CN115767546A - 量化节点风险的5g网络安全态势评估方法 - Google Patents

Abstract

本发明提供一种量化节点风险的5G网络安全态势评估方法，包括：数据预处理、构建知识图谱和攻击场景发现和安全态势评估，利用PageRank算法计算各个节点的PR值，更新至收敛，并将其作为节点的初始态势值，之后根据节点和恶意节点的距离和进行权重修改，直至稳定，得到节点的最终态势值。本发明提供的量化节点风险的5G网络安全态势评估方法所得到的态势值能够更好的反映攻击是否发生，也能够通过节点态势值反映节点是否正在同时遭受多个攻击，有利于管理员及时维护系统，避免更大的损失。

Description

量化节点风险的5G网络安全态势评估方法

技术领域

本发明涉及网络安全态势评估技术领域，具体涉及一种量化节点风险的5G网络安全态势评估方法。

背景技术

随着5G的快速发展，网络的规模也在急剧增加，而现行5G承载网的运维主要通过半自动的工具辅助专家人工分析定位故障原因，故障诊断、定位和设备更换需要耗费较长的时间，同时为了加快设备更换，通常都会为在网设备准备成品备件，这就需要准备足够的备件，极端情况下甚至需要为在网设备按照1:1的比例准备备件，这样的方法在网络规模较小时是可接受的，但是在网络规模急剧扩大的5G承载网中是不合适的，比如10亿美金规模的5G承载网，按照1:1的原则，就要有同等10亿美金规模的备件准备，这极大的增加了备件压力，其经济效益也是极低的。

为缓解运维手段落后所带来的用户服务体验下降和备件带来的高昂运营成本问题，可以考虑在运维过程中借助多源数据融合、特征选择和知识图谱的安全态势感知基本理论和方法，实现故障和安全风险的快速自动诊断，为此需要研究合适的运维知识库，能够基于5G承载网中存在的各类数据和专家进行人工诊断所依赖的各类知识，形成故障智能诊断所需要的专家知识库，在此基础上，针对5G承载网的运维场景构建能够满足故障智能诊断需要的智能运维模型，使得基于该模型能够进行网络故障的智能诊断，对网络的运行状态进行预测，对可能出现的故障和安全事件进行预警。

1、多源数据融合

数据融合是指对获得的观测信息在某种规则下进行取舍和融合，从而帮助用户完成对应的任务。多源数据融合则是在将各种不同的数据信息进行综合的目标下，融合多个数据源的特点，然后从中提取出统一的、优于单个数据源、且更加丰富的信息，从而得到更为准确的网络态势。

2、特征选择

特征选择是指从特征空间中选取出最关键且最有效的特征、去除不相关或重复特征以达到降维目的的过程。当数据对象拥有大量属性和记录数据时，其处理算法的执行效率往往都比较低下。而特征选择就可以去除无关和低相关数据，从而降低运行时间，提高模型效率。

3、知识图谱

知识图谱是由不同实体、实体之间关系和其各自属性构成的，它是一个包含大量SPO三元组的集合，其中S和O都是实体，而P是谓语，对应两实体之间存在某种关系，因此，知识图谱从实际应用角度来看，就是多实体之间的关系图。

从原始数据中提取出的对象存放在对象库中，对象库中的对象是态势提取的依据，攻击场景的发现就是一个典型的态势提取过程。在告警聚合基础上进行告警关联以发现攻击场景的关联方法共有三类：基于相似度的方法、基于序列的方法和基于实例的方法。基于相似度的方法准确性不够高，基于序列和基于实例的方法过于依赖已有的专家知识。

发明内容

本发明要解决的技术问题是提供一种量化节点风险的5G网络安全态势评估方法，得到的态势值能够更好的反映攻击是否发生，也能够通过节点态势值反映节点是否正在同时遭受多个攻击，有利于管理员及时维护系统，避免更大的损失。

为解决上述技术问题，本发明的实施例提供一种量化节点风险的5G网络安全态势评估方法，包括如下步骤：

S1、数据预处理

S1.1、数据清洗：对数据文件中可识别错误的发现和纠正过程；

S1.2、数据编码：采用独热编码算法，使用相同数量的寄存器对状态进行编码，即状态和寄存器之间一一对应，且每个状态对应只有一位寄存器有效；

S1.3、数据标准化：将数据按比例缩放在一个限定的区间；

S1.4、特征选择：采用启发式搜索中的序列浮动向前选择算法SFFS作为特征选择算法；

S2、构建知识图谱

在得到步骤S1.4中特征选择的数据后，构建知识图谱，将复杂、原始的长数据转化为精简的三元组数据，包括如下步骤：

S2.1、构建网络故障知识图谱：对数据进行建模，填充属性并扩充各个实体之间的属性和关系；三元组的基本形式包括(实体、关系、实体)和(实体、属性、属性值)两种，经过信息提取和知识融合形成领域模型，得到一系列基本事件的三元组，构成知识图谱的基本单元，然后经过本体构建、关系/属性连接、质量评估，形成网络故障知识图谱；

S2.2、构建网络攻击知识图谱：结合现有数据和网络数据，人工构建网络攻击知识图谱；

S2.3、构造网络基本事件图谱：从网络基本事件数据中发现并提取网络基本事件，构造网络基本事件图谱，网络基本事件数据来自网络告警和网络通用事件；

S3、攻击场景发现和安全态势评估

S3.1、攻击场景发现包括告警过滤、告警聚合和告警关联分析，其中，

告警过滤用于去除重复和不相关的原始告警；

告警聚合是通过聚合过滤后的告警，得到高级告警；

告警关联分析以高级告警为基础，分析多个高级告警之间的逻辑关系，拼接得到一个完整的多步攻击场景；

S3.2、安全态势评估

S3.2.1、步骤S2.3中构建的网络基本事件图谱中存在恶意节点和网络资产节点之间的有向连接，利用PageRank算法计算其各自的PR值；

S3.2.2、更新所有节点的PR值，直到PR值收敛，将PR值作为节点初始态势值；

S3.2.3、计算每个资产节点和所有相邻恶意节点的距离之和，按照其大小修改权重，距离越大权重越小，得到节点最终的安全态势值；

当某一网络资产节点的态势值高于阈值时，将其所在网络基本事件图谱中的子图在步骤S2，2中构造的网络攻击知识图谱进行遍历比对，采用图相似度查询方法，若相似度达到阈值，则认为该节点遭受了该类网络攻击。

其中，步骤S1.1中采用改进D-S证据理论方法对多源异构数据进行一致性检查；

为解决证据冲突问题，提出了制定度α来描述证据的可靠性和可信度，证据e_i的置信度定义为α＝(α₁，α₂，α₃，...，α_n)，α_i∈(0，1]；通过引入巴氏距离法测量不同证据之间的距离；对于同一域X内的离散型随机变量概率分布p和q，定义巴氏距离为：

D_B(p，q)＝-ln(BC(p，q))；

其中，

是巴氏系数；

根据Bhattacharyya距离公式，两个证据m_i和m_j之间的距离为：

d_BPA(m_i，m_j)＝d_ij＝-ln(BC(m_i，m_j))；

证据e_i与其他证据之间的距离之和为：

u_i的值表示证据e_i与其余所有证据之间的距离总和，同时也彰显出e_i与证据空间中其他证据的差异值；由于置信水平α与u_i成反比，证据e_i的u_i越大，置信水平α越低；证据e_i的置信水平定义为：

根据证据的置信水平α，将调整后的基本概率分配BPA定义为：

其中，θ是决策问题的一组独立的决定因素或假设构成一个有限集，又被称为证据理论的识别框架；将上式标准化得到：

调整后的BPA避免多源数据的冲突。

其中，步骤S1.3中，采用通过将数据转化为无单位分值的Z-Score算法作为标准化依据，首先引入μ作为样本集的均值，σ作为样本集的标准差，x作为个体的观测值，通过将上述三个值代入公式：

得到的x′就是x标准化后的数据。

其中，步骤S1.4中，SFFS算法将整个特征集作为输入，记特征空间的维度为A，特征集合为X＝{x₁，x₂，...，x_A}；

算法输出Y为集合X的子集，Y的维度为B，则有Y＝{y_j|j＝1，2，...，B；y_j∈X}，其中，B≤A，初始时将Y₀置为空集

B＝0；

在第1步中，从特征空间中挑选某个特征，该特征为特征子集带来由标准函数P评估的最佳性能提升；然后转到第2步，在结果子集将获得性能提升的情况下删除一个特征；重复步骤1和2，直到达到终止标准。

其中，步骤2.1中包括如下步骤：

S2.1.1、本体构建：首先通过余弦相似度函数计算各个实体之间的相似度，将每个实体与其不同表达进行匹配；然后抽取isA实体对，即确定实体之间的隶属关系，进而完成本体的构建；

S2.1.2、知识推理：采用Tableaux算法检验不同实体的可满足性和可实例化性，完善各个实体之间的关系，完成本体的知识推理；

S2.1.3、经过本体构建和知识推理，完成实体与实体的关系连接和实体与属性的匹配，人为地对知识图谱进行质量评估，定义置信度阈值ε，舍弃置信度低于ε的知识，最终完成网络故障知识图谱的构建；

S2.1.4、知识更新：当增加新的故障案例时，对网络故障知识图谱进行更新。

其中，步骤S2.2中，网络攻击事件有相应的网络拓扑结构，拥有同一拓扑结构的攻击事件之间的区别是节点数量和边属性的差别，按照拓扑结构对网络攻击事件进行分类，对分类后的网络攻击事件进行拆分，将单个多步攻击拆解为多个单步攻击，并将这些攻击模式提炼成攻击事件子图，补充网络攻击知识图谱。

其中，步骤S3.1包括如下步骤：

S3.1.1、告警过滤相当于步骤S2.3中构造网络基本事件图谱的过程，TCP握手阶段，无论两个节点之间经历几次重传，均简化为一次简单的TCP握手事件，去除冗余；

S3.1.2、采用滑动窗口和相似度计算相结合的方法进行告警聚合，先对所有告警按照时间序列进行排序，在设定好的滑动窗口范围T内对每个告警e_i，计算其他告警e_j与其相似度，达到阈值则进行聚合；

S3.1.3、基于多因素告警关联方法，两个高级告警K_a、K_b之间的关联性定义如下：

其中，C₁、C₂、C₃分别是K_a、K_b之间的时间关联度、空间关联度和攻击类型关联度，ω₁、ω₂、ω₃分别为其对应权值；告警K_a、K_b的时间越接近，时间关联度C₁越大；当其源和目的IP均相等、仅有一对相等和均不相等时，将C₂分别置为1、0.5和0；C3的值则由不同告警间的转换概率定义；

S3.1.4、再对高级告警进行时间排序，并按照深度优先的顺序遍历，若两节点之间的关联性大于阈值，则认为它们属于同一次网络多步攻击；将互相独立的高级告警连接成一条攻击链，完成攻击场景复原。

本发明的上述技术方案的有益效果如下：

1、本发明所研究事件对象的数量比传统攻击场景发现中研究的告警数要小三个数量级，从而大大减少处理冗余告警的时间和空间。同时在运行时间更少的前提下，多步攻击链的识别率也比传统方法要高出许多。

2、本发明提供的量化节点风险的5G网络安全态势评估方法所得到的态势值能够更好的反映攻击是否发生，也能够通过节点态势值反映节点是否正在同时遭受多个攻击，有利于管理员及时维护系统，避免更大的损失。

附图说明

图1为本发明的流程图；

图2为本发明中数据预处理的流程图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

如图1所示，本发明提供一种量化节点风险的5G网络安全态势评估方法，包括如下步骤：

S1、数据预处理：由于采集的原始数据具有重复、杂乱、缺失等特点，因此需要对数据进行预处理，如图2所示。

S1.1、数据清洗：是对数据文件中可识别错误的发现和纠正过程，本发明采用改进D-S证据理论方法对多源异构数据进行一致性检查。

为解决证据冲突问题，提出了制定度α来描述证据的可靠性和可信度，证据e_i的置信度定义为α＝(α1，α₂，α₃，...，α_n)，α_i∈(0，1]；通过引入巴氏距离法测量不同证据之间的距离；对于同一域X内的离散型随机变量概率分布p和q，定义巴氏距离为：

D_B(p，q)＝-ln(BC(p，q))；

其中，

是巴氏系数；

根据Bhattacharyya距离公式，两个证据m_i和m_j之间的距离为：

d_BPA(m_i，m_j)＝d_ij＝-ln(BC(m_i，m_j))；

证据e_i与其他证据之间的距离之和为：

u_i的值表示证据e_i与其余所有证据之间的距离总和，同时也彰显出e_i与证据空间中其他证据的差异值；由于置信水平α与u_i成反比，证据e_i的u_i越大，置信水平α越低；证据e_i的置信水平定义为：

根据证据的置信水平α，将调整后的基本概率分配BPA定义为：

其中，θ是决策问题的一组独立的决定因素或假设构成一个有限集，又被称为证据理论的识别框架；将上式标准化得到：

调整后的BPA避免多源数据的冲突，为下一步的数据处理打下良好的基础。

S1.2、数据编码：由于多源数据中存在非数值数据，即数据特征并不是连续值，而是分类值，故需要对离散特征的数据进行编码，本发明采用独热编码算法。独热编码算法是使用相同数量的寄存器对状态进行编码，即状态和寄存器之间一一对应，且每个状态对应只有一位寄存器有效，即只有1位是1，其它都是0。例如某属性有四种非数值状态a、b、c、d，经过独热编码可将其转变为0001、0010、0100、1000，既降低了模型训练的复杂度，又能够使模型的表达更加清晰有效。

S1.3、数据标准化：数量级更大的属性对数据拥有更大的影响能力和主导作用，同时数量级的差异导致迭代收敛速度缓慢，因此需要对数据进行标准化处理。数据标准化是将数据按比例缩放在一个限定的区间，通常这个区间是[0,1]，使得不同量级不同属性的数据能够进行后续操作。

本发明采用通过将数据转化为无单位分值的Z-Score算法作为标准化依据，首先引入μ作为样本集的均值，σ作为样本集的标准差，x作为个体的观测值，通过将上述三个值代入公式：

得到的x′就是x标准化后的数据。

S1.4、特征选择：由于子集搜索策略和评价函数不同，特征选择分为很多具体的算法。本发明采用启发式搜索中的序列浮动向前选择算法SFFS作为特征选择算法。

SFFS算法将整个特征集作为输入，记特征空间的维度为A，特征集合为X＝{x₁，x₂，...，x_A}；

算法输出Y为集合X的子集，Y的维度为B，则有Y＝{y_j|j＝1，2，...，B；y_j∈X}，其中，B≤A，初始时将Y₀置为空集

B＝0；

在第1步中，从特征空间中挑选某个特征，该特征为特征子集带来由标准函数P评估的最佳性能提升；然后转到第2步，在结果子集将获得性能提升的情况下删除一个特征；重复步骤1和2，直到达到终止标准。

S2、构建知识图谱

在得到步骤S1.4中特征选择的数据后，构建相应的知识图谱，将复杂、原始的长数据转化为精简的三元组数据，有利于后续态势感知工作的开展。

S2.1、构建网络故障知识图谱：对数据进行建模，填充属性并扩充各个实体之间的属性和关系；三元组的基本形式包括(实体、关系、实体)和(实体、属性、属性值)两种，经过信息提取和知识融合形成领域模型，得到一系列基本事件的三元组，构成知识图谱的基本单元。但是基本单元不具备结构化、关联化等特点，因此需要然后经过本体构建、关系/属性连接、质量评估等操作，形成完整的网络故障知识图谱。

S2.1.1、本体构建：

由于在基本事件三元组中，所有实体之间没有区别，如“主机”、“服务器”、“光纤”、“接口”这四个实体相互平等，但在实际语义中，前两者明显大于后两者，属于包含与被包含的关系，因此需要构建本体来确定实体之间的关系。

首先通过余弦相似度函数计算各个实体之间的相似度，将每个实体与其不同表达进行匹配；然后抽取isA实体对，即确定实体之间的隶属关系，进而完成本体的构建。

S2.1.2、知识推理：虽然本体构建过程中确定了相邻实体之间的直接隶属关系，但各个实体之间仍有隐形关系存在，所以需要对本体进行知识推理操作。采用Tableaux算法检验不同实体的可满足性和可实例化性，完善各个实体之间的关系，完成本体的知识推理。

S2.1.3、经过本体构建和知识推理，完成实体与实体的关系连接和实体与属性的匹配，人为地对知识图谱进行质量评估，定义置信度阈值ε，舍弃置信度低于ε的知识，最终完成网络故障知识图谱的构建。

S2.1.4、知识更新：当增加新的故障案例时，对网络故障知识图谱进行更新。由于每个故障主机之间相互独立，同一主机的不同故障之间也可视为独立，因此只需要进行增量更新，即人为修改，这种操作所带来的损耗远远小于基于机器学习的全面更新。

S2.2、构建网络攻击知识图谱：由于没有现有的、全面的网络攻击知识图谱公开数据集，因此需要结合现有数据和网络数据，人工构建所需要的网络攻击知识图谱。网络攻击知识图谱的数据来源于相对独立的网络攻击事件，不同攻击事件之间基本没有关联。单个网络攻击事件子图中往往只有一个恶意节点，通过有向边向其他网络节点发送恶意数据，从而达到摧毁目标或是窃取目标节点数据的目的，此时目标节点也存在一条有向边返回恶意节点，进行数据传输工作，从而构成一个有向环。

网络攻击事件通常都有相应的网络拓扑结构，拥有同一拓扑结构的攻击事件之间的区别主要是节点数量和边属性的差别，因此按照拓扑结构对网络攻击事件进行分类是本文采用的分类方法。对分类后的网络攻击事件进行拆分，将单个多步攻击拆解为多个单步攻击，并将这些攻击模式提炼成攻击事件子图，可以有效补充网络攻击知识图谱。

S2.3、构造网络基本事件图谱：网络基本事件的数据主要来自网络告警和网络通用事件。以上二者均具有频次高、冗余大的特点，需要从其中发现并提取网络基本事件是一个较为复杂的工程。比如节点A向节点B发出的TCP三次握手过程，可能存在A发出SYN报文后未得到B的SYN+ACK报文回应，从而节点A重复发送SYN报文。但无论整个过程经历几次重传、回复，只要最后A和B的TCP连接建立，均将其简化为从节点A到节点B的有向边，边属性为TCP连接建立的有关信息如时间、源和目的IP地址、源和目的端口号、描述信息等。这样可以避免图谱过于庞大冗杂，降低后续攻击场景发现和网络安全态势感知的难度和复杂度。

S3、攻击场景发现和安全态势评估

S3.1、攻击场景发现

基于告警的攻击场景发现主要包括告警过滤、告警聚合和告警关联分析。告警过滤的作用是去除重复和不相关的原始告警；告警聚合是通过聚合过滤后的告警，得到更加抽象、更具有代表性的高级告警；告警关联分析则是以高级告警为基础，分析多个高级告警之间的逻辑关系，从而拼接得到一个完整的多步攻击场景。

S3.1.1、本发明中，告警过滤相当于步骤S2.3中构造网络基本事件图谱的过程，例如TCP握手阶段，无论两个节点之间经历几次重传，均简化为一次简单的TCP握手事件，能够起到一定程度的去冗余作用。

S3.1.2、对于告警聚合，本文假设某个恶意行为导致的所有告警之间的时间差在一定阈值T内。因此可将该时间间隔内相似度较高的原始告警聚合成为一个高级告警。故可以采用滑动窗口和相似度计算相结合的方法进行告警聚合，先对所有告警按照时间序列进行排序，在设定好的滑动窗口范围T内对每个告警e_i，计算其他告警e_j与其相似度，达到阈值则进行聚合。

S3.1.3、本发明的告警关联分析方法参考了吴东的基于多因素告警关联方法，两个高级告警K_a、K_b之间的关联性定义如下：

其中，C₁、C₂、C₃分别是K_a、K_b之间的时间关联度、空间关联度和攻击类型关联度，ω₁、ω₂、ω₃分别为其对应权值；告警K_a、K_b的时间越接近，时间关联度C₁越大；当其源和目的IP均相等、仅有一对相等和均不相等时，将C₂分别置为1、0.5和0；C3的值则由不同告警间的转换概率定义；

S3.1.4、再对高级告警进行时间排序，并按照深度优先的顺序遍历，若两节点之间的关联性大于阈值，则认为它们属于同一次网络多步攻击；将互相独立的高级告警连接成一条攻击链，完成攻击场景复原。

S3.2、安全态势评估

根据日常经验可知，网络资产节点的安全态势受恶意节点的网络攻击影响，当资产节点所受网络攻击越多，其所承担的风险越大。网络安全态势评估方法步骤如下：

S3.2.1、步骤S2.3中构建的网络基本事件图谱中存在恶意节点和网络资产节点之间的有向连接，利用PageRank算法计算其各自的PR值；

S3.2.2、更新所有节点的PR值，直到PR值收敛，将PR值作为节点初始态势值；

S3.2.3、计算每个资产节点和所有相邻恶意节点的距离之和，按照其大小修改权重，距离越大权重越小，得到节点最终的安全态势值；

当某一网络资产节点的态势值高于阈值时，将其所在网络基本事件图谱中的子图在步骤S2,2中构造的网络攻击知识图谱进行遍历比对，采用图相似度查询方法，若相似度达到阈值，则认为该节点遭受了该类网络攻击。

本发明所作的创新点主要在于引入改进的蚁群算法解决传统时间敏感网络中的调度问题，创新点如下：

1、构建网络基本事件图谱：数据主要来自网络告警和网络通用事件，主要是为了消除网络事件频次高、冗余大的特点，可以避免图谱过于庞大冗杂，降低后续攻击场景发现和网络安全态势感知的难度和复杂度。

2、量化节点风险评估的方法：首先利用PageRank算法计算各个节点的PR值，更新至收敛，并将其作为节点的初始态势值，之后根据节点和恶意节点的距离和进行权重修改，直至稳定，得到节点的最终态势值。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.一种量化节点风险的5G网络安全态势评估方法，其特征在于，包括如下步骤：

S1、数据预处理

S1.1、数据清洗：对数据文件中可识别错误的发现和纠正过程；

S1.2、数据编码：采用独热编码算法，使用相同数量的寄存器对状态进行编码，即状态和寄存器之间一一对应，且每个状态对应只有一位寄存器有效；

S1.3、数据标准化：将数据按比例缩放在一个限定的区间；

S1.4、特征选择：采用启发式搜索中的序列浮动向前选择算法SFFS作为特征选择算法；

S2、构建知识图谱

在得到步骤S1.4中特征选择的数据后，构建知识图谱，将复杂、原始的长数据转化为精简的三元组数据，包括如下步骤：

S2.1、构建网络故障知识图谱：对数据进行建模，填充属性并扩充各个实体之间的属性和关系；三元组的基本形式包括(实体、关系、实体)和(实体、属性、属性值)两种，经过信息提取和知识融合形成领域模型，得到一系列基本事件的三元组，构成知识图谱的基本单元，然后经过本体构建、关系/属性连接、质量评估，形成网络故障知识图谱；

S2.2、构建网络攻击知识图谱：结合现有数据和网络数据，人工构建网络攻击知识图谱；

S2.3、构造网络基本事件图谱：从网络基本事件数据中发现并提取网络基本事件，构造网络基本事件图谱，网络基本事件数据来自网络告警和网络通用事件；

S3、攻击场景发现和安全态势评估

S3.1、攻击场景发现包括告警过滤、告警聚合和告警关联分析，其中，

告警过滤用于去除重复和不相关的原始告警；

告警聚合是通过聚合过滤后的告警，得到高级告警；

告警关联分析以高级告警为基础，分析多个高级告警之间的逻辑关系，拼接得到一个完整的多步攻击场景；

S3.2、安全态势评估

S3.2.1、步骤S2.3中构建的网络基本事件图谱中存在恶意节点和网络资产节点之间的有向连接，利用PageRank算法计算其各自的PR值；

S3.2.2、更新所有节点的PR值，直到PR值收敛，将PR值作为节点初始态势值；

S3.2.3、计算每个资产节点和所有相邻恶意节点的距离之和，按照其大小修改权重，距离越大权重越小，得到节点最终的安全态势值；

当某一网络资产节点的态势值高于阈值时，将其所在网络基本事件图谱中的子图在步骤S2，2中构造的网络攻击知识图谱进行遍历比对，采用图相似度查询方法，若相似度达到阈值，则认为该节点遭受了该类网络攻击。

2.根据权利要求1所述的量化节点风险的5G网络安全态势评估方法，其特征在于，步骤S1.1中采用改进D-S证据理论方法对多源异构数据进行一致性检查；

为解决证据冲突问题，提出了制定度α来描述证据的可靠性和可信度，证据e_i的置信度定义为α＝(α₁，α₂，α₃，...，α_n)，αi∈(0，1]；通过引入巴氏距离法测量不同证据之间的距离；对于同一域X内的离散型随机变量概率分布p和q，定义巴氏距离为：

D_B(p，q)＝-ln(BC(p，q))；

其中，

是巴氏系数；

根据Bhattacharyya距离公式，两个证据m_i和m_j之间的距离为：

d_BPA(m_i，m_j)＝d_ij＝-ln(BC(m_i，m_j))；

证据e_i与其他证据之间的距离之和为：

u_i的值表示证据e_i与其余所有证据之间的距离总和，同时也彰显出e_i与证据空间中其他证据的差异值；由于置信水平α与u_i成反比，证据e_i的u_i越大，置信水平α越低；证据e_i的置信水平定义为：

根据证据的置信水平α，将调整后的基本概率分配BPA定义为：

其中，θ是决策问题的一组独立的决定因素或假设构成一个有限集，又被称为证据理论的识别框架；将上式标准化得到：

调整后的BPA避免多源数据的冲突。

3.根据权利要求1所述的量化节点风险的5G网络安全态势评估方法，其特征在于，步骤S1.3中，采用通过将数据转化为无单位分值的Z-Score算法作为标准化依据，首先引入μ作为样本集的均值，σ作为样本集的标准差，x作为个体的观测值，通过将上述三个值代入公式：

得到的x′就是x标准化后的数据。

4.根据权利要求1所述的量化节点风险的5G网络安全态势评估方法，其特征在于，步骤S1.4中，SFFS算法将整个特征集作为输入，记特征空间的维度为A，特征集合为X＝{x₁，x₂，...，x_A}；

算法输出Y为集合X的子集，Y的维度为B，则有Y＝{y_j|j＝1.2，...，B；y_j∈X}，其中，B≤A，初始时将Y₀置为空集

B＝0；

在第1步中，从特征空间中挑选某个特征，该特征为特征子集带来由标准函数P评估的最佳性能提升；然后转到第2步，在结果子集将获得性能提升的情况下删除一个特征；重复步骤1和2，直到达到终止标准。

5.根据权利要求1所述的量化节点风险的5G网络安全态势评估方法，其特征在于，步骤2.1中包括如下步骤：

S2.1.1、本体构建：首先通过余弦相似度函数计算各个实体之间的相似度，将每个实体与其不同表达进行匹配；然后抽取isA实体对，即确定实体之间的隶属关系，进而完成本体的构建；

S2.1.2、知识推理：采用Tableaux算法检验不同实体的可满足性和可实例化性，完善各个实体之间的关系，完成本体的知识推理；

S2.1.3、经过本体构建和知识推理，完成实体与实体的关系连接和实体与属性的匹配，人为地对知识图谱进行质量评估，定义置信度阈值ε，舍弃置信度低于ε的知识，最终完成网络故障知识图谱的构建；

S2.1.4、知识更新：当增加新的故障案例时，对网络故障知识图谱进行更新。

6.根据权利要求1所述的量化节点风险的5G网络安全态势评估方法，其特征在于，步骤S2.2中，网络攻击事件有相应的网络拓扑结构，拥有同一拓扑结构的攻击事件之间的区别是节点数量和边属性的差别，按照拓扑结构对网络攻击事件进行分类，对分类后的网络攻击事件进行拆分，将单个多步攻击拆解为多个单步攻击，并将这些攻击模式提炼成攻击事件子图，补充网络攻击知识图谱。

7.根据权利要求1所述的量化节点风险的5G网络安全态势评估方法，其特征在于，步骤S3.1包括如下步骤：

S3.1.1、告警过滤相当于步骤S2.3中构造网络基本事件图谱的过程，TCP握手阶段，无论两个节点之间经历几次重传，均简化为一次简单的TCP握手事件，去除冗余；

S3.1.2、采用滑动窗口和相似度计算相结合的方法进行告警聚合，先对所有告警按照时间序列进行排序，在设定好的滑动窗口范围T内对每个告警e_i，计算其他告警e_j与其相似度，达到阈值则进行聚合；

S3.1.3、基于多因素告警关联方法，两个高级告警K_a、K_b之间的关联性定义如下：

其中，C₁、C₂、C₃分别是K_a、K_b之间的时间关联度、空间关联度和攻击类型关联度，ω₁、ω₂、ω₃分别为其对应权值；告警K_a、K_b的时间越接近，时间关联度C₁越大；当其源和目的IP均相等、仅有一对相等和均不相等时，将C₂分别置为1、0.5和0；C3的值则由不同告警间的转换概率定义；

S3.1.4、再对高级告警进行时间排序，并按照深度优先的顺序遍历，若两节点之间的关联性大于阈值，则认为它们属于同一次网络多步攻击；将互相独立的高级告警连接成一条攻击链，完成攻击场景复原。

Images