法律状态公告日
法律状态信息
法律状态
2019-07-09
授权
授权
2018-10-26
实质审查的生效 IPC(主分类):H04L29/06 申请日:20180529
实质审查的生效
2018-09-28
公开
公开
技术领域
本发明涉及网络信息安全领域,尤其涉及一种基于人工智能的威胁情景感知信息安全主动防御系统。
背景技术
随着互联网爆炸式的发展,网络规模的不断扩大,网络拓扑结构变得越来越复杂,监测网络威胁行为的难度又上升了一个等级。目前,传统的被动防御策略已不能满足网络信息安全的需求,基于防火墙的防御为例,(1)入侵者可利用已有的经验巧妙地绕过防火墙,寻找方便其进行入侵的方式;(2)攻击者可能已藏身于防火墙之内;(3)受限于某些性能,防火墙不具备实时监测入侵的能力。因此,能够及时发现威胁,识别攻击企图并适当应对威胁行为已成为目前还亟需解决的问题。
发明内容
针对上述问题,本发明旨在提供一种基于人工智能的关键信息基础设施安全威胁主动防御系统。
本发明的目的采用以下技术方案来实现:
一种基于人工智能的威胁情景感知信息安全主动防御系统,该系统包括:
数据采集模块,用于实时对网络事件、系统运行数据和网络设备操作数据进行采集,以获取原始数据信息;
安全评估模块,用于对采集的原始数据信息进行处理,并对网络进行安全评估;
处置模块,用于根据安全评估模块的评估结果,确定安全事件处理策略,进而对网络中的威胁行为进行主动防御。
有益效果:该系统通过对实时采集的原始数据进行分析,进而对网络中的威胁情景进行感知,并根据感知的威胁情景对网络安全状态进行评估和预测,进而为网络安全管理人员的决策分析提供依据,将网络中威胁情景可能带来的风险和损失降到最低。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1为本发明的框架结构图;
图2为本发明数据采集模块的框架结构图;
图3为本发明安全评估模块的框架结构图;
图4为本发明威胁情景评估单元的框架结构图。
附图标记:
数据采集模块1;安全评估模块2;处置模块3;网络事件传感器11;系统运行数据传感器12;设备操作数据传感器13;数据处理单元21;威胁情景感知单元22;威胁情景评估单元23;安全状态确认单元24;可信度评估子单元231;威胁程度评估子单元232;安全状态评估子单元233。
具体实施方式
结合以下应用场景对本发明作进一步描述。
参见图1,一种基于人工智能的威胁情景感知信息安全主动防御系统,该系统包括:
数据采集模块1,用于实时对网络事件、系统运行数据和网络设备操作数据进行采集,以获取原始数据信息;
安全评估模块2,用于对采集的原始数据信息进行处理,并对网络进行安全评估;
处置模块3,用于根据安全评估模块2的评估结果,确定安全事件处理策略,进而对网络中的威胁行为进行主动防御。
有益效果:该系统通过对实时采集的原始数据进行分析,进而对网络中的威胁情景进行感知,并根据感知的威胁情景对网络安全状态进行评估和预测,进而为网络安全管理人员的决策分析提供依据,将网络中威胁情景可能带来的风险和损失降到最低。
作为优选,参见图2,数据采集模块1包括:
网络事件传感器11,用于对网络事件进行采集;
系统运行数据传感器12,用于对系统运行数据进行采集,系统运行数据包括系统运行的日志信息、网络流量信息;
设备操作数据传感器13,用于对网络设备操作数据进行采集,网络设备操作数据包括网络设备运行状态信息、网络设备参数信息。
作为优选,参见图3;安全评估模块2包括:数据处理单元21、威胁情景感知单元22、威胁情景评估单元23和安全状态确认模块24;
数据处理单元21,用于对采集的原始数据进行处理,获取网络描述信息;
有益效果:通过设置数据处理单元对采集的原始数据进行处理,能够有效地去除原始数据中的冗余数据,降低了数据维度,有较少的数据去描述网络的安全状态,降低后续对威胁情景识别的复杂度,提高了该系统的工作效率。
威胁情景感知单元22,用于根据网络描述信息,对网络中的威胁情景进行感知;
威胁情景评估单元23,用于根据威胁情景感知单元22的感知结果,对网络安全状态进行评估;
安全状态确认单元24,用于根据威胁情景评估单元23的评估结果和历史威胁数据,预测未来威胁情景的发展趋势,并将预测结果传输至处置模块3。
作为优选,参见图4,威胁情景评估单元23包括可信度评估子单元231、威胁程度评估子单元232和安全状态评估子单元233;
可信度评估子单元231,用于根据威胁情景感知模块的感知结果,对每个威胁行为的可信度进行评估;
威胁程度评估子单元232,用于根据可信度评估子单元231以及网络中各个网络设备的防御等级,分析每个威胁行为对网络中网络设备的威胁程度;
安全状态评估子单元233,用于根据可信度评估子单元231的评估结果和威胁程度评估子单元232的评估结果,对网络安全状态进行评估。
作为优选,根据网络描述信息,对网络中的威胁情景进行感知,具体地是通过计算各个网络描述信息和标准数据中预存的网络正常运行的网络描述信息之间的匹配度值F,根据得到的匹配度值,获取描述网络中威胁情景的网络描述信息,其中,匹配度值F的计算公式为:
式中,
其中,当
有益效果:利用上式计算经所述数据处理单元21得到的每一个网络描述信息和标准数据库中预存的网络正常活动的网络描述信息的匹配度值,根据计算的匹配度值对得到的网络描述信息进行分类,获取能够描述威胁情景的网络描述信息,该算法进一步降低后续对网络威胁评估的计算复杂度,提高了工作效率,同时也减轻了后续的工作压力,并为下一步评估网络安全状态做好了准备,上述实施例中,通过设定一阈值,来对采集的网络描述信息进行分类,该做法能够检测出网络系统之前没发生过的攻击行为。
作为优选,根据威胁情景感知模块的感知结果,对每个威胁行为的可信度进行评估,其中,威胁行为k在t时刻时的可信度值的计算公式为:
式中,Pk(ym,t)是t时刻时,网络描述信息ym对威胁行为k的影响程度值,且0≤Pk(ym,t)<1,ωm是网络描述信息ym在描述发生威胁行为k时所占的权重值,Dk是威胁行为的攻击能力等级,且0≤Dk≤1,Fk是网络对威胁行为k的防御能力,且0≤Fk≤1。
有益效果:在本发明上述实施例中,在分析每个威胁行为的可信度时,不仅从威胁行为本身出发,考虑了威胁行为的攻击能力的影响,同时也考虑了网络系统针对不同威胁行为的防御能力。这使得得到的每个威胁行为的可信度更具备针对性,能够准确地反映出每个威胁行为的可信度,有利于后续对网络安全态势的准确估计以及预测。
在一个实施例中,所述根据可信度评估子单元231以及网络中各个网络设备的防御等级,分析每个威胁行为对网络中网络设备的威胁程度,具体地,是采用下方函数计算威胁行为对信息基础设备a的威胁程度值:
式中,Φa(t)是威胁行为对网络设备a的威胁程度值,K是威胁行为个数,Rk(t)是威胁行为k在t时刻的可信度值,Assetka是威胁行为k对网络设备a造成的损失量化值,且0≤Assetka≤1,Gak是网络设备a对威胁行为k的防御能力,Gbk是网络设备b对威胁行为k的防御能力,
有益效果:本发明上述实施例中,是为了得到所有威胁行为分别对每个网络设备的威胁程度值,在求各个网络设备的威胁程度值时,不仅将每个威胁行为对网络设备造成的损失考虑在内,同时利用每个网络设备本身的防御能力,分析了每个网络设备与其他网络设备的关联程度,进而获得每个网络设备受威胁行为的威胁程度值,该威胁程度值更能准确地反应出威胁行为对网络设备的威胁程度,有利于后续对网络安全态势进行准确评估和预测网络安全态势的未来走向。
在一个实施例中,根据可信度评估子单元231的评估结果和威胁程度评估子单元232的评估结果,对网络安全状态进行评估,具体地,是利用计算得到的每一个威胁行为的可信度值和所有威胁行为对每一个网络设备的威胁程度值,估计整个网络的安全性能,得到整个网络的安全性能值,其中,t时刻时,整个网络的安全性能值的计算式为:
式中,E(t)是t时刻时整个网络的安全性能值,Rk(t)是t时刻时威胁行为k的可信度值,Φa(t)是t时刻时威胁行为对网络设备a的威胁程度值,A是整个网络中的网络设备数,K是威胁行为的个数。
有益效果:采用上式计算整个网络的安全性能值,该算法不仅考虑威胁行为本身对网络系统的影响,还考虑各个威胁行为的可信度,该做法能够对整个网络的安全性能之进行准确估测,进而有利于后续采取相应的防御措施。
在一个实施例中,根据安全评估模块2的评估结果,确定安全事件处理策略,进而对网络中的威胁行为进行主动防御,具体地,是通过深度学习算法对安全评估模块2传输过来的结果进行威胁等级的划分,并根据对威胁等级的划分结果,确定安全事件处置策略,进而对网络中的威胁情景进行主动防御。
有益效果:本发明上述实施方式,通过设置处置模块3,通过深度学习算法对安全评估模块2的结果进行识威胁等级的划分,进而确定相应的安全事件处置策略,实现对网络中的威胁情景的主动防御,该做法提高了系统自动识别威胁程度的水平,进而主动采取相应的安全事件处理策略去应对不同威胁等级的威胁行为,提高了网络系统的稳定性和安全性。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当分析,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。
机译: 基于人工智能的威胁态势感知信息安全主动防御系统
机译: 基于人工智能的关键信息基础设施安全威胁主动防御系统
机译: 基于数据历史的信息安全威胁评估系统