一种网络安全态势预测方法、系统及设备

本发明涉及网络安全领域，特别是涉及一种网络安全态势预测方法、系统及设备。

背景技术：

1、随着网络规模和复杂性不断增大，网络的攻击技术不断革新，新型攻击工具大量涌现，传统的网络安全技术显得力不从心，网络入侵不可避免，网络安全问题越发严峻。网络安全态势感知技术成为最高效、最快速的解决方案。它对影响网络安全的诸多要素进行获取、理解、构建相应的评估和预测模型，未来的发展趋势，为网络管理者提供决策支持。

2、网络安全态势预测是根据历史态势评估数据，预测未来的网络状态。网络安全态势预测的方法大多数都是卷积神经网络和循环结构网络，该类模型虽然相比其他传统统计学模型能够很好地解决预测问题，但是对于时序信息进行顺序提取并不断向后传递，容易出现梯度消失和梯度爆炸问题，致使模型难以训练或无法训练，网络安全态势预测精度低。

技术实现思路

1、本发明的目的是提供一种网络安全态势预测方法、系统及设备，以解决由于梯度消失和梯度爆炸导致的网络安全态势预测精度低的问题。

2、为实现上述目的，本发明提供了如下方案：

3、一种网络安全态势预测方法，包括：

4、将网络安全数据集划分为训练集及测试集；

5、利用所述训练集训练cot-informer模型；所述cot-informer模型包括cotnet网络以及改进的informer编码器；所述改进的informer编码器包括跨阶段多头概率稀疏自注意力机制以及蒸馏机制；所述跨阶段多头概率稀疏自注意力机制为属于cnn的自我注意机制；所述跨阶段多头概率稀疏自注意力机制是通过融合跨阶段局部网络与多头概率稀疏自注意力模块中的多头概率稀疏自注意力机制，并加入densenet机制形成的；所述跨阶段多头概率稀疏自注意力机制能够挖掘所述网络安全数据集中时序数据的局部特征；所述蒸馏机制用于抽取所述时序数据中的注意力信息；

6、根据模型泛化性能以及训练次数，生成训练好后的cot-informer模型；

7、将所述测试集输入至所述训练好后的cot-informer模型中，确定网络安全态势预测结果；所述网络安全态势预测结果包括受到攻击状态以及未受到攻击状态。

8、可选的，将网络安全数据集划分为训练集及测试集，之前还包括：

9、对所述网络安全数据集中的时序数据依次进行数值化处理、数值标准化处理、数值归一化处理以及时间序列化处理，生成预处理后的网络安全数据。

10、可选的，所述cot-informer模型的构建过程具体包括：

11、将所述训练集中的时序数据作为输入特征输入至所述cotnet网络中，并对所述输入特征进行分组卷积操作，确定局部上下文信息；

12、对所述局部上下文信息进行静态建模，确定局部静态上下文建模；

13、将所述局部静态上下文建模与查询层进行拼接，并对拼接结果进行两次连续的卷积操作，得到第一交互矩阵；

14、将所述第一交互矩阵与属性值相乘，确定全局动态上下文建模；

15、根据所述局部静态上下文建模以及所述全局动态上下文建模确定cot结果；

16、将所述cot结果输入至所述改进后的informer编码器中，依次经过第一跨阶段多头概率稀疏自注意力机制、第一蒸馏机制、第二跨阶段多头概率稀疏自注意力机制以及第二蒸馏机制，得到输出特征；

17、将所述输出特征输入至全连接层，构建cot-informer模型。

18、可选的，所述跨阶段多头概率稀疏自注意力机制的处理过程，具体包括：

19、将所述cot结果输入至dense模块，并按照维度将所述cot结果划分为两部分；

20、卷积操作：一部分cot结果输入至卷积层，得到卷积后的结果；

21、多头概率稀疏自注意力处理：另一部分cot结果输入至维度为所述卷积层一半的多头概率稀疏自注意力模块；

22、在所述多头概率稀疏自注意力模块中使用多个独立的注意力头处理另一部分cot结果，线性变换和拼接多个注意力头结果，得到多头概率稀疏自注意力结果；

23、令所述卷积后的结果以及所述多头概率稀疏自注意力结果在通道维度上进行拼接，得到拼接后的结果；

24、将拼接后的结果作为所述cot结果，重复进行卷积操作以及多头概率稀疏自注意力处理，确定输出结果。

25、可选的，所述蒸馏机制，具体包括：依次连接的一维卷积层以及最大池化层。

26、可选的，根据模型泛化性能以及训练次数，生成训练好后的cot-informer模型，具体包括：

27、判断当前迭代的cot-informer模型的模型泛化性能是否优于上一次迭代的cot-informer模型；

28、若当前迭代的cot-informer模型的模型泛化性能优于上一次迭代的cot-informer模型，保留所述当前迭代的判断当前迭代次数是否达到训练次数，并判断当前迭代次数是否达到训练次数；若当前迭代次数达到训练次数，确定所述当前迭代的cot-informer模型为训练好后的cot-informer模型；若当前迭代次数未达到训练次数，重新训练所述cot-informer模型；

29、若当前迭代的cot-informer模型的模型泛化性能未优于上一次迭代的cot-informer模型，判断当前迭代次数是否达到训练次数。

30、一种网络安全态势预测系统，包括：

31、划分模块，用于将网络安全数据集划分为训练集及测试集；

32、训练模块，用于利用所述训练集训练cot-informer模型；所述cot-informer模型包括cotnet网络以及改进的informer编码器；所述改进的informer编码器包括跨阶段多头概率稀疏自注意力机制以及蒸馏机制；所述跨阶段多头概率稀疏自注意力机制为属于cnn的自我注意机制；所述跨阶段多头概率稀疏自注意力机制是通过融合跨阶段局部网络与多头概率稀疏自注意力模块中的多头概率稀疏自注意力机制，并加入densenet机制形成的；所述跨阶段多头概率稀疏自注意力机制能够挖掘所述网络安全数据集中时序数据的局部特征；所述蒸馏机制用于抽取所述时序数据中的注意力信息；

33、训练好后的cot-informer模型生成模块，用于根据模型泛化性能以及训练次数，生成训练好后的cot-informer模型；

34、网络安全态势预测结果确定模块，用于将所述测试集输入至所述训练好后的cot-informer模型中，确定网络安全态势预测结果；所述网络安全态势预测结果包括受到攻击状态以及未受到攻击状态。

35、可选的，所述cot-informer模型的构建过程具体包括：

36、局部上下文信息确定单元，用于将所述训练集中的时序数据作为输入特征输入至所述cotnet网络中，并对所述输入特征进行分组卷积操作，确定局部上下文信息；

37、第一建模单元，用于对所述局部上下文信息进行静态建模，确定局部静态上下文建模；

38、第一交互矩阵生成单元，用于将所述局部静态上下文建模与查询层进行拼接，并对拼接结果进行两次连续的卷积操作，得到第一交互矩阵；

39、第二建模单元，用于将所述第一交互矩阵与属性值相乘，确定全局动态上下文建模；

40、cot结果确定单元，用于根据所述局部静态上下文建模以及所述全局动态上下文建模确定cot结果；

41、输出特征确定单元，用于将所述cot结果输入至所述改进后的informer编码器中，依次经过第一跨阶段多头概率稀疏自注意力机制、第一蒸馏机制、第二跨阶段多头概率稀疏自注意力机制以及第二蒸馏机制，得到输出特征；

42、cot-informer模型构建单元，用于将所述输出特征输入至全连接层，构建cot-informer模型。

43、一种电子设备，包括存储器及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行上述网络安全态势预测方法。

44、可选的，所述存储器为非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述网络安全态势预测方法。

45、根据本发明提供的具体实施例，本发明公开了以下技术效果：本发明实施例将网络安全数据集划分为训练集及测试集，并对即插即用视觉识别模块(cot)-多头概率稀疏自注意力机制(informer)模型进行训练，生成训练好后的cot-informer模型，并将测试集输入至训练好后的cot-informer模型，确定网络安全态势预测结果；其中，cot-informer模型包括cotnet网络以及改进的informer编码器；所述改进的informer编码器包括跨阶段多头概率稀疏自注意力机制以及蒸馏机制；所述跨阶段多头概率稀疏自注意力机制为属于cnn的自我注意机制；所述跨阶段多头概率稀疏自注意力机制是通过融合跨阶段局部网络与多头概率稀疏自注意力模块中的多头概率稀疏自注意力机制，并加入densenet机制形成的；所述跨阶段多头概率稀疏自注意力机制能够挖掘所述网络安全数据集中时序数据的局部特征；所述蒸馏机制用于抽取所述时序数据中的注意力信息。本发明所构建的cot-informer模型能够有效的在时间与空间上提取数据的特征，比传统的cnn提取数据空间特征和lstm提取时间特征的混合模型更简洁、高效；且本发明提出的属于cnn的自我注意机制(probsparse cdn-attention)，在参数量和计算量不增加的情况下缓解梯度消失以及梯度爆炸问题，减少计算量和训练时间，提高网络性能，从而网络安全态势预测精度。