[发明专利]一种APT威胁预测方法及系统

权利要求书

1.一种APT安全威胁预测方法，其特征在于，包括：

采集海量异构安全数据，并对所述海量异构安全数据进行关联分析；

根据所述关联分析结果，建立APT安全威胁态势感知的体系框架；

基于多层次、多角度的态势评估，建立APT安全威胁态势评估的体系框架,并对APT安全威胁态势进行评估；

建立APT安全威胁发展模型，对APT安全威胁态势进行预测；

根据所述预测，如果确定潜在威胁，则进行预警。

2.根据权利要求1所述的方法，其特征在于，其中对所述APT安全威胁态势进行评估至少包括：

将海量异构安全数据归类为资产数据、威胁数据、脆弱性数据和网络结构数据；

去除上述数据的重复冗余信息；

将资产数据、威胁数据、脆弱性数据和网络结构数据相关联，综合分析得到每个威胁的威胁传播网络。

3.根据权利要求1所述的方法，其特征在于，建立APT安全威胁态势感知的体系框架时，对所述关联分析结果，用如下加密/解密算法进行加密/解密：

A=B^e2 mod n；B=A^e1 mod n

其中A为明文，B为密文，n为二进制表示密钥长度，e1和e2是一对相关的值，e1可以任意取，但要求e1与(p-1）*(q-1）互质；再选择e2，要求（e2*e1）mod((p-1）*(q-1））=1；p、q取值为超过具体环境阈值的任意的大质数。

4.根据权利要求1所述的方法，其特征在于，其中对APT安全威胁态势进行评估至少包括：采用粒子群PSO算法进行评估。

5.根据权利要求4所述的方法，其特征在于，其中所述PSO算法在迭代时，依次循环使用如下非线性函数作为权重函数：

F(X,Y,Z)=(X&Y)|((～X)&Z)；

G(X,Y,Z)=(X&Z)|(Y&(～Z));

H(X,Y,Z)=X^Y^Z；

I(X,Y,Z)=Y^(X|(～Z))；

其中，X、Y、Z是态势感知中的加密数据对三元组，分别表示信息安全的CIA三要素：保密性、完整性、可用性。

6.根据权利要求5所述的方法，其特征在于，其中所述PSO算法当发现异常行为时，跳出所述非线性函数，执行下列关联函数：

FF(a,b,c,d,Mj,s,ti）表示a=b+((a+F(b,c,d)+Mj+ti)<<s)

GG(a,b,c,d,Mj,s,ti）表示a=b+((a+G(b,c,d)+Mj+ti)<<s)

HH(a,b,c,d,Mj,s,ti）表示a=b+((a+H(b,c,d)+Mj+ti)<<s)

Ⅱ（a,b,c,d,Mj,s,ti）表示a=b+((a+I(b,c,d)+Mj+ti)<<s)

其中a、b、c、d分别是所述PSO算法数据筛选和重组后得到的加速量、个体知识、邻居知识、社会知识；Mj表示态势感知数据的第j个子分组，常数ti是4294967296*abs(sin(i)）的整数部分，i取值从1到64，单位是弧度；s表示函数操作过程中的位移量，为系统的固定输入；FF(a,b,c,d,Mj,s,ti）、GG(a,b,c,d,Mj,s,ti）、HH(a,b,c,d,Mj,s,ti）、II(a,b,c,d,Mj,s,ti）函数表示a的不同计算过程，并返回a的值。

7.根据权利要求1所述的方法，其特征在于，所述对网络安全威胁进行预测至少包括：采用人工神经网络、灰色理论和时间序列分析的预测技术对安全态势的发展趋势进行预测。

8.一种APT安全威胁预测系统，其特征在于，包括：

采集设备，用于对海量异构安全数据进行关联分析；

APT安全威胁态势感知设备，用于根据所述关联分析结果，建立APT安全威胁态势感知的体系框架；

APT安全威胁态势评估设备，用于根据多层次、多角度的态势评估，建立APT安全威胁态势评估的体系框架,并对APT安全威胁态势进行评估；

APT安全威胁态势预测设备，用于建立APT安全威胁发展模型，对APT安全威胁进行预测；

APT安全威胁态势预警设备，用于根据所述预测，发出预警。