WO2023116565A1

WO2023116565A1 - 智能设计网络安全架构图的方法

Info

Publication number: WO2023116565A1
Application number: PCT/CN2022/139552
Authority: WO
Inventors: 刘钰; 贾梦妮; 黄鹏; 邱杰; 刘德安
Original assignee: 中电信数智科技有限公司
Priority date: 2021-12-21
Filing date: 2022-12-16
Publication date: 2023-06-29
Also published as: CN114238659A

Abstract

一种智能设计网络安全架构图的方法，包括：获取待布置网络安全产品的网络拓扑图、网络拓扑图中网络系统的安全保护要求；利用提前训练好的目标识别模型识别网络拓扑图中设备的位置、类型及其与上下游设备的连接关系；利用提前训练好的机器学习模型，对网络拓扑图中设备是否需要加装网络安全产品做二分类，再对需要加装何种类型的网络安全产品做多分类，获得需要加装的网络安全产品的类型；利用预置的网络安全产品知识图谱，根据需要加装的网络安全产品的类型选取满足安全保护要求的网络安全产品；调用绘图软件在网络拓扑图基础上绘制网络安全架构图。实现了高准确率、高智能化、高效率的自动设计网络安全架构图。

Description

智能设计网络安全架构图的方法

技术领域

本发明涉及网络安全技术领域。更具体地说，本发明涉及一种智能设计网络安全架构图的方法及装置。

背景技术

目前设计网络安全架构图是由专业网安专家根据客户提供的网络拓扑图、网络安全等级保护级别、预算等多种因素综合析后得出。此过程需要耗费大量人工成本且难以规范网络安全架构图样式，并且由于需要考虑的因素繁多导致设计网络安全架构图工作效率低等问题。

发明内容

本发明的目的是提供一种智能设计网络安全架构图的方法，通过目标识别模型和机器学习模型以及知识图谱，实现了高准确率、高智能化、高效率的自动设计网络安全架构图。

为了实现根据本发明的这些目的和其它优点，提供了一种智能设计网络安全架构图的方法，其包括：

获取待布置网络安全产品的网络拓扑图、所述网络拓扑图中网络系统的安全保护要求；

利用提前训练好的目标识别模型识别网络拓扑图中每一设备的位置、类型及其与上下游设备的连接关系；

利用提前训练好的机器学习模型根据网络拓扑图中每一设备的位置、类型及其与上下游设备的连接关系、网络拓扑图中网络系统的安全保护要求，对网络拓扑图中每一设备是否需要加装网络安全产品做二分类，需要加装网络安全产品的，再对需要加装何种类型的网络安全产品做多分类，获得需要加装的网络安全产品的类型；

利用预置的网络安全产品知识图谱，根据需要加装的网络安全产品的类型选取满足网络拓扑图中网络系统的安全保护要求的网络安全产品；

调用绘图软件在网络拓扑图基础上绘制加装有网络安全产品的网络安全架构图。

优选的是，所述网络拓扑图中网络系统的安全保护要求至少包括：安全保护等级要求、安全保护分数要求、安全保护预算要求。

优选的是，所述目标识别模型为yolo v3模型，所述yolo v3模型中增设有关系识别分类器，所述yolo v3模型从网络拓扑图中识别每一设备的位置、类型和每对上下游设备间连线两端的位置，所述关系识别分类器根据每一设备的位置和每对上下游设备间连线两端的位置，确定相互连接的两设备。

优选的是，所述yolo v3模型的特征提取主干网络为Darknet-53模型，所述Darknet -53模型对不同感受野提取的特征融合时，在每一感受野提取的特征前增设有机器学习权值，并采取加权求和算法进行特征融合。

优选的是，所述机器学习模型为xgboost决策树模型，所述xgboost决策树模型对网络拓扑图中每一设备是否需要加装网络安全产品做二分类时，根据设备种类及其与上下游设备的连接关系、安全保护等级要求、安全保护分数要求，计算每一设备是否需要加装网络安全产品的概率，若需要加装网络安全产品的概率超过预设值，则判定为需要加装网络安全产品，输出为1，否则判定为不需要加装网络安全产品，输出为0。

优选的是，所述xgboost决策树模型对需要加装何种类型的网络安全产品做多分类时，根据设备种类及其与上下游设备的连接关系、安全保护等级要求、安全保护分数要求，计算每一类网络安全产品加装的概率，并从中选取出加装概率超过预设值的网络安全产品类型。

优选的是，利用预置的网络安全产品知识图谱，选取网络安全产品的过程包括：

通过查询网络安全产品知识图谱获得需要加装的网络安全产品类型中可选的网络安全产品，每种网络安全产品的安全等级、安全保护分数和产品价格；

将每一需要加装网络安全产品的设备可选的网络安全产品与其他需要加装网络安全产品的设备可选的网络安全产品组合，分别形成不同的网络安全构架设计；

计算每一网络安全构架设计所需的所有网络安全产品的价格总和，根据安全保护等级要求、安全保护分数要求、安全保护预算要求，选取符合要求的网络安全构架设计。

优选的是，所述目标识别模型在训练时，训练集中的网络拓扑图经过扭曲、反转、拼接、加入干扰像素其中至少一种数据增强处理。

本发明还提供一种电子设备，其包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行上述的智能设计网络安全架构图的方法。

本发明还提供一种存储介质，其上存储有计算机程序，该程序被处理器执行时，实现上述的智能设计网络安全架构图的方法。

本发明至少包括以下有益效果：本发明利用目标识别模型获取网络拓扑图中设备信息，使用机器学习模型对各设备是否需要加装安全设备，加装什么类型安全设备进行判断，最后结合知识图谱自动生成网络安全架构设计方案，与传统设计网络安全架构图方法相比，本发明实现了高准确率、高智能化、高效率的自动设计网络安全架构图。另外，本发明对现有yolo v3模型的改进使其实现了目标间关系检测，对Darknet-53模型的改进提高了目标识别的准确率。

本发明的其它优点、目标和特征将部分通过下面的说明体现，部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。

附图说明

图1为本发明实施例所述智能设计网络安全架构图的方法的流程；

图2为本发明实施例所述网络拓扑图的示意图；

图3为本发明实施例所述Darknet-53模型的网络结构图；

图4为本发明实施例所述目标识别模型识别网络拓扑图中设备的示意图；

图5为本发明实施例所述机器学习模型对网络拓扑图中设备加装网络安全产品做出决策的示意图；

图6为本发明实施例所述网络拓扑图中设备需要添加网络安全产品类型的示意图；

图7为本发明实施例所述网络拓扑图中设备添加网络安全产品结果的示意图。

具体实施方式

下面结合附图对本发明做进一步的详细说明，以令本领域技术人员参照说明书文字能够据以实施。

需要说明的是，下述实施方案中所述实验方法，如无特殊说明，均为常规方法，所述试剂和材料，如无特殊说明，均可从商业途径获得；在本发明的描述中，术语“横向”、“纵向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，并不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

本发明所用到的缩略语和关键术语定义如下：

网络拓扑图：是指用传输媒体互连各种设备的物理布局，由网络节点设备和通信介质构成的网络结构图，网络节点设备包括各种数据处理设备、数据通信控制设备和数据终端设备，通信介质包括实际存在的通信连线和在逻辑上起作用的网络通路。

目标识别模型：用于在图片中将里面的物体识别出来，并标出物体位置和类型的数学算法。

机器学习模型：通过迭代式的特征判断和结果决策模拟人类思维过程的数学算法。

yolo v3模型：是深度学习中的卷积神经网络模型，通过对输入图片的特征提取分析融合，找出图片中每一物体所占区域的角点坐标和中心坐标，及物体的所属类别编码。

Darknet-53模型：一种卷积神经网络模型，包括52个卷积层和1个全连接层。

xgboost决策树模型：一种机器学习算法，将一堆决策结构以树形组合起来，叶子节点代表最终的预测值或类别。决策树本质上是在做若干个决策，以判定输入的数据对应的类别(分类)或数值(回归)。

如前所述，目前设计网络安全架构图是由专业网安专家根据客户提供的网络拓扑图、网络安全等级保护级别、预算等多种因素综合析后得出。此过程需要耗费大量人工成本且难以规范网络安全架构图样式，并且由于需要考虑的因素繁多导致设计网络安全架构图工作效率低等问题。

鉴于以上分析，可见现有的主要问题是客户不懂网安知识，不能设计网络安全架构图，而网安专家又不了解客户的网络结构和网安需求，也不能设计网络安全架构图，本申请中考虑到现有的知识图谱可模拟专家的知识储备，而机器学习模型又可模拟专家根据条件的做出决策，同时目标识别模型又可模拟专家读懂网络拓扑图中的网络结构，故提供一种智能设计网络安全架构图的方法，将客户的需求与专家的知识相结合，通过机器实现高准确率、高智能化、高效率的自动设计网络安全架构图。

如图1所示，本发明提供一种智能设计网络安全架构图的方法，其包括：

s101、获取待布置网络安全产品的网络拓扑图、所述网络拓扑图中网络系统的安全保护要求；

这里网络拓扑图可以为画图工具(例如Auto-CAD、Visio、PPT等)得到的图像文件或截图文件，也可以为将画图工具得到的图片的打印件或手画得到的实体图纸进行扫描得到的扫描图像文件，所述网络拓扑图中采用不同的图形代表不同的网络设备，用设备间的连线代表设备问的连接关系，如图2所示。

这里所述网络拓扑图中网络系统的安全保护要求至少包括：安全保护等级要求、安全保护分数要求、安全保护预算要求。如：将安全保护等级分为1～5级，客户需要网络拓扑图中网络系统的安全保护等级达到4级以上，那么>---4级即为安全保护等级要求。又如：安全保护分数范围为0～100分，客户需要网络拓扑图中网络系统的安全保护分数达到80分以上，那么≥80分即为安全保护分数要求。还如：客户对网络拓扑图中网络系统的安全保护的预算在5万元以下，那么≤5万元即为安全保护预算要求。

s102、利用提前训练好的目标识别模型识别网络拓扑图中每一设备的位置、类型及其与上下游设备的连接关系；

这里所述目标识别模型可以采用yolo v3模型，所述yolo v3模型在使用前先进行训练，训练时使用标注好的网络拓扑图作为训练集，对yolo v3模型中需要机器学习的参数进行调整。

具体的，对yolo v3模型进行训练前，可以提前预置数据集，数据集中常用的网络设备类型分别对应配置一个类型编码，设备间连线也可配置编码，标注好的网络拓扑图即是将图片中每个设备位置坐标(设备所占区域的四个角点坐标和中心坐标)、类型编码及连线位置坐标(两端点坐标)、类型编码提前标注，yolo v3模型训练时，将训练集的网络拓扑图输入模型中，获取图中每个设备位置坐标、类型编码及连线位置坐标、类型编码，再与提前标注的结果进行对照，应用梯度下降算法不断修正模型中机器学习参数数值，使损失函数收敛，即可使yolo v3模型基本准确识别网络拓扑图中代表各种设备的图形，及图形间的连线，再将yolo v3模型投入实际使用。

所述yolo v3模型使用时，输出网络拓扑图中每一设备所占区域的四个角点坐标和中心坐标，及每一设备属于预置的数据集中各种网络设备类型的概率，取概率最大的网络设备类型为被识别的设备的类型，所述yolo v3模型使用时，还输出设备间连线的两端坐标和属于连线类型的概率，超过50％则判定为连接，否则为不连接。

所述yolo v3模型的特征提取主干网络为Darknet-53模型，Darknet-53模型的网络结构图如图3所示，输入(inputs)为(batch-size，416，416，3)，batch-size为每批数据量的大小，此参数为机器学习参数，可通过机器学习训练调整该参数数值，416×416为输入图片的分辨率，3为通道数(灰度图的通道数为1，彩色图的通道数为3)，conv2D(32×3×3)为包含32个过滤器的卷积层，residual block(1×64)、residual block(2×128)、residual block(8×256)、residual block(8×512)、residual block(4×1024)均为残差单元，这5组残差单元，每组残差单元由1个单独的卷积层与一组重复执行的卷积层构成，重复执行的卷积层分别重复1次、2次、8次、8次、4次，upsimpling2D()为上采样函数，concat()为特征融合函数，将包含特征的不同数组进行连接。

所述Darknet-53模型对不同感受野提取的特征融合时，在每一感受野提取的特征前增设有机器学习权值，并采取加权求和算法进行特征融合，即concat()对包含特征的不同数组进行连接时，在每一包含特征的数组前增设机器学习权值，可通过机器学习训练调整该权值数值。

所述yolo v3模型中还增设有关系识别分类器，所述yolo v3模型从网络拓扑图中识别每一设备的位置、类型和每对上下游设备间连线两端的位置，所述关系识别分类器根据每一设备的位置和每对上下游设备间连线两端的位置，确定相互连接的两设备；

具体的，yolo v3模型从网络拓扑图中识别连线的两端坐标，再与已经识别的设备的中心坐标进行匹配，若设备的中心坐标与连线的端点坐标接近，则判断两者连接。

如图4所示，yolo v3模型识别网络拓扑图中最上层框图中的设备为核心交换机的概率为95％，属于其他类型设备的概率低于95％，因此识别最上层框图中的设备为核心交换机；中间层框图中的设备交换机的概率为98％，属于其他类型设备的概率低于98％，因此识别中间层框图中的设备为核心交换机；最下层左侧框图中的设备属于计算环境的概率为92％，属于其他类型设备的概率低于92％，因此识别最下层左侧框图中的设备为计算环境；最下层右侧框图中的设备属于办公网的概率为95％，属于其他类型设备的概率低于95％，因此识别最下层右侧框图中的设备为办公网。核心交换机与交换机连通的概率为100％，故判定核心交换机与交换机连通，核心交换机与办公网连通的概率为10％，故判定核心交换机与办公网不连通。

S103、利用提前训练好的机器学习模型根据网络拓扑图中每一设备的位置、类型及其与上下游设备的连接关系、网络拓扑图中网络系统的安全保护要求，对网络拓扑图中每一设备是否需要加装网络安全产品做二分类，需要加装网络安全产品的，再对需要加装何种类型的网络安全产品做多分类，获得需要加装的网络安全产品的类型；

这里所述机器学习模型可以采用xgboost决策树模型，xgboost决策树模型在实际投入使用前也可进行训练，以一对上下游设备的种类、连接关系、安全保护等级要求、安全保护分数要求，以及该对上下游设备间是否加装安保设备，若加装了安保设备，安保设备的类型作为一组数据，收集若干组数据对xgboost决策树模型进行训练，使损失函数收敛，即可使xgboost决策树模型基本正确的给出是否加装及加装类型的决策，再将xgboost决策树模型投入实际使用。

所述xgboost决策树模型对网络拓扑图中每一设备是否需要加装网络安全产品做二分类时，根据设备种类及其与上下游设备的连接关系、安全保护等级要求、安全保护分数要求，计算每一设备是否需要加装网络安全产品的概率，若需要加装网络安全产品的概率超过预设值，则判定为需要加装网络安全产品，输出为1，否则判定为不需要加装网络安全产品，输出为0，这里预设值可以设置为50％。

所述xgboost决策树模型对需要加装何种类型的网络安全产品做多分类时，根据设备种类及其与上下游设备的连接关系、安全保护等级要求、安全保护分数要求，计算每一类网络安全产品加装的概率，并从中选取出加装概率超过预设值的网络安全产品类型，这里预设值也可以设置为50％。

如图5所示，A1和A2为xgboost决策树模型对交换机是否需要加装网络安全产品的二分类输出，对于网络拓扑图中间层左侧的交换机，xgboost决策树模型决策的结果为添加网络安全产品的概率是95％，对于网络拓扑图中间层右侧的交换机，xgboost决策树模型决策的结果为添加网络安全产品的概率是25％，因此，左侧的交换机需要添加网络安全产品，右侧的则不需要，再对左侧的交换机需要添加的网络安全产品的类型做多分类，添加防火墙的概率为95％，添加综合日志审计的概率为92％，添加数据库审计的概率为96％，添加堡垒机的概率为91％，添加web漏洞扫描的概率为15％，故需要添加防火墙、综合日志审计、数据库审计和堡垒机四类网络安全产品，结果如图6所示。

S104、利用预置的网络安全产品知识图谱，根据需要加装的网络安全产品的类型选取满足网络拓扑图中网络系统的安全保护要求的网络安全产品；

具体的，利用预置的网络安全产品知识图谱，选取网络安全产品的过程包括：

如图6所示，以左侧需要加装网络安全产品的交换机为例，通过查询网络安全产品知识图谱，可知A、B、C三个厂家均做网络安全产品，价格和安全等级均不同，那么可以产生多种方案，如方案1：堡垒机采用A厂商，其它网络安全产品采用C厂商；方案2：所有网络安全产品均用B厂商；方案3：堡垒机采用C厂商，其它网络安全产品采用A厂商(此处非穷举)。根据客户对网络拓扑图中网络系统的安全保护要求，假如安全保护等级分为5级，客户需求4级以上，但B厂商生产的堡垒机安全等级在3级，A厂商的综合日志审计安全等级在3级，那么方案2和方案3可以先排除，再在其他方案中选择价格总和最低、安全保护分数最高的方案，将该方案生成json格式数据传给绘图软件。

S105、调用绘图软件在网络拓扑图基础上绘制加装有网络安全产品的网络安全架构图。

这里绘图软件可采用Jtopo，绘图软件根据json格式数据绘制出加装有网络安全产品的网络拓扑图，也即网络安全架构图，如图7所示。

在上述实施例中，利用目标识别模型获取网络拓扑图中设备信息，使用机器学习模型对各设备是否需要加装安全设备，加装什么类型安全设备进行判断，最后结合知识图谱自动生成网络安全架构设计方案，与传统设计网络安全架构图方法相比，本发明实现了高准确率、高智能化、高效率的自动设计网络安全架构图。另外，本发明对现有yolo v3模型的改进使其实现了目标间关系检测，对Darknet-53模型的改进提高了目标识别的准确率。

进一步的，在步骤s102中，所述目标识别模型在训练时，训练集中的网络拓扑图可经过扭曲、反转、拼接、加入干扰像素其中至少一种数据增强处理，通过数据增强处理可提高目标识别模型的泛化能力。

基于同一发明构思，本申请实施例还提供一种电子设备，其包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行上述的智能设计网络安全架构图的方法。

这里，所述处理器包括CPU和GPU等等，所述智能设计网络安全架构图的方法可以由CPU执行，也可以由GPU执行，或者CPU和GPU共同执行。

基于同一发明构思，本申请实施例还提供一种存储介质，其上存储有计算机程序，该程序被处理器执行时，实现上述的智能设计网络安全架构图的方法。

该存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。

在一些可能的实施方式中，本申请提供的一种低成本的射频收发器批量测试方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在设备上运行时，程序代码用于使攻击设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种低成本的射频收发器批量测试方法中的步骤，例如，可以执行如图1所示的实施例。

尽管本发明的实施方案已公开如上，但其并不仅仅限于说明书和实施方式中所列运用，它完全可以被适用于各种适合本发明的领域，对于熟悉本领域的人员而言，可容易地实现另外的修改，因此在不背离权利要求及等同范围所限定的一般概念下，本发明并不限于特定的细节和这里示出与描述的图例。

Claims

一种智能设计网络安全架构图的方法，其特征在于，包括：获取待布置网络安全产品的网络拓扑图、所述网络拓扑图中网络系统的安全保护要求；

利用提前训练好的目标识别模型识别网络拓扑图中每一设备的位置、类型及其与上下游设备的连接关系；

利用提前训练好的机器学习模型根据网络拓扑图中每一设备的位置、类型及其与上下游设备的连接关系、网络拓扑图中网络系统的安全保护要求，对网络拓扑图中每一设备是否需要加装网络安全产品做二分类，需要加装网络安全产品的，再对需要加装何种类型的网络安全产品做多分类，获得需要加装的网络安全产品的类型；

利用预置的网络安全产品知识图谱，根据需要加装的网络安全产品的类型选取满足网络拓扑图中网络系统的安全保护要求的网络安全产品；

调用绘图软件在网络拓扑图基础上绘制加装有网络安全产品的网络安全架构图。
如权利要求1所述的智能设计网络安全架构图的方法，其特征在于，所述网络拓扑图中网络系统的安全保护要求至少包括：安全保护等级要求、安全保护分数要求、安全保护预算要求。
如权利要求1所述的智能设计网络安全架构图的方法，其特征在于，所述目标识别模型为yolo v3模型，所述yolo v3模型中增设有关系识别分类器，所述yolo v3模型从网络拓扑图中识别每一设备的位置、类型和每对上下游设备间连线两端的位置，所述关系识别分类器根据每一设备的位置和每对上下游设备间连线两端的位置，确定相互连接的两设备。
如权利要求3所述的智能设计网络安全架构图的方法，其特征在于，所述yolo v3模型的特征提取主干网络为Darknet-53模型，所述Darknet-53模型对不同感受野提取的特征融合时，在每一感受野提取的特征前增设有机器学习权值，并采取加权求和算法进行特征融合。
如权利要求2所述的智能设计网络安全架构图的方法，其特征在于，所述机器学习模型为xgboost决策树模型，所述xgboost决策树模型对网络拓扑图中每一设备是否需要加装网络安全产品做二分类时，根据设备种类及其与上下游设备的连接关系、安全保护等级要求、安全保护分数要求，计算每一设备是否需要加装网络安全产品的概率，若需要加装网络安全产品的概率超过预设值，则判定为需要加装网络安全产品，输出为1，否则判定为不需要加装网络安全产品，输出为0。
如权利要求5所述的智能设计网络安全架构图的方法，其特征在于，所述xgboost决策树模型对需要加装何种类型的网络安全产品做多分类时，根据设备种类及其与上下游设备的连接关系、安全保护等级要求、安全保护分数要求，计算每一类网络安全产品加装的概率，并从中选取出加装概率超过预设值的网络安全产品类型。
如权利要求5所述的智能设计网络安全架构图的方法，其特征在于，利用预置的网络安全产品知识图谱，选取网络安全产品的过程包括：

通过查询网络安全产品知识图谱获得需要加装的网络安全产品类型中可选的网络安全产品，每种网络安全产品的安全等级、安全保护分数和产品价格；

将每一需要加装网络安全产品的设备可选的网络安全产品与其他需要加装网络安全产品的设备可选的网络安全产品组合，分别形成不同的网络安全构架设计；

计算每一网络安全构架设计所需的所有网络安全产品的价格总和，根据安全保护等级要求、安全保护分数要求、安全保护预算要求，选取符合要求的网络安全构架设计。
如权利要求1所述的智能设计网络安全架构图的方法，其特征在于，所述目标识别模型在训练时，训练集中的网络拓扑图经过扭曲、反转、拼接、加入干扰像素其中至少一种数据增强处理。
电子设备，其特征在于，包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行权利要求1～8中任一项所述的方法。
存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时，实现权利要求1～8中任一项所述的方法。