CN117221009B - 网络安全态势预测方法、装置、服务器及存储介质 - Google Patents

网络安全态势预测方法、装置、服务器及存储介质 Download PDF

Info

Publication number
CN117221009B
CN117221009B CN202311468127.1A CN202311468127A CN117221009B CN 117221009 B CN117221009 B CN 117221009B CN 202311468127 A CN202311468127 A CN 202311468127A CN 117221009 B CN117221009 B CN 117221009B
Authority
CN
China
Prior art keywords
network security
target
network
time period
state transition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311468127.1A
Other languages
English (en)
Other versions
CN117221009A (zh
Inventor
张哲宇
曹禹
李杨
刘冬
孙娅苹
吴莉娜
任晓蕊
李雪峰
孙军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Industrial Control Systems Cyber Emergency Response Team
Original Assignee
China Industrial Control Systems Cyber Emergency Response Team
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Industrial Control Systems Cyber Emergency Response Team filed Critical China Industrial Control Systems Cyber Emergency Response Team
Priority to CN202311468127.1A priority Critical patent/CN117221009B/zh
Publication of CN117221009A publication Critical patent/CN117221009A/zh
Application granted granted Critical
Publication of CN117221009B publication Critical patent/CN117221009B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请适用于计算机技术领域,提供了一种网络安全态势预测方法、装置、服务器及存储介质,其中,方法包括:获取目标网络在多个时间段的网络安全状态信息;根据各个时间段对应的网络安全状态信息,确定各个时间段分别对应的马尔可夫状态转移矩阵;从所确定的多个马尔可夫状态转移矩阵中,选取满足预设选取条件的目标马尔可夫状态转移矩阵。本申请中,通过多个时间段的网络安全状态信息确定各时间段分别对应的马尔可夫状态转移矩阵,然后选取满足预设选取规则的目标马尔可夫状态转移矩阵,通过目标马尔可夫状态转移矩阵对目标网络在未来预设时长内的网络安全状态进行预测,有助于实现及时对网络入侵和网络攻击进行防御,提高目标网络的防御能力。

Description

网络安全态势预测方法、装置、服务器及存储介质
技术领域
本申请属于计算机技术领域,尤其涉及网络安全态势预测方法、装置、服务器及存储介质。
背景技术
随着互联网技术的发展,网络入侵和网络攻击也变得越来越复杂,网络安全问题日趋严重。
相关技术中,通常都是采用入侵检测*** (Intrusion Detection System,IDS)、入侵防御*** (Intrusion Prevention System,IPS)、防火墙等对网络入侵和网络攻击进行检测,而无法对未来一段时间内的网络安全进行预测以实现及时防御,导致网络***的防御能力不够高。
发明内容
本申请实施例提供了一种网络安全态势预测方法、装置、服务器及存储介质,可以解决相关技术中,无法对未来一段时间内的网络安全进行预测以实现及时防御,导致网络***的防御能力不够高的问题。
本申请实施例的第一方面提供了一种网络安全态势预测方法,包括:
获取目标网络在多个时间段的网络安全状态信息,其中,各个时间段对应的时间长度互不相同,网络安全状态信息用于描述目标网络在对应时间段内的各个时刻的网络安全状态的变化情况,网络安全状态包括:高风险状态、中风险状态、低风险状态、低级安全状态、中级安全状态和高级安全状态;
根据各个时间段对应的网络安全状态信息,确定各个时间段分别对应的马尔可夫状态转移矩阵;
从所确定的多个马尔可夫状态转移矩阵中,选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵,其中,目标马尔可夫状态转移矩阵用于对目标网络在未来预设时长内的网络安全状态进行预测。
本申请实施例的第二方面提供了一种网络安全态势预测装置,包括:
信息获取单元,用于获取目标网络在多个时间段的网络安全状态信息,其中,各个时间段对应的时间长度互不相同,网络安全状态信息用于描述目标网络在对应时间段内的各个时刻的网络安全状态的变化情况,网络安全状态包括:高风险状态、中风险状态、低风险状态、低级安全状态、中级安全状态和高级安全状态;
矩阵确定单元,用于根据各个时间段对应的网络安全状态信息,确定各个时间段分别对应的马尔可夫状态转移矩阵;
矩阵选取单元,用于从所确定的多个马尔可夫状态转移矩阵中,选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵,其中,目标马尔可夫状态转移矩阵用于对目标网络在未来预设时长内的网络安全状态进行预测。
本申请实施例的第三方面提供了一种服务器,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现第一方面提供的网络安全态势预测方法的各步骤。
本申请实施例的第四方面提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现第一方面提供的网络安全态势预测方法的各步骤。
实施本申请实施例提供的网络安全态势预测方法、装置、服务器及存储介质具有以下有益效果:通过目标网络在多个时间段的网络安全状态信息确定各个时间段分别对应的马尔可夫状态转移矩阵,然后从确定的多个马尔可夫状态转移矩阵中选取满足预设选取规则的目标马尔可夫状态转移矩阵,通过目标马尔可夫状态转移矩阵可以对目标网络在未来预设时长内的网络安全状态进行预测,有助于实现及时对网络入侵和网络攻击进行防御,提高目标网络的防御能力。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的网络安全态势预测方法的实现流程图;
图2是本申请一实施例提供的确定网络安全状态的实现流程图;
图3是本申请一实施例提供的确定多个时间段的实现流程图;
图4是本申请另一实施例提供的网络安全态势预测方法的实现流程图;
图5是本申请一实施例提供的网络安全态势预测装置的结构框图;
图6是本申请一实施例提供的服务器的结构框图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
为了说明本申请的技术方案,下面通过以下实施例来进行说明。
请参阅图1,图1是本申请一实施例提供的网络安全态势预测方法的实现流程图,该流程图可以包括如下步骤101至步骤103。
步骤101,获取目标网络在多个时间段的网络安全状态信息。
其中,上述目标网络通常是需要进行网络安全预测的网络,如,钢铁企业网络,石油企业网络等。
其中,各个时间段对应的时间长度互不相同,上述网络安全状态信息用于描述目标网络在对应时间段内的各个时刻的网络安全状态的变化情况,网络安全状态包括:高风险状态、中风险状态、低风险状态、低级安全状态、中级安全状态和高级安全状态。
在本实施例中,上述网络安全态势预测方法的执行主体通常是服务器。需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块,也可以实现成单个软件或软件模块,在此不做具体限定。
在一些应用场景中,对于每个时间段的每个时刻,上述执行主体可以采用数据包捕获工具捕获流经目标网络的网络流量,然后对捕获的网络流量进行分析,得到目标网络的网络安全状态信息。作为示例,上述执行主体可以分析流经目标网络的网络流量,得到网络流量中所包含的网络攻击的攻击信息,对攻击信息进行解析确定网络攻击对应的攻击行为,然后采用攻击行为,从预先建立的行为-状态对应关系表中,查找得到与攻击行为对应的网络安全状态,将查找得到的网络安全状态作为目标网络在相应时间段内的相应时刻的网络安全状态,将相应时间段内的各个时刻的网络安全状态作为目标网络的网络安全状态信息。其中,上述行为-状态对应关系表,可以是执行主体预先建立的、存储有多个行为和状态的对应关系的对应关系表。
在另一些应用场景中,上述执行主体也可以通过分析日志的方式获取目标网络在每个时间段的每个时刻所遭受的网络攻击的攻击行为,然后采用攻击行为,从预先建立的行为-状态对应关系表中,查找得到与攻击行为对应的网络安全状态,将查找得到的网络安全状态作为目标网络在相应时间段内的相应时刻的网络安全状态,将相应时间段内的各个时刻的网络安全状态作为目标网络的网络安全状态信息。
步骤102,根据各个时间段对应的网络安全状态信息,确定各个时间段分别对应的马尔可夫状态转移矩阵。
其中,上述马尔可夫状态转移矩阵中的元素用于描述状态之间相互变化的概率,各行元素之和等于1。
实践中,上述执行主体可以统计目标网络在每个时间段内的各个网络安全状态之间相互变化的次数,以及网络安全状态变化的总次数,然后将各个网络安全状态之间相互变化的次数与网络安全状态变化的总次数的比值,作为各个网络安全状态之间相互转移的概率,基于各个网络安全状态之间相互转移的概率生成每个时间段对应的马尔可夫状态转移矩阵。
实际应用中,目标网络的网络安全状态包括高风险状态、中风险状态、低风险状态、低级安全状态、中级安全状态和高级安全状态,分别设为状态1、状态2、状态3、状态4、状态5和状态6,针对每个时间段,基于各个网络安全状态之间相互转移的概率可以生成如下马尔可夫状态转移矩阵:
马尔可夫状态转移矩阵中的各元素表示各个网络安全状态之间相互变化的概率,各元素的值为相应网络安全状态之间变化的次数与网络安全状态变化的总次数的比值。比如,P1-1表示从状态1变化为状态1的概率,其值为相应时间段内状态1不变的次数与网络安全状态变化的总次数的比值。再比如,P1-2表示从状态1变化为状态2的概率,其值为相应时间段内状态1变化为状态2的次数与网络安全状态变化的总次数的比值。
步骤103,从所确定的多个马尔可夫状态转移矩阵中,选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵。
其中,目标马尔可夫状态转移矩阵用于对目标网络在未来预设时长内的网络安全状态进行预测。
其中,上述预设选取条件通常是预先设定的选取条件,比如,将各个时间段内,网络安全状态变化的总次数最多的时间段对应的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵。
实践中,在得到各个时间段分别对应的马尔可夫状态转移矩阵之后,上述执行主体可以采用预设选取条件,从所确定的多个马尔可夫状态转移矩阵中,选取目标马尔可夫状态转移矩阵。
实践中,通过获取对应时间长度不同的多个时间段的网络安全状态信息,可以使得获取的网络安全状态信息更全面,有助于提高目标马尔可夫状态转移矩阵的准确性,采用目标马尔可夫状态转移矩阵对目标网络在未来预设时长内的网络安全状态进行预测时,预测的网络安全状态通常最接近实际的网络安全状态。
本实施例提供的网络安全态势预测方法,通过目标网络在多个时间段的网络安全状态信息确定各个时间段分别对应的马尔可夫状态转移矩阵,然后从确定的多个马尔可夫状态转移矩阵中选取满足预设选取规则的目标马尔可夫状态转移矩阵,通过目标马尔可夫状态转移矩阵可以对目标网络在未来预设时长内的网络安全状态进行预测,有助于实现及时对网络入侵和网络攻击进行防御,提高目标网络的防御能力。
在一些实施例中,在选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵之后,上述网络安全态势预测方法还可以包括:获取目标网络在当前时刻的网络安全状态,根据目标马尔可夫状态转移矩阵和当前时刻的网络安全状态,对目标网络在未来预设时长内的网络安全状态进行预测。
其中,上述未来预设时长通常是预先设定的当前时刻之后的时间段,比如,未来一小时。
实践中,上述执行主体可以通过多种方式获取当前时刻的网络安全状态,作为一个示例,上述执行主体可以过捕获网络流量的方式获取当前时刻流经目标网络的网络流量,然后对捕获的网络流量进行分析,得到目标网络在当前时刻的网络安全状态。作为另一个示例,上述执行主体可以通过分析日志的方式获取目标网络在当前时刻所遭受的网络攻击,基于该网络攻击得到目标网络在当前时刻的网络安全状态。
之后,上述执行主体可以采用目标马尔可夫状态转移矩阵和当前时刻的网络安全状态,得到目标网络在下一时刻的各个网络安全状态的概率,将对应概率最大的网络安全状态作为目标网络在下一时刻的网络安全状态。接着,上述执行主体可以采用目标马尔可夫状态转移矩阵和预测得到的下一时刻的网络安全状态,重复预测步骤,实现对目标网络在未来预设时长内的网络安全状态的预测。
本实施中,通过目标马尔可夫状态转移矩阵和目标网络当前时刻的网络安全状态,对未来预设时长内的网络安全状态进行预测,有助于实现及时对网络入侵和网络攻击进行防御,提高目标网络的防御能力。
在一些实施例中,上述网络安全态势预测方法还可以包括:在预测的网络安全状态为高风险状态、中风险状态和低风险状态中的任一项时,生成与预测的网络安全状态对应等级的报警提示信息,以及输出报警提示信息。
其中,报警提示信息用于提示目标网络在未来预设时长内存在风险。实践中,报警提示信息的实现形式可以包括语音形式、文本形式、视频形式等。对于不同等级的网络安全状态,可以设置不同的报警提示信息。比如,对于预测的网络安全状态为高风险状态时,报警提示信息可以设置为报警语音、报警文本信息和报警动画视频的组合。
实践中,当上述执行主体采用目标马尔可夫状态转移矩阵预测得到目标网络在未来预设时长内的网络安全状态存在风险时,即,预测的网络安全状态为高风险状态、中风险状态和低风险状态中的任一项时,可以基于预测的网络安全状态的等级,确定该网络安全状态对应的报警提示信息,然后采用该报警提示信息对应的实现形式,对报警提示信息进行输出。
本实施例中,在预测的网络安全状态指示目标网络存在风险时,生成并输出与预测的网络安全状态对应等级的报警提示信息,可以实现向用户提示目标网络的风险状态,有助于及时对预测的风险状态进行防御,进一步提高目标网络的防御能力。
在一些实施例中,从所确定的多个马尔可夫状态转移矩阵中,选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵,可以包括如下步骤一至步骤二。
步骤一,针对各个时间段,根据相应时间段中先后相邻出现的两个时刻分别对应的网络安全状态和相应时间段对应的马尔可夫状态转移矩阵,确定相应时间段的预测误差。
实践中,对于每个时间段,上述执行主体可以采用相邻时刻中靠前的时刻对应的网络安全状态和相应时间段对应的马尔可夫状态转移矩阵,得到相邻时刻中靠后的时刻的预测的网络安全状态,然后通过预测的网络安全状态和靠后的时刻对应的实际的网络安全状态,确定相应时间段的预测误差。
实践中,对于每个时间段,上述执行主体也可以选取多对先后相邻出现的两个时刻分别对应的网络安全状态,针对每一对先后相邻出现的两个时刻,可以通过靠前的时刻对应的网络安全状态和相应时间段对应的马尔可夫状态转移矩阵,得到相邻时刻中靠后的时刻的预测的网络安全状态,然后通过预测的网络安全状态和靠后的时刻对应的实际的网络安全状态,确定该对相邻出现的两个时刻的预测误差,将该时间段内多对相邻出现的两个时刻的预测误差的均值确定为该时间段的预测误差。
步骤二,从多个时间段对应的多个马尔可夫状态转移矩阵中,选取对应预测误差最小且小于预设误差阈值的马尔可夫状态转移矩阵,作为目标马尔可夫状态转移矩阵。
其中,上述预测误差阈值可以是预先设定的值,比如,0.1。
实践中,在得到多个时间段对应的多个马尔可夫状态转移矩阵后,上述执行主体可以基于每个马尔可夫状态转移矩阵对应的预测误差进行排序,然后选取对应预测误差最小且小于预设误差阈值的马尔可夫状态转移矩阵,作为目标马尔可夫状态转移矩阵。
举例来说,多个时间段包括时间段1、时间段2和时间段3,时间段1对应的马尔可夫状态转移矩阵的预测误差为0.3,时间段2对应的马尔可夫状态转移矩阵的预测误差为0.15,时间段3对应的马尔可夫状态转移矩阵的预测误差为0.1,预设误差阈值为0.2,基于每个马尔可夫状态转移矩阵对应的预测误差进行排序为0.1<0.15<0.2,预测误差最小且小于预设误差阈值的马尔可夫状态转移矩阵为时间段3对应的马尔可夫状态转移矩阵,将时间段3对应的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵。
本实施例中,选取对应预测误差最小且小于预设误差阈值的马尔可夫状态转移矩阵,作为目标马尔可夫状态转移矩阵,采用目标马尔可夫状态转移矩阵预测得到的网络状态可以满足预测误差阈值的要求同时预测误差最小,可以提高网络安全状态预测的准确性,进一步提高目标网络的防御能力。
在一些实施例中,在确定各个时间段的预测误差之后,还可以包括如下第一步至第二步。
第一步,若各个时间段中,存在对应预测误差大于预设误差阈值的待调整时间段,则按照预设调整规则对待调整时间段的时长进行调整,得到目标时间段。
其中,上述预设调整规则通常是预先设定的规则,如,时长加1小时。
其中,目标时间段的终点与各个时间段的终点不同。
实践中,若预测误差大于预设误差阈值,则表示采用该时间段对应的马尔可夫状态转移矩阵预测得到的网络安全状态,与实际的网络安全状态之间存在较大误差,上述执行主体可以按照预设调整规则对相应预测误差大于预设误差阈值的时间段进行调整。具体地,上述执行主体可以将各个时间段对应的预测误差分别与预设误差阈值进行比较,将对应预测误差大于预设误差阈值的时间段作为待调整时间段,然后按照预设调整规则对待调整时间段的时长进行调整,得到目标时间段。
这里,若按照预设调整规则得到的时间段与已有的时间段相同,则再按照预设调整规则对得到的时间段进行调整,直到得到的时间段与已有的时间段不同。举例来说,时间段A为2小时,时间段B为3小时,时间段C为4小时,其中,时间段A和时间段C对应的预测误差小于预设误差阈值,时间段B对应的预测误差大于预设误差阈值,预设调整规则为时长加1小时,时间段B为待调整时间段,采用预设调整规则对时间段B进行一次调整,调整后的时间段B对应的时长为4小时,与时间段C相同,再采用预设调整规则对一次调整后的时间段B进行调整,得到时间段B对应的时长为5小时,与已有的时间段不同。
第二步,获取目标网络在目标时间段的网络安全状态信息,根据目标时间段的网络安全状态信息确定目标时间段对应的马尔可夫状态转移矩阵。
其中,目标时间段对应的马尔可夫状态转移矩阵用于与其它时间段对应的马尔可夫状态转移矩阵一起,选取出满足预设选取条件的目标马尔可夫状态转移矩阵。
实践中,针对目标时间段内的每个时刻,上述执行主体可以确定各个时刻的网络安全状态。作为一个示例,上述执行主体可以通过捕获网络流量的方式获取相应时刻流经目标网络的网络流量,然后对捕获的网络流量进行分析,得到目标网络在相应时刻的网络安全状态。作为另一个示例,上述执行主体可以通过分析日志的方式获取目标网络在相应时刻所遭受的网络攻击,基于该网络攻击得到目标网络在相应时刻的网络安全状态。
在得到目标时间段内的各个时刻的网络安全状态之后,上述执行主体可以得到各个网络安全状态之间的变化情况,从而得到目标网络在目标时间段对应的马尔可夫状态转移矩阵。作为示例,上述执行主体可以统计目标网络在目标时间段内的各个网络安全状态之间相互变化的次数,以及网络安全状态变化的总次数,然后将各个网络安全状态之间相互变化的次数与网络安全状态变化的总次数的比值,作为各个网络安全状态之间相互转移的概率,基于各个网络安全状态之间相互转移的概率生成目标时间段对应的马尔可夫状态转移矩阵。
实践中,在得到目标时间段对应的马尔可夫状态转移矩阵之后,上述执行主体可以从目标时间段对应的马尔可夫状态转移矩阵以及其它时间段对应的马尔可夫状态转移矩阵中,选取出满足预设选取条件的目标马尔可夫状态转移矩阵。
本实施例中,按照预设调整规则对各个时间段中对应预测误差大于预设误差阈值的待调整时间段进行调整,可以基于预设误差阈值对多个时间段进行筛选,滤除对应预测误差不满足预设误差阈值的时间段。另外,通过目标时间段的网络安全状态信息得到目标时间段对应的马尔可夫状态转移矩阵,可以使得时间段的数量不因为滤除的时间段而减少,有助于提高目标马尔可夫状态转移矩阵的准确性,提高目标网络的防御能力。
请参阅图2,图2是本申请一实施例提供的确定网络安全状态的实现流程图,该流程图可以包括如下步骤201至步骤202。
步骤201,获取目标网络的PRB调用数量,根据PRB调用数量与PRB总数量的比值确定比值区间。
其中,PRB为物理资源块,是频率资源的分配单位。
实践中,业务请求需要调用的PRB数量通常是固定的,目标网络通过调用相应数量的PRB以满足业务请求,上述执行主体可以采用业务请求对应的业务类型,从预先建立的类型-PRB数量对应关系表中,查找得到与业务类型对应的PRB数量,将查找得到的PRB数量作为目标网络的PRB调用数量。其中,上述类型-PRB数量对应关系表,可以是执行主体预先建立的、存储有多个业务类型和PRB数量的对应关系的对应关系表。
实践中,上述执行主体可以获取目标网络的配置信息,通过配置信息得到目标网络PRB总数量。之后,通过目标网络的PRB调用数量和PRB总数量,得到二者的比值区间。
步骤202,将与比值区间对应的网络安全状态确定为目标网络的网络安全状态。
其中,每个比值区间对应一个网络安全状态。
实践中,上述执行主体可以采用比值区间,通过比值区间与网络安全状态的对应关系,得到比值区间对应的网络安全状态,然后将得到的网络安全状态确定为目标网络的网络安全状态。
在一些实施例中,高风险对应的比值区间为[0,10%],中风险对应的比值区间为(10%,20%],低风险对应的比值区间为(20%,30%],低级安全状态对应的比值区间为(30%,50%],中级安全状态对应的比值区间为(50%,70%],高级安全状态对应的比值区间为(70%,100%]。
本实施例中,通过PRB调用数量与PRB总数量的比值对应的比值区间得到对应的网络安全状态,可以快速确定目标网络的网络安全状态,有助于提高目标网络的网络安全状态的预测效率,提高目标网络的防御能力。
请参阅图3,图3是本申请一实施例提供的确定多个时间段的实现流程图,该流程图可以包括如下步骤301至步骤302。
步骤301,获取目标网络的网络安全风险信息,网络安全风险信息用于指示目标网络发生网络安全风险的频率。
实践中,上述执行主体可以统计目标网络在统计时长内发生网络安全风险的频率。网络安全风险可以包括网络入侵或网络攻击,如,计算机病毒,木马,僵尸软件,后门攻击,SQL注入攻击、信息增删改,漏洞攻击、蠕虫、信息假冒、非法访问、流量异常等。
步骤302,根据网络安全风险信息确定各时间段的基础时长,根据基础时长、预设时长增量和预设数量,确定各时间段的起点和终点,得到多个时间段。
其中,上述预设时长增量通常是预先设定的时长的增量,如,1小时。上述预设数量通常是预先设定的数量,如,5个。
其中,上述各时间段的起点和终点为已发生的时间轴上选取的起点和终点。
实践中,网络安全风险的频率与时间段的基础时长对应,上述执行主体可以通过网络安全风险的频率与时间段的基础时长的对应关系,采用网络安全风险的频率确定各时间段的基础时长。
在一些实施例中,基于网络安全风险的频率对应的频率区间可以设置不同的基础时长,比如,高频率对应的时间段的基础时长设置为2小时,中频率对应的时间段的基础时长设置为8小时,低频率对应的时间段的基础时长设置为20小时。
实践中,在得到各个时间段的基础时长之后,上述执行主体可以结合预设时长增量和预设数量,确定各时间段的起点和终点,得到多个时间段。举例来说,各个时间段的基础时长为2小时,预设时长增量为1小时,预设数量为5个,可以确定5个时间段分别为0至2小时,0至3小时,0至4小时,0至5小时,0至6小时。
本实施例中,通过网络安全状态信息确定各个时间段的基础时长,结合基础时长、预设时长增量和预设数量,确定各时间段的起点和终点,可以快速得到多个时间段,有助于提高目标网络的网络安全状态的预测效率,提高目标网络的防御能力。
请参阅图4,请参阅图4,图4是本申请另一实施例提供的网络安全态势预测方法的实现流程图,该流程图可以包括如下步骤401至步骤408。
步骤401,获取目标网络在多个时间段的网络安全状态信息。
步骤402,根据各个时间段对应的网络安全状态信息,确定各个时间段分别对应的马尔可夫状态转移矩阵。
步骤403,针对各个时间段,根据相应时间段中先后相邻出现的两个时刻分别对应的网络安全状态和相应时间段对应的马尔可夫状态转移矩阵,确定相应时间段的预测误差。
步骤404,基于每个时间段对应的预测误差进行排序。
实践中,通过排序得到5个时间段的顺序为时间段1,时间段2,时间段3,时间段4,时间段5。
步骤405,判断预测误差是否大于预设误差阈值。
步骤406,按照预设调整规则对待调整时间段的时长进行调整,得到目标时间段。
步骤407,从所确定的多个马尔可夫状态转移矩阵中,选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵。
步骤408,获取目标网络在当前时刻的网络安全状态,根据目标马尔可夫状态转移矩阵和当前时刻的网络安全状态,对目标网络在未来预设时长内的网络安全状态进行预测。
在本实施例中,步骤401-402的具体操作与图1所示的实施例中步骤101-102的操作基本相同,步骤403的具体操作与确定目标马尔可夫状态转移矩阵的实施例中步骤一的操作基本相同,步骤404-406的具体操作与上述确定各个时间段的预测误差之后的第一步的操作基本相同,步骤407的具体操作与图1所示的实施例中步骤103的操作基本相同,步骤408的具体操作与确定目标马尔可夫状态转移矩阵之后的网络安全态势预测方法的操作基本相同,在此不再赘述。
请参阅图5,图5是本申请一实施例提供的网络安全态势预测装置500的结构框图,包括:
信息获取单元501,用于获取目标网络在多个时间段的网络安全状态信息,其中,各个时间段对应的时间长度互不相同,网络安全状态信息用于描述目标网络在对应时间段内的各个时刻的网络安全状态的变化情况,网络安全状态包括:高风险状态、中风险状态、低风险状态、低级安全状态、中级安全状态和高级安全状态;
矩阵确定单元502,用于根据各个时间段对应的网络安全状态信息,确定各个时间段分别对应的马尔可夫状态转移矩阵;
矩阵选取单元503,用于从所确定的多个马尔可夫状态转移矩阵中,选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵,其中,目标马尔可夫状态转移矩阵用于对目标网络在未来预设时长内的网络安全状态进行预测。
在一些实施例中,装置还包括状态预测单元(图中未示出),用于获取目标网络在当前时刻的网络安全状态,根据目标马尔可夫状态转移矩阵和当前时刻的网络安全状态,对目标网络在未来预设时长内的网络安全状态进行预测。
在一些实施例中,装置还包括报警输出单元(图中未示出),用于在预测的网络安全状态为高风险状态、中风险状态和低风险状态中的任一项时,生成与预测的网络安全状态对应等级的报警提示信息,以及输出报警提示信息。
在一些实施例中,矩阵选取单元503包括误差确定模块和目标确定模块(图中未示出)。
误差确定模块,用于针对各个时间段,根据相应时间段中先后相邻出现的两个时刻分别对应的网络安全状态和相应时间段对应的马尔可夫状态转移矩阵,确定相应时间段的预测误差;
目标确定模块,用于从多个时间段对应的多个马尔可夫状态转移矩阵中,选取对应预测误差最小且小于预设误差阈值的马尔可夫状态转移矩阵,作为目标马尔可夫状态转移矩阵。
在一些实施例中,装置还包括误差比较单元和状态获取单元(图中未示出)。
误差比较单元,用于将各个时间段对应的预测误差分别与预设误差阈值进行比较,若各个时间段中,存在对应预测误差大于预设误差阈值的待调整时间段,则按照预设调整规则对待调整时间段的时长进行调整,得到目标时间段,其中,目标时间段的终点与各个时间段的终点不同;
状态获取单元,用于获取目标网络在目标时间段的网络安全状态信息,根据目标时间段的网络安全状态信息确定目标时间段对应的马尔可夫状态转移矩阵。
在一些实施例中,信息获取单元501中的网络安全状态通过如下方式确定:
获取目标网络的PRB调用数量,根据PRB调用数量与PRB总数量的比值确定比值区间;根据比值区间查找与比值区间对应的网络安全状态,以及将查找得到的网络安全状态确定为目标网络的网络安全状态,其中,每个比值区间对应一个网络安全状态。
在一些实施例中,信息获取单元501中的多个时间段通过如下方式确定:
获取目标网络的网络安全风险信息,网络安全风险信息用于指示目标网络发生网络安全风险的频率;根据网络安全风险信息确定各时间段的基础时长,根据基础时长、预设时长增量和预设数量,确定各时间段的起点和终点,得到多个时间段。
本实施例提供的供数装置,通过目标网络在多个时间段的网络安全状态信息确定各个时间段分别对应的马尔可夫状态转移矩阵,然后从确定的多个马尔可夫状态转移矩阵中选取满足预设选取规则的目标马尔可夫状态转移矩阵,通过目标马尔可夫状态转移矩阵可以对目标网络在未来预设时长内的网络安全状态进行预测,有助于实现及时对网络入侵和网络攻击进行防御,提高目标网络的防御能力。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请中的网络安全态势预测方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见网络安全态势预测方法的实施例部分,此处不再赘述。
请参阅图6,图6是本申请一实施例提供的服务器600的结构框图,该实施例的服务器600包括:至少一个处理器601(图6中仅示出一个处理器)、存储器602以及存储在存储器602中并可在至少一个处理器601上运行的计算机程序603,例如网络安全态势预测程序。处理器601执行计算机程序603时实现上述各个网络安全态势预测方法的实施例中的步骤。处理器601执行计算机程序603时上述各装置实施例中各模块/单元的功能,例如,图5所示的信息获取单元501至矩阵选取单元503的功能。
示例性的,计算机程序603可以被分割成一个或多个单元,一个或者多个单元被存储在存储器602中,并由处理器601执行,以完成本申请。一个或多个单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序603在服务器600中的执行过程。例如,计算机程序603可以被分割成信息获取单元,矩阵确定单元,矩阵选取单元,各单元具体功能在上述实施例中已有描述,此处不再赘述。
服务器600可以是服务器、台式电脑、平板电脑、云端服务器和移动终端等计算设备。服务器600可包括,但不仅限于,处理器601,存储器602。本领域技术人员可以理解,图6仅仅是服务器600的示例,并不构成对服务器600的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如服务器还可以包括输入输出设备、网络接入设备、总线等。
所称处理器601可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器602可以是服务器600的内部存储单元,例如服务器600的硬盘或内存。存储器602也可以是服务器600的外部存储设备,例如服务器600上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。可选的,存储器602还可以既包括服务器600的内部存储单元也包括外部存储设备。存储器602用于存储计算机程序以及服务器600所需的其他程序和数据。存储器602还可以用于暂时地存储已经输出或者将要输出的数据。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (10)

1.一种网络安全态势预测方法,其特征在于,所述方法包括:
获取目标网络在多个时间段的网络安全状态信息,其中,各个时间段对应的时间长度互不相同,所述网络安全状态信息用于描述所述目标网络在对应时间段内的各个时刻的网络安全状态的变化情况;
根据各个时间段对应的网络安全状态信息,确定各个时间段分别对应的马尔可夫状态转移矩阵;
从所确定的多个马尔可夫状态转移矩阵中,选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵,其中,所述目标马尔可夫状态转移矩阵用于对所述目标网络在未来预设时长内的网络安全状态进行预测。
2.根据权利要求1所述的网络安全态势预测方法,其特征在于,在选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵之后,所述方法还包括:
获取所述目标网络在当前时刻的网络安全状态,根据所述目标马尔可夫状态转移矩阵和所述当前时刻的网络安全状态,对所述目标网络在未来预设时长内的网络安全状态进行预测。
3.根据权利要求2所述的网络安全态势预测方法,其特征在于,所述方法还包括:
在预测的网络安全状态为高风险状态、中风险状态和低风险状态中的任一项时,生成与预测的网络安全状态对应等级的报警提示信息,以及输出所述报警提示信息。
4.根据权利要求1所述的网络安全态势预测方法,其特征在于,所述从所确定的多个马尔可夫状态转移矩阵中,选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵,包括:
针对各个时间段,根据相应时间段中先后相邻出现的两个时刻分别对应的网络安全状态和相应时间段对应的马尔可夫状态转移矩阵,确定相应时间段的预测误差;
从多个时间段对应的多个马尔可夫状态转移矩阵中,选取对应预测误差最小且小于预设误差阈值的马尔可夫状态转移矩阵,作为所述目标马尔可夫状态转移矩阵。
5.根据权利要求4所述的网络安全态势预测方法,其特征在于,在所述确定各个时间段的预测误差之后,还包括:
若各个时间段中,存在对应预测误差大于所述预设误差阈值的待调整时间段,则按照预设调整规则对所述待调整时间段的时长进行调整,得到目标时间段,其中,所述目标时间段的终点与各个时间段的终点不同;
获取所述目标网络在所述目标时间段的网络安全状态信息,根据所述目标时间段的网络安全状态信息确定所述目标时间段对应的马尔可夫状态转移矩阵。
6.根据权利要求1所述的网络安全态势预测方法,其特征在于,所述网络安全状态通过如下方式确定:
获取所述目标网络的PRB调用数量,根据所述PRB调用数量与PRB总数量的比值确定比值区间,其中,所述PRB为物理资源块;
将与所述比值区间对应的网络安全状态确定为所述目标网络的网络安全状态,其中,每个比值区间对应一个网络安全状态。
7.根据权利要求1-6中任一项所述的网络安全态势预测方法,其特征在于,所述多个时间段通过如下方式确定:
获取所述目标网络的网络安全风险信息,所述网络安全风险信息用于指示所述目标网络发生网络安全风险的频率;
根据所述网络安全风险信息确定各时间段的基础时长,根据所述基础时长、预设时长增量和预设数量,确定各时间段的起点和终点,得到所述多个时间段。
8.一种网络安全态势预测装置,其特征在于,包括:
信息获取单元,用于获取目标网络在多个时间段的网络安全状态信息,其中,各个时间段对应的时间长度互不相同,所述网络安全状态信息用于描述所述目标网络在对应时间段内的各个时刻的网络安全状态的变化情况,所述网络安全状态包括:高风险状态、中风险状态、低风险状态、低级安全状态、中级安全状态和高级安全状态;
矩阵确定单元,用于根据各个时间段对应的网络安全状态信息,确定各个时间段分别对应的马尔可夫状态转移矩阵;
矩阵选取单元,用于从所确定的多个马尔可夫状态转移矩阵中,选取满足预设选取条件的马尔可夫状态转移矩阵作为目标马尔可夫状态转移矩阵,其中,所述目标马尔可夫状态转移矩阵用于对所述目标网络在未来预设时长内的网络安全状态进行预测。
9.一种服务器,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-7中任一项所述的网络安全态势预测方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的网络安全态势预测方法。
CN202311468127.1A 2023-11-07 2023-11-07 网络安全态势预测方法、装置、服务器及存储介质 Active CN117221009B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311468127.1A CN117221009B (zh) 2023-11-07 2023-11-07 网络安全态势预测方法、装置、服务器及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311468127.1A CN117221009B (zh) 2023-11-07 2023-11-07 网络安全态势预测方法、装置、服务器及存储介质

Publications (2)

Publication Number Publication Date
CN117221009A CN117221009A (zh) 2023-12-12
CN117221009B true CN117221009B (zh) 2024-02-20

Family

ID=89037431

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311468127.1A Active CN117221009B (zh) 2023-11-07 2023-11-07 网络安全态势预测方法、装置、服务器及存储介质

Country Status (1)

Country Link
CN (1) CN117221009B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090022960A (ko) * 2007-08-31 2009-03-04 고려대학교 산학협력단 사이버 기상 예측을 위한 악성 코드 분석 장치, 그 방법 및이를 기록한 기록매체
CN112769859A (zh) * 2021-01-24 2021-05-07 中国电子科技集团公司第十五研究所 基于马尔可夫链的网络攻击阶段统计和预测方法
CN113852510A (zh) * 2021-10-13 2021-12-28 北京安天网络安全技术有限公司 一种网络安全态势预测方法和装置、电子设备、存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10185832B2 (en) * 2015-08-12 2019-01-22 The United States Of America As Represented By The Secretary Of The Army Methods and systems for defending cyber attack in real-time
US11012463B2 (en) * 2018-11-07 2021-05-18 International Business Machines Corporation Predicting condition of a host for cybersecurity applications

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090022960A (ko) * 2007-08-31 2009-03-04 고려대학교 산학협력단 사이버 기상 예측을 위한 악성 코드 분석 장치, 그 방법 및이를 기록한 기록매체
CN112769859A (zh) * 2021-01-24 2021-05-07 中国电子科技集团公司第十五研究所 基于马尔可夫链的网络攻击阶段统计和预测方法
CN113852510A (zh) * 2021-10-13 2021-12-28 北京安天网络安全技术有限公司 一种网络安全态势预测方法和装置、电子设备、存储介质

Also Published As

Publication number Publication date
CN117221009A (zh) 2023-12-12

Similar Documents

Publication Publication Date Title
US20220053013A1 (en) User and entity behavioral analysis with network topology enhancement
US11799900B2 (en) Detecting and mitigating golden ticket attacks within a domain
US20240080338A1 (en) Detecting and mitigating forged authentication attacks within a domain
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
US8549645B2 (en) System and method for detection of denial of service attacks
US11818150B2 (en) System and methods for detecting and mitigating golden SAML attacks against federated services
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
CN103379099A (zh) 恶意攻击识别方法及***
CN108390856B (zh) 一种DDoS攻击检测方法、装置及电子设备
US10223536B2 (en) Device monitoring policy
CN109257390B (zh) Cc攻击的检测方法、装置及电子设备
US20120192251A1 (en) Determining trust data for devices in a network
WO2019199769A1 (en) Cyber chaff using spatial voting
CN114598512B (zh) 一种基于蜜罐的网络安全保障方法、装置及终端设备
CN112995236B (zh) 一种物联网设备安全管控方法、装置和***
EP3494506A1 (en) Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
CN111683084B (zh) 一种智能合约入侵检测方法、装置、终端设备及存储介质
CN109561097B (zh) 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质
CN112671727B (zh) 一种信息泄露检测方法及装置、设备、存储介质
CN113486339A (zh) 一种数据处理方法、装置、设备及机器可读存储介质
CN111191683A (zh) 基于随机森林和贝叶斯网络的网络安全态势评估方法
US20200169575A1 (en) Detecting anomalous network activity
CN117221009B (zh) 网络安全态势预测方法、装置、服务器及存储介质
CN109150871A (zh) 安全检测方法、装置、电子设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant