[发明专利]一种误报自适应的网络安全态势预测方法

说明书

本发明涉及一种误报自适应的网络安全态势预测方法，包括如下步骤：(1)提取安全防护软件中的报警事件；(2)基于系统主机、网络异常信息消除报警事件中的误报，形成准确的训练样本集；(3)使用神经网络学习算法对样本集进行训练，建立预测模型；(4)进行在线预测，并对预测结果进行确认；(5)若预测结果为误报，标记当前预测事件序列为反例，执行增量神经网络学习，调整预测模型。本发明解决了网络安全态势预测中误报过多且无法自动消除的问题，准确地建立网络安全态势预测模型训练样本集，有效地建立预测模型，对预测结果进行自动确认以消除误报并自动调整预测模型，减少后续预测中误报的产生数量，增强了本发明的可靠性和实用性。

技术领域

本发明涉及一种计算机网络的网络安全方法，具体讲涉及一种误报自适应的网络安全态势预测方法。

背景技术

随着计算机、通信等信息技术的快速发展，Internet在全球的日益普及到人们工作、学习和生活的方方面面。到2013年底，Internet已经覆盖全球近40％的人口，用户数达到了27亿，在中国，网民数量也快速发展到6.18亿。其应用也在快速增长，其中电子商务、社交网络的发展进一步促进了Internet的繁荣。然而，随着Internet的广泛应用，其安全问题也日益凸显。网络攻击者、黑客在追逐利益、报复、破坏等心理的驱动下，针对计算机网络系统的漏洞和脆弱环节，采用各种各样的攻击手段，窃取、篡改和删除网络数据，破坏系统的可用性，造成系统瘫痪等等。面对当前严重的网络安全威胁，传统的安全防护手段，如入侵检测、防火墙以及用户认证等，虽然从一定程度上提高了网络的安全性，但是这些技术相互孤立，彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，使其安全防护没有针对性，其防护功能也未得到充分发挥。因此，需要网络安全管理员把握全局的网络的安全状况，实现网络安全事件的预警，并以此做出决策，实施具体的安全防护措施。而如何评估网络的总体安全状况，目前可采用网络安全态势感知(Network SecuritySituationAwareness，NSSA)技术。

网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络安全态势感知就是实时地监测网络安全状态，快速准确地做出安全状态评判，并能利用网络安全属性的历史记录，以多角度、多尺度的可视化方式，为用户提供一个准确直观的网络安全态势走向图。其中分为网络安全态势要素获取、网络安全态势评估和网络安全态势预测3个阶段。

当前，网络安全态势预测一般采用回归分析预测、时间序列预测、指数法预测以及灰色预测等方法。如HoneyNet组织基于统计学原理，开展了有关网络安全预警的研究，其采用“3DMA(Three Days MovingAverage)”的网络事件预警，通过使用一个长度为三天的滑动时间窗来获取事件的统计规律并预测未来一天的安全事件的发生情况。研究人员任伟等提出了一种基于RBF神经网络进行网络安全态势预测的方法。该法通过训练RBF神经网络，找出态势风险值前N个时间点和随后M个时间点间的非线性映射关系，进而利用该映射关系得出预测的态势风险值。目前的研究主要集中于如何选取有效方法地对未来可能出现的网络安全事件进行预测，但如何处理预测中出现的误报尚无无措施。事实上，如果误报数量过多，网络管理员有可能疲于应对虚假的预警信息，而忽略了正确的预警信息。更为甚者是，若长时间产生大量虚假报警(误报)，会导致网络管理员忽略预测模型产生的报警信息，网络安全态势的预测也就失去了存在的意义。

发明内容

针对现有技术的不足，本发明的目的是提供一种误报自适应的网络安全态势预测方法，来解决网络安全态势预测结果误报消除问题。通过使用本方法可以准确地建立网络安全态势预测模型训练样本集，有效地建立网络安全态势预测模型，对预测结果进行自动确认以消除误报并自动调整预测模型，减少后续预测中误报的产生，增强了网络安全态势预测方法的可靠性和实用性。

本发明的目的是采用下述技术方案实现的：

本发明提供一种误报自适应的网络安全态势预测方法，其改进之处在于，所述方法包括下述步骤：