一种云平台安全状态预测方法、装置、设备及存储介质与流程

本申请涉及计算机应用技术领域，特别是涉及一种云平台安全状态预测方法、装置、设备及存储介质。

背景技术：

随着计算机技术的快速发展，云平台逐渐发展起来，云平台的应用越来越广泛，逐渐成为企业数字化建设以及日常生产中重要的一部分。在云平台运行过程中，安全事件的影响范围越来越大，而且，随着攻击手段的复杂化，安全问题已经成为网络发展需要重点解决和关注的问题。

通过对云平台进行安全状态预测，预测云平台在未来一段时间内的安全状态变化可以有效解决安全问题。

如何对云平台进行安全状态预测，是目前本领域技术人员急需解决的技术问题。

技术实现要素：

本申请的目的是提供一种云平台安全状态预测方法、装置、设备及存储介质，以快速、准确地对云平台的安全状态进行预测。

为解决上述技术问题，本申请提供如下技术方案：

一种云平台安全状态预测方法，包括：

获得云平台中设定时间段内的威胁情报数据；

利用训练获得的逻辑回归模型，确定所述设定时间段内的每个威胁情报数据的类别，所述逻辑回归模型为：基于历史时间段内的威胁情报数据及其类别训练获得的；

基于所述设定时间段内的设定类别的威胁情报数据，对所述云平台的安全状态进行预测。

在本申请的一种具体实施方式中，通过以下步骤训练获得所述逻辑回归模型：

获得所述历史时间段内的威胁情报数据；

将所述历史时间段内的威胁情报数据转换为数据矩阵；

确定所述历史时间段内的每个威胁情报数据的类别；

基于所述数据矩阵和每个威胁情报数据的类别，训练获得所述逻辑回归模型。

在本申请的一种具体实施方式中，所述将所述历史时间段内的威胁情报数据转换为数据矩阵，包括：

按照向量的元素属性，分别提取所述历史时间段内每个威胁情报数据中的相关信息，形成数据矩阵。

在本申请的一种具体实施方式中，所述确定所述历史时间段内的每个威胁情报数据的类别，包括：

对所述历史时间段内的威胁情报数据进行聚类处理；

根据聚类结果，确定每个威胁情报数据的类别。

在本申请的一种具体实施方式中，所述基于所述数据矩阵和每个威胁情报数据的类别，训练获得所述逻辑回归模型，包括：

确定初始逻辑回归模型；

将所述数据矩阵输入到所述初始逻辑回归模型中，获得每个威胁情报数据的类别输出；

基于每个威胁情报数据的类别输出与确定的每个威胁情报数据的类别的偏差，构造损失函数；

确定所述损失函数的最小值，获得所述逻辑回归模型。

在本申请的一种具体实施方式中，所述基于所述设定时间段内的设定类别的威胁情报数据，对所述云平台的安全状态进行预测，包括：

根据所述设定时间段内的设定类别的威胁情报数据，确定所述云平台的各组件的安全状态；

根据各组件的安全状态，预测所述云平台的安全状态。

在本申请的一种具体实施方式中，在所述基于所述设定时间段内的设定类别的威胁情报数据，对所述云平台的安全状态进行预测之后，还包括：

获得基于对所述云平台的安全状态的预测结果的异常分析结果；

根据所述异常分析结果，更新迭代所述逻辑回归模型。

一种云平台安全状态预测装置，包括：

数据获得模块，用于获得云平台中设定时间段内的威胁情报数据；

类别确定模块，用于利用训练获得的逻辑回归模型，确定所述设定时间段内的每个威胁情报数据的类别，所述逻辑回归模型为：基于历史时间段内的威胁情报数据及其类别训练获得的；

安全状态预测模块，用于基于所述设定时间段内的设定类别的威胁情报数据，对所述云平台的安全状态进行预测。

一种云平台安全状态预测设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现上述任一项所述云平台安全状态预测方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述云平台安全状态预测方法的步骤。

应用本申请实施例所提供的技术方案，获得云平台中设定时间段内的威胁情报数据后，利用逻辑回归模型，可以快速并较为准确地确定出设定时间段内每个威胁情报数据的类别，从而使得基于设定类别的威胁情报数据，对于云平台的安全状态的预测更为准确，以便基于预测得到的安全状态及时执行预防措施，保障云平台的正常运行。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例中云平台安全状态预测方法的一种实施流程图；

图2为本申请实施例中云平台安全状态预测方法应用场景示意图；

图3为本申请实施例中云平台安全状态预测方法的另一种实施流程图；

图4为本申请实施例中一种云平台安全状态预测装置的结构示意图；

图5为本申请实施例中一种云平台安全状态预测设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面结合附图和具体实施方式对本申请作进一步的详细说明。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

参见图1所示，为本申请实施例所提供的一种云平台安全状态预测方法的实施流程图，该方法可以包括以下步骤：

s110：获得云平台中设定时间段内的威胁情报数据。

所谓云平台，也可称为云计算平台，是指基于硬件资源和软件资源的服务，提供计算、网络和存储能力的平台。云平台允许开发者们将写好的程序放在“云”里运行，或是使用“云”里提供的服务。

在云平台运行过程中，可能会受到攻击，发生安全事件。在需要对云平台进行安全状态预测时，可以获得云平台中设定时间段内的威胁情报数据。在实际应用中，可以按照设定时间间隔获得云平台中设定时间段的威胁情报数据，或者在接收到安全状态预测触发指令时，获得云平台中设定时间段内的威胁情报数据。

设定时间段可以是包括当前时刻在内的一段时间，还可以是当前时刻之前某个特定的时间段。

在实际应用中，可以通过威胁中心中获得威胁情报数据。威胁中心包含大量的安全事件信息，并且具备更新能力，通过威胁中心可以获得最新的威胁情报数据。威胁中心可以包括内源威胁中心和外源威胁中心，相应的，威胁情报数据可以包括内部威胁情报数据和外部威胁情报数据。内部威胁情报数据主要来自于云平台内部的安全组件，如下一代防火墙、上网行为审计、终端检测响应系统、漏洞扫描、数据库审计、运维安全管理等安全组件。外部威胁情报数据主要来自于在线的情报分析系统。

s120：利用训练获得的逻辑回归模型，确定设定时间段内的每个威胁情报数据的类别。

在本申请实施例中，可以通过预先训练获得逻辑回归模型。逻辑回归(logisticregression)模型是一种广义的线性回归分析模型，可以基于历史时间段内的威胁情报数据及其类别训练获得。利用逻辑回归模型，可以对每个威胁情报数据进行分类，确定每个威胁情报数据的类别。

威胁情报数据的类别，可以根据优先级进行划分，划分为高优先级类别、中优先级类别、低优先级类别等。如ddos(distributeddenialofserviceattack，分布式拒绝服务攻击)等对业务产生影响的威胁情报数据属于高优先级类别，负载过高等威胁预警的威胁情报数据属于中优先级类别，管理员运维信息的威胁情报数据属于低优先级类别。

在实际应用中，可以先按照向量的元素属性，分别提取设定时间段内每个威胁情报数据中的相关信息，形成数据矩阵，然后将该数据矩阵输入到逻辑回归模型中，得到每个威胁情报数据的类别的输出结果。

s130：基于设定时间段内的设定类别的威胁情报数据，对云平台的安全状态进行预测。

本申请中，可以设定具体要利用哪一个或者多个类别的威胁情报数据进行云平台的安全状态预测。

基于设定时间段内设定类别的威胁情报数据，可以对云平台的安全状态进行预测，如对云平台当前环境的安全态势进行评估，预测未来一段时间内的安全状态变化，也可称为安全态势感知。这样管理人员可以提前做出预防措施。如预测到云平台的漏洞会受到攻击，则可以提前打漏洞补丁，进行漏洞修复。

应用本申请实施例所提供的方法，获得云平台中设定时间段内的威胁情报数据后，利用逻辑回归模型，可以快速并较为准确地确定出设定时间段内每个威胁情报数据的类别，从而使得基于设定类别的威胁情报数据，对于云平台的安全状态的预测更为准确，以便基于预测得到的安全状态及时执行预防措施，保障云平台的正常运行。

在本申请的一个实施例中，可以通过以下步骤训练获得逻辑回归模型：

步骤一：获得历史时间段内的威胁情报数据；

步骤二：将历史时间段内的威胁情报数据转换为数据矩阵；

步骤三：确定历史时间段内的每个威胁情报数据的类别；

步骤四：基于数据矩阵和每个威胁情报数据的类别，训练获得逻辑回归模型。

为便于描述，将上述四个步骤结合起来进行说明。

在本申请实施例中，可以获得云平台中历史时间段内的威胁情报数据。同样，获得的威胁情报数据可以包括内部威胁情报数据和外部威胁情报数据。内部威胁情报数据主要来自于云平台内部的安全组件，如下一代防火墙、上网行为审计、终端检测响应系统、漏洞扫描、数据库审计、运维安全管理等安全组件。外部威胁情报数据主要来自于在线的情报分析系统。

历史时间段可以是进行威胁情报数据获得时刻之前较长的一个时间段，还可以是该较长时间段中的某个时间段。获得的威胁情报数据的数量需满足设定数量阈值。

将获得的历史时间段内的威胁情报数据转换为数据矩阵。具体的，可以按照向量的元素属性，分别提取历史时间段内每个威胁情报数据中的相关信息，形成数据矩阵。即对每个威胁情报数据按照属性项进行分解归类，以向量格式进行编码，形成数据矩阵。

向量的元素属性可以包括数据包连接时间、源ip(internetprotocol，网际协议)地址、源端口、目的ip地址、目的端口、tcp(transmissioncontrolprotocol，传输控制协议)/ip的连接状态等项目。

向量格式如下所示：

r(tsrc.ipsrc.portdst.ipdst.portflag)；

其中，t代表数据包连接时间，src.ip代表源ip地址，src.port代表源端口，dst.ip代表目的ip地址，dst.port代表目的端口，flag标识tcp/ip的连接状态。一个向量r即可代表一个威胁情报数据。

获得历史时间段内的威胁情报数据后，可以确定该历史时间段内的每个威胁情报数据的类别。

在本申请的一种具体实施方式中，可以对历史时间段内的威胁情报数据进行聚类处理，根据聚类结果，确定每个威胁情报数据的类别。

聚类，也可称为聚类分析(clusteranalysis)，是统计数据分析的一项技术，把相似的对象通过静态分类的方法分成不同的组别或者更多的子集(subset)，一般把数据聚类归纳为一种非监督式学习。

在本申请实施例中，获得历史时间段内的威胁情报数据后，可以对获得的威胁情报数据进行聚类处理，如k-均值聚类处理，根据聚类结果，确定每个威胁情报数据的类别，如高优先级类别、中优先级类别、低优先级类别等。

以对获得的历史时间段内的威胁情报数据进行k-均值聚类处理为例进行说明。

假设已知历史时间段内所有威胁情报数据的数据包向量为(r1,r2,…,rn)，n为威胁情报数据的总数量，平均聚类是要将这n个向量划分到k个集合中，使得组内平方和最小，即目标是寻找使得下式满足的聚类si：

其中，μi是si中所有点的均值。如果只有两种类别，如较优类别和次优类别，则k＝2，argmin表示使最小值时参数的取值。

可以通过欧几里得距离计算公式计算距离：

对获得的威胁情报数据进行k-均值聚类处理，确定每个威胁情报数据的类别的流程如下：

在获得的历史时间段内的威胁情报数据中选择k个威胁情报数据作为聚类中心，分别计算每个威胁情报数据到k个聚类中心的距离，将其归类到距离最近的那个类中，重新计算新的聚类中心，确定聚类结果是否变化，如果是，则重复执行分别计算每个威胁情报数据到k个聚类中心的距离，将其归类到距离最近的那个类中的步骤，直至计算新的聚类中心，聚类结果不再变化，输出结果，得到每个威胁情报数据的类别。

当然，在实际应用中，还可以通过人工标定方式确定历史时间段内每个威胁情报数据的类别。

将获得的历史时间段内的威胁情报数据转换为数据矩阵，并确定每个威胁情报数据的类别之后，可以基于数据矩阵和每个威胁情报数据的类别，训练获得逻辑回归模型。

在本申请的一种具体实施方式中，可以先确定初始逻辑回归模型，然后将数据矩阵输入到初始逻辑回归模型中，获得每个威胁情报数据的类别输出，基于每个威胁情报数据的类别输出与确定的每个威胁情报数据的类别的偏差，构造损失函数，再确定损失函数的最小值，获得逻辑回归模型。

在本申请实施例中，可以先选择一个预测函数，该预测函数即为初始逻辑回归模型，该预测函数可以用h表示，是一种分类函数。将数据矩阵输入到初始逻辑回归模型中，可以得到对于每个威胁情报数据的类别输出。基于每个威胁情报数据的类别输出与预先确定的每个威胁情报数据的类别的偏差，可以构造损失函数。该损失函数可以是将损失求和或者求平均，用j(θ)表示。确定损失函数的最小值，获得逻辑回归模型。

预测函数h为：

其中，θ为加权向量。

构造的损失函数j(θ)为：

其中，y表示预测函数的输出。

利用梯度下降法，可以迭代求解θ的值，获得逻辑回归模型：

其中，α为学习步长。

在实际应用中，可以在数据矩阵中选取部分矩阵，对逻辑回归模型进行训练，使用剩下的部分矩阵对逻辑回归模型进行校验，如果正确率未到达设定阈值，则可以重复进行训练、校验步骤，直至正确率达到设定阈值，获得最终可使用的逻辑回归模型。

进一步可以将逻辑回归模型部署到云平台中，在获得云平台中设定时间段内的威胁情报数据后，可以利用逻辑回归模型，确定每个威胁情报数据的类别，进而基于设定类别的威胁情报数据，对云平台的安全状态进行预测。

在本申请的一个实施例中，步骤s130可以包括以下步骤：

步骤一：根据设定时间段内的设定类别的威胁情报数据，确定云平台的各组件的安全状态；

步骤二：根据各组件的安全状态，预测云平台的安全状态。

在本申请实施例中，获得云平台中设定时间段内的威胁情报数据之后，利用逻辑回归模型，确定每个威胁情报数据的类别，根据设定类别的威胁情报数据，可以确定云平台的各组件的安全状态，如各组件是否受到攻击、攻击结果如何等，根据各组件的安全状态，可以预测云平台的安全状态。

在本申请的一个实施例中，在基于设定时间段内的设定类别的威胁情报数据，对云平台的安全状态进行预测之后，该方法还可以包括以下步骤：

步骤一：获得基于对云平台的安全状态的预测结果的异常分析结果；

步骤二：根据异常分析结果，更新迭代逻辑回归模型。

在本申请实施例中，在利用逻辑回归模型对威胁情报数据进行分类，并基于设定时间段内的设定类别的威胁情报数据，对云平台的安全状态进行预测之后，可以输出预测的云平台的安全状态，这样管理人员就可以基于该安全状态执行相应预防措施。在达到设定时间间隔时，管理人员可以对云平台的安全状态的预测结果进行分析，看是否正常，如果异常，则可以返回对云平台的安全状态的预测结果的异常分析结果。获得对云平台的安全状态的预测结果的异常分析结果之后，可以根据异常分析结果，更新迭代逻辑回归模型，以使用更新后的逻辑回归模型更为准确地对威胁情报数据进行分类，对云平台的安全状态进行更为准确的预测。

具体的，获得的对云平台的安全状态的预测结果的异常分析结果可以是对安全状态的修改结果，即改变了预测函数的输出y，θ会根据y而改变，使得逻辑回归模型进行迭代更新。

图2所示为本申请实施例的一种应用场景示意图。在实际应用中，可以将训练获得的逻辑回归模型部署到云平台，通过内部威胁中心和外部威胁中心可以获得云平台中设定时间段内的威胁情报数据，然后利用该逻辑回归模型，确定设定时间段内的每个威胁情报数据的类别，基于设定类别的威胁情报数据，对云平台的安全状态进行预测。进一步可以将预测结果在展示界面中输出。

以图3为例，对本申请实施例的方案进行整体描述。

首先，获取云平台中历史时间段内的威胁情报数据，包括内部威胁情报数据和外部威胁情报数据，然后对获得的历史时间段内的威胁情报数据进行分类，确定每个威胁情报数据的类别，将获得的历史时间段内的威胁情报数据进行编码，形成数据矩阵。基于数据矩阵和每个威胁情报数据的类别，训练获得逻辑回归模型。将训练得到的逻辑回归模型放入云平台中，利用逻辑回归模型对云平台进行安全状态的预测，即先确定云平台中设定时间段内的每个威胁情报数据的类别，再基于设定类别的威胁情报数据，对云平台的安全状态进行预测。判断安全状态的预测结果是否正常，如果正常，则继续利用该逻辑回归模型进行安全状态预测，如果异常，则更新迭代逻辑回归模型，并利用更新后的逻辑回归模型进行安全状态预测。这样将使得对于云平台的安全状态的预测结果越来越准确，从而可以基于该安全状态的预测结果及时执行预防措施，保障云平台的正常运行。

相应于上面的方法实施例，本申请实施例还提供了一种云平台安全状态预测装置，下文描述的一种云平台安全状态预测装置与上文描述的一种云平台安全状态预测方法可相互对应参照。

参见图4所示，该装置可以包括以下模块：

数据获得模块410，用于获得云平台中设定时间段内的威胁情报数据；

类别确定模块420，用于利用训练得到的逻辑回归模型，确定设定时间段内的每个威胁情报数据的类别，逻辑回归模型为：基于历史时间段内的威胁情报数据及其类别训练获得的；

安全状态预测模块430，用于基于设定时间段内的设定类别的威胁情报数据，对云平台的安全状态进行预测。

应用本申请实施例所提供的装置，获得云平台中设定时间段内的威胁情报数据后，利用逻辑回归模型，可以快速并较为准确地确定出设定时间段内每个威胁情报数据的类别，从而使得基于设定类别的威胁情报数据，对于云平台的安全状态的预测更为准确，以便基于预测得到的安全状态及时执行预防措施，保障云平台的正常运行。

在本申请的一种具体实施方式中，还包括模型训练模块，用于通过以下步骤训练获得逻辑回归模型：

获得历史时间段内的威胁情报数据；

将历史时间段内的威胁情报数据转换为数据矩阵；

确定历史时间段内的每个威胁情报数据的类别；

基于数据矩阵和每个威胁情报数据的类别，训练获得逻辑回归模型。

在本申请的一种具体实施方式中，模型训练模块，用于：

按照向量的元素属性，分别提取历史时间段内每个威胁情报数据中的相关信息，形成数据矩阵。

在本申请的一种具体实施方式中，模型训练模块，用于：

对历史时间段内的威胁情报数据进行聚类处理；

根据聚类结果，确定每个威胁情报数据的类别。

在本申请的一种具体实施方式中，模型训练模块，用于：

确定初始逻辑回归模型；

将数据矩阵输入到初始逻辑回归模型中，获得每个威胁情报数据的类别输出；

基于每个威胁情报数据的类别输出与确定的每个威胁情报数据的类别的偏差，构造损失函数；

确定损失函数的最小值，获得逻辑回归模型。

在本申请的一种具体实施方式中，安全状态预测模块430，用于：

根据设定时间段内的设定类别的威胁情报数据，确定云平台的各组件的安全状态；

根据各组件的安全状态，预测云平台的安全状态。

在本申请的一种具体实施方式中，还包括模型更新模块，用于：

在基于设定时间段内的设定类别的威胁情报数据，对云平台的安全状态进行预测之后，获得基于对云平台的安全状态的预测结果的异常分析结果；

根据异常分析结果，更新迭代逻辑回归模型。

相应于上面的方法实施例，本申请实施例还提供了一种云平台安全状态预测设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行计算机程序时实现上述云平台安全状态预测方法的步骤。

如图5所示，为云平台安全状态预测设备的组成结构示意图，云平台安全状态预测设备可以包括：处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。

在本申请实施例中，处理器10可以为中央处理器(centralprocessingunit，cpu)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。

处理器10可以调用存储器11中存储的程序，具体的，处理器10可以执行云平台安全状态预测方法的实施例中的操作。

存储器11中用于存放一个或者一个以上程序，程序可以包括程序代码，程序代码包括计算机操作指令，在本申请实施例中，存储器11中至少存储有用于实现以下功能的程序：

获得云平台中设定时间段内的威胁情报数据；

利用训练获得的逻辑回归模型，确定设定时间段内的每个威胁情报数据的类别，逻辑回归模型为：基于历史时间段内的威胁情报数据及其类别训练获得的；

基于设定时间段内的设定类别的威胁情报数据，对云平台的安全状态进行预测。

在一种可能的实现方式中，存储器11可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统，以及至少一个功能(比如声音播放功能、图像播放功能)所需的应用程序等；存储数据区可存储使用过程中所创建的数据，如威胁情报数据、模型参数数据等。

此外，存储器11可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件或其他易失性固态存储器件。

通信接口13可以为通信模块的接口，用于与其他设备或者系统连接。

当然，需要说明的是，图5所示的结构并不构成对本申请实施例中云平台安全状态预测设备的限定，在实际应用中云平台安全状态预测设备可以包括比图5所示的更多或更少的部件，或者组合某些部件。

相应于上面的方法实施例，本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述云平台安全状态预测方法的步骤。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。