【技术实现步骤摘要】
一种基于威胁情报的网络安全威胁预测方法及系统
[0001]本专利技术涉及一种基于威胁情报的网络安全威胁预测方法及系统,属于电力系统信息安全检测与防御
技术介绍
[0002]随着计算机网络大规模、多应用、大数据化的发展,网络体系结构变得越来越复杂,在这种背景下,计算机病毒、恶意软件、木马遥控等网络攻击造成的影响越来越严重。近年来,诸如APT等高级攻击手段在国防、金融和能源行业造成了严重损失。传统网络安全防护主要采取攻击行为感知、收集与分析、通报等防御手段,通过部署防火墙、入侵检测系统等安全产品,配置相应访问控制策略和审计策略,对网络安全状况进行监测。当发生网络安全事件时,采取相应应急响应和抵御措施,事后进行备份与恢复操作。虽然这种防护模式能抵御一定的网络安全攻击,但仍具有滞后性,事件处理效果受限于安全事件的识别能力、响应速度、响应时长及事后数据备份与恢复的效率。防护方对攻击行为和安全事件识别的能力直接影响后续应急补救措施以及数据备份、恢复方式和时机的选择。在实际案例中,经常发生对安全事件成因的误判而导致应急手段失误,...
【技术保护点】
【技术特征摘要】
1.一种基于威胁情报的网络安全威胁预测方法,其特征在于,包括以下步骤:搜集情报信息,包括内部威胁情报和外部威胁情报,内部威胁情报是指来源于目标系统中的安全事件信息,外部威胁情报是指由情报提供者提供的开源情报或威胁情报;对搜集到的内部威胁情报和外部威胁情报进行标准化处理,统一情报格式;对标准化后的威胁情报进行特征编码向量化;利用基于深度神经网络算法的分类模型对经过特征编码的威胁情报进行分类,将威胁情报分为可信、不可信、无法判断三类;利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报,剩余的则为非高质量威胁情报;从高质量威胁情报中提取上下文数据,分析攻击意图并预测攻击行为;基于攻击者和防御者之间的博弈关系,使用混合策略纳什均衡预测基于非高质量威胁情报的攻击行为。2.根据权利要求1所述的方法,其特征在于,对威胁情报做标准化处理包括:依据公式进行时间相似度的计算,α为常参,t
i
、t
j
分别代表两条情报的攻击发现时间的分钟值;依据公式进行攻击源相似度计算,S
i
表示第i个攻击的攻击源,S
j
表示第j个攻击的攻击源;依据公式进行被攻击源相似度计算,θ为[0,1]内常参,D1和D2分别代表两条威胁情报的攻击目标集合,分子和分母分别代表交集和并集的个数;依据公式Sim(A
i
,A
j
)=Sim
time
×
Sim
attack
×
Sim
defense
进行情报相似度计算,A
i
,A
j
表示多个来源情报{A1,A2,A3…
,A
n
}中的任意两个;根据相似度计算结果进行威胁情报的数据归并,根据描述网络威胁信息的标准化语言得到标准STIX情报数据。3.根据权利要求1所述的方法,其特征在于,对标准化后的威胁情报进行特征编码向量化包括:采用onehot特征编码将每个情报来源映射到不同维度上,对n个不同的情报源进行顺序编号,将情报来源映射到n维的0、1特征空间,作为威胁情报来源特征;基于同一情报在不同时间段的多次发布时间,记录最近的N次发布时间,作为威胁情报时间特征;基于威胁情报内容,提取攻击类型、IP地址/域名经度、IP地址/域名纬度、恶意IP地址个数、恶意域名个数、恶意URL个数、恶意文本样本个数,作为威胁情报内容特征;基于黑名单库,获取威胁情报中IP地址、域名、文件Hash、URL与黑名单库中的重叠个数,作为基于黑名单库的特征编码。4.根据权利要求1所述的方法,其特征在于,基于深度神经网络算法的分类模型包括输
入层、输出层和多个全连接层3部分,输入层神经元负责接收特征输入,全连接层和输出层通过功能神经元对输入进行函数处理,其中函数处理由一个线性函数与一个激活函数构成,x
i
为上一层神经元的输入,w
i
为上一层神经元与当前神经元的连接权,b为偏置,s为神经元层数;分类模型输出层将威胁情报分为可信、不可信、无法判断三类。5.根据权利要求4所述的方法,其特征在于,分类模型的训练包括:通过激活函数和随机化连接权值对深度神经网络进行初始化,设定无标签输入情报集x,利用特征编码得到编码矢量h1,将h1作为输入,在[0,1]区间内取随机数设置权值;利用激活函数得到第一层训练编码矢量X1和对应连接权集合W1,将第一层训练结果通过随机连接权和激活函数的方式得到第二层训练编码矢量X2和对应的连接权集合W2,重复执行此步骤直至得到第N层特征向量X
n
对应的连接权W
n
;添加Softmax分类器,...
【专利技术属性】
技术研发人员:党芳芳,闫丽景,贾志强,李丁丁,张晓良,赵珣,柴艳玉,
申请(专利权)人:华北电力大学国网河南省电力公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。