【技术实现步骤摘要】
一种网络安全运营模型量化评估系统及评估方法
[0001]本专利技术涉及网络安全
,更具体的,涉及一种网络安全运营模型量化评估系统及评估方法
。
技术介绍
[0002]随着互联网的快速发展,电子政务
、
电子商务
、
电子金融等网络服务越来越流行,用户的生活
、
工作和学习逐渐由现实世界转移到互联网中来,人们对互联网的依赖正在日益增加
。
然而,互联网的开放性特点使得任何符合其技术标准的设备或软件都可以不受限制地接入互联网,导致互联网各类安全事件层出不穷,网络安全形势变得日益严峻
。
网络异常流量对企业的网络服务影响十分严重,网络设备故障
、
内网用户有意无意的非法操作以及病毒爆发都能导致网络瘫痪
、
业务中断;黑客攻击等会导致核心数据泄露或被毁坏,对企业经济造成巨额损失;业务停顿
、
数据外泄必然会导致公司声誉受损,伤害影响深远
。
[0003]传统的网络安全的运营方法,多为安全专家对企业中各主机的日志
、
流量等数据进行人为监测,当推理出安全知识数据后,安全专家还会根据安全处理流程,人为分析安全知识数据中是否存在异常,当分析出告警事件时,人为根据不同的告警事件执行对应的响应流程
。
随着网络空间攻击技术的不断发展,传统的网络安全运营方法已经难以满足企业对网络威胁检测的实时性
、
准确性和自动化需求
。
【技术保护点】
【技术特征摘要】
1.
一种网络安全运营模型量化评估系统,其特征在于,包括数据感知单元
、
攻击识别单元
、
网络安全评估预测单元
、
告警单元及响应单元;所述数据感知单元获取目标网络中的资产及事件,将感知的多源数据进行预处理,构建网络安全评估数据集;所述攻击识别单元基于所述网络安全评估数据集进行网络攻击检测,识别网络攻击检测的类别信息,根据网络攻击的严重程度设置权重系数进行攻击威胁的量化;所述网络安全评估预测单元评估网络安全运营等级,并基于历史网络安全态势数据预测网络安全状态;所述告警单元基于攻击识别单元及网络安全预警单元的处理结果生成预警信息进行告警;所述响应单元通过网络攻击识别结果在漏洞库中进行检索,基于网络安全运营等级生成对应响应
。2.
根据权利要求1所述的一种网络安全运营模型量化评估系统,其特征在于,所述数据感知单元,具体为:利用数据感知单元获取目标网络中的资产信息及多源数据,根据所述多源数据中感知事件,所述多源数据包括系统运行日志
、
主动防御日志
、
漏洞扫描日志
、
入侵监测日志
、
网络协议日志及病毒查杀日志;将多源信息进行聚合并与对应的资产信息及事件匹配,归一化处理后获取多源数据序列,提取多源数据序列的属性特征;利用遗传算法对自编码器的参数进行寻优,获取优化后编码器层数及权重信息,将所述属性特征作为自编码器网络的输入,进行自监督学习特征编码及重构,表征不同属性特性的关联性;提取自编码的误差信息,基于所述误差信息进行反向传播,对特征编码重构过程进行优化,并通过参数共享对自编码器的解码器进行配置;利用解码器进行解码获取特征重构后属性特征,生成预处理后的多源数据序列的属性特征,构建网络安全评估数据集
。3.
根据权利要求1所述的一种网络安全运营模型量化评估系统,其特征在于,所述攻击识别单元,具体为:将数据感知单元构建的网络安全评估数据集作为所述攻击识别单元的输入,在所述攻击识别单元中通过检索历史数据获取历史网络攻击数据,根据所述历史网络攻击数据获取对应的属性特征分布,生成真实样本集合;利用
GRU
单元优化生成对抗网络中的生成器网络及判别器网络,获取时间序列分布的时间相关性,将所述网络安全评估数据集划分为若干子序列,将所述若干子序列导入生成对抗网络;利用生成器网络将随机噪声与孪生数据进行匹配,生成与真实样本接近的重构样本,判别器网络通过计算重构样本与真实样本之间的相似度判断所述重构样本是否为真;当所述相似度大于预设相似度阈值时,则根据真实样本对重构样本设置类别标签,获取网络攻击的类别信息,根据所述类别信息获取对应的权重系数,结合预设时间内的攻击总数获取攻击的威胁值;
获取网络攻击所关联资产信息的保密性
、
完整性和可用性,判断攻击对目标网络的影响值,根据所述威胁值及影响值对网络攻击进行量化
。4.
根据权利要求1所述的一种网络安全运营模型量化评估系统,其特征在于,所述网络安全预测单元,具体为:获取目标网络的网络拓扑结构,基于资产关联
、
业务关联及服务关联将所述网络拓扑结构进行图表示,生成不同的子图,在所述子图中利用资产特征
、
业务特征及服务特征作为节点的特征描述;在各子图中利于皮尔逊系数计算节点之间的关联度,根据所述关联度构建节点的权重矩阵,获取各子图对应的邻接矩阵,将所述邻接矩阵进行归一化处理,将不同子图中节点的邻接矩阵及权重矩阵加权求和,实现子图的融合,获取目标网络对应的图结构;利用大数据检索获取网络安全态势评估实例对应的安全态势指标,将所述安全态势指标进行层次聚类,生成聚类结果与安全态势指标的对应层次关系,根据层次分析法计算各类簇安全态势指标的重要程度;获取目标网络当前的网络攻击类别对应的属性特征分布,判断属性特征与各类簇安全态势指标的相关性,根据所述相关性对重要程度进行更新;基于更新后的重要程度选取预设数量的安全态势指标,构建网络安全运营评估模型,提取目标网络的指标参数构建评估矩阵导入所述网络安全运营评估模型;判断评估矩阵与预设等级阈值矩阵的欧氏距离,评估目标网络中各节点的网络安全运营等级,生成目标网络当前的网络安全序列;将目标网络的图结构利用图神经网络进行表示学习,获取当前网络攻击的历史攻击路径,根据所述历史攻击路径及邻居节点构建目标网络的邻接矩阵;根据图神经网络结合全局自注意力机制得到任意两节点之间的注意力信息,构建注意力矩阵,通过注意力矩阵结合邻接矩阵进行加权聚合更新特征表示,提取网络安全态势的空间特征;将更新后的特征表示导入
LSTM
网络中,通过隐藏状态的更新获取时序变化特征,得到网络安全态势的时空特征,根据所述时空特征进行消息传递及聚合获取预设时间后各节点的网络安全序列
。5.
根据权利要求1所述的一种网络安全运营模型量化评估系统,其特征在于,所述告警单元,具体为:获取攻击识别单元及网络安全预测单元的处理结果,根据攻击识别单元的识别量化结果及对应的资产信息生成网络攻击预警;根据网络安全预测单元输出的预设时间后的网络安全序列读取不符合安全标准的节点进行预警,通过目标网络历史网络攻击数据读取当前网络攻击类别对应的各节点的受攻击次数,并标注历史网络攻击的量化结果;设置监测窗口,在所述网络安全序列中筛选与安全标准的偏差小于预设阈值的节点,标记为高危节点,获取高危节点在当前网络攻击类别下的受攻击次数;获取目标网络当前网络攻击量化结果与历史网络攻击相似度,根据相似度对高危节点的受攻击次数进行修正,通过当前网络攻击的攻击趋势及修正后的受攻击次数排序选取高危节点生成攻击预警<...
【专利技术属性】
技术研发人员:孙涛,庞仁才,陈固强,周敏,
申请(专利权)人:广州云峰信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。