CN115834174B - 基于时序图神经网络的网络安全态势预测方法和装置 - Google Patents

基于时序图神经网络的网络安全态势预测方法和装置 Download PDF

Info

Publication number
CN115834174B
CN115834174B CN202211429350.0A CN202211429350A CN115834174B CN 115834174 B CN115834174 B CN 115834174B CN 202211429350 A CN202211429350 A CN 202211429350A CN 115834174 B CN115834174 B CN 115834174B
Authority
CN
China
Prior art keywords
situation
network
data
trained
assessment data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211429350.0A
Other languages
English (en)
Other versions
CN115834174A (zh
Inventor
刘柱
鲍青波
张楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211429350.0A priority Critical patent/CN115834174B/zh
Publication of CN115834174A publication Critical patent/CN115834174A/zh
Application granted granted Critical
Publication of CN115834174B publication Critical patent/CN115834174B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本公开涉及一种基于时序图神经网络的网络安全态势预测方法和装置,其中,方法包括:获取历史时间段内的多个网络态势评估数据按照多个时间点划分,得到每个时间点对应的待训练网络态势评估数据,获取每个时间点待训练网络态势评估数据的指标态势得分和指标权重进行计算,得到每个时间点待训练网络态势评估数据的历史安全态势值,将每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络得到训练态势值,基于训练态势值和历史安全态势值调整时序图神经网络的模型参数得到已训练的时序图神经网络对待处理网络态势评估数据进行处理,得到预测安全态势值。由此,提升网络安全态势预测精度。

Description

基于时序图神经网络的网络安全态势预测方法和装置
技术领域
本公开涉及安全服务技术领域,尤其涉及一种基于时序图神经网络的网络安全态势预测方法和装置。
背景技术
网络安全态势感知于1999年首次提出,从宏观角度给网管人员展现出一个清晰整体的网络安全状况。目前已经成为网络安全领域一个研究热点。网络安全态势是指对关联的网络安全各要素进行获取、理解、显示以及预测,可从整体上动态反映网络当前安全状况,对未来发展趋势进行预测预警,为策略制定提供可靠的参照依据。
通常,网络安全态势预测的基础是网络安全态势评估,目前网络安全态势评估使用的方法主要有层次分析法、D-S证据理论、马尔科夫模型、贝叶斯网络等。
相关技术中,利用域名序列构建有向图,挖掘域名序列行为、序列之间的关系和主机之间的关系,进行恶意域名活动检测,在计算时依赖构建好的安全知识图谱,由于安全知识图谱的构建较为复杂,导致该方法计算复杂度较高,并且通过无监督方法进行特征抽取,特征抽取能力有限,以及仅考虑了网络的结构特征,未考虑时序特征,导致预设精度比较差。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种基于时序图神经网络的网络安全态势预测方法和装置。
本公开提供了一种基于时序图神经网络的网络安全态势预测方法,包括:
获取历史时间段内的多个网络态势评估数据,将所述多个网络态势评估数据按照多个时间点划分,得到每个时间点对应的待训练网络态势评估数据;
计算每个时间点所述待训练网络态势评估数据的指标态势得分和指标权重,并基于每个时间点所述待训练网络态势评估数据的指标态势得分和指标权重进行计算,得到每个时间点所述待训练网络态势评估数据的历史安全态势值;
将所述每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络,得到训练态势值;
基于所述训练态势值和所述历史安全态势值进行调整所述时序图神经网络的模型参数,得到已训练的时序图神经网络,以使所述已训练的时序图神经网络对待处理网络态势评估数据进行处理,得到预测安全态势值。
在本公开一个可选的实施例中,所述方法,还包括:
基于所有所述历史安全态势值按照升序排列,按照预设比例划分多个安全态势等级;
确定每个所述安全态势等级对应的安全等级阈值。
在本公开一个可选的实施例中,所述方法,还包括:
基于所述安全等级阈值和所述预测安全态势值确定所述待处理网络态势评估数据的安全态势等级。
在本公开一个可选的实施例中,所述方法,还包括:
在所述待处理网络态势评估数据的安全态势等级为目标安全态势等级,生成预警信息。
在本公开一个可选的实施例中,所述计算每个时间点所述待训练网络态势评估数据的指标态势得分,包括:
获取所述待训练网络态势评估数据中每个评估数据的数据类型;
当所述数据类型为类别型数据时,按照预设等级排列,并按照百分位数对所述类别型数据对应的评估数据赋值,得到所述类别型数据对应的评估数据的指标态势得分;
当所述数据类型为数值型数据时,对每个评估数据进行区间划分,基于每个评估数据所在区间的概率密度值和预设的分数公式进行计算,得到所述数值型数据对应的评估数据的指标态势得分。
在本公开一个可选的实施例中,所述计算每个时间点所述待训练网络态势评估数据的指标权重,包括:
基于预设的评估层级计算所述待训练网络态势评估数据中每个评估数据之间的相对数值;
基于所有所述相对数值构建判断矩阵;
基于所述判断矩阵和预设的权重计算公式进行计算,得到所述待训练网络态势评估数据的指标权重。
在本公开一个可选的实施例中,所述时序图神经网络包括图卷积层和长短期记忆LSTM层;所述将所述每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络,得到训练态势值,包括:
基于所述图卷积层对所述待训练网络态势评估数据进行处理,融合所述待训练网络态势评估数据中各个评估数据的邻居特征;
基于所述LSTM层对所述待训练网络态势评估数据进行处理,融合所述待训练网络态势评估数据中各个评估数据的时序特征;
基于所述邻居特征和所述时序特征进行处理,得到所述训练态势值。
本公开提供了一种基于时序图神经网络的网络安全态势预测装置,包括:
获取划分模块,用于获取历史时间段内的多个网络态势评估数据,将所述多个网络态势评估数据按照多个时间点划分,得到每个时间点对应的待训练网络态势评估数据;
第一计算模块,用于计算每个时间点所述待训练网络态势评估数据的指标态势得分;
第二计算模块,用于计算每个时间点所述待训练网络态势评估数据的指标权重;
第三计算模块,用于基于每个时间点所述待训练网络态势评估数据的指标态势得分和指标权重进行计算,得到每个时间点所述待训练网络态势评估数据的历史安全态势值;
输入模块,用于将所述每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络,得到训练态势值;
处理模块,用于基于所述训练态势值和所述历史安全态势值进行调整所述时序图神经网络的模型参数,得到已训练的时序图神经网络,以使所述已训练的时序图神经网络对待处理网络态势评估数据进行处理,得到预测安全态势值。
本公开提供了一种电子设备,包括:处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行前述实施例所述基于时序图神经网络的网络安全态势预测方法。
本公开提供了一种计算机可读存储介质,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行前述实施例所述基于时序图神经网络的网络安全态势预测方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
获取历史时间段内的多个网络态势评估数据,将多个网络态势评估数据按照多个时间点划分,得到每个时间点对应的待训练网络态势评估数据,计算每个时间点待训练网络态势评估数据的指标态势得分和指标权重,并基于每个时间点待训练网络态势评估数据的指标态势得分和指标权重进行计算,得到每个时间点待训练网络态势评估数据的历史安全态势值,将每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络,得到训练态势值,基于训练态势值和历史安全态势值进行调整时序图神经网络的模型参数,得到已训练的时序图神经网络,以使已训练的时序图神经网络对待处理网络态势评估数据进行处理,得到预测安全态势值。由此,计算出历史安全态势值,依据该历史安全态势值对图神经网络进行有监督的训练,提取出更好的网络节点特征表示,通过时序图神经网络进行态势预测,不仅考虑了网络的邻居节点特征,也融合了网络节点的历史信息,提升了网络安全态势预测精度。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例所述一种基于时序图神经网络的网络安全态势预测方法的流程示例图;
图2为本公开实施例所述一种层次结构模型的示例图;
图3为本公开实施例所述一种基于时序图神经网络的网络安全态势预测装置的结构示例图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
目前的网络安全态势评估主要是从资产、基础运行数据、脆弱性、安全事件等角度进行综合评估,一台网络资产的未来网络安全态势值不仅与其关联的资产有关系(通过安全事件的IP地址确定),还与其历史的安全态势值有关,因此这是一个关于时序和空间拓扑关系的预测问题。
现有技术中,利用图神经网络对预先构建好的安全知识图谱进行编码处理,获得编码后数据,安全知识图谱是基于能源电商网络的运行数据构建的,接着利用拓扑结构重构解码器对编码后数据进行解码处理,获得结构重构数据,并利用属性重构解码器对编码后数据进行解码处理,获得属性重构后数据,最后基于重构后数据对能源电商网络进行网络安全态势感知。
然而,知识谱图的难点是知识的精确抽取与融合,多源异构数据的融合计算复杂,导致该方法的计算复杂度较高,应用场景受限,通过编码器和解码器结构对网络的属性特征和拓扑结构特征进行特征的抽取,该方法属于无监督的特征抽取方法,特征抽取能力有限,网络资产的网络安全态势值,不仅与其相邻的关联资产有关系,也与其自身的历史态势信息相关,该方法未考虑网络历史态势信息这一时序特征。
本公开实施例通过时序图神经网络,综合考虑了网络节点的属性信息、拓扑结构信息、历史信息,进而对网络资产进行网络安全态势精准预测。
具体地,本公开实施例在计算时,仅需输入网络中节点的属性数据、关联关系数据、层次分析法的评估矩阵就可以进行计算,不需要提前建立安全知识图谱,计算复杂度较低,并通过HBOS(Histogram-based Outlier Score,基于直方图的异常值得分)和层次分析法对网络安全态势进行评估,计算出历史安全态势值,依据该历史安全态势值对图神经网络进行有监督的训练,提取出更好的网络节点特征表示,以及通过时序图神经网络进行态势预测,不仅考虑了网络的邻居节点特征,也融合了网络节点的历史信息,提升了预测精度。
图1为本公开实施例所述一种基于时序图神经网络的网络安全态势预测方法的流程示例图。
步骤101,获取历史时间段内的多个网络态势评估数据,将多个网络态势评估数据按照多个时间点划分,得到每个时间点对应的待训练网络态势评估数据。
在本公开实施例中,网络态势评估数据通常为资产数据、基础运行数据、脆弱性数据和安全事件数据等一种或者多种。其中,资产数据包含资产类型、重要等级、机密性价值、可用性价值、完整性价值等;基础运行类数据包括CPU(Central Processing Unit,中央处理器)使用率、内存使用率、磁盘使用率、接收数据包数、发送数据包数等;脆弱性数据包括漏洞类型、漏洞数量、漏洞严重程度等;安全事件数据包括事件数量、威胁分数、事件类型、事件杀伤链阶段等。
在本公实施例中,历史时间段可以根据应用场景需要选择设置,比如以1个小时为预测时间间隔进行网络态势评估数据的采集工作,训练集的数据范围为过去2个月的数据,采用滑动窗口的方式来对训练数据进行提取,比如选取过去48小时的48个时间点的网络态势评估数据作为每个时间点对应的待训练网络态势评估数据,下一时间点的安全态势值为预测数据。
步骤102,计算每个时间点待训练网络态势评估数据的指标态势得分和指标权重,并基于每个时间点待训练网络态势评估数据的指标态势得分和指标权重进行计算,得到每个时间点待训练网络态势评估数据的历史安全态势值。
在本公开实施例中,获取待训练网络态势评估数据中每个评估数据的数据类型,当数据类型为类别型数据时,按照预设等级排列,并按照百分位数对类别型数据对应的评估数据赋值,得到类别型数据对应的评估数据的指标态势得分,当数据类型为数值型数据时,对每个评估数据进行区间划分,基于每个评估数据所在区间的概率密度值和预设的分数公式进行计算,得到数值型数据对应的评估数据的指标态势得分。
具体地,当数据类型为类别型数据时,首先按照危险等级由低到高升序排列,然后按照百分位数进行得分赋值,例如资产数据中的重要等级指标,该评估数据的类别有很低、低、中、高和很高,因此得分依次为0.2、0.4、0.6、0.8、1。
具体地,当数据类型为数值型数据时,使用HBOS进行指标态势得分计算,该方法对每个评估数据进行区间划分,区间的密度越高、指标态势得分越低,指标态势得分S计算公式如公式(1),P为该指标数据所落在区间的概率密度值。
Figure SMS_1
(1)
在本公开实施例中,基于预设的评估层级计算待训练网络态势评估数据中每个评估数据之间的相对数值,基于所有相对数值构建判断矩阵,基于判断矩阵和预设的权重计算公式进行计算,得到待训练网络态势评估数据的指标权重。
具体地,通过层析分析法来计算各个评估数据的权重值,层次分析法计算指标权重。
具体地,建立递阶层次结构模型,比如评估体系一共分为3层,分别是子因素层、主因素层、目的层,其中子因素层是指资产类型、重要等级这一层,主因素层是指资产数据、基础运行类数据这一层、目的层就是求解的最终网络安全态势值,如图2所示;接着构造各层次的所有判断矩阵,判断矩阵是一个方阵
Figure SMS_2
,其中,/>
Figure SMS_3
代表指标i对指标j的相对重要程度,其数值越大,相当于越重要,其数值为1~9及其倒数;接着层次单排序及一致性检验,计算一致性指标/>
Figure SMS_4
如公式(2),其中,n为判断矩阵的阶数,/>
Figure SMS_5
为判断矩阵最大特征值。
Figure SMS_6
(2)
进一步地,计算一致性比例
Figure SMS_7
如公式(3),其中 由查表得到/>
Figure SMS_8
时,认为通过一致性检验。
Figure SMS_9
(3)
进一步地,指标权重的计算公式如公式(4)。
Figure SMS_10
(4)
进一步地,基于每个时间点待训练网络态势评估数据的指标态势得分和指标权重进行计算,得到每个时间点待训练网络态势评估数据的历史安全态势值,比如将每个时间点待训练网络态势评估数据的指标态势得分和指标权重进行加权平均,得到每个时间点待训练网络态势评估数据的历史安全态势值。
举例而言,以资产为基本计算单位来计算网络安全态势值,一台资产的网络安全态势值由4部分组成,分别是资产态势、基础运行态势、脆弱性态势、安全事件态势等4部分组成,分别由资产数据、基础运行类数据、脆弱性数据、安全事件以及指标权重计算方式计算出的权重通过加权平均计算得出,即目的层的网络安全态势计算方法;主因素层的网络安全态势的计算方法与目的层相同,即计算出的各指标的指标态势得分及指标权重加权平均后得到,这样就得到了各个资产的历史安全态势值。
步骤103,将每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络,得到训练态势值。
步骤104,基于训练态势值和历史安全态势值进行调整时序图神经网络的模型参数,得到已训练的时序图神经网络,以使已训练的时序图神经网络对待处理网络态势评估数据进行处理,得到预测安全态势值。
在本公开实施例中,时序图神经网络包括图卷积层和长短期记忆LSTM(LongShort-Term Memory,长短期记忆)层,基于图卷积层对所述待训练网络态势评估数据进行处理,融合待训练网络态势评估数据中各个评估数据的邻居特征,基于LSTM层对待训练网络态势评估数据进行处理,融合待训练网络态势评估数据中各个评估数据的时序特征,基于邻居特征和时序特征进行处理,得到训练态势值。
具体地,时序图神经网络由两部分组成,图卷积层和LSTM层,其中,通过图卷积层来提取节点的邻居特征,通过LSTM来提取时序特征。
具体地,以网络资产为节点,通过网络攻击事件中的源IP(Internet Protocol,网际互连协议)和目的IP构造图网络的邻接矩阵,确定节点之间的关联关系,从而构建时序图神经网络。
具体地,图神经网络(图卷积层)的核心工作是对空间域中节点的Embedding(嵌入向量)进行卷积操作(即聚合邻居Embedding信息),图神经网络的特征提取公式如公式(5)所示,其中,
Figure SMS_11
为sigmoid激活函数,/>
Figure SMS_12
为邻接矩阵与单位矩阵相加,/>
Figure SMS_13
为/>
Figure SMS_14
的度矩阵,/>
Figure SMS_15
为输入的属性特征,/>
Figure SMS_16
为图神经网络的模型参数矩阵,该公式说明图神经网络通过/>
Figure SMS_17
对自身节点和相邻节点的特征进行融合处理,通过图卷积网络来融合预测节点的邻居特征。
Figure SMS_18
(5)
具体地,循环神经网网络是一种用于处理序列数据的神经网络,它可以通过隐状态来存储历史信息,适用于时间序列数据的计算。LSTM是一种特殊的循环神经网络,它主要通过门控机制来缓解梯度消失,从而更好的对数据进行预测。
在一些实施例中,基于所有历史安全态势值按照升序排列,按照预设比例划分多个安全态势等级,确定每个安全态势等级对应的安全等级阈值。
在一些实施例中,基于安全等级阈值和预测安全态势值确定待处理网络态势评估数据的安全态势等级。
在一些实施例中,在待处理网络态势评估数据的安全态势等级为目标安全态势等级,生成预警信息。
在本公开实施例中,首先准备训练时序图神经网络的数据集,以1个小时为预测时间间隔进行数据的采集工作,训练集的数据范围为过去2个月的数据,采用滑动窗口的方式来对训练数据进行提取,选取过去48小时的48个时间点的数据作为训练数据,下一小时的安全态势值为预测数据;若当前的时刻为T,则训练数据为T,T-1,T-2,…,T-47时刻的节点的属性数据及其历史网络安全态势值,预测值为T+1时刻的网络态势值,以MAE(平均绝对误差)为损失函数对神经网络进行优化训练,得到最优的模型参数。
在本公开实施例中,将历史安全态势值按照升序排列,按照40%、30%、20%、10%的比例划分为很低、低、中、高四个安全态势等级,确定各安全等级阈值。
在本公开实施例中,当时序图神经网络训练完成后,收集每个待预测资产节点的历史属性数据以及历史安全态势值数据,输入到训练好的时序图神经网络进行预测,得到每个待预测资产节点的预测安全态势值。
进一步地,根据预测安全态势值划分安全态势等级,对预测的高危态势等级的资产进行预警处理,并进行相应的防范措施。
由此,增强了检测模型的准确性,综合考虑了网络节点的属性数据、拓扑结构关系及历史数据,增强了模型的可解释性,通过具体的预测安全态势值,对不同资产进行分级预警,增强了模型的适用性,模型计算所需的数据源容易获取和统计。
作为一种场景举例,收集网络态势评估数据,通过HBOS和层次分析法对网络安全态势进行评估,通过时序图神经网络对网络安全态势进行预测,具体地,收集网络安全态势评估数据,比如收集了资产数据、基础运行数据、脆弱性数据、安全事件数据,基于收集的数据进行网络安全态势评估,首先通过HBOS等方法对指标态势进行计算,然后通过层次分析法计算指标权重,进而通过加权平均计算出资产态势、基础运行态势、脆弱性态势、安全事件态势,最终求出网络资产的历史安全态势值,进一步地,使用前述步骤的数据训练时序图神经网络,进而对网络资产的网络安全态势值进行预测。
由此,本公开实施例通过基于HBOS和层次分析法对网络安全态势进行了评估,以及通过时序图神经网络,考虑了网络的节点属性、拓扑结构以及历史信息,对网络安全态势进行了预测,可以对网络安全态势进行预测,为网络安全预警提供数据支撑。
与上述图1至图2实施例提供方法相对应,本公开还提供一种装置,由于本公开实施例提供的装置与上述图1至图2实施例提供的方法相对应,因此在方法的实施方式也适用于本公开实施例提供的装置,在本公开实施例中不再详细描述。
图3为本公开实施例所述的基于时序图神经网络的网络安全态势预测装置的结构示意图。
如图3所示,该基于时序图神经网络的网络安全态势预测装置,包括:
获取划分模块201,用于获取历史时间段内的多个网络态势评估数据,将所述多个网络态势评估数据按照多个时间点划分,得到每个时间点对应的待训练网络态势评估数据;
第一计算模块202,用于计算每个时间点所述待训练网络态势评估数据的指标态势得分;
第二计算模块203,用于计算每个时间点所述待训练网络态势评估数据的指标权重;
第三计算模块204,用于基于每个时间点所述待训练网络态势评估数据的指标态势得分和指标权重进行计算,得到每个时间点所述待训练网络态势评估数据的历史安全态势值;
输入模块205,用于将所述每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络,得到训练态势值;
处理模块206,用于基于所述训练态势值和所述历史安全态势值进行调整所述时序图神经网络的模型参数,得到已训练的时序图神经网络,以使所述已训练的时序图神经网络对待处理网络态势评估数据进行处理,得到预测安全态势值。
在一些实施例中,所述装置,还包括:
排序划分模块,用于基于所有所述历史安全态势值按照升序排列,按照预设比例划分多个安全态势等级;
第一确定模块,用于确定每个所述安全态势等级对应的安全等级阈值。
在一些实施例中,所述装置,还包括:
第二确定模块,用于基于所述安全等级阈值和所述预测安全态势值确定所述待处理网络态势评估数据的安全态势等级。
在一些实施例中,所述装置,还包括:
生成模块,用于在所述待处理网络态势评估数据的安全态势等级为目标安全态势等级,生成预警信息。
在一些实施例中,所述第一计算模块202,具体用于:
获取所述待训练网络态势评估数据中每个评估数据的数据类型;
当所述数据类型为类别型数据时,按照预设等级排列,并按照百分位数对所述类别型数据对应的评估数据赋值,得到所述类别型数据对应的评估数据的指标态势得分;
当所述数据类型为数值型数据时,对每个评估数据进行区间划分,基于每个评估数据所在区间的概率密度值和预设的分数公式进行计算,得到所述数值型数据对应的评估数据的指标态势得分。
在一些实施例中,第二计算模块203,具体用于:
基于预设的评估层级计算所述待训练网络态势评估数据中每个评估数据之间的相对数值;
基于所有所述相对数值构建判断矩阵;
基于所述判断矩阵和预设的权重计算公式进行计算,得到所述待训练网络态势评估数据的指标权重。
在一些实施例中,所述输入模块205,用于:
基于所述图卷积层对所述待训练网络态势评估数据进行处理,融合所述待训练网络态势评估数据中各个评估数据的邻居特征;
基于所述LSTM层对所述待训练网络态势评估数据进行处理,融合所述待训练网络态势评估数据中各个评估数据的时序特征;
基于所述邻居特征和所述时序特征进行处理,得到所述训练态势值。
本公开的基于时序图神经网络的网络安全态势预测装置,通过获取历史时间段内的多个网络态势评估数据,将多个网络态势评估数据按照多个时间点划分,得到每个时间点对应的待训练网络态势评估数据,计算每个时间点待训练网络态势评估数据的指标态势得分和指标权重,并基于每个时间点待训练网络态势评估数据的指标态势得分和指标权重进行计算,得到每个时间点待训练网络态势评估数据的历史安全态势值,将每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络,得到训练态势值,基于训练态势值和历史安全态势值进行调整时序图神经网络的模型参数,得到已训练的时序图神经网络,以使已训练的时序图神经网络对待处理网络态势评估数据进行处理,得到预测安全态势值。由此,计算出历史安全态势值,依据该历史安全态势值对图神经网络进行有监督的训练,提取出更好的网络节点特征表示,通过时序图神经网络进行态势预测,不仅考虑了网络的邻居节点特征,也融合了网络节点的历史信息,提升了网络安全态势预测精度。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种基于时序图神经网络的网络安全态势预测方法,其特征在于,包括:
获取历史时间段内的多个网络态势评估数据,将所述多个网络态势评估数据按照多个时间点划分,得到每个时间点对应的待训练网络态势评估数据;
计算每个时间点所述待训练网络态势评估数据的指标态势得分和指标权重,并基于每个时间点所述待训练网络态势评估数据的指标态势得分和指标权重进行计算,得到每个时间点所述待训练网络态势评估数据的历史安全态势值;
将所述每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络,得到训练态势值;
基于所述训练态势值和所述历史安全态势值进行调整所述时序图神经网络的模型参数,得到已训练的时序图神经网络,以使所述已训练的时序图神经网络对待处理网络态势评估数据进行处理,得到预测安全态势值;
其中,所述时序图神经网络包括图卷积层和长短期记忆LSTM层;所述将所述每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络,得到训练态势值,包括:
基于所述图卷积层对所述待训练网络态势评估数据进行处理,融合所述待训练网络态势评估数据中各个评估数据的邻居特征;
基于所述LSTM层对所述待训练网络态势评估数据进行处理,融合所述待训练网络态势评估数据中各个评估数据的时序特征;
基于所述邻居特征和所述时序特征进行处理,得到所述训练态势值。
2.根据权利要求1所述的基于时序图神经网络的网络安全态势预测方法,其特征在于,还包括:
基于所有所述历史安全态势值按照升序排列,按照预设比例划分多个安全态势等级;
确定每个所述安全态势等级对应的安全等级阈值。
3.根据权利要求2所述的基于时序图神经网络的网络安全态势预测方法,其特征在于,还包括:
基于所述安全等级阈值和所述预测安全态势值确定所述待处理网络态势评估数据的安全态势等级。
4.根据权利要求3所述的基于时序图神经网络的网络安全态势预测方法,其特征在于,还包括:
在所述待处理网络态势评估数据的安全态势等级为目标安全态势等级,生成预警信息。
5.根据权利要求1所述的基于时序图神经网络的网络安全态势预测方法,其特征在于,所述计算每个时间点所述待训练网络态势评估数据的指标态势得分,包括:
获取所述待训练网络态势评估数据中每个评估数据的数据类型;
当所述数据类型为类别型数据时,按照预设等级排列,并按照百分位数对所述类别型数据对应的评估数据赋值,得到所述类别型数据对应的评估数据的指标态势得分;
当所述数据类型为数值型数据时,对每个评估数据进行区间划分,基于每个评估数据所在区间的概率密度值和预设的分数公式进行计算,得到所述数值型数据对应的评估数据的指标态势得分。
6.根据权利要求1所述的基于时序图神经网络的网络安全态势预测方法,其特征在于,所述计算每个时间点所述待训练网络态势评估数据的指标权重,包括:
基于预设的评估层级计算所述待训练网络态势评估数据中每个评估数据之间的相对数值;
基于所有所述相对数值构建判断矩阵;
基于所述判断矩阵和预设的权重计算公式进行计算,得到所述待训练网络态势评估数据的指标权重。
7.一种基于时序图神经网络的网络安全态势预测装置,其特征在于,包括:
获取划分模块,用于获取历史时间段内的多个网络态势评估数据,将所述多个网络态势评估数据按照多个时间点划分,得到每个时间点对应的待训练网络态势评估数据;
第一计算模块,用于计算每个时间点所述待训练网络态势评估数据的指标态势得分;
第二计算模块,用于计算每个时间点所述待训练网络态势评估数据的指标权重;
第三计算模块,用于基于每个时间点所述待训练网络态势评估数据的指标态势得分和指标权重进行计算,得到每个时间点所述待训练网络态势评估数据的历史安全态势值;
输入模块,用于将所述每个时间点对应的待训练网络态势评估数据输入预先构建的时序图神经网络,得到训练态势值;
处理模块,用于基于所述训练态势值和所述历史安全态势值进行调整所述时序图神经网络的模型参数,得到已训练的时序图神经网络,以使所述已训练的时序图神经网络对待处理网络态势评估数据进行处理,得到预测安全态势值;
其中,所述时序图神经网络包括图卷积层和长短期记忆LSTM层;所述输入模块,还用于:
基于所述图卷积层对所述待训练网络态势评估数据进行处理,融合所述待训练网络态势评估数据中各个评估数据的邻居特征;
基于所述LSTM层对所述待训练网络态势评估数据进行处理,融合所述待训练网络态势评估数据中各个评估数据的时序特征;
基于所述邻居特征和所述时序特征进行处理,得到所述训练态势值。
8.一种电子设备,其特征在于,包括:处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至6任一项所述方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至6任一项所述方法的步骤。
CN202211429350.0A 2022-11-15 2022-11-15 基于时序图神经网络的网络安全态势预测方法和装置 Active CN115834174B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211429350.0A CN115834174B (zh) 2022-11-15 2022-11-15 基于时序图神经网络的网络安全态势预测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211429350.0A CN115834174B (zh) 2022-11-15 2022-11-15 基于时序图神经网络的网络安全态势预测方法和装置

Publications (2)

Publication Number Publication Date
CN115834174A CN115834174A (zh) 2023-03-21
CN115834174B true CN115834174B (zh) 2023-06-09

Family

ID=85528255

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211429350.0A Active CN115834174B (zh) 2022-11-15 2022-11-15 基于时序图神经网络的网络安全态势预测方法和装置

Country Status (1)

Country Link
CN (1) CN115834174B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110647900A (zh) * 2019-04-12 2020-01-03 中国人民解放军战略支援部队信息工程大学 基于深度神经网络的安全态势智能预测方法、装置及系统
CN112383516A (zh) * 2020-10-29 2021-02-19 博雅正链(北京)科技有限公司 图神经网络构建方法、基于图神经网络的异常流量检测方法
CN112506996A (zh) * 2020-12-10 2021-03-16 树根互联技术有限公司 数据异常检测方法、装置、计算机设备和可读存储介质
CN112702342A (zh) * 2020-12-22 2021-04-23 北京天融信网络安全技术有限公司 网络事件处理方法、装置、电子设备及可读存储介质
CN112801185A (zh) * 2021-01-28 2021-05-14 河北师范大学 一种基于改进神经网络的网络安全态势理解和评估方法
CN113269389A (zh) * 2021-03-29 2021-08-17 中国大唐集团科学技术研究院有限公司 基于深度信念网的网络安全态势评估和态势预测建模方法
CN113783876A (zh) * 2021-09-13 2021-12-10 国网电子商务有限公司 基于图神经网络的网络安全态势感知方法及相关设备
CN113949554A (zh) * 2021-10-13 2022-01-18 东南大学 一种分布式网络全局态势感知数据高速传输方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11323465B2 (en) * 2018-09-19 2022-05-03 Nec Corporation Temporal behavior analysis of network traffic

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110647900A (zh) * 2019-04-12 2020-01-03 中国人民解放军战略支援部队信息工程大学 基于深度神经网络的安全态势智能预测方法、装置及系统
CN112383516A (zh) * 2020-10-29 2021-02-19 博雅正链(北京)科技有限公司 图神经网络构建方法、基于图神经网络的异常流量检测方法
CN112506996A (zh) * 2020-12-10 2021-03-16 树根互联技术有限公司 数据异常检测方法、装置、计算机设备和可读存储介质
CN112702342A (zh) * 2020-12-22 2021-04-23 北京天融信网络安全技术有限公司 网络事件处理方法、装置、电子设备及可读存储介质
CN112801185A (zh) * 2021-01-28 2021-05-14 河北师范大学 一种基于改进神经网络的网络安全态势理解和评估方法
CN113269389A (zh) * 2021-03-29 2021-08-17 中国大唐集团科学技术研究院有限公司 基于深度信念网的网络安全态势评估和态势预测建模方法
CN113783876A (zh) * 2021-09-13 2021-12-10 国网电子商务有限公司 基于图神经网络的网络安全态势感知方法及相关设备
CN113949554A (zh) * 2021-10-13 2022-01-18 东南大学 一种分布式网络全局态势感知数据高速传输方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Guangyin Jin ; Qi Wang ; Cunchao Zhu.Addressing Crime Situation Forecasting Task with Temporal Graph Convolutional Neural Network Approach.2020 12th International Conference on Measuring Technology and Mechatronics Automation (ICMTMA).2020,全文. *
Md. Shopon ; Gee-Sern Jison Hsu.Multiview Gait Recognition on Unconstrained Path Using Graph Convolutional Neural Network.IEEE Access ( Volume: 10).2022,全文. *
Rui Qiu ; Xusheng Du.Graph Convolutional Networks and Attention-Based Outlier Detection.IEEE Access ( Volume: 10).2022,全文. *

Also Published As

Publication number Publication date
CN115834174A (zh) 2023-03-21

Similar Documents

Publication Publication Date Title
CN109922069B (zh) 高级持续性威胁的多维关联分析方法及系统
Li et al. A comparative study on the prediction of the BP artificial neural network model and the ARIMA model in the incidence of AIDS
Barraclough et al. Intelligent phishing detection and protection scheme for online transactions
WO2016115182A1 (en) Activity model for detecting suspicious user activity
CN110677433B (zh) 一种网络攻击预测的方法、系统、设备及可读存储介质
CN113783874B (zh) 基于安全知识图谱的网络安全态势评估方法及系统
Shaik et al. Deep learning time series to forecast COVID-19 active cases in INDIA: a comparative study
Wang et al. A cloud service trust evaluation model based on combining weights and gray correlation analysis
Yi et al. Network security risk assessment model based on fuzzy theory
CN116383096B (zh) 基于多指标时序预测的微服务系统异常检测方法及装置
CN101404591B (zh) 一种自适应的动态信任权重评估方法
CN110162958B (zh) 用于计算设备的综合信用分的方法、装置和记录介质
CN111861119B (zh) 基于企业风险关联图谱的企业风险数据处理方法及装置
CN116418653A (zh) 基于多指标根因定位算法的故障定位方法及装置
CN105933138B (zh) 一种时空维度相结合的云服务可信态势评估与预测方法
CN111027591A (zh) 一种面向大规模集群系统的节点故障预测方法
Xin et al. Vision paper: causal inference for interpretable and robust machine learning in mobility analysis
CN115834174B (zh) 基于时序图神经网络的网络安全态势预测方法和装置
Yang et al. A comparative study of ML-ELM and DNN for intrusion detection
Ivanchenko et al. Availability assessment of a cloud server system: comparing Markov and semi-Markov models
Fan et al. An improved integrated prediction method of cyber security situation based on spatial-time analysis
Dubey et al. Bayesian network based trust model with time window for pure P2P computing systems
Yao et al. A network security situation prediction method through the use of improved TCN and BiDLSTM
Balis et al. Execution management and efficient resource provisioning for flood decision support
Almalki et al. Prospectus: An online polymorphic attack detection model for intelligent transportation systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant