网络安全态势反演方法及装置与流程

本技术涉及信息系统网络安全，尤其涉及网络安全态势反演方法及装置。

背景技术：

1、针对信息系统的网络安全态势感知通过收集网络环境中综合、全面的安全要素并进行数据融合后，对信息系统的网络的安全态势有宏观、全面的认知，并且能对信息系统的网络安全态势(即趋势)进行预测，是保障网络安全的有效手段。因此，需要获取能够表示信息系统的网络安全态势的数据。

2、目前，获取能够表示信息系统的网络安全态势的数据主要是通过主动探测或被动采集等方式采集系统相关的参数信息，然后对参数信息进行关联融合后形成用于反映信息系统的网络安全态势的数据。其中，主动探测方法主要应用多样的高速网络扫描技术，如主机存活检测、端口扫描和服务鉴别等技术，还包括使用网络爬虫等方法获取相关信息。被动采集方法主要是通过对网络流量的镜像捕获，对日志等信息采集和通过蜜罐组成的蜜网的信息采集。

3、然而，现有的网络安全态势感知技术，是从主动和被动获取的数据中进行关联分析和融合，如果数据信息不全或缺失，则对这部分目标无法形成有效的安全态势；因此无法保证最终获取的用于表示信息系统的网络安全态势的数据的全面性及可靠性，进而无法保证根据用于表示信息系统的网络安全态势的数据对信息系统进行网络监测等的有效性。

技术实现思路

1、鉴于此，本技术实施例提供了网络安全态势反演方法及装置，以消除或改善现有技术中存在的一个或更多个缺陷。

2、本技术的一个方面提供了一种网络安全态势反演方法，包括：

3、根据历史网络安全态势的先验知识，构建用于反映目标信息系统的网络安全态势的初始系统模型；

4、对所述目标信息系统的进行目标侦察，并根据对应的目标侦查结果数据对所述初始系统模型进行参数修正，得到对应的目标系统模型；

5、构建所述目标系统模型的仿真环境，并在该仿真环境中对所述目标系统模型进行状态模拟推演，根据对应的模拟推演结果对所述目标系统模型进行优化调整。

6、在本技术的一些实施例中，所述先验知识包括：

7、用于存储历史网络安全态势信息的态势数据库、用于反映历史网络安全态势的专家知识以及各个类型的历史信息系统各自对应的历史系统模型。

8、在本技术的一些实施例中，所述根据历史网络安全态势的先验知识，构建用于反映目标信息系统的网络安全态势的初始系统模型，包括：

9、获取目标信息系统的类型；

10、判断各个类型的所述历史信息系统中是否包含有与所述目标信息系统类型相同的历史信息系统，若是，则将该历史信息系统对应的历史系统模型作为所述目标信息系统对应的初始系统模型。

11、在本技术的一些实施例中，还包括：

12、若各个类型的所述历史信息系统均与所述目标信息系统类型不同，则基于预设的人工智能算法对所述态势数据库进行知识发现处理以得到用于构建所述目标信息系统对应的初始系统模型的决策规则数据，和/或，根据所述专家知识构建用于构建所述目标信息系统对应的初始系统模型的决策规则数据；

13、基于所述决策规则数据构建所述目标信息系统对应的初始系统模型。

14、在本技术的一些实施例中，所述对所述目标信息系统的进行目标侦察，并根据对应的目标侦查结果数据对所述初始系统模型进行参数修正，得到对应的目标系统模型，包括：

15、基于预设的目标侦察方式对所述目标信息系统的进行目标侦察，以得到用于反映所述目标信息系统的网络安全态势的多种类型的参数信息，其中，用于反映所述目标信息系统的网络安全态势的多种类型的参数信息包括：所述目标信息系统的ip、主机信息、网络信息、用户信息、用户所在的组织信息、业务关系和网络安全漏洞信息；

16、根据所述参数信息对所述初始系统模型进行参数修正，得到对应的目标系统模型。

17、在本技术的一些实施例中，所述构建所述目标系统模型的仿真环境，并在该仿真环境中对所述目标系统模型进行状态模拟推演，根据对应的模拟推演结果对所述目标系统模型进行优化调整，包括：

18、对所述目标系统模型进行仿真以形成设有交互接口的仿真环境；

19、自所述交互接口接收用户发送的模拟接入点信息，并根据该模拟接入点信息分别在所述仿真环境中对所述目标系统模型设置不同的接入点，以使用户根据各个所述接入点在所述仿真环境中对所述目标系统模型进行状态模拟推演，得到所述目标系统模型对应的不同的系统状态；

20、对各个所述系统状态分别进行状态评估，并基于对应的状态评估结果、所述先验知识和所述目标侦查结果数据在各个所述系统状态中择一作为最优系统状态，并基于该最优系统状态生成对应的调整方案；

21、基于所述调整方案对所述目标系统模型进行优化调整。

22、在本技术的一些实施例中，所述目标系统模型用于表示所述目标信息系统的ip、主机信息、网络信息、用户信息、用户所在的组织信息、业务关系和网络安全漏洞信息。

23、本技术的另一个方面提供了一种网络安全态势反演装置，包括：

24、模型构建模块，用于根据历史网络安全态势的先验知识，构建用于反映目标信息系统的网络安全态势的初始系统模型；

25、参数修正模块，用于对所述目标信息系统的进行目标侦察，并根据对应的目标侦查结果数据对所述初始系统模型进行参数修正，得到对应的目标系统模型；

26、模型反演模块，用于构建所述目标系统模型的仿真环境，并在该仿真环境中对所述目标系统模型进行状态模拟推演，根据对应的模拟推演结果对所述目标系统模型进行优化调整。

27、本技术的第三个方面提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述的网络安全态势反演方法。

28、本技术的第四个方面提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现所述的网络安全态势反演方法。

29、本技术提供的网络安全态势反演方法，通过根据历史网络安全态势的先验知识，构建用于反映目标信息系统的网络安全态势的初始系统模型；对所述目标信息系统的进行目标侦察，并根据对应的目标侦查结果数据对所述初始系统模型进行参数修正，得到对应的目标系统模型；构建所述目标系统模型的仿真环境，并在该仿真环境中对所述目标系统模型进行状态模拟推演，根据对应的模拟推演结果对所述目标系统模型进行优化调整，能够有效提高用于表示信息系统的网络安全态势的目标系统模型中数据的全面性及可靠性，进而能够提高根据该用于目标系统模型对目标信息系统进行网络安全监测的有效性及维护的及时性，以有效提高目标信息系统的运行稳定性和安全性。

30、本技术的附加优点、目的，以及特征将在下面的描述中将部分地加以阐述，且将对于本领域普通技术人员在研究下文后部分地变得明显，或者可以根据本技术的实践而获知。本技术的目的和其它优点可以通过在说明书以及附图中具体指出的结构实现到并获得。

31、本领域技术人员将会理解的是，能够用本技术实现的目的和优点不限于以上具体所述，并且根据以下详细说明将更清楚地理解本技术能够实现的上述和其他目的。