一种网络安全态势感知系统及方法

一种网络安全态势感知系统及方法
【专利摘要】本发明提供一种网络安全态势感知系统及方法。所述系统包括：采集模块，用于采集网络中的用于进行安全态势感知的网络安全数据；感知模块，用于将采集到的用于进行安全态势感知的网络安全数据作为预先构建的智能融合模型的输入，计算网络安全态势；可视化模块，用于将计算得到的网络安全态势的结果进行可视化。通过本发明的网络安全态势感知系统能够克服网络安全态势感知系统数据处理异构信息来源困难、输出结果单一、感知过程智能程度不高的问题。
【专利说明】一种网络安全态势感知系统及方法

【技术领域】
[0001] 本发明涉及网络信息安全领域，尤其涉及一种网络安全态势感知系统及方法。

【背景技术】
[0002] 随着供应链的发展，信息流在其中的作用越来越明显。现代供应链的目标是提高 整体效率、降低成本、满足客户需求，信息化成为现代供应链运营的核心驱动力。供应链信 息平台上核心网络的IP化，移动通信、固定通信和互联网的融合逐渐成为新的发展趋势。 供应链信息流在网络传输过程中，经常会遭到黑客的拦截、窃取、篡改、盗用、监听等恶意破 坏，给商户带来重大损失。以各种非法手段企图入侵计算机网络的黑客，其恶意攻击构成信 息系统中信息安全的威胁，已经成为供应链信息流安全的隐患。
[0003] 自从TimBass提出应用多传感器安全态势分析以来，关于安全态势的研究就一直 是信息管理领域的热点，最初的安全态势感知是建立网络空间态势的框架，通过推理识别 入侵者身份、速度、威胁性和入侵目标，进而评估网络空间的安全状态。欧美发达国家相关 研究机构在这方面做着积极探索，如美国劳伦斯伯克利国家实验室的TheSpinningCube ofPotentialDoom系统；卡内基梅隆大学的SILK系统；美国国家高级安全系统研究中 心（NCASSR:NationalCenterforAdvancedSecureSystemsResearch)的SIFT项目； BruceD'Ambrosio提出基于问卷调查方式的计算机攻击态势评估软件系统SSARE;在这 样的背景下，已有一些学者取得了一些进展，如St印henG.Batsell等集成现有网络安全系 统，开发了一个网络安全框架用来识别和抵御攻击，该框架由入侵检测、攻击源定位和攻击 抵御二部分组成，采用可视化方式反映网络整体的安全状祝，这种方法对于同一企业内部 网络中来挖掘态势感知信息比较有效，但针对于复杂的供应链信息网络环境有局限性，原 因来自供应链上下游企业的信息共享在网络应用高层，同时供应商之间存在合作博弈利益 关系，对商务交易或电子数据交换（EDI)信息环境安全保障需求有高度的利益一致性，却 由于信息安全底层数据无法共享难以实现。
[0004]由于供应链信息环境的不对称性，以及供应链环境特有的"牛鞭效应"，信息共享、 传递、甚至决策过程中，使得安全信息感知处理困难，现有网络安全态势感知系统存在以下 不足：
[0005] 1)针对供应链所面临的信息安全风险的研究大多采用与企业运营风险几乎相同 的方法，从时间、空间和成本三个维度对信息安全的危害程度建立测量指标体系，在提取特 征时没有把信息和其他运营要素区别对待；
[0006] 2)在发生应急事件时生成的汇聚指标不鲁棒，而且没有考虑到网络信息空间数 据本身的结构、传输速率、分布性存在互补特性，因此使整体辅助决策系统的性能和效率降 低。这一问题将在未来的供应链云环境和物联网应用环境下变得更严重。
[0007] 3)在实际网络环境中部署困难。而随网络信息技术的不断发展，企业面临海量信 息处理的情况已普遍存在。很难将统一的网络安全构架部署到网络环境异构的复杂的实际 应用息环境中去。


【发明内容】

[0008] 本发明的目的是提供一种网络安全态势感知系统及方法，以克服相关技术中网络 安全态势感知系统数据处理异构信息来源困难、输出结果单一、感知过程智能程度不高的 问题。
[0009] 本发明提供一种网络安全态势感知系统，包括：
[0010] 采集模块，用于采集网络中的用于进行安全态势感知的网络安全数据；
[0011] 感知模块，用于将采集到的用于进行安全态势感知的网络安全数据作为预先构建 的智能融合模型的输入，计算网络安全态势；
[0012] 可视化模块，用于将计算得到的网络安全态势的结果进行可视化。
[0013] 其中，所述智能融合模型为F层，上一层的每个节点在下一层拥有N个子节点，其 中F彡2,且N彡2 ;
[0014] 所述智能融合模型中包含有历史网络安全数据的时序记忆模式，所述时序记忆模 式至少表征了历史网络安全数据的特征点的时序关系。
[0015] 其中，所述系统还包括：
[0016] 训练数据采集模块，用于采集用于训练智能融合模型的网络安全数据；
[0017] 特征提取模块，用于针对采集的用于训练智能融合模型的网络安全数据，提取该 数据的时空关联特征；
[0018] 样本数据确定模块，用于对采集到的用于训练智能融合模型的网络安全数据以及 提取的时空关联特征进行预设定的攻击以获得特征集和攻击反馈数据集，这两个集合作为 智能融合模型的样本数据；
[0019] 训练模块，用于根据获取的样本数据，训练智能融合模型，生成智能融合模型的时 序记忆模式。
[0020] 其中，所述训练模块，包括：
[0021] 输入单元，用于将特征集和攻击反馈数据集作为智能融合算法的样本数据，输入 给智能融合模型；
[0022] 学习单元，用于智能融合模型根据输入的样本数据进行学习，并形成与各层的节 点对应的时序记忆模式。
[0023] 其中，所述感知模块，包括：
[0024] 输入模式提取单元，用于提取网络安全数据的时间序列作为一组输入模式，输入 给智能融合模型；
[0025] 处理单元，用于通过预先构建的智能融合模型，计算输入模式与智能融合模型的 时序记忆模式的匹配概率，并将匹配概率大于预设阈值的时序记忆模式作为最终匹配的时 序记忆模式，形成态势特征结果集，用于进行可视化。
[0026] 其中，所述可视化模块，用于将态势特征结果集中的时序记忆模式，与预先存储的 时空数据片段进行特征匹配，输出匹配结果，将匹配结果作为可视化片段。
[0027] 其中，所述系统还包括：
[0028] 记录模块，用于所述可视化模块将态势特征结果集中的时序记忆模式，与预先存 储的时空数据片段进行特征匹配之后，记录每个可视化片段的特征点的空间，时间和主方 向供可视化使用；
[0029] 第一划分模块，用于以主方向为起点，以特征点为中心，将可视化空间划分为p个 扇形区域，其中，P>1 ;
[0030] 第二划分模块，用于以特征点所在时空位置为基点划分时域推演区间为前后两个 区间来明确历史态势和未来态势关系，将时空空间划分为2p个区间；
[0031] 时空编码建立模块，用于按时间先后顺序和预设的空间顺序对每个区间设好索 弓丨，建立起该特征点的特征和其他特征点的特征的时空编码关系，其中，所述时空编码关系 是依据时间轴建立的安全特征变化数据集；
[0032] 校验模块，用于根据时空编码关系生成分别与可视化片段和时空片段对应的时空 检验矩阵Mv和M。，然后将Mv和M。进行异或运算，得到异或矩阵Dv。，并分析异或矩阵Dv。中 的非零元素所在的行和列，从而剔除掉错误的匹配；
[0033] 输出模块，用于用直方图相似选优算法做出相似性判断，输出匹配结果。
[0034] 本发明还提供一种网络安全态势感知方法，所述方法包括：
[0035] 采集网络中的用于进行安全态势感知的网络安全数据；
[0036] 将采集到的用于进行安全态势感知的网络安全数据作为预先构建的智能融合模 型的输入，计算网络安全态势；
[0037] 将计算得到的网络安全态势的结果进行可视化。
[0038] 其中，所述智能融合模型为F层，上一层的每个节点在下一层拥有N个子节点，其 中F彡2,且N彡2 ;
[0039] 所述智能融合模型中包含有历史网络安全数据的时序记忆模式，所述时序记忆模 式至少表征了历史网络安全数据的特征点的时序关系。
[0040] 其中，所述智能融合模型根据以下方法构建：
[0041] 采集用于训练智能融合模型的网络安全数据；
[0042] 针对采集的用于训练智能融合模型的网络安全数据，提取该数据的时空关联特 征；
[0043] 对采集到的用于训练智能融合模型的网络安全数据以及提取的时空关联特征进 行预设定的攻击以获得特征集和攻击反馈数据集，这两个集合作为智能融合模型的样本数 据；
[0044] 根据获取的样本数据，训练智能融合模型，生成智能融合模型的时序记忆模式。
[0045] 其中，所述根据获取的样本数据，训练智能融合模型，生成智能融合模型的时序记 忆模式，包括：
[0046] 将特征集和攻击反馈数据集作为智能融合算法的样本数据，输入给智能融合模 型；
[0047] 智能融合模型根据输入的样本数据进行学习，并形成与各层的节点对应的时序记 忆模式。
[0048] 其中，所述将采集到的网络安全数据作为预先构建的智能融合模型的输入，计算 网络安全态势，包括：
[0049] 提取网络安全数据的时间序列作为一组输入模式，输入给智能融合模型；
[0050] 通过预先构建的智能融合模型，计算输入模式与智能融合模型的时序记忆模式的 匹配概率，并将匹配概率大于预设阈值的时序记忆模式作为最终匹配的时序记忆模式，形 成态势特征结果集，用于进行可视化。
[0051] 其中，所述将计算得到的网络安全态势的结果进行可视化，包括：
[0052] 将态势特征结果集中的时序记忆模式，与预先存储的时空数据片段进行特征匹 配，输出匹配结果，将匹配结果作为可视化片段。
[0053] 其中，所述将态势特征结果集中的时序记忆模式，与预先存储的时空数据片段进 行特征匹配之后，所述方法还包括：
[0054] 记录每个可视化片段的特征点的空间，时间和主方向供可视化使用；
[0055] 以主方向为起点，以特征点为中心，将可视化空间划分为p个扇形区域，其中， P>1 ;
[0056] 以特征点所在时空位置为基点划分时域推演区间为前后两个区间来明确历史态 势和未来态势关系，将时空空间划分为2p个区间；
[0057] 按时间先后顺序和预设的空间顺序对每个区间设好索引，建立起该特征点的特征 和其他特征点的特征的时空编码关系，其中，所述时空编码关系是依据时间轴建立的安全 特征变化数据集；
[0058] 根据时空编码关系生成分别与可视化片段和时空片段对应的时空检验矩阵Mv和 M。，然后将Mv和M。进行异或运算，得到异或矩阵Dv。，并分析异或矩阵Dv。中的非零元素所在 的行和列，从而剔除掉错误的匹配；
[0059] 用直方图相似选优算法做出相似性判断，输出匹配结果。
[0060] 本发明至少具有以下有益效果：通过本发明实施例提供的网络安全态势感知系 统，实现智能数据聚融，在不完整的数据呈现中，记忆模式能够被学习并识别出来。通过组 合模式学习的记忆与当前的输入，HTM网络能够预测下一步可能发生什么，可以更准确、全 面地进行网络安全态势感知。针对泛在网络中信息流安全多特征存在互补的特性，可以进 行多角度的学习；从多个层次、多个角度对网络的安全态势进行分析，采用定量分析和定性 描述相结合的方法，保证评估结果系统而全面。此外，本发明在安全态势评估的基础上，采 用可视化片段与态势特征匹配方法，对感知数据进行进一步优化处理，完成匹配特征可视 化精炼和匹配态势演化过程精炼。这对于动态预测网络系统安全态势变化趋势非常有帮 助，使得态势数据集直观迅速的展示，有助于提高网络系统安全响应效率。
[0061] 应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不 能限制本发明。

【专利附图】

【附图说明】
[0062] 图1为本发明实施例中网络安全态势感知系统的示意图；
[0063] 图2为本发明实施例中网络安全态势感知系统的另一示意图；
[0064] 图3为本发明实施例中网络安全态势感知方法的示例性流程图；
[0065]图4为本发明实施例中智能融合网络的示意图；
[0066] 图5为本发明实施例中空间矩阵的示意图；
[0067]图6为本发明实施例中欧几里得高斯函数分布示意图；
[0068]图7为本发明实施例中匹配特征可视化精炼的示意图；
[0069] 图8为本发明实施例中划分空间域的示意图；
[0070] 图9为本发明实施例中网络安全态势感知框架的示意图。

【具体实施方式】
[0071] 以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的 优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本发 明中的实施例及实施例中的特征可以相互组合。
[0072] 本发明基于HTM(HierarchicalTemporalMemory，层级时序记忆），提出了一种网 络安全态势感知系统和方法。HTM是一项对大脑新皮层进行建模的技术。大脑新皮层占了 大约75%的人脑的容量，负责所有高层次的理解，包括视觉、听觉、语言、触觉等。因为HTM 是从生物学中得到的，所以它适合那些对于人类非常容易而对计算机非常困难的工作，例 如物体的识别、做出预测、理解语言、在复杂的数据中发现模式等。根据HTM理论构建的HTM 网络是一个记忆系统，随着时间变化，它通过给它的感知数据来学习它的世界，并从数据中 抽象出高层的概念。抽象允许HTM网络来进行一般化，并对于传统计算机编程处理的严格 规则提供灵活性和效率。例如，在不完整或是模糊不清的数据呈现中，模式能够被学习并识 别出来。通过组合模式学习的记忆与当前的输入，HTM网络能够预测下一步可能发生什么。
[0073]HTM网络的设计确定了分层结构的大小与架构，然后为分层结构提供感知数据来 训练它。感知数据来自供应链业务中的历史数据。重要的是在分层中，有许多数据用来训 练，而且数据是具有时间这一基本元素。在供应链信息流安全分析中，为了进行有效的学 习，都需要在时间的流逝中观察一组模式。
[0074] -方面，本发明基于HTM网络的原理，提出一种网络安全态势感知系统，如图1所 示，为本发明提出的网络安全态势感知系统，包括：
[0075] 采集模块101，用于采集网络中的用于进行安全态势感知的网络安全数据；
[0076] 感知模块102,用于将采集到的用于进行安全态势感知的网络安全数据作为预先 构建的智能融合模型的输入，计算网络安全态势；
[0077] 可视化模块103,用于将计算得到的网络安全态势的结果进行可视化。
[0078] 其中，在一个实施例中，智能融合模型为F层，上一层的每个节点在下一层拥有N 个子节点，其中F彡2,且N彡2 ;
[0079] 智能融合模型中包含有历史网络安全数据的时序记忆模式，时序记忆模式至少表 征了历史网络安全数据的特征点的时序关系。
[0080]其中，在一个实施例中，如图2所示，系统还包括：
[0081] 训练数据采集模块104,用于采集用于训练智能融合模型的网络安全数据；
[0082] 特征提取模块105,用于针对采集的用于训练智能融合模型的网络安全数据，提取 该数据的时空关联特征；
[0083] 样本数据确定模块106,用于对采集到的用于训练智能融合模型的网络安全数据 以及提取的时空关联特征进行预设定的攻击以获得特征集和攻击反馈数据集，这两个集合 作为智能融合模型的样本数据；
[0084] 训练模块107,用于根据获取的样本数据，训练智能融合模型，生成智能融合模型 的时序记忆模式。
[0085] 其中，在一个实施例中，如图2所示，训练模块107,包括：
[0086] 输入单元108,用于将特征集和攻击反馈数据集作为智能融合算法的样本数据，输 入给智能融合模型；
[0087] 学习单元109,用于智能融合模型根据输入的样本数据进行学习，并形成与各层的 节点对应的时序记忆模式。
[0088] 其中，在一个实施例中，如图2所示，感知模块102,包括：
[0089] 输入模式提取单元110,用于提取网络安全数据的时间序列作为一组输入模式，输 入给智能融合模型；
[0090] 处理单元111，用于通过预先构建的智能融合模型，计算输入模式与智能融合模型 的时序记忆模式的匹配概率，并将匹配概率大于预设阈值的时序记忆模式作为最终匹配的 时序记忆模式，形成态势特征结果集，用于进行可视化。
[0091] 其中，在一个实施例中，可视化模块103,用于将态势特征结果集中的时序记忆模 式，与预先存储的时空数据片段进行特征匹配，输出匹配结果，将匹配结果作为可视化片 段。
[0092] 其中，在一个实施例中，如图2所示，系统还包括：
[0093] 记录模块112,用于可视化模块将态势特征结果集中的时序记忆模式，与预先存储 的时空数据片段进行特征匹配之后，记录每个可视化片段的特征点的空间，时间和主方向 供可视化使用；
[0094] 第一划分模块113,用于以主方向为起点，以特征点为中心，将可视化空间划分为 P个扇形区域，其中，P>1 ;
[0095] 第二划分模块114,用于以特征点所在时空位置为基点划分时域推演区间为前后 两个区间来明确历史态势和未来态势关系，将时空空间划分为2p个区间；
[0096] 时空编码建立模块115,用于按时间先后顺序和预设的空间顺序对每个区间设好 索引，建立起该特征点的特征和其他特征点的特征的时空编码关系，其中，时空编码关系是 依据时间轴建立的安全特征变化数据集；
[0097] 校验模块116,用于根据时空编码关系生成分别与可视化片段和时空片段对应的 时空检验矩阵Mv和M。，然后将Mv和M。进行异或运算，得到异或矩阵Dv。，并分析异或矩阵Dto 中的非零元素所在的行和列，从而剔除掉错误的匹配；
[0098] 输出模块117,用于用直方图相似选优算法做出相似性判断，输出匹配结果。
[0099] 关于上述实施例中的网络安全态势感知系统中的各装置，其中各个模块执行操作 的具体方式将在有关该方法的实施例中进行详细描述，下面对基于上述网络安全态势感知 系统进行网络安全态势感知的方法进行详细说明。
[0100] 实施例一
[0101] 另一方面，本发明基于上述的网络安全态势感知系统，提出一种网络安全态势感 知方法，如图3所示，包括：
[0102] 301 :采集网络中的用于进行安全态势感知的网络安全数据。
[0103] 302:将采集到的用于进行安全态势感知的网络安全数据作为预先构建的智能融 合模型的输入，计算网络安全态势。
[0104] 其中，历史网络安全数据指用于训练智能融合模型的样本数据和后期通过智能融 合模型进行网络安全态势感知的网络安全数据。
[0105] 其中，在一个实施例中，智能融合模型中包含有历史网络安全数据的时序记忆模 式，时序记忆模式至少表征了历史网络安全数据的特征点的时序关系。
[0106] 303 :将计算得到的网络安全态势的结果进行可视化。
[0107] 通过本发明实施例提供的网络安全态势感知方法实现网络安全态势感知，需要基 于HTM网络构建智能融合模型，并对该智能融合模型进行训练，然后基于该智能融合模型 进行安全态势感知。该智能融合模型在进行网络安全态势感知的过程中可以不断的学习和 自我完善。
[0108] 下面对本发明实施例提供的网络安全态势感知方法进行展开说明：
[0109] 一、构建智能融合模型包括：
[0110] 步骤A1 :获取样本数据。
[0111] 步骤A2 :根据获取的样本数据，训练智能融合模型，生成智能融合模型的时序记 忆模式。
[0112] 下面对上述两个步骤进行详细说明：
[0113] 1)对于步骤A1:
[0114] 步骤A1具体包括以下步骤B1-B3:
[0115] 步骤B1:采集用于训练智能融合模型的网络安全数据。
[0116] 其中，在一个实施例中，网络安全数据包括：应用层、网络传输层以及物理层面的 数据；其中应用层的网络安全数据将包括云计算登陆认证种类及安全等级，供应链信息应 用集成安全信息，webservice安全，解析服务安全数据等，此外，信息利用环节，企业中间 件涉及的安全数据也纳入到这一部分；对于涉及泛在网络环境的网络安全数据可以通过网 关和安管设备如防火墙、IDS等获得，网络环境包括移动通信网、计算机网络、无线网络等； 物理层的安全数据主要涉及到物联网的传感节点，可从传感器网关获得。
[0117] 步骤B2:针对采集的用于训练智能融合模型的网络安全数据，提取该数据的时空 关联特征。
[0118] 其中，时空关联特征用于得到多层面的局部时空对象的特征表述。
[0119] 步骤B3:对采集到的用于训练智能融合模型的网络安全数据以及提取的时空关 联特征进行预设定的攻击以获得特征集和攻击反馈数据集，这两个集合作为HTM网络的样 本数据。
[0120] 可以通过摒弃权重弱化的特征达到特征筛选的目的，具体的：采集的网络安全数 据中，若IDS虚警高的话可以减少IDS权重，防火墙策略可靠的话可以提高防火墙数据的权 重。
[0121] 其中，在一个实施例中，步骤B3可具体执行为：对采集到的网络安全数据以及提 取的时空关联特征进行预设定的攻击，获取鲁棒性高的时空关联特征，其中，对于每一种攻 击，由对应于该攻击的鲁棒性高的时空关联特征形成对应于该攻击的特征集；并根据进行 预设定的攻击后的结果，获取与该攻击对应的安全攻击反馈数据集。
[0122] 其中，在特征筛选的过程中可以摒弃权重弱化的特征达到特征筛选的目的，具体 的如：采集的网络安全数据中若IDS虚警高的话可以减少IDS权重，防火墙策略可靠的话可 以提高防火墙数据的权重。
[0123] 至此，样本数据的获取过程已经阐述清楚，下面介绍一下HTM网络的训练学习过 程。
[0124] 2)对于步骤A2
[0125] 智能融合模型的设计确定了分层结构的大小与架构，然后为分层结构提供感知数 据来训练它。感知数据来自业务中的历史网络安全数据（在智能融合模型的初始形成阶 段，该感知数据即为前述采集到的网络安全数据）。重要的是在分层中，有许多数据用来训 练，而且数据是具有时间这一基本元素。在供应链信息流安全分析中，为了进行有效的学 习，都需要在时间的流逝中观察一组模式。由此，步骤A2可具体执行为：
[0126] 步骤C1 :将特征集和攻击反馈数据集作为HTM算法的样本数据，输入给智能融合 模型。
[0127] 其中，在一个实施例中，智能融合模型为F层，除最低层外其他层的各节点拥有N 个子节点，其中，F和N均大于等于2。
[0128] 其中，需要说明的是，除底层外其他各层的节点的子节点的数目可以相同也可以 不相同，可以视实际需要进行设定，本发明对此不做限定。
[0129] 步骤C2 :智能融合模型根据输入的样本数据进行学习，并形成与各层的节点对应 的时序记忆模式。
[0130] 在智能融合模型中，当由高层到低层，节点数量指数级扩展时，可以有效实现大规 模信息流的态势汇聚。如图4所示，可以构建3层HTM网络作为智能融合模型，每一层中每 一个网格表示一个节点，每一个节点为一个特征描述区域。上层的一个节点对应下层的4 个节点。该HTM网络中，每个节点的输入都是一组模式构成的时间序列，每一层都用于进行 安全数据聚融，第3层的节点（即最高层的节点）用来实现最终的态势汇聚。具体的，在该 HTM网络中，最低层（即第1层）用于接收样本数据（特征集和安全攻击反馈数据集），进 行安全信息流处理。该样本数据还可以由第三方设备提供，如由安管设备提供安全特征值 序列，可以通过多维向量引入安全特征值序列。对于每一层：第1层的各节点对输入的样本 数据进行学习，形成并记忆样本数据之间的时序特征模式，然后将时序特征模式数据作为 第二层的输入。第2层的各节点对时序特征模式进行分析，形成并记忆时序特征模式中稳 定的特征，从而形成中间层模式（可以理解为第2层的实现特征模式），并将中间层模式作 为第3层的输入。第3层为融合输出层，它基于大量已得到训练的中间层模式，将空间及时 间变化特征一致的中间层模式归为一类，并可以统一输出网络安全态势感知结果，如对当 前网络安全态势的评估结果和预测结果。
[0131] 例如，样本数据中包括入侵检测数据、防火墙数据和系统安全漏洞数据；除去量 纲，保留影响因子，对该样本数据归一化处理后的结果为：入侵检测安全为3,防火墙安全 为1，系统安全漏洞为1，空间矩阵化为[311]，该矩阵图示如图5所示。根据该空间矩阵获 得3*3大小的特征矩阵作为信息流输入特征数据作为第1层的输入，对于图4中标识为a 的节点，它的输入为一个"拐角形"特征的描述，如果该空间矩阵向右移动一帧，也就是在下 一个时刻，该节点的输入对应的是一个变化后的"拐角形"；
[0132]如：

【权利要求】
1. 一种网络安全态势感知系统，其特征在于，所述系统包括： 采集模块，用于采集网络中的用于进行安全态势感知的网络安全数据； 感知模块，用于将采集到的用于进行安全态势感知的网络安全数据作为预先构建的智 能融合模型的输入，计算网络安全态势； 可视化模块，用于将计算得到的网络安全态势的结果进行可视化。
2. 根据权利要求1所述的系统，其特征在于， 所述智能融合模型为F层，上一层的每个节点在下一层拥有N个子节点，其中2,且 N > 2 ; 所述智能融合模型中包含有历史网络安全数据的时序记忆模式，所述时序记忆模式至 少表征了历史网络安全数据的特征点的时序关系。
3. 根据权利要求2所述的系统，其特征在于，所述系统还包括： 训练数据采集模块，用于采集用于训练智能融合模型的网络安全数据； 特征提取模块，用于针对采集的用于训练智能融合模型的网络安全数据，提取该数据 的时空关联特征； 样本数据确定模块，用于对采集到的用于训练智能融合模型的网络安全数据W及提取 的时空关联特征进行预设定的攻击W获得特征集和攻击反馈数据集，该两个集合作为智能 融合模型的样本数据； 训练模块，用于根据获取的样本数据，训练智能融合模型，生成智能融合模型的时序记 忆模式。
4. 根据权利要求3所述的系统，其特征在于，所述训练模块，包括： 输入单元，用于将特征集和攻击反馈数据集作为智能融合算法的样本数据，输入给智 能融合模型； 学习单元，用于智能融合模型根据输入的样本数据进行学习，并形成与各层的节点对 应的时序记忆模式。
5. 根据权利要求1所述的系统，其特征在于，所述感知模块，包括： 输入模式提取单元，用于提取网络安全数据的时间序列作为一组输入模式，输入给智 能融合模型； 处理单元，用于通过预先构建的智能融合模型，计算输入模式与智能融合模型的时序 记忆模式的匹配概率，并将匹配概率大于预设阔值的时序记忆模式作为最终匹配的时序记 忆模式，形成态势特征结果集，用于进行可视化。
6. 根据权利要求5所述的系统，其特征在于，所述可视化模块，用于将态势特征结果集 中的时序记忆模式，与预先存储的时空数据片段进行特征匹配，输出匹配结果，将匹配结果 作为可视化片段。
7. 根据权利要求6所述的系统，其特征在于，所述系统还包括： 记录模块，用于所述可视化模块将态势特征结果集中的时序记忆模式，与预先存储的 时空数据片段进行特征匹配之后，记录每个可视化片段的特征点的空间，时间和主方向供 可视化使用； 第一划分模块，用于W主方向为起点，W特征点为中也，将可视化空间划分为P个扇形 区域，其中，P〉1 ; 第二划分模块，用于w特征点所在时空位置为基点划分时域推演区间为前后两个区间 来明确历史态势和未来态势关系，将时空空间划分为化个区间； 时空编码建立模块，用于按时间先后顺序和预设的空间顺序对每个区间设好索引，建 立起该特征点的特征和其他特征点的特征的时空编码关系，其中，所述时空编码关系是依 据时间轴建立的安全特征变化数据集； 校验模块，用于根据时空编码关系生成分别与可视化片段和时空片段对应的时空检验 矩阵Mv和M。，然后将Mv和Me进行异或运算，得到异或矩阵Dve，并分析异或矩阵Dw中的非 零元素所在的行和列，从而剔除掉错误的匹配； 输出模块，用于用直方图相似选优算法做出相似性判断，输出匹配结果。
8. -种网络安全态势感知方法，其特征在于，所述方法包括： 采集网络中的用于进行安全态势感知的网络安全数据； 将采集到的用于进行安全态势感知的网络安全数据作为预先构建的智能融合模型的 输入，计算网络安全态势； 将计算得到的网络安全态势的结果进行可视化。
9. 根据权利要求8所述的方法，其特征在于， 所述智能融合模型为F层，上一层的每个节点在下一层拥有N个子节点，其中2,且 N > 2 ; 所述智能融合模型中包含有历史网络安全数据的时序记忆模式，所述时序记忆模式至 少表征了历史网络安全数据的特征点的时序关系。
10. 根据权利要求9所述的方法，其特征在于，所述智能融合模型根据W下方法构建： 采集用于训练智能融合模型的网络安全数据； 针对采集的用于训练智能融合模型的网络安全数据，提取该数据的时空关联特征； 对采集到的用于训练智能融合模型的网络安全数据W及提取的时空关联特征进行预 设定的攻击W获得特征集和攻击反馈数据集，该两个集合作为智能融合模型的样本数据； 根据获取的样本数据，训练智能融合模型，生成智能融合模型的时序记忆模式。
11. 根据权利要求10所述的方法，其特征在于，所述根据获取的样本数据，训练智能融 合模型，生成智能融合模型的时序记忆模式，包括： 将特征集和攻击反馈数据集作为智能融合算法的样本数据，输入给智能融合模型； 智能融合模型根据输入的样本数据进行学习，并形成与各层的节点对应的时序记忆模 式。
12. 根据权利要求8所述的方法，其特征在于，所述将采集到的网络安全数据作为预先 构建的智能融合模型的输入，计算网络安全态势，包括： 提取网络安全数据的时间序列作为一组输入模式，输入给智能融合模型； 通过预先构建的智能融合模型，计算输入模式与智能融合模型的时序记忆模式的匹配 概率，并将匹配概率大于预设阔值的时序记忆模式作为最终匹配的时序记忆模式，形成态 势特征结果集，用于进行可视化。
13. 根据权利要求12所述的方法，其特征在于，所述将计算得到的网络安全态势的结 果进行可视化，包括： 将态势特征结果集中的时序记忆模式，与预先存储的时空数据片段进行特征匹配，输 出匹配结果，将匹配结果作为可视化片段。
14.根据权利要求13所述的方法，其特征在于，所述将态势特征结果集中的时序记忆 模式，与预先存储的时空数据片段进行特征匹配之后，所述方法还包括： 记录每个可视化片段的特征点的空间，时间和主方向供可视化使用； W主方向为起点，W特征点为中也，将可视化空间划分为P个扇形区域，其中，P〉1 ; W特征点所在时空位置为基点划分时域推演区间为前后两个区间来明确历史态势和 未来态势关系，将时空空间划分为化个区间； 按时间先后顺序和预设的空间顺序对每个区间设好索引，建立起该特征点的特征和其 他特征点的特征的时空编码关系，其中，所述时空编码关系是依据时间轴建立的安全特征 变化数据集； 根据时空编码关系生成分别与可视化片段和时空片段对应的时空检验矩阵Mv和M。，然 后将Mv和M。进行异或运算，得到异或矩阵Dve，并分析异或矩阵Dw中的非零元素所在的行 和列，从而剔除掉错误的匹配； 用直方图相似选优算法做出相似性判断，输出匹配结果。
【文档编号】H04L29/06GK104348829SQ201410505350
【公开日】2015年2月11日 申请日期:2014年9月26日 优先权日:2014年9月26日
【发明者】萧海东, 陈宁 申请人:智慧城市信息技术有限公司