【知识产权代理】【专利服务】Tel:18215660330

一种网络安全策略的执行方法、装置及电子设备与流程

专利2023-09-22  3



1.本文件涉及数据处理技术领域,尤其涉及一种网络安全策略的执行方法、装置及电子设备。


背景技术:

2.随着移动业务的发展,移动网络信息面临的风险也在不断增加。新兴信息安全威胁形成的风险不但涉及移动运行商的利益,还涉及到广大移动用户的利益。任何不安全因素都可能造成信息丢失、资金损失和市场混乱的问题。
3.为此,当前有必要提出一种有效度量网络安全态势,并执行相应网络安全策略的技术方案,从而增强抵御网络攻击的能力。


技术实现要素:

4.本发明实施例目的是提供一种网络安全策略的执行方法,能够有效度量网络安全态势,并执行相应网络安全策略。
5.为了实现上述目的,本发明实施例是这样实现的:
6.第一方面,提供一种网络安全策略的执行方法,包括:
7.为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
8.将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
9.基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
10.对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
11.第二方面,提供一种网络安全策略的执行装置,包括:
12.模型构建模块,用于为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
13.受攻击识别模块,用于将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
14.安全态势评估模块,用于基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
15.网络安全策略执行模块,用于对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
16.第三方面,提供一种电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行:
17.为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
18.将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
19.基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
20.对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
21.第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如下步骤:
22.为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
23.将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
24.基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
25.对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
26.本发明实施例的方案通过隐马尔科夫模型代替人为主观经验判断实现对网络安全态势的评估,从而根据评估结果执行相匹配的网络安全决策,可提高网络安全预警和处置风险的能力。此外,基于baum welch算法可以对隐马尔科夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素进行无监督训练,训练过程中结合模拟退火算法的概率突跳特性在解空间中随机寻找全局最优解,解决了网络安全态势从定性分析到定量分析的转变,使得网络安全问题更好的聚焦,利于有针对性地制定网络安全决策。
附图说明
27.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
28.图1为本发明实施例提供的网络安全策略的执行方法的流程示意图。
29.图2为对目标网络进行层次划分以确定网络节点的示意图。
30.图3为本发明实施例提供的网络安全策略的执行装置的结构示意图。
31.图4为本发明实施例提供的电子设备的结构示意图。
具体实施方式
32.为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
33.本技术旨在提供一种有效度量网络安全态势,并执行相应网络安全策略的技术方案,能够增强抵御网络攻击的能力。
34.图1是本发明实施例网络安全策略的执行方法的流程图,包括如下步骤:
35.s102,为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练。
36.隐马尔可夫模型(hmm,hidden markov models)是马尔可夫链的一种,它的状态序列不能直接观察到,但能通过观测序列观察到,每个观测序列都是通过某些概率密度分布表现为各种状态,每一个观测序列是由一个具有相应概率密度分布的状态序列产生。所以,隐马尔可夫模型是一个双重随机过程。
37.这里简单对隐马尔可夫模型的功能进行介绍。
38.假设隐马尔可夫模型中,存在晴天和多雨两个天气状态。各个状态之间确定有转移概率。这里通过观测推断这些状态,这也是hmm需要解决的问题之一。
39.举个例子,目标对象在每天下班之后,会根据天气情况有相应的活动:或是去商场购物,或是去公园散步,或是回家收拾房间。为此,可以通过目标对象的行为猜测这几天对应的天气最有可能是什么样子的。
40.以上就是一个简单的hmm实例,天气状况属于状态序列,而她的行为则属于观测序列。天气状况的转换是一个马尔可夫序列。而根据天气的不同,有相对应的概率产生不同的行为。
41.多雨天气,目标对象选择散步,购物,收拾的概率分别是0.1,0.4,0.5,而如果是晴天天气,选择去散步,购物,收拾的概率分别是0.6,0.3,0.1。这里,天气的转换情况如下:这一天下雨,则下一天依然下雨的概率是0.7,而转换成晴天的概率是0.3;这一天是晴天,则下一天依然是晴天的概率是0.6,而转换成雨天的概率是0.4.。同时还存在一个初始概率,也就是第一天下雨的概率是0.6,晴天的概率是0.4。
42.根据以上的信息,得到了hmm的一些基本参数λ:初始概率分布矩阵π,状态转移矩阵a,观测量的概率分布矩阵b,同时有两种类别的状态(晴天和多雨),三种类别的观测序列(散步、购物和收拾)。
43.知晓这个hmm的基本参数λ,即可根据目标对象的观测序列推断天气情况。
44.进一步代入到网络安全态势的评估场景中,本发明实施例可以将网络节点不分类的受攻击程度作为网络安全态势的受攻击状态,并作为隐马尔可夫模型的状态序列;将显性的网络节点多个类别的受攻击指标(单位时间内的受攻击次数、受攻击木马类目数以及受攻击损失中的至少一者)作为隐马尔可夫模型的观测序列。也就是通过隐马尔可夫模型对网络节点的观测序列进行推测,了解网络节点的受攻击程度,从而对网络安全态势进行评估。
45.应理解,隐马尔可夫模型创建完成后,初始的初始概率分布矩阵π,状态转移矩阵a,观测量的概率分布矩阵b并不一定准确,为此可以通过训练来优化隐马尔可夫模型的基本参数λ={π,a,b}。
46.这里,本发明实施例提出一种结合baum welch算法和模拟退火算法对隐马尔可夫模型的基本参数λ={π,a,b}进行多轮迭代的无监督训练方法。其中,具体训练流程如下:
47.首先,设置隐马尔可夫模型初始的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵,以及模拟退火算法的降温函数。
48.其中,降温函数可为:t
m+1
=ktm,m表示迭代序数,tm表示第m轮迭代的退火温度,k表示模拟退火算法的冷却系数,0《k《1;
49.之后,多轮迭代将隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素e
ij
更新为e
ij*
。其中,e
ij
更新为e
ij*
的公式为:e
ij*
=e
ij
+x,1≤i≤m,1≤j≤n,m表示矩阵行序数,n表示矩阵行列数,x表示正态分布的随机变量,x的正态分布的期望为0、方差为这里,对a
ij
进行更新需要遵守条件也就是矩阵中横坐标的概率之和应为1。
50.当本轮迭代的退火温度小于预设终止温度时,迭代训练结束。
51.通过实践证明上述复杂度为log n的训练方式的求解会在有限时间内出现连续步长不再发生较大变化的情况,故说明训练过程是渐进收敛的,能够寻找的最优解p(o丨λ)。这里,p(o丨λ)中的o表示目标观测序列,λ表示迭代训练后元素更新后的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵,p(o丨λ)表示目标观测序列o输入至迭代训练后的隐马尔可夫模型所得到的受攻击程度分类结果。
52.s104,将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果。
53.s106,基于目标网络中的网络节点的受攻击程度分类结果,对目标网络的网络安全态势进行评估,得到网络安全态势评估结果。
54.具体地,本发明实施例针对网络节点在不同受攻击程度下设置有相对应的受攻击代价值。本步骤可以基于目标网络中各网络节点的受攻击程度分类结果,确定各网络节点对应的受攻击代价值;之后,对目标网络中各网络节点的受攻击代价值进行加权计算,得到目标网络的总体受攻击代价值;并基于目标网络的总体受攻击代价值,确定目标网络的网络安全态势评估结果。
55.s108,对目标网络执行网络安全态势评估结果相匹配的网络安全策略。
56.应理解,网络安全策略的具体方式需要根据实际的应用场景设定,这里本文不作
具体限定。
57.基于上述内容可以知道,本发明实施例的方法通过隐马尔科夫模型代替人为主观经验判断实现对网络安全态势的评估,从而根据评估结果执行相匹配的网络安全决策,可提高网络安全预警和处置风险的能力。此外,基于baum welch算法可以对隐马尔科夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素进行无监督训练,训练过程中结合模拟退火算法的概率突跳特性在解空间中随机寻找全局最优解,解决了网络安全态势从定性分析到定量分析的转变,使得网络安全问题更好的聚焦,利于有针对性地制定网络安全决策。
58.下面结合实际应用场景对本发明实施例的方法进行详细介绍。
59.在网络安全数据中存在着大量不确定、冗余性数据,给态势评估造成了严重的影响同时在安全数据中存在的定性成分和定量成分导致难以用单一的评估方法进行精确的量化。
60.为了得到更加合理的评估效果,本应用场景采用层次化分析法,将定量和定性二者相结合从而降低构造判断转移矩阵的主观性,使评估结果更精确。通过接收不同的数据源,经过数据预处理,态势关键要素提取,态势值求解,附权得到综合态势值,实现态势的可视化呈现,为网络安全管决策提供依据。
61.如图2所示,依据网络规模及层次关系,可以将网络系统划分为多个层次,分别是网络系统、主机以及服务设备,实际生产中的绝大部分黑客攻击都是以系统中主机某一服务为主要对象的。
62.借助系统分解和层次化评估技术,按照网络系统组织架构,设计出层次化网络安全威胁态势量化评估模型,将网络系统层次化分为服务设备、网流管理设备、通信信道以及攻击源,并提出从局部扩展至整体的评估策略。
63.具体说明如下:
64.网络系统:全称网络操作系统,用来表示运行在路由器,网络交换机,防火墙上的特别的操作系统;一种面向计算机网络的操作系统,允许网络中的多台计算机访问共享的文件和打印机,允许共享数据,用户,组,安全,应用和其他网络功能。通常部署在局域网或私有网络。
65.服务设备:服务设备的种类繁多,且与日俱增。基本的设备有:计算机(无论其为个人电脑或服务器)、集线器、交换机、网桥、路由器、网关、网络接口卡(nic)、无线接入点(wap)、打印机和调制解调器、光纤收发器、光缆等。
66.网流管理设备:称应用流量管理器,带宽管理器或服务质量qos设备,实现网络流量监测管理。
67.通信信道:通信信道是数据传输的通路,在计算机网络中信道分为物理信道和逻辑信道。物理信道指用于传输数据信号的物理通路,它由传输介质与有关通信设备组成;逻辑信道指在物理信道的基础上,发送与接收数据信号的双方通过中间结点所实现的逻辑通路,由此为传输数据信号形成的逻辑通路。
68.由于网络结构的复杂性及网络内部的差异性,如果对网络整体用模型分析法进行态势评估,不仅加大了评估的复杂性,而且一个模型无法适应不同网络的需求。为此可以针对图2中每个网络节点设置一个安全态势预测的隐马尔可夫模型,网络攻击事件作为模型
中显式的观察序列衡量网络节点所处的受攻击状态,进而评估设备节点的安全态势。
69.其中,隐马尔可夫模型的基本参数λ至少包括五元向量组,即λ={s,v,π,a,b}。
70.在上述基本参数λ中:
71.s表示状态序列空间,s={s1,s2,s3}。s1为第一级别受攻击程度,表示网络节点未受攻击的状态;s2为第二级别受攻击程度,表示网络节点正遭受攻击但未尚未被入侵的状态(也就是尚未造成严重影响);s3为第三级别受攻击程度,表示网络节点已被入侵的状态(也就是造成严重影响,企业服务遭到窃取或破坏)。
72.v表示观测序列空间,v={v1,v2,v3,v4,v5},这里v1,v2,v3,v4,v5表示能够检测到的不同类别的受攻击指标,比如说网络节点单位时间内的受攻击次数、受攻击木马类目数以及受攻击损失等。
73.这里可以根据入侵检测系统的手册,将攻击按照强度分为三个等级(等级越大,表示受到的攻击强度越大),受攻击指标的攻击强度量化值定义为:
74.其中,l表示攻击按照强度的级别序号,n
l
为某段时间内所观察到等级为i的攻击数目,ε为调节系数并且ε,ε的引入是为体现不同攻击等级间的差异对整体攻击强度的影响。根据at值得大小将其映射到观测序列空间v,映射关系根据具体应用的网络规模确定。
75.π表示初始状态概率分布矩阵,π={π1,π2,π3},1表示节点初始状态为s1的概率,π1+π2+π3=1。
76.a表示状态转移矩阵,a=[a
ij
]m×n,其中a
ij
表示网络节点从状态si转移到状态sj的概率,∑a
ij
=1,(1≤j≤n)。
[0077]
b表示状态转移矩阵,b=[bi(v
p
)]m×n其中b
ij
表示网络节点的状态为si时对应的观测序列值为v
p
的概率,∑bi(v
p
)=1,(1≤p≤m)。
[0078]
之后如前文所述,结合模拟退火算法和baum welch算法,对隐马尔可夫模型的λ={π,a,b}中的元素进行训练。
[0079]
训练后的隐马尔可夫模型即可根据观测序列识别网络节点的受攻击程度(状态)。
[0080]
比如,某个网络节点在t时刻处于sj的概率如下所示:其中,α()表示向前概率,β()表示向后概率。
[0081]
在确定各个网络节点的受攻击程度(状态),即可对从局部扩展至整体,对网络安全态势进行评估。
[0082]
这里,可以确定每种类型的网络节点的受攻击代价值。比如图2中的服务设备是以集群形式存在,可以通过对每个服务设备的受攻击程度所对应的受攻击代价值进行加权计算,得到该服务设备集群整体的受攻击代价值。
[0083]
之后,在对整个网络中各类型的网络节点的受攻击代价值进行加权计算,最终得到全网网络安全态势的评估结果,并根据评估结果执行相匹配的网络安全决策。
[0084]
综上所述,本应用场景提出了一种基于隐马尔可夫模型和动态规划的网络安全态势实时评估方法,该方法解决了转移概率取决于主观经验赋值、难以确定转移矩阵、算法计算复杂度偏高等问题。此外,模型建立简单,评估过程准确,能较为准确的反应网络安全状态整体变化趋势,并更加突出的反应网络状态的变化。
[0085]
此外,对应于图1所示的网络安全策略的执行方法,本发明实施例还提供一种网络安全策略的执行装置。图3是本发明实施例网络安全策略的执行装置300的结构示意图,包括:
[0086]
模型构建模块310,用于为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练。
[0087]
受攻击识别模块320,用于将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
[0088]
安全态势评估模块330,用于基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
[0089]
网络安全策略执行模块340,用于对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
[0090]
本发明实施例的装置通过隐马尔科夫模型代替人为主观经验判断实现对网络安全态势的评估,从而根据评估结果执行相匹配的网络安全决策,可提高网络安全预警和处置风险的能力。此外,基于baum welch算法可以对隐马尔科夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素进行无监督训练,训练过程中结合模拟退火算法的概率突跳特性在解空间中随机寻找全局最优解,解决了网络安全态势从定性分析到定量分析的转变,使得网络安全问题更好的聚焦,利于有针对性地制定网络安全决策。
[0091]
可选地,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素具体通过下属方式训练:
[0092]
设置隐马尔可夫模型初始的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵,以及模拟退火算法的降温函数,其中,降温函数为:t
m+1
=ktm,m表示迭代序数,tm表示第m轮迭代的退火温度,k表示模拟退火算法的冷却系数,0《k《1;
[0093]
多轮迭代将隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素e
ij
更新为e
ij*
,直至本轮迭代的退火温度小于预设终止温度;
[0094]
其中,e
ij*
=e
ij
+x,1≤i≤m,1≤j≤n,m表示矩阵行序数,n表示矩阵行列数,x表示正态分布的随机变量,x的正态分布的期望为0、方差为正态分布的随机变量,x的正态分布的期望为0、方差为
[0095]
可选地,网络节点在不同受攻击程度下对应有不同的受攻击代价值;安全态势评估模块330具体用于:基于目标网络中各网络节点的受攻击程度分类结果,确定各网络节点对应的受攻击代价值;对所述目标网络中各网络节点的受攻击代价值进行加权计算,得到所述目标网络的总体受攻击代价值;基于所述目标网络的总体受攻击代价值,确定所述目标网络的网络安全态势评估结果。
[0096]
可选地,网络节点的多个类别的受攻击指标包括:单位时间内的受攻击次数、受攻击木马类目数以及受攻击损失中的至少一者。
[0097]
可选地,网络节点的多个类别的受攻击程度包括:第一级别受攻击程度、第二级别受攻击程度和第三级别受攻击程度。所述第一级别受攻击程度表示网络节点未受攻击的状
processor,dsp)、专用集成电路(application specific integrated circuit,asic)、现场可编程门阵列(field-programmable gate array,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
[0108]
应理解,本发明实施例的电子设备可以使网络安全策略的执行装置实现对应于图1所示方法中的步骤和功能。由于原理相同,本文不再赘述。
[0109]
当然,除了软件实现方式之外,本说明书的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
[0110]
此外,本发明实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令。
[0111]
其中,上述指令当被包括多个应用程序的便携式电子设备执行时,能够使该便携式电子设备执行图1所示的网络安全策略的执行方法的步骤,包括:
[0112]
为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练。
[0113]
将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果。
[0114]
基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果。
[0115]
对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
[0116]
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0117]
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
[0118]
以上仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员
来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。此外,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。

技术特征:
1.一种网络安全策略的执行方法,其特征在于,包括:为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。2.根据权利要求1所述的方法,其特征在于,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素具体通过下属方式训练:设置隐马尔可夫模型初始的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵,以及模拟退火算法的降温函数,其中,降温函数为:t
m+1
=kt
m
,m表示迭代序数,t
m
表示第m轮迭代的退火温度,k表示模拟退火算法的冷却系数,0<k<1;多轮迭代将隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素e
ij
更新为e
ij*
,直至本轮迭代的退火温度小于预设终止温度;其中,e
ij*
=e
ij
+x,1≤i≤m,1≤j≤n,m表示矩阵行序数,n表示矩阵行列数,x表示正态分布的随机变量,x的正态分布的期望为0、方差为分布的随机变量,x的正态分布的期望为0、方差为3.根据权利要求1所述的方法,其特征在于,网络节点在不同受攻击程度下对应有不同的受攻击代价值;基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果,包括:基于目标网络中各网络节点的受攻击程度分类结果,确定各网络节点对应的受攻击代价值;对所述目标网络中各网络节点的受攻击代价值进行加权计算,得到所述目标网络的总体受攻击代价值;基于所述目标网络的总体受攻击代价值,确定所述目标网络的网络安全态势评估结果。4.根据权利要求1所述的方法,其特征在于,网络节点的多个类别的受攻击指标包括:单位时间内的受攻击次数、受攻击木马类目数以及受攻击损失中的至少一者。5.根据权利要求1所述的方法,其特征在于,网络节点的多个类别的受攻击程度包括:第一级别受攻击程度、第二级别受攻击程度和第三级别受攻击程度;其中,所述第一级别受攻击程度表示网络节点未受攻击的状态,所述第二级别受攻击
程度表示网络节点正遭受攻击但未尚未被入侵的状态,所述第三级别受攻击程度表示网络节点已被入侵的状态。6.根据权利要求1-5中任一项所述的方法,其特征在于,所述目标网路的网络节点识别包括:服务设备、网流管理设备、通信信道。7.根据权利要求6所述的方法,其特征在于,所述服务设备包括:计算机、集线器、交换机、网桥、路由器、网关、网络接口卡、无线接入点、打印机和调制解调器、光纤收发器、光缆中的至少一者;所述网流管理设备包括:应用流量管理器、带宽管理器和服务质量qos设备中的至少一者;所述通信信道包括物理通信信道和逻辑通信信道到中的至少一者。8.一种网络安全策略的执行装置,其特征在于,包括:模型构建模块,用于为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;受攻击识别模块,用于将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;安全态势评估模块,用于基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;网络安全策略执行模块,用于对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。9.一种电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述计算机程序被所述处理器执行:为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如下步骤:为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率
矩阵中的元素预先基于baum welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。

技术总结
本发明提供一种网络安全策略的执行方法、装置及电子设备。方法包括:为目标网络中的网络节点构建隐马尔可夫模型,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练。将测量到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得受攻击程度分类结果。基于目标网络中的网络节点的受攻击程度分类结果,对目标网络的网络安全态势进行评估。对目标网络执行网络安全态势评估结果匹配的网络安全策略。络安全策略。络安全策略。


技术研发人员:苏凌 苟浩淞 李丹 杨兵
受保护的技术使用者:中国移动通信集团有限公司
技术研发日:2021.06.09
技术公布日:2022/12/8
转载请注明原文地址: https://bbs.8miu.com/read-400064.html

最新回复(0)