一种网络安全的预测分析方法及系统与流程

1.本发明涉及网络安全技术领域，具体而言，涉及一种网络安全的预测分析方法及系统。


背景技术：

2.现有的网络安全的预测分析方法多为单纯检测出网络攻击，进而确定网络安全，但是往往没有确定网络安全的最大承受范围，进而片面的针对当前时刻的网络受到的攻击进行评估，并不能针对网络受到攻击时的起到的防御作用和检查漏洞这些方面进行评估，因此需要一种多方面评估网络安全的方法和系统。


技术实现要素：

3.本发明的目的在于提供一种网络安全的预测分析方法及系统，以改善上述问题。为了实现上述目的，本发明采取的技术方案如下：
4.一方面，本技术提供了一种网络安全的预测分析方法，包括：
5.获取第一安全事件信息，所述第一安全事件信息包括网络受到的历史攻击信息、历史防御信息和历史漏洞信息；
6.将所述第一安全事件信息发送至bp神经网络模型进行预测处理，得到第二安全事件信息，所述第二安全事件信息为产生安全事件数量最多的时间段内的所有安全事件信息；
7.将所有的所述第二安全事件信息与预设的网络安全性能参数进行灰色关联分析，确定每个第二安全事件信息与所述网络安全性能参数的关联度；
8.将所述第二安全事件信息进行层次分析，确定每个所述第二安全事件信息的相对权重信息；
9.将所述关联度和所述相对权重信息进行组合生成组合权重，并基于所述组合权重对网络安全进行评分，得到网络安全的评分值。
10.另一方面，本技术还提供了一种网络安全的预测分析系统，包括：
11.获取单元，用于获取第一安全事件信息，所述第一安全事件信息包括网络受到的历史攻击信息、历史防御信息和历史漏洞信息；
12.第一处理单元，用于将第一安全事件信息发送至训练后的神经网络模型进行预测处理，得到第二安全事件信息，所述第二安全事件信息为产生安全事件数量最多的时间段内的所有安全事件信息；
13.第一分析单元，用于将所有的所述第二安全事件信息与预设的网络安全性能参数进行灰色关联分析，确定每个第二安全事件信息与所述网络安全性能参数的关联度；
14.第二分析单元，用于将所述第二安全事件信息进行层次分析，确定每个所述第二安全事件信息的相对权重信息；
15.第二处理单元，用于将所述关联度和所述相对权重信息进行组合生成组合权重，
并基于所述组合权重对网络安全进行评分，得到网络安全的评分值。
16.本发明的有益效果为：
17.本发明通过粒子群优化算法对bp神经网络进行优化，进而将历史发生的安全事件信息发送至优化后的bp神经网络进行预测，进而确定当前网络受到最多攻击时，安全检测日志内所包含的安全事件信息，进而确定当前网络在受到最多攻击时的安全评分，这样可以增加评分的准确性和鲁棒性，减少评分误差；
18.本发明还通过关联分析和层次分析确定每个安全事件的权重值，进而将关联分析产生的关联度值和层次分析确定的权重值进行组合权重处理，增加评分的准确性，这样可以综合评估当前的网络安全。
19.本发明的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
20.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
21.图1为本发明实施例中所述的网络安全的预测分析方法流程示意图；
22.图2为本发明实施例中所述的网络安全的预测分析系统结构示意图；
23.图3为本发明实施例中所述的网络安全的安全事件评分表。
具体实施方式
24.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
25.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
26.实施例1：
27.本实施例提供了一种网络安全的预测分析方法。
28.参见图1和图3，图中示出了本方法包括步骤s1、步骤s2、步骤s3、步骤s4和步骤s5。
29.步骤s1、获取第一安全事件信息，所述第一安全事件信息包括网络受到的历史攻击信息、历史防御信息和历史漏洞信息；
30.可以理解的是本步骤中通过预设的在安全检测日志内的探针对第一安全事件信
息进行调用和存储，并将所述第一安全事件信息分为受到的攻击信息、防御信息和漏洞信息，其中受到的攻击信息包括受到的攻击时间、频率、网络节点和设备，所述防御信息包括受到攻击时做出的防御策略，受到攻击时做出防御的时间和防御是否成功的结果，所述漏洞信息包括每次安全检测时检测到的漏洞信息。
31.步骤s2、将所述第一安全事件信息发送至bp神经网络模型进行预测处理，得到第二安全事件信息，所述第二安全事件信息为产生安全事件数量最多的时间段内的所有安全事件信息；
32.可以理解的是本步骤通过将第一安全事件信息发送至bp神经网络模型进行预测，确定发生安全事件数量最多次数的时间段，得到第二安全事件信息，所述第二安全事件信息为预测得到的攻击信息、防御信息和漏洞信息，并通过第二安全事件信息判断当前网络在极限的外部攻击下是否安全，本步骤中，步骤s2包括步骤s21、步骤s22、步骤s23、步骤s24和步骤s25。
33.步骤s21、将所述第一安全事件信息按照时间序列进行分类，得到至少一个时间段的第一安全事件信息；
34.可以理解的是本步骤通过将历史安全检查日志内的安全事件信息按照同一时间刻度进行分类，确定不同时间段的发生的不同安全事件信息。
35.步骤s22、将所述至少一个时间段的第一安全事件信息按照时间前后分为训练集和验证集，所述训练集包括时间序列在前的第一安全事件信息，所述验证集包括时间序列在后的第一安全事件信息；
36.可以理解的是本步骤通过按照时间前后的顺序对第一安全事件信息进行分类，其中发生时间在前的安全事件信息作为训练集，发生时间在后的安全事件信息作为验证集，这样可以对bp神经网络进行训练和验证，进而得到一个优化好的bp神经网络模型。
37.步骤s23、初始化bp神经网络模型的输入参数和粒子群参数，并将训练集数据发送至bp神经网络模型进行处理，其中通过粒子群优化算法计算粒子适应度值；
38.可以理解的是本步骤通过将bp神经网络的输入参数进行输入，其中所述输入参数包括输入层数、隐含层节点和输入层数，所述输入层数有历史运行参数种类进行确定，本实施例中为3层，所述隐含层节点为随机输入，所述输出层数为1，所述粒子群参数包括种群的最大迭代次数、种群大小、粒子更新参数、每个粒子的速度的取值范围为-0.5到0.5之间、每个粒子的位置取值范围为-0.5到0.5之间。
39.可以理解的是本步骤将bp神经网络的输入参数初始化后，通过确定bp神经网络输入层与隐含层之间的输入权值和阈值个数，根据bp神经网络输入层与隐含层之间的输入权值和阈值个数随机初始化粒子向量维数和范围，得到初始化的参数，其中粒子的初始化范围为-0.5到0.5之间。
40.可以理解的是本步骤通过将所述训练集作为输入数据输入至所述预测网络并根据粒子群优化算法中的适应度函数计算粒子适应度，得到每个粒子群众粒子的适应度值。
41.可以理解的是本步骤中的适应度函数计算公式如下：
42.43.其中，et1为第a个第一安全事件中参数的实际值，et2为第a个第一安全事件中参数的预测值，n为训练集内数据的组数，其中第一安全事件中参数包括受到的攻击信息包括受到的攻击时间、频率、网络节点坐标位置和设备序号，所述防御信息包括受到攻击时做出的防御策略序号，受到攻击时做出防御的时间，所述漏洞信息包括每次安全检测时检测到的漏洞个数。
44.步骤s24、根据粒子群中粒子的适应度大小，得到粒子的个体最优位置和全局最优位置，并基于粒子群优化算法动态跟踪个体最优位置和全局最优位置来进行不断更新所有粒子的速度和位置，直至所述粒子群优化算法达到最大迭代次数，得到优化后的bp神经网络模型；
45.可以理解的是本步骤中的个体最优位置的更新准则为按照适应度值的大小选取更大适应度值的个体位置作为个体最优位置，全局最优位置的更新准则为按照适应度值的大小选取更大适应度值的全局位置作为全局最优位置。
46.可以理解的是本步骤通过如下两个公式来更新自己的位置：
[0047]va 1
＝va×
ω c1×
rand(0，1)
×
(pbest
a-xa) c2×
rand(0，1)
×
(gbest
a-xa)
[0048]
其中，v
a 1
为更新后的速度，va为当前的速度，c1和c2为学习因子，通常取2，xa为粒子当前位置，a为粒子总数，rand(0，1)为取0到1之间的随机数，pbesta为到目前为止本粒子发现的最佳位置，gbesta为到目前位置所有粒子发现的最佳位置，ω为惯性因子。
[0049]
xa＝x
a-1
v
a-1
[0050]
其中，xa为粒子更新后的位置，x
a-1
为粒子在更新前的位置，v
a-1
为粒子更新前的位置。
[0051]
可以理解的是本步骤通过粒子优化算法对bp神经网络模型进行优化，得到一个可以预测极限数量的bp神经网络模型，进而对每个时间段发生的安全事件信息进行预测。
[0052]
步骤s25、将所述验证集发送至所述优化后的bp神经网络模型，得到预测结果，并判断所述预测结果与所述验证集内的数据是否一致，若一致则将所有归一化处理后的数据发送至优化后的bp神经网络模型，得到第二安全事件信息，所述第二安全事件信息为产生安全事件数量最多的时间段内的所有安全事件信息。
[0053]
可以理解的是本发明通过采用验证集对训练集训练后的数据进行对比，通过判断数据是否一致，进而判断所述优化后的bp神经网络模型是否准确，如果不准确则可以优化后的bp神经网络模型的初始化参数，直至经过所述优化后的bp神经网络模型得到的验证集与训练集一致。
[0054]
步骤s3、将所有的所述第二安全事件信息与预设的网络安全性能参数进行灰色关联分析，确定每个第二安全事件信息与所述网络安全性能参数的关联度；
[0055]
可以理解的是本步骤通过将预测得到的安全检查日志中的安全事件信息和预设的网络安全性能参数的关联度进行计算，所述预设的网络安全性能参数包括发生安全事件时网络的带宽和时延，可以理解的是步骤s3包括步骤s31、。
[0056]
步骤s31、将预设的网络安全性能参数和所述第二安全事件信息内的安全事件数量进行序列分析处理，得到两个序列的数据，其中将所述预设的网络安全性能参数作为母序列，将第二安全事件的数量作为子序列，其中预设的网络安全性能参数包括网络带宽参数和网络时延参数；
[0057]
步骤s32、将所述两个序列的数据均进行无纲量化处理和均值计算，确定每个序列的均值数据；
[0058]
可以理解的是，在本步骤中采用灰色关联分析的方法对安全事件信息和预设的网络安全性能参数之间进行了灰色关联分析，其中为避免数量级差别过大而致使后续处理误差过大，在对数据计算前对每个样本元素进行无量纲化处理，本实施例中基于均值转换法分别对安全事件信息和预设的网络安全性能参数进行计算，消除不同数据之间的量纲差异，均值转换法如下列公式所述：
[0059][0060]
其中：x`为无量纲化处理后的参数，x为安全检测日志中某个安全事件信息的样本，μ为安全事件信息的样本均值；σ为安全事件信息和预设的网络安全性能参数的样本标准差。
[0061]
步骤s33、基于所述两个序列的数据和所有的序列的均值数据进行关联计算，确定每个所述子序列与母序列之间的关联度值；
[0062]
可以理解的是，在本步骤中，根据下列公式所述；
[0063][0064]
其中：γf(k)为所述无量纲化处理后的安全事件信息和预设的网络安全性能参数的关联系数；f为无量纲化处理后的安全事件信息；k为预设的网络安全性能参数中的参数数量；y(k)为安全事件发生前的时间序列；xf(k)为安全事件发生后的时间序列；ρ为分辨系数，取0-1。
[0065]
步骤s34、基于每个所述子序列与母序列之间的关联度值，确定每个所述子序列对应的第二安全事件信息与预设的网络安全性能参数的关联度。
[0066]
步骤s4、将所述第二安全事件信息进行层次分析，确定每个所述第二安全事件信息的相对权重信息；
[0067]
可以理解的是本步骤通过层次分析法分析每个安全事件信息的权重系数，其中步骤s4包括步骤s41、步骤s42、步骤s43、步骤s44和步骤s45。
[0068]
步骤s41、基于所述第二安全事件信息进行分析，并建立层次结构模型；
[0069]
步骤s42、基于所述层次结构模型，依次对每个元素的重要性进行比较，构建得到判别矩阵，所述元素为安全事件数据；
[0070]
可以理解的是，在本步骤中，对所有历史数据中的各因素进行归类分析，划分为由上到下顺序形成的目标层、准则层和方案层的三层层次结构模型。例如在本实施例中，目标层为网络安全的评分，准则层为安全事件发生次数、防御成功效率和漏洞数量等，方案层包括受到的攻击时间、频率、网络节点数量和设备数量等。
[0071]
步骤s43、将每个层次安全事件数据进行归一化处理，并按层次进行权重计算，得到每个层次的权重向量；
[0072]
可以理解的是，在本步骤中，基于层次结构模型逐层对两两因素进行比较获得相对重要程度的关系，并使用1-9标度法对每个指标进行打分，并做归一化处理后得到判别矩
阵，判别矩阵如下所述：
[0073]
a＝(a
ij
)n×n[0074]
其中：a为判别矩阵；a
ij
为当前层级的元素i和元素j对上一层级的重要性比例标度；i和j分别为不同种类的元素；n为层次结构模型的维度，所述元素为方案层中任一元素。
[0075]
其中，权重计算公式如下所述：
[0076][0077]
其中，w'每个元素的权重系数，wi为判别矩阵中每一行各标度数据的几何平均数。
[0078]
步骤s44、基于每个层次的所述权重向量计算每个元素的特征向量，并对每个所述元素的特征向量进行一致性检验，得到经过一致性检验的特征向量；
[0079]
可以理解的是本步骤通过判断一致性指标是否符合要求，来判断每个层次的权重向量是否符合要求，其中一致性指标的计算公式如下：
[0080][0081]
其中：r为一致性指标；λ
max
为判别矩阵的最大特征值；n为判别矩阵的阶数；e为平均随机一致性指标；
[0082]
步骤s45、将所述一致性检验的特征向量作为对应安全事件信息的相对权重信息。
[0083]
步骤s5、将所述关联度和所述相对权重信息进行组合生成组合权重，并基于所述组合权重对网络安全进行评分，得到网络安全的评分值。
[0084]
可以理解的是本步骤通过将所述关联度和权重信息进行组合，生成组合权重，并通过组合权重与预设安全事件评分表对应的分值进行计算，进而得到网络安全的评分值，进而基于网络安全的评分值对网络安全进行评估，本步骤中步骤s5包括步骤s51、步骤s52和步骤s53。
[0085]
步骤s51、依据最小鉴别信息原理建立目标函数，求解所述目标函数从而构建拉格朗日函数；
[0086]
可以理解的是本步骤中的最小鉴别信息原理描述的是两个概率分别之间的差异性，而根据所述最小鉴别信息原理组合权重应该尽可能地接近两个权重，而不偏向任一个权重，其中本步骤将所述关联度值作为第一权重，将所述每个安全事件信息的权重信息作为第二权重。
[0087]
可以理解的是所述目标函数如下：
[0088][0089]
其中，αi为第i个关联度值，βi为第i个权重值，wi为第i个关联度值和权重值的组合权重向量，n为关联度值总个数；
[0090]
可以理解的是构建拉格朗日函数如下：
[0091][0092][0093]
其中，l为拉格朗日函数，λ拉格朗日常数，αi为第i个关联度值，βi为第i个权重值，wi为第i个关联度值和权重值的组合权重向量，n为关联度值总个数。
[0094]
步骤s52、将所述第二安全事件信息与预设的网络安全性能参数的关联度和所述每个第二安全事件信息的相对权重信息代入到所述拉格朗日函数进行求解，得到每个第二安全事件的组合权重；
[0095]
可以理解的是本步骤中的拉格朗日函数求解公式如下所述：
[0096][0097]
其中，αi为第i个关联度值，βi为第i个权重值，wi为第i个关联度值和权重值的组合权重向量，n为关联度值总个数。
[0098]
步骤s53、将每个所述第二安全事件的组合权重分别与预设的安全事件评分表内每个第二安全事件的对应分值进行计算，得到网络安全的评分值。
[0099]
可以理解的是预设的安全事件评分表如图3所述，本步骤通过将每件第二安全事件的评分与对应的组合权重进行乘积运算，得到每件安全事件发生后的网络安全评分，并将所有的网络安全评分进行求和，按照求和得到的总分对当前网络的安全进行分析，其中可以采用阈值分析，总分大于预设阈值则安全性能良好，若小于阈值则安全性能差。
[0100]
实施例2：
[0101]
如图2所述，本实施例提供了一种网络安全的预测分析系统，所述系统包括获取单元701、第一处理单元702、第一分析单元703、第二分析单元704和第二处理单元705。
[0102]
获取单元701，用于获取第一安全事件信息，所述第一安全事件信息包括网络受到的历史攻击信息、历史防御信息和历史漏洞信息；
[0103]
第一处理单元702，用于将第一安全事件信息发送至训练后的神经网络模型进行预测处理，得到第二安全事件信息，所述第二安全事件信息为产生安全事件数量最多的时间段内的所有安全事件信息；
[0104]
第一分析单元703，用于将所有的所述第二安全事件信息与预设的网络安全性能参数进行灰色关联分析，确定每个第二安全事件信息与所述网络安全性能参数的关联度；
[0105]
第二分析单元704，用于将所述第二安全事件信息进行层次分析，确定每个所述第二安全事件信息的相对权重信息；
[0106]
第二处理单元705，用于将所述关联度和所述相对权重信息进行组合生成组合权重，并基于所述组合权重对网络安全进行评分，得到网络安全的评分值。
[0107]
在本公开的一种具体实施方式中，所述第一处理单元702包括第一分类子单元7021、第二分类子单元7022、第一处理子单元7023、第二处理子单元7024和第一判断子单元
7025。
[0108]
第一分类子单元7021，用于将所述第一安全事件信息按照时间序列进行分类，得到至少一个时间段的第一安全事件信息；
[0109]
第二分类子单元7022，用于将所述至少一个时间段的第一安全事件信息按照时间前后分为训练集和验证集，所述训练集包括时间序列在前的第一安全事件信息，所述验证集包括时间序列在后的第一安全事件信息；
[0110]
第一处理子单元7023，用于初始化bp神经网络模型的输入参数和粒子群参数，并将训练集数据发送至bp神经网络模型进行处理，其中通过粒子群优化算法计算粒子适应度值；
[0111]
第二处理子单元7024，用于根据粒子群中粒子的适应度大小，得到粒子的个体最优位置和全局最优位置，并基于粒子群优化算法动态跟踪个体最优位置和全局最优位置来进行不断更新所有粒子的速度和位置，直至所述粒子群优化算法达到最大迭代次数，得到优化后的bp神经网络模型；
[0112]
第一判断子单元7025，用于将所述验证集发送至所述优化后的bp神经网络模型，得到预测结果，并判断所述预测结果与所述验证集内的数据是否一致，若一致则将所有归一化处理后的数据发送至优化后的bp神经网络模型，得到第二安全事件信息，所述第二安全事件信息为产生安全事件数量最多的时间段内的所有安全事件信息。
[0113]
在本公开的一种具体实施方式中，所述第一分析单元703包括第一分析子单元7031、第一计算子单元7032、第二计算子单元7033和第三处理子单元7034。
[0114]
第一分析子单元7031，用于将预设的网络安全性能参数和所述第二安全事件信息内的安全事件数量进行序列分析处理，得到两个序列的数据，其中将所述预设的网络安全性能参数作为母序列，将第二安全事件的数量作为子序列，其中预设的网络安全性能参数包括网络带宽参数和网络时延参数；
[0115]
第一计算子单元7032，用于将所述两个序列的数据均进行无纲量化处理和均值计算，确定每个序列的均值数据；
[0116]
第二计算子单元7033，用于基于所述两个序列的数据和所有的序列的均值数据进行关联计算，确定每个所述子序列与母序列之间的关联度值；
[0117]
第三处理子单元7034，用于基于每个所述子序列与母序列之间的关联度值，确定每个所述子序列对应的第二安全事件信息与预设的网络安全性能参数的关联度。
[0118]
在本公开的一种具体实施方式中，所述第二分析单元704包括第二分析子单元7041、第二判断子单元7042、第四处理子单元7043、第五处理子单元7044和第六处理子单元7045。
[0119]
第二分析子单元7041，用于基于所述第二安全事件信息进行分析，并建立层次结构模型；
[0120]
第二判断子单元7042，用于基于所述层次结构模型，依次对每个元素的重要性进行比较，构建得到判别矩阵，所述元素为安全事件数据；
[0121]
第四处理子单元7043，用于将每个层次安全事件数据进行归一化处理，并按层次进行权重计算，得到每个层次的权重向量；
[0122]
第五处理子单元7044，用于基于每个层次的所述权重向量计算每个元素的特征向
量，并对每个所述元素的特征向量进行一致性检验，得到经过一致性检验的特征向量；
[0123]
第六处理子单元7045，用于将所述一致性检验的特征向量作为对应安全事件信息的相对权重信息。
[0124]
在本公开的一种具体实施方式中，所述第二处理单元705包括第七处理子单元7051、第三计算子单元7052和第四计算子单元7053。
[0125]
第七处理子单元7051，用于依据最小鉴别信息原理建立目标函数，求解所述目标函数从而构建拉格朗日函数；
[0126]
第三计算子单元7052，用于将所述第二安全事件信息与预设的网络安全性能参数的关联度和所述每个第二安全事件信息的相对权重信息代入到所述拉格朗日函数进行求解，得到每个第二安全事件的组合权重；
[0127]
第四计算子单元7053，用于将每个所述第二安全事件的组合权重分别与预设的安全事件评分表内每个第二安全事件的对应分值进行计算，得到网络安全的评分值。
[0128]
需要说明的是，关于上述实施例中的系统，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
[0129]
以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
[0130]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。