一种网络安全态势预测系统及方法与流程

1.本技术涉及网络安全技术领域，具体是一种网络安全态势预测系统及方法。


背景技术：

2.随着互联网的广泛应用，网络攻击频繁出现，网络安全问题已经成为社会广泛关注的问题，现在网络安全维护手段有很多，各种杀毒软件和防火墙会拦截许多危险信息，网络管理员要处理海量的信息反馈难以把握好整个网络的安全状态，如果不能及时发现安全隐患就可能影响网络的正常运转。为了提高网络安全信息的处理能力，网络安全态势预测随之产生。网络安全态势感知是根据整体角度对网络安全状态进行了解、掌握，通过网络安全态势信息的整合做出评价，为网络管理员提供全面、直观、精确的决策参考。找出潜在的威胁，提高管理员对于危险的预先处理能力，才能够有效地防控网络安全风险的出现。
3.现有技术中的网络安全态势预测，如申请号为cn202010334656.2的中国专利所公开的一种基于人工智能的网络安全态势预测系统，其通过对网络事件的热度进行实时预热分析，实现对网络事件的实时监控。但是，该种网络安全监测的方式，仅通过网络事件热度对于当前的网络环境进行态势分析，容易受到一些诱导攻击手段的影响，从而导致网络安全态势分析出现偏差甚至是被诱导给出完全错误的态势分析结果。因此，基于单一的因素对网络安全态势进行分析的结果，是不可靠的，亟需一种新的网络安全态势预测系统及方法来解决这一问题。


技术实现要素：

4.本技术的目的在于提供一种网络安全态势预测系统及方法，以解决上述背景技术中提出的现有技术中存在的基于单一的因素对网络安全态势进行分析存在的结果不可靠的问题。
5.为实现上述目的，本技术公开了以下技术方案：一种网络安全态势预测系统，包括数据存储模块、虚拟机模块、虚拟攻击模块、态势预测模块、控制中心，所述数据存储模块与所述虚拟攻击模块相连，所述态势预测模块与所述数据存储模块相连，所述虚拟攻击模块与所述虚拟机模块相连，所述虚拟机模块与所述数据存储模块相连，所述数据存储模块、所述虚拟机模块、所述虚拟机模块、所述虚拟攻击模块、所述态势预测模块分别与所述控制中心相连；其中，
6.所述控制中心被配置为用于数据传输控制和系统运行控制；
7.所述数据存储模块配置为用于存储网络攻击的要素特征，所述网络攻击包括基于大数据获取的攻击、受到的网络安全攻击事件，所述要素特征包括攻击特征和攻击结果特征；
8.所述虚拟攻击模块配置为基于所述数据存储模块中的网络攻击进行特征重组后衍生的虚拟攻击，提取所述虚拟攻击的要素特征后存储于所述数据存储模块中；
9.所述虚拟机模块配置为接受所述数据存储模块发出的网络攻击和虚拟攻击的模
拟网络攻击，基于网络攻击作出相应的响应并生成事件结果；
10.所述态势预测模块配置为基于所述虚拟机模块的事件结果和对应的攻击特征对实时受到的攻击的安全态势进行分析，所述安全态势包括攻击的变化和相应的事件结果。
11.作为优选，所述虚拟攻击模块衍生虚拟攻击的规则包括：将所述网络攻击的攻击特征分别定义为特征1、特征2
……
特征n，n≥2，基于排列组合的方式将所有的攻击特征重组构成新的攻击行为序列，所述攻击行为序列的数量c为其中，m为每次排列组合时选取的攻击特征的数量，1≤m≤n。
12.作为优选，所述虚拟机模块接收每个所述攻击行为序列并进行模拟网络攻击，同时，分别生成对应的事件结果。
13.作为优选，所述数据存储模块将事件结果相同的a个攻击行为序列存储为同一类网络攻击，其中，a≥1。
14.作为优选，该种网络安全态势预测系统还包括配置为基于模拟网络攻击制定应对策略的策略制定模块，所述策略制定模块分别与所述数据存储模块、所述虚拟机模块相连，所述数据存储模块还配置为存储网络攻击对应的应对策略，所述策略制定模块基于所述数据存储模块中的应对策略以机器学习的方式制定模拟策略，并将制定的模拟策略发送至所述虚拟机模块对当前的虚拟网络攻击进行应对，在应对成功时，将该模拟策略定义为该次虚拟网络攻击对应的网络攻击的应对策略，并与该网络攻击打包后存储于所述数据存储模块中。
15.作为优选，所述态势预测模块还配置为基于实时受到的攻击的要素特征获取对应的应对策略，以及基于实时受到的攻击的变化获取对应的应对策略完成该实时收到的攻击的安全态势分析。
16.本技术还公开了一种网络安全态势预测方法，该方法包括以下步骤：
17.布置如上述的网络安全态势预测系统；
18.基于大数据实时获取攻击以及实时检测蜜罐受到的网络安全攻击事件作为网络攻击，并提取网络攻击的要素特征存储于数据存储模块；
19.虚拟攻击模块将所述网络攻击重组后衍生的虚拟攻击，并提取要素特征后存储于数据存储模块；
20.虚拟机模块接受所述网络攻击和虚拟攻击的模拟网络攻击，基于网络攻击作出相应的响应并生成事件结果；
21.数据存储模块基于所述虚拟机模块的虚拟网络攻击进行要素特征内容更新；
22.态势预测模块基于所述虚拟机模块的事件结果和对应的攻击特征对实时受到的攻击的安全态势进行分析，所述安全态势包括攻击的变化和相应的事件结果。
23.作为优选，该方法还包括：
24.策略制定模块基于所述数据存储模块中的应对策略以机器学习的方式制定模拟策略，并将制定的模拟策略发送至所述虚拟机模块对当前的虚拟网络攻击进行应对，在应对成功时，将该模拟策略定义为该次虚拟网络攻击对应的网络攻击的应对策略，并与该网络攻击打包后存储于所述数据存储模块中；态势预测模块还配置为基于实时受到的攻击的要素特征获取对应的应对策略，以及基于实时受到的攻击的变化获取对应的应对策略完成
该实时收到的攻击的安全态势分析。
25.作为优选，所述数据存储模块将事件结果相同的a个攻击行为序列存储为同一类网络攻击，其中，a≥1；当所述态势预测模块基于实时受到的攻击的要素特征无法获取对应的应对策略时，将与该实时受到的攻击的要素特征相似度达到预设阈值p的攻击行为序列对应的应对策略作为目标应对策略，并采用该目标应对策略在所述虚拟机模块中进行攻击模拟和应对，直至解决该实时受到的攻击或向后台发出攻击警报提示进行人为干预。
26.有益效果：本技术的网络安全态势预测系统及方法，基于多种元素的虚拟攻击对网络安全进行分析，元素包括在网络大数据中获取到的现有的网络攻击手段(基于大数据获取的攻击)、通过如蜜罐诱导采集到的网络攻击事件(受到的网络安全攻击事件)以及通过特征重组后衍生的虚拟攻击，并通过这些元素的虚拟网络攻击结果获取到对应的事件结果，以及根据衍生的虚拟攻击对受到的网络攻击可能变形成为的新的攻击手段进行预测，从而全面的获取到当前网络安全的态势分析结果，并对各种网络攻击进行全面的分析，确保网络安全态势分析的可靠性以及分析结果的可用性。同时，本技术还通过对各种元素的应对策略进行模拟制定，从而能够在遇到实际的网络攻击时，及时地做出有效地防御策略，确保网络安全。
附图说明
27.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅是本技术的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
28.图1为本技术实施例中网络安全态势预测系统的结构框图；
29.图2为本技术实施例中网络安全态势预测方法的流程框图。
具体实施方式
30.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
31.在本公开的描述中，需要说明的是，术语“相连”、“连接”应做广义理解，其具体表示的是模块之间具有信号传输关系，可以是模块之间有直接的线路连接关系，也可以是模块之间具有间接的线路连接关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本公开中的具体含义。
32.在本文中，术语“包括”意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
33.实施例
34.参考图1所示的一种网络安全态势预测系统，包括数据存储模块、虚拟机模块、虚拟攻击模块、态势预测模块、控制中心，所述数据存储模块与所述虚拟攻击模块相连，所述态势预测模块与所述数据存储模块相连，所述虚拟攻击模块与所述虚拟机模块相连，所述虚拟机模块与所述数据存储模块相连，所述数据存储模块、所述虚拟机模块、所述虚拟机模块、所述虚拟攻击模块、所述态势预测模块分别与所述控制中心相连。
35.具体来说：
36.所述控制中心被配置为用于数据传输控制和系统运行控制；
37.所述数据存储模块配置为用于存储网络攻击的要素特征，所述网络攻击包括基于大数据获取的攻击、受到的网络安全攻击事件，所述要素特征包括攻击特征和攻击结果特征；并且，所述数据存储模块将事件结果相同的a个攻击行为序列存储为同一类网络攻击，其中，a≥1；
38.所述虚拟攻击模块配置为基于所述数据存储模块中的网络攻击进行特征重组后衍生的虚拟攻击，提取所述虚拟攻击的要素特征后存储于所述数据存储模块中。其中，所述虚拟攻击模块衍生虚拟攻击的规则包括：将所述网络攻击的攻击特征分别定义为特征1、特征2
……
特征n，n≥2，基于排列组合的方式将所有的攻击特征重组构成新的攻击行为序列，所述攻击行为序列的数量c为m为每次排列组合时选取的攻击特征的数量，1≤m≤n；
39.所述虚拟机模块配置为接受所述数据存储模块发出的网络攻击和虚拟攻击的模拟网络攻击，基于网络攻击作出相应的响应并生成事件结果。具体的，所述虚拟机模块接收每个所述攻击行为序列并进行模拟网络攻击，同时，分别生成对应的事件结果；
40.所述态势预测模块配置为基于所述虚拟机模块的事件结果和对应的攻击特征对实时受到的攻击的安全态势进行分析，所述安全态势包括攻击的变化和相应的事件结果。
41.作为本实施例的一种优选地实施方式，该种网络安全态势预测系统还包括配置为基于模拟网络攻击制定应对策略的策略制定模块，所述策略制定模块分别与所述数据存储模块、所述虚拟机模块相连，所述数据存储模块还配置为存储网络攻击对应的应对策略，所述策略制定模块基于所述数据存储模块中的应对策略以机器学习的方式制定模拟策略，并将制定的模拟策略发送至所述虚拟机模块对当前的虚拟网络攻击进行应对，在应对成功时，将该模拟策略定义为该次虚拟网络攻击对应的网络攻击的应对策略，并与该网络攻击打包后存储于所述数据存储模块中。
42.进一步地，所述态势预测模块还配置为基于实时受到的攻击的要素特征获取对应的应对策略，以及基于实时受到的攻击的变化获取对应的应对策略完成该实时收到的攻击的安全态势分析。
43.本实施例还公开了一种网络安全态势预测方法，其基于上述的网络安全态势预测系统，如图2所示，该方法包括以下步骤：
44.s1-布置上述的网络安全态势预测系统；
45.s2-基于大数据实时获取攻击以及实时检测蜜罐受到的网络安全攻击事件作为网络攻击，并提取网络攻击的要素特征存储于数据存储模块；
46.s3-虚拟攻击模块将所述网络攻击重组后衍生的虚拟攻击，并提取要素特征后存
储于数据存储模块；
47.s4-虚拟机模块接受所述网络攻击和虚拟攻击的模拟网络攻击，基于网络攻击作出相应的响应并生成事件结果；
48.s5-数据存储模块基于所述虚拟机模块的虚拟网络攻击进行要素特征内容更新；
49.s6-态势预测模块基于所述虚拟机模块的事件结果和对应的攻击特征对实时受到的攻击的安全态势进行分析，所述安全态势包括攻击的变化和相应的事件结果；
50.作为本实施例的优选地实施方式，还包括在步骤s6之前，策略制定模块基于所述数据存储模块中的应对策略以机器学习的方式制定模拟策略，并将制定的模拟策略发送至所述虚拟机模块对当前的虚拟网络攻击进行应对，在应对成功时，将该模拟策略定义为该次虚拟网络攻击对应的网络攻击的应对策略，并与该网络攻击打包后存储于所述数据存储模块中。同时，在步骤s6中，态势预测模块还配置为基于实时受到的攻击的要素特征获取对应的应对策略，以及基于实时受到的攻击的变化获取对应的应对策略完成该实时收到的攻击的安全态势分析。
51.另一方面，所述数据存储模块将事件结果相同的a个攻击行为序列存储为同一类网络攻击，其中，a≥1；当所述态势预测模块基于实时受到的攻击的要素特征无法获取对应的应对策略时，将与该实时受到的攻击的要素特征相似度达到预设阈值p的攻击行为序列对应的应对策略作为目标应对策略，并采用该目标应对策略在所述虚拟机模块中进行攻击模拟和应对，直至解决该实时受到的攻击或向后台发出攻击警报提示进行人为干预。
52.本技术的网络安全态势预测系统及方法，基于多种元素的虚拟攻击对网络安全进行分析，元素包括在网络大数据中获取到的现有的网络攻击手段(基于大数据获取的攻击)、通过如蜜罐诱导采集到的网络攻击事件(受到的网络安全攻击事件)以及通过特征重组后衍生的虚拟攻击，并通过这些元素的虚拟网络攻击结果获取到对应的事件结果，以及根据衍生的虚拟攻击对受到的网络攻击可能变形成为的新的攻击手段进行预测，从而全面的获取到当前网络安全的态势分析结果，并对各种网络攻击进行全面的分析，确保网络安全态势分析的可靠性以及分析结果的可用性。同时，本技术还通过对各种元素的应对策略进行模拟制定，从而能够在遇到实际的网络攻击时，及时地做出有效地防御策略，确保网络安全。
53.最后应说明的是：以上所述仅为本技术的优选实施例而已，并不用于限制本技术，尽管参照前述实施例对本技术进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。