CN116633608B - 一种网络安全的风险预测方法及*** - Google Patents
一种网络安全的风险预测方法及*** Download PDFInfo
- Publication number
- CN116633608B CN116633608B CN202310551164.2A CN202310551164A CN116633608B CN 116633608 B CN116633608 B CN 116633608B CN 202310551164 A CN202310551164 A CN 202310551164A CN 116633608 B CN116633608 B CN 116633608B
- Authority
- CN
- China
- Prior art keywords
- alarm
- network
- risk
- event
- factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 239000011159 matrix material Substances 0.000 claims abstract description 55
- 230000001364 causal effect Effects 0.000 claims abstract description 36
- 238000004458 analytical method Methods 0.000 claims abstract description 22
- 238000013507 mapping Methods 0.000 claims abstract description 20
- 238000013058 risk prediction model Methods 0.000 claims abstract description 19
- 230000008439 repair process Effects 0.000 claims description 57
- 238000007726 management method Methods 0.000 claims description 37
- 238000010276 construction Methods 0.000 claims description 9
- 238000005457 optimization Methods 0.000 claims description 8
- 238000012502 risk assessment Methods 0.000 claims description 8
- 238000012163 sequencing technique Methods 0.000 claims description 5
- 230000003213 activating effect Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 230000001105 regulatory effect Effects 0.000 claims description 3
- 230000001276 controlling effect Effects 0.000 claims description 2
- 238000010606 normalization Methods 0.000 claims description 2
- 238000012545 processing Methods 0.000 abstract description 2
- 238000012423 maintenance Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000000556 factor analysis Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供了一种网络安全的风险预测方法及***,涉及数据处理技术领域,调取多个网络告警事件搭建告警事件库,进行告警事件风险溯源生成告警因素矩阵,结合多个告警态势进行映射分析,生成态势因果链并搭建风险预测模型,基于实时网络运行数据确定风险预测结果,进行网络运行的风险管控,解决了现有技术中传统的网络安全风险预测方法由于预测判据较为单一,运行态势间的衔接结合度不足,导致预测结果完备性不足,且不够及时准确,造成后续风险管控局限的技术问题,通过针对告警事件进行深层次细化分析,确定告警诱因及态势衔接关系,辅助进行风险预测,保障预测结果的完备性与精准度,针对风险预测结果进行修复方案寻优,保障风险管控能效。
Description
技术领域
本发明涉及数据处理技术领域,具体涉及一种网络安全的风险预测方法及***。
背景技术
网络将人类社会高度互联,网络安全形势逐步趋于复杂与多样化,为维系网络空间的正常运维,避免网络安全漏洞造成经济损失与潜在性风险,需及时有效且精准的进行网络安全的风险预测。
现如今,主要通过基于网络拓扑结构进行运行分析,审计数据分析或网络安全漏扫描等方式进行网络安全的风险预测分析,当前的风险预测方法还存在着一定的弊端,导致预测结果较之实际存在偏差,影响后续网络空间的运维修复。
现有技术中,传统的网络安全风险预测方法由于预测判据较为单一,运行态势间的衔接结合度不足,导致预测结果完备性不足,且不够及时准确,造成后续风险管控局限。
发明内容
本申请提供了一种网络安全的风险预测方法及***,用于针对解决现有技术中存在的传统的网络安全风险预测方法由于预测判据较为单一,运行态势间的衔接结合度不足,导致预测结果完备性不足,且不够及时准确,造成后续风险管控局限的技术问题。
鉴于上述问题,本申请提供了一种网络安全的风险预测方法及***。
第一方面,本申请提供了一种网络安全的风险预测方法,所述方法包括:
连接网络安全管理平台,调取预定时间区间内多个网络告警事件,搭建告警事件库,其中,所述告警事件库中各网络告警事件对应多个告警态势;
基于所述告警事件库,进行告警事件风险溯源,生成告警因素矩阵;
基于所述告警因素矩阵,结合所述多个告警态势进行映射分析,生成态势因果链;
基于所述态势因果链,搭建风险预测模型;
采集实时网络运行数据,输入所述风险预测模型,获取风险预测结果,其中,所述风险预测结果表征为告警态势-告警等级-告警因素;
基于所述风险预测结果,进行网络运行的风险管控。
第二方面,本申请提供了一种网络安全的风险预测***,所述***包括:
事件库搭建模块,所述事件库搭建模块用于连接网络安全管理平台,调取预定时间区间内多个网络告警事件,搭建告警事件库,其中,所述告警事件库中各网络告警事件对应多个告警态势;
矩阵生成模块,所述矩阵生成模块用于基于所述告警事件库,进行告警事件风险溯源,生成告警因素矩阵;
态势因果链生成模块,所述态势因果链生成模块用于基于所述告警因素矩阵,结合所述多个告警态势进行映射分析,生成态势因果链;
模型搭建模块,所述模型搭建模块用于基于所述态势因果链,搭建风险预测模型;
风险预测模块,所述风险预测模块用于采集实时网络运行数据,输入所述风险预测模型,获取风险预测结果,其中,所述风险预测结果表征为告警态势-告警等级-告警因素;
风险管控模块,所述风险管控模块用于基于所述风险预测结果,进行网络运行的风险管控。
本申请中提供的一个或多个技术方案,至少具有如下技术效果或优点:
本申请实施例提供的一种网络安全的风险预测方法,连接网络安全管理平台,调取预定时间区间内多个网络告警事件搭建告警事件库,进行告警事件风险溯源生成告警因素矩阵,基于所述告警因素矩阵,结合多个告警态势进行映射分析,生成态势因果链以搭建风险预测模型,采集实时网络运行数据,输入所述风险预测模型,获取风险预测结果,表征为告警态势-告警等级-告警因素,以进行网络运行的风险管控,解决了现有技术中存在的传统的网络安全风险预测方法由于预测判据较为单一,运行态势间的衔接结合度不足,导致预测结果完备性不足,且不够及时准确,造成后续风险管控局限的技术问题,通过针对告警事件进行深层次细化分析,确定告警诱因及态势衔接关系,辅助进行风险预测,保障预测结果的完备性与精准度,针对风险预测结果进行修复方案寻优,保障风险管控能效。
附图说明
图1为本申请提供了一种网络安全的风险预测方法流程示意图;
图2为本申请提供了一种网络安全的风险预测方法中告警因素矩阵获取流程示意图;
图3为本申请提供了一种网络安全的风险预测方法中网络运行的风险管控流程示意图;
图4为本申请提供了一种网络安全的风险预测***结构示意图。
附图标记说明:事件库搭建模块11,矩阵生成模块12,态势因果链生成模块13,模型搭建模块14,风险预测模块15,风险管控模块16。
具体实施方式
本申请通过提供一种网络安全的风险预测方法及***,连接网络安全管理平台,调取预定时间区间内多个网络告警事件,搭建告警事件库,进行告警事件风险溯源生成告警因素矩阵,结合多个告警态势进行映射分析,生成态势因果链并搭建风险预测模型,基于实时网络运行数据确定风险预测结果,进行网络运行的风险管控,用于解决现有技术中存在的传统的网络安全风险预测方法由于预测判据较为单一,运行态势间的衔接结合度不足,导致预测结果完备性不足,且不够及时准确,造成后续风险管控局限的技术问题。
实施例一
如图1所示,本申请提供了一种网络安全的风险预测方法,所述方法包括:
步骤S100:连接网络安全管理平台,调取预定时间区间内多个网络告警事件,搭建告警事件库,其中,所述告警事件库中各网络告警事件对应多个告警态势;
具体而言,网络将人类社会高度互联,网络安全形势逐步趋于复杂与多样化,为维系网络空间的正常运维,避免网络安全漏洞造成经济损失与潜在性风险,需及时有效且精准的进行网络安全的风险预测。本申请提供的一种网络安全的风险预测方法,针对告警事件的多个时序衔接态势进行告警因素溯源分析与关联,生成态势因果链辅助进行风险预测分析,以保障预测结果的精准度与完备性。
具体的,所述网络安全管理平台为进行网络运维安全监测分析与信息存储的执行平台,连接所述网络安全管理平台,将所述预定时间区间作为调取统计时限,获取时限范围内的告警存储记录,所述预定时间区间为进行信息采集的自定义设定时间范围,对所述告警存储记录进行识别提取,确定多个网络告警事件,对所述多个网络告警事件进行筛选归属,并确定对应的多个告警态势,包括告警前态势、告警态势与告警后态势,生成所述告警事件库,所述告警事件库为进行网络安全风险分析预测的参考数据源。
进一步而言,所述搭建告警事件库,本申请步骤S100还包括:
步骤S110:对所述多个网络告警事件依事件类目进行规整,确定N类网络告警事件;
步骤S120:基于告警频次与风险系数,对所述N类告警事件进行层级归属,获取多级告警事件树;
步骤S130:将所述多级告警事件树存储于划定的多个局域空间,生成所述告警事件库,其中,所述告警事件库中各网络告警事件包含告警前态势、告警态势与告警后态势,所述告警前态势包括多个时序态势节点。
进一步而言,所述基于告警频次与风险系数,对所述N类告警事件进行层级归属,获取多级告警事件树,本申请步骤S120还包括:
步骤S121:设定多级告警频次阈值;
步骤S122:遍历所述N类网络告警事件,提取单列网络告警事件并进行告警频次统计,确定多个事件频次等级,其中,所述多个事件频次等级与所述单列网络告警事件一一对应;
步骤S123:将所述单列网络告警事件输入风险评估模型中,输出入多个风险系数,所述多个风险系数与所述单列网络告警事件一一对应;
步骤S124:基于所述多个事件频次等级与所述多个风险系数,计算所述单列网络事件对应的告警等级;
步骤S125:基于所述告警等级,对所述单列网络告警事件进行层级归属,生成所述多级告警事件树。
具体而言,针对所述多个网络告警事件,确定多个事件类目,包括网络攻击、***故障、信号传输异常等,将所述多个事件类目作为划定标准,对所述多个网络告警事件进行规整,确定所述N类网络告警事件,其中N的量值与所述多个事件类目相一致,用于表征事件划分组类,例如,当所述多个事件类目仅包括网络攻击、***故障、信号传输异常时,N为3,依据划分实况进行对应调整。进一步对所述N类告警事件基于所述告警频次与所述风险系数进行告警等级分析与层级归属,生成所述多级告警事件树。
具体的,设定所述多级告警频次阈值,所述多级告警频次阈值对应多个告频次等级,用于进行网络告警事件的频次划定,所述多级告警频次阈值可参考网络风险评定标准,基于专家经验进行自定义设定,例如将10作为划分频次区间,则告警频次10、20、30等可作为所述多级告警频次阈值。遍历所述N类网络告警事件,对其中的相似性网络告警事件进行同组划定,确定多个事件划定组,基于所述多个事件划定组分别提取其一,作为所述单列网络告警事件。基于各单列网络告警事件对应的事件划定组包含的网络告警事件数量,确定多个告警频次。进一步遍历所述多级告警频次阈值,对所述多个告警频次进行匹配,基于匹配结果确定所述多个事件频次等级,其中,所述匹配的告警频次阈值越高,对应的事件频次等级越高。
进一步的,搭建所述风险评估模型,对所述多个单列网络告警事件进行风险程度分析,确定所述多个风险系数。如下为所述风险评估模型的一种可行性建模方式,具体的,采集多个样本告警事件,包括对应的网络损失,基于网络损失进行人工评估,确定各样本告警事件的风险程度,生成多个样本风险系数,对所述多个样本告警事件与所述多个样本风险系数进行映射关联,通过进行神经网络训练验证,生成所述风险评估模型。将所述单列网络告警事件输入所述风险评估模型中,通过进行匹配决策直接确定对应的风险系数进行模型输出,获取所述多个风险系数。进一步对所述多个事件频次等级与所述多个风险系数进行映射对应,基于映射结果进行加和计算,将计算结果作为所述告警等级,所述告警等级与所述单列网络告警事件一一对应。确定事件树搭建规则,例如告警等级逐层递减,确定多个搭建层级,基于所述多个告警等级,对所述单列网络告警事件进行匹配嵌入,生成所述多级告警事件树。
进一步的,基于所述事件类目确定多个局域空间,即进行数据存储的划定空间,与所述事件类目一一对应,基于所述事件类目对所述多级告警事件树进行拆分,将拆分结果存储入对应的所述多个局域空间,集成所述多个局域空间,生成所述告警事件库。所述告警事件库为自建的具有信息有序性、完备性与精准度的参考数据库。进一步对所述告警事件库中各个告警事件进行态势识别标识,将实时告警状态作为所述告警态势,进行时间的匀速推移,确定告警前的多个时序态势节点,作为所述告警前态势,将告警后的态势节点,作为所述告警后态势,基于态势识别结果进行告警事件标识,通过进行告警态势解析,为后续进行时序态势预测夯实了基础。
步骤S200:基于所述告警事件库,进行告警事件风险溯源,生成告警因素矩阵;
进一步而言,如图2所示,所述生成告警因素矩阵,本申请步骤S200还包括:
步骤S210:确定多维度因素,所述多维度因素包括网络环境、安全配置,操作信息与网络协议,各维度因素包括多个子因素;
步骤S220:基于所述网络环境、安全配置、所述操作信息与所述网络协议,对所述告警事件库进行溯源索引,确定多组告警因素参数;
步骤S230:基于所述多组告警因素参数,生成所述告警因素矩阵。
具体而言,对所述告警事件库中的各告警事件进行告警因素分析,所述告警因素为导致网络安全告警的直接性与间接性因素,将告警因素与告警事件作为矩阵的行与列,分别进行对应排列,生成所述告警因素矩阵,对非告警因素采用0或空集进行矩阵标注。
具体的,确定导致网络安全告警的多维度因素,包括所述网络环境、所述安全配置、所述操作信息与所述网络协议,例如所述安全配置可细化为防护等级、信息对抗模式等多个子因素,对所述多个子因素进行维度因素关联,作为所述多维度因素。进一步的,针对所述网络环境、所述安全配置、所述操作信息与所述网络协议,将对应的多个子因素作为溯源索引方向,针对所述告警事件库中的各个告警事件分别进行索引,例如操作失误、防护等级过低导致数据泄露等;采用的网络协议,比如tcp、ip协议本身就存在风险等,生成所述多组告警因素参数,分别与所述告警事件库中的各告警事件一一对应,将告警因素作为矩阵行,将告警事件作为矩阵列,对所述多组告警因素参数进行匹配排布,生成所述告警因素矩阵。所述告警因素矩阵具有风险源完备性与精准度,为后续进行网路安全风险预测提供了基本依据。
步骤S300:基于所述告警因素矩阵,结合所述多个告警态势进行映射分析,生成态势因果链;
进一步而言,所述生成态势因果链,本申请步骤S300还包括:
步骤S310:基于所述告警因素矩阵,确定多个前置告警因素矩阵与后置告警因素矩阵,其中,所述告警因素矩阵与所述告警态势相对应;
步骤S320:对所述告警因素矩阵、所述多个前置告警因素矩阵与所述后置告警因素矩阵进行映射关联,生成多组告警因素序列,其中,所述多组告警因素序列与单列网络告警事件相对应;
步骤S330:基于所述多组告警因素序列,生成所述态势因果链。
具体而言,所述告警因素矩阵为与所述告警态势相匹配的因素参数,基于所述告警因素矩阵,针对告警前态势与告警后态势分别进行矩阵搭建,针对同一告警事件,基于所述告警前态势对应的多个时序态势节点与告警态势节点、告警后态势节点进行时序链接,基于各节点对应的矩阵识别提取节点匹配告警因素参数,对链接节点进行对应标识,生成所述态势因果链,其中,所述告警事件库中各个告警事件,即筛选确定的单列网络告警事件,分别对应一态势因果链。
具体的,针对告警前态势的多个时序态势节点与告警后态势,将所述告警因素矩阵作为参考,基于节点间的均匀间隔时间进行各态势节点的告警因素参数的采集统计,基于所述告警因素矩阵据分布标准进行矩阵模式拓印,将采集的告警因素参数进行矩阵填入,生成所述多个前置告警因素矩阵与所述后置告警因素矩阵,与所述多个告警态势相对应。对所述多个前置告警因素矩阵、所述告警因素矩阵与所述后置告警因素矩阵进行时序排列,针对同一告警事件,分别识别提取对应的多组告警因素参数,基于矩阵排列顺序进行衔接关联,生成所述多组告警因素序列。进一步基于所述多个告警态势确定多个态势节点,进行态势节点连接与所述多组告警因素序列的对应标识,生成该告警事件对应的态势因果链,针对所述告警事件库中各告警事件分别进行所述态势因果链的构建。所述态势因果链为进行网络安全运行风险的直接判定校对依据,可有效提高分析效率与分析准确度。
步骤S400:基于所述态势因果链,搭建风险预测模型;
步骤S500:采集实时网络运行数据,输入所述风险预测模型,获取风险预测结果,其中,所述风险预测结果表征为告警态势-告警等级-告警因素;
具体而言,搭建所述风险预测模型,所述风险预测模型为用于进行实时网络运行风险预测的辅助性分析工具,所述风险预测模型包括数据识别层、态势匹配层,决策输出层,将所述态势因果链嵌入所述风险预测模型中进行模型学习训练,以生成优化模型的网络层执行机制。
进一步的,针对网络空间运行实况进行数据采集,确定所述实时网络运行数据,将所述实时网络运行数据输入所述风险预测模型中,基于所述数据识别层进行数据划分,具体划分结果与所述事件类目相一致,将数据识别划分结果输入所述态势匹配层,确定各划分数据对应的态势因果链,于对应的态势因果链中,基于数据划分识别结果反映的告警因素参数,进行态势节点匹配,确定实时态势节点,将所述实时态势节点传输至所述决策输出层中,提取所述实时态势节点对应的下位态势节点,并确定下位态势节点的告警等级,其中,所述下位态势节点与告警态势节点越接近,告警态势节点告警等级越高,则预测告警等级越高。识别所述下位态势节点标识的告警因素,获取所述风险预测结果并进行输出,所述风险预测结果表征为告警态势-告警等级-告警因素,基于所述风险预测结果进行网络安全的风险管控。
步骤S600:基于所述风险预测结果,进行网络运行的风险管控。
进一步而言,如图3所示,本申请步骤S600还包括:
步骤S610:对所述风险预测结果进行识别,当存在至少一项告警序列时,生成风险修复指令;
步骤S620:基于所述风险修复指令,激活修复方案决策模块,其中,所述修复方案决策模块包含多个方案决策区域,分别存储有多个修复决策子方案,所述修复方案决策模块内嵌有多目标优化算法;
步骤S630:在所述修复方案决策模块内,基于所述多个方案决策区域匹配目标方案决策区域进行修复方案寻优,生成所述风险修复方案;
步骤S640:基于所述风险预测结果与所述风险修复方案,进行网络运行的风险管控。
进一步而言,所述生成所述风险修复方案,本申请步骤S630还包括:
步骤S631:根据所述风险预测结果,对所述告警序列进行时序性排列,生成告警排序结果;
步骤S632:基于所述告警排序结果,确定风险修复优先级;
步骤S633:基于所述风险修复优先级对所述风险修复方案进行映射标识。
具体而言,所述风险预测结果包括了当前网路运行状态下的可存性风险预测结果。对所述风险预测结果进行识别,当存在至少一项告警序列时,即存在潜在性网络安全风险,生成所述风险修复指令。所述风险修复指令为执行风险修复操作的开始指令,随着所述风险修复指令的接收,激活所述修复方案决策模块。所述修复方案决策模块为搭建的对所述风险预测结果进行修复方案确定的分析模块,所述修复方案决策模块包含多个方案决策区域,与所述多维度因素相对应,基于大数据调取统计与所述多维度因素相对应的多组可行性修复方案,作为所述多个修复决策子方案,于对应的所述多个方案决策区域中进行存储,生成所述修复方案决策模块,将所述多目标优化算法嵌入所述修复方案决策模块中。
针对所述风险预测结果中各告警序列,分别输入所述修复方案决策模块中,确定各告警序列中的告警因素,锁定所述多个方案决策区域中的待执行区域,进行所述待执行区域中修复方案的随机组合,确定多个组合方案,进一步基于所述多目标优化算法对所述多个组合方案进行修复衡量择优,确定全局修复效果最佳者,添加进所述风险修复方案中,所述风险修复方案包括了至少一个方案,与告警序列相对应。
进一步的,基于所述风险预测结果进行告警等级识别,基于告警等级由高到低对告警序列进行顺序排列,生成所述告警排序结果,所述告警排序结果表征风险修复时序。基于所述告警排序结果,确定各告警序列的风险修复优先级,就与告警排序结果,对应的修复优先级逐步递减。基于所述风险修复优先级,对所述风险修复方案进行映射标识,确定所述风险修复方案的执行次序,以最大限度弱化网络安全风险,保障网络运行的风险管控能效。
实施例二
基于与前述实施例中一种网络安全的风险预测方法相同的发明构思,如图4所示,本申请提供了一种网络安全的风险预测***,所述***包括:
事件库搭建模块11,所述事件库搭建模块11用于连接网络安全管理平台,调取预定时间区间内多个网络告警事件,搭建告警事件库,其中,所述告警事件库中各网络告警事件对应多个告警态势;
矩阵生成模块12,所述矩阵生成模块12用于基于所述告警事件库,进行告警事件风险溯源,生成告警因素矩阵;
态势因果链生成模块13,所述态势因果链生成模块13用于基于所述告警因素矩阵,结合所述多个告警态势进行映射分析,生成态势因果链;
模型搭建模块14,所述模型搭建模块14用于基于所述态势因果链,搭建风险预测模型;
风险预测模块15,所述风险预测模块15用于采集实时网络运行数据,输入所述风险预测模型,获取风险预测结果,其中,所述风险预测结果表征为告警态势-告警等级-告警因素;
风险管控模块16,所述风险管控模块16用于基于所述风险预测结果,进行网络运行的风险管控。
进一步而言,所述***还包括:
事件规整模块,所述事件规整模块用于对所述多个网络告警事件依事件类目进行规整,确定N类网络告警事件;
事件树获取模块,所述事件树获取模块用于基于告警频次与风险系数,对所述N类告警事件进行层级归属,获取多级告警事件树;
告警事件库生成模块,所述告警事件库生成模块用于将所述多级告警事件树存储于划定的多个局域空间,生成所述告警事件库,其中,所述告警事件库中各网络告警事件包含告警前态势、告警态势与告警后态势,所述告警前态势包括多个时序态势节点。
进一步而言,所述***还包括:
阈值设定模块,所述阈值设定模块用于设定多级告警频次阈值;
频次等级确定模块,所述频次等级确定模块用于遍历所述N类网络告警事件,提取单列网络告警事件并进行告警频次统计,确定多个事件频次等级,其中,所述多个事件频次等级与所述单列网络告警事件一一对应;
风险系数输出模块,所述风险系数输出模块用于将所述单列网络告警事件输入风险评估模型中,输出入多个风险系数,所述多个风险系数与所述单列网络告警事件一一对应;
告警等级计算模块,所述告警等级计算模块用于基于所述多个事件频次等级与所述多个风险系数,计算所述单列网络事件对应的告警等级;
告警事件归属模块,所述告警事件归属模块用于基于所述告警等级,对所述单列网络告警事件进行层级归属,生成所述多级告警事件树。
进一步而言,所述***还包括:
多维度因素确定模块,所述多维度因素确定模块用于确定多维度因素,所述多维度因素包括网络环境、安全配置,操作信息与网络协议,各维度因素包括多个子因素;
因素参数确定模块,所述因素参数确定模块用于基于所述网络环境、安全配置、所述操作信息与所述网络协议,对所述告警事件库进行溯源索引,确定多组告警因素参数;
告警因素矩阵生成模块,所述告警因素矩阵生成模块用于基于所述多组告警因素参数,生成所述告警因素矩阵。
进一步而言,所述***还包括:
衔接矩阵确定模块,所述衔接矩阵确定模块用于基于所述告警因素矩阵,确定多个前置告警因素矩阵与后置告警因素矩阵,其中,所述告警因素矩阵与所述告警态势相对应;
告警因素序列生成模块,所述告警因素序列生成模块用于对所述告警因素矩阵、所述多个前置告警因素矩阵与所述后置告警因素矩阵进行映射关联,生成多组告警因素序列,其中,所述多组告警因素序列与单列网络告警事件相对应;
因果链生成模块,所述因果链生成模块用于基于所述多组告警因素序列,生成所述态势因果链。
进一步而言,所述***还包括:
指令生成模块,所述指令生成模块用于对所述风险预测结果进行识别,当存在至少一项告警序列时,生成风险修复指令;
激活模块,所述激活模块用于基于所述风险修复指令,激活修复方案决策模块,其中,所述修复方案决策模块包含多个方案决策区域,分别存储有多个修复决策子方案,所述修复方案决策模块内嵌有多目标优化算法;
修复方案寻优模块,所述修复方案寻优模块用于在所述修复方案决策模块内,基于所述多个方案决策区域匹配目标方案决策区域进行修复方案寻优,生成所述风险修复方案;
网络运行风险管控模块,所述网络运行风险管控模块用于基于所述风险预测结果与所述风险修复方案,进行网络运行的风险管控。
进一步而言,所述***还包括:
序列排序模块,所述序列排序模块用于根据所述风险预测结果,对所述告警序列进行时序性排列,生成告警排序结果;
优先级确定模块,所述优先级确定模块用于基于所述告警排序结果,确定风险修复优先级;
方案标识模块,所述方案标识模块用于基于所述风险修复优先级对所述风险修复方案进行映射标识。
本说明书通过前述对一种网络安全的风险预测方法的详细描述,本领域技术人员可以清楚的知道本实施例中一种网络安全的风险预测方法及***,对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (4)
1.一种网络安全的风险预测方法,其特征在于,所述方法包括:
连接网络安全管理平台,调取预定时间区间内多个网络告警事件,搭建告警事件库,其中,所述告警事件库中各网络告警事件对应多个告警态势;
基于所述告警事件库,进行告警事件风险溯源,生成告警因素矩阵;
其中,所述搭建告警事件库,包括:
对所述多个网络告警事件依事件类目进行规整,确定N类网络告警事件;
基于告警频次与风险系数,对所述N类网络告警事件进行层级归属,获取多级告警事件树;
将所述多级告警事件树存储于划定的多个局域空间,生成所述告警事件库,其中,所述告警事件库中各网络告警事件包含告警前态势、告警态势与告警后态势,所述告警前态势包括多个时序态势节点;
其中,所述基于告警频次与风险系数,对所述N类网络告警事件进行层级归属,获取多级告警事件树,包括:
设定多级告警频次阈值;
遍历所述N类网络告警事件,提取单列网络告警事件并进行告警频次统计,确定多个事件频次等级,其中,所述多个事件频次等级与所述单列网络告警事件一一对应;
将所述单列网络告警事件输入风险评估模型中,输出入多个风险系数,所述多个风险系数与所述单列网络告警事件一一对应;
基于所述多个事件频次等级与所述多个风险系数,计算所述单列网络告警事件对应的告警等级;
基于所述告警等级,对所述单列网络告警事件进行层级归属,生成所述多级告警事件树;
其中,所述生成告警因素矩阵,包括:
确定多维度因素,所述多维度因素包括网络环境、安全配置,操作信息与网络协议,各维度因素包括多个子因素;
基于所述网络环境、安全配置、所述操作信息与所述网络协议,对所述告警事件库进行溯源索引,确定多组告警因素参数;
基于所述多组告警因素参数,生成所述告警因素矩阵;
基于所述告警因素矩阵,结合所述多个告警态势进行映射分析,生成态势因果链;
其中,所述生成态势因果链,包括:
基于所述告警因素矩阵,确定多个前置告警因素矩阵与后置告警因素矩阵,其中,所述告警因素矩阵与所述告警态势相对应;
对所述告警因素矩阵、所述多个前置告警因素矩阵与所述后置告警因素矩阵进行映射关联,生成多组告警因素序列,其中,所述多组告警因素序列与单列网络告警事件相对应;
基于所述多组告警因素序列,生成所述态势因果链;
基于所述态势因果链,搭建风险预测模型;
采集实时网络运行数据,输入所述风险预测模型,获取风险预测结果,其中,所述风险预测结果表征为告警态势-告警等级-告警因素;
基于所述风险预测结果,进行网络运行的风险管控。
2.如权利要求1所述的方法,其特征在于,包括:
对所述风险预测结果进行识别,当存在至少一项告警序列时,生成风险修复指令;
基于所述风险修复指令,激活修复方案决策模块,其中,所述修复方案决策模块包含多个方案决策区域,分别存储有多个修复决策子方案,所述修复方案决策模块内嵌有多目标优化算法;
在所述修复方案决策模块内,基于所述多个方案决策区域匹配目标方案决策区域进行修复方案寻优,生成所述风险修复方案;
基于所述风险预测结果与所述风险修复方案,进行网络运行的风险管控。
3.如权利要求2所述的方法,其特征在于,所述生成所述风险修复方案,包括:
根据所述风险预测结果,对所述告警序列进行时序性排列,生成告警排序结果;
基于所述告警排序结果,确定风险修复优先级;
基于所述风险修复优先级对所述风险修复方案进行映射标识。
4.一种网络安全的风险预测***,其特征在于,所述***包括:
事件库搭建模块,所述事件库搭建模块用于连接网络安全管理平台,调取预定时间区间内多个网络告警事件,搭建告警事件库,其中,所述告警事件库中各网络告警事件对应多个告警态势;
矩阵生成模块,所述矩阵生成模块用于基于所述告警事件库,进行告警事件风险溯源,生成告警因素矩阵;
其中,所述***还包括:
事件规整模块,所述事件规整模块用于对所述多个网络告警事件依事件类目进行规整,确定N类网络告警事件;
事件树获取模块,所述事件树获取模块用于基于告警频次与风险系数,对所述N类网络告警事件进行层级归属,获取多级告警事件树;
告警事件库生成模块,所述告警事件库生成模块用于将所述多级告警事件树存储于划定的多个局域空间,生成所述告警事件库,其中,所述告警事件库中各网络告警事件包含告警前态势、告警态势与告警后态势,所述告警前态势包括多个时序态势节点;
其中,所述***还包括:
阈值设定模块,所述阈值设定模块用于设定多级告警频次阈值;
频次等级确定模块,所述频次等级确定模块用于遍历所述N类网络告警事件,提取单列网络告警事件并进行告警频次统计,确定多个事件频次等级,其中,所述多个事件频次等级与所述单列网络告警事件一一对应;
风险系数输出模块,所述风险系数输出模块用于将所述单列网络告警事件输入风险评估模型中,输出入多个风险系数,所述多个风险系数与所述单列网络告警事件一一对应;
告警等级计算模块,所述告警等级计算模块用于基于所述多个事件频次等级与所述多个风险系数,计算所述单列网络告警事件对应的告警等级;
告警事件归属模块,所述告警事件归属模块用于基于所述告警等级,对所述单列网络告警事件进行层级归属,生成所述多级告警事件树;
其中,所述***还包括:
多维度因素确定模块,所述多维度因素确定模块用于确定多维度因素,所述多维度因素包括网络环境、安全配置,操作信息与网络协议,各维度因素包括多个子因素;
因素参数确定模块,所述因素参数确定模块用于基于所述网络环境、安全配置、所述操作信息与所述网络协议,对所述告警事件库进行溯源索引,确定多组告警因素参数;
告警因素矩阵生成模块,所述告警因素矩阵生成模块用于基于所述多组告警因素参数,生成所述告警因素矩阵;
态势因果链生成模块,所述态势因果链生成模块用于基于所述告警因素矩阵,结合所述多个告警态势进行映射分析,生成态势因果链;
其中,所述***还包括:
衔接矩阵确定模块,所述衔接矩阵确定模块用于基于所述告警因素矩阵,确定多个前置告警因素矩阵与后置告警因素矩阵,其中,所述告警因素矩阵与所述告警态势相对应;
告警因素序列生成模块,所述告警因素序列生成模块用于对所述告警因素矩阵、所述多个前置告警因素矩阵与所述后置告警因素矩阵进行映射关联,生成多组告警因素序列,其中,所述多组告警因素序列与单列网络告警事件相对应;
因果链生成模块,所述因果链生成模块用于基于所述多组告警因素序列,生成所述态势因果链;
模型搭建模块,所述模型搭建模块用于基于所述态势因果链,搭建风险预测模型;
风险预测模块,所述风险预测模块用于采集实时网络运行数据,输入所述风险预测模型,获取风险预测结果,其中,所述风险预测结果表征为告警态势-告警等级-告警因素;
风险管控模块,所述风险管控模块用于基于所述风险预测结果,进行网络运行的风险管控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310551164.2A CN116633608B (zh) | 2023-05-16 | 2023-05-16 | 一种网络安全的风险预测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310551164.2A CN116633608B (zh) | 2023-05-16 | 2023-05-16 | 一种网络安全的风险预测方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116633608A CN116633608A (zh) | 2023-08-22 |
| CN116633608B true CN116633608B (zh) | 2024-01-30 |
Family
ID=87612671
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310551164.2A Active CN116633608B (zh) | 2023-05-16 | 2023-05-16 | 一种网络安全的风险预测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116633608B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117834123B (zh) * | 2023-11-21 | 2024-07-05 | 上海掌御信息科技有限公司 | 基于加密数据的工业互联网设备安全状态预警方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及*** |
| CN113872942A (zh) * | 2021-09-03 | 2021-12-31 | 国网四川省电力公司信息通信公司 | 一种电力物联网网络安全风险预测方法 |
| CN115225386A (zh) * | 2022-07-20 | 2022-10-21 | 广东电网有限责任公司 | 基于事件序列关联融合的业务识别与风险分析方法及*** |
| CN115314415A (zh) * | 2022-07-08 | 2022-11-08 | 北京天融信网络安全技术有限公司 | 网络安全态势预测方法、装置、电子设备及存储介质 |
| CN115396324A (zh) * | 2022-08-15 | 2022-11-25 | 合肥天帷信息安全技术有限公司 | 一种网络安全态势感知预警处理*** |
| CN115599830A (zh) * | 2021-06-28 | 2023-01-13 | 深信服科技股份有限公司(Cn) | 一种数据关联关系的确定方法、装置、设备和介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110896386B (zh) * | 2018-09-12 | 2022-05-10 | 西门子(中国)有限公司 | 识别安全威胁的方法、装置、存储介质、处理器和终端 |
-
2023
- 2023-05-16 CN CN202310551164.2A patent/CN116633608B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及*** |
| CN115599830A (zh) * | 2021-06-28 | 2023-01-13 | 深信服科技股份有限公司(Cn) | 一种数据关联关系的确定方法、装置、设备和介质 |
| CN113872942A (zh) * | 2021-09-03 | 2021-12-31 | 国网四川省电力公司信息通信公司 | 一种电力物联网网络安全风险预测方法 |
| CN115314415A (zh) * | 2022-07-08 | 2022-11-08 | 北京天融信网络安全技术有限公司 | 网络安全态势预测方法、装置、电子设备及存储介质 |
| CN115225386A (zh) * | 2022-07-20 | 2022-10-21 | 广东电网有限责任公司 | 基于事件序列关联融合的业务识别与风险分析方法及*** |
| CN115396324A (zh) * | 2022-08-15 | 2022-11-25 | 合肥天帷信息安全技术有限公司 | 一种网络安全态势感知预警处理*** |
Non-Patent Citations (2)
| Title |
|---|
| Research on the model of association rule based on alarm ontology in substation;Liao Zhiwei 等;《2014 IEEE PES Asia-Pacific Power and Energy Engineering Conference (APPEEC)》;全文 * |
| 基于数据挖掘的告警关联规则研究与设计;张硕;《优秀硕士论文集》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116633608A (zh) | 2023-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115578015B (zh) | 基于物联网的污水处理全过程监管方法、***及存储介质 | |
| CN116633608B (zh) | 一种网络安全的风险预测方法及*** | |
| CN117176560B (zh) | 一种基于物联网的监测设备监管***及其方法 | |
| CN117172556B (zh) | 一种桥梁工程的施工风险预警方法与*** | |
| CN116485202B (zh) | 一种基于物联网工业污染实时监测方法及*** | |
| CN116862081B (zh) | 一种污染治理设备运维方法及*** | |
| CN116737510B (zh) | 一种基于数据分析的键盘智能监测方法及*** | |
| CN117952439A (zh) | 道路施工环境影响智能预测方法及*** | |
| CN115204583A (zh) | 化工园区区域风险分级管控评估分析方法、***及装置 | |
| CN117592975A (zh) | 基于云计算的高速公路机电设备运维决策处理方法及*** | |
| CN116433034B (zh) | 一种基于机器学习的虚拟电厂运行风险检测方法 | |
| CN117494009A (zh) | 基于绝缘材料热解分析的电气设备状态评估方法及云平台 | |
| CN116976862A (zh) | 一种工厂设备信息化管理***及方法 | |
| CN116126807A (zh) | 一种日志分析方法及相关装置 | |
| CN116132103A (zh) | 一种网络安全态势监测方法、装置、电子设备和存储介质 | |
| CN114338088A (zh) | 变电站电力监控***网络安全等级的评估算法及评估*** | |
| CN117200449B (zh) | 一种基于多维算法分析的电网监测管理方法及*** | |
| CN114492877B (zh) | 一种业务***的运维分析方法及装置 | |
| CN116662466B (zh) | 通过大数据进行土地全生命周期维护*** | |
| CN117808157B (zh) | 基于智能识别的未报备停电行为预测分析*** | |
| CN118015795B (zh) | 一种基于卷积神经网络的ppb级污染物监测预警方法及*** | |
| CN117113267B (zh) | 基于大数据的预测模型训练方法、光伏发电性能检测方法 | |
| CN118175186B (zh) | 用于ai感知哨兵终端的边缘网关控制方法、***及装置 | |
| CN115270140B (zh) | 一种软件安全漏洞管理方法及*** | |
| CN112904816B (zh) | 一种智慧环保实时监测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |