一种基于贝叶斯网络的网络安全态势预测方法及装置
阅读:726发布:2020-05-12
专利汇可以提供一种基于贝叶斯网络的网络安全态势预测方法及装置专利检索,专利查询,专利分析的服务。并且本 申请 实施例 适用于网络安全领域,提供了一种基于 贝叶斯网络 的网络安全态势预测方法、装置、终端设备及计算机可读存储介质。其中,该方法包括:获取阶段告警事件以及阶段告警事件独立发生的先验概率,根据阶段告警事件生成有向无环图,基于有向无环图构建贝叶斯网络,根据贝叶斯网络计算在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率,显示每一项阶段告警事件对应的后验概率。本申请实施例能够很好的适应网络安全态势预测过程中的不定性,达到对网络安全态势进行准确预测的效果。,下面是一种基于贝叶斯网络的网络安全态势预测方法及装置专利的具体信息内容。
1.一种基于贝叶斯网络的网络安全态势预测方法,其特征在于,包括:
获取阶段告警事件以及所述阶段告警事件独立发生的先验概率,所述阶段告警事件为按照预设阶段定义划分的频繁告警事件;
根据所述阶段告警事件生成有向无环图;
基于所述有向无环图构建贝叶斯网络;
根据所述贝叶斯网络计算在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率;
显示每一项所述阶段告警事件对应的后验概率。
2.根据权利要求1所述的基于贝叶斯网络的网络安全态势预测方法,其特征在于,所述获取阶段告警事件包括:
获取告警事件;
计算所述告警事件独立发生的先验概率;
基于所述告警事件独立发生的先验概率筛选频繁告警事件;
根据预设阶段定义将所述频繁告警事件划分为阶段告警事件。
3.根据权利要求1所述的基于贝叶斯网络的网络安全态势预测方法,其特征在于,根据所述阶段告警事件生成有向无环图,包括:
将所述阶段告警事件作为顶点,基于所述阶段告警事件之间的因果关系,生成有向无环图。
4.根据权利要求1至3任一项所述的基于贝叶斯网络的网络安全态势预测方法,其特征在于,根据所述贝叶斯网络计算在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率包括:
基于前一阶段告警事件独立发生的先验概率计算贝叶斯网络中当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率;
将前一阶段告警事件独立发生的先验概率、当前阶段告警事件独立发生的先验概率以及在当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率输入所述贝叶斯网络中,得到在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率。
5.根据权利要求4所述的基于贝叶斯网络的网络安全态势预测方法,其特征在于,基于前一阶段告警事件独立发生的先验概率计算贝叶斯网络中当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率,包括:
计算所述前一阶段告警事件的转移概率;
根据前一阶段告警事件独立发生的先验概率与所述转移概率之间的乘积得到贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率。
6.根据权利要求5所述的基于贝叶斯网络的网络安全态势预测方法,其特征在于,计算所述前一阶段告警事件的转移概率,包括:
查找所述前一阶段告警事件的细分指标,其中,所述细分指标包括以下至少一项:所属分类细分指标、导致攻击的严重性细分指标、被利用可能性细分指标、发生次数细分指标或者所属阶段细分指标;
对每一所述细分指标设置权重值;
根据所述细分指标的权重值计算所述前一阶段告警事件的转移概率。
7.根据权利要求4所述的基于贝叶斯网络的网络安全态势预测方法,其特征在于,将前一阶段告警事件独立发生的先验概率、当前阶段告警事件独立发生的先验概率以及在当前阶段发生的条件下前一阶段告警事件发生的先验概率输入所述叶斯网络中,得到在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率之后,还包括:
根据所述前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率计算下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率;
将下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率、下一阶段告警事件独立发生的先验概率以及当前阶段告警事件独立发生的先验概率输入贝叶斯网络进行迭代计算,得到当前阶段告警事件发生的条件下下一阶段告警事件发生的后验概率。
8.一种基于贝叶斯网络的网络安全态势预测装置,其特征在于,包括:
获取模块,用于获取阶段告警事件,所述阶段告警事件为按照预设阶段定义划分的告警事件;
生成模块,用于根据所述阶段告警事件生成有向无环图;
构建模块,用于基于所述有向无环图构建贝叶斯网络;
计算模块,计算所述贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段发生的后验概率;
显示模块,显示每一项所述阶段告警事件对应的后验概率。
9.终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行计算机程序时实现如权利要求1至7任一项所述基于贝叶斯网络的网络安全态势预测方法的各个步骤。
10.计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述基于贝叶斯网络的网络安全态势预测方法的各个步骤。
一种基于贝叶斯网络的网络安全态势预测方法及装置
技术领域
[0001] 本申请属于网络安全领域,尤其涉及一种基于贝叶斯网络的网络安全态势预测方法、装置、终端设备及计算机可读存储介质。
背景技术
[0002] 随着网络规模和复杂性不断增大,网络攻击技术不断革新,新型攻击工具大量涌现,传统的网络安全技术已经无法起到防御的作用,网络安全问题越发严峻。
[0004] 实际应用中,网络风险发生的过程具有不定性,例如网络风险发生的过程可能是动态、静态或者动静态结合,但是现有技术的态势感知技术不能很好的适应网络风险发生过程的不定性,导致在实际应用中对网络安全风险预测的准确性较低。发明内容
[0005] 有鉴于此,本申请实施例提供了一种基于贝叶斯网络的网络安全态势预测方法,以解决在实际应用中对网络安全风险预测的准确性较低的问题。
[0006] 本申请实施例的第一方面提供了一种基于贝叶斯网络的网络安全态势预测方法,包括:
[0007] 获取阶段告警事件以及所述阶段告警事件独立发生的先验概率,所述阶段告警事件为按照预设阶段定义划分的频繁告警事件;
[0008] 根据所述阶段告警事件生成有向无环图;
[0009] 基于所述有向无环图构建贝叶斯网络;
[0010] 根据所述贝叶斯网络计算在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率;
[0011] 显示每一项所述阶段告警事件对应的后验概率。
[0012] 可选的,所述获取阶段告警事件包括:
[0013] 获取告警事件;
[0014] 计算所述告警事件独立发生的先验概率;
[0015] 基于所述告警事件独立发生的先验概率筛选频繁告警事件;
[0016] 根据预设阶段定义将所述频繁告警事件划分为阶段告警事件。
[0017] 可选的,根据所述阶段告警事件生成有向无环图,包括:
[0018] 将所述阶段告警事件作为顶点,基于所述阶段告警事件之间的因果关系,生成有向无环图。
[0019] 可选的,根据所述贝叶斯网络计算在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率包括:
[0020] 基于前一阶段告警事件独立发生的先验概率计算贝叶斯网络中当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率;
[0021] 将前一阶段告警事件独立发生的先验概率、当前阶段告警事件独立发生的先验概率以及在当前阶段发生的条件下前一阶段告警事件发生的先验概率输入所述贝叶斯网络中,得到在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率。
[0022] 可选的,基于前一阶段告警事件独立发生的先验概率计算贝叶斯网络中当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率,包括:
[0023] 计算所述前一阶段告警事件的转移概率;
[0024] 根据前一阶段告警事件独立发生的先验概率与所述转移概率之间的乘积得到贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率。
[0025] 可选的,计算所述前一阶段告警事件的转移概率,包括:
[0026] 查找所述前一阶段告警事件的细分指标,其中,所述细分指标包括以下至少一项:所属分类细分指标、导致攻击的严重性细分指标、被利用可能性细分指标、发生次数细分指标或者所属阶段细分指标;
[0027] 对每一所述细分指标设置权重值;
[0028] 根据所述细分指标的权重值计算所述前一阶段告警事件的转移概率。
[0029] 可选的,将前一阶段告警事件独立发生的先验概率、当前阶段告警事件独立发生的先验概率以及在当前阶段发生的条件下前一阶段告警事件发生的先验概率输入所述贝叶斯网络中,得到在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率之后,还包括:
[0030] 根据所述前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率计算下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率;
[0031] 将下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率、下一阶段告警事件独立发生的先验概率以及当前阶段告警事件独立发生的先验概率输入贝叶斯网络进行迭代计算,得到当前阶段告警事件发生的条件下下一阶段告警事件发生的后验概率。
[0032] 本申请实施例的第二方面提供了一种基于贝叶斯网络的网络安全态势预测装置,包括:
[0033] 获取模块,用于获取阶段告警事件,所述阶段告警事件为按照预设阶段定义划分的告警事件;
[0034] 生成模块,用于根据所述阶段告警事件生成有向无环图;
[0035] 构建模块,用于基于所述有向无环图构建贝叶斯网络;
[0036] 计算模块,用于计算所述贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率;
[0037] 显示模块,用于显示每一项所述阶段告警事件对应的后验概率。
[0038] 本申请实施例的第三方面提供了一种终端设备,包括:存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述基于贝叶斯网络的网络安全态势预测方法的各个步骤。
[0039] 本申请实施例的第四方面提供了一种计算机可读存储介质,包括:计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如上述基于贝叶斯网络的网络安全态势预测方法的各个步骤。
[0040] 第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项所述的基于贝叶斯网络的网络安全态势预测方法。
[0041] 可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
[0042] 本申请实施例与现有技术相比存在的有益效果是:本申请实施例通过将获取的告警事件划分为阶段告警事件,根据阶段告警事件生成有向无环图,基于有向无环图构建贝叶斯网络,计算出贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率,利用贝叶斯网络的特性解决了现有技术不能很好适应网络风险预测过程中的不定性的问题,实现对网络安全态势进行准确预测。附图说明
[0043] 为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的条件下,还可以根据这些附图获得其他的附图。
[0044] 图1是本申请实施例一提供的基于贝叶斯网络的网络安全态势预测方法的一种流程示意图;
[0045] 图2是本申请实施例二提供的基于贝叶斯网络的网络安全态势预测方法的图1中步骤S101的一种具体实现流程示意图;
[0046] 图3是本申请实施例三提供的基于贝叶斯网络的网络安全态势预测方法的图1中步骤S104的一种具体实现流程示意图;
[0047] 图4是本申请实施例三提供的基于贝叶斯网络的网络安全态势预测方法的图1中步骤S104的另一种具体实现流程示意;
[0048] 图5是本申请实施例五提供的基于贝叶斯网络的网络安全态势预测装置的结构示意图。
[0049] 图6是本申请实施例六提供的基于贝叶斯网络的网络安全态势预测方法的终端设备的示意图;
[0050] 图7是上述申请实施例一提供的基于贝叶斯网络的网络安全态势预测方法的有向无环图。
具体实施方式
[0051] 以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
[0052] 为了说明本申请所述的技术方案,下面通过具体实施例来进行说明。
[0053] 实施例一
[0054] 参加图1,为本申请实施例提供的一种基于贝叶斯网络的网络安全态势预测方法的一种流程示意图,该方法可以具体应用于终端设备,该方法可以包括以下步骤:
[0055] 步骤S101、获取阶段告警事件以及阶段告警事件独立发生的先验概率。
[0056] 其中,上述阶段告警事件是指按照预设阶段定义划分的频繁告警事件;上述频繁告警事件是指支持度大于预设支持度阈值的告警事件;上述阶段告警事件独立发生的先验概率是指该项阶段告警事件的发生次数除以告警事件的总发生次数得到的概率。
[0057] 可以理解的是,后续可以基于获取到的阶段告警事件以及阶段告警事件独立发生的先验概率对网络安全态势进行预测。
[0058] 步骤S102、根据阶段告警事件生成有向无环图。
[0059] 具体地,将阶段告警事件作为顶点,基于阶段告警事件之间的因果关系,生成有向无环图。
[0060] 作为示例而非限定,如图7所示,为本申请实施例提供的基于贝叶斯网络的网络安全态势预测方法的有向无环图,包括脆弱性频繁告警事件、威胁频繁告警事件、网络攻击频繁告警事件、越权或滥用频繁告警事件、恶意代码频繁告警事件、操作行为频繁告警事件、流出行为频繁告警事件、流出后操作频繁告警事件,以及上述各个频繁告警事件箭头表示的因果关系。
[0061] 其中,将脆弱性频繁告警事件以及威胁频繁告警事件划分为第一阶段告警事件,表示网络安全中存在的漏洞;将网络攻击频繁告警事件以及越权或滥用频繁告警事件划分为第二阶段告警事件,表示网络安全中存在的危险;将恶意代码频繁告警事件以及操作行为频繁告警事件划分为第三阶段告警事件,表示网络安全中存在的泄密操作;将流出行为频繁告警事件划分为第四阶段告警事件,表示网络安全中存在文件从高密到低密的流出行为;将流出后操作频繁告警事件划分为第五阶段告警事件,表示网络安全中在外网发现涉密文件。
[0062] 进一步地,可以得到公式G=F(N,E),其中,G表示有向无环图,N表示作为顶点的阶段告警事件,E表示阶段告警事件之间的因果关系。
[0063] 在一些实施例中,若只获取到网络攻击频繁告警事件、恶意代码频繁告警事件、操作行为频繁告警事件、流出行为频繁告警事件以及流出后操作频繁告警事件,则将上述网络攻击频繁告警事件划分为第一阶段告警事件;将上述恶意代码频繁告警事件划分为第二阶段告警事件;将上述操作行为频繁告警事件划分为第三阶段告警事件;将上述流出行为频繁告警事件划分为第四阶段告警事件;将上述流出后操作频繁告警事件划分为第五阶段告警事件。
[0064] 可以理解的是,根据实际获取的频繁告警事件进行划分阶段告警事件。
[0065] 步骤S103、基于有向无环图构建贝叶斯网络。
[0066] 可以理解的是,由于贝叶斯网络本身就是一种不定性因果关联模型,基于上述有向无环图可以构建贝叶斯网络。
[0067] 步骤S104、计算贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率。
[0068] 其中,上述前一阶段告警事件是指在上述当前阶段告警事件的前一项阶段告警事件,例如,第二阶段告警事件为上述当前阶段告警事件,则第一阶段告警事件为上述前一阶段告警事件。
[0069] 由于贝叶斯网络的公式是p(Bj│A)=(P(A│Bj)×P(Bj))/(P(A)),其中,上述P(Bj|A)为在事件A发生条件下事件Bj发生的后验概率,上述P(A|Bj)为在事件Bj发生的条件下事件A发生的先验概率,上述P(Bj)为事件Bj独立发生的先验概率,P(A)为事件A独立发生的先验概率。
[0070] 可以理解的是,可以根据上述贝叶斯网络的公式可以计算得到在前一阶段告警事件发生的条件下当前阶段发生的后验概率,利用贝叶斯网络的特性解决了现有技术不能很好适应网络风险预测过程中的不定性,实现对网络安全态势进行准确预测。
[0071] 步骤S105、显示每一项阶段告警事件对应的后验概率。
[0072] 可以理解的是,将每一项阶段告警事件对应的后验概率计算出来后,可以将每一阶段告警事件对应的后验概率在显示界面上显示出来,方便使用者根据每一阶段告警事件对应的后验概率直观的查看预测后的网络安全态势。
[0073] 本实施例中,通过生成有向无环图构建贝叶斯网络,利用贝叶斯网络的特性解决了现有技术不能很好适应网络风险预测过程中不定性的问题,实现对网络安全态势进行准确预测。
[0074] 实施例二
[0075] 本实施例主要对获取阶段告警事件以及阶段告警事件独立发生的先验概率的过程进行详细介绍。
[0076] 参加图2,为本申请实施例提供的基于贝叶斯网络的网络安全态势方法的图1中步骤S101的一种具体实现流程示意图,该方法可以具体应用于终端设备,该方法可以包括以下步骤:
[0077] 步骤S201、获取告警事件。
[0079] 例如,上述告警事件可以是故障告警事件、禁止告警事件、脆弱性告警事件、威胁告警事件、网络攻击告警事件、越权告警事件、滥用告警事件、恶意代码告警事件、操作行为告警事件、流出行为告警事件或者流出后操作告警事件等。
[0080] 步骤S202、计算告警事件独立发生的先验概率。
[0081] 具体地,上述告警事件独立发生的先验概率可以是指该项告警事件的发生次数除以告警事件的总发生次数得到的概率。
[0082] 步骤S203、基于告警事件独立发生的先验概率筛选频繁告警事件。
[0083] 具体地,根据告警事件独立发生的先验概率可以得到每一项告警事件的发生次数,根据每一项告警事件的发生次数得到每一项告警事件的支持度,对告警事件进行关联分析,从告警事件中筛选出支持度大于支持度阈值的告警事件作为频繁告警事件。
[0084] 其中,上述每一项告警事件的支持度为每一项告警事件的发生次数除以总的事务数计算得到,每条事务由上述至少一项告警事件组成。
[0085] 例如,上述频繁告警事件可以是脆弱性频繁告警事件、威胁频繁告警事件、网络攻击频繁告警事件、越权频繁告警事件、滥用频繁告警事件、恶意代码频繁告警事件、操作行为频繁告警事件、流出行为频繁告警事件或者流出后操作频繁告警事件。
[0086] 在一些实施例中,可以根据每一项告警事件的发生次数得到每一项告警事件的支持度之后,还可以对告警事件进行APT分析的方式筛选告警事件的频繁项告警事件。
[0087] 在其它一些实施例中,还可以根据每一项告警事件的发生次数得到每一项告警事件的支持度之后,还可以对告警事件进行追踪溯源的方式筛选告警事件的频繁项告警事件。
[0088] 步骤S204、根据预设阶段定义将频繁告警事件划分为阶段告警事件。
[0089] 其中,上述预设阶段定义是指预先设置导致发生网络安全的原因到结果的不同阶段,例如,上述脆弱性频繁告警事件是导致网络安全的最终原因,则将获取到的脆弱性频繁告警事件划分为第一阶段告警事件。
[0090] 具体地,可以将上述脆弱性频繁告警事件或者上述威胁频繁告警事件划分为第一阶段告警事件;可以将上述网络攻击频繁告警事件、上述越权频繁告警事件或者上述滥用频繁告警事件划分为第二阶段告警事件;将上述恶意代码告警事件或者操作行为告警事件划分为第三阶段告警事件;将流出行为告警事件划分为第四阶段告警事件;将流出后操作告警事件划分为第五阶段告警事件。
[0091] 可以理解的是,通过将获取的告警事件划分为阶段告警事件可以方便查找告警事件之间的因果关系,生成有向无环图,达到快速构建贝叶斯网络的效果。
[0092] 本申请实施例,先从获取的告警事件筛选频繁告警事件,然后根据阶段定义对频繁告警事件划分为阶段告警事件,方便查找频繁告警事件之间的因果关系进行生成有向无环图,根据有向无环图构建贝叶斯网络,达到快速对网络安全态势进行预测的效果。
[0093] 实施例三
[0094] 本实施例的目的是对计算贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率进行详细介绍。
[0095] 参见图3,为本申请实施例提供的基于贝叶斯网络的网络安全态势预测方法的图1中步骤S104的一种具体实现流程图,该方法可以具体应用于终端设备,该方法可以包括以下步骤:
[0096] 步骤S301、基于前一阶段告警事件独立发生的先验概率计算贝叶斯网络中当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率。
[0097] 其中,上述前一阶段告警事件是指在当前阶段告警事件前一项阶段告警事件,例如,第二阶段告警事件为当前阶段告警事件,则第一阶段告警事件为前一阶段告警事件。
[0098] 具体地,计算前一阶段告警事件的转移概率,根据前一阶段告警事件独立发生的先验概率与转移概率之间的乘积得到贝叶斯网络中在当前阶段告警事件发生的条件下前一阶段告警事件的先验概率。
[0099] 可以理解的是,本申请实施例的贝叶斯网络基于马尔科夫定理可以通过前一阶段告警事件独立发生的先验概率与转移概率之间的乘积得到贝叶斯网络中在当前阶段告警事件发生的条件下前一阶段告警事件的先验概率。
[0100] 作为示例而非限定,计算前一阶段告警事件转移概率的过程可以是:
[0101] 首先,查找前一阶段告警事件的细分指标。
[0102] 其中,上述细分指标包括以下至少一项:所属分类细分指标、导致攻击的严重性细分指标、被利用可能性细分指标、发生次数细分指标或者所属阶段细分指标;
[0103] 然后,对每一细分指标设置权重值;
[0104] 具体地,根据细分指标的等级设置对应的权重值,例如,导致攻击的严重性细分指标的等级为一般,该细分指标的权重总值为10,则将该细分指标的权重值设置为5。
[0105] 最后,根据细分指标的权重值计算前一阶段告警事件的转移概率。
[0106] 可以理解的是,通过根据上述前一阶段告警事件的细分指标的权重值进行综合评分计算前一阶段告警事件的转移概率。
[0107] 例如,上述前一阶段告警事件是脆弱性频繁告警事件,脆弱性频繁告警事件的细分指标有导致攻击的严重性细分指标、被利用可能性细分指标以及发生次数细分指标。相应地,导致攻击的严重性细分指标的总权重值为10,根据上述严重性细分指标的等级设置的权重值为5;被利用可能性细分指标的总权重值为5,根据上述严重性细分指标的等级设置的权重值为3;发生次数细分指标的总权重值为10,根据上述发生次数细分指标的等级设置的权重值为2;这样,对脆弱性频繁告警事件综合评分得到的转移概率为上述细分指标的权重值之和除以上述细分指标的总权重值之和。
[0108] 需说明的是,上述导致攻击的严重性细分指标、被利用可能性细分指标的等级与时间维度有关,根据上述细分指标得到的转移概率也与时间维度有关,使得上述计算转移概率的过程准确率高,误报率低。
[0109] 步骤S302、将前一阶段告警事件独立发生的先验概率、当前阶段告警事件独立发生的先验概率以及在当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率输入所述贝叶斯网络中,得到在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率。
[0110] 需说明的是,贝叶斯网络的公式是p(Bj│A)=(P(A│Bj)×P(Bj))/(P(A)),其中,上述P(Bj|A)为在事件A发生条件下事件Bj发生的后验概率,上述P(A|Bj)为在事件Bj发生的条件下事件A发生的先验概率,上述P(Bj)为事件Bj独立发生的先验概率,P(A)为事件A独立发生的先验概率。
[0111] 可以理解的是,将前一阶段告警事件独立发生的先验概率、当前阶段告警事件独立发生的先验概率以及在当前阶段发生的条件下前一阶段告警事件发生的先验概率输入贝叶斯网络中,根据上述贝叶斯网络的计算公式可以得到在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率,达到对网络安全态势进行准确预测的效果。
[0112] 作为示例而非限定,在执行步骤S302得到在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率之后,返回执行步骤S301,进行迭代计算后续阶段告警事件对应的后验概率,直至计算出每一项阶段告警事件对应的后验概率。
[0113] 优选的,由于上述转移概率与时间维度有关,在当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率是由前一阶段告警事件独立发生的先验概率与转移概率的乘积得到的,那么根据上述贝叶斯网络计算得到的在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率也与时间维度有关,即本申请实施例得到的贝叶斯网络为动态贝叶斯网络,能够更好的适应网络风险预测过程中的不定性,实现对网络安全态势进行准确预测的效果。
[0114] 本申请实施例中,基于马尔科夫定理可以通过前一阶段告警事件独立发生的先验概率与转移概率之间的乘积得到贝叶斯网络中在当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率,从而根据在当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率计算在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率,由于转移概率与时间维度有关,使得贝叶斯网络可以是动态贝叶斯网络,能够更加适应网络安全态势预测过程中的不定性,进一步对网络安全态势进行准确预测。
[0115] 实施例四
[0116] 在执行上述实施例三的步骤S302之后,还可以根据前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率计算下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率。
[0117] 本实施例的目的是得到计算贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率之后计算贝叶斯网络中当前阶段告警事件发生的条件下下一阶段告警事件发生的后验概率详细介绍。
[0118] 参见图4,为本申请实施例提供的基于贝叶斯网络的网络安全态势预测方法的图1中步骤S104的另一种具体实现流程图,该方法可以具体应用于终端设备,该方法可以包括以下步骤:
[0119] 步骤S401、基于前一阶段告警事件独立发生的先验概率计算贝叶斯网络中当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率。
[0120] 步骤S402、将前一阶段告警事件独立发生的先验概率、当前阶段告警事件独立发生的先验概率以及在当前阶段发生的条件下前一阶段告警事件发生的先验概率输入所述贝叶斯网络中,得到在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率。
[0121] 需说明的是,步骤S401至步骤S402与步骤S301至步骤S302相同,在此不再赘述。
[0122] 步骤S403、根据前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率计算下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率。
[0123] 其中,下一阶段告警事件是指当前阶段告警事件后一项阶段告警事件。
[0124] 具体地,计算当前阶段告警事件的转移概率,根据前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率与当前阶段告警事件的转移概率之间的乘积得到贝叶斯网络中在当前阶段告警事件发生的条件下下一阶段告警事件的先验概论。
[0125] 可以理解的是,本实施例的贝叶斯网络基于马尔科夫原理,下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率还可以根据前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率计算得到。
[0126] 作为示例而非限定,计算当前告警事件转移概率的过程可以是:
[0127] 首先,查找当前告警事件的细分指标。
[0128] 其中,上述细分指标包括以下至少一项:所属分类细分指标、导致攻击的严重性细分指标、被利用可能性细分指标、发生次数细分指标或者所属阶段细分指标;
[0129] 然后,对每一细分指标设置权重值;
[0130] 具体地,根据细分指标的等级设置对应的权重值,例如,导致攻击的严重性细分指标的等级为一般,该细分指标的权重总值为10,则将该细分指标的权重值设置为5。
[0131] 最后,根据细分指标的权重值计算当前阶段告警事件的转移概率。
[0132] 可以理解的是,根据上述当前阶段告警事件的细分指标的权重值进行综合评分计算当前阶段告警事件的转移概率。
[0133] 例如,上述当前阶段告警事件是脆弱性频繁告警事件,脆弱性频繁告警事件的细分指标有导致攻击的严重性细分指标、被利用可能性细分指标以及发生次数细分指标。相应地,导致攻击的严重性细分指标的总权重值为10,根据上述严重性细分指标的等级设置的权重值为5;被利用可能性细分指标的总权重值为5,根据上述严重性细分指标的等级设置的权重值为3;发生次数细分指标的总权重值为10,根据上述发生次数细分指标的等级设置的权重值为2;这样,对脆弱性频繁告警事件综合评分得到的转移概率为上述细分指标的权重值之和除以上述细分指标的总权重值之和。
[0134] 需说明的是,上述导致攻击的严重性细分指标、被利用可能性细分指标的等级与时间维度有关,根据上述细分指标得到的转移概率也与时间维度有关,使得上述计算转移概率的过程准确率高,误报率低。
[0135] 步骤S404、将下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率、下一阶段告警事件独立发生的先验概率以及当前阶段告警事件独立发生的先验概率输入贝叶斯网络进行迭代计算,得到当前阶段告警事件发生的条件下下一阶段告警事件发生的后验概率。
[0136] 需说明的是,贝叶斯网络的公式是p(Bj│A)=(P(A│Bj)×P(Bj))/(P(A)),其中,上述P(Bj|A)为在事件A发生条件下事件Bj发生的后验概率,上述P(A|Bj)为在事件Bj发生的条件下事件A发生的先验概率,上述P(Bj)为事件Bj独立发生的先验概率,P(A)为事件A独立发生的先验概率。
[0137] 可以理解的是,将下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率、下一阶段告警事件独立发生的先验概率以及当前阶段告警事件独立发生的先验概率输入贝叶斯网络进行迭代计算,根据上述贝叶斯网络的计算公式可以得到当前阶段告警事件发生的条件下下一阶段告警事件发生的后验概率。
[0138] 优选的,由于上述转移概率与时间维度有关,在下一阶段发生的条件下当前阶段告警事件发生的先验概率是由前一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率与转移概率的乘积得到的,那么根据上述贝叶斯网络计算得到的在当前阶段告警事件发生的条件下下一阶段告警事件发生的后验概率也与时间维度有关,即本申请实施例得到的贝叶斯网络为动态贝叶斯网络,能够更好的适应网络风险预测过程中的不定性,实现对网络安全态势进行准确预测的效果。
[0139] 作为示例而非限定,在执行步骤S404之后,返回执行步骤S403,进行迭代计算后续阶段告警事件的后验概率,直至计算出每一项阶段告警事件对应的后验概率。
[0140] 本申请实施例中,基于马尔科夫定理可以通过前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率与当前阶段告警事件的转移概率之间的乘积计算下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率,从而根据下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率得到当前阶段告警事件发生的条件下下一阶段告警事件发生的后验概率,由于上述转移概率与时间维度有关,使得贝叶斯网络可以是动态贝叶斯网络,能够更加适应网络安全态势预测过程中的不定性,进一步对网络安全态势进行准确预测。
[0141] 实施例五
[0142] 下面将对本申请实施例提供的基于贝叶斯网络的网络安全态势预测装置进行介绍说明。本实施例的基于贝叶斯网络的网络安全态势预测装置与上述网络安全态势预测方法相互对应。
[0143] 图5是本申请实施例提供的一种基于贝叶斯网络的网络安全态势预测装置的结构示意图,该装置可以具体集成于终端设备,该装置可以包括:
[0144] 获取模块51,用于获取阶段告警事件,阶段告警事件为按照预设阶段定义划分的告警事件;
[0145] 生成模块52,用于根据阶段告警事件生成有向无环图;
[0146] 构建模块53,用于基于有向无环图构建贝叶斯网络;
[0147] 计算模块54,计算贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率;
[0148] 显示模块55,用于显示每一项阶段告警事件对应的后验概率。
[0149] 可选的,获取模块包括:
[0150] 获取单元,用于获取告警事件;
[0151] 计算单元,用于计算告警事件独立发生的先验概率;
[0152] 筛选单元,用于基于告警事件独立发生的先验概率筛选频繁告警事件;
[0153] 划分单元,用于根据预设阶段定义将所述频繁告警事件划分为阶段告警事件。
[0154] 可选的,生成模块包括:
[0155] 生成单元,用于将阶段告警事件作为顶点,基于所述阶段告警事件之间的因果关系,生成有向无环图。
[0156] 可选的,计算模块包括:
[0157] 第一先验概率计算单元,用于基于前一阶段告警事件独立发生的先验概率计算贝叶斯网络中当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率;
[0158] 第一后验概率计算单元,用于将前一阶段告警事件独立发生的先验概率、当前阶段告警事件独立发生的先验概率以及在当前阶段告警事件发生的条件下前一阶段告警事件发生的先验概率输入所述贝叶斯网络中,得到在前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率。
[0159] 可选的,第一先验概率计算单元包括:
[0160] 转移概率计算子单元,用于计算前一阶段告警事件的转移概率;
[0161] 先验概率计算子单元,用于根据前一阶段告警事件独立发生的先验概率与所述转移概率之间的乘积得到贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率。
[0162] 可选的,转移概率计算子单元,包括:
[0163] 查找子单元,用于查找前一阶段告警事件的细分指标,其中,细分指标包括以下至少一项:所属分类细分指标、被攻击严重性细分指标、被利用可能性细分指标、发生次数细分指标或者所属阶段细分指标;
[0164] 权重值设置子单元,用于对每一细分指标设置权重值;
[0165] 权重值计算子单元,用于根据细分指标的权重值计算所述前一阶段告警事件的转移概率。
[0166] 可选的,计算模块包括:
[0167] 第二先验概率计算单元,用于根据前一阶段告警事件发生的条件下当前阶段告警事件发生的后验概率计算下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率;
[0168] 第二后验概率计算单元,用于将下一阶段告警事件发生的条件下当前阶段告警事件发生的先验概率、下一阶段告警事件独立发生的先验概率以及当前阶段告警事件独立发生的先验概率输入贝叶斯网络进行迭代计算,得到当前阶段告警事件发生的条件下下一阶段告警事件发生的后验概率。
[0169] 本实施例中,通过生成有向无环图构建贝叶斯网络,利用贝叶斯网络的特性解决了现有技术不能很好适应网络风险预测过程中的不定性,实现对网络安全态势进行准确预测。
[0170] 图6是本申请实施例提供的终端设备6的示意图。如图6所示,该实施例的终端设备6包括:处理器60、存储器61以及存储在所述存储器61中并可在所述处理器60上运行的计算机程序62,例如推送消息程序。所述处理器60执行所述计算机程序62时实现上述基于贝叶斯网络的网络安全态势预测方法实施例中的各个步骤,例如图1所示的步骤S101至S105。或者,所述处理器60执行所述计算机程序62时实现上述各装置实施例中各模块/单元的功能,例如图5所示的模块51至模块55的功能。
[0171] 示例性的,所述计算机程序62可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器61中,并由所述处理器60执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序62在所述终端设备6中的执行过程。例如,所述计算机程序62可以被分割成获取模块、解析模块、查找模块、推送模块,各模块具体功能如下:
[0172] 获取模块,用于获取阶段告警事件,阶段告警事件为按照预设阶段定义划分的告警事件;
[0173] 生成模块,用于根据阶段告警事件生成有向无环图;
[0174] 构建模块,用于基于有向无环图构建贝叶斯网络;
[0175] 计算模块,计算贝叶斯网络中在前一阶段告警事件发生的条件下当前阶段发生的后验概率;
[0176] 显示模块,用于显示每一项阶段告警事件对应的后验概率。
[0177] 所述终端设备6可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备6可包括,但不仅限于,处理器60、存储器61。本领域技术人员可以理解,图6仅仅是终端设备6的示例,并不构成对终端设备6的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备6还可以包括输入输出设备、网络接入设备、总线等。
[0178] 所称处理器60可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0179] 所述存储器61可以是所述终端设备6的内部存储单元,例如终端设备6的硬盘或内存。所述存储器61也可以是所述终端设备6的外部存储设备,例如所述终端设备6上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器61还可以既包括所述终端设备6的内部存储单元也包括外部存储设备。所述存储器61用于存储所述计算机程序以及所述终端设备6所需的其他程序和数据。所述存储器61还可以用于暂时地存储已经输出或者将要输出的数据。
[0180] 所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0181] 在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
[0182] 本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
[0183] 在本申请所提供的实施例中,应该理解到,所揭露的终端设备和方法,可以通过其它的方式实现。例如,以上所描述的终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
[0184] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0185] 另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0186] 所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
[0187] 以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种用于餐饮后厨的智能巡查方法 | 2020-05-08 | 690 |
| 基于动态贝叶斯网络的模糊PLS建模方法 | 2020-05-11 | 104 |
| 自动生成自动警报合并的数据中心网络映射的系统和方法 | 2020-05-11 | 761 |
| 一种服务策略制定方法、装置、存储介质及电子设备 | 2020-05-12 | 216 |
| 一种基于BP神经网络的BI配色方法及系统 | 2020-05-08 | 525 |
| 一种一次回风空调系统中传感器误差的在线识别与修复方法 | 2020-05-08 | 485 |
| 基于知识图谱的智能扫地机行为决策方法及智能扫地机 | 2020-05-12 | 301 |
| 音频分类方法、装置及可读存储介质 | 2020-05-12 | 828 |
| 一种大型桥梁工程施工阶段动态风险评估方法 | 2020-05-08 | 108 |
| 一种交通工程安全隐患评估装置及方法 | 2020-05-08 | 102 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈