一种多维度的网络安全综合预警方法和系统

1.本发明提出了一种多维度的网络安全综合预警方法和系统，属于网络安全技术领域。


背景技术：

2.随着网络信息技术的飞速发展，网络安全漏洞、隐患告发，网络攻击的频度、烈度不断加剧，在外部威胁严重到一定程度、网络安全事件发生过程中，如果基于海量网络安全日志，是否需要在一定范围内，针对目标用户受众发布网络安全预警是一项需要综合多种要素，做出决策判断的工作。然而一方面网络安全预警工作持续发展变化，另一方面技术研究领域多偏重于用告警替代预警导致网络安全预警工作者无所适从。因此，有必要从多维度对网络资产、保护目标面临的威胁状况，网络安全事件发展到某特定阶段对网络安全影响，特定时期网络综合安全状况进行分析计算，依据国家标准设定指标体系，进行网络安全监测预警模型的研究，综合采用定性和定量计算手段进行预警指数计算、预警级别判定，为网络安全预警发布提供决策依据和支持。
3.目前的网络安全预警相关领域涉及网络安全威胁攻击检测产生的告警，该类信息距离实际网络安全预警还有很大差距，需要配合模型计算方能进入预警判定阶段；网络安全攻击预测常基于历史攻击信息，采用聚类分析、关系挖掘、特征分析等技术手段，对网络攻击下一步动作进行预测，具有一定的参考性，但仍未达到网络安全预警研判范畴。有必要综合网络安全时空大数据进行网络安全预警模型的研究，从网络资产易感、威胁攻击影响面、网络安全综合状况等进行深度的画像、指标提取和计算，方能有效帮助网络安全预警相关工作人员开展预警发布、预警级别判定，跟踪从预警发布至预警解除的全过程。


技术实现要素：

4.本发明提出了一种多维度的网络安全综合预警方法，将网络安全事件、资产多维画像、威胁情报等信息有机结合，从安全事件预警、资产易感预警、攻击影响面预警等多维度构建网络安全预警模型，对网络环境安全状况进行综合预警。
5.为实现上述目的，本发明提出一种多维度的网络安全综合预警方法，包含以下步骤：
6.采集多源异构网络安全大数据，对采集的数据进行数据预处理操作，使其符合后续模型分析需求；
7.利用采集的多源异构网络安全大数据构建多维度网络安全预警模型，对当前网络安全状况进行多维度刻画；
8.基于构建的多维度网络安全预警模型，构建综合警情预警模型，对当前网络安全状况进行综合预警；
9.基于构建的综合警情预警模型，结合具体业务需求，开展预警信息发布、跟踪、升降级、处置、解除预警的业务流程。
10.进一步地，所述数据预处理操作包括对数据进行补全、去重、修正、归一化等操作。
11.进一步地，所述构建多维度网络安全预警模型，包括以下步骤：
12.构建基于随机森林算法的安全事件等级预警模型：基于安全事件的攻击漏洞、攻击目标、损害程度等多维信息，构建网络安全事件等级预警指标体系，并基于专家系统为指标设定权重；基于历史经验与指标体系，人工标注历史安全事件的预警等级，形成模型训练样本；随机且有放回地从中抽取部分样本作为每棵决策树的样本集，并以这些样本集为基础训练随机森林分类器，构建安全事件等级预警模型；
13.构建资产易感等级预警模型：根据网络资产基本信息、脆弱性信息、资产威胁列表等信息，抽取资产特征，构成特征向量，可将其表示为ai＝{a
i1
,a
i2
,...,a
in
}，其中a
i1
到a
in
代表编号为i的资产的第一个到第n个属性，实现对网络资产进行多维画像；构建资产易感级别判定规则库，根据资产易感级别判定规则库构建资产易感等级预警模型；
14.构建基于知识图谱的攻击影响面预警模型：明确影响预警的维度，主要包括影响行业、地域、操作系统、服务和端口、资产类型等方面；构建影响面信息知识图谱；构建基于知识图谱的各维度影响程度推理模型；根据该推理模型推理得出事件的影响地区、影响行业、影响系统、影响趋势等预警影响面信息。
15.进一步地，所述构建综合警情预警模型，包括以下步骤：
16.构建基于图算法的资产综合易感预警模型：基于资产易感等级预警模型的网络环境中资产的易感数据，结合pagerank等图算法，为在网络拓扑中的各资产节点分配资产重要程度权重，推理计算得出当前网络环境中所有资产的综合易感预警等级，输出当前网络综合易感状况预警信息；
17.构建基于阈值动态自适应算法的综合警情预警模型：基于安全事件等级预警数据、资产易感等级预警数据、攻击影响面预警数据，构建综合预警指标体系、确定指标权重、并为预警指标赋值；基于阈值动态自适应算法，计算网络安全综合警情指数，对当前系统受到攻击的频繁程度与严重程度发出综合预警信息；
18.构建基于lstm神经网络的网络安全警情趋势预警模型：以每日攻击事件、资产易感状况等作为特征输入，将每日综合警情指数得分作为标注结果，形成训练数据集，构建并训练lstm神经网络，对未来网络安全状态发展趋势进行预警。
19.基于同一发明构思，本发明还提供一种采用上述方法的多维度的网络安全综合预警系统，其包括：
20.数据采集与预处理模块，用于采集多源异构网络安全大数据，对采集的数据进行数据预处理操作，使其符合后续模型分析需求；
21.多维度网络安全预警模型构建模块，用于构建多维度网络安全预警模型，对当前网络安全状况进行多维度刻画；
22.综合警情预警模型构建模块，用于基于构建的多维度网络安全预警模型，构建综合警情预警模型，对当前网络安全状况进行综合预警；
23.预警业务流程执行模块，用于基于构建的综合警情预警模型，结合具体业务需求，执行预警信息发布、跟踪、升降级、处置、解除预警的全过程业务流程。
24.本发明针对网络安全数据多维度、多角度的特点，结合已有的网络安全领域标准规范，通过构建多维度网络安全预警模型与综合预警指数模型，详细刻画当前网络安全状
况，可以有效帮助网络安全管理人员从宏观上把控网络安全状况，并作出相关预警响应。
附图说明
25.图1是本发明的一种多维度的网络安全综合预警方法的流程图。
26.图2是构建多维度网络安全预警模型的流程图。
27.图3是构建综合警情预警模型的流程图。
具体实施方式
28.为使本发明的技术方案能更明显易懂，特举实施例并结合附图详细说明如下。
29.步骤1：数据采集与预处理
30.网络安全数据包括安全事件数据、资产多维画像与威胁情报数据，预处理过程去除多源数据集中的噪声数据和无关数据，处理数据集中可能出现的遗漏问题和数据集中的脏数据，具体内容包括对残缺数据、异常数据的处理，平滑噪声数据，识别、删除孤立点，解决数据的不一致性问题，以提高采集数据的质量，保证采集数据的完整性、准确性。数据清洗包括但不限于以下几点：
31.1)应支持采集数据的数据中缺失值的处理，如由于设备故障问题而导致采集数据缺失，或在输入时有些数据因为得不到重视而没有被输入；
32.2)应支持采集数据的异常数据处理，异常数据包括重复数据和错误数据，在对多个数据源进行合并时可能会出现重复数据，错误数据可能由于业务系统不够健全，在接收输入后没有进行判断直接写入后台数据库，在一个测量变量中引入随机错误或偏差，如日期格式不准确；
33.3)应支持采集数据的格式内容清洗，来自多个数据源的数据可能在数据表结构定义或者字段类型上存在差异，在整合多来源数据时需要将其处理成一致的格式；
34.4)应支持采集数据的非需求数据清洗，为了避免数据的冗余，在进行对平台业务的合理评估之后，需要对采集数据中的非需求数据进行删除。
35.步骤2：构建多维度网络安全预警模型
36.本实施例依据了相关的网络安全领域相关标准规范，如iso/iec 27000信息安全管理体系标准族、网络安全威胁信息格式规范gb/t36643-2018、信息安全技术术语gb/t25069-2019、信息安全技术网络攻击定义及描述规范gb/t37027-2018、以及部分公共安全行业标准等，从而确定网络安全领域核心本体、概念和术语，建立网络安全知识本体模型，并明确属性集合。
37.例如：
38.(1)网络资产：包括网络空间中的各种硬件设备、软件设备、网络环境、虚拟人员等。
39.(2)脆弱性：包括漏洞脆弱性、弱点脆弱性，如漏洞、系统配置、防护软件等。
40.(3)网络攻击：包括攻击者、攻击方式、利用工具、攻击事件、攻击后果等。其中攻击者包括个人、团体或黑客组织；攻击方式包括攻击使用的手段，如拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、高级威胁事件、其他网络攻击事件；利用工具包括正常软件和恶意软件。
41.具体模型构建方法包括：
42.1)构建基于随机森林算法的安全事件等级预警模型
43.本发明参照《gb/t 32924-2016信息安全技术网络安全预警指南》划分网络安全事件预警等级：红色预警(i级预警)、橙色预警(ⅱ级预警)、黄色预警(ⅲ级预警)、蓝色预警(ⅳ级预警)。为构建基于随机森林算法的安全事件等级预警模型，首先在《gb/t 32924-2016信息安全技术网络安全预警指南》中对网络安全保护对象重要程度的判定标准以及网络安全保护对象可能受到损害程度的判定标准的基础上，结合实际业务需求与特点，构建初步的网络安全事件等级预警指标体系，并在此根据专家系统确定各项指标的权重。然后基于指标体系对历史安全事件数据集进行数据标注，对为每一个安全事件匹配其影响的资产重要程度，每一个安全事件影响的每一个资产作为一个二元组(ci,aj)存入训练样本数据库，其中ci代表安全事件i的损害程度，aj代表资产j的重要程度，进而根据《gb/t 32924-2016信息安全技术网络安全预警指南》的判定标准根据网络安全保护对象重要程度与网络安全保护对象可能受到损害程度计算得出网络安全事件预警等级。
44.基于标注完成的数据集，构建基于随机森林算法的安全事件等级预警模型。每次从中随机且有放回地抽取一部分样本作为随机森林中一棵决策树的训练集，决策树的输入为安全事件与资产二元组的属性，如利用漏洞、攻击途径、端口与服务信息等特征信息；同时为了保证随机森林具有更好的抗噪能力(即对缺省值不敏感)，每棵决策树的选取的特征子集大小应远小于样本的总特征维度。最后由所有训练好的决策树构成随机森林，对之后的输入的每一个安全事件，由所有决策树进行投票决定其预警等级分类。投票方式：每棵决策树返回对所有的结果的概率评估，最后统计所有决策树对每种结果的概率评估的平均值，并选择概率最高的结果作为随机森林的输出。
45.2)构建资产易感等级预警模型
46.首先统计所有资产的安全属性，并转化为资产的特征向量，具体表述ai＝{a
i1
,a
i2
,...,a
in
}，其中a
i1
到a
in
代表编号为i的资产的第一个到第n个属性，如权限等级、漏洞数量、可影响设备数量等。本实施例选择{ri,di,vi,pi,ti}作为资产的特征向量，其中ri表示资产i所在网络系统面临的风险，di表示资产i受到攻击后结果的严重性，vi表示资产i所在系统的脆弱性概率，pi表示资产i受到攻击的相对概率，ti表示资产i的重要程度。其中相对攻击概率pi可表示为而风险可表示为系统脆弱性、结果严重性、攻击概率三者之积，即ri＝v
idi
pi，由此求偏导可知，由此可见，ri与vi、di、pi成线性关系。根据上述特征向量结构，为所有资产进行网络安全画像。
47.然后组织专家基于特征提取构建资产易感级别判定规则库，并在此基础上构建基于规则库与情报库的资产易感等级预警模型，判定网络资产的易感等级。
48.其中，构建资产易感级别判定规则库，是指为上述资产属性人工配置指标权重，并结合实际需要，设计资产易感预警等级计算公式。
49.其中，构建基于规则库与情报库的资产易感等级预警模型，是指利用事先构建的资产与安全事件情报库，计算资产的各项安全属性，并基于构建的资产易感级别判定规则库中的指标权重与计算公式，计算并输出资产易感预警等级。
50.3)构建基于知识图谱的攻击影响面预警模型
51.攻击影响面包括影响行业、地域、操作系统、服务和端口、资产类型等方面，本专利采用知识图谱存储并推理攻击事件可能影响的范围，并以此为基础构建攻击影响面模型。
52.知识图谱是由结构化的知识组成的，而知识可表述为由主体、谓语、客体构成的三元组。本实施例的知识图谱通过构建安全事件利用的漏洞信息(安全事件id，“利用”，漏洞id)、漏洞所属操作系统(漏洞id，“属于”，操作系统)、漏洞所属服务与端口(漏洞id，“属于”，服务名或的端口号)、行业常用操作系统(行业名称，“使用”，操作系统)等三元组，从而构造出一个攻击事件影响面的推理路径，其中推理逻辑使用一阶谓词逻辑。然后基于该知识图谱构建各维度影响程度推理模型，推理出安全事件的可能影响范围，并评估各维度影响程度，输出影响面预警结果，包括影响地区、影响行业、影响系统、影响趋势等预警影响面信息。
53.步骤3：构建综合警情预警模型
54.具体模型构建方法如下：
55.1)构建基于图算法的资产综合易感预警模型
56.资产通常通过网络相互连接，所有的资产构成一个整体局域网。本实施例采用pagerank算法计算资产在当前网络系统中拓扑结构上的重要程度权重，其中每个节点(资产)的重要程度权重可表示为其能直接影响的节点的重要程度权重的加权平均。具体表述为其中pr(a)代表节点a的重要程度权重，ai代表节点a可以直接影响到的所有节点，l(ai)代表可以影响节点ai的节点数量。该过程需先将任意一个节点的重要程度权重设置为非零，然后不断迭代至所有节点的重要程度权重收敛。
57.得到资产重要程度权重后，结合前文计算得到的单一资产易感等级，加权平均计算出资产综合易感预警等级作为模型输出。
58.2)构建基于阈值动态自适应算法的综合警情预警模型
59.综合警情预警模型以单一资产易感等级、单一安全事件预警等级和攻击事件影响面作为模型输入。由于安全事件往往呈周期性密集分布，综合警情预警模型的输出可能会出现较大波动，因此需引入动态自适应阈值来限定预警模型输出。
60.本实施例中定义近期网络安全脆弱性因子作为动态自适应阈值，该因子代表最近i个安全事件内的综合风险水平，其中ei代表安全事件i的预警指数，ci代表受其影响的资产易感预警指数的加权平均。以此为根据，定义网络安全综合警情指数其中m为预先设定的目标安全事件数量(比如5)，kr即为综合警情预警模型的输出。
61.3)构建基于lstm神经网络的网络安全警情趋势预警模型
62.时序性未来影响趋势模型基于lstm神经网络建立，该模型以每日攻击事件、资产易感状况等作为输入，输出对未来下一个或若干个时间节点警情级别的预测。lstm神经网络的基本原理是利用上一个时刻学习到的信息进行当前时刻的学习，本实施例中将过去n
个时间节点的近期综合警情指数kr表述为{k1,k2,k3,...,kn}，模型预期输出k
n+1
，则长时记忆c
t
＝f
t
*c
t-1
+i
t
*c
t
，其中f
t
代表遗忘门系数，i
t
＝σ(wi·
[h
t-1
,k
t
]+bi)表示当前输入门；短时记忆h
t
＝o
t
*tanh(c
t
)，其中o
t
＝σ(wo·
[h
t-1
,k
t
]+bo)表示输出门。其中，c
t-1
表示t-1时刻长时记忆，h
t-1
表示t-1时刻短时记忆，wi、bi表示输入门的权重矩阵与偏置项，σ表示sigmoid函数，wo、bo表示输出门的权重矩阵与偏置项。由此循环迭代得到对t+1时刻的预测k
t+1
即为模型输出。
[0063]
步骤4：执行预警业务流程
[0064]
结合具体业务需求，基于多种预警模型输出，执行预警信息发布、跟踪、升降级、处置、解除预警的全过程业务流程。
[0065]
基于同一发明构思，本发明的另一实施例提供一种采用上述方法的多维度的网络安全综合预警系统，其包括：
[0066]
数据采集与预处理模块，用于采集多源异构网络安全大数据，对采集的数据进行数据预处理操作，使其符合后续模型分析需求；
[0067]
多维度网络安全预警模型构建模块，用于构建多维度网络安全预警模型，对当前网络安全状况进行多维度刻画；
[0068]
综合警情预警模型构建模块，用于基于构建的多维度网络安全预警模型，构建综合警情预警模型，对当前网络安全状况进行综合预警；
[0069]
预警业务流程执行模块，用于基于构建的综合警情预警模型，结合具体业务需求，执行预警信息发布、跟踪、升降级、处置、解除预警的全过程业务流程。
[0070]
基于同一发明构思，本发明的另一实施例提供一种电子装置(计算机、服务器、智能手机等)，其包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行本发明方法中各步骤的指令。
[0071]
基于同一发明构思，本发明的另一实施例提供一种计算机可读存储介质(如rom/ram、磁盘、光盘)，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现本发明方法的各个步骤。
[0072]
以上公开的本发明的具体实施例，其目的在于帮助理解本发明的内容并据以实施，本领域的普通技术人员可以理解，在不脱离本发明的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例所公开的内容，本发明的保护范围以权利要求书界定的范围为准。

技术特征：
1.一种多维度的网络安全综合预警方法，其特征在于，包括以下步骤：采集多源异构网络安全大数据，对采集的数据进行数据预处理操作，使其符合后续模型分析需求；构建多维度网络安全预警模型，对当前网络安全状况进行多维度刻画；基于构建的多维度网络安全预警模型，构建综合警情预警模型，对当前网络安全状况进行综合预警；基于构建的综合警情预警模型，结合具体业务需求，执行预警信息发布、跟踪、升降级、处置、解除预警的全过程业务流程。2.如权利要求1所述的方法，其特征在于，所述多源异构网络安全大数据包括安全事件数据、资产多维画像与威胁情报数据，所述数据预处理去除多源数据集中的噪声数据和无关数据，处理数据集中可能出现的遗漏问题和数据集中的脏数据，包括对残缺数据、异常数据的处理，平滑噪声数据，识别、删除孤立点，解决数据的不一致性问题，以提高采集数据的质量，保证采集数据的完整性、准确性。3.如权利要求1所述的方法，其特征在于，所述构建多维度网络安全预警模型的步骤包括：构建基于随机森林算法的安全事件等级预警模型；构建资产易感等级预警模型；构建基于知识图谱的攻击影响面预警模型。4.如权利要求3所述的方法，其特征在于，所述构建基于随机森林算法的安全事件等级预警模型，包括：基于安全事件的包含攻击漏洞、攻击目标、损害程度的多维信息，构建网络安全事件等级预警指标体系，并基于专家系统为指标设定权重；基于历史经验与指标体系，人工标注历史安全事件的预警等级，形成模型训练样本；随机且有放回地从中抽取部分样本作为每棵决策树的样本集，并以这些样本集为基础训练随机森林分类器，构建安全事件等级预警模型；所述构建资产易感等级预警模型，包括：根据网络资产基本信息、脆弱性信息、资产威胁列表，抽取资产特征，构成特征向量，将其表示为a
i
＝{a
i1
,a
i2
,...,a
in
}，其中a
i1
到a
in
代表编号为i的资产的第一个到第n个属性，实现对网络资产进行多维画像；构建资产易感级别判定规则库，根据资产易感级别判定规则库构建资产易感等级预警模型；所述构建基于知识图谱的攻击影响面预警模型，包括：明确影响预警的维度，主要包括影响行业、地域、操作系统、服务和端口、资产类型；构建影响面信息知识图谱；构建基于知识图谱的各维度影响程度推理模型；根据该推理模型推理得出事件的预警影响面信息，包括影响地区、影响行业、影响系统、影响趋势。5.如权利要求4所述的方法，其特征在于，所述构建综合警情预警模型的步骤包括：构建基于图算法的资产综合易感预警模型；构建基于阈值动态自适应算法的综合警情预警模型；构建基于lstm神经网络的网络安全警情趋势预警模型。6.如权利要求5所述的方法，其特征在于，所述构建基于图算法的资产综合易感预警模型，包括：基于资产易感等级预警模型的网络环境中资产的易感数据，结合pagerank图算法，为在网络拓扑中的各资产节点分配资产重要程度权重，推理计算得出当前网络环境中
所有资产的综合易感预警等级，输出当前网络综合易感状况预警信息；所述构建基于阈值动态自适应算法的综合警情预警模型，包括：基于安全事件等级预警数据、资产易感等级预警数据、攻击影响面预警数据，构建综合预警指标体系、确定指标权重、并为预警指标赋值；基于阈值动态自适应算法，计算网络安全综合警情指数，对当前系统受到攻击的频繁程度与严重程度发出综合预警信息；所述构建基于lstm神经网络的网络安全警情趋势预警模型，包括：以每日攻击事件、资产易感状况作为特征输入，将每日综合警情指数得分作为标注结果，形成训练数据集，构建并训练lstm神经网络，对未来网络安全状态发展趋势进行预警。7.如权利要求1所述的方法，其特征在于，结合具体业务需求，基于所述综合警情预警模型中多种预警模型输出，执行预警信息发布、跟踪、升降级、处置、解除预警的全过程业务流程。8.一种采用权利要求1～7中任一权利要求所述方法的多维度的网络安全综合预警系统，其特征在于，包括：数据采集与预处理模块，用于采集多源异构网络安全大数据，对采集的数据进行数据预处理操作，使其符合后续模型分析需求；多维度网络安全预警模型构建模块，用于构建多维度网络安全预警模型，对当前网络安全状况进行多维度刻画；综合警情预警模型构建模块，用于基于构建的多维度网络安全预警模型，构建综合警情预警模型，对当前网络安全状况进行综合预警；预警业务流程执行模块，用于基于构建的综合警情预警模型，结合具体业务需求，执行预警信息发布、跟踪、升降级、处置、解除预警的全过程业务流程。9.一种电子装置，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1～7中任一权利要求所述方法的指令。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现权利要求1～7中任一权利要求所述的方法。

技术总结
本发明提出了一种多维度的网络安全综合预警方法和系统。该方法包括：首先，采集多源异构网络安全大数据，对数据进行预处理操作，使其符合后续模型分析需求；其次，构建多维度网络安全预警模型，对当前网络安全状况进行多维度刻画；然后，基于多维度网络安全预警模型，构建综合警情预警模型，对当前网络安全状况进行综合预警；最后，结合具体业务需求，进行预警信息发布、跟踪、升降级、处置、解除预警的业务流程。本发明基于网络安全时空大数据构建网络安全预警模型，从网络资产易感、威胁攻击影响面、网络安全综合状况等进行深度的画像、指标提取和计算，对网络环境安全状况进行综合预警，能够有效帮助网络安全预警相关工作人员做出决策判断。策判断。策判断。


技术研发人员：田润 刘倩 张海霞 连一峰 黄克振 彭媛媛
受保护的技术使用者：中国科学院软件研究所
技术研发日：2022.02.17
技术公布日：2023/8/31