本發(fā)明涉及計算機網(wǎng)絡技術領域,尤其涉及一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法及系統(tǒng)。
背景技術:
隨著計算機和網(wǎng)絡技術的發(fā)展,網(wǎng)絡的規(guī)模和復雜性不斷增大。為了應對越來越復雜的網(wǎng)絡攻擊手段,需要充分考慮各個安全節(jié)點之間的關聯(lián)和動態(tài),從而支持更全面的安全防護。然而,傳統(tǒng)的一些安全檢測預警技術,例如防火墻技術、入侵檢測技術等,僅限于對單一方面的防護,缺乏對網(wǎng)絡全局的準確監(jiān)控。針對這個問題,網(wǎng)絡安全態(tài)勢感知在融合海量安全數(shù)據(jù)信息的基礎上,從宏觀全局的角度判斷系統(tǒng)的安全狀況,并且評估系統(tǒng)的安全變化趨勢。網(wǎng)絡安全態(tài)勢感知綜合考慮了各種防護措施之間的關聯(lián)性,對安全威脅行為進行更精確的描述。
網(wǎng)絡安全態(tài)勢感知模型的過程主要表現(xiàn)為三級模型。第一級是網(wǎng)絡安全態(tài)勢要素的獲取,jajodia等和wang等采集網(wǎng)絡的脆弱性信息系統(tǒng)來評估網(wǎng)絡的脆弱性態(tài)勢;ning等通過采集網(wǎng)絡的警報信息來評估網(wǎng)路的威脅性態(tài)勢;王娟等人提出了一種網(wǎng)絡安全指標體系,根據(jù)不同層次、不同信息來源、不同需求提煉了4個表征宏觀網(wǎng)絡性質的二級綜合性指標,并擬定了20多個一級指標構建網(wǎng)絡安全指標體系,通過網(wǎng)絡安全指標體系需要提取的所有網(wǎng)絡安全態(tài)勢要素。第二級是網(wǎng)絡安全態(tài)勢要素的理解和評估,網(wǎng)絡安全態(tài)勢評估主要分析信息之間的關聯(lián)性,對數(shù)據(jù)信息進行融合,從宏觀角度考慮網(wǎng)絡安全的整體性。針對這個問題,主要分成基于邏輯關系的融合方法,基于數(shù)學模型的融合方法,基于概率統(tǒng)計的融合方法及基于規(guī)則推理的融合方法。警報關聯(lián)是典型的基于邏輯關系的融合方法?;跀?shù)學模型的融合方法需要構造評定函數(shù),而最具代表的評定函數(shù)是加權平均。貝葉斯網(wǎng)絡、隱馬爾科夫模型是最常見的基于概率統(tǒng)計的融合方法,李偉生等根據(jù)網(wǎng)絡安全態(tài)勢和安全事件之間的不同的關聯(lián)性建立態(tài)勢評估的貝葉斯網(wǎng)絡模型,并給出相應的信息傳播算法,以安全事件的發(fā)生為觸發(fā)點,根據(jù)相應的信息傳播算法評估網(wǎng)絡的安全態(tài)勢。目前d-s證據(jù)組合方法和模糊邏輯是基于規(guī)則推理的融合方法中的常見方法,rao等利用模糊邏輯與貝葉斯網(wǎng)絡相結合的方法,對多源數(shù)據(jù)信息進行處理,生成宏觀態(tài)勢圖。第三級是網(wǎng)絡安全態(tài)勢要素的預測。目前網(wǎng)絡安全態(tài)勢預測主要采用神經(jīng)網(wǎng)絡、時間序列預測和支持向量機等方法。
網(wǎng)絡安全設備提供的信息,在一定程度上是包含大量的不確定性信息,而安全態(tài)勢評估需要利用這些信息進行推理。在現(xiàn)有的技術中,基于邏輯的方法不能很好地解決這種不確定性。另外,基于概率推理的方法需要大量的訓練樣本,工作量非常大,實踐中難以獲取,且無法利用領域的背景知識。
技術實現(xiàn)要素:
為了解決上述技術問題,本發(fā)明的目的是提供一種能有效提高準確率的一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法及系統(tǒng)。
本發(fā)明所采取的技術方案是:
一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法,包括以下步驟:
采集特定網(wǎng)絡空間中的資產(chǎn)信息數(shù)據(jù);
對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理,并構建訓練網(wǎng)絡空間安全態(tài)勢感知模型;
根據(jù)網(wǎng)絡空間安全姿態(tài)感知模型和當前網(wǎng)絡空間中的實際數(shù)據(jù),對當前的網(wǎng)絡空間安全態(tài)勢進行評估;
根據(jù)網(wǎng)絡空間的安全態(tài)勢評估結果,對未來的網(wǎng)絡空間安全態(tài)勢進行預測,得到安全態(tài)勢預測結果。
作為所述的一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法的進一步改進,還包括以下步驟:
將當前網(wǎng)絡空間的資產(chǎn)信息數(shù)據(jù)、安全態(tài)勢評估結果和安全態(tài)勢預測結果進行可視化展示。
作為所述的一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法的進一步改進,所述的對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理,并構建訓練網(wǎng)絡空間安全態(tài)勢感知模型,這一步驟具體包括:
根據(jù)采集到的資產(chǎn)信息數(shù)據(jù),提取對應的謂詞和變量;
根據(jù)資產(chǎn)信息數(shù)據(jù)中的異常事件數(shù)據(jù)和正常數(shù)據(jù)對應的謂詞,構建模型的訓練數(shù)據(jù)集;
將特定網(wǎng)絡空間的背景知識轉化為對應的一階邏輯規(guī)則;
根據(jù)訓練數(shù)據(jù)集和一階邏輯規(guī)則進行權重學習,建立基于mln的網(wǎng)絡空間安全態(tài)勢感知模型,并將建立得到的網(wǎng)絡空間安全態(tài)勢感知模型存入數(shù)據(jù)庫中。
作為所述的一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法的進一步改進,所述的根據(jù)網(wǎng)絡空間安全姿態(tài)感知模型和當前網(wǎng)絡空間中的實際數(shù)據(jù),對當前的網(wǎng)絡空間安全態(tài)勢進行評估,這一步驟具體包括:
采集當前網(wǎng)絡空間中的實際數(shù)據(jù);
對實際數(shù)據(jù)提取對應的謂詞和變量,得到謂詞數(shù)據(jù)集;
根據(jù)謂詞數(shù)據(jù)集和網(wǎng)絡空間安全態(tài)勢感知模型,進行最大后驗概率估計,得出安全態(tài)勢評估結果。
本發(fā)明所采用的另一技術方案是:
一種基于mln的網(wǎng)絡空間安全態(tài)勢預測系統(tǒng),包括:
數(shù)據(jù)采集模塊,用于采集特定網(wǎng)絡空間中的資產(chǎn)信息數(shù)據(jù);
態(tài)勢理解模塊,用于對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理,并構建訓練網(wǎng)絡空間安全態(tài)勢感知模型;
態(tài)勢評估模塊,用于根據(jù)網(wǎng)絡空間安全姿態(tài)感知模型和當前網(wǎng)絡空間中的實際數(shù)據(jù),對當前的網(wǎng)絡空間安全態(tài)勢進行評估;
態(tài)勢預測模塊,用于根據(jù)網(wǎng)絡空間的安全態(tài)勢評估結果,對未來的網(wǎng)絡空間安全態(tài)勢進行預測,得到安全態(tài)勢預測結果。
作為所述的一種基于mln的網(wǎng)絡空間安全態(tài)勢預測系統(tǒng)的進一步改進,還包括:
可視化展示模塊,用于將當前網(wǎng)絡空間的資產(chǎn)信息數(shù)據(jù)、安全態(tài)勢評估結果和安全態(tài)勢預測結果進行可視化展示。
作為所述的一種基于mln的網(wǎng)絡空間安全態(tài)勢預測系統(tǒng)的進一步改進,所述態(tài)勢理解模塊具體包括:
提取模塊,用于根據(jù)采集到的資產(chǎn)信息數(shù)據(jù),提取對應的謂詞和變量;
訓練數(shù)據(jù)集構建模塊,用于根據(jù)資產(chǎn)信息數(shù)據(jù)中的異常事件數(shù)據(jù)和正常數(shù)據(jù)對應的謂詞,構建模型的訓練數(shù)據(jù)集;
規(guī)則轉化模塊,用于將特定網(wǎng)絡空間的背景知識轉化為對應的一階邏輯規(guī)則;
模型建立模塊,用于根據(jù)訓練數(shù)據(jù)集和一階邏輯規(guī)則進行權重學習,建立基于mln的網(wǎng)絡空間安全態(tài)勢感知模型,并將建立得到的網(wǎng)絡空間安全態(tài)勢感知模型存入數(shù)據(jù)庫中。
作為所述的一種基于mln的網(wǎng)絡空間安全態(tài)勢預測系統(tǒng)的進一步改進,所述態(tài)勢評估模塊具體包括:
實際數(shù)據(jù)采集模塊,用于采集當前網(wǎng)絡空間中的實際數(shù)據(jù);
謂詞數(shù)據(jù)集提取模塊,用于對實際數(shù)據(jù)提取對應的謂詞和變量,得到謂詞數(shù)據(jù)集;
評估結果計算模塊,用于根據(jù)謂詞數(shù)據(jù)集和網(wǎng)絡空間安全態(tài)勢感知模型,進行最大后驗概率估計,得出安全態(tài)勢評估結果。
本發(fā)明的有益效果是:
本發(fā)明一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法及系統(tǒng)中通過應用馬爾科夫邏輯網(wǎng)絡,能很容易地利用一階邏輯規(guī)則來表示對象和對象屬性它們之間的聯(lián)系。而且本發(fā)明使用的方法中通過引入背景知識,對網(wǎng)絡空間中的對象關系把握更準確,從而有效提高評估的準確率。
附圖說明
下面結合附圖對本發(fā)明的具體實施方式作進一步說明:
圖1是本發(fā)明一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法的步驟流程圖;
圖2是本發(fā)明一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法中態(tài)勢理解的步驟流程圖;
圖3是本發(fā)明一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法中態(tài)勢評估的步驟流程圖;
圖4是本發(fā)明一種基于mln的網(wǎng)絡空間安全態(tài)勢預測系統(tǒng)的模塊方框圖。
具體實施方式
參考圖1,本發(fā)明一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法,包括以下步驟:
采集特定網(wǎng)絡空間中的資產(chǎn)信息數(shù)據(jù);
對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理,并構建訓練網(wǎng)絡空間安全態(tài)勢感知模型;
根據(jù)網(wǎng)絡空間安全姿態(tài)感知模型和當前網(wǎng)絡空間中的實際數(shù)據(jù),對當前的網(wǎng)絡空間安全態(tài)勢進行評估;
根據(jù)網(wǎng)絡空間的安全態(tài)勢評估結果,對未來的網(wǎng)絡空間安全態(tài)勢進行預測,得到安全態(tài)勢預測結果。
參考圖2,進一步作為優(yōu)選的實施方式,還包括以下步驟:
將當前網(wǎng)絡空間的資產(chǎn)信息數(shù)據(jù)、安全態(tài)勢評估結果和安全態(tài)勢預測結果進行可視化展示。
進一步作為優(yōu)選的實施方式,所述的對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理,并構建訓練網(wǎng)絡空間安全態(tài)勢感知模型,這一步驟具體包括:
根據(jù)采集到的資產(chǎn)信息數(shù)據(jù),提取對應的謂詞和變量;
根據(jù)資產(chǎn)信息數(shù)據(jù)中的異常事件數(shù)據(jù)和正常數(shù)據(jù)對應的謂詞,構建模型的訓練數(shù)據(jù)集;
將特定網(wǎng)絡空間的背景知識轉化為對應的一階邏輯規(guī)則;
根據(jù)訓練數(shù)據(jù)集和一階邏輯規(guī)則進行權重學習,建立基于mln的網(wǎng)絡空間安全態(tài)勢感知模型,并將建立得到的網(wǎng)絡空間安全態(tài)勢感知模型存入數(shù)據(jù)庫中。
參考圖3,進一步作為優(yōu)選的實施方式,所述的根據(jù)網(wǎng)絡空間安全姿態(tài)感知模型和當前網(wǎng)絡空間中的實際數(shù)據(jù),對當前的網(wǎng)絡空間安全態(tài)勢進行評估,這一步驟具體包括:
采集當前網(wǎng)絡空間中的實際數(shù)據(jù);
對實際數(shù)據(jù)提取對應的謂詞和變量,得到謂詞數(shù)據(jù)集;
根據(jù)謂詞數(shù)據(jù)集和網(wǎng)絡空間安全態(tài)勢感知模型,進行最大后驗概率估計,得出安全態(tài)勢評估結果。
參考,4,本發(fā)明一種基于mln的網(wǎng)絡空間安全態(tài)勢預測系統(tǒng),包括:
數(shù)據(jù)采集模塊,用于采集特定網(wǎng)絡空間中的資產(chǎn)信息數(shù)據(jù);
態(tài)勢理解模塊,用于對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理,并構建訓練網(wǎng)絡空間安全態(tài)勢感知模型;
態(tài)勢評估模塊,用于根據(jù)網(wǎng)絡空間安全姿態(tài)感知模型和當前網(wǎng)絡空間中的實際數(shù)據(jù),對當前的網(wǎng)絡空間安全態(tài)勢進行評估;
態(tài)勢預測模塊,用于根據(jù)網(wǎng)絡空間的安全態(tài)勢評估結果,對未來的網(wǎng)絡空間安全態(tài)勢進行預測,得到安全態(tài)勢預測結果。
進一步作為優(yōu)選的實施方式,還包括:
可視化展示模塊,用于將當前網(wǎng)絡空間的資產(chǎn)信息數(shù)據(jù)、安全態(tài)勢評估結果和安全態(tài)勢預測結果進行可視化展示。
進一步作為優(yōu)選的實施方式,所述態(tài)勢理解模塊具體包括:
提取模塊,用于根據(jù)采集到的資產(chǎn)信息數(shù)據(jù),提取對應的謂詞和變量;
訓練數(shù)據(jù)集構建模塊,用于根據(jù)資產(chǎn)信息數(shù)據(jù)中的異常事件數(shù)據(jù)和正常數(shù)據(jù)對應的謂詞,構建模型的訓練數(shù)據(jù)集;
規(guī)則轉化模塊,用于將特定網(wǎng)絡空間的背景知識轉化為對應的一階邏輯規(guī)則;
模型建立模塊,用于根據(jù)訓練數(shù)據(jù)集和一階邏輯規(guī)則進行權重學習,建立基于mln的網(wǎng)絡空間安全態(tài)勢感知模型,并將建立得到的網(wǎng)絡空間安全態(tài)勢感知模型存入數(shù)據(jù)庫中。
進一步作為優(yōu)選的實施方式,所述態(tài)勢評估模塊具體包括:
實際數(shù)據(jù)采集模塊,用于采集當前網(wǎng)絡空間中的實際數(shù)據(jù);
謂詞數(shù)據(jù)集提取模塊,用于對實際數(shù)據(jù)提取對應的謂詞和變量,得到謂詞數(shù)據(jù)集;
評估結果計算模塊,用于根據(jù)謂詞數(shù)據(jù)集和網(wǎng)絡空間安全態(tài)勢感知模型,進行最大后驗概率估計,得出安全態(tài)勢評估結果。
其中,本發(fā)明的具體實施例如下:
s1:采集一個時間段內特定網(wǎng)絡空間中的資產(chǎn)信息數(shù)據(jù),包括主機狀態(tài)、網(wǎng)絡狀態(tài)、開放服務狀態(tài)、存儲數(shù)據(jù)狀態(tài)等等,以及端口被打開,服務被開啟,數(shù)據(jù)被更新等的動作數(shù)據(jù),并將數(shù)據(jù)存入數(shù)據(jù)庫中;
s2:對采集的數(shù)據(jù)進行預處理,規(guī)范化安全要素數(shù)據(jù),訓練建立網(wǎng)絡空間安全態(tài)勢感知模型;
(1)根據(jù)當前的網(wǎng)絡空間,構建出當前網(wǎng)絡空間的對應的謂詞和函數(shù)集,以及制定識別網(wǎng)絡空間中異常事件的一階邏輯規(guī)則。
(2)對步驟s1采集到的資產(chǎn)信息數(shù)據(jù)和動作數(shù)據(jù)進行預處理。根據(jù)(1)中的謂詞和函數(shù)集,可以由技術人員通過編程將收集的數(shù)據(jù)提取轉化為對應的謂詞、變量。
(3)根據(jù)標記的異常事件數(shù)據(jù)和正常數(shù)據(jù)對應的謂詞,構造模型的訓練數(shù)據(jù)集。
(4)利用訓練數(shù)據(jù)和一階邏輯規(guī)則進行權重學習,建立基于mln的網(wǎng)絡空間安全態(tài)勢感知模型。將建立的模型錄入數(shù)據(jù)庫。
s3:通過建立的模型以及采集的網(wǎng)絡空間數(shù)據(jù)進行推理,評估當前的網(wǎng)絡空間安全態(tài)勢。
(1)重復步驟s1,采集當前網(wǎng)絡空間中的資產(chǎn)信息數(shù)據(jù)和動作數(shù)據(jù)。
(2)采集到的資產(chǎn)信息數(shù)據(jù)和動作數(shù)據(jù)進行預處理。根據(jù)步驟2(1)中的謂詞和函數(shù)集,可以由技術人員通過編程將收集的數(shù)據(jù)提取轉化為對應的謂詞、變量,規(guī)范化安全要素數(shù)據(jù)。
(3)根據(jù)謂詞數(shù)據(jù)集和網(wǎng)絡空間安全態(tài)勢感知模型進行最大后驗概率估計。
(4)推理得出當前網(wǎng)絡安全空間存在的安全異常事件。
其中,在步驟s2完成后(即模型訓練完成),可重復步驟s3,對不同時間段內當前的網(wǎng)絡空間安全態(tài)勢進行評估。
s4:根據(jù)上一步驟得到的網(wǎng)絡空間安全態(tài)勢評估結果,預測未來的網(wǎng)絡空間安全態(tài)勢上升或下降。一種簡單地預測方式可以為,網(wǎng)絡空間安全態(tài)勢上升定義為在單位時間內異常事件的數(shù)量增多。同樣,網(wǎng)絡空間安全態(tài)勢下降定義為在單位時間內異常事件的數(shù)量減少。
s5:將當前網(wǎng)絡空間的資產(chǎn)信息數(shù)據(jù),安全態(tài)勢評估結果,安全態(tài)勢預測結果,可視化展示給技術人員及用戶。
從上述內容可知,本發(fā)明一種基于mln的網(wǎng)絡空間安全態(tài)勢預測方法及系統(tǒng)中通過應用馬爾科夫邏輯網(wǎng)絡,能很容易地利用一階邏輯規(guī)則來表示對象和對象屬性它們之間的聯(lián)系。而且本發(fā)明使用的方法中通過引入背景知識,對網(wǎng)絡空間中的對象關系把握更準確,從而有效提高評估的準確率。
以上是對本發(fā)明的較佳實施進行了具體說明,但本發(fā)明創(chuàng)造并不限于所述實施例,熟悉本領域的技術人員在不違背本發(fā)明精神的前提下還可做作出種種的等同變形或替換,這些等同的變形或替換均包含在本申請權利要求所限定的范圍內。