(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110493179A(43)申请公布日2019.11.22(21)申请号201910597732.6(22)申请日2019.07.04(71)申请人湖北央中巨石信息技术有限公司地址430000湖北省武汉市武昌区中北路109号武汉1818中心6号楼15层R1、R2、R14-R18(72)发明人洪健(74)专利代理机构武汉维创品智专利代理事务所(特殊普通合伙)42239代理人余丽霞(51)Int.Cl.H04L29/06(2006.01)权利要求书3页说明书8页附图2页(54)发明名称基于时间序列的网络安全态势感知模型和方法(57)摘要本发明公开了一种基于时间序列的网络安全态势感知模型和方法，该模型包括：数据预处理模块、态势分析模块和态势预测模块；该方法包括：首先采集不同来源的数据集，提取数据中的主成分信息，并利用D-S证据理论对主成分数据进行融合分析，然后在漏洞威胁的基础上添加了资产重要性，得到了网络的安全态势值，最后根据不同情况，或者选择基于傅里叶曲线拟合的感知算法来预测未来时间段的态势值，绘制网络安全态势预测曲线；或者选择基于曲线轮廓相似性的感知算法，来预测未来时间段的态势值。本发明使得网络安全态势的预测更加准确、方便、有效和合理，同时通过网络安全态势预测图更能清晰、直观的反映未来一段时间内的网络安全态势。CN110493179ACN110493179A权利要求书1/3页1.基于时间序列的网络安全态势感知模型，其特征在于，包括数据预处理模块(1)、态势分析模块(2)和态势预测模块(3)，其中：所述数据预处理模块(1)，用于收集不同来源的数据集，得到包含漏洞数据、系统运行数据、攻击事件数据和资产数据的四种数据，并从中提取影响网络安全态势的主成分数据，将其通过数据融合技术得到系统中主机的漏洞威胁值；所述态势分析模块(2)，用于根据提取的设备资产数据进行评估，利用设备的安全类型、主机连接数量和隐私数据量计算其在网络中的重要性，然后结合数据融合得到的漏洞威胁值，计算整体网络的安全态势值，并根据时间节点的划分得到网络安全态势值的时间序列，绘制网络安全态势曲线；所述态势预测模块(3)，用于根据得到的网络安全态势值序列和态势曲线，当对于计算误差要求较小时，选择基于傅里叶曲线拟合的感知算法，来预测未来时间段的态势值，绘制网络安全态势预测曲线，以及相应的预测误差曲线和态势均值曲线；当对于计算时间要求短时，选择基于曲线轮廓相似性的感知算法来预测未来时间段的态势值。2.如权利要求1所述的基于时间序列的网络安全态势感知模型，其特征在于，所述数据预处理模块(1)包括数据采集子模块(1.1)、数据主成分提取子模块(1.2)和数据融合处理子模块(1.3)，具体的：所述数据采集子模块(1.1)，用于采集包含漏洞数据、系统运行数据、攻击事件数据和资产数据的这四类不同来源的数据集；其中，漏洞数据可通过爬虫的方式从CNNVD、CNVD和CVE等网站采集得到；系统运行数据可由系统主机的日志信息中得到；攻击事件数据可从IDS、防火墙和交换机等设备的日志信息中得到；资产数据是指网络系统中的硬件设备信息和用户资料信息；所述数据主成分提取子模块(1.2)，用于从漏洞数据、系统运行数据、攻击事件数据和资产数据中提取对网络安全态势分析有用的主成分数据，以提升算法效率，减小模型计算负担；其中，从漏洞数据中提取漏洞的名称、编号、类型、发布时间、影响设备、威胁等级和商家补丁信息；从系统运行数据中提取IP、端口、协议、指令和网络数据量信息；从攻击事件数据中提取攻击的时间、类型、平台、行为和漏洞利用信息；从资产数据中提取设备的类型、连接数和其中的隐私数据量；所述数据融合处理子模块(1.3)，用于根据提取的主成分数据类型的不同，取值范围的不同，将各类型数据的取值数值化和归一化，并利用D-S证据理论对数据集进行融合处理，计算某一漏洞对网络中主机等设备的威胁程度，即漏洞威胁值。3.基于时间序列的网络安全态势感知方法，其特征在于，具体包括以下步骤：S1、收集不同来源的数据集，提取影响网络安全态势的主成分数据，将其通过数据融合技术得到系统中主机的漏洞威胁值，并按照漏洞类型分类，得到主机中每类漏洞的威胁值；S2、根据设备的资产信息进行评估，利用设备的安全类型、主机连接数量和隐私数据量计算其在网络中的重要性WHk，然后结合数据融合得到的漏洞威胁值Evi，计算整体网络N的安全态势值E，并根据时间节点的划分得到网络安全态势值的时间序列，绘制网络安全态势曲线，安全态势值E的计算公式为；2CN110493179A权利要求书2/3页S3、根据得到的网络安全态势值的时间序列和态势曲线，当对于计算误差要求较小时，选择基于傅里叶曲线拟合的