一种基于威胁情报的网络安全威胁预测方法及系统

技术领域

本发明涉及一种基于威胁情报的网络安全威胁预测方法及系统，属于电力系统信息安全检测与防御技术领域。

背景技术

随着计算机网络大规模、多应用、大数据化的发展，网络体系结构变得越来越复杂，在这种背景下，计算机病毒、恶意软件、木马遥控等网络攻击造成的影响越来越严重。近年来，诸如APT等高级攻击手段在国防、金融和能源行业造成了严重损失。传统网络安全防护主要采取攻击行为感知、收集与分析、通报等防御手段，通过部署防火墙、入侵检测系统等安全产品，配置相应访问控制策略和审计策略，对网络安全状况进行监测。当发生网络安全事件时，采取相应应急响应和抵御措施，事后进行备份与恢复操作。虽然这种防护模式能抵御一定的网络安全攻击，但仍具有滞后性，事件处理效果受限于安全事件的识别能力、响应速度、响应时长及事后数据备份与恢复的效率。防护方对攻击行为和安全事件识别的能力直接影响后续应急补救措施以及数据备份、恢复方式和时机的选择。在实际案例中，经常发生对安全事件成因的误判而导致应急手段失误，由此引发系统遭到攻击的情况屡见不鲜。

研究有效的网络安全威胁预测方法具有迫切的现实意义，已成为研究热点之一。威胁情报(Threat Intelligence)是通过大数据、分布式系统或其他特定收集方式获取，包括漏洞、威胁、特征、行为等一系列证据的知识集合及可操作性建议，可还原已发生的和预测未来可能发生的网络攻击，为用户决策提供参考依据，帮助用户避免或减小网络攻击带来的损失。但现有的技术不能从总体上对网络环境中的威胁行为做到及时响应和提前防御，并且不能同时兼顾威胁预测的预测效率和准确性。

发明内容

发明目的：针对现有技术的不足，本发明提供了一种基于威胁情报的网络安全威胁预测方法及系统，提高电力系统或其他工控系统的网络安全防御能力。

技术方案：一种基于威胁情报的网络安全威胁预测方法，包括以下步骤：

搜集情报信息，包括内部威胁情报和外部威胁情报，内部威胁情报是指来源于目标系统中的安全事件信息，外部威胁情报是指由情报提供者提供的开源情报或威胁情报；

对搜集到的内部威胁情报和外部威胁情报进行标准化处理，统一情报格式；

对标准化后的威胁情报进行特征编码向量化；

利用基于深度神经网络算法的分类模型对经过特征编码的威胁情报进行分类，将威胁情报分为可信、不可信、无法判断三类；

利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报，剩余的则为非高质量威胁情报；

从高质量威胁情报中提取上下文数据，分析攻击意图并预测攻击行为；

基于攻击者和防御者之间的博弈关系，使用混合策略纳什均衡预测基于非高质量威胁情报的攻击行为。

进一步地，对威胁情报做标准化处理包括：

依据公式

依据公式

依据公式

依据公式Sim(A

根据相似度计算结果进行威胁情报的数据归并，根据描述网络威胁信息的标准化语言得到标准STIX情报数据。

进一步地，对标准化后的威胁情报进行特征编码向量化包括：

采用onehot特征编码将每个情报来源映射到不同维度上，对n个不同的情报源进行顺序编号，将情报来源映射到n维的0、1特征空间，作为威胁情报来源特征；

基于同一情报在不同时间段的多次发布时间，记录最近的N次发布时间，作为威胁情报时间特征；

基于威胁情报内容，提取攻击类型、IP地址/域名经度、IP地址/域名纬度、恶意IP地址个数、恶意域名个数、恶意URL个数、恶意文本样本个数，作为威胁情报内容特征；

基于黑名单库，获取威胁情报中IP地址、域名、文件Hash、URL与黑名单库中的重叠个数，作为基于黑名单库的特征编码。

进一步地，基于深度神经网络算法的分类模型包括输入层、输出层和多个全连接层3部分，输入层神经元负责接收特征输入，全连接层和输出层通过功能神经元对输入进行函数处理，其中函数处理由一个线性函数

进一步地，分类模型的训练包括：

通过激活函数和随机化连接权值对深度神经网络进行初始化，设定无标签输入情报集x，利用特征编码得到编码矢量h

利用激活函数得到第一层训练编码矢量X

添加Softmax分类器，通过假设函数计算概率，利用最小化负对数似然函数作为分类器损失函数，并通过最小化损失函数值调节顶层网络参数W

利用误差反向传播算法对网络进行微调。

进一步地，利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报包括：

将每条可信的内部威胁情报与所有可信的外部威胁情报进行遍历匹配，当出现攻击类型相同、漏洞标识相同、风险标识相同、恶意软件Hash值相等且攻击工具相同的匹配结果时，该内部威胁情报为高质量威胁情报。

进一步地，混合策略纳什均衡包括：

网络攻防博弈模型表示为

在混合策略下，攻击方和防御方的收益预期分别为：

由博弈均衡的定义可知，均衡收益的收益期望E

m、n分别代表攻击策略数量和防御策略数量，P

一种基于威胁情报的网络安全威胁预测系统，包括：

情报收集模块，用于搜集情报信息，所述情报信息包括内部威胁情报和外部威胁情报，内部威胁情报是指来源于目标系统中的安全事件信息，外部威胁情报是指由情报提供者提供的开源情报或威胁情报；

数据处理模块，用于对搜集到的内部威胁情报和外部威胁情报进行标准化处理，统一情报格式；以及对标准化后的威胁情报进行特征编码向量化；

威胁预测模块，用于根据经过特征编码的情报信息预测安全威胁，包括：

情报分类单元，利用基于深度神经网络算法的分类模型对经过特征编码的威胁情报进行分类，将威胁情报分为可信、不可信、无法判断三类；

情报级别确定单元，利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报，剩余的则为非高质量威胁情报；

第一情报分析及预测单元，用于从高质量威胁情报中提取上下文数据，分析攻击意图并预测攻击行为；

第二情报分析及预测单元，用于基于攻击者和防御者之间的博弈关系，使用混合策略纳什均衡预测基于非高质量威胁情报的攻击行为。

本发明还提供一种计算机设备，包括：一个或多个处理器；存储器；以及一个或多个程序，其中所述一个或多个程序被存储在所述存储器中，并且被配置为由所述一个或多个处理器执行，所述程序被处理器执行时实现如上所述的基于威胁情报的网络安全威胁预测方法的步骤。

本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的基于威胁情报的网络安全威胁预测方法的步骤。

有益效果：本发明通过构建两种不同的预测模型，提高攻击威胁预测准确率。首先利用基于深度神经网络算法结合Softmax分类器对威胁情报进行分类，结合高质量威胁情报匹配规则，得到可信的高质量的威胁情报。其次，利用博弈论的思想结合混合策略纳什均衡算法对高质量匹配规则匹配不到的非高质量内部情报进行攻防模拟找到攻击者的最优攻击策略。最后，根据高质量的威胁情报上下文分析以及从攻击者最优攻击策略出发对网络环境提供及时的防御措施。该方法在攻击威胁预测准确率高的情况下，同时有着较快的检测效率，满足电力行业系统的网络安全检测需求。本发明可用于电力系统以及其他工控系统的网络安全防御。

附图说明

图1为本发明所述的威胁情报标准化的流程图；

图2为本发明所述的情报源onehot特征编码示意图；

图3为本发明所述的基于深度神经网络算法的情报评估模型的验证流程图；

图4为本发明所述的高质量内部威胁情报匹配流程图；

图5为本发明所述的基于威胁情报的网络安全威胁预测流程图。

具体实施方式

下面结合附图对本发明的技术方案作进一步说明。

本发明提出了一种基于威胁情报的网络安全威胁预测方法，首先对威胁情报进行搜集，然后对搜集到的威胁情报做STIX标准化处理，通过构建基于深度神经网络算法的分类模型并利用高质量情报匹配规则从网络威胁情报中提取高质量威胁情报，从高质量威胁情报中提取上下文数据分析攻击意图并预测攻击行为。在缺乏高质量威胁情报的情况下，基于攻击者和防御者之间的博弈关系，使用混合策略纳什均衡来预测攻击行为。本方法可为安全管理员提前防御提供精准、可靠、全面的判断依据。

本发明还提出了一种基于威胁情报的网络安全威胁预测系统，包括情报搜集模块、数据处理模块以及威胁预测模块。

情报搜集模块主要用于情报信息的获取，情报信息主要分为内部情报和外部情报。内部情报数据源主要包括：安全系统数据、网络系统数据、业务系统数据、安全人员上报数据、资产信息数据及各类日志数据等，可通过syslog、snmp等协议获取。外部情报分为互联网数据源和第三方数据源，互联网数据源包括：IP指纹、IP定位数据、Web指纹、DNS数据、Whois数据、社工数据、漏洞库等数据,可通过爬虫等方式获取；第三方数据源包括：公开情报源、合作交换源、供应商的商业源，可通过共享和购买等方式获取。

数据处理模块负责多源数据的预处理和特征编码，其中预处理包括数据清洗、数据标准化、数据封装，经过预处理后的数据才能应用于下一阶段的编码。数据清洗是对威胁信息数据进行筛选、校验、去噪等处理。数据标准化是对多源异构数据统一处理格式化为STIX格式的数据，形成标准化的威胁信息数据。数据封装是对格式化后的数据利用XML格式封装，形成统一的威胁情报共享协议。

威胁预测模块根据经过特征编码的情报信息预测安全威胁，其包含两种预测模型，一种是通过基于深度神经网络算法的情报评估模型得到可信情报，继而利用高质量威胁情报匹配规则得到高质量威胁情报，并从中进行上下文数据分析找出攻击意图并预测攻击行为；另一种是通过攻防博弈建模基于目标系统中攻防之间的博弈，并使用混合策略纳什均衡来预测攻击行为。如结合下文描述将更清楚地了解到的，威胁预测模块包括：情报分类单元，利用基于深度神经网络算法的分类模型对经过特征编码的威胁情报进行分类，将威胁情报分为可信、不可信、无法判断三类；情报级别确定单元，利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报，剩余的则为非高质量威胁情报；第一情报分析及预测单元，用于从高质量威胁情报中提取上下文数据，分析攻击意图并预测攻击行为；以及第二情报分析及预测单元，用于基于攻击者和防御者之间的博弈关系，使用混合策略纳什均衡预测基于非高质量威胁情报的攻击行为。

根据本发明的实施方式，基于威胁情报的网络安全威胁预测系统和基于威胁情报的网络安全威胁预测方法是对应的关系，应当理解，系统各个功能模块的功能可以根据方法中的操作步骤具体实现。为了对本发明的技术方案的实现、优点、特征有更清楚的了解，下面从威胁情报分类、威胁情报数据的标准化、威胁情报的特征编码、基于深度神经网络算法的情报评估模型构建、攻防博弈模型的构建等方面对本发明的实施方式做出详细阐述。

A、威胁情报分类

威胁情报包含大量安全事件信息。但是，并非所有安全事件信息都适用于本发明的方法。为了提高数据准确性，获取安全事件的相关上下文数据，本发明引入了高质量威胁情报的概念，同时提出了基于深度神经网络算法的情报评估模型，以获取高质量的威胁情报。内部威胁情报、外部威胁情报和高质量威胁情报的定义如下：

定义1：内部威胁情报：内部威胁情报来源于目标系统中的安全事件信息，并通过将相关数据集成到安全设备中获得，如安全信息和事件管理(SIEM)工具和入侵检测系统(IDS)。

定义2：外部威胁情报：由情报提供者提供的开源情报或威胁情报。

定义3：高质量威胁情报：外部威胁情报存在安全事件的上下文数据或相关信息，对防御具有指导意义。

B、威胁情报数据的标准化

在情报数据格式方面，目前主要标准有CybOX、STIX、TAXII 3种。CybOX(cyberobservables expression)提供了一个标准化的威胁情报表达方法，主要用于规范描述在通信和网络操作中观察到事件的状态属性。STIX(structured threat informationexpression)设计了一套结构化威胁信息表达式，通过威胁源、攻击动机、攻击手段、防御措施等特征表达威胁攻击细节，是目前最普遍使用的威胁情报数据格式。TAXII(trustedautomated exchange of indicator information)则定义了数据传输共享的规范，在实施时可以跨组织、产品和服务边界共享网络威胁情报。目前主要基于CybOX进行情报描述，基于STIX进行格式定义，基于TAXII进行情报共享。

为了便于高质量威胁情报的提取以及威胁情报共享，在进行威胁预测之前，必须统一内部和外部威胁情报格式。本发明使用结构化威胁信息表达(STIX)作为内部和外部威胁情报格式。STIX是一种用于交换网络威胁情报的语言和序列化格式，STIX体系结构由多个网络威胁信息组成，如网络观察、指标、事件、攻击者使用的策略、技术和程序(TTP)、攻击目标、应对方案、攻击活动和威胁源。根据本发明的实施方式，威胁情报的STIX标准化流程如下：

步骤201：威胁情报来源判别。

步骤202：如果威胁情报是通过共享或购买方式获取的已经标准化为STIX格式的威胁情报，则直接进入步骤205。

步骤203：如果是企业安全设备自产情报，一般为固定的syslog格式日志，则进行正则匹配，提取出关键数据，然后进入步骤205。

步骤204：如果是开源情报共享平台，先调用第三方接口和数据挖掘方法进行数据富化，然后进入步骤205。

步骤205：依据公式

步骤206：依据公式

步骤207：依据公式

步骤208：依据公式Sim(A

步骤209：根据相似度计算结果进行威胁情报的数据归并，例如，根据应用场景调节设置具体的阈值(本文取0.75)，然后将计算出来的相似度大于等于该阈值的威胁情报归为一类。根据STIX描述网络威胁信息的标准化语言得到标准STIX情报数据。

在利用数据标准化方法将情报归并转换为标准结构化数据后，还需要从这些情报中提取出高质量威胁情报，以此提高攻击溯源和威胁预测的准确性和可靠性。本发明首先利用特征编码的方式将情报数据抽象表达出来，然后采用深度神经网络算法训练质量分类模型，将威胁情报分为可信、不可信、无法判断三类。然后，构建高质量情报匹配规则，将可信的内部威胁情报利用高质量情报匹配规则进行匹配分类，依据匹配结果分为高质量威胁情报和非高质量威胁情报。根据分类结果，本发明分别从情报来源、发布时间、情报内容、黑名单匹配程度四个方面对情报数据进行特征编码并向量化。

C、威胁情报的特征编码

情报来源很大程度反映出一条情报的可信程度，一般来说，多源情报比单源情报质量更高，知名威胁情报厂商、专业情报评估机构比个人情报数据质量更高。由于情报来源间关联性小，为了保证每个情报来源特征独立性，这里采用onehot特征编码将每个情报源映射到不同维度上。对n个不同的情报源，对其顺序编号，分别将其映射到n维的0、1特征空间。

图2为本发明所述的情报源onehot特征编码示意图。设情报来源为：badIPs、malware、天际友盟、微步在线、VirusTotal等。

步骤301：开始onehot编码。

步骤302：对不同情报来源进行编号，从1开始，直到n。

步骤303：构造每个威胁情报来源的onehot编码。

步骤304：构造n维的onehot矩阵。

步骤305：onehot编码结束。

除了对攻击源onehot编码之外，本发明还提出以下三种维度的特征编码，分别对威胁情报从四个维度进行特征编码。

威胁情报具有很强的时效性，发布时间也是评价情报质量的重要特征指标。一般来说，当前时间离情报发布时间越近，其质量越高，其次，对于同一情报在不同时间段多次发布，通过记录最近3次发步时间，能够表征情报的波动趋势，如表1所示，基于时间维度的特征编码，有助于分析当前情报的可信程度。

表1基于时间维度的特征编码

情报内容描述攻击者采取行动时间、地点和攻击手段。有效分析威胁情报内容，有助于感知威胁态势，描绘出攻击发生的情境，为安全从业人员快速提供预警消息。如表2所示，基于内容维度的特征编码提取攻击类型、IP地址/域名经度、IP地址/域名维度、恶意IP地址个数、恶意域名个数、恶意URL个数、恶意文本样本个数7个特征。其中攻击类型与上下文情报源编码方式相同，将不同类型的攻击方式映射到不同维度。

表2基于内容维度的特征编码

黑名单库是对历史恶意IP地址、恶意域名、恶意文件Hash、恶意URL的所有记录，如表3所示。虽然库中大部分数据可能已失效，但是情报内容中的IP地址、域名等数据与库中的重叠个数可以说明当前情报数据的可信程度。

表3基于黑名单库的特征编码

/>

D、基于深度神经网络算法的情报评估模型构建

为了对威胁情报进行质量评估，对情报数据进行特征提取后，本发明采用深度神经网络算法训练质量分类模型。深度神经网络在网络结构上由输入层、输出层和多个全连接层3部分组成，输入层神经元负责接收特征输入，全连接层和输出层通过功能神经元对输入进行函数处理。函数处理与局部模型和感知机相同，由一个线性函数

为解决多层网络训练的问题，无监督逐层训练应运而生，其借鉴贪心算法的思想，每次只训练一层全连接层节点，训练过程中将上一层全连接层的输出作为本层输入，逐层预训练完成后，再利用BP等算法对网络进行有监督微调，提高模型的准确率。

模型训练分为以下几个步骤：

步骤401：通过激活函数和随机化连接权值首先对深度神经网络初始化。设定无标签输入情报集x,利用特征编码得到编码矢量h

步骤402：将h

步骤403：利用激活函数

步骤404：将第一层训练结果通过随机连接权和激活函数的方式得到第二层训练编码矢量X

步骤405：重复步骤404，直至得到第N层特征向量X

步骤406：添加Softmax分类器，通过假设函数计算概率，利用最小化负对数似然函数作为分类器loss,为了提高分类精度，可通过最小化loss调节顶层网络参数W

假设训练的数据集{(x

其中，w是分类器的模型参数。loss的计算公式如下：

步骤407：利用误差反向传播算法对网络进行微调。根据已标注的情报数据，利用样本标签与模型输出结果的误差，结合梯度下降优化算法进行有监督训练，网络参数{W

其中，γ是神经网络的学习率，W

本发明实施例中从badIPs、malware、天际友盟等9个威胁情报源中获取威胁情报数据，经过富化、相似度计算以及标准化处理后，得到2010条标准化为STIX格式的情报，其中攻击类型有15种。经专业安全专家人工标记，分为可信1477条，不可信127条，无法确定406条三类。

下面对模型进行验证评估。图3为本发明所述的基于深度神经网络算法的情报评估模型的验证流程示意图。其验证包括如下步骤：

步骤501：从情报来源、发布时间、情报内容、黑名单库匹配程度4个方面提取情报特征，利用9个威胁情报来源数据，15种攻击类型进行验证，故将编码后的情报用一个38维特征向量表示。

步骤502：将数据分成k份(本文取k为5)，每次从中取一份作为测试集，其余k-1份作为训练集，共进行k次，分别计算每次测试集的准确率和召回率。因为每次测试数据中可信、不可信、无法判断的数据量是已知的(人工标记过的)，所以利用模型分类后的结果，计算准确率和召回率，作为评价算法模型的优劣的依据。

步骤503：为了预防后期网络陷入局部最优，采用无监督逐层贪婪预训练初始化网络参数，然后计算Softmax分类器loss值，采用反向误差传播算法更新网络权值，使得分类效果更优。

步骤504：将测试集数据通过全连接层映射到多维可分空间中，并用Softmax计算分类结果。

实验将本发明算法与决策树算法、SVM算法分别进行训练比对，对比结果如表4：

表4各算法分类结果比对

通过验证可知，本发明采用的基于深度神经网络算法训练质量分类模型具有很高的查准率和查全率。SVM算法和决策树算法所采用的Sklean库中自带的分类器与本发明所提出的分类模型算法相比，本发明算法更适合威胁情报的分类。

对于得到的可信情报，因为外部威胁情报的攻击描述是确定且可靠的，所以可以构建高质量威胁情报匹配规则，对于可信的内部威胁情报进行匹配，根据匹配结果获取内部威胁情报中的高质量情报。参照图4，整个匹配规则如下：

步骤601：输入每条可信的内部威胁情报与所有可信的外部威胁情报进行遍历匹配。

步骤602：如果内部威胁情报攻击类型唯一标识号与外部威胁情报攻击类型唯一标识号相等，跳到步骤603；否则，跳到步骤601。

步骤603：如果内部威胁情报漏洞和风险的唯一标识号与外部威胁情报漏洞和风险的唯一标识号相等，跳到步骤604，否则，跳到步骤601。

步骤604：如果内部威胁情报恶意软件Hash值与外部威胁情报恶意软件Hash值相等，且两者SDO对象描述的攻击工具名称也一样，则此内部威胁情报是高质量的。否则，跳到步骤601。

为了实现网络安全攻击威胁预测，对于得到的高质量威胁情报，其包含目标系统中的安全事件上下文数据，包括攻击者、TTP、攻击目标和攻击意图等关键信息，防御者可以根据威胁信息对目标系统进行有针对性的加固。对于非高质量威胁情报，构建目标系统中攻防博弈模型(AD–GM)，使用混合策略纳什均衡来预测攻击行为。

E、攻防博弈模型(AD–GM)的构建

在网络空间的攻击和防御中，攻击方和防御方的目标是对立的，双方采取的策略是有针对性的。本发明根据双方关系的特点，采用非合作零和博弈模型对网络的攻击和防御进行建模。网络攻防博弈模型可以表示为

首先，根据目标系统中的漏洞信息，获取攻击者可能采取的策略，然后使用相应的防御方法作为防御策略集。通过计算攻击者和防御者不同策略的收益，可以根据实现纳什均衡的混合策略的概率分布来实现攻击行为的预测。在游戏过程中，攻防双方都在追求自身利益的最大化。双方的收益取决于双方采取的策略。任何一方都采取行动策略来产生报酬和成本，收益是报酬和成本之间的差异。

定义4：攻击成本(AC)，攻击者采取攻击行动所产生的成本，包括硬件和软件资源、时间、劳动力成本和可能的限制。攻击的威胁程度越高，攻击的成本就越高。参考林肯实验室攻击分类来量化AC，具体值如表5所示。

表5攻击分类

定义5：防御成本(DC)，采取防御措施的成本。根据防御策略的类别，防御策略分为：无防御

表6防御分类

定义6：攻击奖励(AR)，攻击行为对系统的影响。它由攻击成功率、攻击威胁程度(AL)和对目标系统的破坏程度K

K

在零和博弈中，双方的收益相对相等，即U

攻击者收益表示为：U

防御者收益表示为：U

在网络攻防博弈中，攻击方和防御方的策略选择是独立的、同时的。在混合策略下，双方的利润预期为：

根据非合作博弈论原理，利用Brouwer不动点定理，可以得出攻防博弈模型中存在纳什均衡的结论。也就是说，混合策略

m、n分别代表攻击策略数量和防御策略数量，P

总之，混合策略

图5为本发明所述的基于威胁情报的网络安全威胁预测流程示意图。其整个预测流程如下：

步骤701：收集威胁情报：从企业WAF、漏扫设备、入侵检测系统、入侵防御系统、资产采集系统、态势感知系统等获取内部威胁情报；从互联网渠道、威胁情报供应商、开源情报共享平台等获取外部威胁情报。

步骤702：将威胁情报进行不同维度的相似度计算，聚合情报标准化为STIX格式，具体标准化方法参照前述步骤201-209的描述。

步骤703：将标准化后的威胁情报进行特征编码向量化，具体编码方法参照前述前述“C、威胁情报的特征编码”中的描述。

步骤704：利用威胁情报评估模型对威胁情报进行评估分类。威胁情报评估模型的具体结构、训练和验证过程参照前述“D、基于深度神经网络算法的情报评估模型构建”的描述。

步骤705：根据高质量威胁情报匹配规则，得到内部高质量威胁情报，继而利用高质量威胁情报上下文分析识别攻击意图并预测攻击，由于高质量的威胁情报是以STIX标准进行格式化的，其所描述的攻击类型、攻击手段、攻击意图等信息是明确的，所以可以直接从情报中获取出攻击者、TTP、攻击目标和攻击意图，从而进行相应的防御。

步骤706：利用优化后的攻防博弈模型对非高质量威胁情报进行攻击预测。所述优化后的攻防博弈模型具体参照“E、攻防博弈模型(AD–GM)的构建”的描述。

步骤707：安全管理员根据预测结果和攻击意图进行攻击溯源分析和提前防御。

本发明还提供一种计算机设备，包括：一个或多个处理器；存储器；以及一个或多个程序，其中所述一个或多个程序被存储在所述存储器中，并且被配置为由所述一个或多个处理器执行，所述程序被处理器执行时实现如上所述的基于威胁情报的网络安全威胁预测方法的步骤。

本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的基于威胁情报的网络安全威胁预测方法的步骤。

本发明提出的基于威胁情报的网络安全威胁预测方法，基于深度神经网络构建的威胁情报评估模型得到可信情报，然后利用高质量威胁情报匹配规则获取高质量情报，得到的高质量威胁情报具有很高的分析价值，可以直接进行攻击溯源和攻击预测。基于博弈论思想结合混合策略纳什均衡算法对非高质量情报分析得到攻击者最佳攻击策略并据此制定最佳防御策略。本发明提高了网络安全的实时性与有效性，同时综合了多源数据，从而从总体上对网络环境的安全进行把控。本发明在攻击威胁预测准确率高的情况下，同时具有较快的检测效率，满足电力行业系统的网络安全检测需求。