[发明专利]一种网络安全态势预测方法及系统

权利要求书

1.一种网络安全态势预测方法，其特征在于，该预测方法包括以下步骤：

1)获取表征网络状态信息特征的样本数据及其对应的时间信息，形成时间序列数据，所述的样本数据为文本信息特征；

2)根据时间序列中文本信息特征的相似程度进行聚合分类，形成不同类簇；

3)确定各类簇的中心点，选取与各类簇中心点特征相近的样本数据，将该样本作为安全态势训练样本；

4)根据设定安全态势确定规则计算安全态势训练样本中各样本对应的安全概率，以实现对所述安全态势训练样本的标注；所述的设定安全态势确定规则包括设定时间段的特征、敏感字段和基于经验的混合式安全概率判断规则；

5)利用深度学习模型建立网络安全态势预测模型，将标注后的安全态势训练样本对所述网络安全态势预测模型进行训练；

6)获取待预测的网络安全状态特征，并将其输入到训练后的网络安全态势预测模型中，实现对网络安全态势的预测。

2.根据权利要求1所述的网络安全态势预测方法，其特征在于，所述步骤6)中的网络安全态势预测模型为LSTM模型。

3.根据权利要求1所述的网络安全态势预测方法，其特征在于，所述步骤2)中的聚合分类采用网络化密度聚类。

4.根据权利要求1所述的网络安全态势预测方法，其特征在于，所述的文本信息特征至少包括域名长度、子域名最大长度、字符熵、数字与字母转换率、连续数字长度、连续字母长度、域名A记录、域名ip熵和NS记录数中的两种。

5.根据权利要求3所述的网络安全态势预测方法，其特征在于，所述的密度聚类的过程包括：

定义网格步长，根据样本数据网格化样本数据集空间，形成网格对象集；

定义网格对象的密度阈值，将密度值大于设定的密度阈值的网格对象称为密集网格对象，形成网络对象集，遍历网格对象集，当发现第一个密集网格对象时，便以该网格对象开始扩展，扩展原则是若一个网格对象与该密集网格对象邻接并且其自身也是密集网格对象，则将该网格对象加入到该密集区域中，直到不再有这样的网格对象被发现为止，这样就完成了一次聚簇类标的划分；

重复该步骤对剩下的网格对象进行访问，直到所有网格对象都被遍历为止，完成所有聚簇的划分。

6.根据权利要求1所述的网络安全态势预测方法，其特征在于，该方法还包括根据样本数据中网络状态信息特征中各特征的重要性对安全态势训练样本的中特征进行筛选，以筛选出比较重要的特征。

7.根据权利要求1所述的网络安全态势预测方法，其特征在于，所述步骤1)还包括对样本数据的预处理，预处理过程包括：

对样本数据进行日志分解和格式化处理；

对样本数据中的文本信息特征的缺失值进行处理，去除缺失值大于设定阈值的特征，对于缺失值小于设定阈值的特征的缺失值进行补充。