一种多维度信息安全风险评估方法、系统及存储介质与流程

本发明涉及信息安全，更具体的，涉及一种多维度信息安全风险评估方法、系统及存储介质。

背景技术：

1、随着信息化和经济全球化的发展，互联网已经深入到人们生活的方方面面，给人们的生活带来了巨大的变化，一方面，由于互联网的开放性，信息系统自身的缺陷、敏感信息的泄露、计算机病毒的泛滥以及黑客入侵等，导致各种信息系统和平台面临着巨大的安全隐患，信息安全问题日渐凸显，另一方面，新的网络环境不断涌现，如大数据、云计算等，使得信息安全问题进一步加剧，信息安全风险评估系统主要用于对信息安全进行评估，通过识别、衡量、分析风险，进而在评估的基础上有效控制风险。

2、信息安全评估可以帮助组织识别潜在的威胁和漏洞，并为其提供信息安全管理的指导和建议。贝叶斯网络算法和模糊故障树方法是传统的信息安全风险评估方法，传统方法不具有对网络信息的隐形关联信息的安全风险评估能力，因此网络信息安全风险评估的结果不具有可信性，而且因为网络信息结构的多样性，网络信息安全风险存在不确定性和复杂性，为了提高系统对网络信息安全风险评估的准确性，需要一种高效、高精度的网络信息安全风险评估系统。因此，在信息安全风险评估中，如何利用机器学习融合多维度特征提高安全性识别能力是亟不可待需要解决的问题。

技术实现思路

1、为了解决上述技术问题，本发明提出了一种多维度信息安全风险评估方法、系统及存储介质。

2、本发明第一方面提供了一种多维度信息安全风险评估方法，包括：

3、获取目标信息系统中的多源时序数据序列，将所述多源时序数据序列进行预处理，并根据时序数据序列对应的业务主机信息设置数据标签；

4、通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建有向异构图，并将所述有向异构图映射到低维向量空间；

5、根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取，获取信息安全的多维度特征进行特征融合，将融合特征作为有向异构图中节点的附加节点特征；

6、基于图卷积神经网络及lstm构建信息安全评估模型，利用图卷积神经网络对有向异构图进行表示学习，根据更新后的节点表示输入到lstm网络，确定目标信息系统的信息安全风险。

7、本方案中，获取目标信息系统中的多源时序数据序列，将所述多源时序数据序列进行预处理，并根据时序数据序列对应的业务主机信息设置数据标签，具体为：

8、获取目标信息系统中对应的业务信息，提取业务类别信息进行分类，根据业务信息获取对应的业务主机，提取业务主机对应的多源时序数据序列，根据业务主机的ip信息及业务类别信息设置时序数据序列的数据标签；

9、将不同数据标签下的时序数据序列进行汇聚，得到不同业务主机下的数据集，基于数据集进行学习分析业务主机的历史数据特征，将不同历史数据特征与业务主机的ip进行匹配；

10、当业务主机检测到时序数据序列与历史数据特征存在偏差时，则生成信息损失异常标记，根据信息损失异常标记提取时序数据序列的数据特征，与漏洞数据库进行匹配，获取业务主机的漏洞信息。

11、本方案中，通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建异构图，具体为：

12、获取目标信息系统的网络拓扑结构，提取业务主机运行的业务及服务信息，将业务主机的ip信息、属性信息及对应的漏洞集合对业务主机进行联合表示；

13、基于所述网络拓扑结构建立有向异构图，将业务主机作为有向异构图中的节点，根据业务主机之间的数据传输设置节点之间的边结构；

14、根据大数据手段获取各业务主机对应的漏洞集合中各漏洞的基本字段，在基本字段中获取漏洞类别的详细描述及攻击方式，提取所述详细描述及攻击方式的关键词信息；

15、根据所述关键词信息确定漏洞的类别信息，通过所述漏洞的类别信息确定漏洞的类别关联，另外，根据漏洞的类别信息在相关漏洞数据库中检索漏洞实例，在漏洞实例中获取符合预设要求的漏洞实例数据；

16、在漏洞集合中选取目标漏洞，获取漏洞实例数据中包含目标漏洞和其他漏洞以及目标漏洞与其他漏洞的条件概率，根据所述条件概率确定攻击关联；

17、根据所述类别关联及攻击关联获取漏洞之间的攻击指向，基于所述攻击指向对节点之间边结构进行更新，将有向异构图映射到低维向量空间，进行低维向量空间嵌入表示。

18、本方案中，根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取，获取信息安全的多维度特征进行特征融合，将融合特征作为有向异构图中节点的附加节点特征，具体为：

19、获取不同业务主机对应的时序数据序列，根据时序数据序列获取业务主机的数据量变化，通过所述数据量变化表征各业务主机的自身信息安全特征；

20、获取不同业务主机对应的漏洞集合，提取漏洞集合中各漏洞的攻击方式、漏洞的攻击字段获取攻击数据集合，并根据攻击数据集合获取某时刻的漏洞攻击数据占业务主机数据量的占比比例，根据攻击数据集合及占比比例表征各业务主机的其他信息安全特征；

21、将业务主机的自身信息安全特征与其他信息安全特征进行特征融合，进行信息安全特征的联合表征，将融合特征作为节点的附加节点特征。

22、本方案中，基于图卷积神经网络及lstm构建信息安全评估模型，利用图卷积神经网络对有向异构图进行表示学习，具体为：

23、通过图卷积神经网络及lstm网络进行组合构建信息安全评估模型，基于图卷积神经网络对有向异构图进行学习，通过业务主机节点的欧氏距离构建业务主机节点的邻居矩阵；

24、获取目标信息系统中各业务主机之间的数据交互情况，选取目标业务主机节点及对应的邻居业务主机节点，根据所述数据交互情况得到目标业务主机节点与邻居业务主机节点的数据交互总量；

25、根据目标业务主机节点和各邻居业务主机节点的数据交互量与所述数据交互总量的比值设置邻居业务主机节点初始权重，根据初始权重得到业务主机节点的初始向量表示；

26、通过注意力机制得到业务主机之间的注意力矩阵，根据所述注意力矩阵获取对应的注意力权重，根据注意力权重进行邻居聚合机制，通过邻居业务主机节点的节点特征更新业务主机节点的特征表示；

27、通过图卷积神经网络生成具备多维度信息安全特征的业务主机节点表示。

28、本方案中，根据更新后的节点表示输入到lstm网络，确定目标信息系统的信息安全风险，具体为：

29、通过大数据获取数据安全数据集，对数据安全数据集进行漏洞扫描，将漏洞进行划分，划分为训练集及验证集，对信息安全评估模型进行训练测试；

30、通过图卷积神经网络获取特征更新表示后的业务主机节点，获取对应的低维特征向量表示，导入lstm网络，利用网络中的门控单元对各业务主机的信息安全进行预测；

31、根据各业务主机的信息安全特征识别业务主机节点中的关键威胁节点，将业务节点的预测信息安全特征进行加权获取目标信息系统的信息安全风险。

32、本发明第二方面还提供了一种多维度信息安全风险评估系统，该系统包括：存储器、处理器，所述存储器中包括一种多维度信息安全风险评估方法程序，所述一种多维度信息安全风险评估方法程序被所述处理器执行时实现如下步骤：

33、获取目标信息系统中的多源时序数据序列，将所述多源时序数据序列进行预处理，并根据时序数据序列对应的业务主机信息设置数据标签；

34、通过目标信息系统网络拓扑结构中各业务主机对应的数据联系构建有向异构图，并将所述有向异构图映射到低维向量空间；

35、根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取，获取信息安全的多维度特征进行特征融合，将融合特征作为有向异构图中节点的附加节点特征；

36、基于图卷积神经网络及lstm构建信息安全评估模型，利用图卷积神经网络对有向异构图进行表示学习，根据更新后的节点表示输入到lstm网络，确定目标信息系统的信息安全风险。

37、本发明第三方面还提供一种计算机可读存储介质，所述计算机可读存储介质中包括一种多维度信息安全风险评估方法程序，所述一种多维度信息安全风险评估方法程序被处理器执行时，实现如上述任一项所述的一种多维度信息安全风险评估方法的步骤。

38、本发明公开了一种多维度信息安全风险评估方法、系统及存储介质，包括：获取目标信息系统中的多源时序数据序列，根据时序数据序列对应的业务主机信息设置数据标签；通过目标信息系统中各业务主机对应的数据联系构建有向异构图，根据多源异构的时序数据序列对目标信息系统中的信息安全特征进行提取，获取信息安全的多维度特征进行特征融合，作为节点特征；基于图卷积神经网络及lstm构建信息安全评估模型，利用图卷积神经网络对有向异构图进行表示学习，根据更新后的节点表示输入到lstm网络，确定目标信息系统的信息安全风险。本发明通过图卷积神经网络获取不同风险点的关联，能够实现关键威胁点的分析及预测，使得安全评估效果更加显著及精准。