(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111662834.5 (22)申请日 2021.12.31 (71)申请人 北京工业大 学 地址 100124 北京市朝阳区平乐园10 0号 (72)发明人 姜楠　雷雪蒙　 (74)专利代理 机构 北京思海天达知识产权代理 有限公司 1 1203 代理人 沈波 (51)Int.Cl. H04L 41/28(2022.01) H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 基于多因素层次化的网络安全态势评估与 预测方法 (57)摘要 本发明公开了基于多因素层次化的网络安 全态势评估与预测方法， 首先， 针对态势评估数 据来源单一且融合较少问题并基于当前的网络 规模庞大的情况下， 提出将网络划分为总网络 级、 子网级、 主机级和服务级， 并依据层次价值、 威胁、 脆弱性三个指标由下至上依次对各层进行 态势评估方法的设计。 态势 评估结果表明该评估 方法在较低的评估时间细粒度的情况下具有较 高的准确性， 为后续预测奠定了基础。 其次， 通过 堆叠长短期记忆网络(Stacking  LSTM)对网络节 点的态势值进行预测及态势曲线的可视化。 态势 预测结果表明该预测模型具有预测误差小和预 测效率高的优势， 给网络安全工作人员提供及时 的安全状态信息。 未来的工作集中在降低态势评 估过程的人为因素 上， 使各指标进一 步细化。 权利要求书2页 说明书11页 附图1页 CN 114244728 A 2022.03.25 CN 114244728 A 1.基于多因素层次化的网络安全态势评估与预测方法， 其特征在于： 该方法的具体实 现步骤如下： 步骤1： 将信息系统所处网络由上至下划分为总网络层、 子网络层、 主机层、 服 务层； 步骤2： 提出网络态势基本信息的定义， 其反应当前网络安全状态 的基本信息， 包括网 络流量信息和报警信息； 表示为： Situati on_info＝{ID,Timestamp,DIP,D P,Attack,Δt}； 其中， ID为流量唯一标识； Timestamp为流量产 生的时间戳信息； DIP为接收流量的目的 主机IP地址； DP为接收流量的目的端口； Att ack为受攻击类型； Δt为计算当前时刻网络安 全态势利用的历史时间窗口大小； 步骤3： 计算服务层态势： 服务层态势的评估以端 口作为单位， 端 口对应相应服务， t时 刻服务层态势值S0(t)计算方法如下： 其中， N(Δt)为Δt时间内该端口被访问数量， f为该端口发生攻击事件的频率， a(Δt) 为Δt时间内该端口发生的攻击数量， ni(Δt)为Δt时间内攻击i发生 次数， xi为攻击i的影 响力； 步骤4： 计算主机层态势： 在主机威胁方面， 主机发生网络攻击事件所带来的威胁即为 该主机所有端口发生网络攻击事件的威胁总和， 因此以该主机全部开放端口的态势总和作 为该主机的威胁值； 在脆弱性方面， 主机脆弱性体现在该主机受到攻击的可能性上， 通过 统 计该主机遭受到攻击的频率而得出； 在层次要素价值方面， 主机的价值体现在其所承担的 信息系统服 务价值上， t时刻主机层态 势值S1(t)计算方法如下： 其中， A为操作系统脆弱性， B为该主机重要性， u(Δt)为Δt时间内该主机开放的端 口 数量， yj为端口j发生 攻击的频率； 步骤5： 计算子网层态势： 在子网威胁方面， 以该子网全部主机的态势总和作为该子网 的威胁值； 在脆弱性方面， 通过评估该区域边界防护措施有效性进 行确定， 考虑该措施对于 网络安全事件进行特征检测或异常检测、 识别或分析、 报警或阻断， 进而进行整体评估； 在 层次属性价值方面， 与主机层评估相似， 体现在其承担的服务价值上； 综上所述， t时刻子网 层态势值S2(t)如下： 其中， C为区域边界防护措施有效性， D为子网区域资产重要程度， v为该子网存在的主 机数量； 步骤6： 计算总网络层态势： 累积以上层次的态势值， t时刻总网络的态势值S(t)计算方 法如下： 其中， w为子网区域数量；权　利　要　求　书 1/2 页 2 CN 114244728 A 2步骤7： 将态势值映射至态势隶属度函数 上， 态势值的波动 幅度反应态势的高低； g设置为态势评估结果分布的较小四分位数， 当态势评估 结果处于该 值以下时， 不会产生任何报警； h设置为态势评估结果分布的较大四分位数， 当态势评估结 果处于该值以上时， 产生报警； 由于在态势评估的过程中已考虑到各因素指标相对于安全 状态的影响程度， 因此在映射部 分仅进行态势值的线性缩放， 将处于[g,h]的态势评估 结果 缩放至[0,1]， 网络安全管理员可直观的观察到此区间内网络状态的趋势变化； 步骤8： 划分数据集， 制作态势样本集X和态势标签集X'： 态势值集合Assessment   Result为n个具有时间序列的态势值构成的向量， 记作x＝[x1,x2,x3,...,xn]； 假设时间步 长设置为k， 则取长度为k的向量作为样本， 所得态势样本集为X＝[Xk,Xk+1,...,Xn‑1]， 每个 样本包含了 当前k时刻和历史k ‑1个时刻的态势 值； 每个样 本经过预测模型预测下一时刻k+ 1的态势值， 设置X'＝[xk+1,xk+2,...,xn]为态势标签集； 步骤9： 预测模型采用堆叠式长短期记忆网络， 神经网络由输入层Input、 隐藏层、 全连 接层Dense、 输出层Output构成， 隐藏层由堆叠的2个LSTM层构成， 通过Dense层将信息传递 给输出层； 将X和X'输入至神经网络， 进行迭代训练： 前一层LSTM预测的向量结果作为下一 层LSTM的输入向量； 最后得到态 势预测值 集合Predicti on Result； 步骤10： 展示Predicti on Result和As sessment Result折线图。 2.根据权利要求1所述的基于多因素层次化的网络安全态势评估与预测方法， 其特征 在于： 首先考虑威胁因素， 威胁因素与该端口发生的攻击数量和攻击影响力相关， 而攻击影 响力体现攻击发生后对网络信息系统所带来的影响， 关系到安全管理员的直接决策， 攻击 影响力采用指数级进行计算； 考虑到大部分端口无攻击事件发生， 为确保其他因素在态势 值中的表达， 在计算威胁值时， 1代表无威胁情况， 保证服务层态势 不为0； 在脆弱性方面， 端 口脆弱性即端口被利用程度， 通过该端口发生攻击事件的频率体现； 端口被利用即发生攻 击事件， 影响信息系统安全状态， 以指数级表达； 在层次要素价值方面， 端口被访问数量决 定端口的价值。权　利　要　求　书 2/2 页 3 CN 114244728 A 3