CN116032567B

CN116032567B - 未知网络威胁的风险描述方法、装置、设备及存储介质

Info

Publication number: CN116032567B
Application number: CN202211614507.7A
Authority: CN
Inventors: 李涛; 李汶珊; 李贝贝; 陈阳; 兰小龙; 何俊江; 赵辉; 陈文�
Original assignee: Sichuan University
Current assignee: Sichuan University
Priority date: 2022-12-13
Filing date: 2022-12-13
Publication date: 2024-02-20
Anticipated expiration: 2042-12-13
Also published as: CN116032567A

Abstract

本发明涉及信息安全技术领域，公开了一种未知网络威胁的风险描述方法、装置、设备及存储介质，所述方法包括：根据待处理网络数据包和预设免疫算法训练未知网络威胁检测设备集合；在所述未知网络威胁检测设备集合检测到未知网络威胁时，所述未知网络威胁检测器浓度随未知网络威胁强度同步动态演化；获取所述未知网络威胁的检测设备浓度，并计算目标网络的资产重要性；根据所述检测设备浓度和目标网络资产重要性描述主机面临未知网络威胁风险和整个网络面临未知网络威胁风险；通过上述方式，在检测到未知网络威胁时，根据检测设备浓度和目标网络资产重要性描述主机和整个网络面临网络威胁风险，从而能够实时、定量、准确地描述主机以及整个网络所面临的未知网络威胁风险，提高系统的安全性。

Description

未知网络威胁的风险描述方法、装置、设备及存储介质

技术领域

本发明涉及信息安全技术领域，尤其涉及未知网络威胁的风险描述方法、装置、设备及存储介质。

背景技术

在真实网络环境中，网络外部情况异常复杂、尖锐以及瞬息万变，采取一成不变且被动的防御措施进行防御使得整个网络非常危险，尤其是未知网络威胁风险。当前，未知网络威胁风险描述的滞后已给网络安全带来重大隐患，目前常用的网络威胁风险描述的相关技术为通过入侵监测系统和安全审计手段对已发生的网络活动进行统计分析，识别与已知攻击模式相匹配的网络活动，监测和分析用户及系统可能的异常行为等，从而实现对当前面临的网络威胁风险进行描述。但是上述相关技术仅能根据已知威胁对网络过去所处的风险进行一个粗略地定性的描述，对正在遭受的威胁风险无法实时、定量、准确地描述，且难以适应真实环境中网络威胁的快速变化，造成系统的安全性较低。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种未知网络威胁的风险描述方法、装置、设备及存储介质，旨在解决现有技术无法实时、定量、准确地描述主机以及整个网络所面临的未知网络威胁风险，造成系统的安全性较低的技术问题。

为实现上述目的，本发明提供了一种未知网络威胁的风险描述方法，所述未知网络威胁的风险描述方法包括以下步骤：

根据待处理网络数据包和预设免疫算法训练未知网络威胁检测设备集合；

在所述未知网络威胁检测设备集合检测到未知网络威胁时，所述未知网络威胁检测设备浓度随未知网络威胁强度同步动态演化；

获取所述未知网络威胁的检测设备浓度，并计算目标网络资产重要性；

根据所述检测设备浓度和目标网络资产重要性描述主机面临未知网络威胁风险和整个网络面临未知网络威胁风险。

可选地，所述在所述未知网络威胁检测设备集合检测到未知网络威胁时，所述未知网络威胁检测设备浓度随未知网络威胁强度同步动态演化，包括：

对所述未知网络威胁检测设备集合中各个检测设备的浓度进行初始化；

在初始化完成后，判断所述未知网络威胁检测设备集合是否检测到未知网络威胁；

在所述未知网络威胁检测设备集合检测到未知网络威胁时，激活与检测到所述未知网络威胁相对应的检测设备；

在预设周期内，通过所述检测设备再次检测到同类未知网络威胁时，利用检测器抗体浓度激励策略，提升未知网络威胁检测设备浓度；

在预设周期内，通过所述检测设备未再次检测到同类未知网络威胁时，利用检测器抗体浓度抑制策略，降低未知网络威胁设备浓度。

可选地，所述根据所述检测设备浓度和目标网络资产重要性描述主机面临未知网络威胁风险和整个网络面临未知网络威胁风险之前，还包括：

获取若干数量的网络资产指标和所述网络资产指标对应的指标评价值；

根据所述若干数量的网络资产指标和所述指标评价值计算资产指标值；

根据所述资产指标值之间的相对重要性构造网络资产重要性确定矩阵；

根据所述网络资产重要性确定矩阵计算所述若干数量的网络资产指标的权重值；

根据所述资产指标值和所述若干数量的网络资产指标的权重值计算目标网络资产重要性。

可选地，所述主机面临未知网络威胁风险包括主机面临目标类单一未知网络威胁风险；

所述根据所述检测设备浓度重要性描述主机面临未知网络威胁风险，包括：

获取主机在目标时刻未知网络威胁检测设备集合的当前血亲类系；

根据所述当前血亲类系得到主机面临的单一未知网络威胁特征；

获取主机在目标时刻单一未知网络威胁检测设备浓度；

通过第一网络威胁风险计算公式根据所述单一未知网络威胁检测设备浓度计算主机面临目标类单一未知网络威胁风险。

可选地，所述主机面临未知网络威胁风险包括主机面临整体综合未知网络威胁风险；

所述根据所述检测设备浓度描述主机面临未知网络威胁风险，包括：

获取主机在目标时刻未知网络威胁检测设备集合的目标血亲类系；

根据所述目标血亲类系得到主机面临的整体未知网络威胁特征；

获取主机在目标时刻整体未知网络威胁检测设备浓度；

通过第二网络威胁风险计算公式根据所述整体未知网络威胁检测设备浓度计算主机面临整体综合未知网络威胁风险。

可选地，所述整个网络面临未知网络威胁风险包括整个网络面临目标类单一未知网络威胁风险；

所述根据所述检测设备浓度和目标网络资产重要性描述整个网络面临未知网络威胁风险，包括：

获取整个网络在目标时刻未知网络威胁检测设备集合的当前血亲类系；

获取整个网络在目标时刻单一未知网络威胁检测设备浓度；

通过第三网络威胁风险计算公式根据所述单一未知网络威胁检测设备浓度和目标网络资产重要性整个网络面临目标类单一未知网络威胁风险。

可选地，所述整个网络面临未知网络威胁风险包括整个网络面临整体综合未知网络威胁风险；

根据所述当前血亲类系得到整个网络面临的整体未知网络威胁特征；

获取整个网络在目标时刻整体未知网络威胁检测设备浓度；

通过第四网络威胁风险计算公式根据所述整体未知网络威胁检测设备浓度和目标网络资产重要性计算整个网络面临整体综合未知网络威胁风险。

此外，为实现上述目的，本发明还提出一种未知网络威胁的风险描述装置，所述未知网络威胁的风险描述装置包括：

训练模块，用于根据待处理网络数据包和预设免疫算法训练未知网络威胁检测设备集合；

演化模块，用于在所述未知网络威胁检测设备集合检测到未知网络威胁时，所述未知网络威胁检测设备浓度随未知网络威胁强度同步动态演化；

获取模块，用于获取所述未知网络威胁的检测设备浓度，并计算目标网络资产重要性；

描述模块，用于根据所述检测设备浓度和目标网络资产重要性描述主机面临未知网络威胁风险和整个网络面临未知网络威胁风险。

此外，为实现上述目的，本发明还提出一种未知网络威胁的风险描述设备，所述未知网络威胁的风险描述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的未知网络威胁的风险描述程序，所述未知网络威胁的风险描述程序配置为实现如上文所述的未知网络威胁的风险描述方法。

此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有未知网络威胁的风险描述程序，所述未知网络威胁的风险描述程序被处理器执行时实现如上文所述的未知网络威胁的风险描述方法。

本发明提出的未知网络威胁的风险描述方法，根据待处理网络数据包和预设免疫算法训练未知网络威胁检测设备集合；在所述未知网络威胁检测设备集合检测到未知网络威胁时，所述未知网络威胁检测器浓度随未知网络威胁强度同步动态演化；获取所述未知网络威胁的检测设备浓度，并计算目标网络的资产重要性；根据所述检测设备浓度和目标网络资产重要性描述主机面临未知网络威胁风险和整个网络面临未知网络威胁风险；通过上述方式，在检测到未知网络威胁时，根据检测设备浓度和目标网络资产重要性描述主机和整个网络面临网络威胁风险，从而能够实时、定量、准确地描述主机以及整个网络所面临的未知网络威胁风险，提高系统的安全性。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的未知网络威胁的风险描述设备的结构示意图；

图2为本发明未知网络威胁的风险描述方法第一实施例的流程示意图；

图3为本发明未知网络威胁的风险描述方法第二实施例的流程示意图；

图4为本发明未知网络威胁的风险描述装置第一实施例的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的未知网络威胁的风险描述设备结构示意图。

如图1所示，该未知网络威胁的风险描述设备可以包括：处理器1001，例如中央处理器(Central Processing Unit，CPU)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity，Wi-Fi)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory，RAM)存储器，也可以是稳定的非易失性存储器(Non-Volatile Memory，NVM)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对未知网络威胁的风险描述设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及未知网络威胁的风险描述程序。

在图1所示的未知网络威胁的风险描述设备中，网络接口1004主要用于与网络一体化平台工作站进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明未知网络威胁的风险描述设备中的处理器1001、存储器1005可以设置在未知网络威胁的风险描述设备中，所述未知网络威胁的风险描述设备通过处理器1001调用存储器1005中存储的未知网络威胁的风险描述程序，并执行本发明实施例提供的未知网络威胁的风险描述方法。

基于上述硬件结构，提出本发明未知网络威胁的风险描述方法实施例。

参照图2，图2为本发明未知网络威胁的风险描述方法第一实施例的流程示意图。

在第一实施例中，所述未知网络威胁的风险描述方法包括以下步骤：

步骤S10，根据待处理网络数据包和预设免疫算法训练未知网络威胁检测设备集合。

需要说明的是，本实施例的执行主体为未知网络威胁的风险描述设备，还可为其他可实现相同或相似功能的设备，例如风险控制系统等，本实施例对此不作限制，在本实施例中，以风险控制系统为例进行说明。

应当理解的是，待处理网络数据包指的是用于抗原提呈的数据包，该待处理网络数据包可以为网络IP数据包，预设免疫算法指的是训练检测设备集合的免疫算法，该预设免疫算法可以为人工智能免疫算法，在得到待处理网络数据包后，对待处理网络数据包进行提呈，然后由预设免疫算法对提呈的抗原进行训练，以得到未知网络威胁检测设备集合，未知网络威胁检测设备可以为未知网络威胁检测器，该未知网络威胁检测器集合D_ma＝{<d,ο,c>|d∈D，ο∈R，c∈N}，其中，d为检测器，ο为检测器浓度，c为检测器匹配到的抗原数目。未知网络威胁检测器类似于免疫系统中的成熟免疫细胞。

需要强调的是，抗原集合为Q＝{<u,v>|u∈S∧v∈ψ∧|u|＝len∈N∧u＝APC(v)}，其中S＝{0,1}^len，len为常自然数，ψ为待处理网络数据包的集合，|u|为字符串u的长度，APC(v)为对待处理网络数据包v进行提呈的抗原。

步骤S20，在所述未知网络威胁检测设备集合检测到未知网络威胁时，所述未知网络威胁检测设备浓度随未知网络威胁强度同步动态演化。

可以理解的是，检测设备浓度指的是检测到未知网络威胁的设备的浓度，在训练未知网络威胁检测设备集合后，由未知网络威胁检测设备集合进行网络威胁检测，在检测到未知网络威胁时，未知网络威胁检测设备浓度随未知网络威胁强度同步动态演化。

进一步地，步骤S20，包括：对所述未知网络威胁检测设备集合中各个检测设备的浓度进行初始化；在初始化完成后，判断所述未知网络威胁检测设备集合是否检测到未知网络威胁；在所述未知网络威胁检测设备集合检测到未知网络威胁时，激活与检测到所述未知网络威胁相对应的检测设备；在预设周期内，通过所述检测设备再次检测到同类未知网络威胁时，利用检测器抗体浓度激励策略和检测器抗体浓度抑制策略确定未知网络威胁浓度与未知网络威胁同步动态演化；根据所述未知网络威胁浓度与未知网络威胁同步动态演化获取所述未知网络威胁的检测设备浓度。

应当理解的是，在训练未知网络威胁检测设备集合后，初始化未知网络威胁检测设备集合中各个检测设备的浓度，然后在未知网络威胁检测设备集合首次检测到未知网络威胁时，检测到未知网络威胁相对应的检测设备被激活，在预设周期内，通过所述检测设备再次检测到同类未知网络威胁时，利用检测器抗体浓度激励策略和检测器抗体浓度抑制策略确定未知网络威胁浓度与未知网络威胁同步动态演化，具体是利用检测器抗体浓度激励策略对未知网络威胁检测设备集合中各个检测设备的浓度进行提高，该检测器抗体浓度激励策略为β_increase(α)＝μ₁+μ₂·α.ο，其中，β_increase(α)为检测器抗体浓度激励策略，μ₁为起始浓度值，μ₂为模拟奖励因子，α.ο为未知网络威胁检测设备浓度，以及利用检测器抗体浓度抑制策略对未知网络威胁检测设备集合中各个检测设备的浓度进行降低，使之恢复到正常的水平，该检测器抗体浓度抑制策略具体为：

其中，β_decrease(α)为检测器抗体浓度抑制策略，α.t为检测器没有再次克隆的时间，θ为未知网络威胁检测器浓度的保持周期。

步骤S30，获取所述未知网络威胁的检测设备浓度，并计算目标网络的资产重要性。

根据所述检测设备浓度确定所述未知网络威胁的检测设备浓度。

可以理解的是，检测设备浓度指的是检测到未知网络威胁的设备的浓度，由于未知网络威胁检测设备浓度随未知网络威胁强度同步动态演化，在检测到未知网络威胁时，获取未知网络威胁的检测设备浓度。目标网络资产重要性指的是网络资产中各目标的相对重要性。

步骤S40，根据所述检测设备浓度和目标网络资产重要性描述主机面临未知网络威胁风险和整个网络面临未知网络威胁风险。

可以理解的是，主机面临未知网络威胁风险包括主机面临目标类单一未知网络威胁风险和主机面临整体综合未知网络威胁风险，整个网络面临未知网络威胁风险包括整个网络面临目标类单一未知网络威胁风险和整个网络面临整体综合未知网络威胁风险。

进一步地，步骤S40，包括：获取主机在目标时刻未知网络威胁检测设备集合的当前血亲类系；根据所述当前血亲类系得到主机面临的单一未知网络威胁特征；获取主机在目标时刻单一未知网络威胁检测设备浓度；通过第一网络威胁风险计算公式根据所述单一未知网络威胁检测设备浓度计算主机面临目标类单一未知网络威胁风险。

应当理解的是，该当前血亲类系指的是主机k在t时刻未知网络威胁检测器集合D_ma(t)的最大血亲类系，具体是定义最大血亲类系H＝{H₁,H₂,...,H_n}，设令/>中所有最大血亲类系的集合为/>则/>即H_i为/>中具有最多元素的任一最大血亲类系，并且/>则称H为D_ma中最大的血亲类系，例如，H(t)＝{H₁(t),H₂(t),...,H_n(t)}，H_i(t)(1≤i≤n)为一类未知网络威胁检测设备，然后根据当前血亲类系得到主机面临的单一未知网络威胁特征，具体是主机k已遭受了n类未知网络威胁攻击，取H_i(t)的所有基因片段/>作为第i(i＝1,2,...,n)类未知网络威胁的特征，再通过第一网络威胁风险计算公式根据单一未知网络威胁检测设备浓度计算主机面临目标类单一未知网络威胁风险，即为：

其中，risk_i，j(t)为主机面临目标类单一未知网络威胁风险δ₁>0为常数，为主机k面临第i(1≤i≤n)类未知网络威胁的危险数值，q_i是第i类未知网络威胁的危险性指标个数，f_weight(g,P_i)是基于层次分析法的指标权重计算函数，P_i为危险性判断矩阵，V_g,h为第i类未知网络威胁的第g个指标的第h个候选。

需要说明的是，定义未知网络威胁风险risk，Risk∈[0，1]，分别描述主机和整个网络面临的某类未知网络威胁的动态风险与整体综合风险。risk，Risk的值越接近于1，表明当前所面临的未知网络威胁越高，越接近于0，表明当前所面临的未知网络威胁越低，其中1表示绝对危险，0表示没有风险。

进一步地，步骤S40，包括：获取主机在目标时刻未知网络威胁检测设备集合的当前血亲类系；根据所述当前血亲类系得到主机面临的整体未知网络威胁特征；获取主机在目标时刻整体未知网络威胁检测设备浓度；通过第二网络威胁风险计算公式根据所述整体未知网络威胁检测设备浓度计算主机面临整体综合未知网络威胁风险。

可以理解的是，该当前血亲类系指的是主机k在t时刻未知网络威胁检测器集合D_ma(t)的最大血亲类系，例如，H(t)＝{H₁(t)，H₂(t)，...，H_n(t)}，整体未知网络威胁特征指的是主机面临的整体未知威胁特征，例如，主机k已遭受了n类未知网络威胁攻击，取H(t)中检出的n类未知网络威胁特征然后通过第二网络威胁风险计算公式根据整体未知网络威胁检测设备浓度计算主机面临整体综合未知网络威胁风险，即为：

其中，risk_k(t)为主机面临整体综合未知网络威胁风险，δ₁＞0为常数，为主机k面临第i(1≤i≤n)类未知网络威胁的危险数值，qi是第i类未知网络威胁的危险性指标个数，f_weight(g，P_i)是基于层次分析法的指标权重计算函数。

进一步地，步骤S40，包括：获取整个网络在目标时刻未知网络威胁检测设备集合的当前血亲类系；根据所述当前血亲类系得到整个网络面临的单一未知网络威胁特征；获取整个网络在目标时刻单一未知网络威胁检测设备浓度；通过第三网络威胁风险计算公式根据所述单一未知网络威胁检测设备浓度和目标网络资产重要性计算整个网络面临目标类单一未知网络威胁风险。

应当理解的是，该当前血亲类系指的是在目标时刻的未知网络威胁检测设备集合的最大血亲类系，例如，整个网络共有K台主机，未知网络威胁检测设备集合为则当前血亲类系为L(t)＝{L₁(t)，L₂(t)，...，L_m(t)}，以对未知网络威胁检测设备进行分类，/>为主机k(1≤k≤K)在t时刻的未知网络威胁检测器集合，单一未知网络威胁特征指的是整个网络面临的单一未知威胁特征，例如，整个网络已经遭受了m类未知网络攻击，取L_i(t)的所有基因片段/>作为第i(i＝1,2,...,m)类未知网络威胁的特征，然后通过第三网络威胁风险计算公式根据单一未知网络威胁检测设备浓度和目标网络资产重要性计算整个网络面临目标类单一未知网络威胁风险，即为：

其中，Risk_i(t)为整个网络面临目标类单一未知网络威胁风险，δ₂>0为常数，I_k为主机k的在整个网络中资产重要性，为主机k面临第i(1≤i≤n)类未知网络威胁的危险数值，q_i是第i类未知网络威胁的危险性指标个数，f_weight(g,P_i)是基于层次分析法的指标权重计算函数。

进一步地，步骤S40，包括：获取整个网络在目标时刻未知网络威胁检测设备集合的当前血亲类系；根据所述当前血亲类系得到整个网络面临的整体未知网络威胁特征；获取整个网络在目标时刻整体未知网络威胁检测设备浓度；通过第四网络威胁风险计算公式根据所述整体未知网络威胁检测设备浓度和目标网络资产重要性计算整个网络面临整体综合未知网络威胁风险。

可以理解的是，该当前血亲类系指的是整个网络在标时刻未知网络威胁检测设备集合的最大血亲类系，例如，整个网络在t时刻未知网络威胁检测器集合D(t)的最大血亲类系为L(t)＝{L₁(t),L₂(t),...,L_m(t)}，整体未知网络威胁特征指的是整个网络面临的整体未知威胁特征，例如，整个网络已遭受了m类未知网络威胁攻击，取L(t)中检出的m类未知网络威胁特征然后通过第四网络威胁风险计算公式根据整体未知网络威胁检测设备浓度和目标网络资产重要性计算整个网络面临整体综合未知网络威胁风险，即为：

其中，Risk(t)为整个网络面临整体综合未知网络威胁风险，δ′₂>0为常数，为主机k面临第i(1≤i≤n)类未知网络威胁的危险数值，q_i是第i类未知网络威胁的危险性指标个数，f_weight(g,P_i)是基于层次分析法的指标权重计算函数。

本实施例根据待处理网络数据包和预设免疫算法训练未知网络威胁检测设备集合；在所述未知网络威胁检测设备集合检测到未知网络威胁时，所述未知网络威胁检测器浓度随未知网络威胁强度同步动态演化；获取所述未知网络威胁的检测设备浓度，并计算目标网络的资产重要性；根据所述检测设备浓度和目标网络资产重要性描述主机面临未知网络威胁风险和整个网络面临未知网络威胁风险；通过上述方式，在检测到未知网络威胁时，根据检测设备浓度和目标网络资产重要性描述主机和整个网络面临网络威胁风险，从而能够实时、定量、准确地描述主机以及整个网络所面临的未知网络威胁风险，提高系统的安全性。

在一实施例中，如图3所述，基于第一实施例提出本发明未知网络威胁的风险描述方法第二实施例，所述步骤S40之前，还包括：

步骤S301，获取若干数量的网络资产指标和所述网络资产指标对应的指标评价值。

应当理解的是，网络资产指标指的是若干数量的网络资产的指标，例如，网络资产指标的数量为S，指标评价值指的是每项网络资产指标的评价值，该指标评价值可以为多个，例如，资产指标Z_γ＝{<V_γ,W_γ>|V_γ,W_γ∈[0,1]∧γ∈N+}，其中，V_γ为资产指标值，W_γ为网络资产指标的权重值。

步骤S302，根据所述若干数量的网络资产指标和所述指标评价值计算资产指标值。

可以理解的是，资产指标值指的是各项网络资产的指标值，具体是根据若干数量的网络资产指标计算各项指标平均值，然后根据指标评价值和各项指标平均值计算资产指标值，例如，资产指标值为V_γ(1≤γ≤S)。

步骤S303，根据所述资产指标值之间的相对重要性构造网络资产重要性确定矩阵。

应当理解的是，网络资产重要性确定矩阵指的是判断网络资产的权重值的矩阵，相对重要性指的是资产指标值与资产指标值之间相对的重要性，然后根据资产指标值之间的相对重要性构造网络资产重要性确定矩阵。

步骤S304，根据所述网络资产重要性确定矩阵计算所述若干数量的网络资产指标的权重值。

可以理解的是，权重值指的是网络资产指标对应的权重值，该权重值是通过网络资产重要性确定矩阵对若干数量的网络资产指标进行计算得到的，例如，网络资产指标的权重值W_γ(1≤γ≤S)。

步骤S305，根据所述资产指标值和所述若干数量的网络资产指标的权重值计算目标网络资产重要性。

应当理解的是，目标网络资产重要性指的是网络资产的重要性，该目标网络资产重要性是通过资产指标值若干数量的网络资产指标的权重值的乘积之和得到的，例如，目标网络资产重要性

本实施例通过获取若干数量的网络资产指标和所述网络资产指标对应的指标评价值；根据所述若干数量的网络资产指标和所述指标评价值计算资产指标值；根据所述资产指标值之间的相对重要性构造网络资产重要性确定矩阵；根据所述网络资产重要性确定矩阵计算所述若干数量的网络资产指标的权重值；根据所述资产指标值和所述若干数量的网络资产指标的权重值计算目标网络资产重要性；通过上述方式，根据若干数量的网络资产指标和网络资产指标对应的指标评价值计算资产指标值，然后根据构造的网络资产重要性确定矩阵计算网络资产指标的权重值，再根据资产指标值和权重值计算目标网络资产重要性，从而能够有效提高计算目标网络资产重要性的准确性。

此外，本发明实施例还提出一种存储介质，所述存储介质上存储有未知网络威胁的风险描述程序，所述未知网络威胁的风险描述程序被处理器执行时实现如上文所述的未知网络威胁的风险描述方法的步骤。

由于本存储介质采用了上述所有实施例的全部技术方案，因此至少具有上述实施例的技术方案所带来的所有有益效果，在此不再一一赘述。

此外，参照图4，本发明实施例还提出一种未知网络威胁的风险描述装置，所述未知网络威胁的风险描述装置包括：

训练模块10，用于根据待处理网络数据包和预设免疫算法训练未知网络威胁检测设备集合。

演化模块20，用于在所述未知网络威胁检测设备集合检测到未知网络威胁时，所述未知网络威胁检测器浓度随未知网络威胁强度同步动态演化。

获取模块30，用于获取所述未知网络威胁的检测设备浓度，并计算目标网络资产重要性。

描述模块40，用于根据所述检测设备浓度和目标网络资产重要性描述主机面临未知网络威胁风险和整个网络面临未知网络威胁风险。

需要说明的是，以上所描述的工作流程仅仅是示意性的，并不对本发明的保护范围构成限定，在实际应用中，本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的，此处不做限制。

另外，未在本实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的未知网络威胁的风险描述方法，此处不再赘述。

在一实施例中，所述演化模块20，还用于对所述未知网络威胁检测设备集合中各个检测设备的浓度进行初始化；在初始化完成后，判断所述未知网络威胁检测设备集合是否检测到未知网络威胁；在所述未知网络威胁检测设备集合检测到未知网络威胁时，激活与检测到所述未知网络威胁相对应的检测设备；在预设周期内，通过所述检测设备再次检测到同类未知网络威胁时，利用检测器抗体浓度激励策略，提升未知网络威胁检测设备浓度；在预设周期内，通过所述检测设备未再次检测到同类未知网络威胁时，利用检测器抗体浓度抑制策略，降低未知网络威胁设备浓度。

在一实施例中，所述获取模块30，还用于获取若干数量的网络资产指标和所述网络资产指标对应的指标评价值；根据所述若干数量的网络资产指标和所述指标评价值计算资产指标值；根据所述资产指标值之间的相对重要性构造网络资产重要性确定矩阵；根据所述网络资产重要性确定矩阵计算所述若干数量的网络资产指标的权重值；根据所述资产指标值和所述若干数量的网络资产指标的权重值计算目标网络资产重要性。

在一实施例中，所述描述模块40，还用于获取主机在目标时刻未知网络威胁检测设备集合的当前血亲类系；根据所述当前血亲类系得到主机面临的单一未知网络威胁特征；获取主机在目标时刻单一未知网络威胁检测设备浓度；通过第一网络威胁风险计算公式根据所述单一未知网络威胁检测设备浓度计算主机面临目标类单一未知网络威胁风险。

在一实施例中，所述描述模块40，还用于获取主机在目标时刻未知网络威胁检测设备集合的目标血亲类系；根据所述目标血亲类系得到主机面临的整体未知网络威胁特征；获取主机在目标时刻整体未知网络威胁检测设备浓度；通过第二网络威胁风险计算公式根据所述整体未知网络威胁检测设备浓度计算主机面临整体综合未知网络威胁风险。

在一实施例中，所述描述模块40，还用于获取整个网络在目标时刻未知网络威胁检测设备集合的当前血亲类系；根据所述当前血亲类系得到整个网络面临的单一未知网络威胁特征；获取整个网络在目标时刻单一未知网络威胁检测设备浓度；通过第三网络威胁风险计算公式根据所述单一未知网络威胁检测设备浓度和目标网络资产重要性计算整个网络面临目标类单一未知网络威胁风险。

在一实施例中，所述描述模块40，还用于获取整个网络在目标时刻未知网络威胁检测设备集合的当前血亲类系；根据所述当前血亲类系得到整个网络面临的整体未知网络威胁特征；获取整个网络在目标时刻整体未知网络威胁检测设备浓度；通过第四网络威胁风险计算公式根据所述整体未知网络威胁检测设备浓度和目标网络资产重要性计算整个网络面临整体综合未知网络威胁风险。

本发明所述未知网络威胁的风险描述装置的其他实施例或具有实现方法可参照上述各方法实施例，此处不在赘余。

此外，需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory，ROM)/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，一体化平台工作站，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种未知网络威胁的风险描述方法，其特征在于，所述未知网络威胁的风险描述方法包括以下步骤：

根据所述检测设备浓度和目标网络资产重要性描述主机面临未知网络威胁风险和整个网络面临未知网络威胁风险；

其中，所述在所述未知网络威胁检测设备集合检测到未知网络威胁时，获所述未知网络威胁检测设备浓度随未知网络威胁强度同步动态演化，包括：

在预设周期内，通过所述检测设备未再次检测到同类未知网络威胁时，利用检测器抗体浓度抑制策略，降低未知网络威胁设备浓度；

所述根据所述检测设备浓度和目标网络资产重要性描述主机面临未知网络威胁风险和整个网络面临未知网络威胁风险之前，还包括：

根据所述资产指标值和所述若干数量的网络资产指标的权重值计算目标网络资产重要性；

所述整个网络面临未知网络威胁风险包括整个网络面临目标类单一未知网络威胁风险；

根据所述当前血亲类系得到整个网络面临的单一未知网络威胁特征；

获取整个网络在目标时刻单一未知网络威胁检测设备浓度；

通过第三网络威胁风险计算公式根据所述单一未知网络威胁检测设备浓度和目标网络资产重要性计算整个网络面临目标类单一未知网络威胁风险，即为：

；

其中，为整个网络面临目标类单一未知网络威胁风险，/>为常数，/>为主机的在整个网络中资产重要性，/>为主机k面临第/>类未知网络威胁的危险数值，/>，/> ，/>是第/>类未知网络威胁的危险性指标个数，/>是基于层次分析法的指标权重计算函数。

2.如权利要求1所述的未知网络威胁的风险描述方法，其特征在于，所述主机面临未知网络威胁风险包括主机面临目标类单一未知网络威胁风险；

获取主机在目标时刻单一未知网络威胁检测设备浓度；

通过第一网络威胁风险计算公式根据所述单一未知网络威胁检测设备浓度计算主机面临目标类单一未知网络威胁风险，即为：

；

其中，为主机面临目标类单一未知网络威胁风险/>为常数，为主机k面临第/>类未知网络威胁的危险数值，/>，/> ，/>是第/>类未知网络威胁的危险性指标个数，/>是基于层次分析法的指标权重计算函数，/>为危险性判断矩阵，/>为第/>类未知网络威胁的第/>个指标的第个候选。

3.如权利要求1所述的未知网络威胁的风险描述方法，其特征在于，所述主机面临未知网络威胁风险包括主机面临整体综合未知网络威胁风险；

根据所述当前血亲类系得到主机面临的整体未知网络威胁特征；

获取主机在目标时刻整体未知网络威胁检测设备浓度；

通过第二网络威胁风险计算公式根据所述整体未知网络威胁检测设备浓度计算主机面临整体综合未知网络威胁风险；即为：

；

其中，为主机面临整体综合未知网络威胁风险，/>为常数，为主机k面临第/>类未知网络威胁的危险数值，/>，/> ，/>是第/>类未知网络威胁的危险性指标个数，/>是基于层次分析法的指标权重计算函数。

4.如权利要求1所述的未知网络威胁的风险描述方法，其特征在于，所述整个网络面临未知网络威胁风险包括整个网络面临整体综合未知网络威胁风险；

获取整个网络在目标时刻所有未知网络威胁检测设备浓度；

通过第四网络威胁风险计算公式根据所述整体未知网络威胁检测设备浓度和目标网络资产重要性计算整个网络面临整体综合未知网络威胁风险，即为：

；

其中，为整个网络面临整体综合未知网络威胁风险，/>为常数，为主机k面临第/>类未知网络威胁的危险数值，/>，，/>是第/>类未知网络威胁的危险性指标个数，/>是基于层次分析法的指标权重计算函数。

5.一种未知网络威胁的风险描述装置，可实现权利要求1-4任意一项所述的未知网络威胁的风险描述方法，其特征在于，所述未知网络威胁的风险描述装置包括：

演化模块，用于在所述未知网络威胁检测设备集合检测到未知网络威胁时，所述未知网络威胁检测器浓度随未知网络威胁强度同步动态演化；

6.一种未知网络威胁的风险描述设备，其特征在于，所述未知网络威胁的风险描述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的未知网络威胁的风险描述程序，所述未知网络威胁的风险描述程序配置有实现如权利要求1至4中任一项所述的未知网络威胁的风险描述方法。

7.一种存储介质，其特征在于，所述存储介质上存储有未知网络威胁的风险描述程序，所述未知网络威胁的风险描述程序被处理器执行时实现如权利要求1至4中任一项所述的未知网络威胁的风险描述方法。