导航：首页> 电通信技术>一种多源数据融合的网络安全态势感知方法及装置

一种多源数据融合的网络安全态势感知方法及装置

文献发布时间：2024-04-18 19:58:53

技术领域

本发明属于网络安全技术领域，特别涉及一种多源数据融合的网络安全态势感知方法及装置。

背景技术

网络安全态势感知是指通过收集、分析和评估网络上的信息，对当前网络的安全状况进行实时感知和监控的能力。它旨在帮助组织及时发现并应对潜在的网络安全威胁。在当前的发展现状下，网络安全态势感知相关行业技术呈现出以下几个主要特点：

第一，数据源丰富多样。随着云计算、物联网和大数据技术的快速发展，网络安全态势感知所依赖的数据源日益增多。包括网络流量数据、日志数据、事件数据、用户行为数据等。这些数据源的种类和规模不断扩大，提供了更广泛、更丰富的信息基础。

第二，实时监测与响应能力提升。传统的网络安全防御注重被动应对，而网络安全态势感知则更加注重主动监测和响应。通过利用实时数据的分析、机器学习和人工智能等技术手段，可以快速识别异常行为、攻击和威胁，并及时采取相应的防御和应对措施。

第三，自动化与智能化应用广泛。网络安全态势感知趋向于自动化和智能化。自动化的分析和决策系统可以提高安全事件的识别和响应效率，并减少人为操作的错误。智能化的算法和模型，通过对历史数据的分析和学习，不断优化预测和决策的准确性。

第四，多维度威胁评估成为关键。网络安全态势感知已经从单一的威胁指标扩展到多维度的威胁评估。除了传统的网络攻击和漏洞，还需关注恶意软件、内部威胁、社交工程等多种安全威胁。同时，也要考虑基础设施、应用系统和云服务等各个层面的安全问题。

第五，跨界合作与共享信息成为趋势。网络安全态势感知需要跨界合作和共享信息。各个组织可以通过共享威胁情报、行为分析结果和安全事件响应经验等信息，提高整体的安全防御水平。各个组织多方合作也能够加强网络安全态势感知的研究和实践。

现有的网络态势感知技术通常使用预定义的规则集来检测异常行为和威胁。该技术存在以下问题：

第一，这些规则需要手动定义，对于新出现的威胁和攻击模式常常无法有效识别，导致漏报或误报的情况。而且，随着网络规模和复杂性的增加，手动定义规则变得更加困难和耗时。

第二，其技术往往难以处理大规模数据：随着网络数据量的不断增加，传统网络态势感知技术往往难以应对大规模数据的处理和分析。传统方法往往基于特征工程和人工筛选来提取关键信息，但在大规模数据下，这种方法效率低下且不具有可伸缩性。

第三，传统技术对零日攻击和未知威胁的应对能力有限：传统的网络态势感知技术主要基于已知攻击模式进行检测和分析，对于零日攻击和未知威胁的应对能力较弱。由于这些攻击模式尚未被探测出来，传统方法难以及时发现和防御，导致网络安全存在重大风险。

第四，传统网络态势感知技术通常是在单个感知节点上运行，无法提供整体性和全局视角的网络安全情报。这种孤立的感知节点设计使得信息共享和协同分析困难，无法充分利用多源数据和跨组织协作来提升网络安全防护能力。

第五，对复杂的攻击技术的识别能力有限：随着攻击者使用更加复杂和隐蔽的攻击技术，传统网络态势感知技术往往无法准确识别和阻止这些攻击。例如，高级持续性威胁(APT)等针对特定目标的攻击，传统方法的规则集可能无法完全覆盖这些攻击技术，导致安全漏洞。

发明内容

本发明提供了一种多源数据融合的网络安全态势感知方法及装置，旨在解决上述现有技术中存在的技术问题。

本发明解决上述技术问题的技术方案如下：一种多源数据融合的网络安全态势感知方法，包括：

S1：对多种网络安全数据源进行数据采集并整合，得到待处理数据集；

S2：对所述待处理数据集进行预处理和清洗，得到初始数据集；

S3:基于层次分析法和熵权法，构建初始数据集的态势评估要素，并对所述初始数据集的态势评估要素进行评估，得到态势评估要素的评估权重；

S4：基于历史数据的时间序列建立时间分析模型，通过所述时间分析模型对历史数据进行分析，得到历史数据的趋势和周期性变化，并基于历史数据的趋势和周期性变化预测未来网络安全态势，得到预测结果；

S5：将所述预测结果与所述态势评估要素的评估权重相结合并分析，得到网络安全态势评估，当所述网络安全态势评估达到或超过预定的网络安全态势评阈值，触发报警。

本发明的有益效果是：本发明通过层次分析法和熵权法的结合，能够综合考虑多个指标，提供更全面、准确的评估结果。通过分析法和熵权法的权重分析，使评估权重的评估结果更加具有客观性和可靠性，能帮助决策者更好地理解和接受评估结果。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，上述S1中，多种网络安全数据源包括防火墙、入侵检测系统、日志记录。

进一步，上述S2中，所述清洗包括去重、错误修正、异常检测和数据归一化。

进一步，上述S3具体为：

S3.1：基于层次分析法，建立多层次结构，利用多层次结构中的指标将所述初始数据集进行分类处理，得到多个分类数据，多个分类数据包括：静态配置数据、设备数据、访问数据、流量数据、报警数据和漏洞数据，并将各个分类数据进行属性向量化处理，得到各个分类数据的属性向量；

S3.2：基于所述属性向量，在多层次结构的准则层中设置各个分类数据对应的态势评估要素，根据各个分类数据和所述态势评估要素，构建态势评估要素判断矩阵，所述态势评估要素判断矩阵如下式所示：

其中，r

S3.3：通过所述态势评估要素判断矩阵计算态势评估要素的特征值和特征向量，再对特征向量进行标准归一化处理，得到态势评估要素对应的第一权重；

S3.4：基于熵权法，计算态势评估要素的信息熵，得到态势评估要素的第二权重，同时引入间距函数，使得第二权重与第一权重之差保持一致；

S3.5：基于线性组合法，将所述第一权重与所述第二权重进行融合，得到态势评估要素的评估权重。

采用上述进一步方案的有益效果是：本发明的层次分析法，用于确定不同的态势评估要素对态势评估的影响程度，包括对决策结果的重要性、指标的权重以及评估因素的优先级排序。通过使用层级分析法，使得态势评估更加科学和可靠。并结合熵权法，将势评估要素的重要性和其所携带的信息量相结合，以确保每个态势评估要素的考虑更加全面和客观。

进一步，上述S4具体为：

S4.1：获取关于历史数据的时间序列数据，对所述时间序列数据进行相关性分析处理，得到相关性数据；

S4.2:基于相关性数据，建立时间分析模型并对所述相关性数据进行拟合，并对拟合后的相关性数据进行分析，得到预测结果。

进一步，上述S4.1中对所述时间序列数据进行相关性分析处理具体为：

S4.1.1：根据获取的时间序列数据，绘制时间序列曲线，并观察时间序列曲线中是否存在跳点和转折点；

S4.1.2：若存在跳点且跳点超出跳跃阈值范围，则通过拟合方法将超出跳跃阈值范围的跳点转化到跳跃阈值范围内；

S4.1.3：若存在转折点，则基于拟合方法将存在转折点的段落进行拟合。进一步，上述S4.2中，基于相关性数据，建立时间分析模型具体为：

S4.2.1：当所述相关性数据为基础时间序列时，所述时间分析模型采用趋势模型和/或季节性模型；

S4.2.2：当所述相关性数据为光滑时间序列时，所述时间分析模型采用自回归滑动平均模型；

S4.2.3：当所述相关性数据为非静态数据时间序列时，对所述非静态数据时间序列进行差分计算，得到差分序列，所述时间分析模型采用自回归差分移动平均模型，通过自回归差分移动平均模型对所述差分序列进行拟合。

第二方面，本发明为了解决上述技术问题还提供了一种多源数据融合的网络安全态势感知装置，包括：

数据采集模块，用于对多种网络安全数据源进行数据采集并整合，得到待处理数据集；

数据预处理模块，用于对所述待处理数据集进行预处理和清洗，得到初始数据集；

权重评估模块，用于基于层次分析法和熵权法，构建初始数据集的态势评估要素，并对所述初始数据集的态势评估要素进行评估，得到态势评估要素的评估权重；

时间序列建模模块，用于基于历史数据的时间序列建立时间分析模型，通过所述时间分析模型对历史数据进行分析，得到历史数据的趋势和周期性变化，并基于历史数据的趋势和周期性变化预测未来网络安全态势，得到预测结果；

综合评估模块，用于将所述预测结果与所述态势评估要素的评估权重相结合并分析，得到网络安全态势评估，当所述网络安全态势评估达到或超过预定的网络安全态势评阈值，触发报警。

第三方面，本发明为了解决上述技术问题还提供了一种电子设备，该电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该计算机程序时实现本申请的多源数据融合的网络安全态势感知方法。

第四方面，本发明为了解决上述技术问题还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现本申请的多源数据融合的网络安全态势感知方法。

本申请附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

图1为本发明一个实施例提供的一种多源数据融合的网络安全态势感知方法的流程示意图；

图2为本发明一个实施例提供的一种多源数据融合的网络安全态势感知装置的结构示意图；

图3为本发明一个实施例提供的一种电子设备的结构示意图；

图4为本发明一个实施例提供的一种多源数据融合的网络安全态势感知装置的模型示意图。

具体实施方式

以下对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

下面以具体实施例对本发明的技术方案以及本发明的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本发明的实施例进行描述。

本发明实施例提供了一种可能的实现方式，如图1所示，提供了一种多源数据融合的网络安全态势感知方法的流程示意图，该方法可以包括以下步骤：

S1：对多种网络安全数据源进行数据采集并整合，得到待处理数据集；

S2：对所述待处理数据集进行预处理和清洗，得到初始数据集；

S3:基于层次分析法和熵权法，构建初始数据集的态势评估要素，并对所述初始数据集的态势评估要素进行评估，得到态势评估要素的评估权重；

其中，当触发报警后，提醒网络安全团队采取必要的措施。

其中，本发明通过层次分析法和熵权法的结合，能够综合考虑多个指标，提供更全面、准确的评估结果。通过分析法和熵权法的权重分析，使评估权重的评估结果更加具有客观性和可靠性，能帮助决策者更好地理解和接受评估结果。

可选的，S1中，多种网络安全数据源包括防火墙、入侵检测系统、日志记录。

可选的，S2中，所述清洗包括去重、错误修正、异常检测和数据归一化。

其中，本发明通过上述方案，去除待处理数据集的异常值和噪声，以确保数据质量和准确性。

可选的，如图4所示，S3具体为：

S3.1：基于层次分析法，建立多层次结构，多层次结构包括准则层、方案层、目标层和决策层，利用多层次结构中的指标将所述初始数据集进行分类处理，得到多个分类数据，多个分类数据包括：静态配置数据、设备数据、访问数据、流量数据、报警数据和漏洞数据，并将各个分类数据进行属性向量化处理，得到各个分类数据的属性向量；

其中，r

S3.3：通过所述态势评估要素判断矩阵计算态势评估要素的特征值和特征向量，再对特征向量进行标准归一化处理，得到态势评估要素对应的第一权重；

S3.4：基于熵权法，计算态势评估要素的信息熵，得到态势评估要素的第二权重，同时引入间距函数，使得第二权重与第一权重之差保持一致；

S3.5：基于线性组合法，将所述第一权重与所述第二权重进行融合，得到态势评估要素的评估权重。

其中，本发明的层次分析法，用于确定不同的态势评估要素对态势评估的影响程度，包括对决策结果的重要性、指标的权重以及评估因素的优先级排序。通过使用层级分析法，使得态势评估更加科学和可靠。并结合熵权法，将势评估要素的重要性和其所携带的信息量相结合，以确保每个态势评估要素的考虑更加全面和客观。

可选的，S4具体为：

S4.1：获取关于历史数据的时间序列数据，对所述时间序列数据进行相关性分析处理，得到相关性数据；

S4.2:基于相关性数据，建立时间分析模型并对所述相关性数据进行拟合，并对拟合后的相关性数据进行分析，得到预测结果。

其中，本发明利用时间序列进行态势预测可以通过历史趋势分析来理解过去的模式和趋势，从而更好地预测未来的态势演变。时间序列模型考虑到了时间的顺序性，将过去的观测值与未来的预测值联系起来，提供了更准确和可靠的预测结果。同时，时间序列预测方法非常灵活，适用于各种类型的数据，可以选择合适的模型结构和算法以获得最佳的预测效果。它也可以根据新的观测数据进行实时更新和修正，从而及时反映态势的变化。用时间序列进行态势预测不需要额外的信息，成本较低且易于应用，符合隐私保护的原则。

可选的，S4.1中对所述时间序列数据进行相关性分析处理具体为：

S4.1.1：根据获取的时间序列数据，绘制时间序列曲线，并观察时间序列曲线中是否存在跳点和转折点；

S4.1.2：若存在跳点且跳点超出跳跃阈值范围，则通过拟合方法将超出跳跃阈值范围的跳点转化到跳跃阈值范围内；

S4.1.3：若存在转折点，则基于拟合方法将存在转折点的段落进行拟合。

可选的，S4.2中，基于相关性数据，建立时间分析模型具体为：

S4.2.1：当所述相关性数据为基础时间序列时，所述时间分析模型采用趋势模型和/或季节性模型；

S4.2.2：当所述相关性数据为光滑时间序列时，所述时间分析模型采用自回归滑动平均模型；

其中，本发明选择时间序列各模型的依据如表1所示：

表1

本发明采用的方法和时间序列模型具体包括：

层次分析法基于专家判断和意见收集，通过层次结构将复杂的问题分解为多个层次，并对各层次之间的比较进行定量化。在本发明中，层次分析法用于确定不同因素对态势评估的影响程度，包括对决策结果的重要性、指标的权重以及评估因素的优先级排序。这种方法使得态势评估更加科学和可靠。

熵权法是一种数据驱动的指标权重确定方法，它通过计算指标的信息熵来反映指标之间的差异程度，从而确定各个指标的权重。本发明中应用熵权法，将评估指标的重要性与其所携带的信息量相结合，以确保对每个指标的考虑更加全面和客观。

时间序列模型是一种基于历史数据的预测方法，它可以捕捉到数据随时间变化的趋势、季节性、周期性等规律，并将这些规律应用于未来的预测。在本发明中，时间序列分析被应用于态势预测，通过建立合适的时间序列模型，可以预测并识别出潜在的态势变化。

基于与图1中所示的方法相同的原理，本发明实施例还提供了一种多源数据融合的网络安全态势感知装置，如图2中所示，该多源数据融合的网络安全态势感知装置可以包括:

数据采集模块，用于对多种网络安全数据源进行数据采集并整合，得到待处理数据集；

数据预处理模块，用于对所述待处理数据集进行预处理和清洗，得到初始数据集；

本实施例中，数据采集模块包括威胁情报采集单元和日志数据采集单元，数据预处理模块包括数据清洗单元和数据转换单元，权重评估模块包括权重计算单元和归一化单元，时间序列建模模块包括趋势分析单元和周期性分析单元，综合评估模块包括状态评估单元和威胁识别单元。

本发明实施例的多源数据融合的网络安全态势感知装置可执行本发明实施例所提供的多源数据融合的网络安全态势感知方法，其实现原理相类似，本发明各实施例中的多源数据融合的网络安全态势感知装置中的各模块、单元所执行的动作是与本发明各实施例中的多源数据融合的网络安全态势感知方法中的步骤相对应的，对于多源数据融合的网络安全态势感知装置的各模块的详细功能描述具体可以参见前文中所示的对应的多源数据融合的网络安全态势感知方法中的描述，此处不再赘述。

其中，上述多源数据融合的网络安全态势感知装置可以是运行于计算机设备中的一个计算机程序(包括程序代码)，例如该多源数据融合的网络安全态势感知装置为一个应用软件；该装置可以用于执行本发明实施例提供的方法中的相应步骤。

在一些实施例中，本发明实施例提供的多源数据融合的网络安全态势感知装置可以采用软硬件结合的方式实现，作为示例，本发明实施例提供的多源数据融合的网络安全态势感知装置可以是采用硬件译码处理器形式的处理器，其被编程以执行本发明实施例提供的多源数据融合的网络安全态势感知方法，例如，硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC，Application Specific IntegratedCircuit)、DSP、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、现场可编程门阵列(FPGA，Field-ProgrammableGate Array)或其他电子元件。

在另一些实施例中，本发明实施例提供的多源数据融合的网络安全态势感知装置可以采用软件方式实现，图2示出了存储在存储器中的多源数据融合的网络安全态势感知装置，其可以是程序和插件等形式的软件，并包括一系列的模块，包括数据采集模块，数据预处理模块，权重评估模块，时间序列建模模块和综合评估模块，用于实现本发明实施例提供的方法。

描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，模块的名称在某种情况下并不构成对该模块本身的限定。

基于与本发明的实施例中所示的方法相同的原理，本发明的实施例中还提供了一种电子设备，该电子设备可以包括但不限于：处理器和存储器；存储器，用于存储计算机程序；处理器，用于通过调用计算机程序执行本发明任一实施例所示的方法。

在一个可选实施例中提供了一种电子设备，如图3所示，图3所示的电子设备包括：处理器和存储器。其中，处理器和存储器相连，如通过总线相连。可选地，电子设备还可以包括收发器，收发器可以用于该电子设备与其他电子设备之间的数据交互，如数据的发送和/或数据的接收等。需要说明的是，实际应用中收发器不限于一个，该电子设备的结构并不构成对本发明实施例的限定。

处理器可以是CPU(Central Processing Unit，中央处理器)，通用处理器，DSP(Digital Signal Processor，数据信号处理器)，ASIC(Application SpecificIntegratedCircuit，专用集成电路)，FPGA(Field Programmable Gate Array，现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器4001也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

总线可包括一通路，在上述组件之间传送信息。总线可以是PCI(PeripheralComponent Interconnect，外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture，扩展工业标准结构)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图3中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器可以是ROM(Read Only Memory，只读存储器)或可存储静态信息和指令的其他类型的静态存储设备，RAM(Random Access Memory，随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备，也可以是EEPROM(ElectricallyErasableProgrammable Read Only Memory，电可擦可编程只读存储器)、CD-ROM(CompactDiscRead Only Memory，只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

存储器用于存储执行本发明方案的应用程序代码(计算机程序)，并由处理器来控制执行。处理器用于执行存储器中存储的应用程序代码，以实现前述方法实施例所示的内容。

其中，电子设备也可以是终端设备，图3示出的电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，当其在计算机上运行时，使得计算机可以执行前述方法实施例中相应内容。

根据本发明的另一个方面，还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种实施例实现方式中提供的方法。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

应该理解的是，附图中的流程图和框图，图示了按照本发明各种实施例的方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本发明实施例提供的计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备执行上述实施例所示的方法。

以上描述仅为本发明的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本发明中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

完整全部详细技术资料下载