网络安全态势预测方法及系统与流程

1.本发明涉及计算机技术领域，尤其涉及一种网络安全态势预测方法及系统。


背景技术：

2.随着各类信息网络日益普及，网络入侵的手段越来越多，进而导致网络病毒出现的频率增加。
3.相关技术中基于网络管理模型监控网络设备产生的事件信息，基于入侵检测、防火墙和网络病毒等设备的管理模型监控网络设备产生的事件信息，基于应用服务模型自身机制监控应用服务的事件信息，基于操作模型事件机制监控操作事件信息，对各类事件信息进行分析，基于分析结果实施相应的安全防护措施，保证网络运行安全。
4.相关技术中各类设备产生的数据格式不统一，对多样性的网络入侵的事件无法实现智能化分析，不能有效对当前网络进行预测和评估，导致无法保障网络安全。


技术实现要素：

5.本发明提供一种网络安全态势预测方法及系统，用以解决相关技术中各类设备产生的数据格式不统一，对多样性的网络入侵的事件无法实现智能化分析，不能有效对当前网络进行预测和评估，导致无法保障网络安全的技术问题。
6.第一方面，本发明提供一种网络安全态势预测方法，包括：
7.采集网络数据；
8.对所述网络数据进行预处理，得到预处理后的网络数据；
9.对所述预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对所述目标事件序列进行异常检测处理，得到异常检测结果，基于所述异常检测结果预测网络安全态势。
10.在一个实施例中，所述对所述预处理后的网络数据进行事件处理，得到目标事件序列，具体包括：
11.对所述预处理后的网络数据进行关联分析处理，得到第一事件；
12.对所述第一事件进行统计分析处理，得到所述第一事件特征；
13.基于所述第一事件特征对所述第一事件依次进行合并处理、过滤处理、融合处理以及关联处理，得到目标事件序列。
14.在一个实施例中，所述基于滑动窗口对所述目标事件序列进行异常检测处理，具体包括：
15.基于基准窗口对所述目标事件序列构建所述目标事件序列的特征；
16.基于检测窗口对所述目标事件序列的特征进行异常检测处理。
17.在一个实施例中，所述基于异常检测结果预测网络安全态势，具体包括：
18.若所述目标事件序列的异常检测率超过预设阈值，确认网络存在风险。
19.在一个实施例中，所述对所述网络数据进行预处理，得到预处理后的网络数据，具
体包括：
20.对所述网络数据依次进行数据解析、数据标准化处理以及数据丰富化处理，得到预处理后的网络数据。
21.在一个实施例中，所述对所述网络数据进行预处理，得到预处理后的网络数据之后，还包括：
22.基于所述预处理后的网络数据的类型将所述预处理后的网络数据存储至所述预处理后的网络数据的类型对应的数据库。
23.第二方面，本发明提供一种网络安全态势预测系统，包括：
24.数据采集模块，用于采集网络数据，将所述网络数据发送至数据预处理模块；
25.数据预处理模块，用于对所述网络数据进行预处理，得到预处理后的网络数据；
26.数据分析模块，用于对所述预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对所述目标事件序列进行异常检测处理，得到异常检测结果，基于所述异常检测结果预测网络安全态势。
27.在一个实施例中，所述数据分析模块包括复杂事件处理子模块、事件合并子模块、事件过滤子模块、事件融合子模块以及事件关联子模块；
28.所述复杂事件处理子模块用于对所述预处理后的网络数据进行关联分析处理，得到第一事件，对所述第一事件进行统计分析处理，得到所述第一事件特征；
29.所述事件合并子模块用于基于所述第一事件特征对所述第一事件进行合并处理，得到第二事件；
30.所述事件过滤子模块用于对所述第二事件进行过滤处理，得到第三事件；
31.所述事件融合子模块用于对所述第三事件进行融合处理，得到第四事件；
32.所述事件关联子模块用于将所述第四事件进行关联处理，得到目标事件序列。
33.第三方面，本发明提供一种电子设备，包括存储器和存储有计算机程序的存储器，所述处理器执行所述程序时实现第一方面所述网络安全态势预测方法的步骤。
34.第四方面，本发明提供一种处理器可读存储介质，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使所述处理器执行第二方面所述网络安全态势预测方法的步骤。
35.本发明提供的网络安全态势预测方法及系统，通过采集网络数据，对网络数据进行预处理，得到预处理后的网络数据，能够实现网络数据的统一管理，对预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对目标事件序列进行异常检测处理，得到异常检测结果，基于异常检测结果预测网络安全态势，有效形成了全面的网络安全防御体系，实现网络安全预测功能，以及统一的网络安全管理，能够成为网络安全态势信息融合和智能评估的平台支持，为网络安全管理提供实时、可靠的管理决策依据。
附图说明
36.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
37.图1是本发明提供的网络安全态势预测方法的流程示意图；
38.图2是本发明提供的基于滑动窗口对目标事件序列进行异常检测处理的场景示意图；
39.图3是本发明提供的网络安全态势预测系统的结构示意图；
40.图4是本发明提供的网络安全态势预测系统的场景示意图；
41.图5是本发明提供的电子设备的结构示意图。
具体实施方式
42.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.为了解决相关技术中各类设备产生的数据格式不统一，对多样性的网络入侵的事件无法实现智能化分析，不能有效对当前网络进行预测和评估，导致无法保障网络安全的技术问题，本发明实施例提供一种网络安全态势预测方法，图1是本发明实施例提供的网络安全态势预测方法的流程示意图。如图1所示，该方法包括以下步骤：
44.步骤100、采集网络数据。
45.为了实现对各类网络安全设备的的统一安全管理，需要对各类网络安全设备的海量网络数据进行采集。
46.一种实施方式中，网络数据包括日志数据、网络流量数据和支持数据。
47.可选地，日志数据包括网络安全设备记录的日志和告警信息。
48.可选地，支持数据包括网络中全部的资产信息、相关人员信息、账号信息，以及资产相关的漏洞信息和威胁情报信息。
49.一种实施方式中，采集各类网络安全设备的海量网络数据，其中，网络数据包括日志数据、网络流量数据和支持数据。
50.步骤101、对所述网络数据进行预处理，得到预处理后的网络数据。
51.为了解决相关技术中各类各类设备产生的数据格式不统一，对多样性的网络入侵的事件无法实现智能化分析，不能有效对当前网络进行预测和评估，导致无法保障网络安全的技术问题，需要对采集的各类网络安全设备的海量网络数据进行预处理，实现对网络数据的统一管理。
52.一种实施方式中，对网络数据进行预处理包括对网络数据依次进行数据解析、数据标准化处理和数据丰富化处理。
53.一种实施方式中，对网络数据依次进行数据解析、数据标准化处理和数据丰富化处理，得到预处理后的网络数据。
54.步骤102、对所述预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对所述目标事件序列进行异常检测处理，得到异常检测结果，基于所述异常检测结果预测网络安全态势。
55.需要说明的是，基于事件处理技术和检测模型对预处理后的网络数据进行分析处理，识别网络威胁，并对网络威胁进行响应处理，实现了网络防御从被动到主动的转变，建
立起网络安全态势感知能力。
56.一种实施方式中，事件处理包括复杂事件处理、事件合并处理、事件过滤处理、事件融合处理以及事件关联处理。
57.其中，事件处理主要应用于事件驱动系统架构中，以便开发出更复杂的逻辑结构，实现系统智能化处理，
58.一种实施方式中，检测模型为滑动窗口技术。
59.网络安全态势为在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、分析并根据当前网络态势预测未来的网络安全发展趋势。
60.目标事件序列为用于预测网络安全态势的至少一个简单事件，例如万维网(world wide web，web)攻击。
61.一种实施方式中，对预处理后的网络数据依次进行复杂事件处理、事件合并处理、事件过滤处理、事件融合处理以及事件关联处理，得到目标事件序列，基于滑动窗口对目标事件序列进行异常检测处理，得到异常检测结果，基于所述异常检测结果预测网络安全态势。
62.可选地，所述基于异常检测结果预测网络安全态势，具体包括：
63.若所述目标事件序列的异常检测率超过预设阈值，确认网络存在风险。
64.异常检测结果为目标事件序列的异常检测率。
65.一种实施方式中，若目标事件序列的异常检测率超过预设阈值，确认网络存在风险，若目标事件序列的异常检测率未超过预设阈值，确认网络处于安全状态。
66.本发明实施例提供的网络安全态势预测方法，通过采集网络数据，对网络数据进行预处理，得到预处理后的网络数据，能够实现网络数据的统一管理，对预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对目标事件序列进行异常检测处理，得到异常检测结果，基于异常检测结果预测网络安全态势，有效形成了全面的网络安全防御体系，达到统一的网络安全管理，实现网络安全预测功能，能够称为网络安全态势信息融合和智能评估的平台支持，为网络安全管理提供实时、可靠的管理决策依据。
67.基于上述任一实施例，所述对所述预处理后的网络数据进行事件处理，得到目标事件序列，具体包括：
68.对所述预处理后的网络数据进行关联分析处理，得到第一事件；
69.对所述第一事件进行统计分析处理，得到所述第一事件特征；
70.基于所述第一事件特征对所述第一事件依次进行合并处理、过滤处理、融合处理以及关联处理，得到目标事件序列。
71.需要说明的是，对预处理后的网络数据进行事件处理，可以对事件进行启发式学习，降低漏报率，提高系统精确度。
72.关联分析处理为查找存在项目集合或对象集合之间的频繁模式、关联规则、相关性或因果结果，将预处理后的网络数据转换为简单事件。
73.第一事件为具有频繁模式、关联规则、相关性或因果结构的至少一个简单事件。
74.例如，防火墙、网站应用级入侵防御系统(web application firewall，waf)或入侵检测行为审计等安全设备对进入网络的安全事件进行日志记录，对于特定的安全事件产生的大量的告警信息，基于关联分析处理将大量的告警信息转换为第一事件。
75.统计分析处理为基于统计学方法，对事件的状态、频次及发生周期等数据进行计算，得出事件特征。
76.例如，事件特征包括事件数据的分布状况、事件主要特征、事件序列的趋势性、事件是否存在异常值以及事件汇总结果。
77.第一事件特征包括第一事件的特征类型及第一事件的特征值。
78.合并处理为若预设时间内多个事件的属性值相同，则对多个事件进行合并。
79.例如，事件的属性值包括时间类型、事件源网络互连协议(internet protocol，ip)地址、事件访问的目标ip地址以及事件所采用的协议等。
80.需要说明的是，若获取多个事件的传感器身份标识号(identity document，id)相同，则多个事件为重复关系，若获取多个事件的传感器id不同，则多个事件为并发关系。
81.过滤处理为基于预设条件对事件进行过滤，得到符合预设条件的事件。
82.可选地，预设条件包括以下各项中的至少一项：
83.事件的任一属性不属于合法集合；
84.事件中的至少一个关键属性空缺；
85.确认事件为无法成功的攻击事件，或，确认事件被标记为丢包事件。
86.融合处理为对事件的权重进行量化，并加入置信区间，通过融合技术将事件进行融合。
87.可选地，融合技术包括统计理论和dempster-shafer证据理论。
88.关联处理为基于逻辑关系将事件进行关联。
89.一种实施方式中，对预处理后的网络数据进行关联分析处理，得到第一事件，对第一事件进行统计分析处理，得到第一事件特征，其中，第一事件特征包括第一事件的特征类型及第一事件的特征值，基于第一事件特征对第一事件依次进行合并处理、过滤处理、融合处理以及关联处理，得到目标事件序列。
90.本发明实施例提供的网络安全态势预测方法，通过对预处理后的网络数据进行关联分析处理，得到第一事件，对第一事件进行统计分析处理，得到第一事件特征，基于第一事件特征对第一事件依次进行合并处理、过滤处理、融合处理以及关联处理，得到目标事件序列，可有效减少事件的复杂度，基于目标事件序列能够更准确地预测网络安全态势，进而有效形成了全面的网络安全防御体系，达到统一的网络安全管理，实现网络安全预测功能，能够称为网络安全态势信息融合和智能评估的平台支持，为网络安全管理提供实时、可靠的管理决策依据。
91.基于上述任一实施例，所述基于滑动窗口对所述目标事件序列进行异常检测处理，具体包括：
92.基于基准窗口对所述目标事件序列构建所述目标事件序列的特征；
93.基于检测窗口对所述目标事件序列的特征进行异常检测处理。
94.为了及时适应告警事件序列的动态变化，并准确预测告警事件序列的新趋势，采用滑动窗口。
95.一种实施方式中，滑动窗口包括基准窗口和检测窗口。
96.基准窗口用于对目标事件序列构建目标事件序列的特征。
97.检测窗口用于对目标事件序列的特征进行异常检测处理。
98.其中，基于检测窗口对所述目标事件序列的特征进行异常检测处理，具体包括：
99.对于每一个目标事件，基于检测窗口判断所述目标事件的特征是否符合检测标准，若不符合，确认所述目标事件为异常事件；
100.获取所述目标事件序列中的异常事件数量，基于所述异常事件数量确认所述目标事件序列的异常检测率。
101.其中，目标事件序列的异常检测率为异常事件数量与目标事件序列总数的比值。
102.一种实施方式中，基于基准窗口对目标事件序列构建目标事件序列的特征，基于检测窗口对目标事件序列的特征进行异常检测处理。
103.进一步地，对于每一个目标事件，基于检测窗口判断目标事件的特征是否符合检测标准，若符合，确认目标事件为网络安全事件，若不符合，确认目标事件为异常事件，获取目标事件序列中的异常事件数量，基于异常事件数量得到目标事件序列的异常检测率。
104.本发明实施例提供的网络安全态势预测方法，通过基于基准窗口对目标事件序列构建目标事件序列的特征，基于检测窗口对目标事件序列的特征进行异常检测处理，进而根据异常检测结果预测网络安全态势，能够及时适应目标事件序列的动态变化，提高预测网络安全态势的准确性，进而实现网络安全预测功能，以及统一的网络安全管理，能够成为网络安全态势信息融合和智能评估的平台支持，为网络安全管理提供实时、可靠的管理决策依据。
105.结合图2具体说明基于滑动窗口对目标事件序列进行异常检测处理的原理。图2是本发明实施例提供的基于滑动窗口对目标事件序列进行异常检测处理的场景示意图。
106.如图2所示，采用xi轴表示目标事件序列在某个时序点n上的滑动窗口的分布情况，滑动窗口包括基准窗口w
basic
和检测窗口w
test
，其中，基准窗口w
basic
的时序长度为n，基准窗口w
basic
的时序范围为[n 1，n n]，检测窗口w
test
的时序长度为q-p，检测窗口w
test
的时序范围为[n p 1，n q]，其中，1《n《p 1《q，基准窗口w
basic
是用于构建基准的时序靠前的窗口，检测窗口w
test
是用于进行异常检测处理的时序靠后的窗口，且，基准窗口w
basic
和检测窗口w
test
存在重叠部分，m表示目标事件序列中的任一目标事件，目标事件的时序长度为n-k。
[0107]
若目标事件出现在时序范围[n 1，n p 1]内，则目标事件不属于异常事件，若目标事件出现在时序范围[n k，n n]内，检测目标事件是否符合检测标准，若符合，确认目标事件为异常事件，根据目标事件序列中的异常事件数量与目标事件序列总数的比值，得到目标事件序列的异常检测率，若目标事件序列的异常检测率超过预设阈值，确认网络存在风险。
[0108]
基于上述任一实施例，所述对所述网络数据进行预处理，得到预处理后的网络数据，具体包括：
[0109]
对所述网络数据依次进行数据解析、数据标准化处理以及数据丰富化处理，得到预处理后的网络数据。
[0110]
数据标准化处理为基于自定义的统一数据格式将数据转换为统一的标准化数据。
[0111]
数据丰富化处理为对数据进行字段补全。
[0112]
一种实施方式中，对数据进行字段补全包括以下各项中的至少一项：
[0113]
补全数据源ip地址和数据访问的目标ip地址；
[0114]
补全数据源ip地址、数据源端口、数据采用的协议、数据访问的目标ip地址以及数
据访问的目标端口；
[0115]
将数据源ip地址与地理空间(geospatial，geo)库中的ip地址进行关联，并补全数据源ip地址对应的国家、省份、城市和经纬度；
[0116]
将数据源ip地址或数据访问的目标ip地址与资产库中的资产信息进行关联，并补全数据源ip地址或数据访问的目标ip地址对应的资产id、资产类型、资产所属组织机构、资产所属业务系统、安全域和地理位置；
[0117]
将设备ip与资产库进行关联，并补全设备的资产id和设备的资产类型id。
[0118]
一种实施方式中，对网络数据进行数据解析处理，得到解析后的网络数据，基于自定义的统一数据格式对解析后的网络数据进行标准化处理，得到标准化的网络数据，对标准化的网络数据进行数据丰富化处理，得到预处理后的网络数据。
[0119]
本发明实施例提供的网络安全态势预测方法，对网络数据进行数据解析处理，得到解析后的网络数据，基于自定义的统一数据格式对解析后的网络数据进行标准化处理，得到标准化的网络数据，为后续的事件处理提供统一的标准化数据结构，便于实现事件检索和事件的实时关联分析，对标准化的网络数据进行数据丰富化处理，得到预处理后的网络数据，保证数据的完整性，能够实现网络数据的统一管理，为后续的事件处理提供更多的维度，提高事件处理的可信度，降低预测网络安全态势的误报率。
[0120]
基于上述任一实施例，所述对所述网络数据进行预处理，得到预处理后的网络数据之后，还包括：
[0121]
基于所述预处理后的网络数据的类型将所述预处理后的网络数据存储至所述预处理后的网络数据的类型对应的数据库。
[0122]
需要说明的是，为了实现对海量网络数据的快速查询以及可视化管理，将预处理后的网络数据存储到数据库中。
[0123]
可选地，预处理后的网络数据的类型包括主机日志数据、安全告警数据、威胁情报数据和高可信告警数据中的至少一项。
[0124]
可选地，预处理后的网络数据的类型对应的数据库包括主机日志数据库、安全告警数据库、威胁情报数据库和高可信告警数据库中的至少一项。
[0125]
一种实施方式中，若预处理后的网络数据为主机日志数据，将主机日志数据存储至主机日志数据库，若预处理后的网络数据为安全告警数据，将安全告警数据存储至安全告警数据库，若预处理后的网络数据为威胁情报数据，将威胁情报数据存储至威胁情报数据库，若预处理后的数据为高可信告警数据，将高可信告警数据存储至高可信告警数据库库。
[0126]
本发明实施例提供的网络安全态势预测方法，基于预处理后的网络数据的类型将预处理后的网络数据存储至预处理后的网络数据的类型对应的数据库，能够实现对海量数据的快速查询以及可视化管理。
[0127]
图3是本发明实施例提供的网络安全态势预测系统的结构示意图，如图3所示，该网络安全态势预测系统包括：数据采集模块300、数据预处理模块310和数据分析模块320，其中，
[0128]
数据采集模块300，用于采集网络数据，将所述网络数据发送至数据预处理模块。
[0129]
一种实施方式中，网络数据包括日志数据、网络流量数据和支持数据。
[0130]
可选地，日志数据包括网络安全设备记录的日志和告警信息。
[0131]
可选地，支持数据包括网络中全部的资产信息、相关人员信息、账号信息，以及资产相关的漏洞信息和威胁情报信息。
[0132]
数据预处理模块310，用于对所述网络数据进行预处理，得到预处理后的网络数据。
[0133]
一种实施方式中，对网络数据进行预处理包括对网络数据依次进行数据解析、数据标准化处理和数据丰富化处理。
[0134]
数据分析模块320，用于对所述预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对所述目标事件序列进行异常检测处理，得到异常检测结果，基于所述异常检测结果预测网络安全态势。
[0135]
一种实施方式中，数据分析模块320包括复杂事件处理子模块、事件合并子模块、事件过滤子模块、事件融合子模块以及事件关联子模块。
[0136]
目标事件序列为用于预测网络安全态势的至少一个简单事件，例如web攻击。
[0137]
异常检测结果为目标事件序列的异常检测率。
[0138]
可选地，所述基于异常检测结果预测网络安全态势，具体包括：
[0139]
若所述目标事件序列的异常检测率超过预设阈值，确认网络存在风险。
[0140]
可选地，网络安全态势预测系统还包括数据存储模块，其中，
[0141]
数据存储模块用于基于预处理后的网络数据的类型将预处理后的网络数据存储至预处理后的网络数据的类型对应的数据库。
[0142]
可选地，预处理后的网络数据的类型包括主机日志数据、安全告警数据、威胁情报数据和高可信告警数据中的至少一项。
[0143]
可选地，预处理后的网络数据的类型对应的数据库包括主机日志数据库、安全告警数据库、威胁情报数据库和高可信告警数据库中的至少一项。
[0144]
需要说明的是，网络安全态势预测系统集中了网络内各种安全设备及系统的告警数据或其他事件，相对于现有技术能够对网络安全威胁做出更精准有效的响应，可应用于多种网络安全事件应用场景，例如密码猜测攻击或web攻击等。
[0145]
一种实施方式中，基于网络安全态势预测系统预测密码猜测攻击的网络安全态势，具体包括：
[0146]
通过对预处理后的系统登录日志数据、入侵检测系统(intrusion detectionsystems，ids)、入侵防御系统(intrusion prevention system，ips)和waf告警进行事件处理和异常检测处理，识别和发现疑似密码猜测或撞库攻击行为的检测结果，基于检测结果抽取密码猜测或暴力破解攻击为事件源。
[0147]
例如，在预设时间段内，对相同的目标ip地址和不同的设备编号(device number，devno)，若登录行为特征为密码暴力破解攻击，则将所有登录行为时间合并为同一事件，被合并事件的原始日志需要保留，对相同检测结果，将获得同一检测结果的来源设备和来源索引合并为输出。
[0148]
一种实施方式中，基于网络安全态势预测系统预测web攻击的网络安全态势，具体包括：
[0149]
通过对设备告警日志数据、web中间件访问日志数据、服务器日志数据以及网络流
量日志数据进行检测分析，对识别的挑战黑洞(challenge collapsar，cc)攻击、结构化查询语言(structured query language，sql)注入攻击、webshell攻击和跨站攻击等攻击行为进行关联分析处理的过程，根据访问时间、ip地址、端口和访问请求内容，将上述检测结果中属于同一攻击事件的结果进行归并，确保同一事件只输出一个结果，被归并事件的原始日志需要保留，对于相同检测结果，将获得同一结果的来源设备和来源索引合并为输出。
[0150]
本发明实施例提供的网络安全态势预测系统，数据采集模块用于采集网络数据，将网络数据发送至数据预处理模块，能够实现网络数据的统一管理，数据预处理模块用于对网络数据进行预处理，得到预处理后的网络数据，数据分析模块用于对预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对目标事件序列进行异常检测处理，得到异常检测结果，基于异常检测结果预测网络安全态势，有效形成了全面的网络安全防御体系，实现网络安全预测功能，以及统一的网络安全管理，能够成为网络安全态势信息融合和智能评估的平台支持，为网络安全管理提供实时、可靠的管理决策依据。
[0151]
可选地，所述数据分析模块320包括复杂事件处理子模块、事件合并子模块、事件过滤子模块、事件融合子模块以及事件关联子模块；
[0152]
所述复杂事件处理子模块用于对所述预处理后的网络数据进行关联分析处理，得到第一事件，对所述第一事件进行统计分析处理，得到所述第一事件特征；
[0153]
所述事件合并子模块用于基于所述第一事件特征对所述第一事件进行合并处理，得到第二事件；
[0154]
所述事件过滤子模块用于对所述第二事件进行过滤处理，得到第三事件；
[0155]
所述事件融合子模块用于对所述第三事件进行融合处理，得到第四事件；
[0156]
所述事件关联子模块用于将所述第四事件进行关联处理，得到目标事件序列。
[0157]
关联分析处理为查找存在项目集合或对象集合之间的频繁模式、关联规则、相关性或因果结果，将预处理后的网络数据转换为简单事件。
[0158]
第一事件为具有频繁模式、关联规则、相关性或因果结构的至少一个简单事件。
[0159]
第一事件特征包括第一事件的特征类型及第一事件的特征值。
[0160]
合并处理为若预设时间内多个事件的属性值相同，则对多个事件进行合并。
[0161]
第二事件为对第一事件进行合并后得到的至少一个事件。
[0162]
过滤处理为基于预设条件对事件进行过滤，得到符合预设条件的事件。
[0163]
可选地，预设条件包括以下各项中的至少一项：
[0164]
事件的任一属性不属于合法集合；
[0165]
事件中的至少一个关键属性空缺；
[0166]
确认事件为无法成功的攻击事件，或，确认事件被标记为丢包事件。
[0167]
融合处理为对事件的权重进行量化，并加入置信区间，通过融合技术将事件进行融合。
[0168]
第三事件为对第二事件进行过滤后得到的至少一个事件。
[0169]
关联处理为基于逻辑关系将事件进行关联。
[0170]
本发明实施例提供的网络安全态势预测系统，通过复杂事件处理子模块对预处理后的网络数据进行处理，得到第一事件，通过事件合并子模块对第一事件依次进行合并处理，得到第二事件，通过事件过滤子模块对第二事件进行过滤处理，得到第三事件，通过事
件融合子模块对第三事件进行融合处理，得到第四事件，通过事件关联子模块对第四事件进行关联处理，得到目标事件序列，可有效减少事件的复杂度，基于目标事件序列能够更准确地预测网络安全态势，进而有效形成了全面的网络安全防御体系，达到统一的网络安全管理，实现网络安全预测功能，能够称为网络安全态势信息融合和智能评估的平台支持，为网络安全管理提供实时、可靠的管理决策依据。
[0171]
结合图4具体说明网络安全态势预测系统的应用场景。图4是本发明实施例提供的网络安全态势预测系统的场景示意图。
[0172]
如图4所示，网络安全态势预测系统包括采集引擎、数据预处理模块、数据存储模块、数据分析模块以及数据应用模块。
[0173]
其中，采集引擎用于采集日志数据、流量数据、情报威胁数据以及其它数据，并将采集的数据发送给数据预处理模块。
[0174]
数据预处理模块用于对采集到的日志数据、流量数据、情报威胁数据以及其它数据进行预处理，得到预处理后的数据，并存储至数据存储模块。
[0175]
数据存储模块用于对预处理后的数据进行存储。
[0176]
数据分析模块用于对实时数据进行实时分析，以及对历史数据进行历史分析，基于数据分析结果应用于数据应用模块。
[0177]
数据应用模块用于将分析结果应用于具体的应用场景中，数据应用模块包括态势感知子模块、追踪溯源子模块、安全漏洞检测子模块以及告警管理子模块。
[0178]
态势感知子模块用于基于数据分析结果预测网络安全态势。
[0179]
追踪溯源子模块用于基于数据分析结果查找存在网络威胁的数据来源。
[0180]
安全漏洞子模块用于基于数据分析结果预测安全漏洞。
[0181]
告警管理子模块用于基于数据分析结果对告警事件进行管理。
[0182]
图5示例了一种电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)510、通信接口(communication interface)520、存储器(memory)530和通信总线540，其中，处理器510，通信接口520，存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的计算机程序，以执行网络安全态势预测方法的步骤，例如包括：
[0183]
采集网络数据；
[0184]
对所述网络数据进行预处理，得到预处理后的网络数据；
[0185]
对所述预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对所述目标事件序列进行异常检测处理，得到异常检测结果，基于所述异常检测结果预测网络安全态势。
[0186]
此外，上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可
以存储程序代码的介质。
[0187]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的网络安全态势预测方法，该方法包括：
[0188]
采集网络数据；
[0189]
对所述网络数据进行预处理，得到预处理后的网络数据；
[0190]
对所述预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对所述目标事件序列进行异常检测处理，得到异常检测结果，基于所述异常检测结果预测网络安全态势。
[0191]
另一方面，本技术实施例还提供一种处理器可读存储介质，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使所述处理器执行上述各实施例提供的方法，例如包括：
[0192]
采集网络数据；
[0193]
对所述网络数据进行预处理，得到预处理后的网络数据；
[0194]
对所述预处理后的网络数据进行事件处理，得到目标事件序列，基于滑动窗口对所述目标事件序列进行异常检测处理，得到异常检测结果，基于所述异常检测结果预测网络安全态势。
[0195]
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(mo)等)、光学存储器(例如cd、dvd、bd、hvd等)、以及半导体存储器(例如rom、eprom、eeprom、非易失性存储器(nand flash)、固态硬盘(ssd))等。
[0196]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0197]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0198]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。