[发明专利]基于深度神经网络的安全态势智能预测方法、装置及系统

权利要求书

1.一种基于深度神经网络的安全态势智能预测方法，其特征在于，包含如下内容：

A)以自动编码器为基本单元，结合误差反向传播BP神经网络，构建用于网络安全态势无监督训练学习的深度自编码网络模型；

B)结合专家知识和层次评估法对深度自编码网络模型依次进行无监督逐层预训练和有监督模型参数微调，得到训练后的网络模型；

C)基于训练后的网络模型，对目标网络安全态势进行预测；

无监督逐层训练中，利用无标签数据对深度自编码网络模型进行无监督预训练，确定网络模型各层间权值的范围空间；

无监督预训练包含如下内容：训练第一个自动编码器，使其重构误差最低；将上一个自动编码器输出作为下一个自动编码器输入，对该下一个自动编码器进行训练，使其重构误差最低，循环重复，直至深度自编码网络模型各层训练完成；将深度自编码网络模型最后一层作为下一个有监督层的输入；

有监督模型参数微调中，利用有标签数据对经过预训练的网络模型进行调整，对网络模型各层参数及权值进行优化；

网络模型调整包含如下内容：依据预训练的网络模型进行网络模型结构初始化；针对选取的有标签数据，利用BP神经网络算法对网络模型进行有监督训练，获取每层输出及每一层的有监督重构误差；依据有监督重构误差对网络权值参数和偏置向量进行微调，并与性能指标和规则值进行比对，直至达到预期效果，得到训练后的网络模型；

网络模型训练和参数微调中，结合专家知识建立网络安全态势指标体系，对网络中节点、防护、拓扑、流量、报警和配置信息进行提取，获取网络态势指标；采用层析分析法从服务、主机和网络三个细粒度层次对态势指标进行综合评估，获取系统网络安全态势值；构建用于网络模型训练的训练集和用于模型参数微调的测试集，依据训练集和测试集依次对网络模型进行预训练和参数调整；

系统网络安全态势值计算公式表示为：

其中，S_a为服务威胁态势向量，E_a为专家知识威胁严重程度向量，S_s为威胁事件数量向量；S_m为主机威胁态势向量，K_s为各主机节点开放的服务向量，E_p为通过专家知识加权得出的服务权重向量，E_m为专家知识主机权重向量，b为通过专家知识加权得出的对网络安全态势的修正值，S为最终系统网络安全态势值；

网络模型训练和参数微调流程，包含如下内容：以固定时间段内采集到的告警日志和网络安全事件信息为数据源，综合计算各态势指标的值，并进行数据归一化；依据专家经验值进行加权，对各指标权重进行定量评估，计算服务层威胁态势情况；综合服务威胁态势情况计算主机威胁态势；结合主机权重计算全网威胁态势；建立测试集和训练集，在得到网络安全态势评估值的基础上，选取相邻一段时段态势指标值组合起来，构建训练集时间值序列Xi＝[xi(1)，xi(2),…,xi(n)]，取Yi＝xi(n+1)作为标签；将序列X_i的各分量的值作为深度自编码网络的输入，并进行无监督逐层预训练；利用Y_i进行有监督微调训练，调整相关权值和参数，使模型获得最佳的性能，完成深度自编码网络模型训练，以利用训练后的深度自编码网络模型对网络安全态势开展预测。

2.根据权利要求1所述的基于深度神经网络的安全态势智能预测方法，其特征在于，A)中，自动编码器包含编码器和解码器，其中，编码器设置在输入层和隐藏层之间，解码器设置在隐藏层和输出层之间，彼此相邻的编码器隐藏层进行交叉堆叠，经过训练学习调整编码器权重和偏置参数，使得编码器重构误差趋于最小值。

3.一种基于深度神经网络的安全态势智能预测装置，其特征在于，基于权利要求1所述的方法实现，包含：构建模块、训练模块和预测模块，其中，

构建模块，用于以自动编码器为基本单元，结合误差反向传播BP神经网络，构建用于网络安全态势无监督训练学习的深度自编码网络模型；

训练模块，用于结合专家知识和层次评估深度自编码网络模型依次进行无监督逐层预训练和有监督模型参数微调，得到训练后的网络模型；

预测模块，用于基于训练后的网络模型，对目标网络安全态势进行预测。

4.一种网络安全态势智能预测系统，其特征在于，包含权利要求3所述的基于深度神经网络的安全态势智能预测装置。