网络安全态势评估方法、装置、电子设备及可读存储介质

技术领域

本发明实施例涉及网络安全技术领域，特别是涉及一种网络安全态势评估方法、一种网络安全态势评估装置、一种电子设备以及一种计算机可读存储介质。

背景技术

网络安全态势评估主要是指的运用科学的理论、方法和已有的经验等，去感知网络系统的安全状态以及发展趋势等等，使得相关人员通过掌握网络系统的安全状态，从而对可能出现的威胁(例如网络攻击潜在的攻击路径和可能的攻击路径)提前预防，从而避免外部攻击者的网络攻击对网络系统造成危害，降低外部攻击者给网络系统造成的损失。

在具体实现中，网络攻击可以包括复合式攻击，目前复合式攻击已成为当下网络攻击的主流方式，且在未来相当长一段时期内有继续增长扩大的趋势，相对于其他网络安全技术，对于复合式攻击的预测方法的研究开展较晚，因此，如何针对复合式攻击进行识别与预测，以对网络系统的网络安全态势进行评估，是网络安全领域研究面临的一个重要问题。

发明内容

本发明实施例是提供一种网络安全态势评估方法、装置、电子设备以及计算机可读存储介质，以解决不能有效对复合式攻击进行识别与预测，以对网络系统的网络安全态势评估的问题。

本发明实施例公开了一种网络安全态势评估方法，包括：

构建攻防程序、复合式攻击预测模型和分类预测模型；

根据所述攻防程序生成攻防演练数据，并将所述攻防演练数据输入到所述复合式攻击预测模型，得到所述复合式攻击预测模型输出的元素数据；其中，所述攻防演练数据包括复合式攻击的攻防演练数据；

根据所述元素数据对所述分类预测模型进行训练，得到训练完成的分类预测模型；

根据所述训练完成的分类预测模型，对目标网络系统进行网络安全态势评估。

可选地，所述复合式攻击程序至少包括本机攻击程序、同网段攻击程序、异地攻击程序和防御程序；所述复合式攻击预测模型为基于贝叶斯博弈理论构建，所述复合式攻击预测模型的所述元素数据至少包括博弈者、先验概率、行动空间、收益函数、私有信息、共同知识和后验信息修正；所述分类预测模型为贝叶斯分类预测模型。

可选地，所述根据所述训练完成的分类预测模型，对所述目标网络系统进行网络安全态势评估，包括：

获取目标网络系统的网络数据，并将所述网络数据输入到所述训练完成的分类预测模型中得到网络安全态势预测数据；

根据所述网络安全态势预测数据，对所述目标网络系统进行网络安全态势评估。

可选地，所述根据所述网络安全态势预测数据，对所述目标网络系统进行网络安全态势评估，包括：

确定网络安全态势评估要素，并根据所述网络安全态势评估要素从所述网络安全态势预测数据中确定目标网络系统安全态势预测数据；

对所述目标网络系统安全态势预测数据进行量化；

根据量化后的所述目标网络系统安全态势预测数据计算所述目标网络系统的安全指标。

可选地，所述网络安全态势评估要素至少包括漏洞评估要素、攻击风险评估要素和资产与工作任务评估要素；所述安全指标至少包括网络安全总指数。

本发明实施例还公开了一种网络安全态势评估装置，包括：

构建模块，用于构建攻防程序、复合式攻击预测模型和分类预测模型；

生成模块，用于根据所述攻防程序生成攻防演练数据，并将所述攻防演练数据输入到所述复合式攻击预测模型，得到所述复合式攻击预测模型输出的元素数据；其中，所述攻防演练数据包括复合式攻击的攻防演练数据；

训练模块，用于根据所述元素数据对所述分类预测模型进行训练，得到训练完成的分类预测模型；

评估模块，用于根据所述训练完成的分类预测模型，对目标网络系统进行网络安全态势评估。

可选地，所述复合式攻击程序至少包括本机攻击程序、同网段攻击程序、异地攻击程序和防御程序；所述复合式攻击预测模型为基于贝叶斯博弈理论构建，所述复合式攻击预测模型的所述元素数据至少包括博弈者、先验概率、行动空间、收益函数、私有信息、共同知识和后验信息修正；所述分类预测模型为贝叶斯分类预测模型。

可选地，所述评估模块，具体用于：

获取目标网络系统的网络数据，并将所述网络数据输入到所述训练完成的分类预测模型中得到网络安全态势预测数据；

根据所述网络安全态势预测数据，对所述目标网络系统进行网络安全态势评估。

可选地，所述评估模块，具体用于：

确定网络安全态势评估要素，并根据所述网络安全态势评估要素从所述网络安全态势预测数据中确定目标网络系统安全态势预测数据；

对所述目标网络系统安全态势预测数据进行量化；

根据量化后的所述目标网络系统安全态势预测数据计算所述目标网络系统的安全指标。

可选地，所述网络安全态势评估要素至少包括漏洞评估要素、攻击风险评估要素和资产与工作任务评估要素；所述安全指标至少包括网络安全总指数。

本发明实施例还公开了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，所述处理器、所述通信接口以及所述存储器通过所述通信总线完成相互间的通信；

所述存储器，用于存放计算机程序；

所述处理器，用于执行存储器上所存放的程序时，实现如本发明实施例所述的方法。

本发明实施例还公开了一种计算机程序产品，该程序产品被存储在存储介质中，该计算机程序产品被至少一个处理器执行以实现如本发明实施例所述的方法。

本发明实施例还公开了一种计算机可读存储介质，其上存储有指令，当由一个或多个处理器执行时，使得所述处理器执行如本发明实施例所述的方法。

本发明实施例包括以下优点：

在本发明实施例中，构建攻防程序、复合式攻击预测模型和分类预测模型，在根据攻防程序生成包括复合式攻击的攻防演练数据后，将攻防演练数据输入到复合式攻击预测模型得到元素数据，然后，可以根据复合式攻击预测模型的元素数据对分类预测模型进行训练得到训练完成的分类预测模型，从而可以根据训练完成的分类预测模型对目标网络系统进行网络安全态势评估。本发明实施例中可以通过构建攻防程序从而生成攻防演练数据，其中，攻防演练数据包括复合式攻击的攻防演练数据，因此基于攻防演练数据得到的分类预测模型，可以有效对目标网络系统针对复合式攻击进行识别与预测，完成对目标网络系统的网络安全态势评估。此外，本发明实施例是将复合式攻击预测模型的元素数据放入构建的分类预测模型，提高了分类预测模型的预测准确率。

附图说明

图1是本发明实施例中提供的一种应用环境的示意图；

图2是本发明实施例中提供的一种网络安全态势评估方法的步骤流程图；

图3是本发明实施例中提供的一种复合式攻击预测模型的示意图；

图4是本发明实施例中提供的一种网络安全态势评估的实现示意图；

图5是本发明实施例中提供的一种网络安全态势评估装置的结构框图；

图6是实现本发明各个实施例的一种电子设备的硬件结构示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

本发明实施例所提供的网络安全态势评估方法，可以应用于如图1所示的应用环境中。其中，终端设备101与目标网络系统102进行通信。具体地，终端设备101构建攻防程序、复合式攻击预测模型和分类预测模型；根据攻防程序生成攻防演练数据，并将攻防演练数据输入到复合式攻击预测模型，得到复合式攻击预测模型输出的元素数据；其中，攻防演练数据包括复合式攻击的攻防演练数据；根据元素数据对分类预测模型进行训练，得到训练完成的分类预测模型；根据训练完成的分类预测模型，对目标网络系统102进行网络安全态势评估。

实际应用中，终端设备101可以包括但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、车载终端、便携式可穿戴设备和服务器，服务器可以是独立运行的服务器，或者由多个服务器组成的服务器集群，其中，服务器可以是云端服务器。

参照图2，示出了本发明实施例中提供的一种网络安全态势评估方法的步骤流程图，具体可以包括如下步骤：

步骤201、构建攻防程序、复合式攻击预测模型和分类预测模型。

步骤202、根据所述攻防程序生成攻防演练数据，并将所述攻防演练数据输入到所述复合式攻击预测模型，得到所述复合式攻击预测模型输出的元素数据；其中，所述攻防演练数据包括复合式攻击的攻防演练数据。

在本发明实施例，首先构建攻防程序，其中，攻防程序为针对复合式攻击的特点所构建的程序，攻防程序可以有多种，具体可以包括攻击程序(例如本机攻击程序、同网段攻击程序和异地攻击程序等)和防御程序，其中，本发明实施例的攻击程序可以模拟外部攻击者，对网络系统发送网络攻击进行多角度饱和攻击，从而模拟实际中的复合式攻击对网络系统的攻击情形，防御模型则可以对攻击程序的复合式攻击做出对应的防御处理以保护网络系统，具体地，防御模型可以基于对我方的网络系统和网络系统的漏洞情况对攻击者的攻击路径进行预测、对攻击者的新攻击模式进行持续学习、揭示并通晓攻击者所进行的混淆和欺骗行为、阻止攻击者访问网络系统、保护现场等等。本发明实施例获取攻击程序和防御程序在互相进行攻击和防御过程中所生成的攻防演练数据，其中，攻防演练数据可以是包括复合式攻击的攻防演练数据，当然，也可以包括非复合式攻击的攻防演练数据，本发明实施例无需加以限制。

作为一个具体示例，以下对于本机攻击程序、同网段攻击程序和异地攻击程序进行解释说明。本机攻击程序：主要攻击对象：本机的网络端口对应的应用与服务；具体描述：搭建的网络策略安装一个等候程序，该等候程序包括本地攻击程序，使用python开发语言自身的第三方函数库scapy发送、嗅探、剖析并伪造网络数据包，对于收到的网络端口IP地址为查询条件访问数据库得到该网络端口对应的应用。同网段攻击程序：主要攻击对象：本机的网络端口；具体描述：使用python开发语言自身的第三方函数库scapy发送、嗅探、剖析并伪造网络数据包。第三方函数库scapy封装流量TCP(传输控制协议，TransmissionControl Protocol)协议和UDP(用户数据报协议，User Datagram Protocol)协议报文并设置网络端口范围，利用指定模块，例如sr1模块以三层数据报文有序发送(通过三层数据报文发送攻击相当于网络流量的IP地址攻击)，如果收到返回结果，说明网络端口是开放的，完成针对网络端口的模拟攻击。异地攻击程序：主要攻击对象：本机的第三方流量劫持攻击；具体描述：针对应用封装攻击数据包使用Ether(IP(TCP()))类型报文或Ether(IP(UDP()))类型报文或者其他类型报文，利用指定模型，例如sendp()模块Inter设置发送间隔(秒数)、loop设置是否需要一直发送，发送三层数据报文。(sendp：发三层数据报文，Inter：数据包发送间隔(秒数)，loop：设置程序是否一直发送，设置该项为1，否则设置0)。通过三层数据报文发送攻击相当于模拟了在攻防两端的途径的路由器上，假设在路由器上修改正常的MAC地址与IP地址的映射劫持了攻击端流量伪造身份后，发送恶意数据包给防御者的一种场景。

对于防御程序：通过发送攻击指令对刚部署的网络策略进行数据嗅探抓包，针对嗅探到的报文分析出报文五元组(源地址、目的地址、源端口、目的端口、协议)然后加上时间戳进行分类存储，结合时间戳分析报文五元组信息，以一段时间范围内获取报文分析特征。如某一个源地址在一定时间范围内大量访问内网的网络端口，可以判断为攻击者发送的报文。最后将防御数据结果上报给数据库存储，同时后门程序根据数据库存储的防御数据结果标识更新状态执行自毁命令。从而完成策略创建同时完成攻防测试的一种方法，该方法提高了内部网络的安全性及安全测试的实效性。

当然，上述的本机攻击程序、同网段攻击程序和异地攻击程序仅仅是作为示例，除了上述几种攻防程序和防御程序外，本发明实施例还可以根据实际情况设置其他的攻防程序和防御程序，从而可以更好地对复合式攻击进行识别与预测，进而更好地对网络系统进行网络安全态势评估。

在本发明实施例中，在构建攻防程序同时会构建基于贝叶斯博弈理论的复合式攻击预测模型以及分类预测模型。其中，复合式攻击预测模型可以为基于贝叶斯博弈理论构建，参照图3，是本发明实施例的一种复合式攻击预测模型的示意图，复合式攻击预测模型包括攻击程序和防御程序，攻击程序和防御程序分别具有元素数据，其中，元素数据至少可以包括博弈者、先验概率、行动空间、收益函数、私有信息、共同知识和后验信息修正。具体地，攻击程序和防御程序分别具有元素数据的这些元素数据的具体含义如下：博弈者：复合式攻击预测模型模型包含博弈者X和博弈者Y；先验概率：博弈者X认为博弈者Y是某种类型(例如是本机攻击、异地攻击或者同网段攻击等)的先验概率。行动空间：博弈者X或者博弈者X和博弈者Y依据各自所属类型可以选择的行动。收益函数：根据博弈者的类型和选择的行为，博弈者可获得的收益。私有信息：博弈者X知道其自身类型，而博弈者Y仅知道自身类型，而不知道博弈者X的信息是否为合法节点；共同知识：博弈者X知道博弈者Y的类型的先验概率、类型依存行动空间及类型依存收益函数。后验信息修正：博弈者X根据博弈者Y已经实施的攻击行为，对博弈者Y是某种类型的后验概率进行修正。

在本发明实施例中，复合式攻击预测模型可以根据攻击程序与防御程序互相攻击和防御来生成攻防演练数据，其中，攻防演练数据可以包括复合式攻击的攻防演练数据，然后可以将这些攻防演练数据输入到复合式攻击预测模型进，使得复合式攻击预测模型可以根据攻防演练数据输出元素数据。

需要说明的是，本发明实施例复合式攻击预测模型为主动预测和主动防御的研究和实现奠定方法功击的可能性，并且，本发明实施例可以适用于一对多的攻防模式，即可以对复合式攻击进行识别与预测。

步骤203、根据所述元素数据对所述分类预测模型进行训练，得到训练完成的分类预测模型。

在本发明实施例中，在得到复合式攻击预测模型的多个元素数据后，将复合式攻击预测模型的这些元素数据放入构建的分类预测模型中进行训练，在训练完成后就可以得到训练完成的分类预测模型。其中，分类预测模型的预测概率值越高，分类越准确，分类预测模型的运算结果越精确。

作为一个可选示例，分类预测模型可以是，具体地，贝叶斯定理是朴素贝叶斯分类法(Naive Bayesian Classifier)的基础，如果给定数据集里有M个分类类别，通过朴素贝叶斯分类法，可以预测给定观察值是否属于具有最高后验概率的特定类别，也就是说，朴素贝叶斯分类方法预测X属于类别C时，表示当且仅当：

P(C

此时如果最大化P(C

可知，由于P(X)对于所有的类别是均等的，因此只需要P(X|C

为了预测一个未知样本X的类别，可对每个类别C

P(C

当然，上述根据贝叶斯定理构建的贝叶斯分类预测模型仅仅是作为示例，在具体实施本发明实施例时，也可以采用其他算法或者模型构建的分类预测模型，本发明实施例对此无需加以限制。

步骤104、根据所述训练完成的分类预测模型，对目标网络系统进行网络安全态势评估。

具体地，需要进行网络安全态势评估的网络系统为目标网络系统。在本发明实施例中，在得到训练完成的分类预测模型后，在需要对目标网络系统进行网络安全态势评估时，就可以利用训练完成的分类预测模型获得该目标网络系统的网络安全态势预测数据，进而根据网络安全态势预测数据对目标网络系统进行网络安全态势评估，便于相关人员可以根据网络安全态势评估调整网络安全策略，以保证目标网络系统的安全。

在上述的网络安全态势评估方法中，构建攻防程序、复合式攻击预测模型和分类预测模型，在根据攻防程序生成包括复合式攻击的攻防演练数据后，将攻防演练数据输入到复合式攻击预测模型得到元素数据，然后，可以根据复合式攻击预测模型的元素数据对分类预测模型进行训练得到训练完成的分类预测模型，从而可以根据训练完成的分类预测模型对目标网络系统进行网络安全态势评估。本发明实施例中可以通过构建攻防程序从而生成攻防演练数据，其中，攻防演练数据包括复合式攻击的攻防演练数据，因此基于攻防演练数据得到的分类预测模型，可以有效对目标网络系统针对复合式攻击进行识别与预测，完成对目标网络系统的网络安全态势评估。此外，本发明实施例是将复合式攻击预测模型的元素数据放入构建的分类预测模型，提高了分类预测模型的预测准确率。

在本发明的一种优选实施例中，所述步骤104、根据所述训练完成的分类预测模型，对所述目标网络系统进行网络安全态势评估，包括：

获取目标网络系统的网络数据，并将所述网络数据输入到所述训练完成的分类预测模型中得到网络安全态势预测数据；

根据所述网络安全态势预测数据，对所述目标网络系统进行网络安全态势评估。

在本发明实施例中，在需要对目标网络系统进行网络安全态势评估时，可以获取到目标网络系统的网络数据，其中，网络数据可以包括目标网络系统的系统运行数据。然后，将目标网络系统的网络数据输入到训练完成的分类预测模型中，分类预测模型则可以输出目标网络的网络安全态势预测数据，随后，就可以基于网络安全态势预测数据，对目标网络系统进行网络安全态势评估。

在上述示例性实施例中，在获取目标网络系统的网络数据后可以输入到训练完成的分类预测模型中得到网络安全态势预测数据，从而可以根据网络安全态势预测数据，对目标网络系统进行网络安全态势评估，使得相关人员可以根据网络安全态势评估调整目标网络的网络安全策略，以保证目标网络系统的安全性。

在本发明的一种优选实施例中，所述根据所述网络安全态势预测数据，对所述目标网络系统进行网络安全态势评估，包括：

确定网络安全态势评估要素，并根据所述网络安全态势评估要素从所述网络安全态势预测数据中确定目标网络系统安全态势预测数据；

对所述目标网络系统安全态势预测数据进行量化；

根据量化后的所述目标网络系统安全态势预测数据计算所述目标网络系统的安全指标。

在本发明实施例中，对目标网络系统进行网络安全态势量化评估，需要选择网络安全态势评估要素、网络安全态势评估要素的量化和网络安全态势量化计算这三个步骤。

作为一个具体示例，(1)选择网络安全态势评估要素：

可以针对企业级网络系统的具体需求，确定相应多个维度的网络安全态势评估要素。例如，选择的网络安全态势评估要素可以是漏洞评估要素、攻击风险评估要素和资产与工作任务评估要素，当然，也可以根据实际需求选择其他网络安全态势评估要素，来对目标网络系统进行网络安全态势量化评估，本发明实施例对此无需加以限制。(1.1)漏洞评估要素：企业级网络中的漏洞评估要素主要考虑资产的漏洞情况，即在没有网络攻击的情况下，网络系统自身的脆弱情况，包括网络系统自身能够承受多大的攻击、多少攻击以及攻击会给网络系统带来多大的危害和损失等要素。(1.2)攻击风险评估要素：在企业级网络系统中主要考虑网络攻击对网络系统的影响，网络攻击以网络告警的形式存在，并且是由多个安全设备采集的事件关联分析产生，对应诸多网络攻击的攻击风险评估要素的层次结构。(1.3)资产与工作任务评估要素：资产与工作任务评估要素在企业级网络系统中主要从硬件能力、安全防护能力和实际负载等角度来选取，需要考虑网络系统承载的服务是否能够健康运行，组成网络系统的各种节点设备是否能够正常工作并及时向用户提供服务。可选地，为简化评估过程，企业级网络系统中没有对工作任务进行详细描述，资产与工作任务评估要素主要分为容灾性和稳定性两方面。

(2)网络安全态势评估要素的量化

确定了目标网络系统的网络安全态势评估要素以后，需要对各网络安全态势评估要素进行量化。可以理解，指标的量化算法众多，在具体量化算法的选择上，可以根据评估人员的需要以及具体评估对象的特点进行选择。下面通过一个指标量化实例，来对网络安全态势评估中的量化计算过程进行说明。

以计算网络欺骗类威胁指数为例，在指标体系中，网络欺骗类事件有四个指标：目标资产、危害性、事件数目、可清除性。假设在评估人员设定的单位评估时段内，其目标资产、危害性、可清除性三个指标的原始值向量分别为A(t)＝{A

首先，计算在一时间段内网络欺骗类事件的四个属性值。

事件数目：n；

目标资产：

危害性：

可清除性：

其次，对这些属性值进行量化，对事件数目可以选用阈值法，对其他属性则可以选用最大值或最小值法。

(3)网络安全态势量化计算

确定了各个网络安全态势评估要素的量化值以后，采用层次分析法确定各个指标权重。由网络安全指标体系的构建过程可知，整个网络安全是各安全指标综合作用的结果，而且，各指标及子指标对网络系统安全影响的权重各不相同。基于层次分析法原理，网络安全指标体系包括网络安全总指数、各维度网络安全指数(脆弱维度指数、攻击威胁维度指数、资产与工作任务指数)、各维度的影响要素(二级指标和三级指标)等层次，依据专家评判法得到每一层次的目标元素相对上一层次某元素的影响权重，再用加权和的方法归并各子目标对总目标的最终权重。例如，网络安全总指数(IC)由漏洞指数(IF)、攻击风险指数(IV)和资产与工作任务指数(IR)计算得到，具体计算公式为：

IC＝W

其中，W

在求得各类网络威胁事件的威胁指数基础上，通过指标体系中预先定义好的聚集函数，求得整体网络的威胁指数T，威胁指数T具体计算公式为：

当然，上述进行网络安全态势量化计算的计算公式仅仅是作为示例，在具体实施本发明实施例是可以根据实际需求设置，本发明实施例对此无需加以限制。

在目前复杂的网络安全形势下，网络安全事件数据产生的突变峰值，可能标识网络安全态势的重要变化，这是关注的要点，但传统的时序预测模型很难准确预测突变峰值，而且，对非平稳时间序列的网络数据用传统的时序模型进行预测时，如何将网络数据转化为一个较为平稳又不丢失本身信息的时序数据始终是一个难题，针对上述问题，在本发明实施例中，通过预先训练的分类预测模型，可以将目标网络系统的网络数据转换为较为平稳又不丢失本身信息的时序数据，即可以对网络安全态势进行量化并评估，使得对应目标网络系统的评估更加直观，便于相关人员快速理解，进而可以对网络系统的网络安全策略进行调整，进而更好地应对存在的风险，保证网络系统的安全。

为了使本领域技术人员更好地理解本发明实施例中的技术方案，下面通过一个例子进行示例性说明：

参照图4，是本发明实施例中提供的一种网络安全态势评估的实现示意图，实现网络安全态势评估的主要步骤包括：

步骤一：构建基于贝叶斯博弈理论的复合式攻击预测模型；其中，复合式攻击预测模型为根据复合式攻击的特点构建的攻防程序中的多种攻击程序(例如本机攻击程序、同网段攻击程序、异地攻击程序等攻防程序等)与防御程序互相博弈生成的攻防演练数据所生成；

步骤二：将复合式攻击预测模型的七个元素数据放入构建的贝叶斯分类预测模型，预测概率值越高，数据属于分类越准确，模型运算结果越精确；

步骤三：对目标网络进行评估由网络安全态势评估要素、网络安全态势评估要素的量化，网络安全态势量化计算，从而完成网络安全态势量化评估。

在本发明实施例中，首先，基于复合式攻击特点构建本机攻击程序、同网段攻击程序、异地攻击程序等攻防程序，同时，构建基于贝叶斯博弈理论的复合式攻击预测模型和元素数据。其次，将复合式攻击预测模型的元素数据放入构建的贝叶斯分类预测模型，预测概率值越高，数据属于分类越准确，模型运算结果越精确。最后，对目标网络系统进行评估由网络安全态势评估要素、网络安全态势评估要素的量化，网络安全态势量化计算，从而完成对目标网络系统进行网络安全态势评估。本发明实施例通过采用网络安全态势量化评估数量指标对网络系统风险讲行评估，同时采用贝叶斯分类预测模型修复了复合式攻击的识别与预测不准确的问题，进一步保证了网络系统安全。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

参照图5，示出了本发明实施例中提供的一种网络安全态势评估装置的结构框图，具体可以包括如下模块：

构建模块501，用于构建攻防程序、复合式攻击预测模型和分类预测模型；

生成模块502，用于根据所述攻防程序生成攻防演练数据，并将所述攻防演练数据输入到所述复合式攻击预测模型，得到所述复合式攻击预测模型输出的元素数据；其中，所述攻防演练数据包括复合式攻击的攻防演练数据；

训练模块503，用于根据所述元素数据对所述分类预测模型进行训练，得到训练完成的分类预测模型；

评估模块504，用于根据所述训练完成的分类预测模型，对目标网络系统进行网络安全态势评估。

在本发明的一种优选实施例中，所述复合式攻击程序至少包括本机攻击程序、同网段攻击程序、异地攻击程序和防御程序；所述复合式攻击预测模型为基于贝叶斯博弈理论构建，所述复合式攻击预测模型的所述元素数据至少包括博弈者、先验概率、行动空间、收益函数、私有信息、共同知识和后验信息修正；所述分类预测模型为贝叶斯分类预测模型。

在本发明的一种优选实施例中，所述评估模块504，具体用于：

获取目标网络系统的网络数据，并将所述网络数据输入到所述训练完成的分类预测模型中得到网络安全态势预测数据；

根据所述网络安全态势预测数据，对所述目标网络系统进行网络安全态势评估。

在本发明的一种优选实施例中，所述评估模块504，具体用于：

确定网络安全态势评估要素，并根据所述网络安全态势评估要素从所述网络安全态势预测数据中确定目标网络系统安全态势预测数据；

对所述目标网络系统安全态势预测数据进行量化；

根据量化后的所述目标网络系统安全态势预测数据计算所述目标网络系统的安全指标。

在本发明的一种优选实施例中，所述网络安全态势评估要素至少包括漏洞评估要素、攻击风险评估要素和资产与工作任务评估要素；所述安全指标至少包括网络安全总指数。

在本发明实施例中，构建攻防程序、复合式攻击预测模型和分类预测模型，在根据攻防程序生成包括复合式攻击的攻防演练数据后，将攻防演练数据输入到复合式攻击预测模型得到元素数据，然后，可以根据复合式攻击预测模型的元素数据对分类预测模型进行训练得到训练完成的分类预测模型，从而可以根据训练完成的分类预测模型对目标网络系统进行网络安全态势评估。本发明实施例中可以通过构建攻防程序从而生成攻防演练数据，其中，攻防演练数据包括复合式攻击的攻防演练数据，因此基于攻防演练数据得到的分类预测模型，可以有效对目标网络系统针对复合式攻击进行识别与预测，完成对目标网络系统的网络安全态势评估。此外，本发明实施例是将复合式攻击预测模型的元素数据放入构建的分类预测模型，提高了分类预测模型的预测准确率。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

另外，本发明实施例还提供了一种电子设备，包括：处理器，存储器，存储在存储器上并可在处理器上运行的计算机程序，该计算机程序被处理器执行时实现上述网络安全态势评估方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

本发明实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述网络安全态势评估方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random AccessMemory，简称RAM)、磁碟或者光盘等。

本发明实施例还提供一种计算机程序产品，该程序产品被存储在存储介质中，该程序产品被至少一个处理器执行以实现如上述网络安全态势评估方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

图6为实现本发明各个实施例的一种电子设备的硬件结构示意图。

该电子设备600包括但不限于：射频单元601、网络模块602、音频输出单元603、输入单元604、传感器605、显示单元606、用户输入单元607、接口单元608、存储器609、处理器610、以及电源611等部件。本领域技术人员可以理解，图6中示出的电子设备结构并不构成对电子设备的限定，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。在本发明实施例中，电子设备包括但不限于手机、平板电脑、笔记本电脑、掌上电脑、车载终端、可穿戴设备、以及计步器等。

应理解的是，本发明实施例中，射频单元601可用于收发信息或通话过程中，信号的接收和发送，具体的，将来自基站的下行数据接收后，给处理器610处理；另外，将上行的数据发送给基站。通常，射频单元601包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外，射频单元601还可以通过无线通信系统与网络和其他设备通信。

电子设备通过网络模块602为用户提供了无线的宽带互联网访问，如帮助用户收发电子邮件、浏览网页和访问流式媒体等。

音频输出单元603可以将射频单元601或网络模块602接收的或者在存储器609中存储的音频数据转换成音频信号并且输出为声音。而且，音频输出单元603还可以提供与电子设备600执行的特定功能相关的音频输出(例如，呼叫信号接收声音、消息接收声音等等)。音频输出单元603包括扬声器、蜂鸣器以及受话器等。

输入单元604用于接收音频或视频信号。输入单元604可以包括图形处理器(Graphics Processing Unit，GPU)6041和麦克风6042，图形处理器6041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元606上。经图形处理器6041处理后的图像帧可以存储在存储器609(或其它存储介质)中或者经由射频单元601或网络模块602进行发送。麦克风6042可以接收声音，并且能够将这样的声音处理为音频数据。处理后的音频数据可以在电话通话模式的情况下转换为可经由射频单元601发送到移动通信基站的格式输出。

电子设备600还包括至少一种传感器605，比如光传感器、运动传感器以及其他传感器。具体地，光传感器包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板6061的亮度，接近传感器可在电子设备600移动到耳边时，关闭显示面板6061和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别电子设备姿态(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；传感器605还可以包括指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等，在此不再赘述。

显示单元606用于显示由用户输入的信息或提供给用户的信息。显示单元606可包括显示面板6061，可以采用液晶显示器(Liquid Crystal Display，LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板6061。

用户输入单元607可用于接收输入的数字或字符信息，以及产生与电子设备的用户设置以及功能控制有关的键信号输入。具体地，用户输入单元607包括触控面板6071以及其他输入设备6072。触控面板6071，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板6071上或在触控面板6071附近的操作)。触控面板6071可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器610，接收处理器610发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板6071。除了触控面板6071，用户输入单元607还可以包括其他输入设备6072。具体地，其他输入设备6072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。

进一步的，触控面板6071可覆盖在显示面板6061上，当触控面板6071检测到在其上或附近的触摸操作后，传送给处理器610以确定触摸事件的类型，随后处理器610根据触摸事件的类型在显示面板6061上提供相应的视觉输出。虽然在图6中，触控面板6071与显示面板6061是作为两个独立的部件来实现电子设备的输入和输出功能，但是在某些实施例中，可以将触控面板6071与显示面板6061集成而实现电子设备的输入和输出功能，具体此处不做限定。

接口单元608为外部装置与电子设备600连接的接口。例如，外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元608可以用于接收来自外部装置的输入(例如，数据信息、电力等等)并且将接收到的输入传输到电子设备600内的一个或多个元件或者可以用于在电子设备600和外部装置之间传输数据。

存储器609可用于存储软件程序以及各种数据。存储器609可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器609可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

处理器610是电子设备的控制中心，利用各种接口和线路连接整个电子设备的各个部分，通过运行或执行存储在存储器609内的软件程序和/或模块，以及调用存储在存储器609内的数据，执行电子设备的各种功能和处理数据，从而对电子设备进行整体监控。处理器610可包括一个或多个处理单元；优选的，处理器610可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器610中。

电子设备600还可以包括给各个部件供电的电源611(比如电池)，优选的，电源611可以通过电源管理系统与处理器610逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。

另外，电子设备600包括一些未示出的功能模块，在此不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。

本领域普通技术人员可以意识到，结合本发明实施例中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。