法律状态公告日
法律状态信息
法律状态
2023-09-15
实质审查的生效 IPC(主分类):H04L 9/40 专利申请号:2023106433212 申请日:20230531
实质审查的生效
2023-08-29
公开
发明专利申请公布
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种网络攻击影响态势分析方法、装置、设备及存储介质。
背景技术
随着互联网的迅速发展和普及,网络安全问题变得越来越重要;恶意软件和网络攻击活动不断增加,给企业、机构和个人带来了严重的威胁和损失。
网络攻击检测、分析与预测问题一直是一个挑战,由于攻击者开发了新的和创新的方法来逃避部署的安全系统。
目前,对于一些网络攻击防护手段,比如防火墙、入侵检测系统、入侵防护系统等,基本都是仅对影响网络安全状态的单一因素进行分析处理,导致分析结果较为片面,容易出现漏报和误报等问题;并且由于各个监测设备之间的信息无法互通,当面对大规模的网络攻击模式以及未知的多步骤复杂攻击流程时,传统防御手段愈加显得力不从心。
发明内容
本发明的主要目的在于提供一种网络攻击影响态势分析方法、装置、设备及存储介质,旨在解决现有技术中传统的网络攻击防护手段容易出现漏报和误报的问题,在面对大规模网络攻击或复杂攻击时,传统防御手段无法有效提供安全应对措施,无法避免网络攻击对企业或组织造成不良影响的技术问题。
第一方面,本发明提供一种网络攻击影响态势分析方法,所述网络攻击影响态势分析方法包括以下步骤:
获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;
将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
可选地,所述获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储,包括:
在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;
将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
可选地,所述通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息,包括:
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
可选地,所述将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储,包括:
获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;
根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
可选地,所述将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果,包括:
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;
根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;
从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
可选地,所述将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,包括:
将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;
将所述目标数据按照预设比例划分为训练集、特征集和测试集;
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
可选地,所述将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,包括:
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,H
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
第二方面,为实现上述目的,本发明还提出一种网络攻击影响态势分析装置,所述网络攻击影响态势分析装置包括:
格式转换模块,用于获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;
标注分析模块,用于将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;
预测模块,用于将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
第三方面,为实现上述目的,本发明还提出一种网络攻击影响态势分析设备,所述网络攻击影响态势分析设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击影响态势分析程序,所述网络攻击影响态势分析程序配置为实现如上文所述的网络攻击影响态势分析方法的步骤。
第四方面,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有网络攻击影响态势分析程序,所述网络攻击影响态势分析程序被处理器执行时实现如上文所述的网络攻击影响态势分析方法的步骤。
本发明提出的网络攻击影响态势分析方法,通过获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明网络攻击影响态势分析方法第一实施例的流程示意图;
图3为本发明网络攻击影响态势分析方法第二实施例的流程示意图;
图4为本发明网络攻击影响态势分析方法第三实施例的流程示意图;
图5为本发明网络攻击影响态势分析方法第四实施例的流程示意图;
图6为本发明网络攻击影响态势分析方法第五实施例的流程示意图;
图7为本发明网络攻击影响态势分析装置第一实施例的功能模块图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的解决方案主要是:通过获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率,解决了传统的网络攻击防护手段容易出现漏报和误报的问题,在面对大规模网络攻击或复杂攻击时,传统防御手段无法有效提供安全应对措施,无法避免网络攻击对企业或组织造成不良影响的技术问题。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的设备结构示意图。
如图1所示,该设备可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如Wi-Fi接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(Non-Volatile Memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的设备结构并不构成对该设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作装置、网络通信模块、用户接口模块以及网络攻击影响态势分析程序。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,并执行以下操作:
获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;
将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;
将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;
根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;
根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;
从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;
将所述目标数据按照预设比例划分为训练集、特征集和测试集;
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
本发明设备通过处理器1001调用存储器1005中存储的网络攻击影响态势分析程序,还执行以下操作:
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,H
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
本实施例通过上述方案,通过获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
基于上述硬件结构,提出本发明网络攻击影响态势分析方法实施例。
参照图2,图2为本发明网络攻击影响态势分析方法第一实施例的流程示意图。
在第一实施例中,所述网络攻击影响态势分析方法包括以下步骤:
步骤S10、获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
需要说明的是,获取当前网络的网络流量对应的数据包后,可以所述网络流量数据包中提取数据流特征信息,进而进行格式转换,即将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储,字符分隔值(Comma-Separated Values,CSV),其文件以纯文本形式存储表格数据(数字和文本)。
步骤S20、将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果。
可以理解的是,将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注后,可以将其存储在CVS格式文件中,并且生成网络攻击影响态势的分析结果。
步骤S30、将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
应当理解的是,所述分析结果处理后输入至空间时间卷积Transformer模型后,可以获得Transformer模型输出的关于网络安全风险的预测结果。
本实施例通过上述方案,通过获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
进一步地,图3为本发明网络攻击影响态势分析方法第二实施例的流程示意图,如图3所示,基于第一实施例提出本发明网络攻击影响态势分析方法第二实施例,在本实施例中,所述步骤S10,具体包括以下步骤:
步骤S11、在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储。
需要说明的是,在网络中部署一个或多个信息流收集器或者网络望远镜,以捕捉蠕虫、拒绝服务分布式攻击(Distributed Denial of Service,DDoS)等活动;网络流量以数据包的形式被捕捉,并且以包捕获(Packet Capture,PCAP)文件格式进行存储。
步骤S12、通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息。
可以理解的是,通过预先设置的特征提取脚本或流量特征提取工具可以从所述网络流量数据包中提取数据流特征信息。
在具体实现中,可以运行一个脚本或者软件比如CICFlowMeter从网络流量数据包中提取重要信息和特征,并且将其存储在CVS格式文件中。
进一步的,所述步骤S12包括以下步骤:
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
可以理解的是,提取数据流特征信息包括:数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息。
在具体实现中,数据包计数信息为收集数据包的总数量;数据包大小信息为收集数据包的大小分布情况,例如平均数据包大小、最小和最大数据包大小;IP流量信息为收集源IP和目标IP的流量信息,包括发送和接收的字节数、数据包数量和流量分布情况;传输层流量信息为收集TCP、UDP和ICMP协议的流量信息,包括发送和接收的字节数、数据包数量和流量分布情况;网络连接信息为收集网络连接信息,包括源IP和目标IP、源端口和目标端口、连接持续时间、连接开始和结束时间等;活动时间信息为收集网络流量的活动时间信息,包括首个数据包的时间、最后一个数据包的时间和流量持续时间;活动流量信息为收集在活动时间内的网络流量信息,包括平均流速、最大流速和最小流速等;数据流数量信息为收集同一源IP和目标IP之间的数据流数量,以及每个数据流的字节数、数据包数量和流量分布情况;这些特征信息可以帮助用户了解网络流量的行为和趋势,并及时发现网络安全威胁。
步骤S13、将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
应当理解的是,将所述数据流特征信息转换为CVS格式文件后,进而可以将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
本实施例通过上述方案,通过在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储,能够快速进行网络信息流收集转换,提高了网络攻击影响态势分析的速度和效率。
进一步地,图4为本发明网络攻击影响态势分析方法第三实施例的流程示意图,如图4所示,基于第二实施例提出本发明网络攻击影响态势分析方法第三实施例,在本实施例中,所述步骤S13具体包括以下步骤:
步骤S131、获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件。
需要说明的是,在CVS格式文件中,每个记录都有默认的网络五元组信息,时间记录,流量特征等相关的特征,获取所述数据流特征对应的网络五元组信息和时间记录后,可以据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件。
应当理解的是,五元组就是一个网络数据包的五个基本属性,包括源IP地址、目的IP地址、源端口号、目的端口号和传输协议,在网络通信中,每个数据包都包含这五个属性,它们一起构成了数据包的唯一标识。
步骤S132、根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
可以理解的是,通过预先设置的发送周期可以将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
应当理解的是,一般可以设定预设发送周期为每个小时把文件发送到网络安全信息数据库里进行存储,当然也可以设置为其他发送周期,例如每半个小时,或每40分钟等,本实施例对此不加以限制。
本实施例通过上述方案,通过获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储,能够快速进行网络信息流收集转换,提高了网络攻击影响态势分析的速度和效率。
进一步地,图5为本发明网络攻击影响态势分析方法第四实施例的流程示意图,如图5所示,基于第一实施例提出本发明网络攻击影响态势分析方法第四实施例,在本实施例中,所述步骤S20具体包括以下步骤:
步骤S21、将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息。
需要说明的是,将所述CVS格式文件对应的流量信息(一般包括网络攻击流和正常流)和所述网络安全漏洞数据库上传至入侵检测系统或防火墙后,进而使得所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得对应的标注信息。
步骤S22、根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息。
可以理解的是,根据所述CVS格式文件构建预设时间序列样本,时间序列样本可以作为网络攻击影响态势分析与预测的对象,在漏洞数据库里,爬取公开的网络攻击和漏洞相关的信息,包含漏洞ID,端口的描述,中国国家信息安全漏洞库(China NationalVulnerability Database of Information Security,CNNVD)漏洞数据库信息,通用漏洞披露(Common Vulnerabilities&Exposures,CVE)信息等相关信息。
在具体实现中,CNNVD漏洞数据库的信息包括以下信息:
漏洞编号:每个漏洞都有一个独特的CNNVD编号,方便我们快速搜索和识别漏洞。
漏洞名称:对于每个漏洞,都有一个简短的描述和名称,方便我们了解漏洞的性质和严重程度。
漏洞类型:漏洞被归为不同的类型,如远程执行代码漏洞、权限提升漏洞、信息泄露漏洞等。
漏洞来源:提供漏洞的来源,如第三方厂商、独立研究者、安全团队等。
影响范围:漏洞影响的软件、系统和设备范围,包括受影响的版本和平台。
漏洞描述:漏洞的详细描述和技术细节,包括漏洞的危害性、攻击方法和影响等。
漏洞评分:CNNVD会对每个漏洞进行评分,评估漏洞的严重程度和影响范围。
CVE信息包括以下内容:
CVE编号:每个漏洞都有一个独特的CVE编号,方便我们快速搜索和识别漏洞。
漏洞描述:提供漏洞的详细描述和技术细节,包括漏洞的危害性、攻击方法和影响等。
漏洞类型:漏洞被归为不同的类型,如远程执行代码漏洞、权限提升漏洞、信息泄露漏洞等。
影响范围:漏洞影响的软件、系统和设备范围,包括受影响的版本和平台。
漏洞评分:CVE会对每个漏洞进行评分,评估漏洞的严重程度和影响范围。
解决方案:提供漏洞的解决方案和修复补丁,以帮助用户修补漏洞并保证系统的安全性。
参考链接:提供更多有关漏洞的信息和参考链接,方便用户了解漏洞的相关信息和进一步的研究。
步骤S23、从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
可以理解的是,从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,进而根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
在具体实现中,上传流量信息CVS格式文件和网络安全漏洞数据库到入侵检测系统或者防火墙进行攻击标注,并且将其存储在CVS文件格式中,然后上传到自己搭建的网络威胁情报平台上;在不同的时间窗口(例如5分钟、10分钟、30分钟、1小时、2小时等,本实施例对此不加以限制)内分析信息流的特征,并将其与不同攻击的影响特征样本进行标注以及分析,如攻击流量大小、攻击持续时间、攻击频率等,以此来识别和评估网络安全风险和威胁。
本实施例通过上述方案,通过将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全。
进一步地,图6为本发明网络攻击影响态势分析方法第五实施例的流程示意图,如图6所示,基于第一实施例提出本发明网络攻击影响态势分析方法第四实施例,在本实施例中,所述步骤S30具体包括以下步骤:
步骤S31、将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据。
需要说明的是,分析结果以CSV格式保存名为网络攻击影响态势分析,将网络攻击影响态势分析的分析结果进行预处理后,可以获得处理后的目标数据,预处理过程包括数据清洗、特征选择和归一化,将所述分析结果进行数据清洗、特征选择和归一化处理,可以获得处理后的目标数据。
步骤S32、将所述目标数据按照预设比例划分为训练集、特征集和测试集。
可以理解的是,构建预先设置的比例可以将所述目标数据进行划分,获得训练集、特征集和测试集,以预设比例为7:1:2为例,可以将处理好的数据按照7:1:2的比例划分为训练集、验证集以及测试集,当然也可以根据实际情况调整为其他比例,本实施例对此不加以限制。
步骤S33、将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
应当理解的是,将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,可以获得网络安全风险预测结果,训练集用于构建所述模型框架,验证集用于得到所述最优参数,测试集用于评估所述流量预测模型的精度,放进空间时间卷积Transformer和重要的参数进行预测,预测的结果用来指导网络安全防御策略的制定和优化,能够提高网络安全的水平。
进一步的,所述步骤S33具体包括以下步骤:
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,H
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
在具体实现中,可以利用1*1卷积核来降维,在局部范围的卷积注意力(Local-Range Convolution Attention,LRC)捕获时间上的多模态依赖关系,并且给局部范围的卷积注意力的输入为
在组范围卷积注意力(Group-Range Convolution Attention,GRC)使用多头注意力来捕获不同子空间中多个时间序列之间的潜在关系;我们利用核大小k的一维卷积,输入
为输入序列添加连续的位置概念,本文使用连续位置编码(ContinuousPositional Encoding,CPE),位置编码Positional Encoding(PE)计算方式如下:
PE={PE
其中,P为学习预测的范围,Q为输出范围,
编码器由空间编码器和时间编码器并行组成;每个空间编码器层包含两个子层,即组范围卷积注意力和全连接的前馈网络,产生输出
解码器由空间编码器和时间编码器并行组成;每个时间解码器层使用局部范围的注意力;时间解码器将连续位置编码模块
在输出模块中,将最终解码器的输出
本实施例通过上述方案,通过将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;将所述目标数据按照预设比例划分为训练集、特征集和测试集;将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果;能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
相应地,本发明进一步提供一种网络攻击影响态势分析装置。
参照图7,图7为本发明网络攻击影响态势分析装置第一实施例的功能模块图。
本发明网络攻击影响态势分析装置第一实施例中,该网络攻击影响态势分析装置包括:
格式转换模块10,用于获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
标注分析模块20,用于将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果。
预测模块30,用于将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
所述格式转换模块10,还用于在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
所述格式转换模块10,还用于通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
所述格式转换模块10,还用于获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
所述标注分析模块20,还用于将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
所述预测模块30,还用于将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;将所述目标数据按照预设比例划分为训练集、特征集和测试集;将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
所述预测模块30,还用于将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,H
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
其中,网络攻击影响态势分析装置的各个功能模块实现的步骤可参照本发明网络攻击影响态势分析方法的各个实施例,此处不再赘述。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有网络攻击影响态势分析程序,所述网络攻击影响态势分析程序被处理器执行时实现如下操作:
获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;
将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
在当前网络部署若干个信息流收集器或者网络望远镜,通过所述信息流收集器或者所述网络望远镜捕捉获得所述当前网络的网络流量数据包,并以PCAP文件格式存储;
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据流特征信息;
将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
通过特征提取脚本或流量特征提取工具从所述网络流量数据包中提取数据包计数信息、数据包大小信息、IP流量信息、传输层流量信息、网络连接信息、活动时间信息、活动流量信息和数据流数量信息,将所述数据包计数信息、所述数据包大小信息、所述IP流量信息、所述传输层流量信息、所述网络连接信息、所述活动时间信息、所述活动流量信息和所述数据流数量信息作为数据流特征信息。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
获取所述数据流特征对应的网络五元组信息和时间记录,根据所述网络五元组信息和所述时间记录将所述数据流特征转换为CVS格式文件;
根据预设发送周期将所述CVS格式文件发送到网络安全漏洞数据库进行存储。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙,以使所述入侵检测系统或所述防火墙根据不同的时间窗口将所述CVS格式文件的特征与不同攻击的影响特征样本进行匹配分析,获得标注信息;
根据所述CVS格式文件构建预设时间序列样本,从所述网络安全漏洞数据库中爬取漏洞ID、端口描述、CNNVD漏洞数据库信息和CVE信息;
从所述标注信息中获得攻击流量大小、攻击持续时间和攻击频率,根据所述攻击流量大小、所述攻击持续时间、所述攻击频率、所述漏洞ID、所述端口描述、所述CNNVD漏洞数据库信息和所述CVE信息对所述预设时间序列样本的网络攻击影响态势进行分析,获得分析结果。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
将所述分析结果进行数据清洗、特征选择和归一化处理,获得处理后的目标数据;
将所述目标数据按照预设比例划分为训练集、特征集和测试集;
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果。
进一步地,所述网络攻击影响态势分析程序被处理器执行时还实现如下操作:
将所述训练集、所述特征集和所述测试集输入至空间时间卷积Transformer模型中,利用所述Transformer模型中的卷积核对所述训练集、所述特征集和所述测试集进行降维;
将当前维度数据输入至卷积注意力模块,在局部范围的卷积注意力模块捕获时间上的多模态依赖关系;
用因果卷积映射通过下式计算查询矩阵、键矩阵、值矩阵和卷积输出结果:
其中,H
根据所述多模态依赖关系对所述当前维度数据进行分组,将分组数据代入至上述公式,获得分组卷积输出结果,将所述分组卷积输出结果进行位置对齐,并将对齐后的分组卷积输出结果进行线性映射,获得最终输出结果;
对所述最终输出结果进行连续位置编码,获得网络安全风险预测结果。
本实施例通过上述方案,通过获取当前网络的网络流量数据包,从所述网络流量数据包中提取数据流特征信息,将所述数据流特征信息转换为CVS格式文件,并将所述CVS格式文件发送到网络安全漏洞数据库进行存储;将所述CVS格式文件和所述网络安全漏洞数据库上传至入侵检测系统或防火墙进行攻击标注,获得标注信息,根据所述标注信息生成网络攻击影响态势的分析结果;将所述分析结果处理后输入至空间时间卷积Transformer模型中,获得网络安全风险预测结果,能够帮助企业和组织了解当前网络攻击的趋势和发展,及时掌握攻击的类型、数量以及来源等重要信息,从而更好地制定安全策略和应对措施,并且通过对网络攻击的预测,可以提前发现潜在的安全风险,采取相应的预防措施,避免了网络攻击对企业和组织造成的影响,提升了网络安全,提高了网络攻击影响态势分析的速度和效率。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
机译: 非暂态计算机可读记录介质存储网络攻击分析支持程序,网络攻击分析支持方法和网络攻击分析支持设备
机译: 存储网络攻击分析支持程序,网络攻击分析支持方法和网络攻击分析支持设备的非暂时性计算机可读记录介质
机译: 非暂态计算机可读记录介质存储网络攻击分析支持程序,网络攻击分析支持方法和网络攻击分析支持设备
