CN116668124A - 网络攻击影响态势分析方法、装置、设备及存储介质 - Google Patents
网络攻击影响态势分析方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116668124A CN116668124A CN202310643321.2A CN202310643321A CN116668124A CN 116668124 A CN116668124 A CN 116668124A CN 202310643321 A CN202310643321 A CN 202310643321A CN 116668124 A CN116668124 A CN 116668124A
- Authority
- CN
- China
- Prior art keywords
- network
- information
- flow
- attack
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 119
- 238000003860 storage Methods 0.000 title claims abstract description 48
- 238000001514 detection method Methods 0.000 claims abstract description 36
- 238000000034 method Methods 0.000 claims abstract description 17
- 239000011159 matrix material Substances 0.000 claims description 62
- 230000000694 effects Effects 0.000 claims description 32
- 238000000605 extraction Methods 0.000 claims description 32
- 238000012360 testing method Methods 0.000 claims description 32
- 238000012549 training Methods 0.000 claims description 32
- 238000002372 labelling Methods 0.000 claims description 16
- 230000001364 causal effect Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 12
- 238000006243 chemical reaction Methods 0.000 claims description 9
- 238000004140 cleaning Methods 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 9
- 238000010606 normalization Methods 0.000 claims description 9
- 230000009193 crawling Effects 0.000 claims description 7
- 238000013499 data model Methods 0.000 claims description 7
- 230000009467 reduction Effects 0.000 claims description 6
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 claims 1
- 108010064775 protein C activator peptide Proteins 0.000 claims 1
- 239000000284 extract Substances 0.000 abstract description 2
- 238000011161 development Methods 0.000 description 8
- 230000003449 preventive effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000007123 defense Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000009826 distribution Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000002123 temporal effect Effects 0.000 description 3
- 230000002411 adverse Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000009472 formulation Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络攻击影响态势分析方法、装置、设备及存储介质,所述方法通过获取当前网络的网络流量数据包,从网络流量数据包中提取数据流特征信息,将数据流特征信息转换为CVS格式文件,并将CVS格式文件发送到网络安全漏洞数据库进行存储;将CVS格式文件和网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据标注信息生成网络攻击影响态势的分析结果;将分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够通过对网络攻击的预测,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
Description
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种网络攻击影响态势分析方法、装置、设备及存储介质。
背景技术
随着互联网的迅速发展和普及,网络安全问题变得越来越重要;恶意软件和网络攻击活动不断增加,给企业、机构和个人带来了严重的威胁和损失。
网络攻击检测、分析与预测问题一直是一个挑战,由于攻击者开发了新的和创新的方法来逃避部署的安全系统。
目前,对于一些网络攻击防护手段,比如防火墙、入侵检测系统、入侵防护系统等,基本都是仅对影响网络安全状态的单一因素进行分析处理,导致分析结果较为片面,容易出现漏报和误报等问题;并且由于各个监测设备之间的信息无法互通,当面对大规模的网络攻击模式以及未知的多步骤复杂攻击流程时,传统防御手段愈加显得力不从心。
发明内容
本发明的主要目的在于提供一种网络攻击影响态势分析方法、装置、设备及存储介质,旨在解决现有技术中传统的网络攻击防护手段容易出现漏报和误报的问题,在面对大规模网络攻击或复杂攻击时,传统防御手段无法有效提供安全应对措施,无法避免网络攻击对企业或组织造成不良影响的技术问题。
第一方面,本发明提供一种网络攻击影响态势分析方法,所述网络攻击影响态势分析方法包括以下步骤:
获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;
将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
可选地,所述获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储,包括:
在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;
将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
可选地,所述通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息,包括:
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
可选地,所述将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储,包括:
获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;
根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
可选地,所述将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果,包括:
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;
根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;
从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
可选地,所述将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,包括:
将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;
将所述目标数据按照预设比例划分为训练集、特征集和测试集;
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
可选地,所述将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,包括:
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,HT为输入至卷积注意力模块的当前维度数据,N为维度,T为某个时间,dmodel为维度数据模型的输出,Qm为查询矩阵,Km为键矩阵,Vm为值矩阵,/>为核大小m的因果卷积,/>为预设学习参数,/>为卷积输出结果,/> 为实数集,αm为注意力权重,/>为键矩阵的转置,dk为键的维度,M为掩码矩阵,所述掩码矩阵中的所有上三角元素都为-∞。
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
第二方面,为实现上述目的,本发明还提出一种网络攻击影响态势分析装置,所述网络攻击影响态势分析装置包括:
格式转换模块,用于获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;
标注分析模块,用于将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;
预测模块,用于将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
第三方面,为实现上述目的,本发明还提出一种网络攻击影响态势分析设备,所述网络攻击影响态势分析设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击影响态势分析程序,所述网络攻击影响态势分析程序配置为实现如上文所述的网络攻击影响态势分析方法的步骤。
第四方面,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有网络攻击影响态势分析程序,所述网络攻击影响态势分析程序被处理器执行时实现如上文所述的网络攻击影响态势分析方法的步骤。
本发明提出的网络攻击影响态势分析方法,通过获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明网络攻击影响态势分析方法第一实施例的流程示意图;
图3为本发明网络攻击影响态势分析方法第二实施例的流程示意图;
图4为本发明网络攻击影响态势分析方法第三实施例的流程示意图;
图5为本发明网络攻击影响态势分析方法第四实施例的流程示意图;
图6为本发明网络攻击影响态势分析方法第五实施例的流程示意图;
图7为本发明网络攻击影响态势分析装置第一实施例的功能模块图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的解决方案主要是:通过获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率,解决了传统的网络攻击防护手段容易出现漏报和误报的问题,在面对大规模网络攻击或复杂攻击时,传统防御手段无法有效提供安全应对措施,无法避免网络攻击对企业或组织造成不良影响的技术问题。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的设备结构示意图。
如图1所示,该设备可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如Wi-Fi接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(Non-Volatile Memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的设备结构并不构成对该设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作装置、网络通信模块、用户接口模块以及网络攻击影响态势分析程序。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,并执行以下操作:
获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;
将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;
将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;
根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;
根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;
从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;
将所述目标数据按照预设比例划分为训练集、特征集和测试集;
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,HT为输入至卷积注意力模块的当前维度数据,N为维度,T为某个时间,dmodel为维度数据模型的输出,Qm为查询矩阵,Km为键矩阵,Vm为值矩阵,/>为核大小m的因果卷积,/>为预设学习参数,/>为卷积输出结果,/> 为实数集,αm为注意力权重,/>为键矩阵的转置,dk为键的维度,M为掩码矩阵,所述掩码矩阵中的所有上三角元素都为-∞。
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
本实施例通过上述方案,通过获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
基于上述硬件结构,提出本发明网络攻击影响态势分析方法实施例。
参照图2,图2为本发明网络攻击影响态势分析方法第一实施例的流程示意图。
在第一实施例中,所述网络攻击影响态势分析方法包括以下步骤:
步骤S10、获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
需要说明的是,获取当前网络的网络流量对应的数据包后,可以所述网络流量数据包中提取数据流特征信息,进而进行格式转换,即将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储,字符分隔值(Comma-Separated Values,CSV),其文件以纯文本形式存储表格数据(数字和文本)。
步骤S20、将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果。
可以理解的是,将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注后,可以将其存储在CVS格式文件中,并且生成网络攻击影响态势的分析结果。
步骤S30、将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
应当理解的是,所述分析结果处理后输入至空间时间卷积Transformer模型后,可以获得Transformer模型输出的关于网络安全风险的预测结果。
本实施例通过上述方案,通过获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
进一步地,图3为本发明网络攻击影响态势分析方法第二实施例的流程示意图,如图3所示,基于第一实施例提出本发明网络攻击影响态势分析方法第二实施例,在本实施例中,所述步骤S10,具体包括以下步骤:
步骤S11、在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储。
需要说明的是,在网络中部署一个或多个信息流收集器或者网络望远镜,以捕捉蠕虫、拒绝服务分布式攻击(Distributed Denial of Service,DDoS)等活动;网络流量以数据包的形式被捕捉,并且以包捕获(Packet Capture,PCAP)文件格式进行存储。
步骤S12、通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息。
可以理解的是,通过预先设置的特征提取脚本或流量特征提取工具可以从所述网络流量数据包中提取数据流特征信息。
在具体实现中,可以运行一个脚本或者软件比如CICFlowMeter从网络流量数据包中提取重要信息和特征,并且将其存储在CVS格式文件中。
进一步的,所述步骤S12包括以下步骤:
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
可以理解的是,提取数据流特征信息包括:数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息。
在具体实现中,数据包计数信息为收集数据包的总数量;数据包大小信息为收集数据包的大小分布情况,例如平均数据包大小、最小和最大数据包大小;IP流量信息为收集源IP和目标IP的流量信息,包括发送和接收的字节数、数据包数量和流量分布情况;传输层流量信息为收集TCP、UDP和ICMP协议的流量信息,包括发送和接收的字节数、数据包数量和流量分布情况;网络连接信息为收集网络连接信息,包括源IP和目标IP、源端口和目标端口、连接持续时间、连接开始和结束时间等;活动时间信息为收集网络流量的活动时间信息,包括首个数据包的时间、最后一个数据包的时间和流量持续时间;活动流量信息为收集在活动时间内的网络流量信息,包括平均流速、最大流速和最小流速等;数据流数量信息为收集同一源IP和目标IP之间的数据流数量,以及每个数据流的字节数、数据包数量和流量分布情况;这些特征信息可以帮助用户了解网络流量的行为和趋势,并及时发现网络安全威胁。
步骤S13、将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
应当理解的是,将所述数据流特征信息转换为CVS格式文件后,进而可以将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
本实施例通过上述方案,通过在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储,能够快速进行网络信息流收集转换,提高了网络攻击影响态势分析的速度和效率。
进一步地,图4为本发明网络攻击影响态势分析方法第三实施例的流程示意图,如图4所示,基于第二实施例提出本发明网络攻击影响态势分析方法第三实施例,在本实施例中,所述步骤S13具体包括以下步骤:
步骤S131、获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件。
需要说明的是,在CVS格式文件中,每个记录都有默认的网络五元组信息,时间记录,流量特征等相关的特征,获取所述数据流特征对应的网络五元组信息和时间记录后,可以据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件。
应当理解的是,五元组就是一个网络数据包的五个基本属性,包括源IP地址、目的IP地址、源端口号、目的端口号和传输协议,在网络通信中,每个数据包都包含这五个属性,它们一起构成了数据包的唯一标识。
步骤S132、根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
可以理解的是,通过预先设置的发送周期可以将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
应当理解的是,一般可以设定预设发送周期为每个小时把文件发送到网络安全信息数据库里进行存储,当然也可以设置为其他发送周期,例如每半个小时,或每40分钟等,本实施例对此不加以限制。
本实施例通过上述方案,通过获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储,能够快速进行网络信息流收集转换,提高了网络攻击影响态势分析的速度和效率。
进一步地,图5为本发明网络攻击影响态势分析方法第四实施例的流程示意图,如图5所示,基于第一实施例提出本发明网络攻击影响态势分析方法第四实施例,在本实施例中,所述步骤S20具体包括以下步骤:
步骤S21、将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息。
需要说明的是,将所述CVS格式文件对应的流量信息(一般包括网络攻击流和正常流)和所述网络安全漏洞数据库上传至入侵检测系统或防火墙后,进而使得所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得对应的标注信息。
步骤S22、根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息。
可以理解的是,根据所述CVS格式文件构建预设时间序列样本,时间序列样本可以作为网络攻击影响态势分析与预测的对象,在漏洞数据库里,爬取公开的网络攻击和漏洞相关的信息,包含漏洞ID,端口的描述,中国国家信息安全漏洞库(China NationalVulnerability Database of Information Security,CNNVD)漏洞数据库信息,通用漏洞披露(Common Vulnerabilities&Exposures,CVE)信息等相关信息。
在具体实现中,CNNVD漏洞数据库的信息包括以下信息:
漏洞编号:每个漏洞都有一个独特的CNNVD编号,方便我们快速搜索和识别漏洞。
漏洞名称:对于每个漏洞,都有一个简短的描述和名称,方便我们了解漏洞的性质和严重程度。
漏洞类型:漏洞被归为不同的类型,如远程执行代码漏洞、权限提升漏洞、信息泄露漏洞等。
漏洞来源:提供漏洞的来源,如第三方厂商、独立研究者、安全团队等。
影响范围:漏洞影响的软件、系统和设备范围,包括受影响的版本和平台。
漏洞描述:漏洞的详细描述和技术细节,包括漏洞的危害性、攻击方法和影响等。
漏洞评分:CNNVD会对每个漏洞进行评分,评估漏洞的严重程度和影响范围。
CVE信息包括以下内容:
CVE编号:每个漏洞都有一个独特的CVE编号,方便我们快速搜索和识别漏洞。
漏洞描述:提供漏洞的详细描述和技术细节,包括漏洞的危害性、攻击方法和影响等。
漏洞类型:漏洞被归为不同的类型,如远程执行代码漏洞、权限提升漏洞、信息泄露漏洞等。
影响范围:漏洞影响的软件、系统和设备范围,包括受影响的版本和平台。
漏洞评分:CVE会对每个漏洞进行评分,评估漏洞的严重程度和影响范围。
解决方案:提供漏洞的解决方案和修复补丁,以帮助用户修补漏洞并保证系统的安全性。
参考链接:提供更多有关漏洞的信息和参考链接,方便用户了解漏洞的相关信息和进一步的研究。
步骤S23、从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
可以理解的是,从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,进而根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
在具体实现中,上传流量信息CVS格式文件和网络安全漏洞数据库到入侵检测系统或者防火墙进行攻击标注,并且将其存储在CVS文件格式中,然后上传到自己搭建的网络威胁情报平台上;在不同的时间窗口(例如5分钟、10分钟、30分钟、1小时、2小时等,本实施例对此不加以限制)内分析信息流的特征,并将其与不同攻击的影响特征样本进行标注以及分析,如攻击流量大小、攻击持续时间、攻击频率等,以此来识别和评估网络安全风险和威胁。
本实施例通过上述方案,通过将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全。
进一步地,图6为本发明网络攻击影响态势分析方法第五实施例的流程示意图,如图6所示,基于第一实施例提出本发明网络攻击影响态势分析方法第四实施例,在本实施例中,所述步骤S30具体包括以下步骤:
步骤S31、将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据。
需要说明的是,分析结果以CSV格式保存名为网络攻击影响态势分析,将网络攻击影响态势分析的分析结果进行预处理后,可以获得处理后的目标数据,预处理过程包括数据清洗、特征选择和归一化,将所述分析结果进行数据清洗、特征选择和归一化处理,可以获得处理后的目标数据。
步骤S32、将所述目标数据按照预设比例划分为训练集、特征集和测试集。
可以理解的是,构建预先设置的比例可以将所述目标数据进行划分,获得训练集、特征集和测试集,以预设比例为7:1:2为例,可以将处理好的数据按照7:1:2的比例划分为训练集、验证集以及测试集,当然也可以根据实际情况调整为其他比例,本实施例对此不加以限制。
步骤S33、将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
应当理解的是,将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,可以获得网络安全风险预测结果,训练集用于构建所述模型框架,验证集用于得到所述最优参数,测试集用于评估所述流量预测模型的精度,放进空间时间卷积Transformer和重要的参数进行预测,预测的结果用来指导网络安全防御策略的制定和优化,能够提高网络安全的水平。
进一步的,所述步骤S33具体包括以下步骤:
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,HT为输入至卷积注意力模块的当前维度数据,N为维度,T为某个时间,dmodel为维度数据模型的输出,Qm为查询矩阵,Km为键矩阵,Vm为值矩阵,/>为核大小m的因果卷积,/>为预设学习参数,/>为卷积输出结果,/> 为实数集,αm为注意力权重,/>为键矩阵的转置,dk为键的维度,M为掩码矩阵,所述掩码矩阵中的所有上三角元素都为-∞。
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
在具体实现中,可以利用1*1卷积核来降维,在局部范围的卷积注意力(Local-Range Convolution Attention,LRC)捕获时间上的多模态依赖关系,并且给局部范围的卷积注意力的输入为其中N为维度,T为某个时间,dmodel为维度数据模型的输出,然后用因果卷积映射而不是线性映射来计算查询矩阵Qm、键矩阵Km和值矩阵Vm,掩码矩阵M中所有的上三角元素都设为-∞,将上三角元素设置为-∞的目的是,在应用注意力机制时强制模型只能关注当前位置之前的部分,而不能向右侧关注未来的内容,避免了未来信息的泄漏和依赖问题,-∞的设置表示这些位置的注意力权重将趋近于零,即完全忽略。
为核大小m的因果卷积,/>学习参数,而且这些参数在所有变量之间共享;输出为/>的连接线性投影/>我们使用卷积核的大小为{1,2,3,4}。
在组范围卷积注意力(Group-Range Convolution Attention,GRC)使用多头注意力来捕获不同子空间中多个时间序列之间的潜在关系;我们利用核大小k的一维卷积,输入进分组;分组的数量为Ng=(N/k)+1,其中,k为卷积核,Ng为整数。在每个组,通过打乱输入矩阵中节点变量的顺序,可以得到不同的分组,操作即可其中shuffle(HS,0)表示将输入矩阵的行随机预静音,h表示分组时间;然后一维卷积收集组内的节点信息,并应用注意机制计算分组注意力得分矩阵,作为图的邻接权重矩阵,输出为/>以促进注意力背后的剩余联系,我们将/>转换成/>利用Shuffle操作改变了节点的原始顺序;将所有的分组自注意力的输出连接起来;位置对齐操作将生成输出/>其中,/>是经过重复操作和位置对齐操作后得到的;最后,将这些输出连接起来,并执行一个线性映射来生成最终的输出/>
为输入序列添加连续的位置概念,本文使用连续位置编码(ContinuousPositional Encoding,CPE),位置编码Positional Encoding(PE)计算方式如下:
PE={PE0,PE1,...,PEP+Q}
其中,P为学习预测的范围,Q为输出范围,为输入到编码器,/>为输入到解码器。
编码器由空间编码器和时间编码器并行组成;每个空间编码器层包含两个子层,即组范围卷积注意力和全连接的前馈网络,产生输出每个时间编码器层由一个局部范围的卷积注意力和一个前馈网络组成。其余部分与空间编码器相同。在连续位置编码后,被输入到时间编码器中,产生输出/>然后将输出/>和输出/>连接在一起,最终输出/>
解码器由空间编码器和时间编码器并行组成;每个时间解码器层使用局部范围的注意力;时间解码器将连续位置编码模块的输出作为输入,并在4个堆叠层之后生成输出/>空间解码器层中使用的注意力机制是组范围卷积注意力、时间解码器的输出与编码器的输出/>连接在一起,并输出/>
在输出模块中,将最终解码器的输出进行一次1*1卷积,为最终的预测输出最后预测的结果用来指导网络安全防御策略的制定和优化,提高网络安全的水平。
本实施例通过上述方案,通过将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;将所述目标数据按照预设比例划分为训练集、特征集和测试集;将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果;能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
相应地,本发明进一步提供一种网络攻击影响态势分析装置。
参照图7,图7为本发明网络攻击影响态势分析装置第一实施例的功能模块图。
本发明网络攻击影响态势分析装置第一实施例中,该网络攻击影响态势分析装置包括:
格式转换模块10,用于获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
标注分析模块20,用于将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果。
预测模块30,用于将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
所述格式转换模块10,还用于在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
所述格式转换模块10,还用于通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
所述格式转换模块10,还用于获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
所述标注分析模块20,还用于将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
所述预测模块30,还用于将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;将所述目标数据按照预设比例划分为训练集、特征集和测试集;将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
所述预测模块30,还用于将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,HT为输入至卷积注意力模块的当前维度数据,N为维度,T为某个时间,dmodel为维度数据模型的输出,Qm为查询矩阵,Km为键矩阵,Vm为值矩阵,/>为核大小m的因果卷积,/>为预设学习参数,/>为卷积输出结果,/> 为实数集,αm为注意力权重,/>为键矩阵的转置,dk为键的维度,M为掩码矩阵,所述掩码矩阵中的所有上三角元素都为-∞。
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
其中,网络攻击影响态势分析装置的各个功能模块实现的步骤可参照本发明网络攻击影响态势分析方法的各个实施例,此处不再赘述。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有网络攻击影响态势分析程序,所述网络攻击影响态势分析程序被处理器执行时实现如下操作:
获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;
将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;
将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;
根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;
根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;
从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;
将所述目标数据按照预设比例划分为训练集、特征集和测试集;
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,HT为输入至卷积注意力模块的当前维度数据,N为维度,T为某个时间,dmodel为维度数据模型的输出,Qm为查询矩阵,Km为键矩阵,Vm为值矩阵,/>为核大小m的因果卷积,/>为预设学习参数,/>为卷积输出结果,/> 为实数集,αm为注意力权重,/>为键矩阵的转置,dk为键的维度,M为掩码矩阵,所述掩码矩阵中的所有上三角元素都为-∞。
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
本实施例通过上述方案,通过获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种网络攻击影响态势分析方法,其特征在于,所述网络攻击影响态势分析方法包括:
获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;
将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
2.如权利要求1所述的网络攻击影响态势分析方法,其特征在于,所述获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储,包括:
在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;
将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
3.如权利要求2所述的网络攻击影响态势分析方法,其特征在于,所述通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息,包括:
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
4.如权利要求2所述的网络攻击影响态势分析方法,其特征在于,所述将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储,包括:
获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;
根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
5.如权利要求1所述的网络攻击影响态势分析方法,其特征在于,所述将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果,包括:
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;
根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;
从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
6.如权利要求1所述的网络攻击影响态势分析方法,其特征在于,所述将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,包括:
将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;
将所述目标数据按照预设比例划分为训练集、特征集和测试集;
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
7.如权利要求6所述的网络攻击影响态势分析方法,其特征在于,所述将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,包括:
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,HT为输入至卷积注意力模块的当前维度数据,N为维度,T为某个时间,dmodel为维度数据模型的输出,Qm为查询矩阵,Km为键矩阵,Vm为值矩阵,/>为核大小m的因果卷积,/>为预设学习参数,/>为卷积输出结果,/> 为实数集,αm为注意力权重,/>为键矩阵的转置,dk为键的维度,M为掩码矩阵,所述掩码矩阵中的所有上三角元素都为-∞。
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
8.一种网络攻击影响态势分析装置,其特征在于,所述网络攻击影响态势分析装置包括:
格式转换模块,用于获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;
标注分析模块,用于将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;
预测模块,用于将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
9.一种网络攻击影响态势分析设备,其特征在于,所述网络攻击影响态势分析设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击影响态势分析程序,所述网络攻击影响态势分析程序配置为实现如权利要求1至7中任一项所述的网络攻击影响态势分析方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有网络攻击影响态势分析程序,所述网络攻击影响态势分析程序被处理器执行时实现如权利要求1至7中任一项所述的网络攻击影响态势分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310643321.2A CN116668124A (zh) | 2023-05-31 | 2023-05-31 | 网络攻击影响态势分析方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310643321.2A CN116668124A (zh) | 2023-05-31 | 2023-05-31 | 网络攻击影响态势分析方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116668124A true CN116668124A (zh) | 2023-08-29 |
Family
ID=87714844
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310643321.2A Pending CN116668124A (zh) | 2023-05-31 | 2023-05-31 | 网络攻击影响态势分析方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116668124A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061252A (zh) * | 2023-10-12 | 2023-11-14 | 杭州智顺科技有限公司 | 数据安全的检测方法、装置、设备及存储介质 |
| CN118101281A (zh) * | 2024-02-28 | 2024-05-28 | 浙江省人力资源和社会保障信息中心 | 一种网络攻击的风险检测方法、装置、设备及存储介质 |
| CN118337512A (zh) * | 2024-05-15 | 2024-07-12 | 华东交通大学 | 一种基于深度学习的网络信息入侵检测预警系统及方法 |
-
2023
- 2023-05-31 CN CN202310643321.2A patent/CN116668124A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061252A (zh) * | 2023-10-12 | 2023-11-14 | 杭州智顺科技有限公司 | 数据安全的检测方法、装置、设备及存储介质 |
| CN117061252B (zh) * | 2023-10-12 | 2024-03-12 | 杭州智顺科技有限公司 | 数据安全的检测方法、装置、设备及存储介质 |
| CN118101281A (zh) * | 2024-02-28 | 2024-05-28 | 浙江省人力资源和社会保障信息中心 | 一种网络攻击的风险检测方法、装置、设备及存储介质 |
| CN118337512A (zh) * | 2024-05-15 | 2024-07-12 | 华东交通大学 | 一种基于深度学习的网络信息入侵检测预警系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111818052B (zh) | 基于cnn-lstm的工控协议同源攻击检测方法 | |
| CN116668124A (zh) | 网络攻击影响态势分析方法、装置、设备及存储介质 | |
| CN101567887B (zh) | 一种漏洞拟真超载蜜罐方法 | |
| Davis et al. | Data preprocessing for anomaly based network intrusion detection: A review | |
| Tufan et al. | Anomaly-based intrusion detection by machine learning: A case study on probing attacks to an institutional network | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN111052704A (zh) | 网络分析工作流程加速 | |
| Liu et al. | Predicting network attacks with CNN by constructing images from NetFlow data | |
| CN109861957A (zh) | 一种移动应用私有加密协议的用户行为精细化分类方法及系统 | |
| CN112165484B (zh) | 基于深度学习与侧信道分析的网络加密流量识别方法装置 | |
| CN113518042A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN116662184A (zh) | 一种基于Bert的工控协议模糊测试用例筛选方法及系统 | |
| Kanehara et al. | Real-time botnet detection using nonnegative tucker decomposition | |
| Houmz et al. | Detecting the impact of software vulnerability on attacks: A case study of network telescope scans | |
| Değirmenci et al. | ROSIDS23: Network intrusion detection dataset for robot operating system | |
| Sun et al. | MD-Miner: behavior-based tracking of network traffic for malware-control domain detection | |
| Bhardwaj et al. | Enhanced neural network-based attack investigation framework for network forensics: Identification, detection, and analysis of the attack | |
| Yang et al. | Network forensics in the era of artificial intelligence | |
| Yang et al. | Botnet detection based on machine learning | |
| Chen et al. | AI-Based intrusion detection system for secure AI BOX applications | |
| CN114372497A (zh) | 多模态安全数据分类方法和分类系统 | |
| Dalvi et al. | DDoS Attack Detection using Artificial Neural Network | |
| Venturi et al. | Practical Evaluation of Graph Neural Networks in Network Intrusion Detection | |
| Giryes et al. | A Flow is a Stream of Packets: A Stream-Structured Data Approach for DDoS Detection | |
| Rafique et al. | Xminer: Nip the zero day exploits in the bud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |