一种基于数据驱动的安全策略智能编排方法与流程

本发明涉及信息系统安全，特别是一种基于数据驱动的安全策略智能编排方法。

背景技术：

1、步入21世纪后，随着互联网的普及和使用，网络安全问题日益突出。网络病毒、黑客攻击、个人信息泄露等安全问题给用户带来了巨大威胁，同时影响了互联网的经济健康，“网络空间”作为“第五空间”而备受瞩目，网络安全问题超越了传统的安全领域。面对网络空间安全领域迅猛的发展势头，以及层出不穷的网络攻击手段，如何构建快速智能的安全防护体系，实现高效的安全管理运维和威胁响应机制成为应对网络攻击的关键措施，受到越来越多的关注。

2、《基于p2dr2信息系统安全策略研究》一文提出，信息系统安全是一个动态的变化过程，信息安全策略必须随着信息系统的升级而不断改进。静态信息安全模型不能随着系统的升级而升级，其防御能力有限，不能满足信息系统的动态发展需要。动态信息安全模型能满足信息系统安全策略动态发展的需求，为信息系统中信息安全、保密的传输提供一种机制，如何构建网络安全智能防护机制，研究自动化、智能化的安全配置手段，安全策略的自动化生成机制，提升安全管理运维效率，为未来网络安全智能防护提供高效的安全管理运维手段是当前形势下计算机网络安全的迫切需求。

技术实现思路

1、鉴于此，本发明提供一种基于数据驱动的安全策略智能编排方法。

2、本发明公开了一种基于数据驱动的安全策略智能编排方法，其包括：

3、步骤1：基于at-lstm的文本语义关系抽取模型对实体要素进行抽取和分类，利用子图抽取算法，从全局信息中抽取实体关联信息，并更新相应的权重，形成面向设备的配置要求；

4、步骤2：策略编排：不同动作节点之间传递的数据是对应防护资源的状态变化信息；每一个动作节点接收到上一个节点传递的设备状态信息，校验当前相关设备的状态是否满足动作执行对设备的前置要求，如果满足则继续执行，然后根据执行成功与否输出更新后的设备状态信息到下一个节点；

5、步骤3：辅助决策：通过匹配已生成策略与既有案例进行辅助决策，为业务提供指导性决策建议；匹配算法将策略草案及既有案例都看作以动作为节点的图，相邻节点之间的有向边代表两动作依次执行的顺序；

6、步骤4：策略激励：当数据分析嵌入业务，将策略执行运用结果融合到业务过程中，指导策略编排。

7、进一步地，所述基于at-lstm的文本语义关系抽取模型包括：

8、词向量的生成；对语料库中文本信息进行分词，提取实体特征，然后将该实体特征和文本信息转换为词向量，提取出文本局部特征；实体特征包括文本实体位置、词性标注和词依赖关系；

9、at-lstm构建；将文本局部特征导入双向lstm模型中，采用注意力机制计算注意力概率，对lstm模型输入和输出的相关性进行重要度分析，根据注意力概率获取双向lstm输出特征；对引入注意力机制后lstm的输出特征进行最大池化处理，获取文本整体特征；融合文本局部特征和文本整体特征，再将融合后的特征导入分类器中进行分类，输出分类结果。

10、进一步地，所述利用子图抽取算法，从全局信息中抽取实体关联信息，并更新相应的权重，包括：

11、输入带有权重的全局图，从全局图中集合y，抽取子图的节点个数size；存储子图g中的所有节点，定义sg＝{}；对集合y中的每一个节点yi做如下操作：定义s＝{yi}，找到节点yi的所有邻居节点集合c；当s中的个数少于集合y中个数时，找出邻居节点集合c中权值最高的点v并添加到s中；将v的所有邻接添加到邻居节点集合c中；添加s中的节点到sg中；对y中的每两个节点yi和yj做如下操作：找到节点yi和yj中的路径，将路径中的所有节点加到sg中；子图抽取结束，返回子图节点集合sg；最终输出一个连接的相关子图g。

12、进一步地，在所述步骤2中：

13、基于数据流编程的思想，策略编排的数据流动有两种方式，一种是数据驱动的形式，即当前节点执行完毕后即将结果状态信息向下游节点抛出，在多分支场景下由下游节点缓存多分支状态信息，直到具备执行条件后执行链路继续推进；另一种是需求驱动的形式，当前节点在获得执行结果状态信息后并不向下游发送，而是缓存在本地队列，当下游节点需要执行动作时，逐个到上游节点处拉取最新状态信息，当全部执行状态满足后，下游节点执行对应动作。

14、进一步地，数据驱动下的策略智能编排过程主要分为实体关系映射和解析纠偏两个阶段；

15、实体关系映射阶段，借助安全基础知识库相关内容，将不同词组映射到安全基础知识库中的相应实体上，结合动词实体中的能力要求，选取名词实体中相关联的属性；

16、解析纠偏阶段，根据各个实体中的相关属性，并结合安全防护的各个维度，形成“利用某设备对某目标进行某操作”形式的多维度的面向设备的安全策略，实现对安全管理的分解细化，形成可执行的安全策略；安全策略包含执行目标和执行内容；执行目标是需要作用的防护对象集合；执行内容是针对执行目标的防护措施；在完成对安全策略主体、客体、行为的装配之后，再对安全策略执行冲突检测、任务执行顺序以及执行时间进行调度，最终完成安全策略的智能编排。

17、进一步地，在所述步骤3中，匹配算法以基于动态s树的精确子图匹配为核心，具体算法如下：

18、步骤31：将所有可能动作构成的动作集a进行one-hot编码，得到每个动作的长度为|s|的位向量表示；

19、步骤32：对于给定用户草案即查询图，记为q，对其中的任意动作节点v用数组[(v,v1),(v,v2),…,(v,vn)]表示其签名，其中，v为该节点动作的one-hot表示，vi为节点v的第i个邻居动作的one-hot位向量，n为节点v在q中的邻居个数；i＝1,2…,n；

20、步骤33：对于任意既有案例的对应图c，将其中的任意动作节点u用二元组(u,∪uj),j＝1,2,…,m表示其签名，其中，u为动作节点u的one-hot位向量，∪uj,j＝1,2,…,m为对节点u在图c中所有m个邻居节点的one-hot表示进行按位或操作所得；

21、步骤34：用步骤33中所得的节点为每一个案例图c构建s树，对于任意s树节点，同时计算其节点签名，得到节点签名(s,∪sk)；

22、步骤35：基于查询图q以及节点签名(s,∪sk)，查询节点v在案例图中的匹配候选点集；

23、步骤36：基于匹配候选点集查找查询图q在案例图c中的所有同构子图，并用同构子图个数进行打分；

24、步骤37：计算出查询图在所有案例图中的匹配得分后，即可按排序给出智能推荐结果。

25、进一步地，所述步骤34包括：

26、树中节点的容量由决定，其中，s和r为控制参数，l为节点在s树中的高度；s树中每个节点中至多存放cap个条目，每条条目内容的形式均为(签名，指针)；叶子节点中条目的签名即为步骤33中所得的各动作节点的签名，指针指向对应动作节点；非叶子节点条目的指针分别指向其子树，条目签名为所指子树根节点中所有条目签名的按位或；对于任意s树节点，同时计算其节点签名，计算方法为对节点中所有条目签名进行按位或，得到节点签名(s,∪sk)。

27、进一步地，所述步骤35包括：

28、对于任意位向量a和b，定义其包含度为

29、

30、其中，a∩b表示向量a与b的按位与，i∈b表示向量b的第i位为1；当包含度d(a,b)＝1时，向量a和b匹配；查询时，对于查询图q中的每一个节点v的每一个签名元素即步骤32中的(v,vi)，对待查案例图的s树的每一个节点k的签名(s,∪sk)进行匹配，采用深度优先搜索；当v与s不匹配，或者存在v的一个邻居节点i使得vi与∪sk不匹配时，就可直接将节点k所在的子树剪枝；最终匹配的节点集合即为查询节点v在案例图中的匹配候选点集。

31、进一步地，在所述步骤3中，通过迭代参数寻找最优匹配模型，包括：

32、引入包含度匹配参数α实现模糊子图匹配，即在所述步骤35中，d(a,b)>α,0<α≤1，然后通过迭代测试α的取值，寻找最优匹配模型。

33、进一步地，引入节点加权w(i)∈[0,1]，包含度转换为

34、

35、其中，w(i)∈[0,1]为节点i的归一化权重；

36、在最终的推荐结果中，除子图匹配以外，同时考虑多个要素的值的文本匹配，通过对该文本匹配打分的加权聚合，不断迭代优化加权系数，以优化推荐模型；多个要素包括流程名称和动作名称。

37、由于采用了上述技术方案，本发明具有如下的优点：

38、1.本发明提供了一种基于数据驱动的安全策略智能编排方法，实时采集分析告警、日志、策略等态势数据，通过数据映射、去重、清洗、归类、分析等增强关联分析，提炼业务相关要素，将数据转变成有逻辑、有价值的实体和关系信息。打破传统基于专家经验的决策模式，通过数据分析、推荐模型等方式辅助安全策略智能决策，以数据驱动业务，智能生成安全策略，并实时监测策略执行情况以采取相应对策，协助策略推进执行。利用还原分析等方法，评估策略执行效能，不断做出正向反馈，增加激励作用，促进策略优化，提高策略执行效率和准确率。

39、2.本发明通过对告警、事件、日志等数据进行综合关联分析，定义实体间的关系，同时依托抽取的实体关系构建安全基础知识库。在安全基础知识库的辅助下，从网络关系、设备属性、设备能力、防护维度等多个层面进行深度关联分析，准确识别出策略相关对象、动作等，指导安全配置策略的生成。策略智能生成方法中包括了基于多源数据源的数据智能分析、基于工作流的策略编排、基于精确子图匹配的策略辅助编排、基于机器学习的策略激励，在自动化、智能化生成安全防护策略的基础上，提出优化机制，提升编排效率，统筹规划安全策略。