网络安全态势感知方法、装置、设备及存储介质.pdf

《网络安全态势感知方法、装置、设备及存储介质.pdf》由会员分享，可在线阅读，更多相关《网络安全态势感知方法、装置、设备及存储介质.pdf（15页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010463413.9 (22)申请日 2020.05.27 (71)申请人 杭州迪普科技股份有限公司 地址 310051 浙江省杭州市滨江区通和路 68号中财大厦6楼 (72)发明人 梁泽中 (74)专利代理机构 北京博思佳知识产权代理有 限公司 11415 代理人 陈蕾 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 一种网络安全态势感知方法、 装置、 设备及 存储介质 (57)摘要 本申请公开一种网络安全态势感知方法、 装 置、 设备。

2、及存储介质， 该方法包括： 获取网络对象 的日志数据和网络流数据； 将预设字段对应的数 据相同的日志数据和网络流数据进行合并， 得到 融合数据； 基于所述融合数据， 确定所述网络对 象对应的融合安全事件； 基于日志安全事件和/ 或网络流安全事件， 以及所述融合安全事件， 确 定所述网络对象的网络安全态势曲线； 根据所述 网络安全态势曲线， 对所述网络对象进行网络安 全态势感知。 由于本申请基于日志数据和网络流 数据合并后的融合数据进行网络安全态势感知， 能够得到基于单一数据源无法得到的融合安全 事件， 使得用于确定网络安全态势曲线的安全事 件更全面， 进而提高了网络安全态势感知结果的 准确性。。

3、 权利要求书2页 说明书10页 附图2页 CN 111654489 A 2020.09.11 CN 111654489 A 1.一种网络安全态势感知方法， 其特征在于， 所述方法包括： 获取网络对象的日志数据和网络流数据； 将预设字段对应的数据相同的日志数据和网络流数据进行合并， 得到融合数据； 基于所述融合数据， 确定所述网络对象对应的融合安全事件； 基于日志安全事件和/或网络流安全事件， 以及所述融合安全事件， 确定所述网络对象 的网络安全态势曲线； 其中， 所述日志安全事件为基于所述日志数据确定的安全事件， 所述 网络流安全事件为基于所述网络流数据确定的安全事件； 根据所述网络安全态势曲。

4、线， 对所述网络对象进行网络安全态势感知。 2.根据权利要求1所述的方法， 其特征在于， 所述基于日志安全事件和/或网络流安全 事件， 以及所述融合安全事件， 确定所述网络对象的网络安全态势曲线之前， 还包括： 将日志安全事件和/或网络流安全事件， 以及所述融合安全事件， 输入至预设关联规则 挖掘模型， 经过所述预设关联规则挖掘模型的关联规则挖掘处理后， 输出所述网络对象对 应的关联规则安全事件； 相应的， 所述基于日志安全事件和/或网络流安全事件， 以及所述融合安全事件， 确定 所述网络对象的网络安全态势曲线， 包括： 基于所述日志安全事件和/或网络流安全事件， 以及所述融合安全事件和所述关。

5、联规 则安全事件， 确定所述网络对象的网络安全态势曲线。 3.根据权利要求2所述的方法， 其特征在于， 所述确定所述网络对象的网络安全态势曲 线之前， 还包括： 利用预设情报源数据， 对所述日志安全事件和/或网络流安全事件， 以及所述融合安全 事件和所述关联规则安全事件进行校验。 4.根据权利要求1所述的方法， 其特征在于， 所述预设字段包括五元组字段。 5.根据权利要求1所述的方法， 其特征在于， 所述方法还包括： 基于可视化界面， 对所述网络安全态势曲线进行展示。 6.一种网络安全态势感知装置， 其特征在于， 所述装置包括： 获取模块， 用于获取网络对象的日志数据和网络流数据； 合并模块，。

6、 用于将预设字段对应的数据相同的日志数据和网络流数据进行合并， 得到 融合数据； 第一确定模块， 用于基于所述融合数据， 确定所述网络对象对应的融合安全事件； 第二确定模块， 用于基于日志安全事件和/或网络流安全事件， 以及所述融合安全事 件， 确定所述网络对象的网络安全态势曲线； 其中， 所述日志安全事件为基于所述日志数据 确定的安全事件， 所述网络流安全事件为基于所述网络流数据确定的安全事件； 感知模块， 用于根据所述网络安全态势曲线， 对所述网络对象进行网络安全态势感知。 7.根据权利要求6所述的装置， 其特征在于， 所述装置还包括： 规则挖掘模块， 用于将日志安全事件和/或网络流安全事。

7、件， 以及所述融合安全事件， 输入至预设关联规则挖掘模型， 经过所述预设关联规则挖掘模型的关联规则挖掘处理后， 输出所述网络对象对应的关联规则安全事件； 相应的， 所述第一确定模块， 具体用于： 基于所述日志安全事件和/或网络流安全事件， 以及所述融合安全事件和所述关联规 权利要求书 1/2 页 2 CN 111654489 A 2 则安全事件， 确定所述网络对象的网络安全态势曲线。 8.根据权利要求7所述的装置， 其特征在于， 所述装置还包括： 校验模块， 用于利用预设情报源数据， 对所述日志安全事件和/或网络流安全事件， 以 及所述融合安全事件和所述关联规则安全事件进行校验。 9.一种计算。

8、机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有指令， 当 所述指令在终端设备上运行时， 使得所述终端设备执行如权利要求1-5任一项所述的方法。 10.一种设备， 其特征在于， 包括： 存储器， 处理器， 及存储在所述存储器上并可在所述 处理器上运行的计算机程序， 所述处理器执行所述计算机程序时， 实现如权利要求1-5任一 项所述的方法。 权利要求书 2/2 页 3 CN 111654489 A 3 一种网络安全态势感知方法、 装置、 设备及存储介质 技术领域 0001 本申请涉及网络安全领域， 具体涉及一种网络安全态势感知方法、 装置、 设备及存 储介质。 背景技术 0002 。

9、随着信息化的高速发展， 网络规模和结构变得越发复杂， 网络安全问题也日益凸 显， 越来越多的攻击手段和越来越智能的攻击工具， 使得网络安全事件频频发生， 依靠传统 的防火墙技术、 入侵检测技术、 恶意代码检测技术等着眼于单方面的被动防御技术已不能 确保网络的安全。 因此提高网络的主动防御能力、 评估整个网络安全状态及其变化趋势是 当今网络安全研究领域的主要方向， 而对网络安全态势感知领域的研究尤为突出。 0003 依据美国国家安全系统委员会(CNSS)提供的定义， 网络安全态势感知(network security situation awareness； NSSA)是指： 在一定的时间和空间。

10、范围内， 对组织的安全 状态以及威胁环境的感知， 理解这两者的含义以及意味的风险， 并对它们未来的状态进行 预测。 网络安全态势感知需要掌握组织内部的安全状态， 以及相关的威胁情报， 而掌握组织 内部的安全状态主要依赖主动防御措施， 采用数据驱动的持续监控方案， 网络安全态势感 知的目的是深入理解当前的风险， 并可以对未来的风险进行预测、 预防。 换言之， 网络安全 态势感知的基础是数据来源， 核心是数据分析。 0004 目前， 网络安全态势感知仅能基于单一的数据源对网络对象进行安全态势感知， 例如日志数据或网络流数据， 得到的网络安全态势感知结果不准确。 发明内容 0005 有鉴于此， 本申。

11、请提供了一种网络安全态势感知方法、 装置及设备， 能够基于多种 数据源进行网络安全态势感知， 得到的网络安全态势感知结果更准确。 0006 第一方面， 为实现上述发明目的， 本申请提供了一种网络安全态势感知方法， 所述 方法包括： 0007 获取网络对象的日志数据和网络流数据； 0008 将预设字段对应的数据相同的日志数据和网络流数据进行合并， 得到融合数据； 0009 基于所述融合数据， 确定所述网络对象对应的融合安全事件； 0010 基于日志安全事件和/或网络流安全事件， 以及所述融合安全事件， 确定所述网络 对象的网络安全态势曲线； 其中， 所述日志安全事件为基于所述日志数据确定的安全事。

12、件， 所述网络流安全事件为基于所述网络流数据确定的安全事件； 0011 根据所述网络安全态势曲线， 对所述网络对象进行网络安全态势感知。 0012 一种可选的实施方式中， 所述基于日志安全事件和/或网络流安全事件， 以及所述 融合安全事件， 确定所述网络对象的网络安全态势曲线之前， 还包括： 0013 将日志安全事件和/或网络流安全事件， 以及所述融合安全事件， 输入至预设关联 规则挖掘模型， 经过所述预设关联规则挖掘模型的关联规则挖掘处理后， 输出所述网络对 说明书 1/10 页 4 CN 111654489 A 4 象对应的关联规则安全事件； 0014 相应的， 所述基于日志安全事件和/或。

13、网络流安全事件， 以及所述融合安全事件， 确定所述网络对象的网络安全态势曲线， 包括： 0015 基于所述日志安全事件和/或网络流安全事件， 以及所述融合安全事件和所述关 联规则安全事件， 确定所述网络对象的网络安全态势曲线。 0016 一种可选的实施方式中， 所述确定所述网络对象的网络安全态势曲线之前， 还包 括： 0017 利用预设情报源数据， 对所述日志安全事件和/或网络流安全事件， 以及所述融合 安全事件和所述关联规则安全事件进行校验。 0018 一种可选的实施方式中， 所述预设字段包括五元组字段。 0019 一种可选的实施方式中， 所述方法还包括： 0020 基于可视化界面， 对所述。

14、网络安全态势曲线进行展示。 0021 第二方面， 本申请提供了一种网络安全态势感知装置， 所述装置包括： 0022 获取模块， 用于获取网络对象的日志数据和网络流数据； 0023 合并模块， 用于将预设字段对应的数据相同的日志数据和网络流数据进行合并， 得到融合数据； 0024 第一确定模块， 用于基于所述融合数据， 确定所述网络对象对应的融合安全事件； 0025 第二确定模块， 用于基于日志安全事件和/或网络流安全事件， 以及所述融合安全 事件， 确定所述网络对象的网络安全态势曲线； 其中， 所述日志安全事件为基于所述日志数 据确定的安全事件， 所述网络流安全事件为基于所述网络流数据确定的安。

15、全事件； 0026 感知模块， 用于根据所述网络安全态势曲线， 对所述网络对象进行网络安全态势 感知。 0027 一种可选的实施方式中， 所述装置还包括： 0028 规则挖掘模块， 用于将日志安全事件和/或网络流安全事件， 以及所述融合安全事 件， 输入至预设关联规则挖掘模型， 经过所述预设关联规则挖掘模型的关联规则挖掘处理 后， 输出所述网络对象对应的关联规则安全事件； 0029 相应的， 所述第一确定模块， 具体用于： 0030 基于所述日志安全事件和/或网络流安全事件， 以及所述融合安全事件和所述关 联规则安全事件， 确定所述网络对象的网络安全态势曲线。 0031 一种可选的实施方式中，。

16、 所述装置还包括： 0032 校验模块， 用于利用预设情报源数据， 对所述日志安全事件和/或网络流安全事 件， 以及所述融合安全事件和所述关联规则安全事件进行校验。 0033 第三方面， 本申请还提供了一种计算机可读存储介质， 所述计算机可读存储介质 中存储有指令， 当所述指令在终端设备上运行时， 使得所述终端设备执行如上述任一项所 述的方法。 0034 第四方面， 本申请还提供了一种设备， 包括： 存储器， 处理器， 及存储在所述存储器 上并可在所述处理器上运行的计算机程序， 所述处理器执行所述计算机程序时， 实现如上 述任一项所述的方法。 0035 本申请实施例提供的网络安全态势感知方法中。

17、， 获取网络对象的日志数据和网络 说明书 2/10 页 5 CN 111654489 A 5 流数据， 将预设字段对象的数据相同的日志数据和网络流数据进行合并， 得到融合数据。 然 后， 基于融合数据确定网络对象对应的融合安全事件， 进而基于日志安全事件和/或网络流 安全事件， 以及所述融合安全事件， 确定网络对象的网络安全态势曲线， 最终根据该网络安 全态势曲线， 对网络对象进行网络安全态势感知。 由于本申请基于日志数据和网络流数据 合并后的融合数据进行网络安全态势感知， 能够得到基于单一数据源无法得到的融合安全 事件， 使得用于确定网络安全态势曲线的安全事件更全面， 进而提高了网络安全态势。

18、感知 结果的准确性。 附图说明 0036 为了更清楚地说明本申请实施例中的技术方案， 下面将对实施例描述中所需要使 用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本申请的一些实施例， 对于 本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其 他的附图。 0037 图1为本申请实施例提供的一种网络安全态势感知方法流程图； 0038 图2为本申请实施例提供的一种网络安全态势感知装置的结构示意图； 0039 图3为本申请实施例提供的一种网络安全态势感知设备的结构示意图。 具体实施方式 0040 下面将结合本申请实施例中的附图， 对本申请实施例中的技术方案。

19、进行清楚、 完 整地描述， 显然， 所描述的实施例仅仅是本申请一部分实施例， 而不是全部的实施例。 基于 本申请中的实施例， 本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例， 都属于本申请保护的范围。 0041 目前， 网络安全态势感知方法仅基于单一数据源对网络对象进行安全态势感知， 例如， 数据源来自日志或网络流NetFlow， 由于单一的数据源无法全面的反映出网络对象的 安全态势， 因此， 基于目前的网络安全态势感知方法对网络对象进行安全态势感知得到的 结果准确性不足。 0042 为此， 本申请提供了一种网络安全态势感知方法， 具体的， 获取网络对象的日志数 据和网络。

20、流数据， 将预设字段对象的数据相同的日志数据和网络流数据进行合并， 得到融 合数据。 然后， 基于融合数据确定网络对象对应的融合安全事件， 进而基于日志安全事件 和/或网络流安全事件， 以及所述融合安全事件， 确定网络对象的网络安全态势曲线， 最终 根据该网络安全态势曲线， 对网络对象进行网络安全态势感知。 由于本申请基于日志数据 和网络流数据合并后的融合数据进行网络安全态势感知， 能够得到基于单一数据源无法得 到的融合安全事件， 使得用于确定网络安全态势曲线的安全事件更全面， 进而提高了网络 安全态势感知结果的准确性。 0043 基于此， 本申请提供了一种网络安全态势感知方法， 参考图1， 。

21、为本申请实施例提 供的一种网络安全态势感知方法的流程图， 该方法包括： 0044 S101： 获取网络对象的日志数据和网络流数据。 0045 网络对象是指处于网络环境中的网络设备、 网络系统等， 例如为防火墙设备等。 日 志数据， 是指网络对象产生的过程性事件的记录数据。 网络流NetFlow数据， 是指网络对象 说明书 3/10 页 6 CN 111654489 A 6 的网络流量变化数据。 0046 实际应用中， 对网络对象的日志数据进行采集， 具体的， 可以从网络对象所处的网 络环境以及对应的安全设备中获取该网络对象的日志数据。 0047 一种可选的实施方式中， 可以设置日志采集代理， 。

22、用于对日志数据进行采集。 具体 的， 设置日志数据采集格式后， 启动日志采集代理， 将采集到的原始日志中的日志数据按照 日志数据采集格式存储于源日志数据库中， 完成日志数据的采集。 0048 在获取到网络对象的日志数据之后， 为了便于后续处理， 本申请实施例还可以对 日志数据进行预处理。 具体的， 从源日志数据库中获取日志数据后送入解析器， 由解析器进 行统一格式化处理， 具体的， 将日志数据转化为统一的格式。 通常统一的格式中的字段包括 日志接收时间、 日志产生时间、 用户名称、 源IP地址、 源MAC地址、 源端口号、 操作名称、 目的 IP地址、 目的MAC地址、 目的端口号、 日志的事。

23、件名称、 摘要、 等级、 原始等级、 原始类型、 网络 协议、 网络应用协议、 设备地址、 设备名称、 设备类型等， 除此之外还可以预留多个备用字 段， 供各种其他事件分析模型使用。 最终， 将解析器对日志数据进行预处理后的日志数据存 入日志数据库， 以供后续使用。 0049 另外， 本申请实施例还可以对网络对象的网络流数据进行采集， 具体的， 可以通过 内嵌于交换机或路由器的Netflow采集器， 按一定采样间隔对网络流数据进行采集。 另外， 也可以在相应的关键节点上布置网络流数据采集设备， 将采集到的网络流数据存入源网络 流数据库中， 完成网络流数据的采集。 另外， 本申请实施例还可以基于。

24、关键路径旁路部署流 量探针的数据采集方式， 基于网络流量全镜像的数据采集方式， 基于实时数据抓包的网络 数据采集方式， 基于SNMP的网络数据采集方式和基于流(FLow)技术的网络流量采集方式实 现对网络对象的网络流数据进行采集。 0050 在获取到网络对象的网络流数据之后， 为了便于后续处理， 本申请实施例还可以 对网络流数据进行预处理。 具体的， 从源网络流数据库中获取网络流数据， 然后从网络流数 据中提取预设网络流信息， 例如包括平均CPU占用率、 平均内存使用率、 平均流数、 平均流 长、 平均流持续时间、 源/目的IP地址分布、 端口号分布、 流入流出比、 流对称度等， 将经过上 述。

25、预处理的网络流数据存入网络流数据库， 以供后续使用。 0051 S102： 将预设字段对应的数据相同的日志数据和网络流数据进行合并， 得到融合 数据。 0052 本申请实施例中， 预设字段可以包括源IP地址、 目的IP地址和数据产生时刻。 具体 的， 本申请实施例将日志数据与网络流数据进行逐条数据匹配， 确定源IP地址、 目的IP地址 和数据产生时刻分别对应的数据均相同的日志数据和网络流数据， 并将其进行合并， 得到 融合数据。 0053 可以理解的是， 源IP地址、 目的IP地址和数据产生时刻分别对应的数据均相同的 日志数据和网络流数据， 事实上是针对相同事件的描述数据。 因此， 为了能够从。

26、更多维度对 事件进行描述， 从而挖掘出更多的安全事件， 用于对网路安全态势进行感知， 本申请实施例 将日志数据和网络流数据基于预设字段进行合并， 得到融合数据。 0054 为了进一步保证融合数据的准确性， 本申请实施例中的预设字段包括五元组字 段， 具体的包括源IP地址、 目的IP地址、 源端口号、 目的端口号和数据产生时刻。 实际应用 中， 五元组字段对应的数据相同的日志数据和网络流数据， 很大程度上是针对相同时间的 说明书 4/10 页 7 CN 111654489 A 7 描述数据。 0055 本申请实施例中， 针对预设字段对应的数据相同的日志数据和网络流数据进行合 并后， 会产生一条拥。

27、有更多字段的数据， 即融合数据， 这条数据既包含了应用层的事件名 称、 事件详情、 数据报文， 又包含了网络层的流长、 流持续时间以及设备的平均CPU占用率、 平均内存占用率等详细信息。 因此， 在单独的日志数据分析或单独的NetFlow网络流数据分 析均无法生成安全事件的情况下， 本申请实施例可能基于融合数据挖掘出更多的安全事 件， 用于网络安全态势感知， 得到更准确的安全态势感知结果。 0056 S103： 基于所述融合数据， 确定所述网络对象对应的融合安全事件。 0057 本申请实施例中， 不仅需要对融合数据进行分析， 得到融合安全事件， 还需要对日 志数据和网络流数据进行分析， 得到日。

28、志安全事件和网络流安全事件。 0058 一种可选的实施方式中， 可以通过大数据分析、 机器学习、 用户实际行为分析UEBA 等技术， 从日志数据中提取特征数据， 进一步的基于特征数据获取事件名称、 报文信息、 服 务信息等， 然后通过智能分析识别异常数据， 如事件名称包含 “蠕虫” 、“注入攻击” 等关键字 的异常数据， 进一步的针对异常数据产生告警， 并上报安全事件。 其中， 日志安全事件是指 基于日志数据确定的安全事件， 通常由存在异常数据的日志数据够成日志安全事件。 0059 一种可选的实施方式中， 可以通过采集到的正常状态下的网络流数据计算正常状 态下各个指标的平均值， 然后基于平均值。

29、建立网络常态指标模型， 基于网络常态指标模型 确定网络流数据对应的网络流安全事件。 0060 实际应用中， 网络常态指标包括两种类型： 其中一种类型是根据经验设定阈值， 例 如为交换机CPU占用率设置阈值90， 则交换机CPU占用率高于90的网络流数据， 说明CPU 负载过高， 目前网络中可能出现了某种安全问题。 另一种类型为无法直接靠经验获得平均 值， 例如不同的设备、 不同的地理位置以及不同的应用环境会对指标造成影响的情况， 则无 法用统一的标准去衡量， 例如工作区和生活区的网络流量峰值峰谷出现的情况可能相反， 对于这类网络常态指标， 则是建立在对大量历史数据的统计之上的。 0061 对于。

30、第二种类型的网络常态指标， 以网络流量为例， 网络流量曲线与时间有很大 的关系， 网络流量的波峰一般出现在20:00左右， 而到凌晨降到波谷。 如果对全天各时段的 网络流量进行统计， 然后计算平均值， 则会获得一个网络流量的基准值， 用这个基准值去衡 量网络状态， 很显然20:00的流量明显偏高， 而凌晨的流量明显偏低， 这种监测没有意义。 0062 本申请实施例中， 将基于时间分别获取各个时间点的基准值， 然后综合各个时间 点的基准值得到网络流量基准曲线， 具体流程举例如下: 0063 首先， 以5分钟为时间粒度， 采集21号楼交换机全天的进出口流量， 重复采集该交 换机30天的流量数据。 。

31、然后， 计算每个时间点的基准流量， 如14:00的流量基准为每天14:00 流量的均值。 其次， 根据以上方法获得的各个时间点的流量基准得到流量基准曲线。 0064 此外， 网络流量除了在每日不同时刻会有差别之外， 在周(工作日、 周末)、 月(月 初、 月末)、 年(年初、 年末)等都会有相应的差别， 统计的历史数据越多， 得到的结果越准确， 用户可以根据自己的需要选择不同的监测粒度， 获得周流量曲线、 月流量曲线、 年流量曲 线。 另外， 可以根据用户需求定义可容忍的抖动范围， 然后将监测获得的网络当前运行数据 与正常状态下的网络常态指标模型相比较， 考察是否超越容忍范围， 如果超出范围，。

32、 则上报 安全事件。 说明书 5/10 页 8 CN 111654489 A 8 0065 本申请实施例中， 针对得到的融合数据， 也可以按照上述对日志数据和网络流数 据进行分析的方式进行处理， 以确定网络对象对应的融合安全事件。 0066 一种可选的实施方式中， 基于正常状态下的融合数据生成网络常态指标模型， 利 用网络常态指标模型对获取到的融合数据进行分析， 得到融合数据对应的融合安全事件。 0067 对于其他对融合数据、 日志数据以及网络流数据进行分析的方式本申请实施例不 做限定。 0068 本申请实施例中， 在获取到融合安全事件、 日志安全事件和网络流安全事件之后， 将各个安全事件记录。

33、在安全事件记录表中。 其中， 安全事件记录表为布尔表， 用于记录各个 时间点是否发生了安全事件， 具体的， 某个时间点对应的值为1， 则说明该时间点发生了安 全事件。 0069 S104： 基于日志安全事件和/或网络流安全事件， 以及所述融合安全事件， 确定所 述网络对象的网络安全态势曲线。 0070 其中， 所述日志安全事件为基于所述日志数据确定的安全事件， 所述网络流安全 事件为基于所述网络流数据确定的安全事件。 0071 本申请实施例中， 在基于日志数据确定日志安全事件， 基于网络流数据确定网络 流安全事件， 以及基于融合数据确定融合安全事件之后， 基于确定的各种类型的安全事件， 确定网。

34、络对象的网络安全态势曲线。 其中， 网络安全态势曲线是以时间顺序描述各个时间 点对应的安全事件的个数， 通常各个时间点对应的安全事件的个数， 也被称为该时间点对 应的安全态势值。 0072 一种可选的实施方式中， 可以基于日志安全事件以及融合安全事件， 确定网络对 象的网络安全态势曲线。 另外， 也可以基于网络流安全事件以及融合安全事件， 确定网络对 象的网络安全态势曲线。 另外， 还可以基于日志安全事件、 网络流安全事件以及融合安全事 件， 确定网络对象的网络安全态势曲线。 可以理解的是， 安全事件的类型越多， 越能够体现 更全面的体现网络对象的安全态势， 从而确定的网络安全态势曲线越准确，。

35、 最终基于网络 安全态势曲线对网络对象的网络安全态势感知结果越准确。 0073 本申请实施例对于如何基于安全事件确定网络安全态势曲线的方式不做限定。 0074 另外， 由于上述确定的日志安全事件、 网络流安全事件以及融合安全事件之间可 能存在关联关系， 基于该关联关系可能确定出新的安全事件。 为此， 本申请实施例还可以利 用预设关联规则挖掘模型对已确定出的安全事件进行关联规则挖掘处理， 以进一步的确定 出新的安全事件。 0075 对于预设关联规则挖掘模型， 其工作主要有两部分内容： 一是扫描安全事件记录 表， 包括基于日志数据、 网络流数据以及融合数据产生的安全事件， 对安全事件进行统许以 挖。

36、掘出大于等于最小支持度的频繁项集； 二是根据上一歩产生的频繁项集和最小置信度， 从安全事件中挖掘出强关联规则， 最终确定出新的安全事件。 具体的， 上述关联规则挖掘处 理的过程如下： 0076 首先， 设置规则挖掘的对象， 具体的， 可以通过输入目标IP地址的方式， 确定该目 标IP地址对应的网络对象为规则挖掘的对象。 其次， 釆集该规则挖掘的对象在网络正常状 态下的安全事件， 存入NORMAL数据表中。 然后， 针对网络注入攻击(以DDOS攻击为例)， 采集 该规则挖掘的对象在网络异常情况下的安全事件表， 存入DDOSTEST1数据表中。 然后， 输入 说明书 6/10 页 9 CN 111。

37、654489 A 9 关联规则挖掘模型的攻击类型标志位， 若为NORMAL数据表中的安全事件， 则为网络正常状 态下的规则， 若为DDOSTEST1数据表中的安全事件， 则为网络异常情况下(DDOS攻击)的规 则。 其次， 设置关联规则挖掘模型的最小支持度， 最小支持度一般大于30， 以及设置关联 规则挖掘模型的最小置信度， 最小置信度一般大于70。 最终， 通过关联规则挖掘模型中的 规则挖掘方法， 将输入的各种网络状态下的安全事件之间产生关联规则， 其中支持度、 置信 度越高的规则可信度越高， 规则的准确性与样本数据有关， 样本数据越详细， 挖掘的关联规 则越准确。 0077 本申请实施例利。

38、用预设关联规则挖掘模型， 挖掘出日志安全事件、 网络流安全事 件以及融合安全事件之间的关联规则， 进而基于关联规则确定出新的安全事件， 用于后续 的网络安全态势曲线的确定， 从而提高了网络安全态势曲线的准确性。 0078 以安全事件为系统CPU异常为例， 针对各个时间点发生的系统CPU异常的安全事件 而言， 将其均输入至上述关联规则挖掘模型中， 经过关联规则挖掘模型的关联规则挖掘处 理后， 确定各个时间点对应的系统CPU异常之间存在关联规则， 基于该关联规则可以是由于 某种网络病毒入侵导致的系统CPU异常的安全事件的发生， 因此， 通过关联规则挖掘模型的 处理， 可以得到新的安全事件， 即网络。

39、病毒入侵的安全事件。 0079 一种可选的实施方式中， 为了提高用于确定网络安全态势曲线的安全事件的准确 性， 本申请实施例还可以利用预设情报源数据， 对日志安全事件和/或网络流安全事件， 以 及所述融合安全事件和所述关联规则安全事件进行校验。 0080 实际应用中， 预设情报源数据可以来自威胁情报库、 病毒特征库、 攻击特征库、 行 为特征库等， 通过将预设情报源数据与安全事件进行比较， 实现对安全事件的校验。 例如， 威胁情报库中存在一条情报数据， 用于表示在某个时间点存在某种病毒攻击， 基于该情报 数据查找对应时间点的安全事件， 如果查找到的安全事件具有该种病毒攻击的特征， 则可 以确定。

40、该安全事件通过校验。 0081 在网络攻击之中通常会隐藏对安全设备产生告警的非线性时序化， 它是各种不同 类型的安全事件加权处理后， 对实体网络的运行状态进行防御的安全态势值。 0082 一种可选的实施方式中， 本申请实施例可以基于安全事件， 确定各个时间点对应 的安全态势值， 例如， 某个时间点发生的安全事件的个数为n个， 则该时间点对应的安全态 势值为n。 通过时间化序列表示各个时间点对应的安全态势值， 最终得到网络对象的安全态 势曲线。 0083 值得注意的是， 本申请实施例中的安全事件包括日志安全事件、 网络流安全事件、 融合安全事件、 关联规则安全事件等。 0084 S105： 根据。

41、所述网络安全态势曲线， 对所述网络对象进行网络安全态势感知。 0085 本申请实施例中， 在确定网络对象的网络安全态势曲线后， 根据网络安全态势曲 线中的安全态势值， 对未来各个时间点的安全态势值进行预测， 实现对网络对象的网络安 全态势的感知。 0086 一种可选的实施方式中， 由于RBF神经网络是一种单隐层的三层前馈网络， 具有良 好的逼近任意非线性函数的能力， 自适应能力强， 因此本申请实施例可以利用RBF神经网络 基于网络安全态势曲线， 对网络安全态势进行感知和预测。 具体的， RBF神经网络的算法和 原理在此不再赘述。 说明书 7/10 页 10 CN 111654489 A 10 。

42、0087 实际应用中， 为了便于用户查看， 可以基于可视化界面， 对所述网络安全态势曲线 进行展示。 0088 具体的， 可以采用可配置图形分析工具提供的可视化展示功能， 对网络安全态势 曲线进行展示。 实际应用中， 网络安全态势曲线可以包括实时态势展示图、 安全态势预测 图、 专项态势展示图、 历史状态展示图、 其他信息展示图等。 具体的， 实时态势展示图主要通 过实时的数据信息， 展示当前正在发生的实时安全行为， 使安全运维人员对当前网络环境 正在发生的安全行为有整体的实时的监测和感知能力， 可以包括： 安全攻击展示图、 安全漏 洞展示图、 安全风险展示图、 区域转换图等。 安全态势预测图。

43、是通过历史存储的数据， 结合 当前的实时数据对未来各种指标的发展趋势进行预测， 可以包括： 攻击路径预测图、 攻击方 式预测图、 攻击时间预测图等， 通过自动化的方式提供未来可能发生攻击行为。 专项态势展 示图主要针对内部网络重大安全威胁与隐患进行可视化展示， 可以包括： 异常外联展示图、 事件回溯展示图、 隐秘通道展示图、 其他专项展示图等。 另外还可以包括： 安全攻击趋势图、 安全漏洞趋势图、 安全风险趋势图。 0089 本申请提供的网络安全态势感知方法中， 获取网络对象的日志数据和网络流数 据， 将预设字段对象的数据相同的日志数据和网络流数据进行合并， 得到融合数据。 然后， 基于融合数。

44、据确定网络对象对应的融合安全事件， 进而基于日志安全事件和/或网络流安 全事件， 以及所述融合安全事件， 确定网络对象的网络安全态势曲线， 最终根据该网络安全 态势曲线， 对网络对象进行网络安全态势感知。 由于本申请基于日志数据和网络流数据合 并后的融合数据进行网络安全态势感知， 能够得到基于单一数据源无法得到的融合安全事 件， 使得用于确定网络安全态势曲线的安全事件更全面， 进而提高了网络安全态势感知结 果的准确性。 0090 基于上述方法实施例， 本申请还提供了一种网络安全态势感知装置， 参考图2， 图2 本申请实施例提供的一种网络安全态势感知装置的结构示意图， 所述装置包括： 0091 。

45、获取模块201， 用于获取网络对象的日志数据和网络流数据； 0092 合并模块202， 用于将预设字段对应的数据相同的日志数据和网络流数据进行合 并， 得到融合数据； 0093 第一确定模块203， 用于基于所述融合数据， 确定所述网络对象对应的融合安全事 件； 0094 第二确定模块204， 用于基于日志安全事件和/或网络流安全事件， 以及所述融合 安全事件， 确定所述网络对象的网络安全态势曲线； 其中， 所述日志安全事件为基于所述日 志数据确定的安全事件， 所述网络流安全事件为基于所述网络流数据确定的安全事件； 0095 感知模块205， 用于根据所述网络安全态势曲线， 对所述网络对象进行。

46、网络安全态 势感知。 0096 一种可选的实施方式中， 所述装置还包括： 0097 规则挖掘模块， 用于将日志安全事件和/或网络流安全事件， 以及所述融合安全事 件， 输入至预设关联规则挖掘模型， 经过所述预设关联规则挖掘模型的关联规则挖掘处理 后， 输出所述网络对象对应的关联规则安全事件； 0098 相应的， 所述第一确定模块， 具体用于： 0099 基于所述日志安全事件和/或网络流安全事件， 以及所述融合安全事件和所述关 说明书 8/10 页 11 CN 111654489 A 11 联规则安全事件， 确定所述网络对象的网络安全态势曲线。 0100 另一种可选的实施方式中， 所述装置还包括。

47、： 0101 校验模块， 用于利用预设情报源数据， 对所述日志安全事件和/或网络流安全事 件， 以及所述融合安全事件和所述关联规则安全事件进行校验。 0102 本申请实施例提供的网络安全态势感知装置， 基于日志数据和网络流数据合并后 的融合数据进行网络安全态势感知， 能够得到基于单一数据源无法得到的融合安全事件， 使得用于确定网络安全态势曲线的安全事件更全面， 进而提高了网络安全态势感知结果的 准确性。 0103 另外， 本申请实施例还提供了一种网络安全态势感知设备， 参见图3所示， 可以包 括： 0104 处理器301、 存储器302、 输入装置303和输出装置304。 网络安全态势感知设备。

48、中的 处理器301的数量可以一个或多个， 图3中以一个处理器为例。 在本发明的一些实施例中， 处 理器301、 存储器302、 输入装置303和输出装置304可通过总线或其它方式连接， 其中， 图3中 以通过总线连接为例。 0105 存储器302可用于存储软件程序以及模块， 处理器301通过运行存储在存储器302 的软件程序以及模块， 从而执行网络安全态势感知设备的各种功能应用以及数据处理。 存 储器302可主要包括存储程序区和存储数据区， 其中， 存储程序区可存储操作系统、 至少一 个功能所需的应用程序等。 此外， 存储器302可以包括高速随机存取存储器， 还可以包括非 易失性存储器， 例如。

49、至少一个磁盘存储器件、 闪存器件、 或其他易失性固态存储器件。 输入 装置303可用于接收输入的数字或字符信息， 以及产生与网络安全态势感知设备的用户设 置以及功能控制有关的信号输入。 0106 具体在本实施例中， 处理器301会按照如下的指令， 将一个或一个以上的应用程序 的进程对应的可执行文件加载到存储器302中， 并由处理器401来运行存储在存储器302中 的应用程序， 从而实现上述网络安全态势感知方法中的各种功能。 0107 另外， 本申请还提供了一种计算机可读存储介质， 所述计算机可读存储介质中存 储有指令， 当所述指令在终端设备上运行时， 使得所述终端设备执行上述的网络安全态势 感。

50、知方法。 0108 可以理解的是， 对于装置实施例而言， 由于其基本对应于方法实施例， 所以相关之 处参见方法实施例的部分说明即可。 以上所描述的装置实施例仅仅是示意性的， 其中所述 作为分离部件说明的单元可以是或者也可以不是物理上分开的， 作为单元显示的部件可以 是或者也可以不是物理单元， 即可以位于一个地方， 或者也可以分布到多个网络单元上。 可 以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。 本领域普通 技术人员在不付出创造性劳动的情况下， 即可以理解并实施。 0109 需要说明的是， 在本文中， 诸如第一和第二等之类的关系术语仅仅用来将一个实 体或者操作与另一个实。