(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211125068.3 (22)申请日 2022.09.15 (71)申请人 南方电网科 学研究院有限责任公司 地址 510000 广东省广州市萝岗区科 学城 科翔路11号J1栋3、 4、 5楼及J3 栋3楼 (72)发明人 关泽武　蒙家晓　李攀登　徐培明　 张宇南　匡晓云　许爱东　蒋屹新　 杨祎巍　洪超　陈霖　 (74)专利代理 机构 广州爱豆鼎盛知识产权代理 事务所(普通 合伙) 44763 专利代理师 袁翔 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全态 势预测系统及方法 (57)摘要 本申请公开了一种网络安全态势预测系统 及方法， 该系统包括数据存储模块、 虚拟机模块、 虚拟攻击模块、 态势预测模块、 控制中心， 所述数 据存储模块与所述虚拟攻击模块相连， 所述态势 预测模块与所述数据存储模块相连， 所述虚拟攻 击模块与所述虚拟机模块相连， 所述虚拟机模块 与所述数据存储模块相连， 所述数据存储模块、 所述虚拟机模块、 所述虚拟机模块、 所述虚拟攻 击模块、 所述态势预测模块分别与所述控制中心 相连。 本申请 还公开了一种网络安全态势预测系 统及方法。 本申请的网络安全态势预测系统及方 法， 能够全面的获取到当前网络安全的态势分析 结果， 并对各种网络攻击进行全面的分析， 确保 网络安全态势分析的可靠性 以及分析结果的可 用性。 权利要求书2页 说明书5页 附图2页 CN 115484099 A 2022.12.16 CN 115484099 A 1.一种网络安全态势预测系统， 其特征在于， 包括数据存储模块、 虚拟机模块、 虚拟攻 击模块、 态势预测模块、 控制中心， 所述数据存储模块与所述虚拟攻击模块相连， 所述态势 预测模块与所述数据存储模块相连， 所述虚拟攻击模块与所述虚拟机模块相连， 所述虚拟 机模块与所述数据存储模块相连， 所述数据存储模块、 所述虚拟机模块、 所述虚拟机模块、 所述虚拟攻击模块、 所述态 势预测模块分别与所述控制中心相连； 其中， 所述控制中心被 配置为用于数据传输控制和系统运行控制； 所述数据存储模块配置为用于存储 网络攻击的要素特征， 所述网络攻击包括基于大数 据获取的攻击、 受到的网络安全攻击事 件， 所述要素 特征包括攻击特征和攻击结果特 征； 所述虚拟攻击模块配置为基于所述数据存储模块中的网络攻击进行特征重组后衍生 的虚拟攻击， 提取 所述虚拟攻击的要素 特征后存储于所述数据存 储模块中； 所述虚拟机模块配置为接受所述数据存储模块发出的网络攻击和虚拟攻击的模拟网 络攻击， 基于网络攻击作出相应的响应并生成事 件结果； 所述态势预测模块配置为基于所述虚拟机模块的事件结果和对应的攻击特征对实时 受到的攻击的安全态 势进行分析， 所述 安全态势包括攻击的变化和相应的事 件结果。 2.根据权利要求1所述的网络安全态势预测系统， 其特征在于， 所述虚拟攻击模块衍生 虚拟攻击的规则包括： 将所述网络攻击的攻击特征分别定义为特征1、 特征2 ……特征n， n≥ 2， 基于排列组合的方式将所有的攻击特征重组构成新的攻击行为序列， 所述攻击行为序列 的数量C为 其中， m为每次排列组合时选取的攻击特 征的数量， 1≤m≤n。 3.根据权利要求2所述的网络安全态势预测系统， 其特征在于， 所述虚拟机模块接收每 个所述攻击行为序列并进行模拟网络攻击， 同时， 分别生成对应的事 件结果。 4.根据权利要求3所述的网络安全态势预测系统， 其特征在于， 所述数据存储模块将事 件结果相同的a个攻击行为序列存 储为同一类网络攻击， 其中， a≥1。 5.根据权利要求1所述的网络安全态势预测系统， 其特征在于， 该种网络安全态势预测 系统还包括配置为基于模拟网络攻击制定应对策略的策略制定模块， 所述策略制定模块分 别与所述数据存储模块、 所述虚拟机模块相连， 所述数据存储模块还配置为存储网络攻击 对应的应对策略， 所述策略制定模块基于所述数据存储模块中的应对策略以机器学习的方 式制定模拟策略， 并将制定的模拟策略发送至所述虚拟机模块对当前的虚拟网络攻击进 行 应对， 在应对成功时， 将该模拟策略定义为该次虚拟网络攻击对应的网络攻击的应对策略， 并与该网络攻击打包后存 储于所述数据存 储模块中。 6.根据权利要求5所述的网络安全态势预测系统， 其特征在于， 所述态势预测模块还配 置为基于实时受到的攻击的要 素特征获取对应的应对策略， 以及基于实时受到的攻击的变 化获取对应的应对策略完成该实时收到的攻击的安全态 势分析。 7.一种网络安全态 势预测方法， 其特 征在于， 该 方法包括以下步骤： 布置如权利要求1 ‑6任意一项所述的网络安全态 势预测系统； 基于大数据实时获取攻击以及实时检测蜜罐受到的网络安全攻击事件作为网络攻击， 并提取网络攻击的要素 特征存储于数据存 储模块； 虚拟攻击模块将所述网络攻击重组后 衍生的虚拟攻击， 并提取要素特征后存储于数据 存储模块；权　利　要　求　书 1/2 页 2 CN 115484099 A 2虚拟机模块接受所述网络攻击和虚拟攻击的模拟网络攻击， 基于网络攻击作 出相应的 响应并生成事 件结果； 数据存储模块基于所述虚拟机模块的虚拟网络攻击进行要素 特征内容更新； 态势预测模块基于所述虚拟机模块的事件结果和对应的攻击特征对实时受到的攻击 的安全态 势进行分析， 所述 安全态势包括攻击的变化和相应的事 件结果。 8.根据权利要求7 所述的网络安全态 势预测方法， 其特 征在于， 该 方法还包括： 策略制定模块基于所述数据存储模块中的应对策略以机器学习的方式制定模拟策略， 并将制定的模拟策略发送至所述虚拟机模块对当前的虚拟网络攻击进 行应对， 在应对成功 时， 将该模拟策略定义为该次虚拟网络攻击对应的网络攻击的应对策略， 并与该网络攻击 打包后存储于所述数据存储模块中； 态势预测模块还配置为基于实时受到的攻击的要 素特 征获取对应的应对策略， 以及基于实时受到的攻击的变化获取对应的应对 策略完成该实时 收到的攻击的安全态 势分析。 9.根据权利要求7所述的网络安全态势预测方法， 其特征在于， 所述数据存储模块将事 件结果相同的a个攻击行为序列存储为同一类网络攻击， 其中， a≥1； 当所述态势预测模块 基于实时受到的攻击的要 素特征无法获取对应的应对策略时， 将与该实时受到的攻击的要 素特征相似度达到预设阈值P的攻击行为序列对应的应对策略作为 目标应对策略， 并采用 该目标应对策略在所述虚拟机模块中进行攻击模拟和应对， 直至解决该实时受到的攻击或 向后台发出攻击警报提 示进行人为干预。权　利　要　求　书 2/2 页 3 CN 115484099 A 3