2. 技术
  3. 一种网络安全态势感知方法、系统、存储介质和电子设备与流程

一种网络安全态势感知方法、系统、存储介质和电子设备与流程

allin2023-05-06  85


1.本发明涉及网络安全技术领域,尤其涉及一种网络安全态势感知方法、系统、存储介质和电子设备。


背景技术:

2.随着科技发展,网络中各种设备的数量急剧增加,来自外部和内部的各种安全和攻击也在急剧增加,严重威胁网络的安全。目前对网络安全态势进行感知的方法如下:
3.首先,采集海量安全数据,然后,通过工程师的经验来对海量安全数据进行分析,即仍为传统的人工分析方法,然而,采用这种人工分析方法往往会遗漏掉一些安全数据,会降低对安全态势的分析的准确度,而且由于人工分析会带有主观性,在一定程度上也会影响对安全态势的分析的准确度。


技术实现要素:

4.本发明所要解决的技术问题是针对现有技术的不足,提供了一种网络安全态势感知方法、系统、存储介质和电子设备。
5.本发明的一种网络安全态势感知方法的技术方案如下:
6.根据待评估网络的每个预设节点的网络安全情况数据,生成目标矩阵;
7.将所述目标矩阵输入训练好的网络安全态势感知模型,得到所述待评估网络的网络安全态势感知结果。
8.本发明的一种网络安全态势感知方法的有益效果如下:
9.一方面,不会漏掉网络安全情况数据,对安全态势的分析更为完备,提高网络安全态势感知结果的准确度,另一方面,避免人工分析所带来的主观性,进一步提高网络安全态势感知结果的准确度。
10.在上述方案的基础上,本发明的一种网络安全态势感知方法还可以做如下改进。
11.进一步,还包括:
12.采集并对所述待评估网络的每条评价语句进行情感分析,确定每条评价语句对所述待评估网络的安全情感倾向;
13.根据所有安全情感倾向,对所述网络安全态势感知结果进行修正。
14.采用上述进一步方案的有益效果是:通过情感分析,对网络安全态势感知结果进行修正,进一步提高网络安全态势感知结果的准确度。
15.进一步,还包括:
16.根据每个预设节点的日志文件,确定异常客户端的所有关联客户端,根据每两个关联客户端之间的数据交互频率,从所有关联客户端中筛选出目标客户端,将所述异常客户端,以及所述异常客户端对应的每层的客户端确定为风险团伙。
17.采用上述进一步方案的有益效果是:通过日志文件能够确定出风险团伙,以便于进行后续处理。
18.进一步,生成所述目标矩阵的过程,包括:
19.根据待评估网络的每个预设节点的网络安全情况数据,生成每个预设节点对应的初始矩阵,根据所有的初始矩阵,生成所述目标矩阵。
20.进一步,所述网络安全情况数据包括:异常事件情况数据、安全漏洞情况数据、数据流入量和抗攻击能力等级。
21.本发明的一种网络安全态势感知系统的技术方案如下:
22.包括生成模块和确定模块;
23.所述生成模块用于:根据待评估网络的每个预设节点的网络安全情况数据,生成目标矩阵;
24.所述确定模块用于:将所述目标矩阵输入训练好的网络安全态势感知模型,得到所述待评估网络的网络安全态势感知结果。
25.本发明的一种网络安全态势感知系统的有益效果如下:
26.一方面,不会漏掉网络安全情况数据,对安全态势的分析更为完备,提高网络安全态势感知结果的准确度,另一方面,避免人工分析所带来的主观性,进一步提高网络安全态势感知结果的准确度。
27.在上述方案的基础上,本发明的一种网络安全态势感知系统还可以做如下改进。
28.进一步,还包括修正模块,所述修正模块用于:
29.采集并对所述待评估网络的每条评价语句进行情感分析,确定每条评价语句对所述待评估网络的安全情感倾向;
30.根据所有安全情感倾向,对所述网络安全态势感知结果进行修正。
31.采用上述进一步方案的有益效果是:通过情感分析,对网络安全态势感知结果进行修正,进一步提高网络安全态势感知结果的准确度。
32.进一步,还包括风险团伙确定模块,所述风险团伙确定模块用于:
33.根据每个预设节点的日志文件,确定异常客户端的所有关联客户端,根据每两个关联客户端之间的数据交互频率,从所有关联客户端中筛选出目标客户端,将所述异常客户端和所有目标客户端确定为风险团伙。
34.采用上述进一步方案的有益效果是:通过日志文件能够确定出风险团伙,以便于进行后续处理。
35.进一步,生成模块具体用于:
36.根据待评估网络的每个预设节点的网络安全情况数据,生成每个预设节点对应的初始矩阵,根据所有的初始矩阵,生成所述目标矩阵。
37.进一步,所述网络安全情况数据包括:异常事件情况数据、安全漏洞情况数据、数据流入量和抗攻击能力等级。
38.本发明的一种存储介质,所述存储介质中存储有指令,当计算机读取所述指令时,使所述计算机执行上述任一项所述的一种网络安全态势感知方法。
39.本发明的一种电子设备,包括处理器和权利要求9所述的存储介质,所述处理器执行所述存储介质中的指令。
附图说明
40.图1为本发明实施例的一种网络安全态势感知方法的流程示意图;
41.图2为本发明实施例的一种网络安全态势感知方法的结构示意图。
具体实施方式
42.如图1所示,本发明实施例的一种网络安全态势感知方法,包括如下步骤:
43.s1、根据待评估网络的每个预设节点的网络安全情况数据,生成目标矩阵;
44.其中,节点表示应用于待评估网络中的实体部件或虚拟部件,实体部件具体可为:服务器、计算机、交换机、网关、存储器、路由器等,虚拟部件具体可为:数据库、云平台、云存储器等。
45.其中,所述网络安全情况数据包括:异常事件情况数据、安全漏洞情况数据、数据流入量和抗攻击能力等级。
46.其中,生成所述目标矩阵的过程,包括:
47.根据待评估网络的每个预设节点的网络安全情况数据,生成每个预设节点对应的初始矩阵,根据所有的初始矩阵,生成所述目标矩阵。具体地:
48.1)初始矩阵的具体形式可根据实际情况设置,例如,初始矩阵为1行多列的矩阵,由于网络安全情况数据包括:异常事件情况数据、安全漏洞情况数据、单位时间内的数据流入量和抗攻击能力等级,此时,初始矩阵具体为1行4列的矩阵,也可将初始矩阵设置为2行2列的矩阵等;
49.2)异常事件情况数据包括异常事件类型、异常事件发生频率;安全漏洞情况数据包括:漏洞类型、漏洞等级、漏洞影响范围、漏洞发生频率;单位时间内的数据流入量的评价标准为:随着单位时间内的数据流入量的增加,安全评估等级越低,抗攻击能力等级可通过一种基于表征学习的多智能体系统网络抗攻击能力评估方法、一种基于fpga的网络行为攻击方法或一种基于随机邻居节点的无标度网络攻击方法来进行确定,也可通过其它现有技术确定每个预设节点的抗攻击能力等级;
50.可人为设置标准对每个异常事件情况数据、安全漏洞情况数据、单位时间内的数据流入量和抗攻击能力等级进行量化,得到初始矩阵,然后按照预设顺序例如预设节点的顺序对所有的初始矩阵进行排列,生成所述目标矩阵。
51.预先采集多组每个预设节点的网络安全情况数据即异常事件情况数据、安全漏洞情况数据、单位时间内的数据流入量和抗攻击能力等级,根据上述相同的人为设置标准对每组中的每个预设节点的网络安全情况数据即异常事件情况数据、安全漏洞情况数据、单位时间内的数据流入量和抗攻击能力等级进行量化,并以上述初始矩阵的具体形式生成每个预设节点对应的矩阵,然后按照上述预设顺序对每个预设节点对应的矩阵进行排列,生成该组数据对应的标准矩阵,通过多名专家论证该标准矩阵对应的综合权重值,以及该综合权重值对应的网络安全态势感知结果,直至得到多个标准矩阵、每个标准矩阵对应的综合权重值,以及每个综合权重值对应的网络安全态势感知结果。
52.以标准矩阵做为神经网络的输入,以综合权重值做为神经网络的输出,基于神经网路进行模型训练,得到训练好的网络安全态势感知模型,也可基于其它学习模型进行训练,得到训练好的网络安全态势感知模型。
53.s2、将所述目标矩阵输入训练好的网络安全态势感知模型,得到所述待评估网络的网络安全态势感知结果。
54.其中,网络安全态势感知结果为:一级安全等级、二级安全等级、三级安全等级等多级安全等级,其中,一级安全等级为最高安全等级,其它安全等级依次类推,例如:值为10的综合权重值对应的网络安全态势感知结果为一级安全等级,值为9至10的综合权重值对应的网络安全态势感知结果为二级安全等级,值为8至9的综合权重值对应的网络安全态势感知结果为二级安全等级等,那么:
55.例如,将所述目标矩阵输入训练好的网络安全态势感知模型,计算得到的综合权重值为8.5,则网络安全态势感知结果为二级安全等级,例如,将所述目标矩阵输入训练好的网络安全态势感知模型,计算得到的综合权重值为7.5,则网络安全态势感知结果为三级安全等级。
56.一方面,不会漏掉网络安全情况数据,对安全态势的分析更为完备,提高网络安全态势感知结果的准确度,另一方面,避免人工分析所带来的主观性,进一步提高网络安全态势感知结果的准确度。
57.可选地,在上述技术方案中,还包括:
58.采集并对所述待评估网络的每条评价语句进行情感分析,确定每条评价语句对所述待评估网络的安全情感倾向;
59.根据所有安全情感倾向,对所述网络安全态势感知结果进行修正。具体地:
60.首先,利用安全词库对采集到的针对对所述待评估网络的每条评价语句进行处理,确认每条评价语句中是否包括安全词库中的词,其中,安全词库为人为搜集的关于网络安全的词,例如“网络安全”、“漏洞”、“网络攻击”等词,然后选取出所有有包括安全词库中的至少一个词中的评价语句,然后通过语义分析,确定选取出的每条评价语句对待评估网络的安全情感倾向,安全情感倾向为:认为待评估网络的安全情况为优、良、中等、及格和不及格,共五个等级,那么:
61.1)例如,选取的所有评价语句的有超过60%的安全情感倾向为不及格,则对网络安全态势感知结果进行降一级处理,例如,根据目标矩阵得到的待评估网络的网络安全态势感知结果为一级安全等级时,则对网络安全态势感知结果进行降一级处理,即待评估网络的网络安全态势感知结果的为二级安全等级。
62.2)例如,选取的所有评价语句的有超过80%的安全情感倾向为优,则对网络安全态势感知结果进行升一级处理,例如,根据目标矩阵得到的待评估网络的网络安全态势感知结果为三级安全等级时,则对网络安全态势感知结果进行升一级处理,即待评估网络的网络安全态势感知结果的为二级安全等级。
63.也可根据实际情况,设置不同的判断标准,对此不做赘述。通过情感分析,对网络安全态势感知结果进行修正,进一步提高网络安全态势感知结果的准确度。
64.可选地,在上述技术方案中,还包括:
65.根据每个预设节点的日志文件,确定异常客户端的所有关联客户端,其中,任一日志文件记录该预设节点的操作事件的记录文件或文件集合,通过记录文件能够确定确定各个客户端之间有无数据交互,其中,将有欺诈记录或者资源未归还记录等不良行为的客户端的确定为异常客户端,具体可以通过客户端的历史数据识别出是否有欺诈记录或者资金
未归还记录,若有,则将其作为异常客户端。
66.其中,确定异常客户端的所有关联客户端的过程,包括:
67.若异常客户端与第一个客户端存在至少一次数据交互,则第一个客户端则为异常客户端的关联客户端,由此,从每个预设节点的日志文件中所涉及的所有客户端中,选取出异常客户端的所有关联客户端。其中客户端可为手机号码、电话号码、qq号、微信号和电子邮箱等。
68.当选取出异常客户端的所有关联客户端后,根据每两个关联客户端之间的数据交互频率,从所有关联客户端中筛选出目标客户端,筛选出所有目标客户端中的每两个目标客户端之间的数据交互频率均大于预设数据交互频率阈值,预设数据交互频率阈值可为每天100次等,可根据实际情况调整,由于异常客户端和所有目标客户端中的每两个客户端之间数据交互较多,表示异常客户端和所有目标客户端中的每两个客户端之间关系紧密,团伙作案的风险较大,因此,将所述异常客户端和所有目标客户端确定为风险团伙,以便于进行后续处理。
69.在上述各实施例中,虽然对步骤进行了编号s1、s2等,但只是本技术给出的具体实施例,本领域的技术人员可根据实际情况调整s1、s2等的执行顺序,此也在本发明的保护范围内,可以理解,在一些实施例中,可以包含如上述各实施方式中的部分或全部。
70.如图2所示,本发明实施例的一种网络安全态势感知系统200,包括生成模块210和确定模块220;
71.所述生成模块210用于:根据待评估网络的每个预设节点的网络安全情况数据,生成目标矩阵;
72.所述确定模块220用于:将所述目标矩阵输入训练好的网络安全态势感知模型,得到所述待评估网络的网络安全态势感知结果。
73.一方面,不会漏掉网络安全情况数据,对安全态势的分析更为完备,提高网络安全态势感知结果的准确度,另一方面,避免人工分析所带来的主观性,进一步提高网络安全态势感知结果的准确度。
74.可选地,在上述技术方案中,还包括修正模块,所述修正模块用于:
75.采集并对所述待评估网络的每条评价语句进行情感分析,确定每条评价语句对所述待评估网络的安全情感倾向;
76.根据所有安全情感倾向,对所述网络安全态势感知结果进行修正。
77.通过情感分析,对网络安全态势感知结果进行修正,进一步提高网络安全态势感知结果的准确度。
78.可选地,在上述技术方案中,还包括风险团伙确定模块,所述风险团伙确定模块用于:
79.根据每个预设节点的日志文件,确定异常客户端的所有关联客户端,根据每两个关联客户端之间的数据交互频率,从所有关联客户端中筛选出目标客户端,将所述异常客户端和所有目标客户端确定为风险团伙。
80.可选地,在上述技术方案中,生成模块210具体用于:
81.根据待评估网络的每个预设节点的网络安全情况数据,生成每个预设节点对应的初始矩阵,根据所有的初始矩阵,生成所述目标矩阵。
82.可选地,在上述技术方案中,所述网络安全情况数据包括:异常事件情况数据、安全漏洞情况数据、数据流入量和抗攻击能力等级。
83.上述关于本发明的一种网络安全态势感知系统200中的各参数和各个单元模块实现相应功能的步骤,可参考上文中关于一种网络安全态势感知方法的实施例中的各参数和步骤,在此不做赘述。
84.本发明实施例的一种存储介质,所述存储介质中存储有指令,当计算机读取所述指令时,使所述计算机执行上述任一项所述的一种网络安全态势感知方法。
85.本发明实施例的一种电子设备,包括处理器和上述的存储介质,所述处理器执行所述存储介质中的指令,其中,电子设备可以选用电脑、手机等。
86.所属技术领域的技术人员知道,本发明可以实现为系统、方法或计算机程序产品。
87.因此,本公开可以具体实现为以下形式,即:可以是完全的硬件、也可以是完全的软件(包括固件、驻留软件、微代码等),还可以是硬件和软件结合的形式,本文一般称为“电路”、“模块”或“系统”。此外,在一些实施例中,本发明还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
88.可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是一一但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram),只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
89.尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

技术特征:
1.一种网络安全态势感知方法,其特征在于,包括:根据待评估网络的每个预设节点的网络安全情况数据,生成目标矩阵;将所述目标矩阵输入训练好的网络安全态势感知模型,得到所述待评估网络的网络安全态势感知结果。2.根据权利要求1所述的一种网络安全态势感知方法,其特征在于,还包括:采集并对所述待评估网络的每条评价语句进行情感分析,确定每条评价语句对所述待评估网络的安全情感倾向;根据所有安全情感倾向,对所述网络安全态势感知结果进行修正。3.根据权利要求1或2所述的一种网络安全态势感知方法,其特征在于,还包括:根据每个预设节点的日志文件,确定异常客户端的所有关联客户端,根据每两个关联客户端之间的数据交互频率,从所有关联客户端中筛选出目标客户端,将所述异常客户端和所有目标客户端确定为风险团伙。4.根据权利要求1或2所述的一种网络安全态势感知方法,其特征在于,生成所述目标矩阵的过程,包括:根据待评估网络的每个预设节点的网络安全情况数据,生成每个预设节点对应的初始矩阵,根据所有的初始矩阵,生成所述目标矩阵。5.根据权利要求1或2所述的一种网络安全态势感知方法,其特征在于,所述网络安全情况数据包括:异常事件情况数据、安全漏洞情况数据、数据流入量和抗攻击能力等级。6.一种网络安全态势感知系统,其特征在于,包括生成模块和确定模块;所述生成模块用于:根据待评估网络的每个预设节点的网络安全情况数据,生成目标矩阵;所述确定模块用于:将所述目标矩阵输入训练好的网络安全态势感知模型,得到所述待评估网络的网络安全态势感知结果。7.根据权利要求6所述的一种网络安全态势感知系统,其特征在于,还包括修正模块,所述修正模块用于:采集并对所述待评估网络的每条评价语句进行情感分析,确定每条评价语句对所述待评估网络的安全情感倾向;根据所有安全情感倾向,对所述网络安全态势感知结果进行修正。8.根据权利要求6或7所述的一种网络安全态势感知系统,其特征在于,还包括风险团伙确定模块,所述风险团伙确定模块用于:根据每个预设节点的日志文件,确定异常客户端的所有关联客户端,根据每两个关联客户端之间的数据交互频率,从所有关联客户端中筛选出目标客户端,将所述异常客户端和所有目标客户端确定为风险团伙。9.一种存储介质,其特征在于,所述存储介质中存储有指令,当计算机读取所述指令时,使所述计算机执行如权利要求1至5中任一项所述的一种网络安全态势感知方法。10.一种电子设备,其特征在于,包括处理器和权利要求9所述的存储介质,所述处理器执行所述存储介质中的指令。

技术总结
本发明涉及网络安全技术领域,尤其涉及一种网络安全态势感知方法、系统、存储介质和电子设备,方法包括:根据待评估网络的每个预设节点的网络安全情况数据,生成目标矩阵;将所述目标矩阵输入训练好的网络安全态势感知模型,得到所述待评估网络的网络安全态势感知结果。一方面,不会漏掉网络安全情况数据,对安全态势的分析更为完备,提高网络安全态势感知结果的准确度,另一方面,避免人工分析所带来的主观性,进一步提高网络安全态势感知结果的准确度。确度。确度。


技术研发人员:陶春华 邓湘勤
受保护的技术使用者:国能大渡河大数据服务有限公司
技术研发日:2022.03.17
技术公布日:2022/7/5
转载请注明原文地址: https://www.8miu.com/read-11450.html

专利

最新回复(0)