一种网络安全态势评估方法及系统与流程

1.本发明涉及网络安全技术领域，尤其涉及一种网络安全态势评估方法及系统。


背景技术：

2.网络是信息时代的产物，目前几乎覆盖了世界上所有重要领域。随着网络规模不断扩大，网络攻击和破坏行为日益频繁，网络安全形势日趋严峻。为形成网络安全主动防护能力，首先需要了解网络的内外部威胁和整体安全状态。网络安全态势评估技术通过对网络中影响安全的因素进行深层次综合处理分析，对网络整体安全状况进行实时评估，为网络安全管理指挥、决策提供指导。目前用于网络安全态势评估的方法存在以下不足：网络安全态势评估结果存在片面性，无法全面反映网络安全整体状况；网络安全态势评估算法设计不合理，导致评估结果不够精确，无法真实反映网络安全整体状况。


技术实现要素：

3.本发明的目的在于提供一种网络安全态势评估方法及系统，以解决上述背景技术中提出的问题。
4.本发明是通过以下技术方案实现的：本发明第一方面提供了一种网络安全态势评估方法，包括下列步骤：
5.建立网络安全态势指标，所述网络安全态势指标包括一级指标以及二级指标；
6.对所述二级指标进行风险评价，基于风险评价结果获得第一特征值，通过第一特征值获得一级指标的风险评估结果，基于一级指标的风险评估结果获得第二特征值，所述第二特征值用于表示一级指标的风险；
7.建立神经网络模型并进行训练，将所述第二特征值输入训练完成后的神经网络模型中，从而获得网络安全态势评估结果。
8.可选的，基于网络安全设备的数据来建立网络安全态势指标，所建立的一级指标包括网络危险性、网络脆弱性、网络可用性、网络可靠性；
9.所述网络危险性包括如下二级指标：报警数目以及类别、安全事件历史发生频率、数据流入量、数据流入量增长率；
10.所述网络脆弱性包括如下二级指标：网络漏洞数目、关键设备漏洞数目、安全设备数目；
11.所述网络可用性包括如下二级指标：网络带宽、带宽利用率、cpu利用率、内存利用率；
12.所述网络可靠性包括如下二级指标：网络流量变化率、数据流总量、关键设备平均无故障时间。
13.可选的，选取若干专家对所述二级指标进行风险，获得每个专家对每个二级指标的风险评估结果，所述风险评估结果包括“好”、“一般”、“差”；
14.计算至少一个二级指标的风险评估结果为“好”的专家人数占专家总人数的第一
比值；
15.计算前述二级指标的风险评估结果为“一般”的专家人数占专家总人数的第二比值；
16.计算前述二级指标的风险评估结果为“差”的专家人数占专家总人数的第三比值；
17.将所述第一比值、第二比值、第三比值分别作为前述二级指标的不同评估结果的第一特征值。
18.可选的，通过第一特征值判断一级指标的风险评估结果，包括：
19.建立如下评价矩阵：
[0020][0021]
式中，am为一级指标下的第m个二级指标的风险评估结果为“好”的第一特征值，bm为一级指标下的第m个二级指标的风险评估结果为“一般”的第一特征值，cm为一级指标下的第m个二级指标的风险评估结果为“差”的第一特征值；
[0022]
计算如下特征矩阵ah*a的最大特征量以及所对应的特征向量ξ；
[0023]
基于所述特征向量ξ，得到归一化后的特征向量η，特征向量η中的每个分量与联系范数的乘积即为态势矩阵；
[0024]
将态势矩阵与数值态势表进行对比，判断一级指标的风险评估结果。
[0025]
可选的，所述一级指标的风险评估结果包括均势、同势、反势。
[0026]
可选的，基于一级指标的风险评估结果获得第二特征值，包括：
[0027]
对所述一级指标的风险评估结果进行分级，所述同势的风险等级为一级，所述均势的风险等级为二级，所述反势的风险等级为三级；
[0028]
根据设定的风险等级，对一级指标的风险评估结果采用下式进行归一化处理：
[0029][0030]
其中d为危险等级，e'为表示归一化处理后的值，归一化处理后的值即为第二特征值。
[0031]
本发明第二方面提供了一种网络安全态势评估系统，包括：
[0032]
指标获取模块，用于获取网络安全态势指标，所述网络安全态势指标包括一级指标以及二级指标；
[0033]
第一风险评价模块，用于对所述二级指标进行风险评价，基于风险评价结果获得第一特征值；
[0034]
第二风险评价模块，用于通过第一特征值判断一级指标的风险评估结果；
[0035]
数据处理模块，用于根据一级指标的风险评估结果计算获得第二特征值；
[0036]
学习模型，用于生成神经网络模型，并基于第二特征值对所述神经网络模型进行学习训练，获得网络安全态势评估结果。
[0037]
一种终端设备，包括：
[0038]
存储器，用于存储计算机程序；
[0039]
处理器，用于执行所述计算机程序；
[0040]
其中，所述处理器执行所述计算机程序时实现如第一方面任一项所述的网络安全态势评估方法。
[0041]
一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被执行时实现如第一方面任一项所述的网络安全态势评估方法。
[0042]
与现有技术相比，本发明达到的有益效果如下：
[0043]
本发明提供的一种网络安全态势评估方法及系统，通过获取预设时间内的一级指标与二级指标所对应的网络安全数据，并对所述网络安全态势数据进行处理，得到第一特征值，用第一特征值来表征二级指标的预评估结果，通过第二特征值以及评价矩阵来获得一级指标的二次评估结果，并基于二次评估结果获得一次指标的第二特征值，最后将第二特征值输入神经网络进行网络安全态势的风险评估判断，通过对上述迭代评估，可提高了最终评估结果的准确性.
附图说明
[0044]
为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的优选实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0045]
图1为本发明提供的一种网络安全态势评估方法的整体流程图；
[0046]
图2为本发明提供的一种网络安全态势评估方法的一个优选实施例的流程图；
[0047]
图3为本发明提供的一种网络安全态势评估方法的一个优选实施例的流程图；
[0048]
图4为本发明提供的一种网络安全态势评估方法的一个优选实施例的流程图；
[0049]
图5为本发明提供的一种网络安全态势评估系统的系统框图。
具体实施方式
[0050]
为了使得本发明的目的、技术方案和优点更为明显，下面将参照附图详细描述根据本发明的示例实施例。显然，所描述的实施例仅仅是本发明的一部分实施例，而不是本发明的全部实施例，应理解，本发明不受这里描述的示例实施例的限制。基于本发明中描述的本发明实施例，本领域技术人员在没有付出创造性劳动的情况下所得到的所有其它实施例都应落入本发明的保护范围之内。
[0051]
在下文的描述中，给出了大量具体的细节以便提供对本发明更为彻底的理解。然而，对于本领域技术人员而言显而易见的是，本发明可以无需一个或多个这些细节而得以实施。在其他的例子中，为了避免与本发明发生混淆，对于本领域公知的一些技术特征未进行描述。
[0052]
应当理解的是，本发明能够以不同形式实施，而不应当解释为局限于这里提出的实施例。相反地，提供这些实施例将使公开彻底和完全，并且将本发明的范围完全地传递给本领域技术人员。
[0053]
在此使用的术语的目的仅在于描述具体实施例并且不作为本发明的限制。在此使
用时，单数形式的“一”、“一个”和“所述/该”也意图包括复数形式，除非上下文清楚指出另外的方式。还应明白术语“组成”和/或“包括”，当在该说明书中使用时，确定所述特征、整数、步骤、操作、元件和/或部件的存在，但不排除一个或更多其它的特征、整数、步骤、操作、元件、部件和/或组的存在或添加。在此使用时，术语“和/或”包括相关所列项目的任何及所有组合。
[0054]
为了彻底理解本发明，将在下列的描述中提出详细的结构，以便阐释本发明提出的技术方案。本发明的可选实施例详细描述如下，然而除了这些详细描述外，本发明还可以具有其他实施方式。
[0055]
参见图1，本发明第一方面提供了一种网络安全态势评估方法，通过神经网络模型的形式对网络的安全态势进行评估，包括下列步骤：
[0056]
s101、建立网络安全态势指标，所述网络安全态势指标包括一级指标以及二级指标；
[0057]
s102、对所述二级指标进行风险评价，基于风险评价结果获得第一特征值，通过第一特征值获得一级指标的风险评估结果，基于一级指标的风险评估结果获得第二特征值，所述第二特征值用于表示一级指标的风险；
[0058]
s103、建立神经网络模型并进行训练，将所述第二特征值输入训练完成后的神经网络模型中，从而获得网络安全态势评估结果。
[0059]
作为示例性的，基于网络安全设备的数据来建立网络安全态势指标，而网络安全设备的数据来源包括防火墙、入侵检测系统、防病毒软件、漏洞扫描系统、拓扑发现工具、性能采集工具等。
[0060]
在本实施例中，以网络危险性、网络脆弱性、网络可用性、网络可靠性作为评价网络安全态势的一级指标，其中网络危险性包括如下二级指标：报警数目以及类别、安全事件历史发生频率、数据流入量、数据流入量增长率；
[0061]
所述网络脆弱性包括如下二级指标：网络漏洞数目、关键设备漏洞数目、安全设备数目；
[0062]
所述网络可用性包括如下二级指标：网络带宽、带宽利用率、cpu利用率、内存利用率；
[0063]
所述网络可靠性包括如下二级指标：网络流量变化率、数据流总量、关键设备平均无故障时间。
[0064]
参见图2，作为一个可选的实施方式，以专家的评价结果作为二级指标的第一特征值，其步骤包括：
[0065]
s201、设定每个二级指标的风险评估结果，所述风险评估结果包括“好”、“一般”、“差”；
[0066]
s202、由专家对每个二级指标进行评估，获得不同专家对每个二级指标的不同评估结果；
[0067]
s203、计算至少一个二级指标的风险评估结果为“好”的专家人数占专家总人数的第一比值；
[0068]
s204、计算前述二级指标的风险评估结果为“一般”的专家人数占专家总人数的第二比值；
[0069]
s205、计算前述二级指标的风险评估结果为“差”的专家人数占专家总人数的第三比值；
[0070]
s206、将所述第一比值、第二比值、第三比值分别作为前述二级指标的不同评估结果的第一特征值。
[0071]
在具体实施中，可设定专家人数为10人，对于网络脆弱性的二级指标“网络漏洞数目”，共有5名专家对“网络漏洞数目”的风险评估结果为“好”，有3名专家对“网络漏洞数目”的风险评估结果为“一般”，有2名专家对“网络漏洞数目”的风险评估结果为“差”，则二级指标“网络漏洞数目”的第一比值为0.5，第二比值为0.3，第三比值为0.2，则上述第一比值、第二比值、第三比值即为二级指标“网络漏洞数目”的第一特征值。
[0072]
参见图3，在获得第一特征值后，通过建立评价矩阵来对一级指标进行风险评估，其具体步骤包括：
[0073]
s301、建立如下评价矩阵：
[0074][0075]
式中，am为一级指标下的第m个二级指标的风险评估结果为“好”的第一特征值，bm为一级指标下的第m个二级指标的风险评估结果为“一般”的第一特征值，cm为一级指标下的第m个二级指标的风险评估结果为“差”的第一特征值；
[0076]
s302、计算如下特征矩阵ah*a的最大特征量以及所对应的特征向量ξ；
[0077]
s303、基于所述特征向量ξ，得到归一化后的特征向量η，特征向量η中的每个分量与联系范数的乘积即为态势矩阵；
[0078]
s304、将态势矩阵与数值态势表进行对比，判断一级指标的风险评估结果。
[0079]
在具体实施中，通过步骤s201-s205依次分别计算出网络脆弱性的二级指标的第一特征值，并代入所述评价矩阵中,所获得的评价矩阵如下所示：
[0080][0081]
计算特征矩阵ah*a的最大特征量为1.1645，同时并计算出最大特征量所对应的特征向量ξ＝{ξ1，ξ2，ξ3，...，ξm}，将所述特征向量ξ进行归一化，可获得归一化后的特征向量η＝{η1，η2，η3，...，ηm}，将特征向量η的各个分量与联系范数相乘，即可获得态势矩阵，其联系范数可选0-5的任一数字，将态势矩阵与数值态势表中的态势矩阵进行对比，从而获得一级指标的风险评估结果。
[0082]
需要说的是，所述数值态势表可参考现有文献《层次化网络安全威胁态势量化评估方法》来进行构建。
[0083]
进一步的，所述一级指标的风险评估结果包括均势、同势、反势，其中同势的风险情况优于均势，所述均势的风险情况优于反势。
[0084]
参见图4，基于一级指标的风险评估结果获得第二特征值，还包括下列步骤：
[0085]
s401、对所述一级指标的风险评估结果进行分级，所述同势的风险等级为一级，所
述均势的风险等级为二级，所述反势的风险等级为三级；
[0086]
s402、根据设定的风险等级，对一级指标的风险评估结果采用下式进行归一化处理：
[0087][0088]
其中d为危险等级，e'为表示归一化处理后的值，归一化处理后的值即为第二特征值。
[0089]
在具体使用时，以网络脆弱性指标为例，其归一化后的值可通过表1进行表示
[0090]
表1
[0091][0092]
具体的，所建立的bp神经网络模型包括输入层、隐含层、输出层，根据所述一级指标的个数确定输入层神经元数量为4个，设定输出层神经元数量为2个，输出层与网络安全态势评估结果对应关系如表2所示：
[0093]
表2
[0094]
风险等级y1y2低风险a00中等风险b01高风险c10超高风险d11
[0095]
通过y1与y2的不同组合形式来对网络安全态势评估的不同结果进行表示。
[0096]
综上所述，本发明实施例所公开的一种网络安全态势评估方法，在具体实施时，首先划分一级指标与二级指标，并获取预设时间内的一级指标与二级指标所对应的网络安全数据，并对所述网络安全态势数据进行处理，得到第一特征值，用第一特征值来表征二级指标的预评估结果，通过第二特征值以及评价矩阵来获得一级指标的二次评估结果，并基于二次评估结果获得一次指标的第二特征值，最后将第二特征值输入神经网络进行网络安全态势的风险评估判断，通过对上述迭代评估，可提高了最终评估结果的准确性。
[0097]
本发明第二方面提供了一种网络安全态势评估系统，可用于执行前述网络安全态势评估方法，其系统具体包括：
[0098]
指标获取模块1，用于获取网络安全态势指标，所述网络安全态势指标包括一级指标以及二级指标；
[0099]
第一风险评价模块2，用于对所述二级指标进行风险评价，基于风险评价结果获得第一特征值；
[0100]
第二风险评价模块3，用于通过第一特征值判断一级指标的风险评估结果；
[0101]
数据处理模块4，用于根据一级指标的风险评估结果计算获得第二特征值；
[0102]
学习模型5，用于生成神经网络模型，并基于第二特征值对所述神经网络模型进行
学习训练，获得网络安全态势评估结果。
[0103]
在本技术的一个实施例中，还公开了一种终端设备，包括：
[0104]
存储器，用于存储计算机程序；
[0105]
处理器，用于执行所述计算机程序；
[0106]
所述计算机程序被配置为由所述处理器执行，且被所述处理器执行时实现如上述任一实施例所述的网络安全态势评估方法。
[0107]
示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器中，并由所述处理器执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述终端设备中的执行过程。
[0108]
在本技术的一个实施例中，公开了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被执行时实现上述任一实施例所述的网络安全态势评估方法。
[0109]
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。