CN117220978B - 一种网络安全运营模型量化评估系统及评估方法 - Google Patents

Abstract

本发明公开了一种网络安全运营模型量化评估系统及评估方法，其中网络安全运营模型量化评估系统包含：包括数据感知单元、攻击识别单元、网络安全评估预测单元、告警单元及响应单元；感知多源数据进行网络攻击检测，识别网络攻击检测的类别信息，根据网络攻击的严重程度设置权重系数进行攻击威胁的量化；构建网络安全运营评估模型，评估网络安全运营等级，并基于历史网络安全运营评估数据预测网络安全状态。本发明有效的识别了网络攻击的入侵，根据对网络攻击的量化及对评价指标的筛选实现对网络安全的评估，另外对网络安全态势进行预测，为网络攻击的防御提供了数据基础。

Description

一种网络安全运营模型量化评估系统及评估方法

技术领域

本发明涉及网络安全技术领域，更具体的，涉及一种网络安全运营模型量化评估系统及评估方法。

背景技术

随着互联网的快速发展，电子政务、电子商务、电子金融等网络服务越来越流行，用户的生活、工作和学习逐渐由现实世界转移到互联网中来，人们对互联网的依赖正在日益增加。然而，互联网的开放性特点使得任何符合其技术标准的设备或软件都可以不受限制地接入互联网，导致互联网各类安全事件层出不穷，网络安全形势变得日益严峻。网络异常流量对企业的网络服务影响十分严重，网络设备故障、内网用户有意无意的非法操作以及病毒爆发都能导致网络瘫痪、业务中断；黑客攻击等会导致核心数据泄露或被毁坏，对企业经济造成巨额损失；业务停顿、数据外泄必然会导致公司声誉受损，伤害影响深远。

传统的网络安全的运营方法，多为安全专家对企业中各主机的日志、流量等数据进行人为监测，当推理出安全知识数据后，安全专家还会根据安全处理流程，人为分析安全知识数据中是否存在异常，当分析出告警事件时，人为根据不同的告警事件执行对应的响应流程。随着网络空间攻击技术的不断发展，传统的网络安全运营方法已经难以满足企业对网络威胁检测的实时性、准确性和自动化需求。

发明内容

为了解决上述技术问题，本发明提出了一种网络安全运营模型量化评估系统及评估方法。

本发明第一方面提供了一种网络安全运营模型量化评估系统，包括数据感知单元、攻击识别单元、网络安全评估预测单元、告警单元及响应单元；

所述数据感知单元获取目标网络中的资产及事件，将感知的多源数据进行预处理，构建网络安全评估数据集；

所述攻击识别单元基于所述网络安全评估数据集进行网络攻击检测，识别网络攻击检测的类别信息，根据网络攻击的严重程度设置权重系数进行攻击威胁的量化；

所述网络安全评估预测单元评估网络安全运营等级，并基于历史网络安全态势数据预测网络安全状态；

所述告警单元基于攻击识别单元及网络安全预警单元的处理结果生成预警信息进行告警；

所述响应单元通过网络攻击识别结果在漏洞库中进行检索，基于网络安全运营等级生成对应响应。

本方案中，所述数据感知单元，具体为：

利用数据感知单元获取目标网络中的资产信息及多源数据，根据所述多源数据中感知事件，所述多源数据包括系统运行日志、主动防御日志、漏洞扫描日志、入侵监测日志、网络协议日志及病毒查杀日志；

将多源信息进行聚合并与对应的资产信息及事件匹配，归一化处理后获取多源数据序列，提取多源数据序列的属性特征；

利用遗传算法对自编码器的参数进行寻优，获取优化后编码器层数及权重信息，将所述属性特征作为自编码器网络的输入，进行自监督学习特征编码及重构，表征不同属性特性的关联性；

提取自编码的误差信息，基于所述误差信息进行反向传播，对特征编码重构过程进行优化，并通过参数共享对自编码器的解码器进行配置；

利用解码器进行解码获取特征重构后属性特征，生成预处理后的多源数据序列的属性特征，构建网络安全评估数据集。

本方案中，所述攻击识别单元，具体为：

将数据感知单元构建的网络安全评估数据集作为所述攻击识别单元的输入，在所述攻击识别单元中通过检索历史数据获取历史网络攻击数据，根据所述历史网络攻击数据获取对应的属性特征分布，生成真实样本集合；

利用GRU单元优化生成对抗网络中的生成器网络及判别器网络，获取时间序列分布的时间相关性，将所述网络安全评估数据集划分为若干子序列，将所述若干子序列导入生成对抗网络；

利用生成器网络将随机噪声与孪生数据进行匹配，生成与真实样本接近的重构样本，判别器网络通过计算重构样本与真实样本之间的相似度判断所述重构样本是否为真；

当所述相似度大于预设相似度阈值时，则根据真实样本对重构样本设置类别标签，获取网络攻击的类别信息，根据所述类别信息获取对应的权重系数，结合预设时间内的攻击总数获取攻击的威胁值；

获取网络攻击所关联资产信息的保密性、完整性和可用性，判断攻击对目标网络的影响值，根据所述威胁值及影响值对网络攻击进行量化。

本方案中，所述网络安全预测单元，具体为：

获取目标网络的网络拓扑结构，基于资产关联、业务关联及服务关联将所述网络拓扑结构进行图表示，生成不同的子图，在所述子图中利用资产特征、业务特征及服务特征作为节点的特征描述；

在各子图中利于皮尔逊系数计算节点之间的关联度，根据所述关联度构建节点的权重矩阵，获取各子图对应的邻接矩阵，将所述邻接矩阵进行归一化处理，将不同子图中节点的邻接矩阵及权重矩阵加权求和，实现子图的融合，获取目标网络对应的图结构；

利用大数据检索获取网络安全态势评估实例对应的安全态势指标，将所述安全态势指标进行层次聚类，生成聚类结果与安全态势指标的对应层次关系，根据层次分析法计算各类簇安全态势指标的重要程度；

获取目标网络当前的网络攻击类别对应的属性特征分布，判断属性特征与各类簇安全态势指标的相关性，根据所述相关性对重要程度进行更新；

基于更新后的重要程度选取预设数量的安全态势指标，构建网络安全运营评估模型，提取目标网络的指标参数构建评估矩阵导入所述网络安全运营评估模型；

判断评估矩阵与预设等级阈值矩阵的欧氏距离，评估目标网络中各节点的网络安全运营等级，生成目标网络当前的网络安全序列；

将目标网络的图结构利用图神经网络进行表示学习，获取当前网络攻击的历史攻击路径，根据所述历史攻击路径及邻居节点构建目标网络的邻接矩阵；

根据图神经网络结合全局自注意力机制得到任意两节点之间的注意力信息，构建注意力矩阵，通过注意力矩阵结合邻接矩阵进行加权聚合更新特征表示，提取网络安全态势的空间特征；

将更新后的特征表示导入LSTM网络中，通过隐藏状态的更新获取时序变化特征，得到网络安全态势的时空特征，根据所述时空特征进行消息传递及聚合获取预设时间后各节点的网络安全序列。

本方案中，所述告警单元，具体为：

获取攻击识别单元及网络安全预测单元的处理结果，根据攻击识别单元的识别量化结果及对应的资产信息生成网络攻击预警；

根据网络安全预测单元输出的预设时间后的网络安全序列读取不符合安全标准的节点进行预警，通过目标网络历史网络攻击数据读取当前网络攻击类别对应的各节点的受攻击次数，并标注历史网络攻击的量化结果；

设置监测窗口，在所述网络安全序列中筛选与安全标准的偏差小于预设阈值的节点，标记为高危节点，获取高危节点在当前网络攻击类别下的受攻击次数；

获取目标网络当前网络攻击量化结果与历史网络攻击相似度，根据相似度对高危节点的受攻击次数进行修正，通过当前网络攻击的攻击趋势及修正后的受攻击次数排序选取高危节点生成攻击预警。

本方案中，所述响应单元，具体为：

根据预警信息提取当前网络攻击的类别及量化结果，构建检索任务在漏洞库中进行检索，获取相似度符合预设要求的实例数据，读取对应的应对措施；

对目标网络的应对资源进行整合，根据整合后的应对资源判断应对措施的可实施性，当所述可实施性大于预设阈值时，则根据当前网络攻击与实例数据的相似度对应对措施进行调整；

根据预警节点的分布分配目标网络的应对资源，实时监控实施调整后应对措施目标网络各节点的网络安全序列，根据网络安全序列对应的预警信息变化判断是否进行应对措施的更换。

本发明第二方面提供了一种网络安全运营模型量化评估方法，包含以下步骤：

获取目标网络中的资产及事件，将感知的多源数据进行预处理，构建网络安全评估数据集；

基于所述网络安全评估数据集进行网络攻击检测，识别网络攻击检测的类别信息，根据网络攻击的严重程度设置权重系数进行攻击威胁的量化；

构建网络安全运营评估模型，评估网络安全运营等级，并基于历史网络安全运营评估数据预测网络安全状态；

通过网络攻击的类别及量化数据生成预警信息进行告警，并通过网络攻击识别结果在漏洞库中进行检索，基于网络安全运营等级生成对应响应。

本发明公开了一种网络安全运营模型量化评估系统及评估方法，其中网络安全运营模型量化评估系统包含：包括数据感知单元、攻击识别单元、网络安全评估预测单元、告警单元及响应单元；感知多源数据进行网络攻击检测，识别网络攻击检测的类别信息，根据网络攻击的严重程度设置权重系数进行攻击威胁的量化；构建网络安全运营评估模型，评估网络安全运营等级，并基于历史网络安全运营评估数据预测网络安全状态。本发明有效的识别了网络攻击的入侵，根据对网络攻击的量化及对评价指标的筛选实现对网络安全的评估，另外对网络安全态势进行预测，为网络攻击的防御提供了数据基础。

附图说明

图1示出了本发明一种网络安全运营模型量化评估系统的框图；

图2示出了本发明一种网络安全运营模型量化评估方法的流程图。

图3示出了本发明识别网络攻击检测的类别信息并进行量化的方法流程图；

图4示出了本发明评估网络安全运营等级并预测网络安全状态的示意图；

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

图1示出了本发明一种网络安全运营模型量化评估方法的框图。

本发明第一方面提供了一种网络安全运营模型量化评估系统1，包括数据感知单元11、攻击识别单元12、网络安全评估预测单元13、告警单元14及响应单元15；

所述数据感知单元获取目标网络中的资产及事件，将感知的多源数据进行预处理，构建网络安全评估数据集；

所述攻击识别单元基于所述网络安全评估数据集进行网络攻击检测，识别网络攻击检测的类别信息，根据网络攻击的严重程度设置权重系数进行攻击威胁的量化；

所述网络安全评估预测单元评估网络安全运营等级，并基于历史网络安全态势数据预测网络安全状态；

所述告警单元基于攻击识别单元及网络安全预警单元的处理结果生成预警信息进行告警；

所述响应单元通过网络攻击识别结果在漏洞库中进行检索，基于网络安全运营等级生成对应响应。

需要说明的是，在数据感知单元中，利用数据感知单元获取目标网络中的资产信息及多源数据，各类资产对象包括硬件设备、信息数据及工作操作手册等，根据所述多源数据中感知事件，所述多源数据包括系统运行日志、主动防御日志、漏洞扫描日志、入侵监测日志、网络协议日志及病毒查杀日志；将多源信息进行聚合并与对应的资产信息及事件匹配，归一化处理后获取多源数据序列，提取多源数据序列的属性特征；利用遗传算法对自编码器的参数进行寻优，将重构误差最小作为优化原则，初始化需要优化的模型参数，确定染色体初始种群及优化区间，将网络攻击识别精度作为适应度函数；通过遗传算法中的选择、交叉及变异进行迭代训练，获取优化后编码器层数及权重信息，将所述属性特征作为自编码器网络的输入，进行自监督学习特征编码及重构，表征不同属性特性的关联性；提取自编码的误差信息，基于所述误差信息进行反向传播，对特征编码重构过程进行优化，并通过参数共享对自编码器的解码器进行配置；利用解码器进行解码获取特征重构后属性特征，生成预处理后的多源数据序列的属性特征，构建网络安全评估数据集。

需要说明的是，攻击识别单元中，将数据感知单元构建的网络安全评估数据集作为所述攻击识别单元的输入，在所述攻击识别单元中通过检索历史数据获取历史网络攻击数据，根据所述历史网络攻击数据获取对应的属性特征分布，生成真实样本集合；利用GRU单元优化生成对抗网络中的生成器网络及判别器网络，获取时间序列分布的时间相关性，将所述网络安全评估数据集划分为若干子序列，将所述若干子序列导入生成对抗网络；利用生成器网络将随机噪声与孪生数据进行匹配，生成与真实样本接近的重构样本，判别器网络通过计算重构样本与真实样本之间的相似度判断所述重构样本是否为真；当所述相似度大于预设相似度阈值时，则根据真实样本对重构样本设置类别标签，获取网络攻击的类别信息，根据所述类别信息获取对应的权重系数，结合预设时间内的攻击总数获取攻击的威胁值；获取网络攻击所关联资产信息的保密性、完整性和可用性，判断攻击对目标网络的影响值，根据所述威胁值及影响值对网络攻击进行量化。

需要说明的是，在所述网络安全预测单元中，获取目标网络的网络拓扑结构，基于资产关联、业务关联及服务关联将所述网络拓扑结构进行图表示，生成不同的子图，在所述子图中利用资产特征、业务特征及服务特征作为节点的特征描述；在各子图中利于皮尔逊系数计算节点之间的关联度，根据所述关联度构建节点的权重矩阵，获取各子图对应的邻接矩阵，将所述邻接矩阵进行归一化处理，将不同子图中节点的邻接矩阵及权重矩阵加权求和，实现子图的融合，获取目标网络对应的图结构；利用大数据检索获取网络安全态势评估实例对应的安全态势指标，将所述安全态势指标进行层次聚类，生成聚类结果与安全态势指标的对应层次关系，根据层次分析法计算各类簇安全态势指标的重要程度；获取目标网络当前的网络攻击类别对应的属性特征分布，判断属性特征与各类簇安全态势指标的相关性，根据所述相关性对重要程度进行更新；基于更新后的重要程度选取预设数量的安全态势指标，构建网络安全运营评估模型，提取目标网络的指标参数构建评估矩阵导入所述网络安全运营评估模型；判断评估矩阵与预设等级阈值矩阵的欧氏距离，评估目标网络中各节点的网络安全运营等级，生成目标网络当前的网络安全序列；将目标网络的图结构利用图神经网络进行表示学习，获取当前网络攻击的历史攻击路径，根据所述历史攻击路径及邻居节点构建目标网络的邻接矩阵；根据图神经网络结合全局自注意力机制得到任意两节点之间的注意力信息，构建注意力矩阵，通过注意力矩阵结合邻接矩阵进行加权聚合更新特征表示，提取网络安全态势的空间特征；将更新后的特征表示导入LSTM网络中，通过隐藏状态的更新获取时序变化特征，得到网络安全态势的时空特征，根据所述时空特征进行消息传递及聚合获取预设时间后各节点的网络安全序列。

需要说明的是，在告警单元中，获取攻击识别单元及网络安全预测单元的处理结果，根据攻击识别单元的识别量化结果及对应的资产信息生成网络攻击预警；根据网络安全预测单元输出的预设时间后的网络安全序列读取不符合安全标准的节点进行预警，通过目标网络历史网络攻击数据读取当前网络攻击类别对应的各节点的受攻击次数，并标注历史网络攻击的量化结果；设置监测窗口，在所述网络安全序列中筛选与安全标准的偏差小于预设阈值的节点，标记为高危节点，获取高危节点在当前网络攻击类别下的受攻击次数；获取目标网络当前网络攻击量化结果与历史网络攻击相似度，根据相似度对高危节点的受攻击次数进行修正，通过当前网络攻击的攻击趋势及修正后的受攻击次数排序选取高危节点生成攻击预警。

需要说明的是，在响应单元中，根据预警信息提取当前网络攻击的类别及量化结果，构建检索任务在漏洞库中进行检索，获取相似度符合预设要求的实例数据，读取对应的应对措施；对目标网络的应对资源进行整合，根据整合后的应对资源判断应对措施的可实施性，当所述可实施性大于预设阈值时，则根据当前网络攻击与实例数据的相似度对应对措施进行调整；根据预警节点的分布分配目标网络的应对资源，实时监控实施调整后应对措施目标网络各节点的网络安全序列，根据网络安全序列对应的预警信息变化判断是否进行应对措施的更换。

图2示出了本发明一种网络安全运营模型量化评估方法的流程图。

如图2所示，本发明第二方面提供了一种网络安全运营模型量化评估方法，包括：

S202，获取目标网络中的资产及事件，将感知的多源数据进行预处理，构建网络安全评估数据集；

S204，基于所述网络安全评估数据集进行网络攻击检测，识别网络攻击检测的类别信息，根据网络攻击的严重程度设置权重系数进行攻击威胁的量化；

S206，构建网络安全运营评估模型，评估网络安全运营等级，并基于历史网络安全运营评估数据预测网络安全状态；

S208，通过网络攻击的类别及量化数据生成预警信息进行告警，并通过网络攻击识别结果在漏洞库中进行检索，基于网络安全运营等级生成对应响应。

需要说明的是，利用数据感知单元获取目标网络中的资产信息及多源数据，各类资产对象包括硬件设备、信息数据及工作操作手册等，根据所述多源数据中感知事件，所述多源数据包括系统运行日志、主动防御日志、漏洞扫描日志、入侵监测日志、网络协议日志及病毒查杀日志；将多源信息进行聚合并与对应的资产信息及事件匹配，归一化处理后获取多源数据序列，提取多源数据序列的属性特征；利用遗传算法对自编码器的参数进行寻优，将重构误差最小作为优化原则，初始化需要优化的模型参数，确定染色体初始种群及优化区间，将网络攻击识别精度作为适应度函数；通过遗传算法中的选择、交叉及变异进行迭代训练，获取优化后编码器层数及权重信息，将所述属性特征作为自编码器网络的输入，进行自监督学习特征编码及重构，表征不同属性特性的关联性；提取自编码的误差信息，基于所述误差信息进行反向传播，对特征编码重构过程进行优化，并通过参数共享对自编码器的解码器进行配置；利用解码器进行解码获取特征重构后属性特征，生成预处理后的多源数据序列的属性特征，构建网络安全评估数据集。

图3示出了本发明识别网络攻击检测的类别信息并进行量化的方法流程图。

根据本发明实施例，基于所述网络安全评估数据集进行网络攻击检测，识别网络攻击检测的类别信息，根据网络攻击的严重程度设置权重系数进行攻击威胁的量化，具体为：

S302，将数据感知单元构建的网络安全评估数据集作为所述攻击识别单元的输入，在所述攻击识别单元中通过检索历史数据获取历史网络攻击数据，根据所述历史网络攻击数据获取对应的属性特征分布，生成真实样本集合；

S304，利用GRU单元优化生成对抗网络中的生成器网络及判别器网络，获取时间序列分布的时间相关性，将所述网络安全评估数据集划分为若干子序列，将所述若干子序列导入生成对抗网络；

S306，利用生成器网络将随机噪声与孪生数据进行匹配，生成与真实样本接近的重构样本，判别器网络通过计算重构样本与真实样本之间的相似度判断所述重构样本是否为真；

S308，当所述相似度大于预设相似度阈值时，则根据真实样本对重构样本设置类别标签，获取网络攻击的类别信息，根据所述类别信息获取对应的权重系数，结合预设时间内的攻击总数获取攻击的威胁值；

S310，获取网络攻击所关联资产信息的保密性、完整性和可用性，判断攻击对目标网络的影响值，根据所述威胁值及影响值对网络攻击进行量化。

需要说明的是，由于网络攻击识别是基于多源时序数据，通过GRU单元捕捉多源时序序列的时间相关性，判断属性特征分布是否为异常值，从而实现网络攻击的识别。在对抗生成网络中通过不断更新参数，生成器通过多轮迭代后生成可以欺骗过判别器的伪样本，判别器则被训练的尽可能将伪样本和真实样本区分，通过生成真实样本，生成器从中捕获了训练样本的特征分布，判别器输出真实样本数据和伪样本数据，从而分辨目标网络是否存在网络攻击，并分辨网络攻击的类别。获取网络攻击的类别信息，读取预设时间内目标网络检测到的网络攻击总数及特定类别网络攻击的总数，根据读取的两个总数获取比值信息，结合对应权重系数生成威胁值，获取受攻击资产信息的保密性、完整性和可用性结合保密性、完整性和可用性对应的权重信息获取影响值，网络受到攻击时各属性的等级越大，说明对网络造成的影响越大，将当前时间戳的影响值及威胁值进行相加获取网络攻击的量化结果。

图4示出了本发明评估网络安全运营等级并预测网络安全状态的示意图。

根据本发明实施例，构建网络安全运营评估模型，评估网络安全运营等级，并基于历史网络安全运营评估数据预测网络安全状态，具体为：

S402，获取目标网络的网络拓扑结构，基于资产关联、业务关联及服务关联将所述网络拓扑结构进行图表示，生成不同的子图，在所述子图中利用资产特征、业务特征及服务特征作为节点的特征描述；

S404，在各子图中利于皮尔逊系数计算节点之间的关联度，根据所述关联度构建节点的权重矩阵，获取各子图对应的邻接矩阵，将所述邻接矩阵进行归一化处理，将不同子图中节点的邻接矩阵及权重矩阵加权求和，实现子图的融合，获取目标网络对应的图结构；

S406，利用大数据检索获取网络安全态势评估实例对应的安全态势指标，将所述安全态势指标进行层次聚类，生成聚类结果与安全态势指标的对应层次关系，根据层次分析法计算各类簇安全态势指标的重要程度；

S408，获取目标网络当前的网络攻击类别对应的属性特征分布，判断属性特征与各类簇安全态势指标的相关性，根据所述相关性对重要程度进行更新；

S410，基于更新后的重要程度选取预设数量的安全态势指标，构建网络安全运营评估模型，提取目标网络的指标参数构建评估矩阵导入所述网络安全运营评估模型；

S412，判断评估矩阵与预设等级阈值矩阵的欧氏距离，评估目标网络中各节点的网络安全运营等级，生成目标网络当前的网络安全序列；

S414，将目标网络的图结构利用图神经网络进行表示学习，获取当前网络攻击的历史攻击路径，根据所述历史攻击路径及邻居节点构建目标网络的邻接矩阵；

S416，根据图神经网络结合全局自注意力机制得到任意两节点之间的注意力信息，构建注意力矩阵，通过注意力矩阵结合邻接矩阵进行加权聚合更新特征表示，提取网络安全态势的空间特征；

S418，将更新后的特征表示导入LSTM网络中，通过隐藏状态的更新获取时序变化特征，得到网络安全态势的时空特征，根据所述时空特征进行消息传递及聚合获取预设时间后各节点的网络安全序列。

需要说明的是，将大数据获取安全态势指标进行聚类后，利用层次分析法计算每个类簇中安全态势指标的重要程度，根据所述重要程度筛选预设数量的安全态势指标；层次分析法中建立层次结构，根据层次结构比较安全态势指标相对于决策目标的综合性指标的重要关系构建判断矩阵，根据预设策略进行筛选，利用安全态势指标的重要性权值排序。

需要说明的是，在告警单元中，获取攻击识别单元及网络安全预测单元的处理结果，根据攻击识别单元的识别量化结果及对应的资产信息生成网络攻击预警；根据网络安全预测单元输出的预设时间后的网络安全序列读取不符合安全标准的节点进行预警，通过目标网络历史网络攻击数据读取当前网络攻击类别对应的各节点的受攻击次数，并标注历史网络攻击的量化结果；设置监测窗口，在所述网络安全序列中筛选与安全标准的偏差小于预设阈值的节点，标记为高危节点，获取高危节点在当前网络攻击类别下的受攻击次数；获取目标网络当前网络攻击量化结果与历史网络攻击相似度，根据相似度对高危节点的受攻击次数进行修正，通过当前网络攻击的攻击趋势及修正后的受攻击次数排序选取高危节点生成攻击预警。

根据预警信息提取当前网络攻击的类别及量化结果，构建检索任务在漏洞库中进行检索，获取相似度符合预设要求的实例数据，读取对应的应对措施；对目标网络的应对资源进行整合，根据整合后的应对资源判断应对措施的可实施性，当所述可实施性大于预设阈值时，则根据当前网络攻击与实例数据的相似度对应对措施进行调整；根据预警节点的分布分配目标网络的应对资源，实时监控实施调整后应对措施目标网络各节点的网络安全序列，根据网络安全序列对应的预警信息变化判断是否进行应对措施的更换，实时获取目标网络中的应对资源分配，当目标网络中有空闲应对资源时，则分配至标记攻击预警的高危节点，进行对应措施的提前布置。

本发明第三方面还提供一种计算机可读存储介质，所述计算机可读存储介质中包括网络安全运营模型量化评估方法程序，所述网络安全运营模型量化评估方法程序被处理器执行时，实现如上述任一项所述的网络安全运营模型量化评估方法的步骤。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (8)

1.一种网络安全运营模型量化评估系统，其特征在于，包括数据感知单元、攻击识别单元、网络安全评估预测单元、告警单元及响应单元；

所述数据感知单元获取目标网络中的资产及事件，将感知的多源数据进行预处理，构建网络安全评估数据集；

所述攻击识别单元基于所述网络安全评估数据集进行网络攻击检测，识别网络攻击检测的类别信息，根据网络攻击的严重程度设置权重系数进行攻击威胁的量化；

所述网络安全评估预测单元评估网络安全运营等级，并基于历史网络安全态势数据预测网络安全状态；

所述告警单元基于攻击识别单元及网络安全预警单元的处理结果生成预警信息进行告警；

所述响应单元通过网络攻击识别结果在漏洞库中进行检索，基于网络安全运营等级生成对应响应；

所述网络安全评估预测单元，具体为：

获取目标网络的网络拓扑结构，基于资产关联、业务关联及服务关联将所述网络拓扑结构进行图表示，生成不同的子图，在所述子图中利用资产特征、业务特征及服务特征作为节点的特征描述；

在各子图中利于皮尔逊系数计算节点之间的关联度，根据所述关联度构建节点的权重矩阵，获取各子图对应的邻接矩阵，将所述邻接矩阵进行归一化处理，将不同子图中节点的邻接矩阵及权重矩阵加权求和，实现子图的融合，获取目标网络对应的图结构；

利用大数据检索获取网络安全态势评估实例对应的安全态势指标，将所述安全态势指标进行层次聚类，生成聚类结果与安全态势指标的对应层次关系，根据层次分析法计算各类簇安全态势指标的重要程度；

获取目标网络当前的网络攻击类别对应的属性特征分布，判断属性特征与各类簇安全态势指标的相关性，根据所述相关性对重要程度进行更新；

基于更新后的重要程度选取预设数量的安全态势指标，构建网络安全运营评估模型，提取目标网络的指标参数构建评估矩阵导入所述网络安全运营评估模型；

判断评估矩阵与预设等级阈值矩阵的欧氏距离，评估目标网络中各节点的网络安全运营等级，生成目标网络当前的网络安全序列；

将目标网络的图结构利用图神经网络进行表示学习，获取当前网络攻击的历史攻击路径，根据所述历史攻击路径及邻居节点构建目标网络的邻接矩阵；

根据图神经网络结合全局自注意力机制得到任意两节点之间的注意力信息，构建注意力矩阵，通过注意力矩阵结合邻接矩阵进行加权聚合更新特征表示，提取网络安全态势的空间特征；

将更新后的特征表示导入LSTM网络中，通过隐藏状态的更新获取时序变化特征，得到网络安全态势的时空特征，根据所述时空特征进行消息传递及聚合获取预设时间后各节点的网络安全序列；

所述告警单元，具体为：

获取攻击识别单元及网络安全评估预测单元的处理结果，根据攻击识别单元的识别量化结果及对应的资产信息生成网络攻击预警；

根据网络安全评估预测单元输出的预设时间后的网络安全序列读取不符合安全标准的节点进行预警，通过目标网络历史网络攻击数据读取当前网络攻击类别对应的各节点的受攻击次数，并标注历史网络攻击的量化结果；

设置监测窗口，在所述网络安全序列中筛选与安全标准的偏差小于预设阈值的节点，标记为高危节点，获取高危节点在当前网络攻击类别下的受攻击次数；

获取目标网络当前网络攻击量化结果与历史网络攻击相似度，根据相似度对高危节点的受攻击次数进行修正，通过当前网络攻击的攻击趋势及修正后的受攻击次数排序选取高危节点生成攻击预警。

2.根据权利要求1所述的一种网络安全运营模型量化评估系统，其特征在于，所述数据感知单元，具体为：

利用数据感知单元获取目标网络中的资产信息及多源数据，根据所述多源数据中感知事件，所述多源数据包括系统运行日志、主动防御日志、漏洞扫描日志、入侵监测日志、网络协议日志及病毒查杀日志；

将多源信息进行聚合并与对应的资产信息及事件匹配，归一化处理后获取多源数据序列，提取多源数据序列的属性特征；

利用遗传算法对自编码器的参数进行寻优，获取优化后编码器层数及权重信息，将所述属性特征作为自编码器网络的输入，进行自监督学习特征编码及重构，表征不同属性特性的关联性；

提取自编码的误差信息，基于所述误差信息进行反向传播，对特征编码重构过程进行优化，并通过参数共享对自编码器的解码器进行配置；

利用解码器进行解码获取特征重构后属性特征，生成预处理后的多源数据序列的属性特征，构建网络安全评估数据集。

3.根据权利要求1所述的一种网络安全运营模型量化评估系统，其特征在于，所述攻击识别单元，具体为：

将数据感知单元构建的网络安全评估数据集作为所述攻击识别单元的输入，在所述攻击识别单元中通过检索历史数据获取历史网络攻击数据，根据所述历史网络攻击数据获取对应的属性特征分布，生成真实样本集合；

利用GRU单元优化生成对抗网络中的生成器网络及判别器网络，获取时间序列分布的时间相关性，将所述网络安全评估数据集划分为若干子序列，将所述若干子序列导入生成对抗网络；

利用生成器网络将随机噪声与孪生数据进行匹配，生成与真实样本接近的重构样本，判别器网络通过计算重构样本与真实样本之间的相似度判断所述重构样本是否为真；

当所述相似度大于预设相似度阈值时，则根据真实样本对重构样本设置类别标签，获取网络攻击的类别信息，根据所述类别信息获取对应的权重系数，结合预设时间内的攻击总数获取攻击的威胁值；

获取网络攻击所关联资产信息的保密性、完整性和可用性，判断攻击对目标网络的影响值，根据所述威胁值及影响值对网络攻击进行量化。

4.根据权利要求1所述的一种网络安全运营模型量化评估系统，其特征在于，所述响应单元，具体为：

根据预警信息提取当前网络攻击的类别及量化结果，构建检索任务在漏洞库中进行检索，获取相似度符合预设要求的实例数据，读取对应的应对措施；

对目标网络的应对资源进行整合，根据整合后的应对资源判断应对措施的可实施性，当所述可实施性大于预设阈值时，则根据当前网络攻击与实例数据的相似度对应对措施进行调整；

根据预警节点的分布分配目标网络的应对资源，实时监控实施调整后应对措施目标网络各节点的网络安全序列，根据网络安全序列对应的预警信息变化判断是否进行应对措施的更换。

5.一种网络安全运营模型量化评估方法，其特征在于，应用于权利要求1-4任一项所述的网络安全运营模型量化评估系统，其特征在于：

获取目标网络中的资产及事件，将感知的多源数据进行预处理，构建网络安全评估数据集；

基于所述网络安全评估数据集进行网络攻击检测，识别网络攻击检测的类别信息，根据网络攻击的严重程度设置权重系数进行攻击威胁的量化；

构建网络安全运营评估模型，评估网络安全运营等级，并基于历史网络安全运营评估数据预测网络安全状态；

通过网络攻击的类别及量化数据生成预警信息进行告警，并通过网络攻击识别结果在漏洞库中进行检索，基于网络安全运营等级生成对应响应。

6.根据权利要求5所述的一种网络安全运营模型量化评估方法，其特征在于，获取目标网络中的资产及事件，将感知的多源数据进行预处理，构建网络安全评估数据集，具体为：

利用数据感知单元获取目标网络中的资产信息及多源数据，根据所述多源数据中感知事件，所述多源数据包括系统运行日志、主动防御日志、漏洞扫描日志、入侵监测日志、网络协议日志及病毒查杀日志；

将多源信息进行聚合并与对应的资产信息及事件匹配，归一化处理后获取多源数据序列，提取多源数据序列的属性特征；

利用遗传算法对自编码器的参数进行寻优，获取优化后编码器层数及权重信息，将所述属性特征作为自编码器网络的输入，进行自监督学习特征编码及重构，表征不同属性特性的关联性；

提取自编码的误差信息，基于所述误差信息进行反向传播，对特征编码重构过程进行优化，并通过参数共享对自编码器的解码器进行配置；

利用解码器进行解码获取特征重构后属性特征，生成预处理后的多源数据序列的属性特征，构建网络安全评估数据集。

7.根据权利要求5所述的一种网络安全运营模型量化评估方法，其特征在于，基于所述网络安全评估数据集进行网络攻击检测，识别网络攻击检测的类别信息，根据网络攻击的严重程度设置权重系数进行攻击威胁的量化，具体为：

将数据感知单元构建的网络安全评估数据集作为所述攻击识别单元的输入，在所述攻击识别单元中通过检索历史数据获取历史网络攻击数据，根据所述历史网络攻击数据获取对应的属性特征分布，生成真实样本集合；

利用GRU单元优化生成对抗网络中的生成器网络及判别器网络，获取时间序列分布的时间相关性，将所述网络安全评估数据集划分为若干子序列，将所述若干子序列导入生成对抗网络；

利用生成器网络将随机噪声与孪生数据进行匹配，生成与真实样本接近的重构样本，判别器网络通过计算重构样本与真实样本之间的相似度判断所述重构样本是否为真；

当所述相似度大于预设相似度阈值时，则根据真实样本对重构样本设置类别标签，获取网络攻击的类别信息，根据所述类别信息获取对应的权重系数，结合预设时间内的攻击总数获取攻击的威胁值；

获取网络攻击所关联资产信息的保密性、完整性和可用性，判断攻击对目标网络的影响值，根据所述威胁值及影响值对网络攻击进行量化。

8.根据权利要求5所述的一种网络安全运营模型量化评估方法，其特征在于，构建网络安全运营评估模型，评估网络安全运营等级，并基于历史网络安全运营评估数据预测网络安全状态，具体为：

获取目标网络的网络拓扑结构，基于资产关联、业务关联及服务关联将所述网络拓扑结构进行图表示，生成不同的子图，在所述子图中利用资产特征、业务特征及服务特征作为节点的特征描述；

在各子图中利于皮尔逊系数计算节点之间的关联度，根据所述关联度构建节点的权重矩阵，获取各子图对应的邻接矩阵，将所述邻接矩阵进行归一化处理，将不同子图中节点的邻接矩阵及权重矩阵加权求和，实现子图的融合，获取目标网络对应的图结构；

利用大数据检索获取网络安全态势评估实例对应的安全态势指标，将所述安全态势指标进行层次聚类，生成聚类结果与安全态势指标的对应层次关系，根据层次分析法计算各类簇安全态势指标的重要程度；

获取目标网络当前的网络攻击类别对应的属性特征分布，判断属性特征与各类簇安全态势指标的相关性，根据所述相关性对重要程度进行更新；

基于更新后的重要程度选取预设数量的安全态势指标，构建网络安全运营评估模型，提取目标网络的指标参数构建评估矩阵导入所述网络安全运营评估模型；

判断评估矩阵与预设等级阈值矩阵的欧氏距离，评估目标网络中各节点的网络安全运营等级，生成目标网络当前的网络安全序列；

将目标网络的图结构利用图神经网络进行表示学习，获取当前网络攻击的历史攻击路径，根据所述历史攻击路径及邻居节点构建目标网络的邻接矩阵；

根据图神经网络结合全局自注意力机制得到任意两节点之间的注意力信息，构建注意力矩阵，通过注意力矩阵结合邻接矩阵进行加权聚合更新特征表示，提取网络安全态势的空间特征；

将更新后的特征表示导入LSTM网络中，通过隐藏状态的更新获取时序变化特征，得到网络安全态势的时空特征，根据所述时空特征进行消息传递及聚合获取预设时间后各节点的网络安全序列。