特征信息进行融合,完成模态内及模态间信息补缺,得到完整特征信息;
第二隐藏层,对所述完整特征信息进行处理,得到四模态完整流量信息;所述第二隐藏层包含四个子隐藏层,分别对应所述四种模态;
第二融合层,对所述四模态完整流量信息进行融合,得到联合特征向量。
可见,通过深度多模态编码器的数据融合算法,实现多源异构流量信息的融合处理,提高态势计算及表达的效率。
在一个可选的实施例中,上述对所述四模态完整流量信息进行融合,得到联合特征向量,具体包括:
提取所述四模态完整流量信息的特征,得到四模态完整特征向量;
利用相似度矩阵模型,去除所述四模态完整特征向量的冗余特征,得到基于路由器、防火墙、交换机、流量采集器的四种不同维数的特征向量;
在该可选的实施例中,作为一种可选的实施方式,基于路由器的特征向量A的维度由M维变为M'维,基于防火墙的特征向量B的维度由N维变为N'维,基于交换机的特征向量C的维度由Y维变为Y'维,基于流量采集器的特征向量D的维度由Q维变为Q'维;
所述相似度矩阵计算公式为:
其中i,j为任意两模态的特征向量,即i,j∈A,B,C,D。
通过计算任意两模态的特征向量,可筛选出每个模态特征向量的冗余特征项并进行去冗余,从而对四个模态的流量信息进行降维。
对所述基于路由器、防火墙、交换机、流量采集器的四种不同维数的特征向量进行向量拼接融合,得到节点联合特征向量;所述节点联合特征向量维度数目为M'+N'+Y'+Q'。
可见,通过特征向量相似度计算去除一些冗余特征维度,然后进行拼接融合得到节点联合特征向量,降低了计算复杂度,保留住了流量数据的特征信息。
在一个可选的实施例中,深度多模态编码器结构计算过程为:
将四模态缺省流量数据向量输入到第一隐藏层h1,得到四模态缺省特征信息;
将所述四模态缺省特征信息输入融合层h2,进行模态内及模态间缺省信息填补,得到完整特征信息;
将所述完整特征信息输入到h3,得到四模态完整流量信息;
将所述四模态完整流量信息输入第二融合层,进行融合,得到联合特征向量。
可见,通过本发明提出的深度多模态编码器,利用目标函数,能够自动学习捕获已有流量信息中的潜在特征,并学习捕获模态内和模态间相关性的共享表示,实现对缺省流量数据推断与分析,实现多源异构流量信息补缺,提高态势表达的效率。
103、遍历所述联合特征向量集,对每个网络节点的联合特征向量进行处理,得到态势影响因子信息集。
本发明实施例中,上述态势影响因子信息包括入侵威胁度IT、漏洞威胁度VT、节点重要度NI、运行性能值OP;所述态势影响因子集包括N个态势影响因子信息。
在一个可选的实施例中,上述对联合特征向量进行处理,得到态势影响因子信息,包括:
对所述联合特征向量中防火墙报警误报率、安全攻击事件防御情况进行计算,得到入侵威胁度IT;
对所述节点联合特征向量中漏洞扫描情况、系统安全设备配置强度进行计算,得到漏洞威胁度VT;
态势感知影响因子中的IT和VT,可由下式确定因子的值:
其中wi是权值系数,其中xi表示在所属情况下的参数因子,可预先通过离散化取出参数因子。对于参数因子xi用无偏估计近似数据期望μ,用无偏估计近似方差σ2。由n组方程求解出未知参数wi的值。根据下列方程组求解出n组wi的值:
对所述节点联合特征向量中节点的资产价值度、节点在网络拓扑结构中与其他节点的关联程度进行计算,得到节点重要度NI;
对所述节点联合特征向量中主机通信状况进行计算,得到运行性能值OP。
可见,通过对网络节点联合特征向量中所包含信息的计算处理,得到流量信息中对态势产生影响的入侵威胁度、漏洞威胁度、节点重要度以及运行性能值;
104、利用预设的态势计算模型,对所述态势影响因子信息集进行处理,得到安全态势值集。
本发明实施例中,上述安全态势值集包括N个安全态势值。
在一个可选的实施例中,上述所述预设的态势计算模型为:
HS(t)=NI(t)×[a1×IT(t)+a2×VT(t)+a3×OP(t)]
式中,t表示时间,HS(t)表示t时刻的安全态势值,NI(t)表示t时刻的重要度,IT(t)表示t时刻的入侵威胁度,VT(t)表示t时刻的漏洞威胁度,OP(t)表示t时刻的运行性能值,α1为入侵威胁度的权重值,α2为漏洞威胁度的权重值,α3是为运行性能值的权重值。。
可见,态势计算模型综合考虑了安全态势值、入侵威胁度、漏洞威胁度、运行性能值等对态势的影响,解决了片面分析态势的缺点,以直观的方式计算了网络节点的安全态势值。
105、利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值。
在一个可选的实施例中,上述利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值,具体包括:
将网络节点的入侵威胁度IT与漏洞威胁度VT相乘,得到所述网络节点的攻击概率;
将所述网络节点的攻击概率与安全态势值相乘,得到节点的安全态势因子;
将N个网络节点的安全态势因子求和,得到网络整体安全态势值。
可见,通过计算每个网络节点的攻击概率,可得出该网络节点在网络整体安全态势中的重要程度,当该网络节点的攻击概率较大时,其对网络整体安全态势值影响越大。通过计算网络整体安全态势值可直观表达网络空间安全态势。
106、根据所述联合特征向量,利用预设的关联规则挖掘算法模型,得到网络漏洞预测信息。
在一个可选的实施例中,上述关联规则挖掘算法过程如下:
S1,遍历所述N维联合特征向量,找出第i个属性的最大频繁单维集Fi及其非空单维集Li’;
S2,并对所述单维子集Fi进行剪枝;
S3,通过连接Li-1和Li’生成Ci;
S4,对于Ci中的每个候选i-维集,扫描剪枝后的数据库并计数,生成频繁的i-维集Li;
S5,重复上述步骤S52~S54,直到生成频繁n-维集Ln;
S6,通过频繁n-维集生成多维关联规则;
S7,根据关联规则,预测下一步的漏洞情况及位置。
利用本发明提出的关联规则挖掘算法模型,可以找出每个维度子集的最大频繁项集,同时对流量信息数据库进行剪枝,从而大大减少后续数据挖掘的工作量,实现高效处理;关联规则挖掘算法模型利用已知漏洞数据获取未知漏洞特征,从而扩展安全规则,以便更好地识别未知漏洞,提高态势预测的准确度。
可见,实施图1所描述的信息不完备条件下的网络空间安全态势表达方法,能够利用深度多模态编码器,将多源异构的流量数据进行补缺,并利用特征融合方法进行多维度融合处理,解决了信息不完备条件下的流量数据融合方法;利通过对融合后的数据进行分析计算,得到网络安全态势值,以直观、清晰的方式显示网络空间态势信息;实施基于规则关联算法进行数据挖掘,从而利用已知漏洞数据获取未知漏洞特征,提高安全态势表达及预测的准确度与效率。
实施例二
请参阅图2,图2是本发明实施例公开的一种信息不完备条件下的网络空间安全态势表达装置结构图。其中,图2所描述的一种信息不完备条件下的网络空间安全态势表达装置应用于空间系统中,如用于网络空间系统的本地服务器或云端服务器等,本发明实施例不做限定。如图2所示,该装置包括:
数据采集模块201,用于利用路由器、防火墙、交换机、流量采集器分别从网络节点采集流量数据,得到四模态缺省流量数据向量集;
数据融合模块202,用于利用预设的深度多模态编码器,对所述四模态缺省流量数据向量集进行数据融合,得到联合特征向量集;
第一计算模块203,用于对网络中每个节点的联合特征向量进行处理,得到态势影响因子信息集;
第二计算模块204,用于利用预设的态势计算模型,对所述态势影响因子信息集进行处理,得到安全态势值集;
第三计算模块205,用于利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值;
漏洞预测模块206,用于利用预设的关联规则挖掘算法模型,得到网络漏洞预测信息。
可见,实施图2所描述的信息不完备条件下的网络空间安全态势表达装置,能够利用深度多模态编码器,将多源异构的流量数据进行补缺,并利用特征融合方法进行多维度融合处理,解决了信息不完备条件下的流量数据融合方法;实施基于规则关联算法进行数据挖掘,从而利用已知漏洞数据获取未知漏洞特征,提高安全态势表达及预测的准确度与效率。
在一个可选的实施例中,上述利用预设的深度多模态编码器,对所述四模态缺省流量数据向量集进行数据融合,得到联合特征向量集,包括:
利用第一隐藏层,从四模态缺省流量数据向量中提取特征信息,得到四模态缺省特征信息;所述第一隐藏层包含四个子隐藏层,分别对应四模态缺省流量数据向量中四种模态;所述四种模态包括路由器、防火墙、交换机、流量采集器;
利用第一融合层,对所述四模态缺省特征信息进行融合,完成模态内及模态间信息补缺,得到完整特征信息;
利用第二隐藏层,对所述完整特征信息进行处理,得到四模态完整流量信息;所述第二隐藏层包含四个子隐藏层,分别对应所述四种模态;
利用第二融合层,对所述四模态完整流量信息进行融合,得到联合特征向量。
在一个可选的实施例中,上述对所述四模态完整流量信息进行融合,得到联合特征向量,包括:
提取所述四模态完整流量信息的特征,得到四模态完整特征向量;
利用相似度矩阵模型,去除所述四模态完整特征向量的冗余特征,得到四模态主要特征向量;所述四模态主要特征向量的四种模态主要特征向量的维数可以不同;
对所述四模态主要特征向量进行向量拼接融合,得到节点联合特征向量。
可见,通过利用深度多模态编码器(DME)的数据融合算法实现多源异构流量信息的融合处理,提高态势计算及表达的效率。
在一个可选的实施例中,上述对联合特征向量进行处理,得到态势影响因子信息,包括:
对所述联合特征向量中防火墙报警误报率、安全攻击事件防御情况进行计算,得到入侵威胁度IT;
对所述节点联合特征向量中漏洞扫描情况、系统安全设备配置强度进行计算,得到漏洞威胁度VT;
对所述节点联合特征向量中节点的资产价值度、节点在网络拓扑结构中与其他节点的关联程度进行计算,得到节点重要度NI;
对所述节点联合特征向量中主机通信状况进行计算,得到运行性能值OP。
在一个可选的实施例中,上述预设的态势计算模型为:
HS(t)=NI(t)×[a1×IT(t)+a2×VT(t)+a3×OP(t)]
式中,t表示时间,HS(t)表示t时刻的安全态势值,NI(t)表示t时刻的重要度,IT(t)表示t时刻的入侵威胁度,VT(t)表示t时刻的漏洞威胁度,OP(t)表示t时刻的运行性能值,α1为入侵威胁度的权重值,α2为漏洞威胁度的权重值,α3是为运行性能值的权重值。
在一个可选的实施例中,上述利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值,包括:
根据所述入侵威胁度IT、所述漏洞威胁度VT,计算网络节点的攻击概率;计算公式为:
q(t)=VT(t)×IT(t)
式中,t表示时间,q(t)表示t时刻的攻击概率,IT(t)表示t时刻的入侵威胁度,VT(t)表示t时刻的漏洞威胁度。
利用预设的网络整体安全态势模型,对所有网络节点的攻击概率与安全态势值相乘后求和,得到网络整体安全态势值;所述网络整体安全态势模型为:
式中,i表示网络节点,m表示网络节点的总数,NHS(t)表示网络整体安全态势,q(t)表示t时刻的攻击概率,HS(t)表示t时刻的安全态势值。
可见,利用态势计算模型和网络整体安全态势模型,将网络空间中获取的态势信息以直观、清晰的方式加以显示,有利于下一步的数据分析及态势感知表达。
在一个可选的实施例中,上述根据所述联合特征向量,利用预设的关联规则挖掘算法模型,得到网络漏洞预测信息,包括:
步骤1,遍历所述联合特征向量,找出第i个属性的最大频繁单维集Fi及其非空单维集Li’;
步骤2,并对所述单维子集Fi进行剪枝;
步骤3,通过连接Li-1和所述非空单维集Li’生成Ci;
步骤4,对于所述Ci中的每个候选i-维集,扫描剪枝后的数据库并计数,生成频繁的i-维集Li;
步骤5,重复执行上述步骤2~步骤4,直到生成频繁n-维集Ln;
步骤6,通过对频繁n-维集进行处理,得到多维关联规则;
步骤7,根据所述多维关联规则,得到漏洞预测信息。
可见,利用基于多维集合的关联规则挖掘算法,对已知漏洞模式进行关联分析,进一步挖掘漏洞之间内在联系,预测未知漏洞的显著特征信息,从而扩展安全规则并预测下一步的安全态势发展情况,提高态势表达及预测的准确性。
实施例三
请参阅图3,图3是本发明实施例公开的又一种信息不完备条件下的网络空间安全态势表达装置的结构示意图。其中,图3所描述的装置能够应用于空间系统中,如用于网络空间系统的本地服务器或云端服务器等,本发明实施例不做限定。如图3所示,该装置可以包括:
存储有可执行程序代码的存储器301;
与存储器301耦合的处理器302;
处理器302调用存储器301中存储的可执行程序代码,用于执行实施例一所描述的信息不完备条件下的网络空间安全态势表达方法中的步骤。
实施例四
本发明实施例公开了一种计算机读存储介质,其存储用于电子数据交换的计算机程序,其中,该计算机程序使得计算机执行实施例一所描述的信息不完备条件下的网络空间安全态势表达方法中的步骤。
实施例五
本发明实施例公开了一种计算机程序产品,该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,且该计算机程序可操作来使计算机执行实施例一所描述的信息不完备条件下的网络空间安全态势表达方法中的步骤。
最后应说明的是:本发明实施例公开的一种信息不完备条件下的网络空间安全态势表达方法及装置所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。
Claims (10)
1.一种信息不完备条件下的网络空间安全态势表达方法,其特征在于,包括:
S1,利用路由器、防火墙、交换机、流量采集器,分别从网络节点采集流量数据,得到四模态缺省流量数据向量集;所述四模态缺省流量数据向量集包括N个四模态缺省流量数据向量;所述N表征所述网络节点的数量;
S2,利用预设的深度多模态编码器,对所述四模态缺省流量数据向量集进行数据融合,得到联合特征向量集;所述联合特征向量集包括N个联合特征向量;
S3,遍历所述联合特征向量集,对每个网络节点的联合特征向量进行处理,得到态势影响因子信息集;所述态势影响因子信息包括入侵威胁度IT、漏洞威胁度VT、节点重要度NI、运行性能值OP;所述态势影响因子集包括N个态势影响因子信息;
S4,利用预设的态势计算模型,对所述态势影响因子信息集进行处理,得到安全态势值集;所述安全态势值集包括N个安全态势值;
S5,利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值;
S6,根据所述联合特征向量,利用预设的关联规则挖掘算法模型,得到网络漏洞预测信息。
2.根据权利要求1所述的信息不完备条件下的网络空间安全态势表达方法,其特征在于,所述预设的深度多模态编码器,包括:
第一隐藏层,用于从四模态缺省流量数据向量中提取特征信息,得到四模态缺省特征信息;所述第一隐藏层包含四个子隐藏层,分别对应四模态缺省流量数据向量中四种模态;所述四种模态包括路由器、防火墙、交换机、流量采集器;
第一融合层,对所述四模态缺省特征信息进行融合,完成模态内及模态间信息补缺,得到完整特征信息;
第二隐藏层,对所述完整特征信息进行处理,得到四模态完整流量信息;所述第二隐藏层包含四个子隐藏层,分别对应所述四种模态;
第二融合层,对所述四模态完整流量信息进行融合,得到联合特征向量。
3.根据权利要求1所述的信息不完备条件下的网络空间安全态势表达方法,其特征在于,所述对所述四模态完整流量信息进行融合,得到联合特征向量,包括:
提取所述四模态完整流量信息的特征,得到四模态完整特征向量;
利用相似度矩阵模型,去除所述四模态完整特征向量的冗余特征,得到四模态主要特征向量;所述四模态主要特征向量的四种模态主要特征向量的维数可以不同;
对所述四模态主要特征向量进行向量拼接融合,得到节点联合特征向量。
4.根据权利要求1所述的信息不完备条件下的网络空间安全态势表达方法,其特征在于,所述对联合特征向量进行处理,得到态势影响因子信息,包括:
对所述联合特征向量中防火墙报警误报率、安全攻击事件防御情况进行计算,得到入侵威胁度IT;
对所述节点联合特征向量中漏洞扫描情况、系统安全设备配置强度进行计算,得到漏洞威胁度VT;
对所述节点联合特征向量中节点的资产价值度、节点在网络拓扑结构中与其他节点的关联程度进行计算,得到节点重要度NI;
对所述节点联合特征向量中主机通信状况进行计算,得到运行性能值OP。
5.根据权利要求1所述的信息不完备条件下的网络空间安全态势表达方法,其特征在于,所述预设的态势计算模型为:
HS(t)=NI(t)×[a1×IT(t)+a2×VT(t)+a3×OP(t)]
式中,t表示时间,HS(t)表示t时刻的安全态势值,NI(t)表示t时刻的重要度,IT(t)表示t时刻的入侵威胁度,VT(t)表示t时刻的漏洞威胁度,OP(t)表示t时刻的运行性能值,α1为入侵威胁度的权重值,α2为漏洞威胁度的权重值,α3为运行性能值的权重值。
6.根据权利要求1所述的信息不完备条件下的网络空间安全态势表达方法,其特征在于,所述利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值,包括:
将网络节点的入侵威胁度IT与漏洞威胁度VT相乘,得到所述网络节点的攻击概率;
将所述网络节点的攻击概率与安全态势值相乘,得到节点的安全态势因子;
将N个网络节点的安全态势因子求和,得到网络整体安全态势值。
7.根据权利要求1所述的信息不完备条件下的网络空间安全态势表达方法,其特征在于,所述根据所述联合特征向量,利用预设的关联规则挖掘算法模型,得到网络漏洞预测信息,包括:
S71,遍历所述联合特征向量,找出第i个属性的最大频繁单维集Fi及其非空单维集Li’;
S72,并对所述单维子集Fi进行剪枝;
S73,通过连接Li-1和所述非空单维集Li’生成Ci;
S74,对于所述Ci中的每个候选i-维集,扫描剪枝后的数据库并计数,生成频繁的i-维集Li;
S75,重复上述步骤S72~S74,直到生成频繁n-维集Ln;
S76,通过对频繁n-维集进行处理,得到多维关联规则;
S77,根据所述多维关联规则,得到漏洞预测信息。
8.一种信息不完备条件下的网络空间安全态势表达装置,其特征在于,所述装置包括:
数据采集模块,用于利用路由器、防火墙、交换机、流量采集器分别从网络节点采集流量数据,得到四模态缺省流量数据向量集;所述四模态缺省流量数据向量集包括N个四模态缺省流量数据向量;所述N表征所述网络节点的数量;
数据融合模块,用于利用预设的深度多模态编码器,对所述四模态缺省流量数据向量集进行数据融合,得到联合特征向量集;所述联合特征向量集包括N个联合特征向量;
第一计算模块,用于对网络中每个节点的联合特征向量进行处理,得到态势影响因子信息集;所述态势影响因子信息包括入侵威胁度IT、漏洞威胁度VT、节点重要度NI、运行性能值OP;所述态势影响因子集包括N个态势影响因子信息;
第二计算模块,用于利用预设的态势计算模型,对所述态势影响因子信息集进行处理,得到安全态势值集;所述安全态势值集包括N个安全态势值;
第三计算模块,用于利用预设的网络整体安全态势模型,对所述态势影响因子信息集和所述安全态势值集进行处理,得到网络整体安全态势值;
漏洞预测模块,用于利用预设的关联规则挖掘算法模型,得到网络漏洞预测信息。
9.一种信息不完备条件下的网络空间安全态势表达装置,其特征在于,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-7任一项所述的信息不完备条件下的网络空间安全态势表达方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-7任一项所述的信息不完备条件下的网络空间安全态势表达方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210844980.8A CN115225373B (zh) | 2022-07-18 | 2022-07-18 | 一种信息不完备条件下的网络空间安全态势表达方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210844980.8A CN115225373B (zh) | 2022-07-18 | 2022-07-18 | 一种信息不完备条件下的网络空间安全态势表达方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115225373A true CN115225373A (zh) | 2022-10-21 |
CN115225373B CN115225373B (zh) | 2023-04-07 |
Family
ID=83611913
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210844980.8A Active CN115225373B (zh) | 2022-07-18 | 2022-07-18 | 一种信息不完备条件下的网络空间安全态势表达方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115225373B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117113281A (zh) * | 2023-10-20 | 2023-11-24 | 光轮智能(北京)科技有限公司 | 多模态数据的处理方法、设备、智能体和介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108306894A (zh) * | 2018-03-19 | 2018-07-20 | 西安电子科技大学 | 一种基于攻击发生置信度的网络安全态势评估方法及系统 |
CN108900541A (zh) * | 2018-08-10 | 2018-11-27 | 哈尔滨工业大学(威海) | 一种针对云数据中心sdn安全态势感知系统及方法 |
US20200358806A1 (en) * | 2019-05-10 | 2020-11-12 | Cybeta, LLC | System and method for cyber security threat assessment |
CN112165485A (zh) * | 2020-09-25 | 2021-01-01 | 山东炎黄工业设计有限公司 | 一种大规模网络安全态势智能预测方法 |
-
2022
- 2022-07-18 CN CN202210844980.8A patent/CN115225373B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108306894A (zh) * | 2018-03-19 | 2018-07-20 | 西安电子科技大学 | 一种基于攻击发生置信度的网络安全态势评估方法及系统 |
CN108900541A (zh) * | 2018-08-10 | 2018-11-27 | 哈尔滨工业大学(威海) | 一种针对云数据中心sdn安全态势感知系统及方法 |
US20200358806A1 (en) * | 2019-05-10 | 2020-11-12 | Cybeta, LLC | System and method for cyber security threat assessment |
CN112165485A (zh) * | 2020-09-25 | 2021-01-01 | 山东炎黄工业设计有限公司 | 一种大规模网络安全态势智能预测方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117113281A (zh) * | 2023-10-20 | 2023-11-24 | 光轮智能(北京)科技有限公司 | 多模态数据的处理方法、设备、智能体和介质 |
CN117113281B (zh) * | 2023-10-20 | 2024-01-26 | 光轮智能(北京)科技有限公司 | 多模态数据的处理方法、设备、智能体和介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115225373B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112949710B (zh) | 一种图像的聚类方法和装置 | |
CN109977895B (zh) | 一种基于多特征图融合的野生动物视频目标检测方法 | |
US20210374971A1 (en) | Object tracking method and apparatus, storage medium, and electronic device | |
CN111538842A (zh) | 网络空间态势的智能感知和预测方法、装置和计算机设备 | |
CN113177968A (zh) | 目标跟踪方法、装置、电子设备及存储介质 | |
CN114553591B (zh) | 随机森林模型的训练方法、异常流量检测方法及装置 | |
CN111008337A (zh) | 一种基于三元特征的深度注意力谣言鉴别方法及装置 | |
US11934536B2 (en) | Dynamic network risk predicting method based on a graph neural network | |
CN110704694A (zh) | 一种基于网络表示学习的组织层级划分方法及其应用 | |
CN115225373B (zh) | 一种信息不完备条件下的网络空间安全态势表达方法及装置 | |
CN106644035B (zh) | 一种基于时频变换特性的振动源识别方法及系统 | |
CN117156442A (zh) | 基于5g网络的云数据安全保护方法及系统 | |
CN112418256A (zh) | 分类、模型训练、信息搜索方法、系统及设备 | |
CN117807245A (zh) | 网络资产图谱中节点特征提取方法及相似节点搜索方法 | |
CN117221087A (zh) | 告警根因定位方法、装置及介质 | |
CN116545679A (zh) | 一种工业情境安全基础框架及网络攻击行为特征分析方法 | |
CN111832358A (zh) | 一种点云语义解析方法和装置 | |
CN112905832B (zh) | 复杂背景细粒度图像检索系统及方法 | |
CN115766176A (zh) | 网络流量处理方法、装置、设备及存储介质 | |
CN113468540A (zh) | 基于网络安全大数据的安全画像处理方法及网络安全系统 | |
CN114462490A (zh) | 图像目标的检索方法、检索设备、电子设备和存储介质 | |
CN115187884A (zh) | 一种高空抛物识别方法、装置、电子设备及存储介质 | |
CN114821327B (zh) | 电力线和杆塔进行特征提取处理方法、系统及存储介质 | |
CN111652158A (zh) | 目标对象的检测方法和装置、存储介质及电子装置 | |
CN111382628A (zh) | 同行判定方法及相关产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |