一种决策推荐方法及装置

技术领域

本申请涉及网络安全技术领域，尤其涉及一种决策推荐方法及装置。

背景技术

目前大多数网络安全态势感知平台只是将网络资产管理、威胁情报、漏洞管理以及用户和实体行为分析(UEBA)进行流程上的整合来简化跨模块的流程复杂度，没有真正起到对网络空间进行有效的防护。随着近几年局势的紧张，网络安全格局的突变，现在针对关键基础设施和工业控制系统的网络攻击数量迅速增加，战略性破坏成为网络攻击的主要目标之一。这类战略性的网络攻击行动更加隐蔽，攻击更为猛烈，造成的破坏更严重，影响范围更广。在这种环境背景下，传统的态势感知平台很难跟得上网络安全的新形式变化，无法做到基于收集的信息做出正确的决策，从而执行正确的行动，进而做出更有效的安全防护去抵挡更高级的网络安全风险。

由于要面对的网络空间安全对抗环境是一个极其复杂的环境，其存在着很多复杂的动态演化机理，表现出的主要是“适应性、动态性、突发性、模糊性、不确定性”，虽然现阶段网络安全ATT&CK战略战术体系的归纳总结已经能够根据经验给出一定的决策指导意见，但是，这些机理和特性组合在一起让整个网络安全空间始终是一个混沌的。一方面在现在网络空间大数据环境下，不仅空间广阔，各类工具手段、攻击要素紧密耦合，同时各类“欺骗”、伪装、“出其不意”等攻击技术更是奇特，而且现在攻防节奏明显加快，防御战机转瞬即逝，因此当前面临的网络威胁环境更为复杂。另一方面，网络空间组网越来越复杂，需要采集的数据越来越丰富，需要真正获得网络空间环境中全面的安全态势信息，才能更准确的认知态势状态，为后续做出正确决策奠定基础。

发明内容

有鉴于此，本申请提供一种决策推荐方法及装置，用以准确地为网络安全推荐智能决策，以提升网络的安全性。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种决策推荐方法，包括：

采集网络的网络环境数据；

对所述网络环境数据进行数据分析和挖掘处理，得到网络安全数据；

根据所述网络安全数据所对应的数据类型，分别调用对应的安全检测模型对所述网络安全数据进行识别处理，得到各数据类型分别对应的安全检测结果；

对各安全检测结果进行关联分析处理，得到所述网络的安全态势结果；

获取所述网络中的网络安全设备的设备防御能力；

根据预先定义的决策规则，为所述网络推荐与所述安全态势结果、所述设备防御能力相匹配的目标决策规则。

根据本申请的第二方面，提供一种决策推荐装置，包括：

采集模块，用于采集网络的网络环境数据；

处理模块，用于对所述网络环境数据进行数据分析和挖掘处理，得到网络安全数据；

识别模块，用于根据所述网络安全数据所对应的数据类型，分别调用对应的安全检测模型对所述网络安全数据进行识别处理，得到各数据类型分别对应的安全检测结果；

关联分析模块，用于对各安全检测结果进行关联分析处理，得到所述网络的安全态势结果；

获取模块，用于获取所述网络中的网络安全设备的设备防御能力；

推荐模块，用于根据预先定义的决策规则，为所述网络推荐与所述安全态势结果、所述设备防御能力相匹配的目标决策规则。

根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。

根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。

本申请实施例的有益效果：

本申请实施例提供的决策推荐方法及装置中，在采集到网络环境数据后，先对网络环境数据进行数据分析和挖掘处理，从而更深层次的得到该网络中的网络安全数据，也就是对网络进行了更深层次的理解；在此基础上，根据网络安全数据所对应的数据类型，分别调用对应的安全检测模型对网络安全数据进行识别处理，得到各数据类型分别对应的安全检测结果；对各安全检测结果进行关联分析处理，得到所述网络的安全态势结果，从而就可以根据网络安全数据更准确地得到当前网络中的安全态势情况；由于网络安全与网络中的网络安全设备的防御能力相关，因此本申请还会获取所述网络中的网络安全设备的设备防御能力；然后根据预先定义的决策规则，为网络推荐与所述安全态势结果、所述设备防御能力相匹配的目标决策规则，由此一来，推荐的目标决策规则既与网络中的网络安全设备的防御能力相适配，也能与网络中的网络安全态势相匹配，从而使得利用该目标决策规则能够更好且更准确地对网络中的攻击进行防护，进而保护网络中的安全性。

附图说明

图1是本申请实施例提供的一种决策推荐方法的流程示意图；

图2是本申请实施例提供的一种决策推荐装置的结构示意图；

图3是本申请实施例提供的一种实施决策推荐方法的电子设备的硬件结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请提供决策推荐方法进行详细地说明。

参见图1，图1是本申请提供的一种决策推荐方法的流程图，该方法可以应用于电子设备中，该电子设备可以但不限于为网络安全设备、服务器等等。上述网络设备在实施该方法时，可包括如下所示步骤：

S101、采集网络的网络环境数据。

本步骤中，上述网络环境数据可以但不限于包括：日志数据、流量数据和入侵检测数据等等，上述日志数据可以为网络中的网络安全设备采集到的；上述流量数据可以为当前网络中网络边缘设备上报的数据、终端主机侧上报的数据、云上业务运行数据、威胁情报数据等客观存在的流量数据、用户行为数据。上述入侵检测数据可以为网络安全设备在所属网络存在攻击时，记录的攻击相关数据，如网络漏洞、威胁和攻击行为等数据。

可选地，在获取到上述网络环境数据之后，还可以执行如下过程：对网络环境数据进行预处理，然后基于预处理的网络环境数据在执行步骤S102。

具体地，在对网络环境数据进行预处理时，可以涉及如下预处理过程：数据清洗、缺失值填充、异常值检测和去操等操作。

S102、对所述网络环境数据进行数据分析和挖掘处理，得到网络安全数据。

本步骤中，可以采用数据分析和挖掘技术，对上述网络环境数据进行探索和分析，从而生成上述网络安全数据。具体来说，上述数据分析技术可以但不限于为安全识别算法，即利用该安全识别算法对上述网络环境数据进行识别处理，以识别出危险网络安全的目标安全数据；上述安全识别算法可以但不限于为预先训练好的机器学习模型或深度学习模型；而用于训练上述模型的训练样本可以为预先配置的由网络环境数据样本构成的训练样本集。

此外，上述数据挖掘技术可以但不限于为：通过设置关联规则、用户实体行为分析规则，和/或，预先训练好的数据挖掘算法等等。具体来说，可以设置数据挖掘库，该数据挖掘库中可以预先存储可扩展安全数据、用户行为扩展数据等等；这样，当对网络环境数据进行挖掘时，可以采用上述关联规则将网络环境数据与可扩展安全数据、用户行为扩展数据进行逐一匹配处理，从而得到相关联的目标可扩展安全数据和/或用户行为扩展数据，从而将其与上述目标安全数据构成上述网络安全数据；另外，还可以采用上述用户实体行为分析规则对网络环境数据与数据挖掘库作进一步匹配处理，以得到匹配度较高的目标用户行为扩展数据，从而将该目标用户行为扩展数据与上述目标安全数据构成上述网络安全数据。当采用上述数据挖掘算法进行挖掘时，该数据挖掘算法可以包括学习上述关联规则的原理后得到的第一数据挖掘算法，以及学习到用户实体行为分析规则的原理得到的第二数据挖掘算法，然后分别理由这两个算法对网络环境数据和数据挖掘库中的数据进行匹配，最终生成上述网络安全数据。这样，才能保证所获得的网络安全数据既包含网络边缘设备的数据、终端主机侧数据、又有云上业务运行数据、威胁情报数据等等，而且能够将这些数据结构化、非结构化数据等形式多样的不同模态(结构)数据之间的进行融合和共享，从而为后续更好地理解网络中的安全态势奠定基础。

值得注意的是，上述数据挖掘库可以根据具体需求和情况、安全运维人的经验进行配置，且可以动态更新。

S103、根据所述网络安全数据所对应的数据类型，分别调用对应的安全检测模型对所述网络安全数据进行识别处理，得到各数据类型分别对应的安全检测结果。

本步骤中，当前存在的数据类型可以但不限于包括文本类型、入侵检测类型、事件类型、高纬度数据类型、非线性数据类型。在此基础上，可以按照下述过程执行步骤S103：当所述网络安全数据中存在文本类型和/或入侵检测类型的数据时，则利用对应的朴素贝叶斯检测模型对所述网络安全数据中的文本数据或入侵检测数据进行识别处理，得到第一安全检测结果；当所述网络安全数据中存在事件类型的数据时，则利用决策树检测模型对所述网络安全数据中存在的网络安全事件进行分类识别处理，得到第二安全检测结果；当所述网络安全数据中存在高纬度数据类型的数据时，则利用对应的支持向量机检测模型或对应的随机森林检测模型对所述网络安全数据中存在的高维度安全数据或非线性安全数据进行识别处理，得到第三安全检测结果；当所述网络安全数据中存在非线性数据类型的数据时，则利用神经网络检测模型对所述网络安全数据存在的漏洞扫描数据进行识别处理，得到第四安全检测结果。

具体来说，上述朴素贝叶斯检测模型适用于文本分类和入侵检测等领域，其能够根据数据的先验概率进行分类和预测；基于此，可以调用入侵检测类型对应的朴素贝叶斯模型对网络安全数据中存在的入侵检测数据进行识别处理，从而得到入侵检测类型对应的第一安全检测结果；而可以调用文本类型对应的朴素贝叶斯模型对网络安全数据中存在的文本数据进行识别处理，从而得到文本类型对应的第一安全检测结果。

上述入侵检测类型对应的第一安全检测结果可以为：预测得到上述入侵检测数据所属的具体入侵检测类型，如基于主机的入侵检测、基于网络的入侵检测或基于混合的入侵检测等等。相应地，上述文本类型的第一安全检测结果可以为网络安全数据中的文本数据所属的具体文本类型，如通过SQL注入引入的安全攻击、通过跨站脚本引入的攻击、通过cookie篡改引入的恶意攻击等等。

此外，在检测网络安全数据中是否存在入侵检测数据或文本数据时，可以使用对应的检测规则进行检测，当然也可以将网络安全数据直接输入至上述入侵检测类型对应的朴素贝叶斯检测模型，当该模型输出对应入侵检测分类时，也可以直接确定该网络安全数据存在入侵检测数据；同理，文本类型的处理过程与上述入侵检测类型处理过程一致，此时不再一一详细说明；同理，后续其他数据类型的处理过程与上述入侵检测类型处理过程一致，此时不再一一详细说明。

针对事件类型，上述决策树检测模型用于对网络安全数据中存在的网络安全事件进行分类和预测，能够解释模型的决策过程。基于此，可以调用决策树检测模型对网络安全数据中存在的网络安全事件进行分类处理，从而得到存在的网络安全事件对应的事件类型，即上述第二安全检测结果。其中，上述事件类型可以但不限于包括计算机病毒事件、蠕虫事件、僵尸网络事件、拒绝服务供给事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、信息篡改事件等等。

而针对高纬度数据类型，上述支持向量机检测模型和随机森林检测模型可以准备地应对该类型数据的识别，因此，本实施例提出，可以调用该高维度数据类型对应的支持向量机检测模型或随机森林检测模型对网络安全数据中的高纬度数据进行识别处理，从而识别出高纬度数据是否存在异常，以存在异常的数据，即上述第三安全检测结果。

而针对非线性数据类型，支持向量机检测模型及神经网络检测模型能够处理复杂的非线性问题，有鉴于此，本实施例针对非线性数据类型，可以调用该类型对应的支持向量机检测模型及神经网络检测模型对网络安全数据中的非线性数据进行识别，以识别出非线性数据中是否存在异常，以及存在异常的数据，也即，非线性数据类型对应的第四安全检测结果。此外，漏洞扫描等存在安全威胁的数据一般属于上述非线性数据，因此，通过采用上述识别方式，可以有效识别出网络安全数据中的漏洞扫描等存在安全威胁的数据。

值得注意的是，上述各检测模型可以为预先训练得到的，训练样本为对应数据类型下的数据样本；为了更好地理解，以入侵检测类型为例进行说明，则可以预先配置大量且存在各入侵检测类型的入侵检测数据样本，然后利用入侵检测数据样本对上述朴素贝叶斯模型进行训练，从而就得到上述训练好的朴素贝叶斯检测模型。需要检测模型的训练过程与前述类似，训练样本也会适应性的调整，此处不再一一详细赘述。

此外，在利用样本训练各模型时，通常涉及特征提取等方式，具体可以采用特征工程的方法，对数据样本进行特征提取和构建，将数据样本转化为机器学习模型可用的形式。常用的特征工程方法包括特征选择、特征变换和特征生成等，然后，利用机器学习和深度学习算法对已经处理好的数据进行模型训练和建模，就可以得到上述各检测模型。

值得注意的是，上述各检测模型是可以动态调整的，即针对任一检测模型，可以对该检测模型进行评估处理，具体可以使用交叉验证、混淆矩阵、ROC曲线等指标来评估该检测模型的性能。然后根据评估结果，采取对应的优化措施来优化该检测模型，例如，调整模型参数、算法调优等等，以提供该检测模型的准确性和泛化能力。

S104、对各安全检测结果进行关联分析处理，得到所述网络的安全态势结果。

本步骤中，可以按照下述过程执行步骤S104：识别各数据类型对应的安全检测结果中具有关联关系的目标要素；根据所述目标要素，构建各检测结果之间的安全态势图。

具体来说，为了更好地理解上述过程，假设当前获取到的多条网络安全数据包括以下字段的内容：源IP地址、目的IP地址、源端口、目的端口、协议类型、攻击类型等等。上述目标要素可以但不限于包括：数据要素、分类要素等等。在基于各检测模型分别得到安全检测结果后，可以基于各安全检测结果中具有相同分类结果(即上述分类要素)进行关联处理，然后再基于查找相同的数据，及上述数据要素，并基于相同的数据作进一步地关联。例如，先把相同攻击类型的数据进行关联处理，然后将包含相同的数据要素的数据关联，从而就可以挖掘出潜在的攻击链，进而基于各攻击链形成安全攻击图，也即上述安全态势图，以指示不同攻击类型的关系和演化。

在得到上述安全态势图之后，还可以将其进行图形化的输出展示，以便安全分析师更好地理解网络安全状况，并及时采取相应的措施来应对潜在的攻击。

S105、获取所述网络中的网络安全设备的设备防御能力。

本步骤中，在网络安全防御领域，智能行动决策是一项非常重要的任务，它不仅需要进行数据挖掘与融合，而且需要对不同攻击者的画像数据及相关防御设备的能力进行深入分析。为了更好地实现智能行动决策，对设备的防御能力进行量化。有鉴于此，在为目标网络智能地推荐决策时，会先获取网络中的网络安全设备的设备防御能力。网络安全设备本身的设备防御能力越高，则即使推荐一些防御级别不用那么高的决策规则也可以较好地保护网络的安全性；而若网络安全设备本身的设备防御能力比较低，则就可以一些防御级别本身比较高的决策规则来适配该网络安全设备，以便该网络安全设备基于该决策规则更好地保护网络的安全性。

上述网络安全设备具有很多不同的功能，如防火墙的网络安全策略控制能力、终端的杀毒和隔离能力、身份与应用的访问权限的控制能力、数据访问权限控制能力和用户网络接入控制能力等。相应地，每个网络安全设备的设备防御能力可以由各设备防御能力评估指标衡量。

然而，不同的设备能力可能对安全防御的贡献并不相同，所以需要对设备防御能力评估指标进行量化评价。即，每项设备防御能力评估指标由该项设备防御能力评估指标的量化值表征；每项设备防御能力评估指标的量化值为基于该项设备防御能力评估指标的评估标准，对该项设备防御能力评估指标进行打分得到的；

具体地，本实施例提出使用评分卡对每个网络安全设备的防御能力进行打分，将分数作为评价指标，为后续算法提供参考。

可选地，上述设备防御能力评估指标包括：功能完备性指标、安全性强度和鲁棒性指标、更新和修复漏洞能力指标、性能和可扩展性指标、安全策略和控制能力、设备的联动支持能力。

其中，上述功能完备性指标，用于指示网络安全设备是否剧本各种必要的网络安全功能，如防火墙、入侵检测和防御系统、恶意软件防护等功能。基于此，可以设置该指标对应的评估标准。具体来说，可以根据网络安全设备所具备的功能的功能清单，按照该指标对应的评估标准，利用评分卡对每项功能进行评估，然后再对各功能的评估结果进行综合处理(如加权求和)，从而就可以得到该功能完备性指标的量化值，从而就可以衡量网络安全设备的功能完备性。

而上述安全性强度和鲁棒性指标，其对于应对各种安全威胁极为重要。基于此，可以设置该指标对应的评估标准，然后可以通过该评估标准，利用评分卡评估网络安全设备的认证和安全标准符合度，来得到安全性强度和鲁棒性指标的量化值。

上述更新和修复漏洞能力指标，用于表征网络安全设备是否能够及时更新和修复已知的漏洞，以及能否对新出现的漏洞进行快速响应和修复。基于此，可以设置对应的评估标准，然后利用评分卡该评估标准评估网络安全设备的漏洞管理机制和漏洞修复策略，从而得到该更新和修复漏洞能力指标对应的量化值。

上述性能和可扩展性指标，其对于大规模和复杂的网络安全威胁极为重要。因此，可以根据该指标设置对应的评分标准，如性能与吞吐量、并发连接数有关，因此，可以设置吞吐量的评分标准和并发连接数的评分标准；同理，可以基于可扩展性的评价指标相应设置对应的评分标准。基于此，就可以基于这两个评分标准和评分卡分别对网络安全设备的性能和可扩展性进行评估处理，从而就得到了上述性能和可扩展性指标的量化值。

上述安全策略和控制能力，其对包含网络安全至关重要。基于此，可以基于指标的评估标准，来考察设备的网络访问控制机制、应用访问权限控制机制、用户身份验证方法的有效性等，来得到该安全策略和控制能力的量化值。

上述设备的联动支持能力，主要是用于由通过远程下发策略来完成对设备的配置管理的完备度的支持程度来衡量，基于此，可以先设置评分标准，然后基于该评分标准及评分卡来评估得到上述设备的联动支持能力的量化值。

为了更好地理解上述评估方式，可以以对功能完备性指标进行评估为例进行说明，首先对网络安全设备的功能需求进行分析，对于设备的每项功能需求进行明确和详细的分析，明确功能的作用、范围、要求以及相应的安全需求。然后对网络安全设备的功能进行验证和测试，例如，可以使用合适的测试工具和环境，对该设备的功能进行验证和测试。比如，对于防火墙功能，可以通过发送不同类型的网络流量来验证其阻断能力，评估其对各类攻击的有效性。对于入侵检测和预防系统，可以模拟各类攻击行为，检测系统的响应和防护效果。再次，对网络安全设备的每项功能的安全性进行分析，评估其安全性强度和可信度，具体可以考虑使用隐蔽性评估、鲁棒性分析、缺陷分析等技术，识别潜在的安全风险和漏洞。在此基础上，设置的评分标准可以参考相关的标准和合规要求，如ISO27001、NISTCybersecurity、Framework等，然后利用该评分标准对网络安全设备的功能进行评估，以检查网络安全设备的各功能是否满足相应的安全标准和规格要求，进而基于评分卡进行量化处理，从而就得到了功能完备性指标的量化值。

此外，在对功能性完毕指标评估完成后，还可以对评估过程中产生的测试结果、分析报告和评估结论进行审计和记录，形成评估报告。评估报告可以包含各项功能的测试结果、安全性分析、合规性评估等，以提供明确的评估结论和改进建议。

S106、根据预先定义的决策规则，为所述网络推荐与所述安全态势结果、所述设备防御能力相匹配的目标决策规则。

实际应用中，基于决策的问题和目标，以攻击者的画像信息，智能网络安全理解模型的输出，以及设备防御能力的量化指标等综合因素，通过智能算法完成决策规则的定义和响应策略的制定，为了提高决策规则推进的准确性和效率，本申请提出，可以采用基于优选算法的剧本推荐决策规则。然后可以使用AHP算法、灰色关联分析法和层次分析法等方法，综合考虑多种指标和因素，推荐最优的处置剧本，以实现智能行动决策的快速、准确和高效。

值得注意的是，上述攻击者的攻击画像一般是根据威胁情报而来，就是攻击者常用的攻击手法，攻击武器、常用的IP，域名，背后的黑客组织等信息。实际应用中，该攻击画像可以从网络安全数据中可以提取到。此外，上述处置剧本可以理解为：在面对一定的情境或事件时，预先制定的一系列具体行动步骤和操作流程。在网络安全领域，处置剧本指的是对网络安全事件或攻击进行响应和处理时，依据预定的流程和步骤执行相应的处置操作。例如，当某一类安全事件发生时，处置剧本就可以表征需要如何编排调度网络安全设备，执行安全事件的处置流程。例如，该处置剧本可以理解为：第一步要确定什么设备，第二步确定上述确定出的设备干什么。

而本申请中的每个决策规则用于选择哪个处置剧本来处置发生的安全事件。此外，上述响应策略可以理解为：用于确定安全设备要执行的防护策略。

在此基础上，可以按照下述过程执行步骤S106：获取预先配置的n个处置剧本，其中，每个处置剧本用于表征对网络安全事件或网络攻击进行响应和处理时，依据预定的流程执行相应的处置操作；针对每个处置剧本，根据所述安全态势结果、所述设备防御能力，确定与该处置剧本相匹配的m个参考指标，并将各个处置剧本的参考指标构成n*m的第一矩阵；获取每个处置剧本的参考指标对应的权重构成的权重向量，每个参考指标的权重为基于权重法确定出的；计算上述第一矩阵与上述权重向量的乘积，得到第二矩阵，其中，上述第二矩阵中的每个元素用于表征该元素对应的处置剧本的得分；基于处置剧本与决策规则之间的对应关系，将各处置剧本的得分中得分满足推荐条件的目标处置剧本对应的决策规则确定为上述目标决策规则。

此外，上述决策规则的设置原则如下：网络设备或安全分析师可以根据决策目标和各检测模型输出的结果，制定具体的决策规则。例如，如果朴素贝叶斯检测模型输出的概率超过某个设定的阈值，则判断为攻击，否则判断为正常。可以根据实际情况，设定不同的阈值来平衡检测率和误报率。

上述响应策略制定原则如下：网络设备或安全分析师可以根据模型输出的结果，制定具体的响应策略。例如，如果判断为攻击，则可以选择采取阻断措施，如封锁IP地址、关闭端口等；或者采取监控措施，如增加日志记录、发送警报等。具体的响应策略可以根据攻击类型、攻击威胁程度和系统资源等因素进行制定。

在此基础上，上述目标决策规则的推荐方式举例如下：假设有n个处置剧本，基于上述确定出的安全态势结果和设备防御能力评估指标的量化值，可以为每个处置剧本确定出与该处置剧本适配的目前安全态势结果、目标设备防御能力评估指标的量化值，记为上述m个参考指标，其中，n和m的取值可以根据实际情况进行配置。基于此，就可以分别得到n个处置剧本分别对应的m个参考指标，为了方便后续计算，构成上述n*m的第一矩阵。

值得注意的是，在为每个处置剧本确定出与该处置剧本适配的目前安全态势结果、目标设备防御能力评估指标的量化值时，可以设置每个处置剧本参数适配规则，然后将上述得到的安全态势结果、设备防御能力评估指标与各处置剧本的参数适配规则进行匹配处理，从而就可以得到每个处置剧本对应的上述m个参考指标；值得注意的是，m个参考指标中包含的属于安全态势结果的第一指标的数量、包含的属于设备防御能力评估指标的第二指标的数量可以根据实际情况来定，但是各处置剧本分别对应的m个参考指标分别包括的第一指标的数量相同，分别包括的第二指标的数量相同。

值得注意的是，当上述安全态势结果为安全攻击图时，则在利用上述匹配规则为每个处置剧本确定参考指标时，该安全攻击图中与该匹配规则相匹配的参考指标可以为相匹配的攻击链上的各元素，然后对各元素进行赋值处理，以便参与后续计算；若匹配出多条攻击链，可以将一条攻击链当作一个参考指标，然后将多条攻击链作为多个参考指标，而每个攻击链作为参考指标的值可以基于该攻击链上的元素按照设定计算方式进行计算得到，如对每个元素的元素值进行加权求和处理，从而得到该参考指标的值；而每个元素在进行赋值时，可以根据设定赋值规则进行赋值。

在此基础上，上述每个处置剧本就可以有m个参考指标来评估其优劣。各处置剧本的参考指标可以表示为一个n×m的第一矩阵，可以记作A。在选择目标处置剧本时，可以采用优选算法，如可以使用权重法，即定义一个权重向量w＝[w1,w2,...,wm]，其中，wi表示第i个参考指标权重。通过计算各参考指标与其权重的加权结果，就可以得到每个处置剧本的得分，也可以称作优先级。

在此基础上，记每个处置剧本的得分向量(即上述第二矩阵)为x＝[x1,x2,...,xn]，其中xi表示第i个处置剧本的得分，而上述得分向量可以通过矩阵乘法计算得到，即x＝A*w。进而，就可以选择得分向量中得分最高的处置剧本作为上述目标处置剧本，也即上述目标处置剧本对应的决策规则记为本申请要推荐的目标决策规则。由此就可以推荐适配当前网络的决策规则，以更好地保护网络的安全性

基于上述任一实施例，本实施例提供的决策推荐方法，还可以包括下述过程：根据所述各安全检测结果，为所述网络输出相应的响应策略，以基于所述响应策略执行相应的网络防护操作。

具体地，在推荐响应策略，该响应策略的推荐方法可以参考上述目标决策规则的推荐方法，即，将各安全检测结果作为各参考指标，然后为预先定义的各响应策略确定对应的若干个参考指标，然后按照上述目标决策规则的推荐方法实施，详细过程此处不再赘述。由此就可以推荐适配当前网络的响应策略，以执行更好地网络防护操作，保护网络的安全性。

基于上述任一实施例，上述网络安全数据包括网络攻击数据、异常行为数据；在此基础上，本实施例提供的决策推荐方法，还可以包括下述过程：利用统计分析工具，对上述网络攻击数据和异常行为数据进行处理，识别上述网络安全数据存在的攻击规律和攻击趋势；利用异常检测算法对上述网络攻击数据和上述异常行为数据进行识别处理，以识别出上述网络存在的异常情况；输出上述攻击规律、上述攻击趋势和上述异常情况。

具体地，为了更好地对网络安全态势进行深入且准确地理解，本实施例可以利用数据探索和可视化技术，对网络安全数据中的网络攻击数据和异常行为数据进行分析和观察，以发现其中的规律、趋势和异常情况。具体可以使用统计分析、数据挖掘和可视化工具，如统计图表、聚类分析、异常检测等，并通过图表、报告等形式展示网络安全状态的分析结果和趋势，以帮助系统理解网络安全态势。

可选地，基于上述任一实施例，本实施例提供的决策推荐方法，还可以包括下述过程：获取各决策规则的历史使用记录；利用强化学习算法或者自监督学习算法对各决策规则的历史使用记录进行处理，得到优化调整目标；根据所述优化调整目标，对各决策规则进行优化处理。

实际应用中，在网络安全防御中，反馈优化是一种重要的方法，通过不断学习和优化决策策略，以提高智能行动决策的准确性和效果。有鉴于此，本实施例提出，可以引入强化学习算法和自监督学习算法，利用历史使用记录进行决策规则的更新优化，该历史使用记录可以包括实际反馈和历史数据。

具体地，上述强化学习算法是一种通过试错来学习最优决策策略的方法。在网络安全防御中，我们可以将强化学习应用于决策规则优化，以从实际反馈中不断学习和优化决策。具体来说，可以建立一个强化学习模型，将决策过程建模为一个马尔可夫决策过程，通过定义状态、动作、奖励和决策规则等元素，让系统在与环境交互的过程中不断学习和调整决策策略，以获得最大的累积奖励。

在强化学习算法的选择上，可以考虑使用Q-learning算法、深度Q网络(DQN)算法等。这些算法通过建立Q值函数来估计每个动作的价值，并通过更新Q值来优化决策规则。通过引入强化学习算法，可以从实际反馈中不断学习和优化决策规则，提高优化的决策规则的准确性和效果。

值得注意的是，以入侵检测的决策规则为例进行说明，上述强化学习算法涉及的状态、动作、奖励和决策规则的定义如下：

状态定义：将网络流量数据和入侵检测系统的状态(如告警数量、误报率、攻击类型等)作为模型的状态。例如，可以使用流量数据的统计特征，如包大小、发送频率、协议类型等。

动作定义：定义入侵检测系统的响应动作，如阻断流量、加强日志记录、通知安全管理员等。

奖励定义：根据入侵检测的准确性和响应的及时性，定义奖励和惩罚。例如，对于成功检测到未知攻击并及时响应的情况，给予正向奖励；对于误报或漏报事件，给予惩罚。

决策规则定义：建立一个强化学习模型，如深度强化学习框架(如Deep Q-Network)，通过与环境交互来优化入侵检测系统的决策规则。模型根据当前状态和奖励情况选择一个动作，并根据反馈更新决策规则网络，使模型逐步学习更好的入侵检测决策规则。

此外，上述自监督学习是一种无监督学习的方法，通过利用历史使用记录中的内在信息，发现潜在的需要改进的问题决策规则。在网络安全防御中，还可以使用自监督学习算法，对历史使用记录进行挖掘和分析，以发现潜在的问题和改进的空间，其中，上述历史使用记录与时间有关系，每个决策规则都有时间点，随着时间向后，当前的决策记录就变为了历史记录。

具体来说，本实施例可以使用自编码器(autoencoder)或者变分自编码器(variational autoencoder)等算法，对历史使用记录进行建模和学习。这些算法通过学习数据的低维表示，能够发现数据中的隐藏结构和特点。通过对历史使用记录的挖掘，可以发现潜在的问题和改进的空间，以指导决策规则的优化，大致过程如下：

1、数据准备：收集历史决策记录，并进行预处理和特征提取，如统计特征或频度分析等。

2、自编码器建模：构建自编码器模型，包括编码器和解码器部分。编码器将输入的历史使用记录映射到低维潜在空间，解码器将潜在空间的表示解码为重构的数据。

3、损失函数定义：定义自编码器的损失函数，通常使用重构误差作为损失函数，以衡量重构数据与原始数据之间的差异。

4、模型训练：使用历史使用记录训练自编码器模型，通过最小化损失函数优化编码器和解码器的参数，可以使用梯度下降等优化算法进行参数更新。

5、检测异常：使用训练好的自编码器模型，对新的决策规则进行重构，并计算重构误差。如果重构误差超过预定义的阈值，则可以认为这个决策规则存在异常，需要调整。

值得注意的是，上述响应策略也可以参考上述决策规则的优化方法进行优化，此处不再一一详细赘述。

通过引入强化学习算法和自监督学习算法，网络安全防御系统可以在历史使用记录的基础上不断学习和优化决策规则或响应策略。强化学习算法可以从实际反馈中不断调整决策规则/响应策略，以获得更好的效果；而自监督学习算法可以从历使使用记录中发现潜在的问题和改进的可能性，以指导决策规则的优化，从而进一步提高决策规则推荐的准确性和效率，增强网络安全防御的能力。

通过实施本申请提供的决策推荐方法，在采集到网络环境数据后，先对网络环境数据进行数据分析和挖掘处理，从而更深层次的得到该网络中的网络安全数据，也就是对网络进行了更深层次的理解；在此基础上，根据网络安全数据所对应的数据类型，分别调用对应的安全检测模型对网络安全数据进行识别处理，得到各数据类型分别对应的安全检测结果；对各安全检测结果进行关联分析处理，得到所述网络的安全态势结果，从而就可以根据网络安全数据更准确地得到当前网络中的安全态势情况；由于网络安全与网络中的网络安全设备的防御能力相关，因此本申请还会获取所述网络中的网络安全设备的设备防御能力；然后根据预先定义的决策规则，为网络推荐与所述安全态势结果、所述设备防御能力相匹配的目标决策规则，由此一来，推荐的目标决策规则既与网络中的网络安全设备的防御能力相适配，也能与网络中的网络安全态势相匹配，从而使得利用该目标决策规则能够更好且更准确地对网络中的攻击进行防护，进而保护网络中的安全性。

此外，能够通过智能认知、智能理解、智能决策形成全要素知识库，为网络空间安全态势在面对网络攻击时需要采取的防护手段的效率、及时性奠定基础，同时也为安全运营、运维人员监控全网的安全态势提供帮助。

基于同一发明构思，本申请还提供了与上述决策推荐方法对应的决策推荐装置。该决策推荐装置的实施具体可以参考上述对决策推荐方法的描述，此处不再一一论述。

参见图2，图2是本申请一示例性实施例提供的一种决策推荐装置，包括：

采集模块201，用于采集网络的网络环境数据；

第一处理模块202，用于对所述网络环境数据进行数据分析和挖掘处理，得到网络安全数据；

识别模块203，用于根据所述网络安全数据所对应的数据类型，分别调用对应的安全检测模型对所述网络安全数据进行识别处理，得到各数据类型分别对应的安全检测结果；

关联分析模块204，用于对各安全检测结果进行关联分析处理，得到所述网络的安全态势结果；

第一获取模块205，用于获取所述网络中的网络安全设备的设备防御能力；

推荐模块206，用于根据预先定义的决策规则，为所述网络推荐与所述安全态势结果、所述设备防御能力相匹配的目标决策规则。

可选地，基于上述实施例，本实施例中，所述数据类型至少包括：文本类型、入侵检测类型、事件类型、高纬度数据类型、非线性数据类型；

在此基础上，上述识别模块203，具体用于：

当所述网络安全数据中存在文本类型和/或入侵检测类型的数据时，则利用朴素贝叶斯检测模型对所述网络安全数据中的文本数据和/或入侵检测数据进行识别处理，得到第一安全检测结果；

当所述网络安全数据中存在事件类型的数据时，则利用决策树检测模型对所述网络安全数据中存在的网络安全事件进行分类识别处理，得到第二安全检测结果；

当所述网络安全数据中存在高纬度数据类型和/或非线性数据类型的数据时，则利用支持向量机检测模型或随机森林检测模型对所述网络安全数据中存在的高维度安全数据和/或非线性安全数据进行识别处理，得到第三安全检测结果；当所述网络安全数据中存在非线性数据类型的数据时，则利用神经网络检测模型对所述网络安全数据存在的漏洞扫描数据进行识别处理，得到第四安全检测结果。

在此基础上，上述关联分析模块204，具体用于识别各数据类型对应的安全检测结果中具有关联关系的目标要素；根据所述目标要素，构建各检测结果之间的安全态势图。

可选地，基于上述任一实施例，本实施例中的网络安全设备的设备防御能力由各设备防御能力评估指标衡量，每项设备防御能力评估指标由该项设备防御能力评估指标的量化值表征；每项设备防御能力评估指标的量化值为基于该项设备防御能力评估指标的评估标准，对该项设备防御能力评估指标进行打分得到的；

其中，所述设备防御能力评估指标包括：功能完备性指标、安全性强度和鲁棒性指标、更新和修复漏洞能力指标、性能和可扩展性指标、安全策略和控制能力、设备的联动支持能力。

进一步地，上述推荐模块206，具体用于：

获取预先配置的n个处置剧本，其中，每个处置剧本用于表征对网络安全事件或网络攻击进行响应和处理时，依据预定的流程执行相应的处置操作；

将所述n个处置剧本与所述安全态势结果、所述设备防御能力形成的m个参考指标，构成n*m的第一矩阵；

获取每个参考指标对应的权重构成的权重向量，每个参考指标的权重为基于权重法确定出的；

计算所述第一矩阵与所述权重向量的乘积，得到第二矩阵，其中，所述第二矩阵中的每个元素用于表征该元素对应的处置剧本的得分；

基于处置剧本与决策规则之间的对应关系，将各处置剧本的得分中得分满足推荐条件的目标处置剧本对应的决策规则确定为所述目标决策规则。

可选地，基于上述任一实施例，本实施例提供的决策推荐装置，还可以包括：

第一输出模块(图中未示出)，用于根据所述各安全检测结果，为所述网络输出相应的响应策略，以基于所述响应策略执行相应的网络防护操作。

可选地，基于上述任一实施例，本实施例提供的网络安全数据包括网络攻击数据、异常行为数据；在此基础上，本实施例提供的决策推荐装置，还可以包括：

统计模块(图中未示出)，用于利用统计分析工具，对所述网络攻击数据和异常行为数据进行处理，识别所述网络安全数据存在的攻击规律和攻击趋势；

异常检测模块(图中未示出)，用于利用异常检测算法对所述网络攻击数据和所述异常行为数据进行识别处理，以识别出所述网络存在的异常情况；

第二输出模块(图中未示出)，用于输出所述攻击规律、所述攻击趋势和所述异常情况。

可选地，基于上述任一实施例，本实施例提供的决策推荐装置，还可以包括：

第二获取模块(图中未示出)，用于获取各决策规则的历史使用记录；

第二处理模块(图中未示出)，用于利用强化学习算法或者自监督学习算法对各决策规则的历史使用记录进行处理，得到优化调整目标；

优化模块(图中未示出)，用于根据所述优化调整目标，对各决策规则进行优化处理。

基于同一发明构思，本申请实施例提供了一种实施上述决策推荐方法的电子设备。如图3所示，该电子设备可以包括处理器301和机器可读存储介质302，机器可读存储介质302存储有能够被处理器301执行的计算机程序，处理器301被计算机程序促使执行本申请任一实施例所提供的决策推荐方法。此外，该电子设备还包括通信接口303和通信总线304，其中，处理器301，通信接口303，机器可读存储介质302通过通信总线304完成相互间的通信。

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

上述机器可读存储介质302可以为存储器，该存储器可以包括随机存取存储器(Random Access Memory，RAM)、DDR SRAM(Double Data Rate Synchronous DynamicRandom Access Memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。