[发明专利]网络安全评估方法及电子设备

权利要求书

1.一种网络安全评估方法，其特征在于，包括：

从预设时间段内网络产生的告警信息中，提取多个源IP地址和目的IP地址；

针对每个源IP地址，根据源IP地址与每个目的IP地址之间发生网络异常的概率，构建所述源IP地址对应的结构向量，以及根据所述源IP地址所属的告警信息确定的源IP地址属性信息，构建所述源IP地址对应的属性向量；其中，源IP地址对应的结构向量中每个维度的数值为源IP地址与一个目的IP地址之间发生网络异常的概率；源IP地址对应的属性向量中的每个维度的数值为源IP的属性信息；

将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量，以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量；

将所述参考结构向量与所述结构向量进行对比得到对比结果，以及将所述参考属性向量与所述属性向量进行对比得到对比结果，根据得到的两个对比结果，确定所述源IP地址的威胁程度值；

所述结构重构模型包括图卷积神经模型和链路预测模型；所述属性重构模型包括图卷积神经模型和属性预测模型；

将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量，以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中，得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量，包括：

将所述源IP地址对应的结构向量与属性向量输入到图卷积神经模型中，以得到源IP地址的生成向量；其中所述源IP地址的生成向量表示所述预设时间段内产生源IP地址的概率；

将所述源IP地址的生成向量输入到链路预测模型中，以得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量；

将所述源IP地址的生成向量输入到属性预测模型中，以得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量。

2.根据权利要求1所述的网络安全评估方法，其特征在于，通过以下方式确定源IP地址与每个目的IP地址之间发生网络异常的概率：

由预设时间段内网络生成的告警信息，构建多个第一告警序列；其中，所述第一告警序列由多个包含同一个源IP地址的告警信息组成，或由包含同一个源IP地址和同一个目的IP地址的告警信息组成；

将所述多个第一告警序列输入统计模型中，确定每两个告警信息之间的转移概率；

根据每两个告警信息之间的转移概率，确定预设时间段内网络生成的每个告警信息的生成概率；

针对每个包含同一个源IP地址和同一个目的IP地址的第一告警序列，根据第一告警序列中所有告警信息的生成概率，确定第一告警序列的生成概率；将第一告警序列的生成概率作为所述第一告警序列中的源IP地址与目的IP地址之间发生网络异常的概率。

3.根据权利要求2所述的网络安全评估方法，其特征在于，所述根据每两个告警信息之间的转移概率，确定预设时间段内网络生成的每个告警信息的生成概率，包括：

采用随机游走的方式，对多个第一告警序列中的告警信息重新划分为多个第二告警序列；

将第二告警序列中每两个告警信息之间的转移概率，作为所述每两个告警信息采用向量表示时两个向量之间的距离；

根据所述距离确定每个告警信息生成概率的向量表示。

4.根据权利要求3所述的网络安全评估方法，其特征在于，根据第一告警序列中所有告警信息的生成概率，确定第一告警序列的生成概率，包括：

将第一告警序列中所有告警信息生成概率的向量表示输入到句向量生成模型中，确定第一告警序列的生成概率的向量表示。