一种信息不完备条件下的网络空间安全态势表达方法及装置

1.本发明涉及网络安全技术领域，尤其涉及一种信息不完备条件下的网络空间安全态势表达方法及装置领域。


背景技术：

2.近年来，在日益不稳定的全球网络安全格局中，大规模针对性网络行动大幅增加，攻击复杂性持续上升，网络安全已成为国家安全的重要因素。网络空间安全态势表达是网络空间筹划布局中的重要组成部分，它将网络空间中获取的态势信息经过处理后，以直观、清晰的方式加以显示，为网络空间指挥和运维人员提供态势图，从而为网络空间指挥和行动提供有效支撑。
3.现有网络空间安全态势表达的技术方案存在以下不足：一是缺乏针对信息不完备条件下的流量数据融合方法，使网络空间安全态势难以直观表达；二是网络漏洞数据的内在联系挖掘不足，造成网络漏洞误报率高。


技术实现要素：

4.鉴于上述网络空间安全态势表达方法存在的问题，本发明提出了一种信息不完备条件下的网络空间安全态势表示方法，设计针对缺省流量数据的数据融合方法，对融合后的数据进行分析计算，得到网络安全态势值，以直观、清晰的方式显示网络空间态势信息；基于规则关联算法进行数据挖掘，从而利用已知漏洞数据获取未知漏洞特征，提高安全态势表达及预测的准确度与效率。
5.为了解决上述技术问题，本发明实施例第一方面公开了一种信息不完备条件下的网络空间安全态势表达方法，所述方法包括：
6.s1，利用路由器、防火墙、交换机、流量采集器，分别从网络节点采集流量数据，得到四模态缺省流量数据向量集；所述四模态缺省流量数据向量集包括n个四模态缺省流量数据向量；所述n表征所述网络节点的数量；
7.s2，利用预设的深度多模态编码器，对所述四模态缺省流量数据向量集进行数据融合，得到联合特征向量集；所述联合特征向量集包括n个联合特征向量；
8.s3，遍历所述联合特征向量集，对每个网络节点的联合特征向量进行处理，得到态势影响因子信息集；所述态势影响因子信息包括入侵威胁度it、漏洞威胁度vt、节点重要度ni、运行性能值op；所述态势影响因子集包括n个态势影响因子信息；
9.s4，利用预设的态势计算模型，对所述态势影响因子信息集进行处理，得到安全态势值集；所述安全态势值集包括n个安全态势值；
10.s5，利用预设的网络整体安全态势模型，对所述态势影响因子信息集和所述安全态势值集进行处理，得到网络整体安全态势值；
11.s6，根据所述联合特征向量，利用预设的关联规则挖掘算法模型，得到网络漏洞预测信息。
12.作为一种可选的实施方式，在本发明实施例第一方面中，所述预设的深度多模态编码器，包括：
13.第一隐藏层，用于从四模态缺省流量数据向量中提取特征信息，得到四模态缺省特征信息；所述第一隐藏层包含四个子隐藏层，分别对应四模态缺省流量数据向量中四种模态；所述四种模态包括路由器、防火墙、交换机、流量采集器；
14.第一融合层，对所述四模态缺省特征信息进行融合，完成模态内及模态间信息补缺，得到完整特征信息；
15.第二隐藏层，对所述完整特征信息进行处理，得到四模态完整流量信息；所述第二隐藏层包含四个子隐藏层，分别对应所述四种模态；
16.第二融合层，对所述四模态完整流量信息进行融合，得到联合特征向量。
17.作为一种可选的实施方式，在本发明实施例第一方面中，所述对所述四模态完整流量信息进行融合，得到联合特征向量，包括：
18.提取所述四模态完整流量信息的特征，得到四模态完整特征向量；
19.利用相似度矩阵模型，去除所述四模态完整特征向量的冗余特征，得到四模态主要特征向量；所述四模态主要特征向量的四种模态主要特征向量的维数可以不同；
20.对所述四模态主要特征向量进行向量拼接融合，得到节点联合特征向量。
21.作为一种可选的实施方式，在本发明实施例第一方面中，所述对联合特征向量进行处理，得到态势影响因子信息，包括：
22.对所述联合特征向量中防火墙报警误报率、安全攻击事件防御情况进行计算，得到入侵威胁度it；
23.对所述节点联合特征向量中漏洞扫描情况、系统安全设备配置强度进行计算，得到漏洞威胁度vt；
24.对所述节点联合特征向量中节点的资产价值度、节点在网络拓扑结构中与其他节点的关联程度进行计算，得到节点重要度ni；
25.对所述节点联合特征向量中主机通信状况进行计算，得到运行性能值op。
26.作为一种可选的实施方式，在本发明实施例第一方面中，所述预设的态势计算模型为：
27.hs(t)＝ni(t)
×
[a1×
it(t) a2×
vt(t) a3×
op(t)]
[0028]
式中，t表示时间，hs(t)表示t时刻的安全态势值，ni(t)表示t时刻的重要度，it(t)表示t时刻的入侵威胁度，vt(t)表示t时刻的漏洞威胁度，op(t)表示t时刻的运行性能值，α1为入侵威胁度的权重值，α2为漏洞威胁度的权重值，α3是为运行性能值的权重值。
[0029]
作为一种可选的实施方式，在本发明实施例第一方面中，所述利用预设的网络整体安全态势模型，对所述态势影响因子信息集和所述安全态势值集进行处理，得到网络整体安全态势值，包括：
[0030]
将网络节点的入侵威胁度it与漏洞威胁度vt相乘，得到所述网络节点的攻击概率；
[0031]
将所述网络节点的攻击概率与安全态势值相乘，得到节点的安全态势因子；
[0032]
将n个网络节点的安全态势因子求和，得到网络整体安全态势值。
[0033]
作为一种可选的实施方式，在本发明实施例第一方面中，所述根据所述联合特征
向量，利用预设的关联规则挖掘算法模型，得到网络漏洞预测信息，包括：
[0034]
s71，遍历所述联合特征向量，找出第i个属性的最大频繁单维集fi及其非空单维集l
i’；
[0035]
s72，并对所述单维子集fi进行剪枝；
[0036]
s73，通过连接l
i-1
和所述非空单维集l
i’生成ci；
[0037]
s74，对于所述ci中的每个候选i-维集，扫描剪枝后的数据库并计数，生成频繁的i-维集li；
[0038]
s75，重复上述步骤s72～s74，直到生成频繁n-维集ln；
[0039]
s76，通过对频繁n-维集进行处理，得到多维关联规则；
[0040]
s77，根据所述多维关联规则，得到漏洞预测信息。
[0041]
本发明实施例第二方面公开了一种信息不完备条件下的网络空间安全态势表达装置，所述装置包括：
[0042]
数据采集模块，用于利用路由器、防火墙、交换机、流量采集器分别从网络节点采集流量数据，得到四模态缺省流量数据向量集；
[0043]
数据融合模块，用于利用预设的深度多模态编码器，对所述四模态缺省流量数据向量集进行数据融合，得到联合特征向量集；
[0044]
第一计算模块，用于对网络中每个节点的联合特征向量进行处理，得到态势影响因子信息集；
[0045]
第二计算模块，用于利用预设的态势计算模型，对所述态势影响因子信息集进行处理，得到安全态势值集；
[0046]
第三计算模块，用于利用预设的网络整体安全态势模型，对所述态势影响因子信息集和所述安全态势值集进行处理，得到网络整体安全态势值；
[0047]
漏洞预测模块，用于利用预设的关联规则挖掘算法模型，得到网络漏洞预测信息。
[0048]
作为一种可选的实施方式，在本发明实施例第二方面中，所述利用预设的深度多模态编码器，对所述四模态缺省流量数据向量集进行数据融合，得到联合特征向量集，包括：
[0049]
利用第一隐藏层，从四模态缺省流量数据向量中提取特征信息，得到四模态缺省特征信息；所述第一隐藏层包含四个子隐藏层，分别对应四模态缺省流量数据向量中四种模态；所述四种模态包括路由器、防火墙、交换机、流量采集器；
[0050]
利用第一融合层，对所述四模态缺省特征信息进行融合，完成模态内及模态间信息补缺，得到完整特征信息；
[0051]
利用第二隐藏层，对所述完整特征信息进行处理，得到四模态完整流量信息；所述第二隐藏层包含四个子隐藏层，分别对应所述四种模态；
[0052]
利用第二融合层，对所述四模态完整流量信息进行融合，得到联合特征向量。
[0053]
作为一种可选的实施方式，在本发明实施例第二方面中，所述对所述四模态完整流量信息进行融合，得到联合特征向量，包括：
[0054]
提取所述四模态完整流量信息的特征，得到四模态完整特征向量；
[0055]
利用相似度矩阵模型，去除所述四模态完整特征向量的冗余特征，得到四模态主要特征向量；所述四模态主要特征向量的四种模态主要特征向量的维数可以不同；
[0056]
对所述四模态主要特征向量进行向量拼接融合，得到节点联合特征向量。
[0057]
作为一种可选的实施方式，在本发明实施例第二方面中，所述对联合特征向量进行处理，得到态势影响因子信息，包括：
[0058]
对所述联合特征向量中防火墙报警误报率、安全攻击事件防御情况进行计算，得到入侵威胁度it；
[0059]
对所述节点联合特征向量中漏洞扫描情况、系统安全设备配置强度进行计算，得到漏洞威胁度vt；
[0060]
态势感知影响因子中的it和vt，可由下式确定因子的值：
[0061][0062]
其中wi是权值系数，其中xi表示在所属情况下的参数因子，可预先通过离散化取出参数因子。对于参数因子xi用无偏估计近似数据期望μ，用无偏估计近似方差σ2。由n组方程求解出未知参数wi的值。根据下列方程组求解出n组wi的值：
[0063][0064]
对所述节点联合特征向量中节点的资产价值度、节点在网络拓扑结构中与其他节点的关联程度进行计算，得到节点重要度ni；
[0065]
对所述节点联合特征向量中主机通信状况进行计算，得到运行性能值op。
[0066]
作为一种可选的实施方式，在本发明实施例第二方面中，所述预设的态势计算模型为：
[0067]
hs(t)＝ni(t)
×
[a1×
it(t) a2×
vt(t) a3×
op(t)]
[0068]
式中，t表示时间，hs(t)表示t时刻的安全态势值，ni(t)表示t时刻的重要度，it(t)表示t时刻的入侵威胁度，vt(t)表示t时刻的漏洞威胁度，op(t)表示t时刻的运行性能值，α1为入侵威胁度的权重值，α2为漏洞威胁度的权重值，α3是为运行性能值的权重值。
[0069]
作为一种可选的实施方式，在本发明实施例第二方面中，所述利用预设的网络整体安全态势模型，对所述态势影响因子信息集和所述安全态势值集进行处理，得到网络整体安全态势值，包括：
[0070]
根据所述入侵威胁度it、所述漏洞威胁度vt，计算网络节点的攻击概率；计算公式为：
[0071]
q(t)＝vt(t)
×
it(t)
[0072]
式中，t表示时间，q(t)表示t时刻的攻击概率，it(t)表示t时刻的入侵威胁度，vt(t)表示t时刻的漏洞威胁度。
[0073]
利用预设的网络整体安全态势模型，对所有网络节点的攻击概率与安全态势值相乘后求和，得到网络整体安全态势值；所述网络整体安全态势模型为：
[0074][0075]
式中，i表示网络节点，m表示网络节点的总数，nhs(t)表示网络整体安全态势，q(t)表示t时刻的攻击概率，hs(t)表示t时刻的安全态势值。
[0076]
作为一种可选的实施方式，在本发明实施例第二方面中，所述根据所述联合特征向量，利用预设的关联规则挖掘算法模型，得到网络漏洞预测信息，包括：
[0077]
步骤1，遍历所述联合特征向量，找出第i个属性的最大频繁单维集fi及其非空单维集l
i’；
[0078]
步骤2，并对所述单维子集fi进行剪枝；
[0079]
步骤3，通过连接l
i-1
和所述非空单维集l
i’生成ci；
[0080]
步骤4，对于所述ci中的每个候选i-维集，扫描剪枝后的数据库并计数，生成频繁的i-维集li；
[0081]
步骤5，重复执行上述步骤2～步骤4，直到生成频繁n-维集ln；
[0082]
步骤6，通过对频繁n-维集进行处理，得到多维关联规则；
[0083]
步骤7，根据所述多维关联规则，得到漏洞预测信息。
[0084]
本发明第三方面公开了另一种一种信息不完备条件下的网络空间安全态势表达装置，所述装置包括：
[0085]
存储有可执行程序代码的存储器；
[0086]
与所述存储器耦合的处理器；
[0087]
所述处理器调用所述存储器中存储的所述可执行程序代码，执行本发明实施例第一方面公开的信息不完备条件下的网络空间安全态势表达方法中的部分或全部步骤。
[0088]
本发明第四方面公开了一种计算机存储介质，所述计算机存储介质存储有计算机指令，所述计算机指令被调用时，用于执行本发明实施例第一方面公开的信息不完备条件下的网络空间安全态势表达方法中的部分或全部步骤。
[0089]
本发明的有益效果：
[0090]
本发明所述的一种信息不完备条件下的网络空间安全态势表达方法，提出了一种深度多模态编码器，将多源异构的流量数据进行补缺，并利用特征融合方法进行多维度融合处理，从而获得每个网络节点的联合特征向量；通过态势计算公式，计算得出单个网络节点的安全态势值，进一步计算得到网络整体安全态势值。提出一种关联规则挖掘算法，可得到网络漏洞预测信息，减少了后续数据挖掘的工作量，实现高效处理。本发明解决了信息不完备条件下部分流量特征数据缺省的问题，通过深度多模态编码器实现多源异构流量信息的补缺，利用相似度矩阵计算来进行特征融合处理，提高态势计算及表达的效率，通过关联规则挖掘算法挖掘漏洞数据的内在联系，利用已知漏洞数据获取未知漏洞特征，从而扩展安全规则，以便更好地识别未知漏洞，提高态势预测的准确度。
附图说明
[0091]
图1是本发明实施例公开的一种信息不完备条件下的网络空间安全态势表达方法流程图；
[0092]
图2是本发明实施例公开的一种信息不完备条件下的网络空间安全态势表达装置的结构示意图；
[0093]
图3是本发明实施例公开的另一种信息不完备条件下的网络空间安全态势表达装置的结构示意图。
具体实施方式
[0094]
为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0095]
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
[0096]
在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。
[0097]
本发明公开了一种信息不完备条件下的网络空间安全态势表达方法，提出了一种基于神经网络的多模态数据融合框架，将多源异构的流量数据进行多维度融合处理，解决了信息不完备条件下部分流量特征数据缺省的问题，通过深度多模态编码器的数据融合算法实现多源异构流量信息的融合处理，提高态势计算及表达的效率；提出一种msmine关联规则挖掘算法，挖掘漏洞数据的内在联系，利用已知漏洞数据获取未知漏洞特征，从而扩展安全规则，以便更好地识别未知漏洞，提高态势预测的准确度。
[0098]
实施例一
[0099]
请参阅图1，图1是本发明实施例公开的一种信息不完备条件下的网络空间安全态势表达方法流程图。其中，图1所描述的一种信息不完备条件下的网络空间安全态势表达方法应用于空间系统中，如用于网络空间系统的本地服务器或云端服务器等，本发明实施例不做限定。如图1所示，该信息不完备条件下的网络空间安全态势表达方法可以包括以下操作：
[0100]
101、利用路由器、防火墙、交换机、流量采集器，分别从网络节点采集流量数据，得到四模态缺省流量数据向量集。
[0101]
本发明实施例中，上述四模态缺省流量数据向量集包括n个四模态缺省流量数据向量；所述n表征所述网络节点的数量。
[0102]
可见，利用路由器、防火墙、交换机、流量采集器采集的多源异构的流量数据，从不
同方式进行采集数据，对网络态势分析更加全面。
[0103]
102、利用预设的深度多模态编码器，对所述四模态缺省流量数据向量集进行数据融合，得到联合特征向量集。
[0104]
本发明实施例中，上述联合特征向量集包括n个联合特征向量。
[0105]
在一个可选的实施例中，上述预设的深度多模态编码器，具体包括：
[0106]
第一隐藏层，用于从四模态缺省流量数据向量中提取特征信息，得到四模态缺省特征信息；所述第一隐藏层包含四个子隐藏层，分别对应四模态缺省流量数据向量中四种模态；所述四种模态包括路由器、防火墙、交换机、流量采集器；
[0107]
第一融合层，对所述四模态缺省特征信息进行融合，完成模态内及模态间信息补缺，得到完整特征信息；
[0108]
模态内信息补缺调整利用目标函数进行；式中，为补充缺省信息后的输入矩阵，x为缺省输入矩阵，s
x
为缺省矩阵。
[0109]
第二隐藏层，对所述完整特征信息进行处理，得到四模态完整流量信息；所述第二隐藏层包含四个子隐藏层，分别对应所述四种模态；
[0110]
第二融合层，对所述四模态完整流量信息进行融合，得到联合特征向量。
[0111]
可见，通过深度多模态编码器的数据融合算法，实现多源异构流量信息的融合处理，提高态势计算及表达的效率。
[0112]
在一个可选的实施例中，上述对所述四模态完整流量信息进行融合，得到联合特征向量，具体包括：
[0113]
提取所述四模态完整流量信息的特征，得到四模态完整特征向量；
[0114]
利用相似度矩阵模型，去除所述四模态完整特征向量的冗余特征，得到基于路由器、防火墙、交换机、流量采集器的四种不同维数的特征向量；
[0115]
在该可选的实施例中，作为一种可选的实施方式，基于路由器的特征向量a的维度由m维变为m'维，基于防火墙的特征向量b的维度由n维变为n'维，基于交换机的特征向量c的维度由y维变为y'维，基于流量采集器的特征向量d的维度由q维变为q'维；
[0116]
所述相似度矩阵计算公式为：
[0117][0118]
其中i，j为任意两模态的特征向量，即i,j∈a,b,c,d。
[0119]
通过计算任意两模态的特征向量，可筛选出每个模态特征向量的冗余特征项并进行去冗余，从而对四个模态的流量信息进行降维。
[0120]
对所述基于路由器、防火墙、交换机、流量采集器的四种不同维数的特征向量进行向量拼接融合，得到节点联合特征向量；所述节点联合特征向量维度数目为m' n' y' q'。
[0121]
可见，通过特征向量相似度计算去除一些冗余特征维度，然后进行拼接融合得到节点联合特征向量，降低了计算复杂度，保留住了流量数据的特征信息。
[0122]
在一个可选的实施例中，深度多模态编码器结构计算过程为：
[0123]
将四模态缺省流量数据向量输入到第一隐藏层h1，得到四模态缺省特征信息；
[0124]
将所述四模态缺省特征信息输入融合层h2，进行模态内及模态间缺省信息填补，得到完整特征信息；
[0125]
将所述完整特征信息输入到h3，得到四模态完整流量信息；
[0126]
将所述四模态完整流量信息输入第二融合层，进行融合，得到联合特征向量。
[0127]
可见，通过本发明提出的深度多模态编码器，利用目标函数，能够自动学习捕获已有流量信息中的潜在特征，并学习捕获模态内和模态间相关性的共享表示，实现对缺省流量数据推断与分析，实现多源异构流量信息补缺，提高态势表达的效率。
[0128]
103、遍历所述联合特征向量集，对每个网络节点的联合特征向量进行处理，得到态势影响因子信息集。
[0129]
本发明实施例中，上述态势影响因子信息包括入侵威胁度it、漏洞威胁度vt、节点重要度ni、运行性能值op；所述态势影响因子集包括n个态势影响因子信息。
[0130]
在一个可选的实施例中，上述对联合特征向量进行处理，得到态势影响因子信息，包括：
[0131]
对所述联合特征向量中防火墙报警误报率、安全攻击事件防御情况进行计算，得到入侵威胁度it；
[0132]
对所述节点联合特征向量中漏洞扫描情况、系统安全设备配置强度进行计算，得到漏洞威胁度vt；
[0133]
态势感知影响因子中的it和vt，可由下式确定因子的值：
[0134][0135]
其中wi是权值系数，其中xi表示在所属情况下的参数因子，可预先通过离散化取出参数因子。对于参数因子xi用无偏估计近似数据期望μ，用无偏估计近似方差σ2。由n组方程求解出未知参数wi的值。根据下列方程组求解出n组wi的值：
[0136][0137]
对所述节点联合特征向量中节点的资产价值度、节点在网络拓扑结构中与其他节点的关联程度进行计算，得到节点重要度ni；
[0138]
对所述节点联合特征向量中主机通信状况进行计算，得到运行性能值op。
[0139]
可见，通过对网络节点联合特征向量中所包含信息的计算处理，得到流量信息中对态势产生影响的入侵威胁度、漏洞威胁度、节点重要度以及运行性能值；
[0140]
104、利用预设的态势计算模型，对所述态势影响因子信息集进行处理，得到安全态势值集。
[0141]
本发明实施例中，上述安全态势值集包括n个安全态势值。
[0142]
在一个可选的实施例中，上述所述预设的态势计算模型为：
[0143]
hs(t)＝ni(t)
×
[a1×
it(t) a2×
vt(t) a3×
op(t)]
[0144]
式中，t表示时间，hs(t)表示t时刻的安全态势值，ni(t)表示t时刻的重要度，it(t)表示t时刻的入侵威胁度，vt(t)表示t时刻的漏洞威胁度，op(t)表示t时刻的运行性能值，α1为入侵威胁度的权重值，α2为漏洞威胁度的权重值，α3是为运行性能值的权重值。。
[0145]
可见，态势计算模型综合考虑了安全态势值、入侵威胁度、漏洞威胁度、运行性能值等对态势的影响，解决了片面分析态势的缺点，以直观的方式计算了网络节点的安全态势值。
[0146]
105、利用预设的网络整体安全态势模型，对所述态势影响因子信息集和所述安全态势值集进行处理，得到网络整体安全态势值。
[0147]
在一个可选的实施例中，上述利用预设的网络整体安全态势模型，对所述态势影响因子信息集和所述安全态势值集进行处理，得到网络整体安全态势值，具体包括：
[0148]
将网络节点的入侵威胁度it与漏洞威胁度vt相乘，得到所述网络节点的攻击概率；
[0149]
将所述网络节点的攻击概率与安全态势值相乘，得到节点的安全态势因子；
[0150]
将n个网络节点的安全态势因子求和，得到网络整体安全态势值。
[0151]
可见，通过计算每个网络节点的攻击概率，可得出该网络节点在网络整体安全态势中的重要程度，当该网络节点的攻击概率较大时，其对网络整体安全态势值影响越大。通过计算网络整体安全态势值可直观表达网络空间安全态势。
[0152]
106、根据所述联合特征向量，利用预设的关联规则挖掘算法模型，得到网络漏洞预测信息。
[0153]
在一个可选的实施例中，上述关联规则挖掘算法过程如下：
[0154]
s1，遍历所述n维联合特征向量，找出第i个属性的最大频繁单维集fi及其非空单维集li’；
[0155]
s2，并对所述单维子集fi进行剪枝；
[0156]
s3，通过连接li-1和li’生成ci；
[0157]
s4，对于ci中的每个候选i-维集，扫描剪枝后的数据库并计数，生成频繁的i-维集li；
[0158]
s5，重复上述步骤s52～s54，直到生成频繁n-维集ln；
[0159]
s6，通过频繁n-维集生成多维关联规则；
[0160]
s7，根据关联规则，预测下一步的漏洞情况及位置。
[0161]
利用本发明提出的关联规则挖掘算法模型，可以找出每个维度子集的最大频繁项集，同时对流量信息数据库进行剪枝，从而大大减少后续数据挖掘的工作量，实现高效处理；关联规则挖掘算法模型利用已知漏洞数据获取未知漏洞特征，从而扩展安全规则，以便更好地识别未知漏洞，提高态势预测的准确度。
[0162]
可见，实施图1所描述的信息不完备条件下的网络空间安全态势表达方法，能够利用深度多模态编码器，将多源异构的流量数据进行补缺，并利用特征融合方法进行多维度融合处理，解决了信息不完备条件下的流量数据融合方法；利通过对融合后的数据进行分析计算，得到网络安全态势值，以直观、清晰的方式显示网络空间态势信息；实施基于规则关联算法进行数据挖掘，从而利用已知漏洞数据获取未知漏洞特征，提高安全态势表达及
预测的准确度与效率。
[0163]
实施例二
[0164]
请参阅图2，图2是本发明实施例公开的一种信息不完备条件下的网络空间安全态势表达装置结构图。其中，图2所描述的一种信息不完备条件下的网络空间安全态势表达装置应用于空间系统中，如用于网络空间系统的本地服务器或云端服务器等，本发明实施例不做限定。如图2所示，该装置包括：
[0165]
数据采集模块201，用于利用路由器、防火墙、交换机、流量采集器分别从网络节点采集流量数据，得到四模态缺省流量数据向量集；
[0166]
数据融合模块202，用于利用预设的深度多模态编码器，对所述四模态缺省流量数据向量集进行数据融合，得到联合特征向量集；
[0167]
第一计算模块203，用于对网络中每个节点的联合特征向量进行处理，得到态势影响因子信息集；
[0168]
第二计算模块204，用于利用预设的态势计算模型，对所述态势影响因子信息集进行处理，得到安全态势值集；
[0169]
第三计算模块205，用于利用预设的网络整体安全态势模型，对所述态势影响因子信息集和所述安全态势值集进行处理，得到网络整体安全态势值；
[0170]
漏洞预测模块206，用于利用预设的关联规则挖掘算法模型，得到网络漏洞预测信息。
[0171]
可见，实施图2所描述的信息不完备条件下的网络空间安全态势表达装置，能够利用深度多模态编码器，将多源异构的流量数据进行补缺，并利用特征融合方法进行多维度融合处理，解决了信息不完备条件下的流量数据融合方法；实施基于规则关联算法进行数据挖掘，从而利用已知漏洞数据获取未知漏洞特征，提高安全态势表达及预测的准确度与效率。
[0172]
在一个可选的实施例中，上述利用预设的深度多模态编码器，对所述四模态缺省流量数据向量集进行数据融合，得到联合特征向量集，包括：
[0173]
利用第一隐藏层，从四模态缺省流量数据向量中提取特征信息，得到四模态缺省特征信息；所述第一隐藏层包含四个子隐藏层，分别对应四模态缺省流量数据向量中四种模态；所述四种模态包括路由器、防火墙、交换机、流量采集器；
[0174]
利用第一融合层，对所述四模态缺省特征信息进行融合，完成模态内及模态间信息补缺，得到完整特征信息；
[0175]
利用第二隐藏层，对所述完整特征信息进行处理，得到四模态完整流量信息；所述第二隐藏层包含四个子隐藏层，分别对应所述四种模态；
[0176]
利用第二融合层，对所述四模态完整流量信息进行融合，得到联合特征向量。
[0177]
在一个可选的实施例中，上述对所述四模态完整流量信息进行融合，得到联合特征向量，包括：
[0178]
提取所述四模态完整流量信息的特征，得到四模态完整特征向量；
[0179]
利用相似度矩阵模型，去除所述四模态完整特征向量的冗余特征，得到四模态主要特征向量；所述四模态主要特征向量的四种模态主要特征向量的维数可以不同；
[0180]
对所述四模态主要特征向量进行向量拼接融合，得到节点联合特征向量。
[0181]
可见，通过利用深度多模态编码器(dme)的数据融合算法实现多源异构流量信息的融合处理，提高态势计算及表达的效率。
[0182]
在一个可选的实施例中，上述对联合特征向量进行处理，得到态势影响因子信息，包括：
[0183]
对所述联合特征向量中防火墙报警误报率、安全攻击事件防御情况进行计算，得到入侵威胁度it；
[0184]
对所述节点联合特征向量中漏洞扫描情况、系统安全设备配置强度进行计算，得到漏洞威胁度vt；
[0185]
对所述节点联合特征向量中节点的资产价值度、节点在网络拓扑结构中与其他节点的关联程度进行计算，得到节点重要度ni；
[0186]
对所述节点联合特征向量中主机通信状况进行计算，得到运行性能值op。
[0187]
在一个可选的实施例中，上述预设的态势计算模型为：
[0188]
hs(t)＝ni(t)
×
[a1×
it(t) a2×
vt(t) a3×
op(t)]
[0189]
式中，t表示时间，hs(t)表示t时刻的安全态势值，ni(t)表示t时刻的重要度，it(t)表示t时刻的入侵威胁度，vt(t)表示t时刻的漏洞威胁度，op(t)表示t时刻的运行性能值，α1为入侵威胁度的权重值，α2为漏洞威胁度的权重值，α3是为运行性能值的权重值。
[0190]
在一个可选的实施例中，上述利用预设的网络整体安全态势模型，对所述态势影响因子信息集和所述安全态势值集进行处理，得到网络整体安全态势值，包括：
[0191]
根据所述入侵威胁度it、所述漏洞威胁度vt，计算网络节点的攻击概率；计算公式为：
[0192]
q(t)＝vt(t)
×
it(t)
[0193]
式中，t表示时间，q(t)表示t时刻的攻击概率，it(t)表示t时刻的入侵威胁度，vt(t)表示t时刻的漏洞威胁度。
[0194]
利用预设的网络整体安全态势模型，对所有网络节点的攻击概率与安全态势值相乘后求和，得到网络整体安全态势值；所述网络整体安全态势模型为：
[0195][0196]
式中，i表示网络节点，m表示网络节点的总数，nhs(t)表示网络整体安全态势，q(t)表示t时刻的攻击概率，hs(t)表示t时刻的安全态势值。
[0197]
可见，利用态势计算模型和网络整体安全态势模型，将网络空间中获取的态势信息以直观、清晰的方式加以显示，有利于下一步的数据分析及态势感知表达。
[0198]
在一个可选的实施例中，上述根据所述联合特征向量，利用预设的关联规则挖掘算法模型，得到网络漏洞预测信息，包括：
[0199]
步骤1，遍历所述联合特征向量，找出第i个属性的最大频繁单维集fi及其非空单维集l
i’；
[0200]
步骤2，并对所述单维子集fi进行剪枝；
[0201]
步骤3，通过连接l
i-1
和所述非空单维集l
i’生成ci；
[0202]
步骤4，对于所述ci中的每个候选i-维集，扫描剪枝后的数据库并计数，生成频繁
的i-维集li；
[0203]
步骤5，重复执行上述步骤2～步骤4，直到生成频繁n-维集ln；
[0204]
步骤6，通过对频繁n-维集进行处理，得到多维关联规则；
[0205]
步骤7，根据所述多维关联规则，得到漏洞预测信息。
[0206]
可见，利用基于多维集合的关联规则挖掘算法，对已知漏洞模式进行关联分析，进一步挖掘漏洞之间内在联系，预测未知漏洞的显著特征信息，从而扩展安全规则并预测下一步的安全态势发展情况，提高态势表达及预测的准确性。
[0207]
实施例三
[0208]
请参阅图3，图3是本发明实施例公开的又一种信息不完备条件下的网络空间安全态势表达装置的结构示意图。其中，图3所描述的装置能够应用于空间系统中，如用于网络空间系统的本地服务器或云端服务器等，本发明实施例不做限定。如图3所示，该装置可以包括：
[0209]
存储有可执行程序代码的存储器301；
[0210]
与存储器301耦合的处理器302；
[0211]
处理器302调用存储器301中存储的可执行程序代码，用于执行实施例一所描述的信息不完备条件下的网络空间安全态势表达方法中的步骤。
[0212]
实施例四
[0213]
本发明实施例公开了一种计算机读存储介质，其存储用于电子数据交换的计算机程序，其中，该计算机程序使得计算机执行实施例一所描述的信息不完备条件下的网络空间安全态势表达方法中的步骤。
[0214]
实施例五
[0215]
本发明实施例公开了一种计算机程序产品，该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，且该计算机程序可操作来使计算机执行实施例一所描述的信息不完备条件下的网络空间安全态势表达方法中的步骤。
[0216]
最后应说明的是：本发明实施例公开的一种信息不完备条件下的网络空间安全态势表达方法及装置所揭露的仅为本发明较佳实施例而已，仅用于说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解；其依然可以对前述各项实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或替换，并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。