CN116305168A - 一种多维度信息安全风险评估方法、系统及存储介质 - Google Patents
一种多维度信息安全风险评估方法、系统及存储介质 Download PDFInfo
- Publication number
- CN116305168A CN116305168A CN202310524219.0A CN202310524219A CN116305168A CN 116305168 A CN116305168 A CN 116305168A CN 202310524219 A CN202310524219 A CN 202310524219A CN 116305168 A CN116305168 A CN 116305168A
- Authority
- CN
- China
- Prior art keywords
- data
- information
- service
- information security
- service host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种多维度信息安全风险评估方法、系统及存储介质,包括:获取目标信息系统中的多源时序数据序列,根据时序数据序列对应的业务主机信息设置数据标签;通过目标信息系统中各业务主机对应的数据联系构建有向异构图,根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取,获取信息安全的多维度特征进行特征融合,作为节点特征;基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险。本发明通过图卷积神经网络获取不同风险点的关联,能够实现关键威胁点的分析及预测,使得安全评估效果更加显著及精准。
Description
技术领域
本发明涉及信息安全技术领域,更具体的,涉及一种多维度信息安全风险评估方法、系统及存储介质。
背景技术
随着信息化和经济全球化的发展,互联网已经深入到人们生活的方方面面,给人们的生活带来了巨大的变化,一方面,由于互联网的开放性,信息系统自身的缺陷、敏感信息的泄露、计算机病毒的泛滥以及黑客入侵等,导致各种信息系统和平台面临着巨大的安全隐患,信息安全问题日渐凸显,另一方面,新的网络环境不断涌现,如大数据、云计算等,使得信息安全问题进一步加剧,信息安全风险评估系统主要用于对信息安全进行评估,通过识别、衡量、分析风险,进而在评估的基础上有效控制风险。
信息安全评估可以帮助组织识别潜在的威胁和漏洞,并为其提供信息安全管理的指导和建议。贝叶斯网络算法和模糊故障树方法是传统的信息安全风险评估方法,传统方法不具有对网络信息的隐形关联信息的安全风险评估能力,因此网络信息安全风险评估的结果不具有可信性,而且因为网络信息结构的多样性,网络信息安全风险存在不确定性和复杂性,为了提高系统对网络信息安全风险评估的准确性,需要一种高效、高精度的网络信息安全风险评估系统。因此,在信息安全风险评估中,如何利用机器学习融合多维度特征提高安全性识别能力是亟不可待需要解决的问题。
发明内容
为了解决上述技术问题,本发明提出了一种多维度信息安全风险评估方法、系统及存储介质。
本发明第一方面提供了一种多维度信息安全风险评估方法,包括:
获取目标信息系统中的多源时序数据序列,将所述多源时序数据序列进行预处理,并根据时序数据序列对应的业务主机信息设置数据标签;
通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建有向异构图,并将所述有向异构图映射到低维向量空间;
根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取,获取信息安全的多维度特征进行特征融合,将融合特征作为有向异构图中节点的附加节点特征;
基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险。
本方案中,获取目标信息系统中的多源时序数据序列,将所述多源时序数据序列进行预处理,并根据时序数据序列对应的业务主机信息设置数据标签,具体为:
获取目标信息系统中对应的业务信息,提取业务类别信息进行分类,根据业务信息获取对应的业务主机,提取业务主机对应的多源时序数据序列,根据业务主机的IP信息及业务类别信息设置时序数据序列的数据标签;
将不同数据标签下的时序数据序列进行汇聚,得到不同业务主机下的数据集,基于数据集进行学习分析业务主机的历史数据特征,将不同历史数据特征与业务主机的IP进行匹配;
当业务主机检测到时序数据序列与历史数据特征存在偏差时,则生成信息损失异常标记,根据信息损失异常标记提取时序数据序列的数据特征,与漏洞数据库进行匹配,获取业务主机的漏洞信息。
本方案中,通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建异构图,具体为:
获取目标信息系统的网络拓扑结构,提取业务主机运行的业务及服务信息,将业务主机的IP信息、属性信息及对应的漏洞集合对业务主机进行联合表示;
基于所述网络拓扑结构建立有向异构图,将业务主机作为有向异构图中的节点,根据业务主机之间的数据传输设置节点之间的边结构;
根据大数据手段获取各业务主机对应的漏洞集合中各漏洞的基本字段,在基本字段中获取漏洞类别的详细描述及攻击方式,提取所述详细描述及攻击方式的关键词信息;
根据所述关键词信息确定漏洞的类别信息,通过所述漏洞的类别信息确定漏洞的类别关联,另外,根据漏洞的类别信息在相关漏洞数据库中检索漏洞实例,在漏洞实例中获取符合预设要求的漏洞实例数据;
在漏洞集合中选取目标漏洞,获取漏洞实例数据中包含目标漏洞和其他漏洞以及目标漏洞与其他漏洞的条件概率,根据所述条件概率确定攻击关联;
根据所述类别关联及攻击关联获取漏洞之间的攻击指向,基于所述攻击指向对节点之间边结构进行更新,将有向异构图映射到低维向量空间,进行低维向量空间嵌入表示。
本方案中,根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取,获取信息安全的多维度特征进行特征融合,将融合特征作为有向异构图中节点的附加节点特征,具体为:
获取不同业务主机对应的时序数据序列,根据时序数据序列获取业务主机的数据量变化,通过所述数据量变化表征各业务主机的自身信息安全特征;
获取不同业务主机对应的漏洞集合,提取漏洞集合中各漏洞的攻击方式、漏洞的攻击字段获取攻击数据集合,并根据攻击数据集合获取某时刻的漏洞攻击数据占业务主机数据量的占比比例,根据攻击数据集合及占比比例表征各业务主机的其他信息安全特征;
将业务主机的自身信息安全特征与其他信息安全特征进行特征融合,进行信息安全特征的联合表征,将融合特征作为节点的附加节点特征。
本方案中,基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,具体为:
通过图卷积神经网络及LSTM网络进行组合构建信息安全评估模型,基于图卷积神经网络对有向异构图进行学习,通过业务主机节点的欧氏距离构建业务主机节点的邻居矩阵;
获取目标信息系统中各业务主机之间的数据交互情况,选取目标业务主机节点及对应的邻居业务主机节点,根据所述数据交互情况得到目标业务主机节点与邻居业务主机节点的数据交互总量;
根据目标业务主机节点和各邻居业务主机节点的数据交互量与所述数据交互总量的比值设置邻居业务主机节点初始权重,根据初始权重得到业务主机节点的初始向量表示;
通过注意力机制得到业务主机之间的注意力矩阵,根据所述注意力矩阵获取对应的注意力权重,根据注意力权重进行邻居聚合机制,通过邻居业务主机节点的节点特征更新业务主机节点的特征表示;
通过图卷积神经网络生成具备多维度信息安全特征的业务主机节点表示。
本方案中,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险,具体为:
通过大数据获取数据安全数据集,对数据安全数据集进行漏洞扫描,将漏洞进行划分,划分为训练集及验证集,对信息安全评估模型进行训练测试;
通过图卷积神经网络获取特征更新表示后的业务主机节点,获取对应的低维特征向量表示,导入LSTM网络,利用网络中的门控单元对各业务主机的信息安全进行预测;
根据各业务主机的信息安全特征识别业务主机节点中的关键威胁节点,将业务节点的预测信息安全特征进行加权获取目标信息系统的信息安全风险。
本发明第二方面还提供了一种多维度信息安全风险评估系统,该系统包括:存储器、处理器,所述存储器中包括一种多维度信息安全风险评估方法程序,所述一种多维度信息安全风险评估方法程序被所述处理器执行时实现如下步骤:
获取目标信息系统中的多源时序数据序列,将所述多源时序数据序列进行预处理,并根据时序数据序列对应的业务主机信息设置数据标签;
通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建有向异构图,并将所述有向异构图映射到低维向量空间;
根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取,获取信息安全的多维度特征进行特征融合,将融合特征作为有向异构图中节点的附加节点特征;
基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险。
本发明第三方面还提供一种计算机可读存储介质,所述计算机可读存储介质中包括一种多维度信息安全风险评估方法程序,所述一种多维度信息安全风险评估方法程序被处理器执行时,实现如上述任一项所述的一种多维度信息安全风险评估方法的步骤。
本发明公开了一种多维度信息安全风险评估方法、系统及存储介质,包括:获取目标信息系统中的多源时序数据序列,根据时序数据序列对应的业务主机信息设置数据标签;通过目标信息系统中各业务主机对应的数据联系构建有向异构图,根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取,获取信息安全的多维度特征进行特征融合,作为节点特征;基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险。本发明通过图卷积神经网络获取不同风险点的关联,能够实现关键威胁点的分析及预测,使得安全评估效果更加显著及精准。
附图说明
图1示出了本发明一种多维度信息安全风险评估方法的流程图;
图2示出了本发明构建目标信息系统有向异构图的方法流程图;
图3示出了本发明利用图卷积神经网络对有向异构图进行表示学习的方法流程图;
图4示出了本发明一种多维度信息安全风险评估系统的框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了本发明一种多维度信息安全风险评估方法的流程图。
如图1所示,本发明第一方面提供了一种多维度信息安全风险评估方法,包括:
S102,获取目标信息系统中的多源时序数据序列,将所述多源时序数据序列进行预处理,并根据时序数据序列对应的业务主机信息设置数据标签;
S104,通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建有向异构图,并将所述有向异构图映射到低维向量空间;
S106,根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取,获取信息安全的多维度特征进行特征融合,将融合特征作为有向异构图中节点的附加节点特征;
S108,基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险。
需要说明的是,所述目标信息系统包括计算机网络、物联网等系统,获取目标信息系统中对应的业务信息,提取业务类别信息进行分类,根据业务信息获取对应的业务主机,所述业务主机包括业务服务器及业务终端等,提取业务主机对应的多源时序数据序列,根据业务主机的IP信息及业务类别信息设置时序数据序列的数据标签;将不同数据标签下的时序数据序列进行汇聚,得到不同业务主机下的数据集,基于数据集进行学习分析业务主机的历史数据特征,将不同历史数据特征与业务主机的IP进行匹配;当业务主机检测到时序数据序列与历史数据特征存在偏差时,则生成信息损失异常标记,根据信息损失异常标记提取时序数据序列的数据特征,通过大数据手段或者连接相关数据安全数据库获取漏洞数据,构建漏洞数据集,将信息损失异常标记的数据特征与漏洞数据库进行匹配,获取业务主机的漏洞信息。
图2示出了本发明构建目标信息系统有向异构图的方法流程图。
根据本发明实施例,通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建有向异构图,具体为:
S202,获取目标信息系统的网络拓扑结构,提取业务主机运行的业务及服务信息,将业务主机的IP信息、属性信息及对应的漏洞集合对业务主机进行联合表示;
S204,基于所述网络拓扑结构建立有向异构图,将业务主机作为有向异构图中的节点,根据业务主机之间的数据传输设置节点之间的边结构;
S206,根据大数据手段获取各业务主机对应的漏洞集合中各漏洞的基本字段,在基本字段中获取漏洞类别的详细描述及攻击方式,提取所述详细描述及攻击方式的关键词信息;
S208,根据所述关键词信息确定漏洞的类别信息,通过所述漏洞的类别信息确定漏洞的类别关联,另外,根据漏洞的类别信息在相关漏洞数据库中检索漏洞实例,在漏洞实例中获取符合预设要求的漏洞实例数据;
S210,在漏洞集合中选取目标漏洞,获取漏洞实例数据中包含目标漏洞和其他漏洞以及目标漏洞与其他漏洞的条件概率,根据所述条件概率确定攻击关联;
S212,根据所述类别关联及攻击关联获取漏洞之间的攻击指向,基于所述攻击指向对节点之间边结构进行更新,将有向异构图映射到低维向量空间,进行低维向量空间嵌入表示。
需要说明的是,获取不同业务主机对应的时序数据序列,根据时序数据序列获取业务主机的数据量变化,获取业务主机的字段总数,将各字段的数据量进行累加获取业务主机的数据量,将下一时间戳与当前时间戳的数据量比值作为数据量变化信息,通过数据量变化信息表征各业务主机的自身信息安全特征。
获取不同业务主机对应的漏洞集合,提取漏洞集合中各漏洞的攻击方式、漏洞的攻击字段获取攻击数据集合,并根据攻击数据集合获取某时刻的漏洞攻击数据占业务主机数据量的占比比例;根据攻击数据集合及占比比例表征各业务主机的其他信息安全特征;将业务主机在t时刻的自身信息安全特征
与其他信息安全特征/>
进行特征融合,进行信息安全特征的联合表征/>
,将融合特征作为节点的附加节点特征。
图3示出了本发明利用图卷积神经网络对有向异构图进行表示学习的方法流程图。
根据本发明实施例,基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,具体为:
S302,通过图卷积神经网络及LSTM网络进行组合构建信息安全评估模型,基于图卷积神经网络对有向异构图进行学习,通过业务主机节点的欧氏距离构建业务主机节点的邻居矩阵;
S304,获取目标信息系统中各业务主机之间的数据交互情况,选取目标业务主机节点及对应的邻居业务主机节点,根据所述数据交互情况得到目标业务主机节点与邻居业务主机节点的数据交互总量;
S306,根据目标业务主机节点和各邻居业务主机节点的数据交互量与所述数据交互总量的比值设置邻居业务主机节点初始权重,根据初始权重得到业务主机节点的初始向量表示;
S308,通过注意力机制得到业务主机之间的注意力矩阵,根据所述注意力矩阵获取对应的注意力权重,根据注意力权重进行邻居聚合机制,通过邻居业务主机节点的节点特征更新业务主机节点的特征表示;
S310,通过图卷积神经网络生成具备多维度信息安全特征的业务主机节点表示。
需要说明的是,通过信息安全特征对业务主机的信息安全风险进行量化,图卷积神经网络在进行图卷积过程中可视为节点的属性特征在通过图中的边进行传播,节点获取邻居节点的属性特征,对邻居节点的属性特征进行聚合,并更新自身节点的学习表示。在一般情况下,信息安全风险值的大小和信息资产的价值、面临的威胁及其具有的脆弱点相关,根据图卷积神经网络对业务主机的信息安全特征基于漏洞的类别关联、攻击关联及业务主机之间的数据关联进行特征学习更新,得到网络信息中隐形关联特征,获取最终输出的特征向量,并进行归一化处理。
通过图卷积神经网络获取特征更新表示后的业务主机节点,获取对应的低维特征向量表示,导入LSTM网络,利用网络中的门控单元对各业务主机的信息安全进行预测;根据各业务主机的信息安全特征识别业务主机节点中的关键威胁节点,对所述关键威胁节点对应的业务主机进行预警,将业务节点的预测信息安全特征进行归一化操作后,映射到[0,1]中,得到对应信息安全风险量化值,将各业务主机的信息安全风险量化值进行加权获取目标信息系统的信息安全风险。
通过大数据获取数据安全数据集,对数据安全数据集进行漏洞扫描,将漏洞进行划分,根据数据安全数据集中的业务得到网络拓扑结构,将漏洞在网络拓扑结构中进行标注,利用信息安全特征提取方法获取特征样本,将特征样本划分为训练集及验证集,对信息安全评估模型进行训练测试。
根据本发明实施例,构建业务主机数据库,存储业务主机对应的数据行为特征,具体为:获取预设时间段内各业务主机的时序数据序列,提取各时序数据序列的业务场景,根据所述业务场景对数据进行聚类分析,获取聚类结果;
在聚类结果对应的数据集中提取业务主机正常的数据行为特征,获取特征时间戳将数据行为特征结合时序生成数据行为特征序列,并根据业务场景设置标签,生成业务主机的数据安全行为特征序列;
构建业务主机数据库,将业务主机在各业务场景的数据安全行为特征序列存入所述数据库,并在数据库中进行数据结构化处理;
获取当前时序数据序列的业务场景及对应的业务主机,在数据库中建立检索任务,获取相似度符合预设相似度标准的结构化数据,提取对应的数据安全行为特征序列;
将当前时序数据序列按照数据安全行为特征序列中的特征时间戳与所述数据安全行为特征序列通过动态时间规整算法进行匹配,计算特征相似度;
当特征相似度不符合预设标准时,则证明业务主机当前数据序列对应数据行为为异常行为,生成相关预警。
图4示出了本发明一种多维度信息安全风险评估系统的框图。
本发明第二方面还提供了一种多维度信息安全风险评估系统4,该系统包括:存储器41、处理器42,所述存储器中包括一种多维度信息安全风险评估方法程序,所述一种多维度信息安全风险评估方法程序被所述处理器执行时实现如下步骤:
获取目标信息系统中的多源时序数据序列,将所述多源时序数据序列进行预处理,并根据时序数据序列对应的业务主机信息设置数据标签;
通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建有向异构图,并将所述有向异构图映射到低维向量空间;
根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取,获取信息安全的多维度特征进行特征融合,将融合特征作为有向异构图中节点的附加节点特征;
基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险。
需要说明的是,所述目标信息系统包括计算机网络、物联网等系统,获取目标信息系统中对应的业务信息,提取业务类别信息进行分类,根据业务信息获取对应的业务主机,所述业务主机包括业务服务器及业务终端等,提取业务主机对应的多源时序数据序列,根据业务主机的IP信息及业务类别信息设置时序数据序列的数据标签;将不同数据标签下的时序数据序列进行汇聚,得到不同业务主机下的数据集,基于数据集进行学习分析业务主机的历史数据特征,将不同历史数据特征与业务主机的IP进行匹配;当业务主机检测到时序数据序列与历史数据特征存在偏差时,则生成信息损失异常标记,根据信息损失异常标记提取时序数据序列的数据特征,通过大数据手段或者连接相关数据安全数据库获取漏洞数据,构建漏洞数据集,将信息损失异常标记的数据特征与漏洞数据库进行匹配,获取业务主机的漏洞信息。
根据本发明实施例,通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建有向异构图,具体为:
获取目标信息系统的网络拓扑结构,提取业务主机运行的业务及服务信息,将业务主机的IP信息、属性信息及对应的漏洞集合对业务主机进行联合表示;
基于所述网络拓扑结构建立有向异构图,将业务主机作为有向异构图中的节点,根据业务主机之间的数据传输设置节点之间的边结构;
根据大数据手段获取各业务主机对应的漏洞集合中各漏洞的基本字段,在基本字段中获取漏洞类别的详细描述及攻击方式,提取所述详细描述及攻击方式的关键词信息;
根据所述关键词信息确定漏洞的类别信息,通过所述漏洞的类别信息确定漏洞的类别关联,另外,根据漏洞的类别信息在相关漏洞数据库中检索漏洞实例,在漏洞实例中获取符合预设要求的漏洞实例数据;
在漏洞集合中选取目标漏洞,获取漏洞实例数据中包含目标漏洞和其他漏洞以及目标漏洞与其他漏洞的条件概率,根据所述条件概率确定攻击关联;
根据所述类别关联及攻击关联获取漏洞之间的攻击指向,基于所述攻击指向对节点之间边结构进行更新,将有向异构图映射到低维向量空间,进行低维向量空间嵌入表示。
需要说明的是,获取不同业务主机对应的时序数据序列,根据时序数据序列获取业务主机的数据量变化,获取业务主机的字段总数,将各字段的数据量进行累加获取业务主机的数据量,将下一时间戳与当前时间戳的数据量比值作为数据量变化信息,通过数据量变化信息表征各业务主机的自身信息安全特征。
获取不同业务主机对应的漏洞集合,提取漏洞集合中各漏洞的攻击方式、漏洞的攻击字段获取攻击数据集合,并根据攻击数据集合获取某时刻的漏洞攻击数据占业务主机数据量的占比比例;根据攻击数据集合及占比比例表征各业务主机的其他信息安全特征;将业务主机在t时刻的自身信息安全特征
与其他信息安全特征/>
进行特征融合,进行信息安全特征的联合表征/>
,将融合特征作为节点的附加节点特征。
根据本发明实施例,基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,具体为:
通过图卷积神经网络及LSTM网络进行组合构建信息安全评估模型,基于图卷积神经网络对有向异构图进行学习,通过业务主机节点的欧氏距离构建业务主机节点的邻居矩阵;
获取目标信息系统中各业务主机之间的数据交互情况,选取目标业务主机节点及对应的邻居业务主机节点,根据所述数据交互情况得到目标业务主机节点与邻居业务主机节点的数据交互总量;
根据目标业务主机节点和各邻居业务主机节点的数据交互量与所述数据交互总量的比值设置邻居业务主机节点初始权重,根据初始权重得到业务主机节点的初始向量表示;
通过注意力机制得到业务主机之间的注意力矩阵,根据所述注意力矩阵获取对应的注意力权重,根据注意力权重进行邻居聚合机制,通过邻居业务主机节点的节点特征更新业务主机节点的特征表示;
通过图卷积神经网络生成具备多维度信息安全特征的业务主机节点表示。
需要说明的是,通过信息安全特征对业务主机的信息安全风险进行量化,图卷积神经网络在进行图卷积过程中可视为节点的属性特征在通过图中的边进行传播,节点获取邻居节点的属性特征,对邻居节点的属性特征进行聚合,并更新自身节点的学习表示。在一般情况下,信息安全风险值的大小和信息资产的价值、面临的威胁及其具有的脆弱点相关,根据图卷积神经网络对业务主机的信息安全特征基于漏洞的类别关联、攻击关联及业务主机之间的数据关联进行特征学习更新,得到网络信息中隐形关联特征,获取最终输出的特征向量,并进行归一化处理。
通过图卷积神经网络获取特征更新表示后的业务主机节点,获取对应的低维特征向量表示,导入LSTM网络,利用网络中的门控单元对各业务主机的信息安全进行预测;根据各业务主机的信息安全特征识别业务主机节点中的关键威胁节点,对所述关键威胁节点对应的业务主机进行预警,将业务节点的预测信息安全特征进行归一化操作后,映射到[0,1]中,得到对应信息安全风险量化值,将各业务主机的信息安全风险量化值进行加权获取目标信息系统的信息安全风险。
通过大数据获取数据安全数据集,对数据安全数据集进行漏洞扫描,将漏洞进行划分,根据数据安全数据集中的业务得到网络拓扑结构,将漏洞在网络拓扑结构中进行标注,利用信息安全特征提取方法获取特征样本,将特征样本划分为训练集及验证集,对信息安全评估模型进行训练测试。
本发明第三方面还提供一种计算机可读存储介质,所述计算机可读存储介质中包括一种多维度信息安全风险评估方法程序,所述一种多维度信息安全风险评估方法程序被处理器执行时,实现如上述任一项所述的一种多维度信息安全风险评估方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种多维度信息安全风险评估方法,其特征在于,包括以下步骤:
获取目标信息系统中的多源时序数据序列,将所述多源时序数据序列进行预处理,并根据时序数据序列对应的业务主机信息设置数据标签;
通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建有向异构图,并将所述有向异构图映射到低维向量空间;
根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取,获取信息安全的多维度特征进行特征融合,将融合特征作为有向异构图中节点的附加节点特征;
基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险。
2.根据权利要求1所述的一种多维度信息安全风险评估方法,其特征在于,获取目标信息系统中的多源时序数据序列,将所述多源时序数据序列进行预处理,并根据时序数据序列对应的业务主机信息设置数据标签,具体为:
获取目标信息系统中对应的业务信息,提取业务类别信息进行分类,根据业务信息获取对应的业务主机,提取业务主机对应的多源时序数据序列,根据业务主机的IP信息及业务类别信息设置时序数据序列的数据标签;
将不同数据标签下的时序数据序列进行汇聚,得到不同业务主机下的数据集,基于数据集进行学习分析业务主机的历史数据特征,将不同历史数据特征与业务主机的IP进行匹配;
当业务主机检测到时序数据序列与历史数据特征存在偏差时,则生成信息损失异常标记,根据信息损失异常标记提取时序数据序列的数据特征,与漏洞数据库进行匹配,获取业务主机的漏洞信息。
3.根据权利要求1所述的一种多维度信息安全风险评估方法,其特征在于,通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建有向异构图,具体为:
获取目标信息系统的网络拓扑结构,提取业务主机运行的业务及服务信息,将业务主机的IP信息、属性信息及对应的漏洞集合对业务主机进行联合表示;
基于所述网络拓扑结构建立有向异构图,将业务主机作为有向异构图中的节点,根据业务主机之间的数据传输设置节点之间的边结构;
根据大数据手段获取各业务主机对应的漏洞集合中各漏洞的基本字段,在基本字段中获取漏洞类别的详细描述及攻击方式,提取所述详细描述及攻击方式的关键词信息;
根据所述关键词信息确定漏洞的类别信息,通过所述漏洞的类别信息确定漏洞的类别关联,另外,根据漏洞的类别信息在相关漏洞数据库中检索漏洞实例,在漏洞实例中获取符合预设要求的漏洞实例数据;
在漏洞集合中选取目标漏洞,获取漏洞实例数据中包含目标漏洞和其他漏洞以及目标漏洞与其他漏洞的条件概率,根据所述条件概率确定攻击关联;
根据所述类别关联及攻击关联获取漏洞之间的攻击指向,基于所述攻击指向对节点之间边结构进行更新,将有向异构图映射到低维向量空间,进行低维向量空间嵌入表示。
4.根据权利要求1所述的一种多维度信息安全风险评估方法,其特征在于,根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取,获取信息安全的多维度特征进行特征融合,将融合特征作为有向异构图中节点的附加节点特征,具体为:
获取不同业务主机对应的时序数据序列,根据时序数据序列获取业务主机的数据量变化,通过所述数据量变化表征各业务主机的自身信息安全特征;
获取不同业务主机对应的漏洞集合,提取漏洞集合中各漏洞的攻击方式、漏洞的攻击字段获取攻击数据集合,并根据攻击数据集合获取某时刻的漏洞攻击数据占业务主机数据量的占比比例,根据攻击数据集合及占比比例表征各业务主机的其他信息安全特征;
将业务主机的自身信息安全特征与其他信息安全特征进行特征融合,进行信息安全特征的联合表征,将融合特征作为节点的附加节点特征。
5.根据权利要求1所述的一种多维度信息安全风险评估方法,其特征在于,基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,具体为:
通过图卷积神经网络及LSTM网络进行组合构建信息安全评估模型,基于图卷积神经网络对有向异构图进行学习,通过业务主机节点的欧氏距离构建业务主机节点的邻居矩阵;
获取目标信息系统中各业务主机之间的数据交互情况,选取目标业务主机节点及对应的邻居业务主机节点,根据所述数据交互情况得到目标业务主机节点与邻居业务主机节点的数据交互总量;
根据目标业务主机节点和各邻居业务主机节点的数据交互量与所述数据交互总量的比值设置邻居业务主机节点初始权重,根据初始权重得到业务主机节点的初始向量表示;
通过注意力机制得到业务主机之间的注意力矩阵,根据所述注意力矩阵获取对应的注意力权重,根据注意力权重进行邻居聚合机制,通过邻居业务主机节点的节点特征更新业务主机节点的特征表示;
通过图卷积神经网络生成具备多维度信息安全特征的业务主机节点表示。
6.根据权利要求1所述的一种多维度信息安全风险评估方法,其特征在于,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险,具体为:
通过大数据获取数据安全数据集,对数据安全数据集进行漏洞扫描,将漏洞进行划分,划分为训练集及验证集,对信息安全评估模型进行训练测试;
通过图卷积神经网络获取特征更新表示后的业务主机节点,获取对应的低维特征向量表示,导入LSTM网络,利用网络中的门控单元对各业务主机的信息安全进行预测;
根据各业务主机的信息安全特征识别业务主机节点中的关键威胁节点,将业务节点的预测信息安全特征进行加权获取目标信息系统的信息安全风险。
7.一种多维度信息安全风险评估系统,其特征在于,该系统包括:存储器、处理器,所述存储器中包括一种多维度信息安全风险评估方法程序,所述一种多维度信息安全风险评估方法程序被所述处理器执行时实现如下步骤:
获取目标信息系统中的多源时序数据序列,将所述多源时序数据序列进行预处理,并根据时序数据序列对应的业务主机信息设置数据标签;
通过目标信息系统中各业务主机对应的数据联系构建有向异构图,并将所述有向异构图映射到低维向量空间;
根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取,获取信息安全的多维度特征进行特征融合,将融合特征作为有向异构图中节点的附加节点特征;
基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险。
8.根据权利要求7所述的一种多维度信息安全风险评估系统,其特征在于,基于图卷积神经网络及LSTM构建信息安全评估模型,利用图卷积神经网络对有向异构图进行表示学习,具体为:
通过图卷积神经网络及LSTM网络进行组合构建信息安全评估模型,基于图卷积神经网络对有向异构图进行学习,通过业务主机节点的欧氏距离构建业务主机节点的邻居矩阵;
获取目标信息系统中各业务主机之间的数据交互情况,选取目标业务主机节点及对应的邻居业务主机节点,根据所述数据交互情况得到目标业务主机节点与邻居业务主机节点的数据交互总量;
根据目标业务主机节点和各邻居业务主机节点的数据交互量与所述数据交互总量的比值设置邻居业务主机节点初始权重,根据初始权重得到业务主机节点的初始向量表示;
通过注意力机制得到业务主机之间的注意力矩阵,根据所述注意力矩阵获取对应的注意力权重,根据注意力权重进行邻居聚合机制,通过邻居业务主机节点的节点特征更新业务主机节点的特征表示;
通过图卷积神经网络生成具备多维度信息安全特征的业务主机节点表示。
9.根据权利要求7所述的一种多维度信息安全风险评估系统,其特征在于,根据更新后的节点表示输入到LSTM网络,确定目标信息系统的信息安全风险,具体为:
通过大数据获取数据安全数据集,对数据安全数据集进行漏洞扫描,将漏洞进行划分,划分为训练集及验证集,对信息安全评估模型进行训练测试;
通过图卷积神经网络获取特征更新表示后的业务主机节点,获取对应的低维特征向量表示,导入LSTM网络,利用网络中的门控单元对各业务主机的信息安全进行预测;
根据各业务主机的信息安全特征识别业务主机节点中的关键威胁节点,将业务节点的预测信息安全特征进行加权获取目标信息系统的信息安全风险。
10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质中包括一种多维度信息安全风险评估方法程序,所述一种多维度信息安全风险评估方法程序被处理器执行时,实现如权利要求1至6中任一项所述的一种多维度信息安全风险评估方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310524219.0A CN116305168B (zh) | 2023-05-11 | 2023-05-11 | 一种多维度信息安全风险评估方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310524219.0A CN116305168B (zh) | 2023-05-11 | 2023-05-11 | 一种多维度信息安全风险评估方法、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116305168A true CN116305168A (zh) | 2023-06-23 |
| CN116305168B CN116305168B (zh) | 2023-07-18 |
Family
ID=86781737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310524219.0A Active CN116305168B (zh) | 2023-05-11 | 2023-05-11 | 一种多维度信息安全风险评估方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116305168B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116702159A (zh) * | 2023-08-04 | 2023-09-05 | 北京微步在线科技有限公司 | 一种主机防护方法、装置、计算机设备及存储介质 |
| CN116882767A (zh) * | 2023-09-08 | 2023-10-13 | 之江实验室 | 一种基于不完善异构关系网络图的风险预测方法及装置 |
| CN116911986A (zh) * | 2023-09-07 | 2023-10-20 | 连京恒创科技(北京)有限公司 | 一种业务风险识别方法及系统 |
| CN116910824A (zh) * | 2023-08-28 | 2023-10-20 | 广东中山网传媒信息科技有限公司 | 一种基于分布式多源测度的安全大数据分析方法及系统 |
| CN117254980A (zh) * | 2023-11-17 | 2023-12-19 | 江苏麦维智能科技有限公司 | 一种基于注意力机制的工业网络安全风险评估方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190182289A1 (en) * | 2015-07-11 | 2019-06-13 | RiskRecon Inc. | Systems and Methods for Monitoring Information Security Effectiveness |
| CN114598545A (zh) * | 2022-03-23 | 2022-06-07 | 中国科学技术大学 | 一种内部安全威胁检测方法、系统、设备及存储介质 |
| CN115208680A (zh) * | 2022-07-21 | 2022-10-18 | 中国科学院大学 | 一种基于图神经网络的动态网络风险预测方法 |
-
2023
- 2023-05-11 CN CN202310524219.0A patent/CN116305168B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190182289A1 (en) * | 2015-07-11 | 2019-06-13 | RiskRecon Inc. | Systems and Methods for Monitoring Information Security Effectiveness |
| CN114598545A (zh) * | 2022-03-23 | 2022-06-07 | 中国科学技术大学 | 一种内部安全威胁检测方法、系统、设备及存储介质 |
| CN115208680A (zh) * | 2022-07-21 | 2022-10-18 | 中国科学院大学 | 一种基于图神经网络的动态网络风险预测方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116702159A (zh) * | 2023-08-04 | 2023-09-05 | 北京微步在线科技有限公司 | 一种主机防护方法、装置、计算机设备及存储介质 |
| CN116702159B (zh) * | 2023-08-04 | 2023-10-31 | 北京微步在线科技有限公司 | 一种主机防护方法、装置、计算机设备及存储介质 |
| CN116910824A (zh) * | 2023-08-28 | 2023-10-20 | 广东中山网传媒信息科技有限公司 | 一种基于分布式多源测度的安全大数据分析方法及系统 |
| CN116910824B (zh) * | 2023-08-28 | 2024-02-06 | 广东中山网传媒信息科技有限公司 | 一种基于分布式多源测度的安全大数据分析方法及系统 |
| CN116911986A (zh) * | 2023-09-07 | 2023-10-20 | 连京恒创科技(北京)有限公司 | 一种业务风险识别方法及系统 |
| CN116882767A (zh) * | 2023-09-08 | 2023-10-13 | 之江实验室 | 一种基于不完善异构关系网络图的风险预测方法及装置 |
| CN116882767B (zh) * | 2023-09-08 | 2024-01-05 | 之江实验室 | 一种基于不完善异构关系网络图的风险预测方法及装置 |
| CN117254980A (zh) * | 2023-11-17 | 2023-12-19 | 江苏麦维智能科技有限公司 | 一种基于注意力机制的工业网络安全风险评估方法及系统 |
| CN117254980B (zh) * | 2023-11-17 | 2024-01-23 | 江苏麦维智能科技有限公司 | 一种基于注意力机制的工业网络安全风险评估方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116305168B (zh) | 2023-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116305168B (zh) | 一种多维度信息安全风险评估方法、系统及存储介质 | |
| CN111832019B (zh) | 基于生成对抗网络的恶意代码检测方法 | |
| Zhu et al. | OFS-NN: an effective phishing websites detection model based on optimal feature selection and neural network | |
| CN109949154B (zh) | 客户信息分类方法、装置、计算机设备和存储介质 | |
| CN111614690A (zh) | 一种异常行为检测方法及装置 | |
| CN117220978B (zh) | 一种网络安全运营模型量化评估系统及评估方法 | |
| CN105590055A (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
| CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
| CN105009132A (zh) | 基于置信因子的事件关联 | |
| CN112435137B (zh) | 一种基于社团挖掘的欺诈信息检测方法及系统 | |
| Folorunso et al. | Ca-NIDS: A network intrusion detection system using combinatorial algorithm approach | |
| CN110162958B (zh) | 用于计算设备的综合信用分的方法、装置和记录介质 | |
| CN114693192A (zh) | 风控决策方法、装置、计算机设备和存储介质 | |
| CN111090807A (zh) | 一种基于知识图谱的用户识别方法及装置 | |
| CN112632609A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
| CN115619245A (zh) | 一种基于数据降维方法的画像构建和分类方法及系统 | |
| CN117236699A (zh) | 一种基于大数据分析的网络风险识别方法及系统 | |
| CN115065545A (zh) | 基于大数据威胁感知的安全防护构建方法及ai防护系统 | |
| Hong et al. | [Retracted] Abnormal Access Behavior Detection of Ideological and Political MOOCs in Colleges and Universities | |
| CN112347457A (zh) | 异常账户检测方法、装置、计算机设备和存储介质 | |
| CN111988327B (zh) | 威胁行为检测和模型建立方法、装置、电子设备及存储介质 | |
| CN116633682A (zh) | 一种基于安全产品风险威胁的智能识别方法及系统 | |
| CN111049839A (zh) | 一种异常检测方法、装置、存储介质及电子设备 | |
| CN113254672B (zh) | 异常账号的识别方法、系统、设备及可读存储介质 | |
| CN115225359A (zh) | 蜜罐数据溯源方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |