赛博空间网络安全态势感知的数据分析方法、介质及设备

技术领域

本发明涉及赛博空间安全技术领域，具体的说，涉及了一种赛博空间网络安全态势感知的数据分析方法、介质及设备。

背景技术

随着信息技术和网络技术的不断发展，赛博空间应运而生，并成为国家继陆、海、空、天四个疆域之后的第五疆域；“赛博空间”指数据、计算、网络构成的数字化虚拟空间，其不只是网络空间，而是一个极度分散的区域，特点是日益增加的全球联接、无所不在和机动性。

赛博空间网络指的是，有移动节点和固定节点通过无线链路而形成的多跳的立体网络；赛博空间网络安全问题指的是，利用通信网络技术体制的缺陷，对通信网络技术或工程应用的潜在问题进行攻击，使通信网络出现工作反常。

通信网络是构成赛博空间的重要组成部分，其自身的安全与否，将直接关系到整个赛博空间的安全，因此迫切需要对赛博空间网络安全态势感知进行深入研究和设计，以满足未来赛博空间发展的安全需要。

因此，针对多样化的赛博空间网络安全问题，如何快速且准确地进行分析，成为急需解决的技术问题。

为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。

发明内容

本发明针对赛博空间网络安全问题多样化及数据分析困难等问题，提供一种赛博空间网络安全态势感知的数据分析方法、介质及设备，通过增强待分析问题与态势分析模型之间的关联性，来使得赛博空间网络安全态势感知的数据分析过程更加灵活，进而有效提高数据分析结果的准确度以及解析结果的时效性。

为了实现上述目的，本发明第一方面提供一种赛博空间网络安全态势感知的数据分析方法，所述方法包括以下步骤：

获取待分析问题，并从所述待分析问题中提取出类型标识符；其中，所述类型标识符与预置的态势分析模型之间存在映射关系；

根据所述类型标识符，选取与所述待分析问题相匹配的态势分析模型：

若所述类型标识符为第一标识符，则选取基于知识驱动的态势分析模型，作为与所述待分析问题相匹配的态势分析模型；若所述类型标识符为第二标识符，则选取基于数据驱动的态势分析模型，作为与所述待分析问题相匹配的态势分析模型；若所述类型标识符为第三标识符，则选取基于知识驱动和数据驱动的态势分析模型，作为与所述待分析问题相匹配的态势分析模型；

读取所述待分析问题对应的网络安全态势数据；

将读取到的网络安全态势数据输入选取的态势分析模型，以获得所述待分析问题对应的分析结果。

为了实现上述目的，本发明第二方面提供一种计算机可读存储介质，其存储有计算机可读指令，使至少一个处理器执行如上述的赛博空间网络安全态势感知的数据分析方法。

为了实现上述目的，本发明第三方面提供一种数据分析设备，其包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，实现如上述赛博空间网络安全态势感知的数据分析方法。

本发明的有益效果为：

1）本发明通过预先设置预设赛博空间网络安全问题与类型标识符、类型标识符与态势分析模型之间的映射关系，以及预先构建包含基于知识驱动的态势分析模型、基于数据驱动的态势分析模型以及基于知识驱动和数据驱动的态势分析模型的态势分析模型库，从而增强待分析问题与态势分析模型之间的关联性，在对多样化的赛博空间网络安全问题进行分析时，本发明能够基于获取到的待分析问题以及类型标识符，快速且准确地选取相匹配的态势分析模型，从而提高待分析问题与态势分析模型之间的匹配度；

2）相对于针对单一问题进行分析的单一模型，本发明的赛博空间网络安全态势感知的数据分析过程更加灵活，适应性更强；

3）本发明预先针对不同的问题构建多种驱动方式的态势分析模型，并在分析网络安全问题时，基于不同的待分析问题，动态调用不同的态势分析模型进行态势评估和预测，从而在确保赛博空间网络安全态势感知的时效性的同时，提高分析结果的准确率；

4）本发明还将预测和评估后的分析结果进行抽取提炼，进而丰富网络安全知识库，形成知识和数据的闭环，螺旋上升式地提升赛博空间网络安全态势数据分析处理能力。

附图说明

图1是本发明的赛博空间网络安全态势感知的数据分析的流程示意图一；

图2是本发明的赛博空间网络安全态势感知的数据分析的流程示意图二；

图3是本发明的基于知识驱动的数据分析流程示意图；

图4是本发明的基于数据驱动的数据分析流程示意图；

图5本发明的基于知识数据混合驱动的数据分析流程示意图；

图6是本发明的赛博空间网络安全态势感知数据分析框架示意图。

具体实施方式

下面通过具体实施方式，对本发明的技术方案做进一步的详细描述。

实施例1

如附图1和附图2所示，一种赛博空间网络安全态势感知的数据分析方法，其包括以下步骤：

步骤1，获取待分析问题，并从所述待分析问题中提取出类型标识符；其中，所述类型标识符与预置的态势分析模型之间存在映射关系；

上述待分析问题被预先配置为，包含问题关键信息、类型标识符、以及知识驱动标签/数据驱动标签/混合驱动标签，上述问题关键信息用于标识待分析问题，可以为预先约定的英文简写、数字序号等等；

上述待分析问题是由用户手动输入或选取的问题，或者预先配置在系统中且以固定的时间间隔进行分析处理的问题；

上述待分析问题是预设赛博空间网络安全问题中的一种或者几种，在待分析问题的数量大于1时，各个待分析问题被预先配置为并行处理，以提高分析效率；

预设赛博空间网络安全问题包括简单网络安全事件分析和复杂网络安全事件分析；

上述类型标识符与预置的态势分析模型之间的映射关系，是预先配置并预先存储的映射关系，为基于类型标识符选取态势分析模型做准备；一种类型标识符对应一类态势分析模型，如类型标识符KD与基于知识驱动的态势分析模型之间存在映射关系，类型标识符DD与基于数据驱动的态势分析模型之间存在映射关系，类型标识符HD与基于知识驱动和数据驱动的态势分析模型之间存在映射关系。

步骤2，根据所述类型标识符，选取与所述待分析问题相匹配的态势分析模型；

若所述类型标识符为第一标识符，则选取基于知识驱动的态势分析模型，作为与所述待分析问题相匹配的态势分析模型；

若所述类型标识符为第二标识符，则选取基于数据驱动的态势分析模型，作为与所述待分析问题相匹配的态势分析模型；

若所述类型标识符为第三标识符，则选取基于知识驱动和数据驱动的态势分析模型，作为与所述待分析问题相匹配的态势分析模型；

步骤3，读取所述待分析问题对应的网络安全态势数据；

可以理解，不同的待分析问题对应不同的网络安全态势数据；

上述网络安全态势数据指的是，通过各种检测工具采集到的能够影响赛博空间网络安全的要素信息；上述检测工具包括入侵检测系统（intrusion detection system）、Wireshark等；

可以理解，根据数据来源的不同，可以将赛博空间网络安全态势要素分为：网络环境数据、网络漏洞数据、网络攻击数据以及网络安全事件等；

所述网络环境数据指的是多个与网络安全状况相关的网络拓扑、网络进程、应用配置等部分数据；

所述网络漏洞数据是攻击者通过扫描各类网络系统在代码、协议设计及安全策略等软硬件方面存在的缺陷，利用这些缺陷实现非法访问或权限提升，对系统实施攻击时，采集到的漏洞属性、漏洞对象和利用方法；

所述网络攻击数据是攻击者通过综合利用各种攻击手段，对安全目标实施非法入侵、窃听、欺骗、甚至破坏摧毁时，采集到的攻击属性、攻击工具、安全状态、攻击者和攻击结果；网络攻击给网络系统中的软硬件设施和系统数据带来了严重破坏，是网络安全态势面临的主要威胁；

所述网络安全事件指一系列对网络及应用系统的运行状态产生威胁的异常活动发生时，采集到的原始事件和日志事件；其中，每一个日志文件都记录了一次单独的网络安全事件。

步骤4，将读取到的网络安全态势数据输入选取的态势分析模型，以获得所述待分析问题对应的分析结果。

可以理解，包含第一标识符的待分析问题被预先配置为简单网络安全事件分析，该类问题通常针对少量的网络安全数据类型，且该问题能够以具体的规则和知识进行描述的；例如，简单用户行为分析和简单网络威胁分析（设备被入侵的可能性大不大，或者设备被入侵的可能性是否会增大）等；

包含第二标识符的待分析问题被预先配置为第一类复杂网络安全事件分析，该类问题通常面向大量数据，很难用知识规律描述，需要从数据中进行挖掘分析，一般需要采用机器学习、深度学习等方法，例如网络安全态势评估、异常行为检测、漏洞检测等问题；

包含第三标识符的待分析问题被预先配置被预先配置为第二类复杂网络安全事件分析，该类问题通常面向大量数据，需要从数据中分析挖掘，一般采用机器学习、深度学习等方法，但是其决策过程中和模型构建过程中需要考虑领域知识的影响，例如网络安全态势预测、软件安全漏洞分析等问题；

需要说明的是，本实施例通过预先设置预设赛博空间网络安全问题与类型标识符、类型标识符与态势分析模型之间的映射关系，以及预先构建包含基于知识驱动的态势分析模型、基于数据驱动的态势分析模型以及基于知识驱动和数据驱动的态势分析模型的态势分析模型库，从而增强待分析问题与态势分析模型之间的关联性；

在对多样化的赛博空间网络安全问题进行分析时，本实施例能够基于获取到的待分析问题以及类型标识符，快速且准确地选取与待分析问题相匹配的态势分析模型。

需要说明的是，由于本实施例的态势分析模型是针对不同的问题所生成的模型，因此本实施例的应用非常广泛。

实施例2

在实施例1的基础上，本实施例给出了类型标识符为第一标识符时，赛博空间网络安全态势感知的数据分析方法的具体实施方式。

具体的，所述基于知识驱动的态势分析模型指的是基于网络安全知识库生成的规则式知识库，所述规则式知识库包括至少一个IF 条件 THEN 事件；

上述网络安全知识库内存储有专家知识、历史经验和领域知识。

可以理解，构建基于知识驱动的态势分析模型时，执行：以专家知识、领域知识、规则知识等建立起来的网络安全知识库为基础，将专家所掌握的现有知识和经验、领域知识等，通过一定的方法转化为如IF 条件 THEN 事件的规则式知识。

如附图3所示，若待分析问题中的类型标识符为第一标识符，则从所述待分析问题中提取出知识驱动标签，所述知识驱动标签与所述IF 条件 THEN 事件之间存在预设的映射关系；

上述知识驱动标签用于标记所述规则式知识库中的IF 条件 THEN 事件，一个知识驱动标签与一个IF 条件 THEN 事件之间预先建立映射关系；

基于提取出的知识驱动标签，从所述规则式知识库中，搜索出与所述知识驱动标签相应的IF 条件 THEN 事件作为目标事件；

获取待分析问题对应的网络安全态势数据，作为待分析数据；

对所述待分析数据进行抽取，形成规则化数据；

对所述规则化数据进行分析，得到与所述目标事件相关的条件数据；

基于所述目标事件对所述条件数据进行知识推理，并将知识推理的结果作为待分析问题对应的分析结果。

上述对所述待分析数据进行抽取形成规则化数据，指的是指对待分析数据进行规约处理，形成符合预设标准的数据格式；

规约处理包括野值处理、冗余处理、数据标准化等；野值处理，指剔除数据中偏离较大的数据；冗余处理，指去除数据中的具有同种属性的相似数据，减少需要分析的数据量；数据标准化是为了消除指标之间的量纲影响，以解决数据指标之间的可比性，方便后续分析处理；要素数据标准化，不针对所有的要素数据；数据标准化方法有min-max标准化、Z-score标准化、Z-scores简单化、对数变换、小数定标、sigmoid函数等。

在一种具体实施方式中，待分析问题为分析赛博空间网络中的某个设备被入侵的可能性大不大；

待分析问题中的类型标识符为第一标识符，此时需要从所述待分析问题中提取出知识驱动标签，如知识驱动标签为kd00000001，kd00000001与“IF 防火墙关闭且浏览高危网页频率大于浏览阈值 THEN提示该设备被入侵的可能性较大”这个事件之间存在映射关系；

基于提取出的知识驱动标签kd00000001，从所述规则式知识库中，搜索出“IF 防火墙关闭且浏览高危网页频率大于浏览阈值 THEN提示该设备被入侵的可能性较大”这个事件，作为目标事件；

获取待分析问题对应的网络安全态势数据，作为待分析数据；对待分析数据进行抽取，形成规则化数据，得到用户行为数据{A

对所述规则化数据进行分析，得到与所述目标事件相关的条件数据，如浏览高危网页频率是否大于浏览阈值，以及防火墙是否关闭；

基于目标事件对所述条件数据进行知识推理，由于条件数据与目标事件的条件一致，则分析结果为该设备被入侵的可能性较大。

在另一种具体实施方式中，待分析问题为分析赛博空间网络中的某个设备被入侵的可能性是否增大；

待分析问题中的类型标识符为第一标识符，此时需要从所述待分析问题中提取出知识驱动标签，如知识驱动标签为kd00000002，kd00000002与“IF 防火墙关闭且安全软件没有安装THEN 提示该设备被入侵的可能性增大”这个事件之间存在映射关系；

基于提取出的知识驱动标签kd00000002，从所述规则式知识库中，搜索出“IF 防火墙关闭且安全软件没有安装THEN 提示该设备被入侵的可能性增大”这个事件，作为目标事件；

获取待分析问题对应的网络安全态势数据，作为待分析数据；对所述待分析数据进行抽取，形成规则化数据；其中，所述规则化数据为用户行为数据{A

对所述规则化数据进行分析，得到与所述目标事件相关的条件数据，如防火墙是否关闭以及安全软件是否安装；基于目标事件对所述条件数据进行知识推理，如条件数据包括防火墙关闭，以及安全软件没有安装；

基于所述目标事件对所述条件数据进行知识推理，由于条件数据与目标时间的条件一致，则分析结果为提示该设备被入侵的可能性增大。

在其他具体实施方式中，获取到用户行为数据后，还执行：

统计用户关闭防火墙行为、统计用户浏览高危网页行为、统计用户安全软件没有安装行为的数据，以及其统计相互交叉的数据，并进行可视化展现，基于知识库中知识输出m个用户的入侵威胁程度。

需要说明的是，基于知识驱动的态势分析模型对待分析问题进行知识推理的流程主要包括：获取待分析问题对应的网络安全态势数据，紧接着对网络安全态势数据进行抽取，使数据成为规则化数据，然后对规则化数据进行分析归纳，基于与待分析问题相匹配的IF 条件 THEN 事件，进行知识推理，并进行可视化展现，从而得到待分析问题对应的分析结果。

实施例3

在实施例1的基础上，本实施例给出了类型标识符为第二标识符时，赛博空间网络安全态势感知的数据分析方法的具体实施方式。

具体的，所述基于数据驱动的态势分析模型指的是，利用与预设问题相关的数据集对预置模型进行训练，得到面向预设问题的态势分析模型集合；具体包括分类模型和预测模型；

其中，与预设问题相关的数据集包括网络环境数据集、网络漏洞数据集、网络攻击数据集和网络安全事件数据集等等；

预置模型包括基于支持向量机的态势分析模型、基于KNN的态势分析模型、基于随机森林的态势分析模型、基于RNN的态势分析模型、基于ResNet的态势分析模型、基于CNN中的态势分析模型的一种或者几种。

可以理解，在构建基于数据驱动的态势分析模型时，通过标注构建与预设问题相关的数据集，并对预先构建机器学习/深度学习模型进行训练，最终得到面向某个预设问题的态势分析模型。

如附图4所示，若待分析问题中的类型标识符为第二标识符，则从所述待分析问题中提取出数据驱动标签，所述数据驱动标签与预置的面向预设问题的态势分析模型之间存在预设的映射关系；

上述数据驱动标签用于标记面向预设问题的态势分析模型集合中的分类模型或者预测模型，一个数据驱动标签与一个分类模型或者预测模型之间预先建立映射关系；

基于所述数据驱动标签，从面向预设问题的态势分析模型集合中获取相应的分类模型或者预测模型，作为第一目标模型；

获取待分析问题对应的网络安全态势数据，作为待分析数据；

基于所述第一目标模型对所述待分析数据进行识别，并将识别结果作为待分析问题对应的分析结果。

在一种具体实施方式中，待分析问题为分析赛博空间网络是否存在入侵检测；

待分析问题中的类型标识符为第二标识符，此时需要从所述待分析问题中提取出数据驱动标签，如数据驱动标签为dd00000001，dd00000001与面向入侵检测的分类模型之间存在映射关系；

需要说明的是，构建面向入侵检测的分类模时：先对KDD数据集进行处理（数据集处理包括降采样、归一化、剔除等方式），然后，将KDD数据集输入到预置模型中进行态势分析模型的训练，生成面向入侵检测的分类模型；

其中，KDD数据集有500多万条训练数据和200万条测试数据，数据集中共有41个特征属性，可分为基本特征、流量特征和内容特征等。该数据集可分为4大类别，根据攻击类别将KDD数据集划分为4类与预设问题相关的数据集：Probe监控或探测数据集、DOS拒绝服务数据集、U2R非法访问超级用户特权、R2L非法访问远程主机数据集；

基于所述数据驱动标签dd00000001，从面向预设问题的态势分析模型集合中获取面向入侵检测的分类模型，作为第一目标模型；

将待分析问题对应的网络安全态势数据，输入到第一目标模型中，输出攻击的类型（上面的4种类别），作为待分析问题对应的分析结果。

实施例4

在实施例1的基础上，本实施例给出了类型标识符为第三标识符时，赛博空间网络安全态势感知的数据分析方法的具体实施方式。

具体的，所述基于知识驱动和数据驱动的态势分析模型指的是基于所述网络安全知识库、与预设问题相关的数据集以及预置模型生成的混合驱动模型集合；

其中，与预设问题相关的数据集包括网络环境数据集、网络漏洞数据集、网络攻击数据集和网络安全事件数据集，所述网络安全态势数据包括所述网络安全知识库中的知识；

预置模型包括基于支持向量机的态势分析模型、基于KNN的态势分析模型、基于随机森林的态势分析模型、基于RNN的态势分析模型、基于ResNet的态势分析模型、基于CNN中的态势分析模型的一种或者几种。

需要说明的是，基于知识驱动的态势分析模型虽然分析效率快，但存在结构单一以及只能使用已存在的知识的问题；基于数据驱动的态势分析模型虽然分析准确度提高，该还存在可解释性差、泛化能力差的问题；

因此，本实施例提出基于知识驱动和数据驱动的态势分析模型，这种态势分析模型是知识与数据混合驱动，是针对知识驱动和数据驱动分别存在的缺点，而提出的一种新模式；其核心是结合知识驱动的优点和数据驱动的优点；此过程有两个方面，一是在数据驱动模型构建过程中，利用与预设问题相关的规则知识对模型进行改进，增强态势分析模型的可解释性以及对预设问题的分析能力，二是（在模型训练好后）进行数据分析时，在模型预测后利用与预设问题相关的规则知识去进行辅助决策，避免模型预测结果出现明显的错误，有利于增强混合决策可信性。

如附图5所示，若待分析问题中的类型标识符包含第三标识符，则从所述待分析问题中提取出混合驱动标签，所述混合驱动标签与预置的混合驱动分类模型之间存在预设的映射关系；

上述混合驱动标签用于标记混合驱动模型集合中的分类模型或预测模型，一个混合驱动标签与驱动模型集合中的一个分类模型或一个预测模型之间存在预先建立的映射关系；

基于所述混合驱动标签，从所述混合驱动模型集合中获取相应的混合驱动模型，作为第二目标模型；

获取待分析问题对应的网络安全态势数据，作为待分析数据；

基于所述第二目标模型对所述待分析数据进行识别，并利用所述网络安全知识库中的规则知识对所述识别结果进行辅助分析，得到待分析问题对应的分析结果。

在一种具体实施方式中，待分析问题为分析赛博空间网络安全中是否存在软件安全漏洞；

待分析问题中的类型标识符为第三标识符，从所述待分析问题中提取出的混合驱动标签为hd00000001，hd00000001与面向软件安全漏洞检测的预测模型之间存在映射关系；

需要说明的是，构建面向软件安全漏洞检测的预测模型时：获取基于NVD 软件安全漏洞数据集，对数据集进行预处理（预处理过程通常指的是，结合规则知识，剔除冗余数据、不合规数据等，增强数据质量）；然后将数据输入到预置模型中进行训练，得到面向软件安全漏洞检测的预测模型；其中，NVD 软件安全漏洞数据集包含漏洞的CVE-ID、CVSS_score、CVSS_Accuracyess、CVSS_vector、vuln-source、CWE-ID和vuln-summary等漏洞信息；

在构建面向软件安全漏洞检测的预测模型的过程中，可以结合与软件安全漏洞检测相关的领域知识（如相关反应入侵检测的指标）对模型进行改进，能够使模型更专有化；

基于混合驱动标签hd00000001，从所述混合驱动模型集合中获取面向软件安全漏洞检测的预测模型，作为第二目标模型；

获取待分析问题对应的网络安全态势数据，作为待分析数据；基于所述第二目标模型对所述待分析数据进行识别或者预测，得到预测结果；然后，利用与软件安全漏洞检测相关的领域知识，对预测结果进行指导和建议；例如预测结果为CVSS_score类型，但是其相关指标根据规则知识明显为CVE-ID类型，则可以使用规则知识对预测结果进行指导，将CVE-ID类型作为最终的分析结果。

需要说明的是，本实施例根据接收到的待分析问题，动态调用相应的态势分析模型，对当前赛博空网络态势安全进行评估，不但分析效率高且分析结果准确度高。

在其他具体实施方式中，在获得分析结果后，还分析具体的危险程度，给出网络安全态势的预警分级、决策建议（面向不同的评估问题其决策建议是不同的）等，并进行可视化展现，将危险程度进行分级描述；如可分为三级，一级为危险程度低，不需处理，二级为危险程度中，需要注意，随时结束行为，三级为危险程度高，需要马上结束行为。

实施例5

在上述实施例的基础上，本实施例给出了另一种赛博空间网络安全态势感知的数据分析方法的具体实施方式

如附图6所示，所述赛博空间网络安全态势感知的数据分析方法，还执行：基于所述分析结果对预先构建的网络安全知识库进行更新。

需要说明的是，本实施例对赛博空间网络安全知识进行提炼，具体指的是对态势分析模型所输出的相关结果进行提炼，形成规则化网络安全知识，并将所得到的知识输入到网络安全知识库中，进而丰富网络安全知识库，形成知识闭环，螺旋上升式的提升知识库能力和态势分析模型能力。

实施例6

在上述实施例的基础上，本实施例给出了一种计算机可读存储介质的具体实施方式，其存储有计算机可读指令，使至少一个处理器执行如实施例1或者2或者3或者4或者5中的赛博空间网络安全态势感知的数据分析方法。

在上述实施例的基础上，本实施例还给出了一种数据分析设备的具体实施方式，其包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，实现如实施例1或者2或者3或者4或者5中的赛博空间网络安全态势感知的数据分析方法。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

上述算法步骤如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，上述的计算机程序可存储于计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，上述计算机程序包括计算机程序代码，上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。