CN115277229A - 一种网络安全态势感知方法及系统 - Google Patents

Abstract

本申请涉及一种网络安全态势感知方法及系统，其属于网络安全技术领域，该方法包括获取异常数据流；根据异常数据流得到目标数据；调取预设的种类库，种类库包括与目标数据一一对应的异常因子，每一个异常因子对应一个分值；在种类库中匹配与目标数据对应的异常因子得到第一输出因子；调取指定时间段内被标记的异常因子；基于指定时间段内被标记的异常因子输出测试指令，并在之后的第一预设时间段内接收反馈数据流；根据反馈数据流和对抗学习模型得到确认数据；在种类库中匹配与确认数据对应的异常因子得到第二输出因子；根据第一输出因子的分值、第二输出因子的分值以及态势感知模型得到安全态势等级。本申请具有提升感知安全态势准确度的效果。

Description

一种网络安全态势感知方法及系统

技术领域

本申请涉及网络安全技术领域，尤其是涉及一种网络安全态势感知方法及系统。

背景技术

随着信息技术的发展，计算机网络规模呈量化式增长的同时，网络安全也面临着严峻的挑战。为此，不仅需要采取相应的加固措施、修复策略和提升安全性的技术，还需要对整体网络安全状况进行评估和预测，从整体上动态反映网络安全状况。

在实际应用中，网络安全态势感知的准确度越高，就能够使得提前部署的加固措施和提升安全性的技术更加具有针对性，打造的网络安全屏障也将更加难以突破。因此，如何提升感知安全态势的准确度成为研究的热点。

发明内容

本申请提供一种网络安全态势感知方法及系统，具有提升感知安全态势准确度的特点。

本申请目的一是提供一种网络安全态势感知方法。

本申请的上述申请目的一是通过以下技术方案得以实现的：

一种网络安全态势感知方法，包括：

获取被测系统输出的异常数据流；

根据所述异常数据流和对抗学习模型得到目标数据；

调取预设的种类库，所述种类库包括与目标数据一一对应的异常因子，每一个异常因子对应一个分值；

基于所述目标数据在种类库中匹配对应的异常因子，将与目标数据匹配的异常因子标记为第一输出因子；

调取指定时间段内被标记的异常因子；

基于所述指定时间段内被标记的异常因子和预设的匹配模型得到测试指令；

输出测试指令至测试系统中，并在之后的第一预设时间段内接收被测系统输出的反馈数据流；根据所述反馈数据流和所述对抗学习模型得到确认数据；

基于所述确认数据在种类库中匹配对应的异常因子，将与确认数据匹配的异常因子标记为第二输出因子；

根据所述第一输出因子的分值、第二输出因子的分值以及预设的态势感知模型得到安全态势等级。

通过采用上述技术方案，本申请能够在接收到异常数据流后，分析异常数据流中包含的异常数据，并以分析出的异常数据作为再次探测被测系统中的缺陷是否已经被修复的触发条件。由此可知，本申请感知被测系统的安全态势是随机的，即被测系统产生异常数据时本申请就感知一次安全态势，并且得到的安全态势等级不仅依照被测系统当前生成的异常数据，还依据在指定时间段内被测系统生成的异常数据，从而提高了感知被测系统的安全态势的准确度，进而为进一步提升被测系统的安全性提供数据支持。

本申请在一较佳示例中可以进一步配置为：所述获取到被测系统输出的异常数据流后，采用网络指纹技术对所述异常数据流进行过滤处理。

通过采用上述技术方案，过滤处理异常数据流后，仅保留对于被测系统来说存在安全隐患的异常数据，从而降低了输入到下一步骤的干扰数据，以提高感知被测系统的安全态势的准确度。

本申请在一较佳示例中可以进一步配置为：所述根据所述异常数据流和对抗学习模型得到目标数据之前，需要先建立对抗学习模型；所述建立对抗学习模型的步骤包括：调取历史的异常数据流作为训练样本输入对抗学习网络；

计算当前异常数据流的特征向量和模式向量，并对所述特征向量和所述模式向量进行插值处理，所述当前异常数据流为得到目标数据的异常数据流；

将经过插值处理的特征向量和模式向量输入对抗学习网络中；

当生成的对抗学习模型具有当前异常数据流中包含的异常数据的潜在模式时，输出对抗学习模型。

本申请在一较佳示例中可以进一步配置为：所述种类库包括漏洞种类库、威胁种类库以及入侵种类库，所述漏洞种类库、威胁种类库以及入侵种类库中包含的异常因子的分值由信息保密性、信息完整性、信息威胁性以及信息脆弱性共四个角度的评分相加而得。

通过采用上述技术方案，由于异常因子由四个角度的评分相加而得，从而提高了异常因子的分值准确度，进而保障了得到的安全态势等级的准确度。

本申请在一较佳示例中可以进一步配置为：所述基于指定时间段内被标记的异常因子和预设的匹配模型得到测试指令的步骤包括：

识别所述指定时间段内被标记的异常因子所属的种类；

根据所述种类确认输出的测试指令。

通过采用上述技术方案，由于产生不同种类的异常数据的原因并不相同，而异常数据与异常因子对应，所以识别出异常因子所属的种类后就获知了异常数据的种类，根据异常数据的种类对应输出测试指令，从而便于测试系统有针对性的探测被测系统中存在的缺陷。

本申请在一较佳示例中可以进一步配置为：所述根据所述第一输出因子的分值、第二输出因子的分值以及预设的态势感知模型得到安全态势等级的步骤包括：

判断所述第二输出因子是否与指定时间段内被标记的异常因子对应；

若是，则根据所述第一输出因子的分值、第二输出因子的分值以及第一计算模型得到安全态势等级；

否则，根据所述第一输出因子的分值、第二输出因子的分值以及第二计算模型得到安全态势等级。

通过采用上述技术方案，通过判断第二输出因子是否与指定时间段内被标记的异常因子对应，以此来判断被测系统中的缺陷是否已经被修复，从而计算得到安全态势等级，从而保障了感知到的被测系统的安全态势的准确度。

本申请在一较佳示例中可以进一步配置为：所述根据所述第一输出因子的分值、第二输出因子的分值以及第一计算模型得到安全态势等级的步骤包括：

判断第二输出因子在指定的时间段内是否出现三次以上；

若否，则计算总分值＝第一输出因子的分值+第二输出因子的分值×2ⁿ，所述n为第二输出因子在指定时间段内，以安全态势等级的隐患程度由轻至重的方向进行排序中的顺序；

根据所述总分值确定安全态势等级。

通过采用上述技术方案，当被测系统中的缺陷未被修复时，说明被测系统的安全态势是趋近于隐患程度高的一侧，此时将第一输出因子、第二输出因子的出现次数、第二输出因子在指定时间段内的安全态势等级均纳入第一计算模型中，从而提高了本申请感知得到的被测系统的安全态势的准确度。

本申请在一较佳示例中可以进一步配置为：所述根据总分值确定安全态势等级的步骤包括：

调取等级库，所述等级库包括一级、二级、三级、四级以及五级，所述一级、二级、三级、四级以及五级分别对应不同的分值范围；

基于所述总分值在等级库中匹配相同的分值，将匹配得到的分值所在的等级输出为安全态势等级。

本申请在一较佳示例中可以进一步配置为：所述根据所述第一输出因子的分值、第二输出因子的分值以及第二计算模型得到安全态势等级的步骤包括：

计算总分值＝第一输出因子的分值+第二输出因子的分值；

根据所述总分值确定安全态势等级。

通过采用上述技术方案，当被测系统中的缺陷已经被修复时，将第一输出因子的分值和第二输出因子的分值纳入第二计算模型中，从而客观的计算被测系统当前的安全态势等级，从而便于被测系统仅针对产生第一输出因子和第二输出因子的漏洞进行修复。

本申请目的二是提供一种网络安全态势感知系统。

本申请的上述申请目的二是通过以下技术方案得以实现的：

一种网络安全态势感知系统，包括：

第一获取模块，用于获取被测系统输出的异常数据流；

第一确认模块，用于根据所述异常数据流和对抗学习模型得到目标数据；

第一调取模块，用于调取预设的种类库，所述种类库包括与目标数据一一对应的异常因子，每一个异常因子对应一个分值；

第一匹配模块，用于基于所述目标数据在种类库中匹配对应的异常因子，将与目标数据匹配的异常因子标记为第一输出因子；

第二调取模块，用于调取指定时间段内被标记的异常因子；

第二匹配模块，用于基于所述指定时间段内被标记的异常因子和预设的匹配模型得到测试指令；

第二获取模块，用于输出测试指令至测试系统中，并在之后的第一预设时间段内接收被测系统输出的反馈数据流；

第二确认模块，用于根据所述反馈数据流和所述对抗学习模型得到确认数据；

第三匹配模块，用于基于所述确认数据在种类库中匹配对应的异常因子，将与确认数据匹配的异常因子标记为第二输出因子；

数据计算模块，用于根据所述第一输出因子的分值、第二输出因子的分值以及预设的态势感知模型得到安全态势等级。

综上所述，本申请包括以下至少一种有益技术效果：

1.本申请计算安全态势等级时，不仅依照被测系统当前生成的异常数据，还依据在指定时间段内被测系统生成的异常数据，从而提高了本申请感知被测系统的安全态势的准确度，进而为进一步提升被测系统的安全性提供数据支持；

2.通过判断第二输出因子是否与指定时间段内被标记的异常因子对应，以此来判断被测系统中的缺陷是否已经被修复，从而计算得到安全态势等级，从而保障了感知到的被测系统的安全态势的准确度。

附图说明

图1为本申请提供的一种应用场景示意图。

图2为本申请实施例的网络安全态势感知方法流程图。

附图标记说明：1、被测系统；2、感知系统；21、第一获取模块；22、第一确认模块；23、第一调取模块；24、第一匹配模块；25、第二调取模块；26、第二匹配模块；27、第二获取模块；28、第二确认模块；29、第三匹配模块；30、数据计算模块；3、测试系统。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的全部其他实施例，都属于本申请保护的范围。

图1为本申请提供的一种应用场景示意图，参照图1，在该应用场景中包括被测系统1、感知系统2以及测试系统3。

其中，被测系统1为待进行感知安全态势的计算机网络，计算机网络由用户终端、数据交换器、防火墙、路由器、主控制器等多种网络设备共同组成。在使用被测系统1的过程中，为了保障存储在网络设备中的数据的安全性和在多个网络设备之间传输的数据的安全性，常设置有监控数据安全性的硬件设备和软件程序。因此，在监控到计算机网络中的异常数据时，硬件设备和/或软件程序将做出响应，如自动断开网络设备间的连接通道、或启动查杀模式以消杀存在的安全隐患或者生成日志以提示用户进行深度扫描，从而实现全面消杀隐患数据，还将监控到的异常数据存储至主控制器中，便于为后续感知计算机网络的安全态势提供数据支持。

感知系统2用于获取被测系统1的异常数据流，并依据异常数据流感知被测系统1的安全态势，从而便于被测系统1有针对性的更新升级硬件设备和软件程序，以进一步提高被测系统1的安全性。

具体地，感知系统2包括存储器和处理器。其中，存储器可用于存储指令、程序、代码、代码集或指令集。存储器可以包括存储程序区和存储数据区，其中存储程序区可存储用于实现操作系统的指令，存储数据区用于存储种类库。处理器可以包括一个或者多个处理核心。处理器通过运行或执行存储在存储器内的指令、程序、代码集或指令集，调用存储在存储器的数据，执行本申请的各种功能和处理数据。处理器可以为特定用途集成电路、数字信号处理器、数字信号处理装置、可编程逻辑装置、现场可编程门阵列、中央处理器、控制器、微控制器和微处理器中的至少一种。

处理器包括第一获取模块21、第一确认模块22、第一调取模块23、第一匹配模块24、第二调取模块25、第二匹配模块26、第二获取模块27、第二确认模块28、第三匹配模块29、数据计算模块30。第一获取模块21、第一确认模块22、第一调取模块23、第一匹配模块24、第二调取模块25、第二匹配模块26、第二获取模块27、第二确认模块28、第三匹配模块29、数据计算模块30共同配合以完成感知被测系统1的安全态势。

测试系统3用于为被测系统1提供渗透测试和安全测试，测试系统3包括路由器和服务器，其中路由器用于搭建测试系统3与被测系统1之间的链接通道，便于外界测试终端通过路由器以实现对被测系统1的渗透测试和安全测试。在一种可实现的方式中，路由器优选为openwrt路由器。上述外界测试终端为测试人员所使用的智能平板或者电脑。测试系统3中的服务器内存储有多种测试程序，服务器能够调取测试程序，以用于为被测系统1提供渗透测试和安全测试。

需要说明的是，服务器具有支撑测试系统3独立进行渗透测试和安全测试的控制程序，使得测试系统3能够在脱离感知系统2的情况下依然能够执行渗透测试和安全测试的工作。同时，服务器也受控于感知系统2，使得在感知系统2输出测试指令时，服务器会自动调取测试程序对被测系统1进行渗透测试和安全测试，以配合感知系统2完成感知被测系统1的安全态势的任务。

图2为本申请提供的一种网络安全态势感知方法，参照图2，该方法的主要流程描述如下：

步骤S1：获取被测系统1输出的异常数据流。

异常数据流包括漏洞数据、威胁数据、入侵数据以及用户误操作数据。为了从异常数据流中获取到对于被测系统1来说存在安全隐患的异常数据，如得到漏洞数据、威胁数据、入侵数据，以减少进入下一步骤的干扰数据，因此，处理器在得到异常数据流后，首先对异常数据流进行过滤处理。

具体的，本申请采用网络指纹技术过滤掉用户误操作数据，即追溯异常数据流中包含的每一个异常数据的来源，然后将属于用户误操作数据的异常数据抽出，仅保留对于被测系统1来说存在安全隐患的异常数据。

需要说明的是，处理器可以从主控制器中获取异常数据流，然后对异常数据流进行过滤处理；处理器也可以通过镜像技术直接从用户终端、数据交换器、防火墙、路由器、中直接获取异常数据，由于处理器选择异常数据时本身具有甄别性，所以当获取到的是异常数据时无需进行过滤处理，而是直接进入下一步骤。

步骤S2：根据异常数据流和对抗学习模型得到目标数据。

异常数据流经过步骤S1过滤掉用户误操作数据后，将保留下来的异常数据流输入对抗学习模型中，由对抗学习模型将输入的异常数据流进行分类，并将每一类异常数据输出为一个目标数据。由于异常数据流可能包含有多个异常数据，如包含有漏洞数据、威胁数据、入侵数据中的任意两种或者三种。所以，输入对抗学习模型的异常数据流中包含有多少个种类的异常数据就会对应输出数量相同的目标数据。

当输入对抗学习模型的是异常数据时，则对抗学习模型直接判断异常数据的种类，并对应输出目标数据。

具体地，对抗学习模型的建立过程为：首先，调取历史的异常数据流作为训练样本输入对抗学习网络中，利用判别器和生成器进行对抗学习，更新生成器和判别器，使得生成器拟合训练样本的分布；然后，将当前获取到的异常数据流转换为特征向量和模式向量，并分别对特征向量和模式向量进行插值处理，并将经过插值处理的特征向量和模式向量输入对抗学习网络，再次利用编码器和生成器进行对抗学习，更新迭代生成器和判别器中的训练数据，当生成的对抗学习模型具有当前异常数据流中包含的异常数据的潜在模式时，输出对抗学习模型，从而建立完成对抗学习模型。

上述的潜在模式是指对抗学习模型能够识别出与异常数据相似的其他数据，并能够对相似的其他数据按照异常数据的种类进行分类。

得到对抗学习模型后，将对抗学习模型存储至存储器中，在处理器获取到被测系统1输出的异常数据流后，对抗学习模型自动整理和分类异常数据流中包含的异常数据以输出目标数据。

步骤S3：调取预设的种类库。

种类库中存储有异常因子，一个异常数据为一个异常因子，每一个异常因子根据信息保密性、信息完整性、信息威胁性、信息脆弱性共四个角度进行评分，从而得到每一个异常因子对应一个分值。为了便于进行说明每一个异常因子的分值，以信息保密性为例：

分值为1时：异常数据为公开的信息资源、共同使用的设备资源等信息；

分值为2时：异常数据为仅在内部使用和公开的信息，不能向外公开或者造成破坏影响的信息；

分值为3时：异常数据为具有一定程度的隐蔽性，一旦泄露会造成安全和资源受损，只有相关人员能够接触到的信息；

分值为4时：具有重要机密，泄露会造成安全和资源收到严重破坏；

分值为5时：最高机密，决定整个被测系统1的根本安全，一旦泄露，影响巨大。

在本实施例中，种类库设置有三个，分别为漏洞种类库、威胁种类库以及入侵种类库，每一个种类库中存储有属于该种类下的多个异常因子。种类库中的异常因子可以通过网络爬虫在现有的互联网中获取而得，也可以是对抗学习模型输出的异常数据。

步骤S4：基于目标数据在种类库中匹配对应的异常因子，将与目标数据匹配的异常因子标记为第一输出因子。

对抗学习模型确认目标数据的种类后，将目标数据输出至对应的种类库，种类库中若存在与目标数据对应的异常因子，则将与目标数据匹配的异常因子标记为第一输出因子。若种类库中不存在与目标数据对应的异常因子，则输入目标数据后，自动更新种类库，并将更新后增加的异常因子标记为第一输出因子。

步骤S5：调取指定时间段内被标记的异常因子。

在标记第一输出因子后，才执行调取指定时间段内被标记的异常因子的任务。

具体地，指定时间段可以为搭建被测系统1以来的时间段，也可以为年、月、周时间段。在实际使用过程中，若被测系统1中生成的异常数据流频次高，如每月一百次以上或者每周五十次以上，则可以适应性的降低指定时间段内的周期，如指定时间段设置为前一个月或者前三个月；若每年低于三十次以下或者搭建被测系统1以来并未产生异常数据流，则可以适应性的增长指定时间段内的周期，如指定时间段设置为半年或者一年，从而不仅在异常数据流量大时有效降低感知系统2的计算数据量，而且调取的被标记的异常因子更加具有参考价值。

步骤S6：基于指定时间段内被标记的异常因子和预设的匹配模型得到测试指令。

由于指定时间段内被标记的异常因子是从种类库中输出的，这是因为在种类库存在标记异常因子的记录，所以能够根据输出指定时间段内被标记的异常因子的种类库，以确定指定时间段内被标记的异常因子的种类，进而根据该异常因子所属的种类生成对应的测试指令。

需要说明的是，指定时间段内被标记的异常因子不同而令输出的测试指令也随之不同的目的是：便于测试系统3根据测试指令调取测试程序，以能够针对被测系统1在指定时间段内存在的漏洞进行探测，以判断出被测系统1的漏洞是否被修复。由于被测系统1存在漏洞的缘故，所以被测系统1才会产生异常数据，因此通过再次探测被测系统1中是否还会产生已经产生过的异常数据，从而判断出漏洞是否被修复。

步骤S7：输出测试指令至测试系统3中，并在之后的第一预设时间段内接收被测系统1输出的反馈数据流。

感知系统2生成测试指令后，将测试指令输出至测试系统3中，测试系统3的服务器根据测试指令所包含的异常因子的种类，在测试系统3中调取对应的测试程序，从而用测试程序对被测系统1进行渗透测试和安全测试。

测试系统3对被测系统1进行渗透测试和安全测试时，被测系统1将会基于当前存在的漏洞生成反馈数据流。由于测试系统3执行渗透测试和安全测试需要消耗时间，所以在本实施例中，设定有第一预设时间段供被测系统1生成反馈数据流，因此，第一预设时间段是以感知系统2输出测试指令开始计时，而以被测系统1生成反馈数据并传输至感知系统2停止计时，第一预设时间段就是开始计时至停止计时之间的时间。

由于不同的被测系统1的规模大小存在差异，所以针对于测试不同的被测系统1而设定的第一预设时间段可能存在差异，但都可以通过有限次的试验而得。

步骤S8：根据反馈数据流和对抗学习模型得到确认数据。

根据反馈数据流和对抗学习模型得到确认数据的过程与步骤S2中根据异常数据流和对抗学习模型得到目标数据的过程相同，且所采用的对抗学习模型为同一个，所以在此不再对得到确认数据进行赘述。

步骤S9：基于确认数据在种类库中匹配对应的异常因子，将与确认数据匹配的异常因子标记为第二输出因子。

在种类库中匹配与确认数据对应的异常因子同步骤S4中在种类库中匹配与目标数据对应的异常因子的过程相同，且所采用的种类库也相同，所以在此不再对为确认数据匹配对应的异常因子进行赘述。

为确认数据匹配得到对应的异常因子后，将与确认数据相匹配的异常因子标记为第二输出因子，以进入下一步骤。

步骤S10：根据第一输出因子的分值、第二输出因子的分值以及预设的态势感知模型得到安全态势等级。

具体地，得到第二输出因子后，首先判断第二输出因子是否与指定时间段内被标记的异常因子对应，然后根据判断结果得到以下两种生成安全态势等级的情况。

第一种情况：当第二输出因子是否与指定时间段内被标记的异常因子对应时，说明被测系统1并未根据之前感知系统2感知的安全态势等级进行安全提升工作，或者即使被测系统1做出了改进，但是并未有成效。因此，当第二输出因子与指定时间段内被标记的异常因子对应时，说明被测系统1的安全态势是趋近于隐患程度高的一侧。

因此，在第一种情况下，根据第一输出因子的分值、第二输出因子的分值以及第一计算模型得到安全态势等级。具体为：

第一步：判断第二输出因子在指定的时间段内是否出现三次以上。

第二步：若是，则得到安全态势等级为隐患程度最高的等级。

第三步：否则，则计算总分值＝第一输出因子的分值+第二输出因子的分值×。n为第二输出因子在指定时间段内，以安全态势等级的隐患程度由轻至重的方向进行排序中的顺序。

第四步：根据总分值确定安全态势等级。

简单来说，第一计算模型首先是判断第二输出因子是否出现三次以上，若是，则直接输出安全态势为一级；否则，当第二输出因子未出现三次以上时，则通过计算：第一输出因子的分值+第二输出因子的分值×＝总分值，并根据总分值匹配对应的等级。

在本实施例中，为总分值匹配对应的等级是依据等级库而进行的。为此，本申请的态势感知模型中还存储有等级库，等级库包括一级、二级、三级、四级以及五级。其中，五级对应分值范围为0-10分、四级对应分值范围为11-20分、三级对应分值范围为21-40分、二级对应分值范围为41-60分、三级对应分值范围为61分以上。

为了便于进行说明第一种情况，举例如下：

第二输出因子在指定的时间段内出现两次，有一次是二级，另一次是五级，则n＝4(二级在五个等级以隐患程度由轻至重进行排序时，二级的顺序为4)，而第一输出因子的分值为10分，第二输出因子为8分，则得到总分值＝10+8×＝138分，由于138分大于61分，所以得到安全态势等级为一级。

得到被测系统1的安全态势等级后，再调取被测系统1在指定时间段内每一次进行感知时的安全态势等级，然后以柱状图、饼图、曲线图等形式展示被测系统1的安全态势，从而便于用户直观的获知被测系统1的安全态势。

第二种情况：当第二输出因子是否与指定时间段内被标记的异常因子不对应时，为了客观计算被测系统1的安全态势等级，所以引入了第二计算模型。具体地：

第一步：计算总分值＝第一输出因子的分值+第二输出因子的分值；

第二步：根据总分值确定安全态势等级。

上述第二种情况和第一种情况中根据总分值确定安全态势等级的过程相同，所以在此不再赘述。简单来说，第二种情况就是计算：第一输出因子的分值+第二输出因子的分值＝总分值，并根据总分值匹配对应的等级，从而得到被测系统1的安全态势等级。

相同地，通过第二种情况得到安全态势等级后，同样调取被测系统1在指定时间段内每一次进行感知时的安全态势等级，然后以柱状图、饼图、曲线图等形式展示被测系统1的安全态势。从而便于用户直观的获知被测系统1的安全态势。

综上所述，本申请能够在接收到异常数据流后，并以分析出的异常数据作为再次探测被测系统1中的缺陷是否已经被修复的触发条件。由此可知，本申请感知被测系统1的安全态势是随机的，即被测系统1产生异常数据时本申请就感知一次安全态势，并且得到的安全态势等级不仅依照被测系统1当前生成的异常数据，还依据在指定时间段内被测系统1生成的异常数据，从而提高了感知被测系统1的安全态势的准确度。

以上描述仅为本申请得较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离前述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其他技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.一种网络安全态势感知方法，其特征在于，包括：

获取被测系统(1)输出的异常数据流；

根据所述异常数据流和对抗学习模型得到目标数据；

调取预设的种类库，所述种类库包括与目标数据一一对应的异常因子，每一个异常因子对应一个分值；

基于所述目标数据在种类库中匹配对应的异常因子，将与目标数据匹配的异常因子标记为第一输出因子；

调取指定时间段内被标记的异常因子；

基于所述指定时间段内被标记的异常因子和预设的匹配模型得到测试指令；

输出测试指令至测试系统(3)中，并在之后的第一预设时间段内接收被测系统(1)输出的反馈数据流；

根据所述反馈数据流和所述对抗学习模型得到确认数据；

基于所述确认数据在种类库中匹配对应的异常因子，将与确认数据匹配的异常因子标记为第二输出因子；

根据所述第一输出因子的分值、第二输出因子的分值以及预设的态势感知模型得到安全态势等级。

2.根据权利要求1所述的网络安全态势感知方法，其特征在于，所述获取到被测系统(1)输出的异常数据流后，采用网络指纹技术对所述异常数据流进行过滤处理。

3.根据权利要求1所述的网络安全态势感知方法，其特征在于，所述根据所述异常数据流和对抗学习模型得到目标数据之前，需要先建立对抗学习模型；所述建立对抗学习模型的步骤包括：

调取历史的异常数据流作为训练样本输入对抗学习网络；

计算当前异常数据流的特征向量和模式向量，并对所述特征向量和所述模式向量进行插值处理，所述当前异常数据流为得到目标数据的异常数据流；

将经过插值处理的特征向量和模式向量输入对抗学习网络中；

当生成的对抗学习模型具有当前异常数据流中包含的异常数据的潜在模式时，输出对抗学习模型。

4.根据权利要求1所述的网络安全态势感知方法，其特征在于，所述种类库包括漏洞种类库、威胁种类库以及入侵种类库，所述漏洞种类库、威胁种类库以及入侵种类库中包含的异常因子的分值由信息保密性、信息完整性、信息威胁性以及信息脆弱性共四个角度的评分相加而得。

5.根据权利要求1所述的网络安全态势感知方法，其特征在于，所述基于指定时间段内被标记的异常因子和预设的匹配模型得到测试指令的步骤包括：

识别所述指定时间段内被标记的异常因子所属的种类；

根据所述种类确认输出的测试指令。

6.根据权利要求1所述的网络安全态势感知方法，其特征在于，所述根据所述第一输出因子的分值、第二输出因子的分值以及预设的态势感知模型得到安全态势等级的步骤包括：

判断所述第二输出因子是否与指定时间段内被标记的异常因子对应；

若是，则根据所述第一输出因子的分值、第二输出因子的分值以及第一计算模型得到安全态势等级；

否则，根据所述第一输出因子的分值、第二输出因子的分值以及第二计算模型得到安全态势等级。

7.根据权利要求6所述的网络安全态势感知方法，其特征在于，所述根据所述第一输出因子的分值、第二输出因子的分值以及第一计算模型得到安全态势等级的步骤包括：

判断第二输出因子在指定的时间段内是否出现三次以上；

若否，则计算总分值=第一输出因子的分值+第二输出因子的分值×，所述n为第二输出因子在指定时间段内，以安全态势等级的隐患程度由轻至重的方向进行排序中的顺序；

根据所述总分值确定安全态势等级。

8.根据权利要求7所述的网络安全态势感知方法，其特征在于，所述根据总分值确定安全态势等级的步骤包括：

调取等级库，所述等级库包括一级、二级、三级、四级以及五级，所述一级、二级、三级、四级以及五级分别对应不同的分值范围；

基于所述总分值在等级库中匹配相同的分值，将匹配得到的分值所在的等级输出为安全态势等级。

9.根据权利要求6所述的网络安全态势感知方法，其特征在于，所述根据所述第一输出因子的分值、第二输出因子的分值以及第二计算模型得到安全态势等级的步骤包括：

计算总分值=第一输出因子的分值+第二输出因子的分值；

根据所述总分值确定安全态势等级。

10.一种网络安全态势感知系统，其特征在于，包括：

第一获取模块(21)，用于获取被测系统(1)输出的异常数据流；

第一确认模块(22)，用于根据所述异常数据流和对抗学习模型得到目标数据；

第一调取模块(23)，用于调取预设的种类库，所述种类库包括与目标数据一一对应的异常因子，每一个异常因子对应一个分值；

第一匹配模块(24)，用于基于所述目标数据在种类库中匹配对应的异常因子，将与目标数据匹配的异常因子标记为第一输出因子；

第二调取模块(25)，用于调取指定时间段内被标记的异常因子；

第二匹配模块(26)，用于基于所述指定时间段内被标记的异常因子和预设的匹配模型得到测试指令；

第二获取模块(27)，用于输出测试指令至测试系统(3)中，并在之后的第一预设时间段内接收被测系统(1)输出的反馈数据流；

第二确认模块(28)，用于根据所述反馈数据流和所述对抗学习模型得到确认数据；

第三匹配模块(29)，用于基于所述确认数据在种类库中匹配对应的异常因子，将与确认数据匹配的异常因子标记为第二输出因子；

数据计算模块(30)，用于根据所述第一输出因子的分值、第二输出因子的分值以及预设的态势感知模型得到安全态势等级。

Images