[发明专利]一种基于信息融合技术的网络安全态势感知模型训练方法和装置

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于信息融合技术的网络安全态势感知模型训练方法和装置。

背景技术

关键资产主要包括网络边界、主机系统、网络设备和终端。对于关键资产的网络安全威胁一般包括探测扫描、渗透攻击、攻陷入侵、安装工具和恶意行为等，安全威胁通常会触发告警，然而告警也可能由正常的维护操作或网络异常引起，从而给检测和防御安全威胁带来困难。另外，随着联网的关键资产数量不断增加，对海量关键资产的安全威胁进行检测和预测越来越困难。

发明内容

本发明要解决的技术问题在于，对海量关键资产的安全威胁进行检测和预测越来越困难。

为此，本发明实施例提供了一种基于信息融合技术的网络安全态势感知模型训练方法，包括：获取多条关键资产告警数据，每条所述关键资产告警数据包括IP地址和攻击类型；合并具有相同IP地址的所述关键资产告警数据为一条关键资产告警数据集；融合所述关键资产告警数据集为关键资产告警数据集库；根据所述关键资产告警数据集库训练预设的网络安全态势感知模型；判断所述网络安全态势感知模型的训练结果是否达到预期；当未达到预期时，重复执行所述获取多条关键资产告警数据的步骤至所述根据所述关键资产告警数据集库训练预设的网络安全态势感知模型的步骤，直至所述网络安全态势感知模型的训练结果达到预期。

可选的，所述获取多条关键资产告警数据包括：采集所述多条关键资产告警数据；过滤重复的所述关键资产告警数据；根据IP地址排序所述关键资产告警数据。

可选的，所述获取多条关键资产告警数据包括：基于Spark并行计算框架获取所述多条关键资产告警数据。

可选的，所述根据所述关键资产告警数据集库训练预设的网络安全态势感知模型包括：采用所述关键资产告警数据集库的一部分训练所述网络安全态势感知模型；采用所述关键资产告警数据集库的另一部分验证所述网络安全态势感知模型的训练结果。

可选的，所述根据所述关键资产告警数据集库训练预设的网络安全态势感知模型包括：通过Tensorflow软件库和Lstm算法进行所述训练。

可选的，还包括：在通过Tensorflow软件库和Lstm算法进行所述训练的同时，通过TensorBoard可视化调试工具输出训练数据。

可选的，所述根据所述关键资产告警数据集库训练预设的网络安全态势感知模型包括：通过CPU和GPU协同操作进行所述训练。

本发明实施例还提供了一种基于信息融合技术的网络安全态势感知模型训练装置，包括：关键资产告警数据获取单元，用于获取多条所述关键资产告警数据，每条所述关键资产告警数据包括IP地址和攻击类型；告警数据合并单元，用于合并具有相同IP地址的所述关键资产告警数据为一条关键资产告警数据集；融合单元，用于融合所述关键资产告警数据集为关键资产告警数据集库；模型训练单元，用于根据所述关键资产告警数据集库训练预设的网络安全态势感知模型；训练结果判断单元，用于判断所述网络安全态势感知模型的训练结果是否达到预期，以及当所述训练结果未达到预期时，跳转到所述关键资产告警数据获取单元。

可选的，所述关键资产告警数据获取单元还用于：基于Spark并行计算框架获取所述关键资产告警数据。

可选的，所述模型训练单元还用于：通过Tensorflow软件库和Lstm算法进行所述训练。

本发明实施例的基于信息融合技术的网络安全态势感知模型训练方法和装置，通过将相同IP地址的关键资产告警数据合并后用于训练网络安全态势感知模型，能够实现对海量关键资产的安全威胁的有效检测和预测。

附图说明

通过参考附图会更加清楚的理解本发明的特征和优点，附图是示意性的而不应理解为对本发明进行任何限制，在附图中：

图1示出了本发明实施例的基于信息融合技术的网络安全态势感知模型方法的流程图；

图2示出了本发明实施例的基于信息融合技术的网络安全态势感知模型装置的结构示意图。

具体实施方式

下面将结合附图对本发明的实施例进行详细描述。

实施例1

如图1所示，本发明实施例提供了一种基于信息融合技术的网络安全态势感知模型训练方法，适用于分布式系统，例如互相连接以进行并行计算的多台个人电脑(PC)，包括：

S1.获取多条关键资产告警数据，每条所述关键资产告警数据包括IP地址和攻击类型；