CN115314415B - 网络安全态势预测方法、装置、电子设备及存储介质 - Google Patents
网络安全态势预测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115314415B CN115314415B CN202210806032.5A CN202210806032A CN115314415B CN 115314415 B CN115314415 B CN 115314415B CN 202210806032 A CN202210806032 A CN 202210806032A CN 115314415 B CN115314415 B CN 115314415B
- Authority
- CN
- China
- Prior art keywords
- alarm event
- target
- preset
- network security
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Alarm Systems (AREA)
Abstract
本公开涉及网络安全技术领域,尤其涉及一种网络安全态势预测方法、装置、电子设备及存储介质,通过针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数;根据初始告警事件次数和目标告警事件次数,确定预设周期内用来预测所述网络安全态势的目标告警事件等级;其中,初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的,目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的目标告警事件等级对应不同的网络安全态势。采用该方法能够提高对网络安全态势感知的效率。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种网络安全态势预测方法、装置、电子设备及存储介质。
背景技术
目前,随着网络技术和通信技术的不断发展,互联网的规模不断壮大、以及网络流量的日益增加,但是与此同时,网络安全问题也日益频繁出现,由于网络安全作为信息化建设中重要的一部分,因此对于网络安全问题,若得不到及时有效的预警以及处理,则会威胁到国家安全、人民利益的损失,因此,目前亟需一种对网络安全进行监控预警的技术手段。
现有技术中,通常采用网络安全态势感知实现对网络安全态势的预测,具体的,通过在大规模的网络环境中,获取引发网络安全态势变化的告警数据,并分析处理,以此实现对网络安全态势的预测。
然而,采用现有技术,由于网络环境日益复杂,且需要获取引发网络安全态势变化的所有网络告警数据,导致获取的网络告警数据量较大,从而降低了对网络安全态势感知的效率。
发明内容
基于此,有必要针对上述技术问题,提供了一种网络安全态势预测方法、装置、电子设备及存储介质。
本公开实施例的第一方面,提供一种网络安全态势预测方法,所述方法包括:
针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数;
根据初始告警事件次数和所述目标告警事件次数,确定预设周期内用来预测所述网络安全态势的目标告警事件等级;
其中,所述初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的,所述目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的所述目标告警事件等级对应不同的所述网络安全态势。
在一个实施例中,所述针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数之前,还包括:
确定所述目标区域;
根据至少一个所述历史告警事件对应的空间坐标、所述目标区域对应的图层空间坐标,当确定属于所述目标区域的至少一个所述历史告警事件时,获取至少两个预设周期内的历史告警事件次数。
在一个实施例中,所述针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数,包括:
针对所述目标区域,计算至少两个预设周期内的历史告警事件次数的平均值,得到所述初始告警事件次数;
基于至少两个预设周期内的历史告警事件次数和列文伯格-马夸尔特法,调整所述初始告警事件次数,直至目标函数满足预设条件时,确定当前所述初始告警事件次数为预设周期内的目标告警事件次数。
在一个实施例中,所述根据初始告警事件次数和所述目标告警事件次数,确定预设周期内用来预测所述网络安全态势的目标告警事件等级,包括:
当所述初始告警事件次数小于所述目标告警事件次数时,确定预设周期内所述目标告警事件等级为所述绿色告警事件等级,其中,所述绿色告警事件等级预测所述网络安全态势为安全态势;
当所述初始告警事件次数和所述目标告警事件次数的差值大于第一预设告警事件次数时,确定预设周期内所述目标告警事件等级为所述黄色告警事件等级,其中,所述第一预设告警事件次数是根据所述目标告警事件次数和第一阈值的乘积确定的,所述黄色告警事件等级预测所述网络安全态势为低危态势;或
当所述初始告警事件次数和所述目标告警事件次数的差值大于第二预设告警事件次数时,确定预设周期内所述目标告警事件等级为所述红色告警事件等级,其中,所述第二预设告警事件次数是根据所述目标告警事件次数和第二阈值的乘积确定的,所述第二阈值大于所述第一阈值,所述红色告警事件等级预测所述网络安全态势为高危态势。
在一个实施例中,所述方法还包括:
当确定所述目标告警事件等级为所述黄色告警事件等级,预测所述网络安全态势为低危态势时,向相关人员发送预警提示;或
当确定所述目标告警事件等级为所述红色告警事件等级,确定所述网络安全态势为高危态势时,向所述相关人员发送预警提示,并指示所述相关人员启动预设安全预警措施,进行网络安全预警。
在一个实施例中,所述方法还包括:
针对所述目标区域,根据预设周期内的所述目标告警事件等级,在页面展示所述网络安全态势。
本公开实施例的第二方面,提供一种网络安全态势预测装置,所述装置包括:
目标告警事件次数确定模块,用于针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数;
目标告警事件等级确定模块,用于根据初始告警事件次数和所述目标告警事件次数,确定预设周期内用来预测所述网络安全态势的目标告警事件等级;
其中,所述初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的,所述目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的所述目标告警事件等级对应不同的所述网络安全态势。
在一个实施例中,所述装置还包括:
目标区域确定模块,用于确定所述目标区域;
历史告警事件确定模块,用于根据至少一个所述历史告警事件对应的空间坐标、所述目标区域对应的图层空间坐标,当确定属于所述目标区域的至少一个所述历史告警事件时,获取至少两个预设周期内的历史告警事件次数。
本公开实施例的第三方面,提供一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一所述的方法。
第四方面,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面中任一所述的方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开提供了一种网络安全态势预测方法、装置、电子设备及存储介质,通过针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数;根据初始告警事件次数和目标告警事件次数,确定预设周期内用来预测所述网络安全态势的目标告警事件等级;其中,初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的,目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的目标告警事件等级对应不同的网络安全态势。这样,通过获取目标区域内的多个预设周期内的历史告警事件次数,得到目标告警事件次数,并根据目标区域内的初始告警事件次数与目标告警事件次数,得到用来预测网络安全态势的目标告警事件等级,以此能够避免现有技术中在复杂的网络中获取大量的网络告警数据,减少数据量,从而提高了对网络安全态势感知的效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种网络安全态势预测方法的流程示意图;
图2为本公开实施例提供的另一种网络安全态势预测方法的流程示意图;
图3为本公开实施例提供的一种网络安全态势预测装置的结构示意图;
图4为本公开实施例提供的电子设备的内部结构图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
本公开的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
目前,随着网络技术和通信技术的不断发展,互联网的规模不断壮大、以及网络流量的日益增加,但是与此同时,网络安全问题也日益频繁出现,由于网络安全作为信息化建设中重要的一部分,因此对于网络安全问题,若得不到及时有效的预警以及处理,则会威胁到国家安全、人民利益的损失,因此,目前亟需一种对网络安全进行监控预警的技术手段。现有技术中,通常采用网络安全态势感知实现对网络安全态势的预测,具体的,通过在大规模的网络环境中,获取引发网络安全态势变化的安全数据,并分析处理,以此实现对网络安全态势的预测。
然而,采用现有技术,由于网络环境日益复杂,且需要获取引发网络安全态势变化的所有网络告警数据,导致获取的网络告警数据量较大,从而降低了对网络安全态势感知的效率。
基于此,本公开提供了一种网络安全态势预测方法、装置、电子设备及存储介质,通过针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数;根据初始告警事件次数和目标告警事件次数,确定预设周期内用来预测所述网络安全态势的目标告警事件等级;其中,初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的,目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的目标告警事件等级对应不同的网络安全态势。这样,通过获取目标区域内的多个预设周期内的历史告警事件次数,得到目标告警事件次数,并根据目标区域内的初始告警事件次数与目标告警事件次数,得到用来预测网络安全态势的目标告警事件等级,以此能够避免现有技术中在复杂的网络中获取大量的网络告警数据,减少数据量,从而提高了对网络安全态势感知的效率。
在一个实施例中,如图1所示,图1为本公开实施例提供的一种网络安全态势预测方法的流程示意图,具体包括以下步骤:
S11:针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数。
其中,目标区域是指发生的告警事件所属区域范围,该目标区域可以是一个区,还可以是一个省,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
需要说明的是,上述告警事件是指在目标区域内发生的所有网络安全事件,并不特指某一个特定的网络安全事件。
上述预设周期是指获取目标告警事件次数的一个时长,该预设周期是以一天、一周、一月、一季度或一年中的一个为基数确定的,示例性的,可以设置每个预设周期为一个月,还可以设置每个预设周期为两个月,即,当每个预设周期为一个月时,根据多个预设周期如多个月中分别对应的历史告警事件次数获取预设周期如一个月内的目标告警事件次数,但不限于此,本公开不具体限制,本领域人员可根据实际情况设置。
具体的,获取目标区域内的多个预设周期内的每个预设周期的历史告警事件次数,根据多个预设周期内的多个历史告警事件次数,确定一个预设周期内的目标告警事件次数。
可选的,在上述实施例的基础上,在本公开的一些实施例中,如图2所示,在执行S11之前,还包括:
S21:确定目标区域。
S22:根据至少一个历史告警事件对应的空间坐标、目标区域对应的图层空间坐标,当确定属于目标区域的至少一个历史告警事件时,获取至少两个预设周期内的历史告警事件次数。
其中,图层空间坐标是指针对目标区域对应的多个空间物理坐标,示例性的,可以通过在终端设备上的地图软件,读取目标区域对应的多个空间物理坐标,例如,对于目标区域XX区,能够在终端设备上的地图软件中确定该XX区的多个空间物理坐标,但不限于此,本公开不具体限制,本领域人员可根据实际情况设置。
具体的,在确定目标区域之后,根据多个历史告警事件的X、Y空间坐标,以及目标区域对应的图层空间坐标,确定属于目标区域的一个或多个历史告警事件之后,实现对告警事件的定位,在确定历史告警事件属于目标区域之后,获取目标区域内的多个预设周期内的历史告警事件次数。
上述获取历史告警事件可以通过网络安全探针设备获取,根据网络安全探针设备上报的历史告警事件,获取历史告警事件的空间坐标,但不限于此,本公开不具体限制,本领域人员可根据实际情况设置。
可选的,在上述实施例的基础上,在本公开一些实施例中,S11的一种执行方式可以是:
S111:针对目标区域,计算至少两个预设周期内的历史告警事件次数的平均值,得到初始告警事件次数。
具体的,对于目标区域,获取目标区域在多个预设周期内的每个预设周期的历史告警事件次数,并进行平均值计算,将计算得到的平均值作为初始告警事件次数。
示例性的,上述预设周期为一个月,可以设置2017年五月这一个月作为预设周期,则获取2017年一月到四月每个月内的历史告警事件次数为100次、120次、80次、100次,通过计算这四个月的历史告警事件次数100次、120次、80次、100次的平均值,得到初始告警事件次数为100次,还可以是获取2014年到2017年三年中每个月的历史告警事件次数,计算2014年到2017年这三年的历史告警事件次数的一个月的告警事件次数平均值,以此作为初始告警事件,但不限于此,本公开不具体限制,本领域人员可根据实际情况设置。
S112:基于至少两个预设周期内的历史告警事件次数和列文伯格-马夸尔特法,调整初始告警事件次数,直至目标函数满足预设条件时,确定当前初始告警事件次数为预设周期内的子目标告警事件次数。
其中,列文伯格-马夸尔特法属于非线性回归中回归参数最小二乘估计的一种估计方法,通过结合最速下降法和线性化方法(泰勒级数),实现对目标函数最值的确定。上述目标函数为列文伯格-马夸尔特法对应的函数,预设条件是指针对于目标函数进行迭代计算,寻找目标函数对应的最小值。
具体的,获取多个预设周期内统计的每个预设周期的历史告警事件次数,根据多个历史告警事件次数和列文伯格-马夸尔特法,对初始告警事件次数进行调整,在列文伯格-马夸尔特法对应的目标函数满足预设条件时,即目标函数寻找到最小值时,确定当前的初始告警事件次数为预设周期内的目标告警事件次数。
需要说明的是,在获取目标告警事件次数的过程中,对于多个预设周期内的历史告警事件次数,存在与多个历史告警事件次数偏离较大的历史告警事件次数,则认为该偏离较大的历史告警事件次数为异常数据,为了保证获取目标告警事件次数的准确性,将该异常数据进行去除,示例性的,可以通过自适应滤波算法进行去除,但不限于此,本公开不具体限制,本领域人员可根据实际情况设置。
S12:根据初始告警事件次数和目标告警事件次数,确定预设周期内用来预测网络安全态势的目标告警事件等级。
其中,初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的。
上述目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的目标告警事件等级对应不同的网络安全态势。
示例性的,当目标告警事件等级为绿色告警事件等级时,则可以确定预设周期内的网络安全态势为安全的;当目标告警事件等级为黄色告警事件等级时,则可以确定预设周期内的网络安全态势为低危的;当目标告警事件等级为红色告警事件等级时,则可以确定预设周期内的网络安全态势为高危的,但不限于此,本公开不具体限制,本领域人员可根据实际情况设置。
需要说明的是,针对不同的目标告警事件等级,如绿色告警事件等级、黄色告警事件等级以及红色告警事件等级,分别对应不同的处理措施。
具体的,在得到预设周期内的目标告警事件次数之后,根据初始告警事件次数和目标告警事件次数,确定预设周期内用来预测网络安全态势的目标告警事件等级如绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,并根据不同的目标告警事件等级来表示预设周期内的网络安全态势。
可选的,在上述实施例的基础上,在本公开的一些实施例中,S12的一种实现方式可以是:
步骤A:当初始告警事件次数小于目标告警事件次数时,确定预设周期内目标告警事件等级为绿色告警事件等级。
其中,绿色告警事件等级预测网络安全态势为安全态势。
具体的,将目标告警事件次数作为参考值,通过将初始告警事件次数和目标告警事件次数进行比较,当初始告警事件次数小于目标告警事件次数的时候,则能够确定预设周期内目标告警事件等级为绿色告警事件等级,即表明网络安全态势为安全态势。
可选的,在上述实施例的基础上,在本公开的一些实施例中,S12的另一种实现方式可以是:
步骤B:当初始告警事件次数和目标告警事件次数的差值大于第一预设告警事件次数时,确定预设周期内目标告警事件等级为黄色告警事件等级。
其中,第一预设告警事件次数是根据目标告警事件次数和第一阈值的乘积确定的,示例性的,第一阈值可以取0.4,还可以取0.6,但不限于此,本公开不具体限制,本领域人员可根据实际情况设置。黄色告警事件等级预测网络安全态势为低危态势。
具体的,计算初始告警事件次数和目标告警事件次数的差值,以及目标告警事件次数和第一阈值的乘积得到第一预设告警事件次数,将第一预设告警事件次数作为参考值,通过将初始告警事件次数和目标告警事件次数的差值和第一预设告警事件次数进行比较,在初始告警事件次数和目标告警事件次数的差值大于第一预设告警事件次数时候,确定预设周期内目标告警事件等级为黄色告警事件等级,即表明网络安全态势为低危态势。
可选的,在上述实施例的基础上,在本公开的一些实施例中,S12的再一种实现方式可以是:
步骤C:当初始告警事件次数和目标告警事件次数的差值大于第二预设告警事件次数时,确定预设周期内目标告警事件等级为红色告警事件等级。
其中,第二预设告警事件次数是根据目标告警事件次数和第二阈值的乘积确定的,第二阈值大于第一阈值,示例性的,第二阈值可以是0.8,但不限于此,本公开不具体限制,本领域人员可根据实际情况设置。红色告警事件等级预测网络安全态势为高危态势。
具体的,计算初始告警事件次数和目标告警事件次数的差值,以及目标告警事件次数和第二阈值的乘积得到第二预设告警事件次数,将第二预设告警事件次数作为参考值,通过将初始告警事件次数和目标告警事件次数的差值和第二预设告警事件次数进行比较,在初始告警事件次数和目标告警事件次数的差值大于第二预设告警事件次数时候,确定预设周期内目标告警事件等级为红色告警事件等级,即表明网络安全态势为高危态势。
这样,本实施例提出的网络安全态势预测方法,通过针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数;根据初始告警事件次数和目标告警事件次数,确定预设周期内用来预测所述网络安全态势的目标告警事件等级;其中,初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的,目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的目标告警事件等级对应不同的网络安全态势。这样,通过获取目标区域内的多个预设周期内的历史告警事件次数,得到目标告警事件次数,并根据目标区域内的初始告警事件次数与目标告警事件次数,得到用来预测网络安全态势的目标告警事件等级,以此能够避免现有技术中在复杂的网络中获取大量的网络告警数据,减少数据量,从而提高了对网络安全态势感知的效率。
可选的,在上述实施例的基础上,在本公开一些实施例中,当确定目标告警事件等级为黄色告警事件等级,预测网络安全态势为低危态势时,向相关人员发送预警提示。
具体的,在确定目标告警事件等级为黄色告警事件等级的时候,表明目标区域内当前网络安全态势为低危态势,则触发预警提示,向相关人员发送预警提示,以此提醒相关人员实时关注网络安全态势。
可选的,在上述实施例的基础上,在本公开一些实施例中,当确定目标告警事件等级为红色告警事件等级,确定网络安全态势为高危态势时,向相关人员发送预警提示,并指示相关人员启动预设安全预警措施,进行网络安全预警。
具体的,在确定目标告警事件等级为红色告警事件等级的时候,表明目标区域内当前网络安全态势为高危态势,则触发预警提示,向相关人员发送预警提示,并指示相关人员启动预设安全预警措施,以此进行网络安全预警。
示例性的,当确定目标告警事件等级为红色告警事件等级的时候,可以通过向相关人员发送预警提示,并下发处置工单,以使得相关人员及时的启动预设安全预警措施,进行网络安全预警,还可以反馈网络安全预警结果,但不限于此,本公开不具体限制,本领域人员可根据实际情况设置。
这样,本实施通过在确定目标告警事件等级为黄色告警事件等级或者是红色告警事件等级的时候,及时的向相关人员发送预警提示,或者是指示相关人员启动预设安全预警措施,进行网络安全预警,从而避免发生网络安全问题。
可选的,在上述实施例的基础上,在本公开一些实施例中,所述方法还包括:
针对目标区域,根据预设周期内的目标告警事件等级,在页面展示网络安全态势。
具体的,对于目标区域,在得到了预设周期内的目标告警事件等级时,在页面展示目标区域在预设周期内的网络安全态势。
示例性的,对于目标区域如XX区,获取预设周期内如一个月内的目标告警事件等级为黄色告警事件等级的时候,在网络安全态势感知系统中的页面展示XX区一个月内的网络安全态势为橙色的,即为低危态势。
这样,本实施通过在页面展示目标区域内预设周期内的网络安全态势,方便用户直观掌握当前网络安全态势的发展趋势。
本公开实施例还提供了一种网络安全态势预测装置,用于执行上述实施例提供的任一种网络安全态势预测方法,具备网络安全态势预测方法相应的有益效果。
图3为本公开实施例提供的一种网络安全态势预测装置,包括:
目标告警事件次数确定模块11,用于针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数;
目标告警事件等级确定模块12,用于根据初始告警事件次数和目标告警事件次数,确定预设周期内用来预测网络安全态势的目标告警事件等级;
其中,初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的,目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的目标告警事件等级对应不同的网络安全态势。
在上述实施例中,所述装置还包括:
目标区域确定模块,用于确定所述目标区域;
历史告警事件确定模块,用于根据至少一个所述历史告警事件对应的空间坐标、所述目标区域对应的图层空间坐标,当确定属于所述目标区域的至少一个所述历史告警事件时,获取至少两个预设周期内的历史告警事件次数。
在上述实施例中,目标告警事件次数确定模块11,具体用于针对目标区域,计算至少两个预设周期内的历史告警事件次数的平均值,得到初始告警事件次数;
基于至少两个预设周期内的历史告警事件次数和列文伯格-马夸尔特法,调整初始告警事件次数,直至目标函数满足预设条件时,确定当前初始告警事件次数为预设周期内的目标告警事件次数。
在上述实施例中,目标告警事件等级确定模块12,具体用于当初始告警事件次数小于目标告警事件次数时,确定预设周期内目标告警事件等级为绿色告警事件等级,其中,绿色告警事件等级预测网络安全态势为安全态势;
当初始告警事件次数和目标告警事件次数的差值大于第一预设告警事件次数时,确定预设周期内目标告警事件等级为黄色告警事件等级,其中,第一预设告警事件次数是根据目标告警事件次数和第一阈值的乘积确定的,黄色告警事件等级预测网络安全态势为低危态势;或
当初始告警事件次数和目标告警事件次数的差值大于第二预设告警事件次数时,确定预设周期内目标告警事件等级为红色告警事件等级,其中,第二预设告警事件次数是根据目标告警事件次数和第二阈值的乘积确定的,第二阈值大于第一阈值,红色告警事件等级预测网络安全态势为高危态势。
在上述实施例中,所述装置还包括:
处理模块,用于当确定目标告警事件等级为黄色告警事件等级,预测网络安全态势为低危态势时,向相关人员发送预警提示;或
当确定目标告警事件等级为红色告警事件等级,确定网络安全态势为高危态势时,向相关人员发送预警提示,并指示相关人员启动预设安全预警措施,进行网络安全预警。
在上述实施例中,所述装置还包括:展示模块,用于针对目标区域,根据预设周期内的目标告警事件等级,在页面展示网络安全态势。
这样,本实施例通过目标告警事件次数确定模块11,用于针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数;目标告警事件等级确定模块12,用于根据初始告警事件次数和目标告警事件次数,确定预设周期内用来预测网络安全态势的目标告警事件等级;其中,初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的,目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的目标告警事件等级对应不同的网络安全态势。这样,通过获取目标区域内的多个预设周期内的历史告警事件次数,得到目标告警事件次数,并根据目标区域内的初始告警事件次数与目标告警事件次数,得到用来预测网络安全态势的目标告警事件等级,以此能够避免现有技术中在复杂的网络中获取大量的网络告警数据,减少数据量,从而提高了对网络安全态势感知的效率。
本实施例的装置对应的可用于执行上述图1到图2任一所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4是本公开实施例提供的一种电子设备的结构示意图,如图4所示,该电子设备包括处理器410、存储器420、输入装置430和输出装置440;计算机设备中处理器410的数量可以是一个或多个,图4中以一个处理器410为例;电子设备中的处理器410、存储器420、输入装置430和输出装置440可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储器420作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中方法对应的程序指令/模块。处理器410通过运行存储在存储器420中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现本发明实施例所提供的方法。
存储器420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器420可进一步包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置430可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘、鼠标等。输出装置440可包括显示屏等显示设备。
本公开实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于实现本发明实施例所提供的方法,方法包括:
针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数;
根据初始告警事件次数和所述目标告警事件次数,确定预设周期内用来预测网络安全态势的目标告警事件等级;
其中,初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的,目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的目标告警事件等级对应不同的网络安全态势。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(RandomAccess Memory, RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种网络安全态势预测方法,其特征在于,所述方法包括:
针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数,其中,所述预设周期是指获取目标告警事件次数的一个时长,该预设周期是以一天、一周、一月、一季度或一年中的一个为基数确定的,所述历史告警事件是指在目标区域内发生的所有网络安全事件;
根据初始告警事件次数和所述目标告警事件次数,确定预设周期内用来预测所述网络安全态势的目标告警事件等级;
其中,所述初始告警事件次数是根据至少两个预设周期内的所述历史告警事件次数的平均值得到的,所述目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的所述目标告警事件等级对应不同的所述网络安全态势;
其中,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数,包括:
针对所述目标区域,计算至少两个预设周期内的历史告警事件次数的平均值,得到所述初始告警事件次数;
基于至少两个预设周期内的历史告警事件次数和列文伯格-马夸尔特法,调整所述初始告警事件次数,直至目标函数满足预设条件时,确定当前所述初始告警事件次数为预设周期内的目标告警事件次数,其中,所述目标函数为列文伯格-马夸尔特法对应的函数,所述预设条件是指针对于目标函数进行迭代计算,确定目标函数对应的最小值;
所述根据初始告警事件次数和所述目标告警事件次数,确定预设周期内用来预测所述网络安全态势的目标告警事件等级,包括:
当所述初始告警事件次数小于所述目标告警事件次数时,确定预设周期内所述目标告警事件等级为所述绿色告警事件等级,其中,所述绿色告警事件等级预测所述网络安全态势为安全态势;
当所述初始告警事件次数和所述目标告警事件次数的差值大于第一预设告警事件次数时,确定预设周期内所述目标告警事件等级为所述黄色告警事件等级,其中,所述第一预设告警事件次数是根据所述目标告警事件次数和第一阈值的乘积确定的,所述黄色告警事件等级预测所述网络安全态势为低危态势;或
当所述初始告警事件次数和所述目标告警事件次数的差值大于第二预设告警事件次数时,确定预设周期内所述目标告警事件等级为所述红色告警事件等级,其中,所述第二预设告警事件次数是根据所述目标告警事件次数和第二阈值的乘积确定的,所述第二阈值大于所述第一阈值,所述红色告警事件等级预测所述网络安全态势为高危态势。
2.根据权利要求1所述的方法,其特征在于,所述针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数之前,还包括:
确定所述目标区域;
根据至少一个所述历史告警事件对应的空间坐标、所述目标区域对应的图层空间坐标,当确定属于所述目标区域的至少一个所述历史告警事件时,获取至少两个预设周期内的历史告警事件次数,其中,所述图层空间坐标是指针对目标区域对应的多个空间物理坐标。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定所述目标告警事件等级为所述黄色告警事件等级,预测所述网络安全态势为低危态势时,向相关人员发送预警提示;或
当确定所述目标告警事件等级为所述红色告警事件等级,确定所述网络安全态势为高危态势时,向所述相关人员发送预警提示,并指示所述相关人员启动预设安全预警措施,进行网络安全预警。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
针对所述目标区域,根据预设周期内的所述目标告警事件等级,在页面展示所述网络安全态势。
5.一种网络安全态势预测装置,其特征在于,所述装置包括:
目标告警事件次数确定模块,用于针对目标区域,根据至少两个预设周期内的历史告警事件次数,确定预设周期内的目标告警事件次数,其中,所述预设周期是指获取目标告警事件次数的一个时长,该预设周期是以一天、一周、一月、一季度或一年中的一个为基数确定的,所述历史告警事件是指在目标区域内发生的所有网络安全事件;
目标告警事件等级确定模块,用于根据初始告警事件次数和所述目标告警事件次数,确定预设周期内用来预测所述网络安全态势的目标告警事件等级;
其中,所述初始告警事件次数是根据至少两个预设周期内的历史告警事件次数的平均值得到的,所述目标告警事件等级为绿色告警事件等级、黄色告警事件等级以及红色告警事件等级中的一种,不同的所述目标告警事件等级对应不同的所述网络安全态势;
目标告警事件次数确定模块,具体用于针对所述目标区域,计算至少两个预设周期内的历史告警事件次数的平均值,得到所述初始告警事件次数;
基于至少两个预设周期内的历史告警事件次数和列文伯格-马夸尔特法,调整所述初始告警事件次数,直至目标函数满足预设条件时,确定当前所述初始告警事件次数为预设周期内的目标告警事件次数,其中,所述目标函数为列文伯格-马夸尔特法对应的函数,所述预设条件是指针对于目标函数进行迭代计算,确定目标函数对应的最小值;
目标告警事件等级确定模块,具体用于当所述初始告警事件次数小于所述目标告警事件次数时,确定预设周期内所述目标告警事件等级为所述绿色告警事件等级,其中,所述绿色告警事件等级预测所述网络安全态势为安全态势;
当所述初始告警事件次数和所述目标告警事件次数的差值大于第一预设告警事件次数时,确定预设周期内所述目标告警事件等级为所述黄色告警事件等级,其中,所述第一预设告警事件次数是根据所述目标告警事件次数和第一阈值的乘积确定的,所述黄色告警事件等级预测所述网络安全态势为低危态势;或
当所述初始告警事件次数和所述目标告警事件次数的差值大于第二预设告警事件次数时,确定预设周期内所述目标告警事件等级为所述红色告警事件等级,其中,所述第二预设告警事件次数是根据所述目标告警事件次数和第二阈值的乘积确定的,所述第二阈值大于所述第一阈值,所述红色告警事件等级预测所述网络安全态势为高危态势。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
目标区域确定模块,用于确定所述目标区域;
历史告警事件确定模块,用于根据至少一个所述历史告警事件对应的空间坐标、所述目标区域对应的图层空间坐标,当确定属于所述目标区域的至少一个所述历史告警事件时,获取至少两个预设周期内的历史告警事件次数,其中,所述图层空间坐标是指针对目标区域对应的多个空间物理坐标。
7.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至4中任一项所述的网络安全态势预测方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至4中任一项所述的网络安全态势预测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210806032.5A CN115314415B (zh) | 2022-07-08 | 2022-07-08 | 网络安全态势预测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210806032.5A CN115314415B (zh) | 2022-07-08 | 2022-07-08 | 网络安全态势预测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115314415A CN115314415A (zh) | 2022-11-08 |
CN115314415B true CN115314415B (zh) | 2023-09-26 |
Family
ID=83857420
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210806032.5A Active CN115314415B (zh) | 2022-07-08 | 2022-07-08 | 网络安全态势预测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115314415B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116633608B (zh) * | 2023-05-16 | 2024-01-30 | 江苏信创网安数据科技有限公司 | 一种网络安全的风险预测方法及系统 |
CN117421718B (zh) * | 2023-12-18 | 2024-02-20 | 南京创能百泰自动化科技有限公司 | 一种数据平台信息安全监控管理系统 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109120451A (zh) * | 2018-08-31 | 2019-01-01 | 深圳市麦斯杰网络有限公司 | 基于物联网的设备评估方法、设备及计算机可读存储介质 |
CN110620696A (zh) * | 2019-09-29 | 2019-12-27 | 杭州安恒信息技术股份有限公司 | 针对企业网络安全态势感知的评分方法和装置 |
CN111669281A (zh) * | 2019-03-08 | 2020-09-15 | 华为技术有限公司 | 告警分析方法、装置、设备及存储介质 |
CN111865982A (zh) * | 2020-07-20 | 2020-10-30 | 交通运输信息安全中心有限公司 | 基于态势感知告警的威胁评估系统及方法 |
CN112738115A (zh) * | 2020-12-31 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 高级持续性攻击检测方法、装置、计算机设备和介质 |
CN112995196A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全等级保护中态势感知信息的处理方法及系统 |
CN113364642A (zh) * | 2021-05-17 | 2021-09-07 | 北京双湃智安科技有限公司 | 网络安全态势感知可视化界面展示装置、系统、方法及设备 |
CN113469437A (zh) * | 2021-06-30 | 2021-10-01 | 北京房江湖科技有限公司 | 事件发生周期的预测方法、存储介质与计算机程序产品 |
CN113839935A (zh) * | 2021-09-14 | 2021-12-24 | 上海纽盾科技股份有限公司 | 网络态势感知方法、装置及系统 |
WO2022000430A1 (zh) * | 2020-07-02 | 2022-01-06 | 深圳市欢太科技有限公司 | 服务器威胁评定方法及相关产品 |
CN113986693A (zh) * | 2021-11-15 | 2022-01-28 | 中国银行股份有限公司 | 告警响应级别确定方法、装置、电子设备及存储介质 |
CN114205212A (zh) * | 2021-12-08 | 2022-03-18 | 国网冀北电力有限公司计量中心 | 一种网络安全预警方法、装置、设备及可读存储介质 |
CN114490259A (zh) * | 2022-01-17 | 2022-05-13 | 中国电子科技网络信息安全有限公司 | 一种面向监管的全域事件要素提取方法 |
-
2022
- 2022-07-08 CN CN202210806032.5A patent/CN115314415B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109120451A (zh) * | 2018-08-31 | 2019-01-01 | 深圳市麦斯杰网络有限公司 | 基于物联网的设备评估方法、设备及计算机可读存储介质 |
CN111669281A (zh) * | 2019-03-08 | 2020-09-15 | 华为技术有限公司 | 告警分析方法、装置、设备及存储介质 |
CN110620696A (zh) * | 2019-09-29 | 2019-12-27 | 杭州安恒信息技术股份有限公司 | 针对企业网络安全态势感知的评分方法和装置 |
WO2022000430A1 (zh) * | 2020-07-02 | 2022-01-06 | 深圳市欢太科技有限公司 | 服务器威胁评定方法及相关产品 |
CN111865982A (zh) * | 2020-07-20 | 2020-10-30 | 交通运输信息安全中心有限公司 | 基于态势感知告警的威胁评估系统及方法 |
CN112738115A (zh) * | 2020-12-31 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 高级持续性攻击检测方法、装置、计算机设备和介质 |
CN112995196A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全等级保护中态势感知信息的处理方法及系统 |
CN113364642A (zh) * | 2021-05-17 | 2021-09-07 | 北京双湃智安科技有限公司 | 网络安全态势感知可视化界面展示装置、系统、方法及设备 |
CN113469437A (zh) * | 2021-06-30 | 2021-10-01 | 北京房江湖科技有限公司 | 事件发生周期的预测方法、存储介质与计算机程序产品 |
CN113839935A (zh) * | 2021-09-14 | 2021-12-24 | 上海纽盾科技股份有限公司 | 网络态势感知方法、装置及系统 |
CN113986693A (zh) * | 2021-11-15 | 2022-01-28 | 中国银行股份有限公司 | 告警响应级别确定方法、装置、电子设备及存储介质 |
CN114205212A (zh) * | 2021-12-08 | 2022-03-18 | 国网冀北电力有限公司计量中心 | 一种网络安全预警方法、装置、设备及可读存储介质 |
CN114490259A (zh) * | 2022-01-17 | 2022-05-13 | 中国电子科技网络信息安全有限公司 | 一种面向监管的全域事件要素提取方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115314415A (zh) | 2022-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115314415B (zh) | 网络安全态势预测方法、装置、电子设备及存储介质 | |
Mohler | Marked point process hotspot maps for homicide and gun crime prediction in Chicago | |
US7702485B2 (en) | Method and apparatus for predicting remaining useful life for a computer system | |
CN111143102B (zh) | 异常数据检测方法、装置、存储介质及电子设备 | |
CN111555921B (zh) | 告警根因的定位方法、装置、计算机设备和存储介质 | |
EP3443498B1 (en) | Threat incidents corroboration in discrete temporal reference using 3d abstract modelling | |
CA2471013A1 (en) | Method and system for analyzing and predicting the behavior of systems | |
CN111314173B (zh) | 监控信息异常的定位方法、装置、计算机设备及存储介质 | |
CN101459537A (zh) | 基于多层次多角度分析的网络安全态势感知系统及方法 | |
CN108092985B (zh) | 网络安全态势分析方法、装置、设备及计算机存储介质 | |
EP3495905A2 (en) | Operational improvement effect calculation device, operational improvement effect calculation method and recording medium | |
EP3191978A1 (en) | Apparatus and method for ensembles of kernel regression models | |
US11055382B2 (en) | Methods and systems that estimate a degree of abnormality of a complex system | |
JP5928104B2 (ja) | 性能監視装置、性能監視方法、及びそのプログラム | |
CN116094837B (zh) | 基于网络大数据的网终应用采集分析方法、系统及介质 | |
CA3078261A1 (en) | Systems and methods for cybersecurity risk assessment of users of a computer network | |
CN102456032B (zh) | 数据库安全保护方法和装置 | |
Bourhis et al. | Sampling for disease absence—deriving informed monitoring from epidemic traits | |
CN112380073B (zh) | 一种故障位置的检测方法、装置及可读存储介质 | |
CN110458713B (zh) | 模型监控方法、装置、计算机设备及存储介质 | |
CN112702366A (zh) | 网络系统安全评估方法、装置、电子设备及介质 | |
CN116909235A (zh) | 一种智能工厂的监控方法及其监控系统、电子设备 | |
Wasserkrug et al. | Inference of security hazards from event composition based on incomplete or uncertain information | |
CN115766096A (zh) | 一种基于大数据的网络安全保护系统 | |
CN106156470B (zh) | 一种时间序列异常检测标注方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |