[发明专利]一种网络安全态势预测方法及系统

说明书

本发明涉及一种网络安全态势预测方法及系统，属于网络安全研究技术领域。本发明通过获取包含有表征网络状态的文本信息特征的样本数据，利用相似特征进行聚合分类，通过密度聚类形成类簇；提取类簇中心点的关键信息以及与其特征相近的数据，构建各聚簇的安全态势训练样本；根据设定规则计算安全态势训练样本的安全概率，以此实现对安全态势训练样本的标注；利用深度学习模型建立网络安全态势预测模型，将安全态势训练样本输入到预测模型中进行训练，利用训练后的预测模型实现对网络安全态势的预测。该方法高效、精准的实现网络安全态势智能感知与预测。

技术领域

本发明涉及一种网络安全态势预测方法及系统，属于网络安全研究技术领域。

背景技术

在网络安全态势感知与通报预警平台的相关研究中，为了支持安全态势的有效评估，必须提升平台的威胁发现与态势预测能力。现有的防御技术一般都是基于对安全事件的检测分类进行安全性预测的，当前的大部分研究都在致力于对安全事件的分类模型算法改进，期望提升安全事件检测的精度，对整体的网络安全态势感知缺乏全局的掌控。并且，预测工作通常都是时序相关，对数据的时序依赖特性要求很高，直接套用时序模型需要对数据的平稳性进行严格的检验，如果输入数据不平稳就没法直接使用时序模型。

发明内容

本发明的目的是提供一种网络安全态势预测方法及系统，以快速、准确地实现网络安全态势的预测。

本发明为解决上述技术问题而提供一种网络安全态势预测方法，该预测方法包括以下步骤：

1)获取表征网络状态信息特征的样本数据及其对应的时间信息，形成时间序列数据，所述的样本数据为文本信息特征；

2)根据时间序列中文本信息特征的相似程度进行聚合分类，形成不同类簇；

3)确定各类簇的中心点，选取与各类簇中心点特征相近的样本数据，将该样本作为安全态势训练样本；

4)根据设定安全态势确定规则计算安全态势训练样本中各样本对应的安全概率，以实现对所述安全态势训练样本的标注；所述的设定安全态势确定规则包括设定时间段的特征、敏感字段和基于经验的混合式安全概率判断规则；

5)利用深度学习模型建立网络安全态势预测模型，将标注后的安全态势训练样本对所述网络安全态势预测模型进行训练；

6)获取待预测的网络安全状态特征，并将其输入到训练后的网络安全态势预测模型中，实现对网络安全态势的预测。

本发明通过获取包含有表征网络状态的文本信息特征的样本数据，利用相似特征进行聚合分类，通过密度聚类形成类簇；提取类簇中心点的关键信息以及与其特征相近的数据，构建各聚簇的安全态势训练样本；根据设定规则计算安全态势训练样本的安全概率，以此实现对安全态势训练样本的标注；利用深度学习模型建立网络安全态势预测模型，将安全态势训练样本输入到预测模型中进行训练，利用训练后的预测模型实现对网络安全态势的预测。该方法高效、精准的实现网络安全态势智能感知与预测。

进一步地，为提高预测的准确性，所述步骤6)中的网络安全态势预测模型为LSTM模型。

进一步地，所述步骤2)中的聚合分类采用网络化密度聚类。

进一步地，所述的文本信息特征至少包括域名长度、子域名最大长度、字符熵、数字与字母转换率、连续数字长度、连续字母长度、域名A记录、域名ip熵和NS记录数中的两种。

进一步地，所述的密度聚类的过程包括：

定义网格步长，根据样本数据网格化样本数据集空间，形成网格对象集；