CN112165485A - 一种大规模网络安全态势智能预测方法 - Google Patents

Abstract

本发明为一种大规模网络安全态势智能预测方法，包括以下步骤：S1.采集网络安全态势数据，并对数据进行处理；S2.计算大规模网络攻击关联度，建立长短期记忆神经网络模型对大规模网络攻击模式进行识别；S3.计算大规模网络攻击模式实现概率P(s)、大规模网络攻击模式利用的所有单个网络漏洞威胁得分Q和态势指标评估因子C，并通过BP神经网络对P(s)、Q以及大规模网络攻击模式发生的节点权重值W进行综合量化处理，得到网络安全态势预测。本发明通过上述技术方案可以提高感知的准确性以及能够更加准确的反应网络安全态势变化的本质，从而提高网络安全态势感知过程中的性能和效率。

Description

一种大规模网络安全态势智能预测方法

技术领域

本申请涉及计算机领域，特别是涉及一种大规模网络安全态势智能预测方法。

背景技术

互联网的飞速发展使得网络安全管理面临的安全漏洞和安全事件越来越多，在网络安全的攻、防对抗中，单一的检测设备和防御设备往往无法及时发现、分析、处置网络安全事件，只能在安全事件发生后被动响应。传统的入侵检测系统、防火墙等网络安全防御手段已经不能满足现在高速、智能、多源的网络安全需求，需要更加先进、优化的技术手段和方式方法去防范网络安全事件的发生。传统方法只是对已经发生的网络攻击行为进行报警和拦截，无法进行可靠性预测，存在可靠性、适用性较差以及评估结果准确度较低的问题。

发明内容

本申请提供一种大规模网络安全态势智能预测方法，以解决目前存在的：由于传统网络安全防御手段只是对已经发生的网络攻击行为进行报警和拦截，存在可靠性、适用性较差以及评估结果准确度较低的技术问题，以实现提高网络安全态势感知过程中的性能和效率，提升网络安全防御能力。

本发明的技术方案具体如下：

一种大规模网络安全态势智能预测方法，包括以下步骤：

S1.采集网络安全态势数据，并对数据进行处理；

S2.计算大规模网络攻击关联度，建立长短期记忆神经网络模型对大规模网络攻击模式进行识别；

S3.计算大规模网络攻击模式实现概率P(s)、大规模网络攻击模式利用的所有单个网络漏洞威胁得分Q和态势指标评估因子C，并通过BP神经网络对P(s)、Q以及大规模网络攻击模式发生的节点权重值W进行综合量化处理，得到网络安全态势预测。

进一步，所述步骤S1具体包括以下步骤：

S11.通过数据采集模块采集网络安全态势数据，所述网络安全态势数据S包括但不限于性能数据S¹、流量数据S²、配置数据S³、进程状态数据S⁴、报文字段数据S⁵和漏洞数据S⁶；所述性能数据S¹包括丢包率

服务请求

响应率

响应时间

...共C个反应网络性能的指标；所述流量数据S²包括连接状态字段

流入流出包数

请求服务IP统计

...共V个反应网络当前流量的数据；所述配置数据S³包括网络入口处防火墙日志

入侵检测日志

网络中关键主机日志

...共U个网络安全配置数据；所述进程状态数据S⁴包括CPU、内存使用量及进程的运行参数共Z个数据；所述报文字段数据S⁵包括源/目的IP

和端口

报文长度

载荷

和请求类型

......共R个数据；所述漏洞数据S⁶包括W个参数数据；用表达式对上述数据进行表示：

S12.由于所述数据采集模块得到的数据是异构的，所述数据处理模块对采集的网络安全态势数据进行清洗、归一化等处理；详细处理过程如下：

首先根据实际需求人为的对采集到的数据分别设置对应的数据阈值

其中

表示第i类数据的阈值最小值，

表示第i类数据的阈值最大值，使

剔除不必要的数据，得到新的网络安全态势数据矩阵：

其中，c、v、u、z、r、w分别为剔除后不同类别数据的数量；然后将不同类型的数据S＝{S¹，S²，...，Sⁿ}分别标准化：

其中，

是数据均值，n是采集的安全态势数据类型；对标准化后的数据进行归一化处理：

其中，(Sⁱ)′_max和(Sⁱ)′_min分别是第i类数据的最大值和最小值；最终得到处理后的数据矩阵：

进一步，所述步骤S2具体包括以下步骤：

S21.选取网络源IP地址、大规模网络攻击的目的IP地址、网络源端口号、大规模网络攻击的目的端口号、大规模网络攻击时间这5个属性作为确定大规模网络攻击关联度的依据；

S22.建立长短期记忆神经网络模型，通过输入网络安全态势数据进行网络攻击模式识别；长短期记忆神经网络模型在每组数据索引位置t的门一般包括输入门、遗忘门和输出门三种，其中，遗忘门中有两个隐藏状态h^(t)、C^(t)，C^(t)一般称为细胞状态；输入门用于输入待识别数据，即网络安全态势数据D；遗忘门以一定的概率控制是否遗忘上一层的隐藏细胞状态；输出门用于输出识别结果，将处理后的采集数据D＝{D¹，D²，...，Dⁿ}以时间为序列输入到长短期记忆神经网络模型中，数据维度为n；

输入门由两步组成，首先输入一组n维数据D，使用sigmoid激活函数f进行激活，输出为i^(t)，然后通过关联度函数输出a^(t)，用数学表达式即为：

其中，y^(t-1)为上一序列的输出，y⁽⁰⁾＝0；U_i、b_i为线性关系的系数和偏置，由系统自动设定；t为数组序列，利用攻击关联度函数作为激活函数，提高攻击模式的识别率，然后将输入门的输出传送给细胞状态C^(t)；

遗忘门的输入有上一序列的输出y^(t-1)和本序列数据D^(t)，通过激活函数f，得到遗忘门的输出o^(t)；由于输出o^(t)在[0，1]之间，因此输出o^(t)代表遗忘门上一层隐藏细胞状态的概率；用数学表达式即为：

o^(t)＝f(W_fh^(t-1)+U_fx^(t)+b_f)

其中，W_f、U_f、b_f为线性关系的系数和偏置，由系统自动设定；

细胞状态C^(t)由两部分组成，第一部分是上一序列的细胞状态C^(t-1)和遗忘门输出o^(t)的乘积，第二部分是输入门的输出i^(t)和a^(t)的乘积，即：

C^(t)＝C^(t-1)⊙f^(t)+i^(t)⊙a^(t)

其中，⊙为哈达玛积；将细胞状态C^(t)传送到输出门输出y^(t)＝C^(t)得到对应的网络攻击模式；

计算模型预测输出与实际结果的误差：

其中，

是期望输出结果；根据实际需求设置阈值ε，满足error＜ε则认为满足实际需求，训练完毕，得到大规模网络攻击模式识别模型，从而获得大规模网络攻击不同模式的相应报警集合，所述不同模式包括但不限于暴力破解、恶意软件、DDoS攻击。

进一步，所述步骤S21中，所述大规模网络攻击关联度函数的计算表达式为：

其中，a、b是不同的网络攻击行为；F_k表示网络中第k组安全态势数据之间的关联度；α_k表示网络中第k组安全态势数据的对应权重值；n是网络中特征属性的数量。

进一步，所述步骤S3具体包括以下步骤：

S31.通过所述安全态势预测模块计算大规模网络攻击成功的概率为：

其中，P(a)表示大规模网络攻击发生的概率；US表示被入侵网络主机中存在的信息漏洞库；大规模网络攻击模式实现概率为：

其中，P_i(ac)和P_j(ac)分别表示大规模网络攻击行为i和j的成功入侵概率；d＝0表示网络攻击下的网络状态节点s为或节点；d＝1表示网络攻击下的网络状态节点s为与节点；

采用基于网络机密性、网络完整性和网络可用性三个指标评价的网络漏洞威胁得分来衡量单个网络漏洞对当前网络的影响，其威胁得分为：

Q＝ε(1-D)(1-J)(1-A)

其中，D、J、A分别表示网络机密性、网络完整性和网络可用性三个指标的网络漏洞威胁得分；ε为威胁因子；

S32.根据步骤S2识别得到的攻击模式计算不同攻击模式的态势指标评估因子，对安全态势指标数据D＝{D¹，D²，...，Dⁿ}进行加权融合实现安全态势感知结果的定量评估，首先根据指标重要程度之此构造判断矩阵：

其中，i＝1，2，...，n，j＝1，2，...，r，

表示安全态势指标数据的权重此，n和r是矩阵行和列的数量；计算指标的融合权重ω＝(ω₁，ω₂，...，ω_n)^T，取与矩阵A同阶的任意归一化初始向量

则有

q为任意正整数；对其进行归一化处理：

当

与

差的绝对值小于给定的阈值时，ω是矩阵A最大特征根对应的权重特征向量。则矩阵的最大特征根为：

当矩阵为一致性矩阵时，λ_max＝n，否则，λ_max＞n。对向量进行一致性检验，得到不同攻击模式的态势评估因子：

其中，C为态势指标评估因子；k是常数；

S33.大规模网络攻击的每一个攻击模式需要运用多个网络漏洞，将大规模网络攻击模式实现概率、大规模网络攻击模式利用的所有单个网络漏洞威胁得分、态势指标评估因子以及大规模网络攻击模式发生的节点权重值通过BP神经网络进行综合量化处理，可以得到网络攻击下不同攻击模式对当前网络安全态势的预测。

进一步，所述步骤S33中BP神经网络的计算模型建立过程如下：

将网络安全态势指标D＝{D¹，D²，...，Dⁿ}作为网络输入，将大规模网络攻击模式实现概率P(s)、大规模网络攻击模式利用的所有单个网络漏洞威胁得分Q、态势指标评估因子C以及大规模网络攻击模式发生的节点权重值W作为BP神经网络的指标，将网络安全态势值作为神经网络的输出值，通过训练集训练后确定BP神经网络中各层的相关参数，形成完整的预测模型；

BP神经网络包括一个输入层、一个隐含层和一个输出层，输入为经过数据处理后的采集数据，给定训练集X＝{(D₁，y₁)，(D₂，y₂)，...，(D_m，y_m)}，

是输入，i＝1，2，...，n，n为数据维度，l＝1，2，...，m，m为训练集共有m组数据，y_l是对应的输出，输入层有n个神经元，输出层有1个神经元，设立q个隐含层神经元，

为向上取整，δ是1-10的随机整数；神经网络的输入层第1个神经元与隐含层第h个神经元间的连接权为ω_lh，隐含层第h个神经元与输出层神经元间的连接权为v_h1，隐含层第h个神经元的输入为：

设立隐含层的激活函数为威胁得分函数Q，根据攻击模式选择对应的态势指标评估因子作为隐含层神经元的权值，并结合网络漏洞威胁得分得到隐含层的输出：

b_h＝Q(C*α_h)+WP(s)

运用大规模网络攻击模式实现概率P(s)、大规模网络攻击模式利用的所有单个网络漏洞威胁得分Q、态势指标评估因子C以及大规模网络攻击模式发生的节点权重值W作为激活函数参数，可以提高神经网络的学习性能，增加安全态势值的预测准确性；

输出层神经元的输出为：

其中，y即为预测得到的网络安全态势值，然后计算神经网络的输出误差：

是期望输出，当误差小于设定的误差阈值时，神经网络的训练精度达到要求，利用训练好的BP神经网络对测试数据集进行评估，得到网络安全态势预测值，能够更加准确的反应网络安全态势变化的本质，根据实际需求利用网络安全态势预测值进行安全等级划分，针对网络安全态势预测及时做出相应的对策。

如上所述的大规模网络安全态势智能预测方法，所基于的网络安全态势智能预测系统包括以下部分：

数据采集模块，所述数据采集模块，用于采集网络安全态势数据；

数据处理模块，所述数据处理模块，用于对采集的系统运行态势数据进行清洗、归一化处理；

存储模块，所述存储模块，用于存储处理后的网络安全态势数据和识别结果；

攻击模式识别模块，所述攻击模式识别模块，用于计算网络攻击之间的关联度，建立长短期记忆神经网络模型对大规模网络攻击模式进行识别；

安全态势预测模块，所述安全态势预测模块，用于计算大规模网络攻击模式实现概率P(s)、大规模网络攻击模式所有单个网络漏洞威胁得分Q、态势指标评估因子C等模型参数，建立BP神经网络对网络安全态势进行预测。

进一步，所述网络安全态势智能预测系统的运行流程为：

所述数据采集模块将采集的网络安全态势数据通过数据连接的方式发送给所述数据处理模块；所述数据处理模块对采集的数据进行清洗、归一化处理，将处理后的数据发送给模型创建模块和存储模块；所述模型创建模块建立基于信息融合的大规模网络攻击下的网络安全态势评估模型，计算大规模网络攻击关联度，然后将关联度通过数据连接的方式发送给所述安全态势预测模块；所述攻击模式识别模块建立长短期记忆神经网络模型对大规模网络攻击模式进行识别，将识别的攻击模式发送给所述安全态势预测模块；所述安全态势预测模块计算大规模网络攻击模式实现概率P(s)、大规模网络攻击模式所有单个网络漏洞威胁得分Q、态势指标评估因子C等模型参数，利用BP神经网络对网络安全态势进行预测。

本发明的有益效果是：

全方位感知网络安全态势，基于数据集的关联规则分析，提高感知的准确性，通过引入大规模网络攻击模式实现概率、大规模网络攻击模式利用的所有单个网络漏洞威胁得分、态势指标评估因子以及大规模网络攻击模式发生的节点权重值，对其进行融合处理，能够更加准确的反应网络安全态势变化的本质，从而提高网络安全态势感知过程中的性能和效率。

附图说明

图1本发明所述的一种大规模网络安全态势智能预测系统结构图；

图2本发明所述的基于长短期记忆神经网络的攻击模式识别模型图；

图3本发明所述的基于BP神经网络的网络安全态势预测模型图。

具体实施方式

以下将结合本实施例以及附图来详细说明本发明的技术方案，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。需要说明的是，只要不构成冲突，本发明中的各个实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护范围之内。

参照图1，本发明所述的网络安全态势智能预测系统包括以下部分：

数据采集模块、数据处理模块、存储模块、攻击模式识别模块、安全态势预测模块

所述数据采集模块，用于采集网络安全态势数据；

所述数据处理模块，用于对采集的系统运行态势数据进行清洗、归一化处理；

所述存储模块，用于存储处理后的网络安全态势数据和识别结果；

所述攻击模式识别模块，用于计算网络攻击之间的关联度，建立长短期记忆神经网络模型对大规模网络攻击模式进行识别；

所述安全态势预测模块，用于计算大规模网络攻击模式实现概率P(s)、大规模网络攻击模式所有单个网络漏洞威胁得分Q、态势指标评估因子C等模型参数，建立BP神经网络对网络安全态势进行预测。

所述数据采集模块将采集的网络安全态势数据通过数据连接的方式发送给所述数据处理模块；所述数据处理模块对采集的数据进行清洗、归一化处理，将处理后的数据发送给模型创建模块和存储模块；所述模型创建模块建立基于信息融合的大规模网络攻击下的网络安全态势评估模型，计算大规模网络攻击关联度，然后将关联度通过数据连接的方式发送给所述安全态势预测模块；所述攻击模式识别模块建立长短期记忆神经网络模型对大规模网络攻击模式进行识别，将识别的攻击模式发送给所述安全态势预测模块；所述安全态势预测模块计算大规模网络攻击模式实现概率P(s)、大规模网络攻击模式所有单个网络漏洞威胁得分Q、态势指标评估因子C等模型参数，利用BP神经网络对网络安全态势进行预测。

所述一种大规模网络安全态势智能预测方法包括：

S1.采集网络安全态势数据，并对数据进行处理；

S11.通过所述数据采集模块采集网络安全态势数据，所述网络安全态势数据S包括但不限于性能数据S¹、流量数据S²、配置数据S³、进程状态数据S⁴、报文字段数据S⁵和漏洞数据S⁶等。所述性能数据S¹包括丢包率

服务请求

响应率

响应时间

等C个指标；所述流量数据S²包括连接状态字段

流入流出包数

请求服务IP统计

等V个数据；所述配置数据S³包括网络入口处防火墙日志

入侵检测日志

网络中关键主机日志

等U个数据；所述进程状态数据S⁴包括CPU、内存使用量及进程的运行参数等Z个数据；所述报文字段数据S⁵包括源/目的IP

和端口

报文长度

载荷

和请求类型

等R个数据；所述漏洞数据S⁶包括W个参数数据。用表达式对上述数据进行表示：

S12.由于所述数据采集模块得到的数据是异构的，所述数据处理模块对采集的网络安全态势数据进行清洗、归一化等处理。详细处理过程如下：

首先根据实际需求人为的对采集到的数据分别设置对应的数据阈值

其中

表示第i类数据的阈值最小值，

表示第i类数据的阈值最大值，使

剔除不必要的数据，得到新的网络安全态势数据矩阵：

其中，c、v、u、z、r、w分别为剔除后不同类别数据的数量。然后将不同类型的数据S＝{S¹，S²，...，Sⁿ}分别标准化：

其中，

是数据均值，n是采集的安全态势数据类型。对标准化后的数据进行归一化处理：

其中，(Sⁱ)′_max和(Sⁱ)′_min分别是第i类数据的最大值和最小值。最终得到处理后的数据矩阵：

通过对数据进行清洗、归一化等处理，提高后续计算的准确率。

S2.计算大规模网络攻击关联度，建立长短期记忆神经网络模型对大规模网络攻击模式进行识别；

S21.由于网络中的安全事件并不是独立存在的，彼此之间有一定的逻辑关系，因此需要寻找网络攻击之间的关联。选取网络源IP地址、大规模网络攻击的目的IP地址、网络源端口号、大规模网络攻击的目的端口号、大规模网络攻击时间这5个属性作为确定大规模网络攻击关联度的依据，所述攻击模式识别模块定义大规模网络攻击关联度函数的计算表达式为：

其中，a、b是不同的网络攻击行为；F_k表示网络中第k组安全态势数据之间的关联度；α_k表示网络中第k组安全态势数据的对应权重值；n是网络中特征属性的数量。通过对数据集的关联规则分析，提高感知的准确性。

S22.建立长短期记忆神经网络模型，通过输入网络安全态势数据进行网络攻击模式识别。长短期记忆神经网络模型在每组数据索引位置t的门一般包括输入门、遗忘门和输出门三种，如图2所示，其中，遗忘门中有两个隐藏状态h^(t)、C^(t)，C^(t)一般称为细胞状态。输入门用于输入待识别数据，即网络安全态势数据D；遗忘门以一定的概率控制是否遗忘上一层的隐藏细胞状态；输出门用于输出识别结果。将处理后的采集数据D＝{D¹，D²，...，Dⁿ}以时间为序列输入到长短期记忆神经网络模型中，数据维度为n。

输入门由两步组成，首先输入一组n维数据D，使用sigmoid激活函数f进行激活，输出为i^(t)，然后通过关联度函数输出a^(t)，用数学表达式即为：

其中，y^(t-1)为上一序列的输出，y⁽⁰⁾＝0；U_i，b_i为线性关系的系数和偏置，由系统自动设定；t为数组序列。利用攻击关联度函数作为激活函数，提高攻击模式的识别率。然后将输入门的输出传送给细胞状态C^(t)。

遗忘门的输入有上一序列的输出y^(t-1)和本序列数据D^(t)，通过激活函数f，得到遗忘门的输出o^(t)。由于输出o^(t)在[0，1]之间，因此输出o^(t)代表遗忘门上一层隐藏细胞状态的概率。用数学表达式即为：

o^(t)＝f(W_fh^(t-1)+U_fD^(t)+b_f)

其中，W_f，U_f，b_f为线性关系的系数和偏置，由系统自动设定。

细胞状态C^(t)由两部分组成，第一部分是上一序列的细胞状态C^(t-1)和遗忘门输出o^(t)的乘积，第二部分是输入门的输出i^(t)和a^(t)的乘积，即：

C^(t)＝C^(t-1)⊙f^(t)+i^(t)⊙a^(t)

其中，⊙为哈达玛积。将细胞状态C^(t)传送到输出门输出y^(t)＝C^(t)得到对应的网络攻击模式。

计算模型预测输出与实际结果的误差：

其中，

是期望输出结果。根据实际需求设置阈值ε，满足error＜ε则认为满足实际需求，训练完毕，得到大规模网络攻击模式识别模型，从而获得大规模网络攻击不同模式的相应报警集合，所述不同模式包括但不限于暴力破解、恶意软件、DDoS攻击等。根据实际情况进行设定，本发明在此不做限制。

S3.计算大规模网络攻击模式实现概率P(s)、大规模网络攻击模式利用的所有单个网络漏洞威胁得分Q和态势指标评估因子C，并通过BP神经网络对P(s)、Q以及大规模网络攻击模式发生的节点权重值W进行综合量化处理，得到网络安全态势预测。

S31.通过所述安全态势预测模块计算大规模网络攻击成功的概率为：

其中，P(a)表示大规模网络攻击发生的概率；US表示被入侵网络主机中存在的信息漏洞库。大规模网络攻击模式实现概率为：

其中，P_i(ac)和P_j(ac)分别表示大规模网络攻击行为i和j的成功入侵概率；d＝0表示网络攻击下的网络状态节点s为或节点；d＝1表示网络攻击下的网络状态节点s为与节点。

采用基于网络机密性、网络完整性和网络可用性三个指标评价的网络漏洞威胁得分来衡量单个网络漏洞对当前网络的影响，其威胁得分为：

Q＝ε(1-D)(1-J)(1-A)

其中，D、J、A分别表示网络机密性、网络完整性和网络可用性三个指标的网络漏洞威胁得分；ε为威胁因子。

S32.根据步骤S2识别得到的攻击模式计算不同攻击模式的态势指标评估因子，对安全态势指标数据D＝{D¹，D²，...，Dⁿ}进行加权融合实现安全态势感知结果的定量评估，首先根据指标重要程度之此构造判断矩阵：

其中，i＝1，2，...，n，j＝1，2，...，r，

表示安全态势指标数据的权重此，n和r是矩阵行和列的数量。计算指标的融合权重ω＝(ω₁，ω₂，...，ω_n)^T，取与矩阵A同阶的任意归一化初始向量

则有

a为任意正整数。对其进行归一化处理：

当

与

差的绝对值小于给定的阈值时，ω是矩阵A最大特征根对应的权重特征向量。则矩阵的最大特征根为：

当矩阵为一致性矩阵时，λ_max＝n，否则，λ_max＞n。对向量进行一致性检验，得到不同攻击模式的态势评估因子：

其中，C为态势指标评估因子；k是常数。

S33.大规模网络攻击的每一个攻击模式需要运用多个网络漏洞，将大规模网络攻击模式实现概率、大规模网络攻击模式利用的所有单个网络漏洞威胁得分、态势指标评估因子以及大规模网络攻击模式发生的节点权重值通过BP神经网络进行综合量化处理，可以得到网络攻击下不同攻击模式对当前网络安全态势的预测。

建立BP神经网络的网络安全态势预测模型，如图3所示。将网络安全态势指标D＝{D¹，D²，...，Dⁿ}作为网络输入，将大规模网络攻击模式实现概率P(s)、大规模网络攻击模式利用的所有单个网络漏洞威胁得分Q、态势指标评估因子C以及大规模网络攻击模式发生的节点权重值W作为BP神经网络的指标，将网络安全态势值作为神经网络的输出值，通过训练集训练后确定BP神经网络中各层的相关参数，形成完整的预测模型。BP神经网络包括一个输入层、一个隐含层和一个输出层。输入为经过数据处理后的采集数据，给定训练集X＝{(D₁，y₁)，(D₂，y₂)，...，(D_m，y_m)}，

是输入，i＝1，2，...，n，n为数据维度，l＝1，2，...，m，m为训练集共有m组数据，y_l是对应的输出，输入层有n个神经元，输出层有1个神经元，设立q个隐含层神经元，

为向上取整，δ是1-10的随机整数。神经网络的输入层第i个神经元与隐含层第h个神经元间的连接权为ω_ih，隐含层第h个神经元与输出层神经元间的连接权为v_h1，隐含层第h个神经元的输入为：

设立隐含层的激活函数为威胁得分函数Q，根据攻击模式选择对应的态势指标评估因子作为隐含层神经元的权值，并结合网络漏洞威胁得分得到隐含层的输出：

b_h＝Q(C*α_h)+WP(s)

运用大规模网络攻击模式实现概率P(s)、大规模网络攻击模式利用的所有单个网络漏洞威胁得分Q、态势指标评估因子C以及大规模网络攻击模式发生的节点权重值W作为激活函数参数，可以提高神经网络的学习性能，增加安全态势值的预测准确性。

输出层神经元的输出为：

其中，y即为预测得到的网络安全态势值，然后计算神经网络的输出误差：

是期望输出。当误差小于设定的误差阈值时，神经网络的训练精度达到要求，利用训练好的BP神经网络对测试数据集进行评估，得到网络安全态势预测值，能够更加准确的反应网络安全态势变化的本质，根据实际需求利用网络安全态势预测值进行安全等级划分，针对网络安全态势预测及时做出相应的对策，满足高速、智能、多源的网络安全需求。

综上所述，便完成了本发明所述的一种大规模网络安全态势智能预测方法。该方法具有较好的鲁棒性和实用性，全方位感知网络安全态势，基于数据集的关联规则分析，提高感知的准确性，通过引入大规模网络攻击模式实现概率、大规模网络攻击模式利用的所有单个网络漏洞威胁得分、态势指标评估因子以及大规模网络攻击模式发生的节点权重值，对其进行融合处理，能够更加准确的反应网络安全态势变化的本质，从而提高网络安全态势感知过程中的性能和效率。

以上所述仅为本发明的较佳实施例，并不用于限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (8)

1.一种大规模网络安全态势智能预测方法，其特征在于，包括以下步骤：

S1.采集网络安全态势数据，并对数据进行处理；

S2.计算大规模网络攻击关联度，建立长短期记忆神经网络模型对大规模网络攻击模式进行识别；

S3.计算大规模网络攻击模式实现概率P(s)、大规模网络攻击模式利用的所有单个网络漏洞威胁得分Q和态势指标评估因子C，并通过BP神经网络对P(s)、Q以及大规模网络攻击模式发生的节点权重值W进行综合量化处理，得到网络安全态势预测。

2.如权利要求1所述的大规模网络安全态势智能预测方法，其特征在于，所述步骤S1具体包括以下步骤：

S11.通过数据采集模块采集网络安全态势数据，所述网络安全态势数据S包括但不限于性能数据S¹、流量数据S²、配置数据S³、进程状态数据S⁴、报文字段数据S⁵和漏洞数据S⁶；所述性能数据S¹包括丢包率

服务请求

响应率

响应时间

…共C个反应网络性能的指标；所述流量数据S²包括连接状态字段

流入流出包数

请求服务IP统计

…共V个反应网络当前流量的数据；所述配置数据S³包括网络入口处防火墙日志

入侵检测日志

网络中关键主机日志

…共U个网络安全配置数据；所述进程状态数据S⁴包括CPU、内存使用量及进程的运行参数共Z个数据；所述报文字段数据S⁵包括源/目的IP

和端口

报文长度

载荷

和请求类型

......共R个数据；所述漏洞数据S⁶包括W个参数数据；用表达式对上述数据进行表示：

S12.由于所述数据采集模块得到的数据是异构的，所述数据处理模块对采集的网络安全态势数据进行清洗、归一化等处理；详细处理过程如下：

首先根据实际需求人为的对采集到的数据分别设置对应的数据阈值

其中

表示第i类数据的阈值最小值，

表示第i类数据的阈值最大值，使

剔除不必要的数据，得到新的网络安全态势数据矩阵：

其中，c、v、u、z、r、w分别为剔除后不同类别数据的数量；然后将不同类型的数据S＝{S¹，S²，...，Sⁿ}分别标准化：

其中，

是数据均值，n是采集的安全态势数据类型；对标准化后的数据进行归一化处理：

其中，(Sⁱ)′_max和(Sⁱ)′_min分别是第i类数据的最大值和最小值；最终得到处理后的数据矩阵：

3.如权利要求2所述的大规模网络安全态势智能预测方法，其特征在于，所述步骤S2具体包括以下步骤：

S21.选取网络源IP地址、大规模网络攻击的目的IP地址、网络源端口号、大规模网络攻击的目的端口号、大规模网络攻击时间这5个属性作为确定大规模网络攻击关联度的依据；

S22.建立长短期记忆神经网络模型，通过输入网络安全态势数据进行网络攻击模式识别；长短期记忆神经网络模型在每组数据索引位置t的门一般包括输入门、遗忘门和输出门三种，其中，遗忘门中有两个隐藏状态h^(t)、C^(t)，C^(t)一般称为细胞状态；输入门用于输入待识别数据，即网络安全态势数据D；遗忘门以一定的概率控制是否遗忘上一层的隐藏细胞状态；输出门用于输出识别结果，将处理后的采集数据D＝{D¹，D²，...，Dⁿ}以时间为序列输入到长短期记忆神经网络模型中，数据维度为n；

输入门由两步组成，首先输入一组n维数据D，使用sigmoid激活函数f进行激活，输出为i^(t)，然后通过关联度函数输出a^(t)，用数学表达式即为：

其中，y^(t-1)为上一序列的输出，y⁽⁰⁾＝0；U_i，b_i为线性关系的系数和偏置，由系统自动设定；t为数组序列，利用攻击关联度函数作为激活函数，提高攻击模式的识别率，然后将输入门的输出传送给细胞状态C^(t)；

遗忘门的输入有上一序列的输出y^(t-1)和本序列数据D^(t)，通过激活函数f，得到遗忘门的输出o^(t)；由于输出o^(t)在[0，1]之间，因此输出o^(t)代表遗忘门上一层隐藏细胞状态的概率；用数学表达式即为：

0^(t)＝f(W_fh^(t-1)+U_fx^(t)+b_f)

其中，W_f，U_f，b_f为线性关系的系数和偏置，由系统自动设定；

细胞状态C^(t)由两部分组成，第一部分是上一序列的细胞状态C^(t-1)和遗忘门输出o^(t)的乘积，第二部分是输入门的输出i^(t)和a^(t)的乘积，即：

C^(t)＝C^(t-1)⊙f^(t)+i^(t)⊙a^(t)

其中，⊙为哈达玛积；将细胞状态C^(t)传送到输出门输出y^(t)＝C^(t)得到对应的网络攻击模式；

计算模型预测输出与实际结果的误差：

其中，

是期望输出结果；根据实际需求设置阈值ε，满足error＜ε则认为满足实际需求，训练完毕，得到大规模网络攻击模式识别模型，从而获得大规模网络攻击不同模式的相应报警集合，所述不同模式包括但不限于暴力破解、恶意软件、DDoS攻击。

4.如权利要求3所述的大规模网络安全态势智能预测方法，其特征在于，所述步骤S21中，所述大规模网络攻击关联度函数的计算表达式为：

其中，a、b是不同的网络攻击行为；F_k表示网络中第k组安全态势数据之间的关联度；α_k表示网络中第k组安全态势数据的对应权重值；n是网络中特征属性的数量。

5.如权利要求4所述的大规模网络安全态势智能预测方法，其特征在于，所述步骤S3具体包括以下步骤：

S31.通过所述安全态势预测模块计算大规模网络攻击成功的概率为：

其中，P(a)表示大规模网络攻击发生的概率；US表示被入侵网络主机中存在的信息漏洞库；大规模网络攻击模式实现概率为：

其中，P_i(ac)和P_j(ac)分别表示大规模网络攻击行为i和j的成功入侵概率；d＝0表示网络攻击下的网络状态节点s为或节点；d＝1表示网络攻击下的网络状态节点s为与节点；

采用基于网络机密性、网络完整性和网络可用性三个指标评价的网络漏洞威胁得分来衡量单个网络漏洞对当前网络的影响，其威胁得分为：

Q＝ε(1-D)(1-J)(1-A)

其中，D、J、A分别表示网络机密性、网络完整性和网络可用性三个指标的网络漏洞威胁得分；ε为威胁因子；

S32.根据步骤S2识别得到的攻击模式计算不同攻击模式的态势指标评估因子，对安全态势指标数据D＝{D¹，D²，...，Dⁿ}进行加权融合实现安全态势感知结果的定量评估，首先根据指标重要程度之此构造判断矩阵：

其中，i＝1，2，...，n，j＝1，2，...，r，

表示安全态势指标数据的权重此，n和r是矩阵行和列的数量；计算指标的融合权重ω＝(ω₁，ω₂，...，ω_n)^T，取与矩阵A同阶的任意归一化初始向量

则有

q为任意正整数；对其进行归一化处理：

当

与

差的绝对值小于给定的阈值时，ω是矩阵A最大特征根对应的权重特征向量。则矩阵的最大特征根为：

当矩阵为一致性矩阵时，λ_max＝n，否则，λ_max＞n。对向量进行一致性检验，得到不同攻击模式的态势评估因子：

其中，C为态势指标评估因子；k是常数；

S33.大规模网络攻击的每一个攻击模式需要运用多个网络漏洞，将大规模网络攻击模式实现概率、大规模网络攻击模式利用的所有单个网络漏洞威胁得分、态势指标评估因子以及大规模网络攻击模式发生的节点权重值通过BP神经网络进行综合量化处理，可以得到网络攻击下不同攻击模式对当前网络安全态势的预测。

6.如权利要求5所述的大规模网络安全态势智能预测方法，其特征在于，所述步骤S33中BP神经网络的计算模型建立过程如下：

将网络安全态势指标D＝{D¹，D²，…，Dⁿ}作为网络输入，将大规模网络攻击模式实现概率P(s)、大规模网络攻击模式利用的所有单个网络漏洞威胁得分Q、态势指标评估因子C以及大规模网络攻击模式发生的节点权重值W作为BP神经网络的指标，将网络安全态势值作为神经网络的输出值，通过训练集训练后确定BP神经网络中各层的相关参数，形成完整的预测模型；

BP神经网络包括一个输入层、一个隐含层和一个输出层，输入为经过数据处理后的采集数据，给定训练集X＝{(D₁，y₁)，(D₂，y₂)，...，(D_m，y_m)}，

是输入，i＝1，2，..，n，n为数据维度，l＝1，2，...，m，m为训练集共有m组数据，y_l是对应的输出，输入层有n个神经元，输出层有1个神经元，设立q个隐含层神经元，

为向上取整，δ是1-10的随机整数；神经网络的输入层第I个神经元与隐含层第h个神经元间的连接权为ω_lh，隐含层第h个神经元与输出层神经元间的连接权为v_h1，隐含层第h个神经元的输入为：

设立隐含层的激活函数为威胁得分函数Q，根据攻击模式选择对应的态势指标评估因子作为隐含层神经元的权值，并结合网络漏洞威胁得分得到隐含层的输出：

b_h＝Q(C*α_h)+WP(s)

运用大规模网络攻击模式实现概率P(s)、大规模网络攻击模式利用的所有单个网络漏洞威胁得分Q、态势指标评估因子C以及大规模网络攻击模式发生的节点权重值W作为激活函数参数，可以提高神经网络的学习性能，增加安全态势值的预测准确性；

输出层神经元的输出为：

其中，y即为预测得到的网络安全态势值，然后计算神经网络的输出误差：

是期望输出，当误差小于设定的误差阈值时，神经网络的训练精度达到要求，利用训练好的BP神经网络对测试数据集进行评估，得到网络安全态势预测值，能够更加准确的反应网络安全态势变化的本质，根据实际需求利用网络安全态势预测值进行安全等级划分，针对网络安全态势预测及时做出相应的对策。

7.如权利要求1-6中任意一项所述的大规模网络安全态势智能预测方法，其特征在于，所基于的网络安全态势智能预测系统包括以下部分：

数据采集模块，所述数据采集模块，用于采集网络安全态势数据；

数据处理模块，所述数据处理模块，用于对采集的系统运行态势数据进行清洗、归一化处理；

存储模块，所述存储模块，用于存储处理后的网络安全态势数据和识别结果；

攻击模式识别模块，所述攻击模式识别模块，用于计算网络攻击之间的关联度，建立长短期记忆神经网络模型对大规模网络攻击模式进行识别；

安全态势预测模块，所述安全态势预测模块，用于计算大规模网络攻击模式实现概率P(s)、大规模网络攻击模式所有单个网络漏洞威胁得分Q、态势指标评估因子C等模型参数，建立BP神经网络对网络安全态势进行预测。

8.如权利要求7所述的大规模网络安全态势智能预测方法，其特征在于，所述网络安全态势智能预测系统的运行流程为：

所述数据采集模块将采集的网络安全态势数据通过数据连接的方式发送给所述数据处理模块；所述数据处理模块对采集的数据进行清洗、归一化处理，将处理后的数据发送给模型创建模块和存储模块；所述模型创建模块建立基于信息融合的大规模网络攻击下的网络安全态势评估模型，计算大规模网络攻击关联度，然后将关联度通过数据连接的方式发送给所述安全态势预测模块；所述攻击模式识别模块建立长短期记忆神经网络模型对大规模网络攻击模式进行识别，将识别的攻击模式发送给所述安全态势预测模块；所述安全态势预测模块计算大规模网络攻击模式实现概率P(s)、大规模网络攻击模式所有单个网络漏洞威胁得分Q、态势指标评估因子C等模型参数，利用BP神经网络对网络安全态势进行预测。

Images