本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法及系統(tǒng)。

背景技術(shù)：

隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的規(guī)模和復雜性不斷增大。為了應對越來越復雜的網(wǎng)絡(luò)攻擊手段，需要充分考慮各個安全節(jié)點之間的關(guān)聯(lián)和動態(tài)，從而支持更全面的安全防護。然而，傳統(tǒng)的一些安全檢測預警技術(shù)，例如防火墻技術(shù)、入侵檢測技術(shù)等，僅限于對單一方面的防護，缺乏對網(wǎng)絡(luò)全局的準確監(jiān)控。針對這個問題，網(wǎng)絡(luò)安全態(tài)勢感知在融合海量安全數(shù)據(jù)信息的基礎(chǔ)上，從宏觀全局的角度判斷系統(tǒng)的安全狀況，并且評估系統(tǒng)的安全變化趨勢。網(wǎng)絡(luò)安全態(tài)勢感知綜合考慮了各種防護措施之間的關(guān)聯(lián)性，對安全威脅行為進行更精確的描述。

網(wǎng)絡(luò)安全態(tài)勢感知模型的過程主要表現(xiàn)為三級模型。第一級是網(wǎng)絡(luò)安全態(tài)勢要素的獲取，jajodia等和wang等采集網(wǎng)絡(luò)的脆弱性信息系統(tǒng)來評估網(wǎng)絡(luò)的脆弱性態(tài)勢；ning等通過采集網(wǎng)絡(luò)的警報信息來評估網(wǎng)路的威脅性態(tài)勢；王娟等人提出了一種網(wǎng)絡(luò)安全指標體系，根據(jù)不同層次、不同信息來源、不同需求提煉了4個表征宏觀網(wǎng)絡(luò)性質(zhì)的二級綜合性指標，并擬定了20多個一級指標構(gòu)建網(wǎng)絡(luò)安全指標體系，通過網(wǎng)絡(luò)安全指標體系需要提取的所有網(wǎng)絡(luò)安全態(tài)勢要素。第二級是網(wǎng)絡(luò)安全態(tài)勢要素的理解和評估，網(wǎng)絡(luò)安全態(tài)勢評估主要分析信息之間的關(guān)聯(lián)性，對數(shù)據(jù)信息進行融合，從宏觀角度考慮網(wǎng)絡(luò)安全的整體性。針對這個問題，主要分成基于邏輯關(guān)系的融合方法，基于數(shù)學模型的融合方法，基于概率統(tǒng)計的融合方法及基于規(guī)則推理的融合方法。警報關(guān)聯(lián)是典型的基于邏輯關(guān)系的融合方法?；跀?shù)學模型的融合方法需要構(gòu)造評定函數(shù)，而最具代表的評定函數(shù)是加權(quán)平均。貝葉斯網(wǎng)絡(luò)、隱馬爾科夫模型是最常見的基于概率統(tǒng)計的融合方法，李偉生等根據(jù)網(wǎng)絡(luò)安全態(tài)勢和安全事件之間的不同的關(guān)聯(lián)性建立態(tài)勢評估的貝葉斯網(wǎng)絡(luò)模型，并給出相應的信息傳播算法，以安全事件的發(fā)生為觸發(fā)點，根據(jù)相應的信息傳播算法評估網(wǎng)絡(luò)的安全態(tài)勢。目前d-s證據(jù)組合方法和模糊邏輯是基于規(guī)則推理的融合方法中的常見方法，rao等利用模糊邏輯與貝葉斯網(wǎng)絡(luò)相結(jié)合的方法，對多源數(shù)據(jù)信息進行處理，生成宏觀態(tài)勢圖。第三級是網(wǎng)絡(luò)安全態(tài)勢要素的預測。目前網(wǎng)絡(luò)安全態(tài)勢預測主要采用神經(jīng)網(wǎng)絡(luò)、時間序列預測和支持向量機等方法。

網(wǎng)絡(luò)安全設(shè)備提供的信息，在一定程度上是包含大量的不確定性信息，而安全態(tài)勢評估需要利用這些信息進行推理。在現(xiàn)有的技術(shù)中，基于邏輯的方法不能很好地解決這種不確定性。另外，基于概率推理的方法需要大量的訓練樣本，工作量非常大，實踐中難以獲取，且無法利用領(lǐng)域的背景知識。

技術(shù)實現(xiàn)要素：

為了解決上述技術(shù)問題，本發(fā)明的目的是提供一種能有效提高準確率的一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法及系統(tǒng)。

本發(fā)明所采取的技術(shù)方案是：

一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法，包括以下步驟：

采集特定網(wǎng)絡(luò)空間中的資產(chǎn)信息數(shù)據(jù)；

對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理，并構(gòu)建訓練網(wǎng)絡(luò)空間安全態(tài)勢感知模型；

根據(jù)網(wǎng)絡(luò)空間安全姿態(tài)感知模型和當前網(wǎng)絡(luò)空間中的實際數(shù)據(jù)，對當前的網(wǎng)絡(luò)空間安全態(tài)勢進行評估；

根據(jù)網(wǎng)絡(luò)空間的安全態(tài)勢評估結(jié)果，對未來的網(wǎng)絡(luò)空間安全態(tài)勢進行預測，得到安全態(tài)勢預測結(jié)果。

作為所述的一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法的進一步改進，還包括以下步驟：

將當前網(wǎng)絡(luò)空間的資產(chǎn)信息數(shù)據(jù)、安全態(tài)勢評估結(jié)果和安全態(tài)勢預測結(jié)果進行可視化展示。

作為所述的一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法的進一步改進，所述的對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理，并構(gòu)建訓練網(wǎng)絡(luò)空間安全態(tài)勢感知模型，這一步驟具體包括：

根據(jù)采集到的資產(chǎn)信息數(shù)據(jù)，提取對應的謂詞和變量；

根據(jù)資產(chǎn)信息數(shù)據(jù)中的異常事件數(shù)據(jù)和正常數(shù)據(jù)對應的謂詞，構(gòu)建模型的訓練數(shù)據(jù)集；

將特定網(wǎng)絡(luò)空間的背景知識轉(zhuǎn)化為對應的一階邏輯規(guī)則；

根據(jù)訓練數(shù)據(jù)集和一階邏輯規(guī)則進行權(quán)重學習，建立基于mln的網(wǎng)絡(luò)空間安全態(tài)勢感知模型，并將建立得到的網(wǎng)絡(luò)空間安全態(tài)勢感知模型存入數(shù)據(jù)庫中。

作為所述的一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法的進一步改進，所述的根據(jù)網(wǎng)絡(luò)空間安全姿態(tài)感知模型和當前網(wǎng)絡(luò)空間中的實際數(shù)據(jù)，對當前的網(wǎng)絡(luò)空間安全態(tài)勢進行評估，這一步驟具體包括：

采集當前網(wǎng)絡(luò)空間中的實際數(shù)據(jù)；

對實際數(shù)據(jù)提取對應的謂詞和變量，得到謂詞數(shù)據(jù)集；

根據(jù)謂詞數(shù)據(jù)集和網(wǎng)絡(luò)空間安全態(tài)勢感知模型，進行最大后驗概率估計，得出安全態(tài)勢評估結(jié)果。

本發(fā)明所采用的另一技術(shù)方案是：

一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測系統(tǒng)，包括：

數(shù)據(jù)采集模塊，用于采集特定網(wǎng)絡(luò)空間中的資產(chǎn)信息數(shù)據(jù)；

態(tài)勢理解模塊，用于對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理，并構(gòu)建訓練網(wǎng)絡(luò)空間安全態(tài)勢感知模型；

態(tài)勢評估模塊，用于根據(jù)網(wǎng)絡(luò)空間安全姿態(tài)感知模型和當前網(wǎng)絡(luò)空間中的實際數(shù)據(jù)，對當前的網(wǎng)絡(luò)空間安全態(tài)勢進行評估；

態(tài)勢預測模塊，用于根據(jù)網(wǎng)絡(luò)空間的安全態(tài)勢評估結(jié)果，對未來的網(wǎng)絡(luò)空間安全態(tài)勢進行預測，得到安全態(tài)勢預測結(jié)果。

作為所述的一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測系統(tǒng)的進一步改進，還包括：

可視化展示模塊，用于將當前網(wǎng)絡(luò)空間的資產(chǎn)信息數(shù)據(jù)、安全態(tài)勢評估結(jié)果和安全態(tài)勢預測結(jié)果進行可視化展示。

作為所述的一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測系統(tǒng)的進一步改進，所述態(tài)勢理解模塊具體包括：

提取模塊，用于根據(jù)采集到的資產(chǎn)信息數(shù)據(jù)，提取對應的謂詞和變量；

訓練數(shù)據(jù)集構(gòu)建模塊，用于根據(jù)資產(chǎn)信息數(shù)據(jù)中的異常事件數(shù)據(jù)和正常數(shù)據(jù)對應的謂詞，構(gòu)建模型的訓練數(shù)據(jù)集；

規(guī)則轉(zhuǎn)化模塊，用于將特定網(wǎng)絡(luò)空間的背景知識轉(zhuǎn)化為對應的一階邏輯規(guī)則；

模型建立模塊，用于根據(jù)訓練數(shù)據(jù)集和一階邏輯規(guī)則進行權(quán)重學習，建立基于mln的網(wǎng)絡(luò)空間安全態(tài)勢感知模型，并將建立得到的網(wǎng)絡(luò)空間安全態(tài)勢感知模型存入數(shù)據(jù)庫中。

作為所述的一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測系統(tǒng)的進一步改進，所述態(tài)勢評估模塊具體包括：

實際數(shù)據(jù)采集模塊，用于采集當前網(wǎng)絡(luò)空間中的實際數(shù)據(jù)；

謂詞數(shù)據(jù)集提取模塊，用于對實際數(shù)據(jù)提取對應的謂詞和變量，得到謂詞數(shù)據(jù)集；

評估結(jié)果計算模塊，用于根據(jù)謂詞數(shù)據(jù)集和網(wǎng)絡(luò)空間安全態(tài)勢感知模型，進行最大后驗概率估計，得出安全態(tài)勢評估結(jié)果。

本發(fā)明的有益效果是：

本發(fā)明一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法及系統(tǒng)中通過應用馬爾科夫邏輯網(wǎng)絡(luò)，能很容易地利用一階邏輯規(guī)則來表示對象和對象屬性它們之間的聯(lián)系。而且本發(fā)明使用的方法中通過引入背景知識，對網(wǎng)絡(luò)空間中的對象關(guān)系把握更準確，從而有效提高評估的準確率。

附圖說明

下面結(jié)合附圖對本發(fā)明的具體實施方式作進一步說明：

圖1是本發(fā)明一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法的步驟流程圖；

圖2是本發(fā)明一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法中態(tài)勢理解的步驟流程圖；

圖3是本發(fā)明一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法中態(tài)勢評估的步驟流程圖；

圖4是本發(fā)明一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測系統(tǒng)的模塊方框圖。

具體實施方式

參考圖1，本發(fā)明一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法，包括以下步驟：

采集特定網(wǎng)絡(luò)空間中的資產(chǎn)信息數(shù)據(jù)；

對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理，并構(gòu)建訓練網(wǎng)絡(luò)空間安全態(tài)勢感知模型；

根據(jù)網(wǎng)絡(luò)空間安全姿態(tài)感知模型和當前網(wǎng)絡(luò)空間中的實際數(shù)據(jù)，對當前的網(wǎng)絡(luò)空間安全態(tài)勢進行評估；

根據(jù)網(wǎng)絡(luò)空間的安全態(tài)勢評估結(jié)果，對未來的網(wǎng)絡(luò)空間安全態(tài)勢進行預測，得到安全態(tài)勢預測結(jié)果。

參考圖2，進一步作為優(yōu)選的實施方式，還包括以下步驟：

將當前網(wǎng)絡(luò)空間的資產(chǎn)信息數(shù)據(jù)、安全態(tài)勢評估結(jié)果和安全態(tài)勢預測結(jié)果進行可視化展示。

進一步作為優(yōu)選的實施方式，所述的對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理，并構(gòu)建訓練網(wǎng)絡(luò)空間安全態(tài)勢感知模型，這一步驟具體包括：

根據(jù)采集到的資產(chǎn)信息數(shù)據(jù)，提取對應的謂詞和變量；

根據(jù)資產(chǎn)信息數(shù)據(jù)中的異常事件數(shù)據(jù)和正常數(shù)據(jù)對應的謂詞，構(gòu)建模型的訓練數(shù)據(jù)集；

將特定網(wǎng)絡(luò)空間的背景知識轉(zhuǎn)化為對應的一階邏輯規(guī)則；

根據(jù)訓練數(shù)據(jù)集和一階邏輯規(guī)則進行權(quán)重學習，建立基于mln的網(wǎng)絡(luò)空間安全態(tài)勢感知模型，并將建立得到的網(wǎng)絡(luò)空間安全態(tài)勢感知模型存入數(shù)據(jù)庫中。

參考圖3，進一步作為優(yōu)選的實施方式，所述的根據(jù)網(wǎng)絡(luò)空間安全姿態(tài)感知模型和當前網(wǎng)絡(luò)空間中的實際數(shù)據(jù)，對當前的網(wǎng)絡(luò)空間安全態(tài)勢進行評估，這一步驟具體包括：

采集當前網(wǎng)絡(luò)空間中的實際數(shù)據(jù)；

對實際數(shù)據(jù)提取對應的謂詞和變量，得到謂詞數(shù)據(jù)集；

根據(jù)謂詞數(shù)據(jù)集和網(wǎng)絡(luò)空間安全態(tài)勢感知模型，進行最大后驗概率估計，得出安全態(tài)勢評估結(jié)果。

參考,4，本發(fā)明一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測系統(tǒng)，包括：

數(shù)據(jù)采集模塊，用于采集特定網(wǎng)絡(luò)空間中的資產(chǎn)信息數(shù)據(jù)；

態(tài)勢理解模塊，用于對采集得到的資產(chǎn)信息數(shù)據(jù)進行預處理，并構(gòu)建訓練網(wǎng)絡(luò)空間安全態(tài)勢感知模型；

態(tài)勢評估模塊，用于根據(jù)網(wǎng)絡(luò)空間安全姿態(tài)感知模型和當前網(wǎng)絡(luò)空間中的實際數(shù)據(jù)，對當前的網(wǎng)絡(luò)空間安全態(tài)勢進行評估；

態(tài)勢預測模塊，用于根據(jù)網(wǎng)絡(luò)空間的安全態(tài)勢評估結(jié)果，對未來的網(wǎng)絡(luò)空間安全態(tài)勢進行預測，得到安全態(tài)勢預測結(jié)果。

進一步作為優(yōu)選的實施方式，還包括：

可視化展示模塊，用于將當前網(wǎng)絡(luò)空間的資產(chǎn)信息數(shù)據(jù)、安全態(tài)勢評估結(jié)果和安全態(tài)勢預測結(jié)果進行可視化展示。

進一步作為優(yōu)選的實施方式，所述態(tài)勢理解模塊具體包括：

提取模塊，用于根據(jù)采集到的資產(chǎn)信息數(shù)據(jù)，提取對應的謂詞和變量；

訓練數(shù)據(jù)集構(gòu)建模塊，用于根據(jù)資產(chǎn)信息數(shù)據(jù)中的異常事件數(shù)據(jù)和正常數(shù)據(jù)對應的謂詞，構(gòu)建模型的訓練數(shù)據(jù)集；

規(guī)則轉(zhuǎn)化模塊，用于將特定網(wǎng)絡(luò)空間的背景知識轉(zhuǎn)化為對應的一階邏輯規(guī)則；

模型建立模塊，用于根據(jù)訓練數(shù)據(jù)集和一階邏輯規(guī)則進行權(quán)重學習，建立基于mln的網(wǎng)絡(luò)空間安全態(tài)勢感知模型，并將建立得到的網(wǎng)絡(luò)空間安全態(tài)勢感知模型存入數(shù)據(jù)庫中。

進一步作為優(yōu)選的實施方式，所述態(tài)勢評估模塊具體包括：

實際數(shù)據(jù)采集模塊，用于采集當前網(wǎng)絡(luò)空間中的實際數(shù)據(jù)；

謂詞數(shù)據(jù)集提取模塊，用于對實際數(shù)據(jù)提取對應的謂詞和變量，得到謂詞數(shù)據(jù)集；

評估結(jié)果計算模塊，用于根據(jù)謂詞數(shù)據(jù)集和網(wǎng)絡(luò)空間安全態(tài)勢感知模型，進行最大后驗概率估計，得出安全態(tài)勢評估結(jié)果。

其中，本發(fā)明的具體實施例如下：

s1：采集一個時間段內(nèi)特定網(wǎng)絡(luò)空間中的資產(chǎn)信息數(shù)據(jù)，包括主機狀態(tài)、網(wǎng)絡(luò)狀態(tài)、開放服務(wù)狀態(tài)、存儲數(shù)據(jù)狀態(tài)等等，以及端口被打開，服務(wù)被開啟，數(shù)據(jù)被更新等的動作數(shù)據(jù)，并將數(shù)據(jù)存入數(shù)據(jù)庫中；

s2：對采集的數(shù)據(jù)進行預處理，規(guī)范化安全要素數(shù)據(jù)，訓練建立網(wǎng)絡(luò)空間安全態(tài)勢感知模型；

（1）根據(jù)當前的網(wǎng)絡(luò)空間，構(gòu)建出當前網(wǎng)絡(luò)空間的對應的謂詞和函數(shù)集，以及制定識別網(wǎng)絡(luò)空間中異常事件的一階邏輯規(guī)則。

（2）對步驟s1采集到的資產(chǎn)信息數(shù)據(jù)和動作數(shù)據(jù)進行預處理。根據(jù)（1）中的謂詞和函數(shù)集，可以由技術(shù)人員通過編程將收集的數(shù)據(jù)提取轉(zhuǎn)化為對應的謂詞、變量。

（3）根據(jù)標記的異常事件數(shù)據(jù)和正常數(shù)據(jù)對應的謂詞，構(gòu)造模型的訓練數(shù)據(jù)集。

（4）利用訓練數(shù)據(jù)和一階邏輯規(guī)則進行權(quán)重學習，建立基于mln的網(wǎng)絡(luò)空間安全態(tài)勢感知模型。將建立的模型錄入數(shù)據(jù)庫。

s3：通過建立的模型以及采集的網(wǎng)絡(luò)空間數(shù)據(jù)進行推理，評估當前的網(wǎng)絡(luò)空間安全態(tài)勢。

（1）重復步驟s1，采集當前網(wǎng)絡(luò)空間中的資產(chǎn)信息數(shù)據(jù)和動作數(shù)據(jù)。

（2）采集到的資產(chǎn)信息數(shù)據(jù)和動作數(shù)據(jù)進行預處理。根據(jù)步驟2（1）中的謂詞和函數(shù)集，可以由技術(shù)人員通過編程將收集的數(shù)據(jù)提取轉(zhuǎn)化為對應的謂詞、變量，規(guī)范化安全要素數(shù)據(jù)。

（3）根據(jù)謂詞數(shù)據(jù)集和網(wǎng)絡(luò)空間安全態(tài)勢感知模型進行最大后驗概率估計。

（4）推理得出當前網(wǎng)絡(luò)安全空間存在的安全異常事件。

其中，在步驟s2完成后（即模型訓練完成），可重復步驟s3，對不同時間段內(nèi)當前的網(wǎng)絡(luò)空間安全態(tài)勢進行評估。

s4：根據(jù)上一步驟得到的網(wǎng)絡(luò)空間安全態(tài)勢評估結(jié)果，預測未來的網(wǎng)絡(luò)空間安全態(tài)勢上升或下降。一種簡單地預測方式可以為，網(wǎng)絡(luò)空間安全態(tài)勢上升定義為在單位時間內(nèi)異常事件的數(shù)量增多。同樣，網(wǎng)絡(luò)空間安全態(tài)勢下降定義為在單位時間內(nèi)異常事件的數(shù)量減少。

s5：將當前網(wǎng)絡(luò)空間的資產(chǎn)信息數(shù)據(jù)，安全態(tài)勢評估結(jié)果，安全態(tài)勢預測結(jié)果，可視化展示給技術(shù)人員及用戶。

從上述內(nèi)容可知，本發(fā)明一種基于mln的網(wǎng)絡(luò)空間安全態(tài)勢預測方法及系統(tǒng)中通過應用馬爾科夫邏輯網(wǎng)絡(luò)，能很容易地利用一階邏輯規(guī)則來表示對象和對象屬性它們之間的聯(lián)系。而且本發(fā)明使用的方法中通過引入背景知識，對網(wǎng)絡(luò)空間中的對象關(guān)系把握更準確，從而有效提高評估的準確率。

以上是對本發(fā)明的較佳實施進行了具體說明，但本發(fā)明創(chuàng)造并不限于所述實施例，熟悉本領(lǐng)域的技術(shù)人員在不違背本發(fā)明精神的前提下還可做作出種種的等同變形或替換，這些等同的變形或替換均包含在本申請權(quán)利要求所限定的范圍內(nèi)。