1.本发明涉及计算机技术领域,尤其涉及一种基于修正参数预测工控网漏洞的系统。
背景技术:
2.随着云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合,工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。在工业企业获得巨大发展动能的同时,也出现了大量安全隐患,从2010年针对伊朗核工厂的stuxnet病毒,到2014年席卷欧洲的havex病毒等,针对工业控制系统的网络(以下简称工控网)攻击越演越烈,工业控制系统迫切需要得到安全防护。
3.工业控制系统的系统漏洞,是影响工控网安全的重要因素,工控网漏洞不能像it系统一样,得到及时的漏洞修复,大量漏洞长期存在。因此,如不能及时的预测工控网漏洞爆发的情况,采取相应的防御措施,则无法保证工控网的安全。由此可知,如何准确高效地预测工控网漏洞爆发情况,成为亟待解决的技术问题。
技术实现要素:
4.本发明目的在于,提供一种基于修正参数预测工控网漏洞的系统,能够快速准确预测工控网漏洞爆发概率,从而实现基于工控网漏洞爆发概率采取相应的防御措施,提高工控网的安全性。
5.根据本发明一方面,提供了一种基于修正参数预测工控网漏洞的系统,包括处理器、数据库和存储有计算机程序的存储介质,处理器与数据库通信连接,所述数据库中存储有所有互联网漏洞id对应的互联网漏洞特征参数列表、联网漏洞实际爆发概率列表和工控网漏洞实际爆发概率列表,pm为第m个互联网漏洞特征参数,m的取值范围为1到m,m为互联网漏洞特征参数数量;所述存储介质中存储的计算机程序包括第二计算机程序,所述处理器实行所述第一计算机程序时,实现以下步骤:步骤s201、从所述数据库获取预设训练周期内每一样本漏洞id对应的pm的参数值列表、互联网漏洞实际爆发概率列表、工控网漏洞实际爆发概率列表和工控网漏洞爆发概率真值;步骤s202、基于互联网漏洞实际爆发概率列表和工控网漏洞实际爆发概率列表确定每一样本漏洞id对应的修正参数p
cve
,基于每一样本漏洞id对应的pm的参数值列表确定对应的训练参数值pcm,基于pcm生成每一样本漏洞id的模型输入向量;步骤s203、根据所有样本漏洞id对应的修正参数p
cve
、模型输入向量和工控网漏洞爆发概率真值训练得到工控网漏洞预测模型:f(x)=b0*p
cve
b1*x1 b2*x2
…bm *xm;其中,xj为样本漏洞id对应的pm的训练参数值,bj为xj的权重系数,j的取值范围为1到m;
步骤s204、基于所述工控网漏洞预测模型预测工控网漏洞爆发概率。
6.本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,本发明提供的一种基于修正参数预测工控网漏洞的系统可达到相当的技术进步性及实用性,并具有产业上的广泛利用价值,其至少具有下列优点:本发明基于修正参数预测工控网漏洞的系统,通过互联网漏洞特征参数和表征互联网实际漏洞爆发概率与工控网实际漏洞爆发概率值之间的关联关系的修正参数p
cve
构建模型输入参数,训练得到工控网漏洞预测模型。实现了基于多个维度的互联网漏洞特征参数和修正参数p
cve
,来快速准确预测工控网漏洞爆发概率,基于此来设置合理的防御措施,提升工控网的安全性和稳定性。该系统特别适用于不易获取工控网漏洞特征参数的应用场景。基于此来设置合理的防御措施,提升工控网的安全性和稳定性。
7.上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
8.图1为本发明实施例提供的预测工控网漏洞的系统框架示意图;图2为本发明实施例一提供的基于互联网和工控网漏洞参数预测工控网漏洞流程图;图3为本发明实施例二提供的基于修正参数预测工控网漏洞流程图;图4为本发明实施例三提供的基于summary长度特征预测工控网漏洞的流程图;图5为本发明实施例四提供的基于summary分词特征预测工控网漏洞的流程图;图6为本发明实施例五提供的基于bitmap预测工控网漏洞的流程图;图7为本发明实施例六提供的基于n-gram预测工控网漏洞的流程图。
具体实施方式
9.为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明提出的具体实施方式及其功效,详细说明如后。
10.工控网是企业内网,通过网关与互联网之间进行通信,工控网内连接有多个单片机、dsp、工控机和传感器等等。同一漏洞可能在互联网上爆发,也可能在工控网上爆发。每个漏洞(common vulnerabilities ,简称cve)均有对应的漏洞id(可以是国际标准组织为每一漏洞标注的唯一标识)和特征参数。漏洞特征参数包括从互联网爬取的互联网漏洞特征参数和从工控网爬取的工控网漏洞特征参数。作为示例,互联网漏洞特征参数具体可包括通用漏洞评分系统(common vulnerability scoring system,简称cvss)为每一漏洞id设置的cvss值, summary(漏洞描述文本)参数、cvss参数、cwe(common weakness enumeration,通用缺陷枚举)参数、产品组参数、参考网站域名参数和其他自定义互联网参数等等,summary参数具体可包括summary文本长度、summary分词特征等。工控网漏洞特征参数包括网关参数和工控网内部状态参数等等。每一互联网漏洞特征参数和工控网漏洞特征参数均对应有自己的更新周期,且各参数的更新周期之间可能存在巨大差异。
11.本发明实施例提供一种预测工控网漏洞的系统,如图1所示,包括处理器、数据库
和存储有计算机程序的存储介质,处理器与数据库通信连接。本领域技术人员知晓,处理器设置于服务器上,服务器和数据库并非特指的一台硬件设备和/或软件设备,还可以是服务器集群、存储集群等。可以理解的是,能够进行数据处理的任何计算设备或多个计算设备的组合均可以设置所述服务器,能够进行数据存储的任何存储设备或多个存储设备的组合均可以认为是所述数据库。服务器和数据库可以是独立的设备,也可以共享一个或多个独立设备。
12.所述数据库中存储有所有互联网漏洞id对应的互联网漏洞特征参数列表p={p1,p2,
…
pm}、互联网漏洞特征参数的更新周期列表tp={tp1,tp2,
…
tpm}、工控网漏洞特征参数列表q={q1,q2,
…qn
}和工控网漏洞特征参数更新周期列表tq={tq1,tq2,
…
tqn}。pm为第m个互联网漏洞特征参数,tpm为pm的更新周期,m的取值范围为1到m,m为互联网漏洞特征参数数量。qn为第n个工控网漏洞特征参数,tqn为qn的更新周期,n的取值范围为1到n,n为工控网漏洞特征参数数量。
13.互联网漏洞特征参数列表具体包括cvss值、cvss参数、cwe参数、产品组参数、参考网站域名参数、summary参数等中的至少一个。互联网漏洞特征参数列表根据每一互联网漏洞特征参数对应的更新周期对应更新。工控网漏洞特征参数列表具体包括网关参数和工控网内部状态参数等中的至少一个。
14.工控网漏洞特征参数根据每一工控网漏洞特征参数的更新周期对应更新。需要说明的是,互联网漏洞特征参数更新较慢,而工控网漏洞特征参数可以通过工控网内部监控获取对应的工控网漏洞特征参数,更新频率快,具体可以精确至小时级甚至分钟级。因此,互联网漏洞特征参数更新周期远大于工控网漏洞特征参数更新周期,具体可设置为max(tpm)/min(tqn)》d1,其中,d1为预设的第一阈值,d1根据具体应用场景设置。例如d1的取值范围设置为[10,100],优选的,d1=20。虽然工控网和互联网是通过网关隔离,但是漏洞在互联网爆发的趋势和工控网爆发的趋势具有一致性,且互联网上能够爬取更多的漏洞特征参数,因此可以基于工控网漏洞特征参数和互联网漏洞特征参数,结合人工智能训练工控网漏洞预测模型,来预测漏洞在工控网上爆发的概率。
[0015]
作为一种示例,所述处理器对计算机程序处理时实现以下步骤:步骤s1、基于预设的样本漏洞id集合从所述互联网漏洞特征参数列表和工控网漏洞特征参数列表中获取每一样本漏洞id对应的漏洞特征向量,构建训练参数集;步骤s2、根据所述训练参数集训练得到工控网漏洞预测模型;步骤s3、基于所述工控网漏洞预测模型预测待测漏洞id在工控网上爆发的概率。
[0016]
可以理解的是,由于是采用历史数据来预测漏洞爆发的概率,因此样本漏洞id集合可以是当前漏洞id集合中的一部分漏洞id,也可以是全部漏洞id,根据具体需求来设定。
[0017]
由于存在多种互联网漏洞特征参数和工控网漏洞特征参数,且更新周期各不相同,可以选取不同的漏洞特征参数,通过不同的处理方式来训练得到不同的工控网漏洞预测模型。以下将通过多个实施例详细介绍具体实施方式,如无特殊说明,各实施例的技术内容均可以相互引用。
[0018]
实施例一、所述存储介质中存储的计算机程序包括第一计算机程序,所述处理器实行所述第一计算机程序时,实现以下步骤:
步骤s101、获取训练数据集的训练周期t0=lcm(tpm),lcm为求最小公倍数函数。
[0019]
由于不同pm和qn的更新周期差异性大,如果直接采用滑动窗口来选取训练参数,会导致很多参数在一定时间内并不发生变化,浪费计算资源,对模型训练意义不大,因此本实施例选取tpm的小公倍数作为训练周期口。需要说明的是,由于互联网漏洞特征参数更新周期远大于工控网漏洞特征参数更新周期,因此,在选取时间窗口时仅考虑互联网漏洞特征参数更新周期即可,这样既能保证每一样本漏洞id均能采集到所有互联网漏洞特征参数和工控网漏洞特征参数,且避免浪费算力,提高了模型训练的效率。
[0020]
步骤s102、从所述数据库获取每一样本漏洞id对应的距离当前时刻之前t0内pm的参数值列表、qn的参数值列表和工控网漏洞爆发概率真值;工控网漏洞爆发概率真值指的是样本预测时刻对应的工控网漏洞实际爆发概率,工控网漏洞实际爆发概率也是在对应更新周期内更新的参数,工控网漏洞实际爆发概率由所在的工控网漏洞爆发概率更新周期内,汇报爆发该漏洞的工控网主机设备数量除以所有监控的工控网主机设备数量得到。
[0021]
步骤s103、基于每一样本漏洞id的pm的参数值列表确定样本漏洞id对应的pm的训练参数值pcm,基于每一样本漏洞id的qn的参数值列表确定样本漏洞id对应的qn的训练参数值qcn,基于pcm和qcn生成每一样本漏洞id的模型输入向量;步骤s104、根据所有样本漏洞id模型输入向量和工控网漏洞爆发概率真值训练得到工控网漏洞预测模型:f(x)=a1*x1 a2*x2
…am n
*x
m n
,其中,xi为样本漏洞id对应的pm的训练参数值或qn的训练参数值,ai为xi的权重系数,i的取值范围为1到m n;步骤s105、基于所述工控网漏洞预测模型预测工控网漏洞爆发概率。
[0022]
作为一种示例,所述步骤s104包括:步骤s114、将所有样本漏洞id模型输入向量输入预设的工控网漏洞预测模型中,得到样本工控网漏洞爆发概率预测值。
[0023]
步骤s124、根据样本工控网漏洞爆发概率预测值和真值调整权重系数,训练得到所述工控网漏洞预测模型。
[0024]
作为一种示例,所述步骤s105中,优选采用与训练数据集的训练周期t0相同的周期,采用步骤s102-步骤s104相同的输入向量构建策略来预测工控网漏洞爆发概率,预测准确性高。
[0025]
作为另一种示例,训练工控网漏洞预测模型时所选择的时间周期远大于工控网漏洞特征参数的周期,但由于工控网漏洞特征参数的周期断,更新频率快,因此,当有至少一个工控网漏洞特征参数更新时,即可对工控网漏洞进行预测,预测灵敏度高,且对于新爆发的漏洞具有极强的可预测性。具体的,所述步骤s105包括:步骤s134、获取预测周期t1=min(tqn);步骤s144、每间隔t1采集待测漏洞id对应的当前时刻的pm的参数值或qn的参数值,构建待测漏洞id对应的输入向量;步骤s154、将所述待测漏洞id对应的输入向量输入所述工控网漏洞预测模型中,得到待测漏洞id在当前时刻之后t1时刻时工控网漏洞爆发概率。
[0026]
作为一种优选示例,所述步骤s103中,每一样本漏洞id对应的距离当前时刻之前t0内pm的参数值列表为{pc
m1
,pc
m2
,
…
pc
ma
},其中,pc
ma
为pm在t0内的第a个参数值,a的取值范围为1到a,a为pm在距离当前时刻之前t0内采集到的pm参数值总数量,a=t0/tpm,基于每一样本漏洞id的pm的参数值列表确定样本漏洞id对应的pm的训练参数值pcm,包括:步骤s113、基于下式确定pm的训练参数值pcm:。
[0027]
由于参数更新周期不同,因此大部分互联网漏洞特征参数工控网漏洞特征参数在训练周期内将会获取多个特征参数,因此需要基于多个特征参数确定合理的特征参数值,来构建模型输入。作为一种优选示例,所述步骤s103中,每一样本漏洞id对应的距离当前时刻之前t0内qn的参数值列表为{qc
n1
,qc
n2
,
…
qc
nb
}, qc
nb
为qn在距离当前时刻之前t0内的第b个参数值,b的取值范围为1到b,b为qn在距离当前时刻之前t0内采集到的qn参数值总数量,b=t0/ tqn,基于每一样本漏洞id的qn的参数值列表确定样本漏洞id对应的qn的训练参数值qcn包括:步骤s123、基于下式确定qn的训练参数值qcn:。
[0028]
随着时间的推移,漏洞可能会有新增,漏洞特征参数和漏洞特征参数更新周期也可能会有变化,因此,为了进一步提高工控网漏洞预测模型的准确度,所述处理器实行所述第一计算机程序时,实现以下步骤:步骤s100、每间隔t0,重新执行步骤s101-步骤s104更新所述工控网漏洞预测模型。
[0029]
实施例一所述系统,通过设置合理的训练数据集的训练周期,获取互联网漏洞特征参数和工控网漏洞特征参数,并基于训练周期内的互联网漏洞特征参数和工控网漏洞特征参数分别确认对应的参数值,再转换为输入向量,训练得到工控网漏洞预测模型。基于多个维度的互联网漏洞特征参数和工控网漏洞特征参数,能够快速准确预测工控网漏洞爆发概率,基于此来设置合理的防御措施,提升工控网的安全性和稳定性。实施例一特别适用于能够同时获取互联网漏洞特征参数和工控网漏洞特征参数的应用场景。
[0030]
实施例二、需要说明的是,互联网漏洞特征参数比较多,且容易获取,但在有些应用场景下,受限于工控网规模等多种因素,可能无法获取到足量的工控网漏洞特征参数来训练工控网漏洞预测模型。但由于同一漏洞在工控网爆发的趋势与在互联网爆发的整体趋势一致,具有相关联性,因此,可以基于工控网和互联网漏洞爆发的关联关系结合互联网漏洞特征参数来对工控网漏洞爆发概率进行预测。
[0031]
具体的,所述存储介质中存储的计算机程序包括第二计算机程序,所述处理器实
行所述第二计算机程序时,实现以下步骤:步骤s201、从所述数据库获取预设训练周期内每一样本漏洞id对应的pm的参数值列表、互联网漏洞实际爆发概率列表、工控网漏洞实际爆发概率列表和工控网漏洞爆发概率真值。
[0032]
其中,预设训练周期可以根据具体的训练需求设定,也可以直接基于实施例一种获取互联网漏洞特征参数更新周期最小公倍数的方式来确定。互联网漏洞实际爆发概率也是在对应更新周期内更新的参数,互联网漏洞实际爆发概率由所在的互联漏洞爆发概率更新周期内,汇报爆发该漏洞的互联网主机设备数量除以所有监控的互联网主机设备数量得到。获取工控网漏洞爆发概率真值和工控网漏洞实际爆发概率的具体算法在实施例一中已详细描述,在此不再赘述。
[0033]
步骤s202、基于互联网漏洞实际爆发概率列表和工控网漏洞实际爆发概率列表确定每一样本漏洞id对应的修正参数p
cve
,基于每一样本漏洞id对应的pm的参数值列表确定对应的训练参数值pcm,基于pcm生成每一样本漏洞id的模型输入向量。
[0034]
需要说明的是,修正参数p
cve
是表示对于每一样本漏洞id互联网实际漏洞爆发概率与工控网实际漏洞爆发概率值之间的关联关系,每一样本漏洞id均有一个对应的修正参数p
cve
,是基于每一漏洞id动态变化的值。
[0035]
步骤s203、根据所有样本漏洞id对应的修正参数p
cve
、模型输入向量和工控网漏洞爆发概率真值训练得到工控网漏洞预测模型:f(x)=b0*p
cve
b1*x1 b2*x2
…bm *xm;其中,xj为样本漏洞id对应的pm的训练参数值,bj为xj的权重系数,j的取值范围为1到m。
[0036]
需要说明的是,上述模型基于互联网漏洞特征参数构建输入向量,并基于对应的表征互联网实际漏洞爆发概率与工控网实际漏洞爆发概率值之间的关联关系的修正参数p
cve
同时作为模型输入,实现了基于互联网漏洞特征参数来预测工控网漏洞爆发的概率。
[0037]
步骤s204、基于所述工控网漏洞预测模型预测工控网漏洞爆发概率。
[0038]
可以理解的是,漏洞预测模型训练好以后,可以基于任意时刻漏洞对应的输入参数,来预测该漏洞在工控网爆发的概率。
[0039]
由于基于修正参数p
cve
和互联网特征参数来预测工控网漏洞爆发概率。因此,在模型训练过程中,如何确定合理准确的修正参数p
cve
尤为重要。作为一种示例,所述步骤s202中,基于互联网漏洞实际爆发概率列表和工控网漏洞实际爆发概率列表确定每一样本漏洞id对应的修正参数p
cve
,包括:步骤s212、根据预设训练周期内每一样本漏洞id对应的互联网漏洞实际爆发概率列表、工控网漏洞实际爆发概率列表获取互联网与工控网漏洞爆发关联参数列表{r1,r2,
…
rc},rc为第c个关联参数,c的取值范围为1到c,c为样本漏洞id在预设训练周期内得到的关联参数总数,rc=ch
c1
/ch
c2
,ch
c1
为第c时刻互联网漏洞实际爆发概率值,ch
c2
为第c时刻工控网漏洞实际爆发概率。
[0040]
步骤s222、根据{r1,r2,
…
rc}确定样本漏洞id对应的修正参数p
cve
。
[0041]
作为一种示例,所述步骤s222包括:步骤s232、获取{r1,r2,
…
rc}的平均值r
avg
,根据r
avg
和{r1,r2,
…
rc}获取第一变化
参数sr1:;步骤s242、若sr1大于等于预设的第二阈值d2,则获取{r1,r2,
…
rc}的最大值r
max
,设置p
cve
=r
max
,否则,设置p
cve
=r
avg
。
[0042]
需要说明的是,若sr1大于等于预设的第二阈值d2,说明漏洞在当前训练周期内,存在突然的爆发期,因此,选择{r1,r2,
…
rc}的最大值作为修正参数p
cve
更准确。若sr1小于第二阈值d2,说明漏洞在当前训练周期内,相对平稳,因此选择{r1,r2,
…
rc}作为修正参数p
cve
更准确。通过合理选择准确的修正参数p
cve
能够提高工控网漏洞预测模型的准确度,且能够使得模型对于新出现的漏洞预测具有很强的灵敏性,特别适用于对新出现漏洞预测的应用场景。
[0043]
为了进一步提高选择修正参数p
cve
的合理性和准确定,所述步骤s242中,若sr1小于d2,还可进一步执行以下步骤:步骤s252、获取{r1,r2,
…
rc}的最小值r
min
,根据r
min
、r
avg
、r
max
获取第二变化参数sr2:;步骤s262、若sr2大于等于1,则设置p
cve
=r
min
,否则,设置p
cve
=r
max
。
[0044]
需要说明的是,当sr2大于等于1时,说明r
min
的影响性更大,因此优选p
cve
=r
min
,这种情况通常适用于以下场景,对于一个一直存在的漏洞,突然被修复了,这种场景下,r
min
的影响性更大,选择p
cve
=r
min
,能够提高模型准确度。若当sr2小于1时,说明r
max
的影响性更大,因此优选p
cve
=r
max
,这样能够使得模型对于新出现的漏洞预测具有很强的灵敏性,特别适用于对新出现漏洞预测的应用场景。
[0045]
作为示例,所述步骤s202中,基于每一样本漏洞id对应的pm的参数值列表确定对应的训练参数值pcm,包括:步骤s272、将每一样本漏洞id对应的pm的参数值列表中所有参数的最大值、最小值或均值确定为对应的训练参数值pcm。
[0046]
实施例二所述系统,通过互联网漏洞特征参数和表征互联网实际漏洞爆发概率与工控网实际漏洞爆发概率值之间的关联关系的修正参数p
cve
构建模型输入参数,训练得到工控网漏洞预测模型。实现了基于多个维度的互联网漏洞特征参数和修正参数p
cve
,来快速准确预测工控网漏洞爆发概率,基于此来设置合理的防御措施,提升工控网的安全性和稳定性。实施例二特别适用于不易获取工控网漏洞特征参数的应用场景。基于此来设置合理的防御措施,提升工控网的安全性和稳定性。
[0047] summary参数是权威机构对漏洞的文本描述,能够准确可靠地反应漏洞特征,因此可以基于summary来构建用于预测工控网漏洞的特征参数。summary是非结构化参数,因此需要基于summary的文本特征来构建特征参数值,例如现有技术中,直接基于summary的长度,summary的长度越长,说明该漏洞危害性越大,需要处理的紧急程度越高。但是,由于summary通常是权威机构定期更新所有的summary,但只有周期内发生变化的漏洞的
summary才会改变,其他周期内未变化的summary在更新时还是保持与上一周期的summary一致。例如,对于一个三年前爆发的严重漏洞,存在较长的文本描述信息,但是三年内没有再发生过其他变化,因此summary描述一直停留在三年前的描述状态,如果仅从summary文本直接构建特征参数值,那么显然是极有可能出现构建summary特征参数值不准确的情况。因此,需要根据summary的变化来赋予对应的特征权重值,提高构建summary特征参数的准确性。由此可知,如何确定每一summary对应的特征权重值尤为重要,以下通过几个具体实施例进行详细说明。
[0048]
实施例三、所述存储介质中存储的计算机程序包括第三计算机程序,所述处理器实行所述第三计算机程序时,实现以下步骤:步骤s300、从所述数据库获取每一样本漏洞id在对应的summary的文本序列{str1,str2,
…
},stre为第e个更新周期对应的summary的文本,e的取值范围为1到无穷大。
[0049]
步骤s301、当e=1时,根据stre的长度确定stre的特征权重we。
[0050]
通过步骤s301,可以为每一stre设置对应的初始特征权重。
[0051]
步骤s302、当e》1时,比较str
e-1
和stre的文本信息,若完全一致,则判断z*w
e-1
是否大于预设的第一特征权重阈值w
emin
,若大于,则设置we=z*w
e-1
,其中,z为预设的权重调整系数,0《z《1,若z*w
e-1
小于等于w
emin
,则设置we=w
emin
,若str
e-1
和stre的文本信息不一致,则根据stre的长度确定stre的特征权重we。
[0052]
需要说明的是,当str
e-1
和stre的文本信息完全一致时,说明summary未更新,因此需要乘以z,来降低对应的特征权重。优选的,z设置为1/2但有些summary存在长期不更新的情况,不能无限制减小,因此设置第一特征权重阈值w
emin
,当we降低至一定程度时,取最小值即可。而当str
e-1
和stre的文本信息不一致时,说明summary进行了更改,因此需要直接基于当前的stre的长度确定stre的特征权重we。
[0053]
步骤s303、基于每一stre的特征权重we和stre确定每一stre对应的summary特征参数值pcse=we*g(stre),其中,g(stre)为基于stre确定的原始特征参数值。
[0054]
需要说明的是,g(stre)可以直接基于现有的算法来获取,即直接基于文本特征来确定一个对应的参数值,现有算法在此不再赘述。we是基于summary本身的特征参数以及连续周期内summary的变化来确定的,因此,使得获取到的summary特征参数值pcse更加准确可靠,从而提高模型准确性。
[0055]
步骤s304、基于样本漏洞id对应的summary特征参数值构建模型输入向量,训练得到工控网漏洞预测模型,基于所述工控网漏洞预测模型预测工控网漏洞爆发概率。
[0056]
可以理解的是,构建输入向量时,可以引入其他需要的互联网漏洞特征参数和工控网漏洞特征参数,具体参数处理可以基于实施例一和实施例二中所述的方式,也可以采用现有的数据处理方式,在此不再赘述。
[0057]
作为示例,所述步骤s301和步骤s302中,根据stre的长度确定stre的特征权重we,包括:步骤s311、将stre的长度le与预设的第一长度阈值l
min
和第二长度阈值l
max
对比,第一长度阈值l
min
小于第二长度阈值l
max
,若le《l
min
,则设置we=w
emin
,若le》l
max
,则设置we=w
emax
,w
emax
为预设的第二特征权重阈值,所述第二特征权重阈值大于所述第一特征权重阈值,le在
[l
min
,l
max
]范围内,则设置we=k1*le,其中,k1为预设的第一线性变化系数。
[0058]
通过步骤s311,能够基于stre的长度le确定一个准确可靠的初始特征权重。优选的,k1设置为(w
emax
‑ꢀwemin
)/ w
emax
作为一种优选示例,当e》1时,在执行步骤s311之前还包括:步骤s310、判断w
e-1
是否基于w
e-1
=z*w
e-2
设置,若是,且str
e-1
和stre的文本信息不一致,则设置w
emin
= w
e-1
。
[0059]
当w
e-1
=z*w
e-2
时,说明前两个周期内的summary未发生变化,且上一周期已经对权重进行了缩小,而当前周期相较于上一周期的summary发生了变化,那么当前周期的权重一定大于上一周的权重,此时可将本周期内的w
emin
设置为w
e-1
,提高了获取本周期的特征权重的准确性。可以理解的是,若不是步骤s310中所述情况,那么w
emin
仍为原始预设数值。
[0060]
作为示例,所述步骤s304中、基于样本漏洞id对应的summary特征参数值构建模型输入向量,训练得到工控网漏洞预测模型,包括:步骤s314、根据样本漏洞id对应的summary特征参数值、预设的互联网漏洞特征参数,以及预设的工控网漏洞特征参数,确定每一样本漏洞id的模型输入向量;步骤s324、基于样本漏洞id对应的模型输入向量和工控网漏洞爆发概率真值训练得到所述工控网漏洞预测模型。
[0061]
可以理解的是,模型样本输入确定好后,获取对应的样本真值即可对选择的人工智能模型进行训练,输入参数可以设置预设的训练周期选择,基于实施例一和实施例二中对输入参数的处理方式进行处理,也可才能用现有的处理方式来处理,在此不在赘述。
[0062]
需要说明的是,执行步骤s300之后直接执行步骤s301的算法适用于从e=1时刻,即有对应的summary文本的漏洞id,但有些漏洞id是后续新增的,针对此类漏洞id也可设置一套对应的特征权重确定策略,作为一种示例,所述步骤s300之后还包括:步骤s311、若{str1,str2,
…
}中连续前nr个stre为空,str
nr 1
不为空,则设置str
nr 1
的特征权重w
nr 1
= w
emax
,w
emax
为预设的第二特征权重阈值,然后初始化e=nr 2,执行步骤s302。
[0063]
需要说明的是,若{str1,str2,
…
}中连续前nr个stre为空,str
nr 1
不为空,说明在对应的漏洞id在nr 1为新增漏洞id,那么将str
nr 1
的特征权重w
nr 1
直接设置为最大值第二特征权重阈值即可,能够在保证精确度的前提下,减少数据处理量,提高数据处理效率。
[0064]
实施例三能够根据连续周期内summary的文本变化和长度变化来调整summary的特征权重,且summary的文本变化易于判断,长度参数易于获取,因此提高获取summary特征参数值的准确度和获取效率,从而提高了训练工控网漏洞预测模型的准确度和训练效率,进而提高了预测工控网漏洞爆发概率的准确度和预测效率。基于此来设置合理的防御措施,提升工控网的安全性和稳定性。
[0065]
实施例四、实施例四提供一种更适用于summary更新频率高,即summary更新频率超过预设的更新频率阈值的应用场景。
[0066]
所述存储介质中存储的计算机程序包括第四计算机程序,所述处理器实行所述第四计算机程序时,实现以下步骤:步骤s400、从所述数据库获取每一样本漏洞id在对应的summary的文本序列
{str1,str2,
…
},stre为第e个更新周期对应的summary的文本,e的取值范围为1到无穷大。
[0067]
步骤s401、对stre进行分词处理,并采用预设的停用词库去停用词,得到stre对应的分词集合ae。
[0068]
需要说明的是,预设的停用词库可以为基于技术构建的停用词库,并可以根据应用需求不断不更。也可以是后续实施例中描述的工业互联网停用词库,也可根据实施例六中描述的工业互联网停用词库的更新方式更新工业互联网停用词库,在此不再赘述。
[0069]
步骤s402、当e=1时,根据ae的分词数量确定stre的特征权重we。
[0070]
通过步骤s402,可以为基于ae的分词数量每一stre设置对应的初始特征权重。
[0071]
步骤s403、当e》1时,比较str
e-1
和stre的文本信息,若完全一致,则设置we=w
e-1
,若str
e-1
和stre的文本信息不完全一致,则对分词集合ae和分词集合a
e-1
进行集合差集运算,得到ae相对于a
e-1
的差集分词数ae‑ꢀae-1
,以及a
e-1
相对于ae的差集分词数a
e-1-a
e1
,设置we=[( ae‑ꢀae-1
)/(a
e-1-a
e1
) ]* w
e-1
。
[0072]
需要说明的是,当str
e-1
和stre的文本信息完全一致时,说明summary未更新,由于summary更新频率快,因此,可直设置we=w
e-1
。若str
e-1
和stre的文本信息不完全一致,则需要基于ae与a
e-1
之间的变化关系来确定特征权重变化系数[( ae‑ꢀae-1
)/(a
e-1-a
e1
) ],进而基于[( ae‑ꢀae-1
)/(a
e-1-a
e1
) ]和上一周期的权重w
e-1
来确定we,ae‑ꢀae-1
与a
e-1-a
e1
相比,若ae‑ꢀae-1
大于a
e-1-a
e1
,说明ae在a
e-1
的基础上增加了更多词语,如果ae‑ꢀae-1
小于a
e-1-a
e1
说明ae在a
e-1
的基础上减少了更多词语,这样就会使得ae在a
e-1
的基础上增加了更多词语时,特征权重变大,ae在a
e-1
的基础上减少了更多词语时,特征权重变小,提高了确定特征权重we的准确性。
[0073]
步骤s404、基于每一stre的特征权重we和stre确定每一stre对应的summary特征参数值pcse=we*g(stre),其中,g(stre)为基于stre确定的原始特征参数值。
[0074]
需要说明的是,g(stre)可以直接基于现有的算法来获取,即直接基于文本特征来确定一个对应的参数值,现有算法在此不再赘述。we是基于summary本身的特征参数以及连续周期内summary的变化来确定的,因此,使得获取到的summary特征参数值pcse更加准确可靠,从而提高模型准确性。
[0075]
步骤s405、基于样本漏洞id对应的summary特征参数值构建模型输入向量,训练得到工控网漏洞预测模型,基于所述工控网漏洞预测模型预测工控网漏洞爆发概率。
[0076]
可以理解的是,构建输入向量时,可以引入其他需要的互联网漏洞特征参数和工控网漏洞特征参数,具体参数处理可以基于实施例一和实施例二中所述的方式,也可以采用现有的数据处理方式,在此不再赘述。
[0077]
作为一种示例,所述步骤s402包括:步骤s412、将ae的分词数量sae与预设的第一分词数量阈值su
min
和第一分词数量阈值su
max
对比,其中,su
min
《su
max
,若sae《 su
min
,则设置we= ws
min
,ws
min
为预设的第三特征权重阈值,若sae》su
max
,则设置we= ws
max
,ws
max
为预设的第四特征权重阈值,若为预设的第三特征权重阈值在[su
min
,su
max
],则设置we=k2*sae,其中,k2为预设的第二线性变化系数。
[0078]
优选的,ws
min
设置为0,ws
max
设置为1,便于计算。
[0079]
通过步骤s412,能够基于ae的分词数量sae确定一个准确可靠的初始特征权重。优选的, k2设置为(ws
max-ws
min
)/ ws
max
。
[0080]
需要说明的是,执行步骤s401之后直接执行步骤s402的算法适用于从e=1时刻,即有对应的summary文本的漏洞id,但有些漏洞id是后续新增的,针对此类漏洞id也可设置一套对应的特征权重确定策略,作为一种示例,所述步骤s401之后还包括:步骤422、若{str1,str2,
…
}中连续前ns个stre的ae为空,a
e 1
不为空,则设置str
ns 1
的特征权重w
ns 1
= ws
max
,ws
max
为预设的第三特征权重阈值,然后初始化e=ns 2,执行步骤s403。
[0081]
需要说明的是,若{str1,str2,
…
}中连续前ns个stre的ae为空,a
e 1
不为空,说明在对应的漏洞id在ns 1为新增漏洞id,那么将str
ns 1
的特征权重w
ns 1
直接设置为最大值第三特征权重阈值即可,能够在保证精确度的前提下,减少数据处理量,提高数据处理效率。
[0082]
作为一种示例,所述步骤s405中、基于样本漏洞id对应的summary特征参数值构建模型输入向量,训练得到工控网漏洞预测模型,包括:步骤s415、根据样本漏洞id对应的summary特征参数值、预设的互联网漏洞特征参数,以及预设的工控网漏洞特征参数,确定每一样本漏洞id的模型输入向量;步骤s425、基于样本漏洞id对应的模型输入向量和工控网漏洞爆发概率真值训练得到所述工控网漏洞预测模型。
[0083]
实施例四特别适用于summary更新频率高的应用场景,即summary更新频率高于预设的更新频率阈值的应用场景。能够根据连续周期内summary的文本的分词变化关系来调整summary的特征权重,提高了获取summary特征参数值的准确度和获取效率,从而提高了训练工控网漏洞预测模型的准确度和训练效率,进而提高了预测工控网漏洞爆发概率的准确度和预测效率。基于此来设置合理的防御措施,提升工控网的安全性和稳定性。
[0084]
实施例五、实施例五特别适用于summary更新频率低的应用场景,即summary更新频率低于预设的更新频率阈值的应用场景。
[0085]
所述系统还包括基于每一漏洞id对应的summary的文本随更新周期变化生成的bitmap(位图),采用bitmap存储,能够节省数据存储空间。若当前周期的summary的文本相对于前一周期的summary的文本没有发生变化,当前周期在bitmap对应周期位置设置为0,否则,设置为1, be为第e个更新周期在bitmap上对应的取值,be等于0或1, e的取值为1到无穷大。
[0086]
所述存储介质中存储的计算机程序包括第五计算机程序,所述处理器实行所述第五计算机程序时,实现以下步骤:步骤s501、基于预设的训练周期确定summary周期检测窗口tk,tk=a*te,a为大于1的正整数,te为summary更新周期;可以理解的是,周期检测窗口tk中包含了a个bit(位),每个bit对应一个更新周期。优选的,a取值为8。
[0087]
步骤s502、以be作为tk中第a位信息,获取第e个周期检测窗口信息tke,基于be和tke中的位变化,确定be的特征权重we。
[0088]
需要说明的是,以be作为tk中第a位信息,即be为tk中的最后一位信息。tke中的位变化即tke中的a位的变化关系,对应于连续a个周期的summary的变化关系。例如a位全为0,则说明连续a个周期内,summary没有发生变化。再如,be为1,说明be对应的summary相较于上
一周期的summary发生了变化。再如,be为0,b
e-a1
为1,b
e-a1
与be之间全部为0,则说明be对应的summary连续a1个周期没有发生变化,因此,基于be和tke中的位变化,即可确定be的特征权重we步骤s503、基于每一be的特征权重we和summary文本stre确定每一summary文本对应的summary特征参数值pcse=we*g(stre),其中,g(stre)为基于stre确定的原始特征参数值。
[0089]
需要说明的是,g(stre)可以直接基于现有的算法来获取,即直接基于文本特征来确定一个对应的参数值,现有算法在此不再赘述。we是基于summary本身的特征参数以及连续周期内summary的变化来确定的,因此,使得获取到的summary特征参数值pcse更加准确可靠,从而提高模型准确性。
[0090]
步骤s504、基于样本漏洞id对应的summary特征参数值构建模型输入向量,训练得到工控网漏洞预测模型,基于所述工控网漏洞预测模型预测工控网漏洞爆发概率。
[0091]
可以理解的是,构建输入向量时,可以引入其他需要的互联网漏洞特征参数和工控网漏洞特征参数,具体参数处理可以基于实施例一和实施例二中所述的方式,也可以采用现有的数据处理方式,在此不再赘述。
[0092]
作为一种示例,所述步骤s502中,所述基于be和tke中的位变化,确定be的特征权重we,包括:步骤s512、判断be是否为1,若为1,则设置we=wb
max
,wb
max
为预设的第五特征权重阈值,否则,执行步骤s522;步骤s522、获取tke中与be最近的取值为1的位与be间隔的位数d,判断(wb
max
‑ꢀ
wb
min
)/d是否小于预设的第六特征权重阈值wb
min
,若小于,则设置we= wb
min
,否则设置we=(wb
max
‑ꢀ
wb
min
)/d,wb
min
《 wb
max
。
[0093]
由于summary更新频率低,当summary相较于上一周期的summary发生更新时,应当具备高权重,通过步骤s512-步骤s522,可以当前周期相较于上一周期发生变化的we直接设置为wb
max
,这样既能保证准确性,又能减少计算量。当然可以理解的是,如果需要更为精确的结果,则可以基于实施例三和实施例四中的summary长度或分词结果来具体计算,在此不再赘述。当summary相较于上一周期的summary未发生更新时,则基于当前周期与最一次更新周期的距离来确定对应的权重,基于位图来获取ke中与be最近的取值为1的位与be间隔的位数d,计算量小,且计算效率高。
[0094]
作为一种示例,为了进一步提特征权重获取的准确定,可以基于上一周期检测窗口的结果动态调整wb
max
和wb
min
,所述步骤s522之后还包括:步骤s532、获取基于当前summary周期检测窗口tk得到的所有we中的最大值max(we)和最小值min(we),更新wb
max
= max(we),更新wb
min
= min(we)。
[0095]
为了进一步提高获取特征权重的效率,可以直接基于bitmap进行位运算,作为示例,所述步骤s502包括:步骤s542、以be作为tk中第a位信息,获取第e个周期检测窗口内的bitmape,初始化wk为二进制,wk的对应初始十进制数为2
a-1
;步骤s552、判断当前bitmape的最后一位是否为0,若为0,则执行步骤s562,若为1,则执行步骤s572;
步骤s562、将第e个周期检测窗口右移一位,更新bitmape,wk右移一位,返回执行步骤s552;步骤s572、将当前wk确定为be的特征权重we。
[0096]
以a取值为8为例,以be作为tk中第a位信息,获取第e个周期检测窗口内的bitmape为00110000,初始化wk为10000000,当前bitmape的最后一位是0,将bitmape右移一位得到00011000,wk右移一位得到01000000,循环执行,直至bitmape的最后一位为1,此时wk的值即为be的特征权重we。通过步骤s542-步骤s572采用为运算来获取特征权重we,提高了获取特征权重we的效率。
[0097]
实施例五特别适用于summary更新频率低的应用场景,即summary更新频率低于预设的更新频率阈值的应用场景。具体采用bitmap存储summary的周期变化率,大大减小了数据存储占用的空间。基于bitmap来获取特征权重we,运算速度快,准确度高,提高了获取特征权重we的准确性和效率。从而提高了训练工控网漏洞预测模型的准确度和训练效率,进而提高了预测工控网漏洞爆发概率的准确度和预测效率。基于此来设置合理的防御措施,提升工控网的安全性和稳定性。
[0098]
实施例三到实施例五描述了三套确定每一summary文本对应的summary特征权重的方法,实施例六将进一步描述一种确定原始特征参数值g(stre)的方式,然后基于g(stre)和对应的特征权重即可确定每一summary文本对应的summary特征参数值pcse。g(stre)具体可以基于现有的特征处理算法,基于summary文本特征来获取g(stre)。也可以基于实施例六所描述分方案来获取g(stre)实施例六、所述系统包括预设的工业互联网停用词库,所述互联网停用词库存储工业互联网领域常用的停用词。每一样本漏洞id对应的summary的文本序列为{str1,str2,
…
},stre为第e个更新周期对应的summary的文本,e的取值范围为1到无穷大。
[0099]
所述存储介质中存储的计算机程序包括第六计算机程序,所述处理器实行所述第六计算机程序时,实现以下步骤:步骤s601、基于所述工业互联网停用词库将stre中的工业互联网停用词去除,并在工业互联网停用词的位置对stre进行分割,生成对应的文本片段序列{fr
e1
, fr
e2
,
…
fr
ei
}, fr
ei
为stre的第i个文本片段,i的取值范围为1到i,i为stre的文本片段总数。
[0100]
其中,以abcdefg为一段文本为例,每个字母表示一个词,假设c和e为所述工业互联网停用词库中的停用词,那么将c和e去除,同时将剩下的文本分割为ab、d和fg三个文本片段。
[0101]
步骤s602、对每一stre的每一fr
ei
执行预设的n-gram分词处理,n为正整数,取值范围为[kn1, kn2],每一stre的所有fr
ei
的分词合并去重,得到对应的分词向量fbe。
[0102]
需要说明的是,如果直接每一summary进行n-gram分词处理,由于summary文本数量庞大,如果直接将所有summary文本n-gram的分词结果进行one-hot编码,会使得向量维度过大,所需计算量大,数据处理效率低。而本实施例通过步骤s601将每一summary基于停用词进行分段,再将分段后的文本片段逐一进行n-gram分词,能够大大降低向量维度,提高数据处理效率。n-gram的具体分词过程为现有技术,在此不再展开描述。优选的,kn1取值为3,kn2取值为6。
[0103]
步骤s603、将所有的fbe中的分词合并去重,得到分词集合fc,将fc的分词数量确定为one-hot编码的维度。
[0104]
步骤s604、基于one-hot编码的维度对分词向量fbe进行one-hot编码,得到每一stre的原始特征参数值。
[0105]
one-hot编码的具体编码过程为现有技术,在此不再展开描述。可以理解的是,当对分词向量fbe进行one-hot编码后,基于编码结果可以得到对应的stre的原始特征参数值。
[0106]
步骤s605、基于样本漏洞id对应的stre的原始特征参数值建模型输入向量,训练得到工控网漏洞预测模型,基于所述工控网漏洞预测模型预测工控网漏洞爆发概率。
[0107]
所述步骤s605中可以直接基于stre的原始特征参数值结合其他漏洞特征参数值建模型输入向量,为了进一步提高summary特征参数值的准确性,可以为每一stre赋予对应的权重,作为一种示例,所述步骤s605中,基于样本漏洞id对应的stre的原始特征参数值建模型输入向量,包括:步骤s615、基于样本漏洞id对应的stre的原始特征参数值g(stre)和对应的特征权重we,确定每一stre对应的summary特征参数值pcse=we*g(stre),基于样本漏洞id对应的summary特征参数值构建模型输入向量。
[0108]
其中,stre对应的特征权重we基于stre,以及当前summary文本基于历史summary文本的变化确定。具体可采用实施例三、实施例四、实施例五中的至少一种方式来确定we,在此不再赘述。
[0109]
为了进一步提高summary参数值的处理效率和准确度,可以对工业互联网停用词库进行更新,作为示例,所述处理器实行所述第六计算机程序时,还实现工业互联网停用词库更新流程,包括以下步骤:步骤s600、初始化n-gram中的n=kn2,步骤s610、对所有漏洞id对应的summary文本基于所述工业互联网停用词库分割成文本片段,并去除工业互联网停用词,再对每一文本片段作n-gram分词处理,获取n-gram分词数量列表;步骤s620、将n-gram分词数量大于预设的分词数量阈值d3的n-gram分词加入所述工业互联网停用词库中,判断kn是否大于kn1,若是,则设置kn=kn-1,返回执行步骤s610,若kn等于kn1,则结束所述工业互联网停用词库更新流程。
[0110]
通过步骤s600-步骤s620,结合对所有summary文本的n-gram处理,更新工业互联网停用词库,使得停用词库基于summary文本的更新状况同步更新,提高了获取summary参数值的处理效率和准确度。
[0111]
优选的,d3=f[,sn,avg(kn)],其中,d3与和sn呈正相关,d3与avg(kn) 呈负相关,sn为所有漏洞的所有summary总数量,lj为第j个summary的长度,avg(n)为n-gram中n的所有取值的均值。
[0112]
实施例六通过工业互联网停用词库对summary文本去停用词和分段的处理,减少了对所有summary文本进行n-gram处理后的分词数量,从而降低了对分词向量fbe进行one-hot编码的编码维度,提高了获取stre的原始特征参数值的效率和准确性,从而提高了训练工控网漏洞预测模型的准确度和训练效率,进而提高了预测工控网漏洞爆发概率的准确度和预测效率,基于此来设置合理的防御措施,提升工控网的安全性和稳定性。
[0113]
实施例七、一种服务器,包括至少一个实施例一至实施例六中所述的系统。
[0114]
所述服务器能够基于互联网漏洞特征参数和工控网漏洞特征参数快速准确地训练工控网漏洞预测模型,从而能够基于工控网漏洞预测模型快速准确地预测工控网漏洞爆发概率,基于此来设置合理的防御措施,提升工控网的安全性和稳定性。
[0115]
需要说明的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理,但是其中的部分步骤可以被并行地、并发地或者同时实施。此外,各步骤的顺序可以被重新安排。当其操作完成时处理可以被终止,但是还可以具有未包括在附图中的附加步骤。处理可以对应于方法、函数、规程、子例程、子程序等等。
[0116]
以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
