[发明专利]网络安全风险事件预测方法及装置

说明书

本发明实施例提供一种网络安全风险事件预测方法及装置，通过孪生神经网络分类模型，得到待预测网络数据的风险事件类别，可以很好地解决当网络数据样本量过少，或者网络数据样本分布不平衡时，对网络安全风险事件预测的准确度不高的问题。针对实际应用场景中的带标记信息较少，或者网络数据样本分布不平衡问题，以最简单的手段减少了网络数据样本分布不平衡程度，对于小数据集而言，它更是极大的增加了样本数量，为后续能使用拟合能力更强的深度学习算法进行风险预测提供了可能。在网络数据样本量充足且网络数据样本分布平衡时，本发明实施例中的孪生神经网络分类模型可以达到最好的性能，具有最佳的AUC，GM和F1性能。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络安全风险事件预测方法及装置。

背景技术

随着计算机的日益普及和网络技术的快速发展，网络在社会、政治、经济、军事等各个领域发挥着越来越大的作用，但网络快速的发展的同时也出现了更多的网络安全问题，而风险预测技术能有效预测攻击或危害，在网络安全中发挥着重要作用。它可以准确定位和预测各种类型的网络危害，为制定应对策略奠定基础。网络安全风险有各种存在形式，如鱼叉式网络钓鱼邮件、恶意软件和恶意网页等。

如何设计一种高效的网络安全风险事件预测方法引起了工作人员的广泛关注。根据调查发现在各领域都具有对应的安全预测模型。在工程领域，有输送电路风险模型；金融领域，有项目进度风险预测方法；在生物医疗领域，有针对某种病的患病风险分析。在网络安全领域，同样有关于风险预测的模型，但是各模型解决的问题都很不相同，使用的方法也有很大区别。总体来说，在网络安全领域的风险预测问题方向很多，采用的解决方法也各有不同，但基本都是根据对大量信息数据的获取、处理和分析，进而获得对于网络安全风险的预测。

目前，为了实现对网络安全风险事件进行预测，通常采用基于传统风险评估的网络安全态势感知方法，先通过扫描全网络，以获取资产信息、漏洞信息及环境因素等，然后在通用漏洞库中查找与资产相关的漏洞的相关信息，并通过专家评分获得该漏洞的风险严重程度，最终对该网络进行全面风险预测。该方法需要专家的评分，这不仅大大增加了人力资源的压力，也导致了为缓解人力资源压力而出现的网络数据样本量过少的问题。针对整个网络或者网络中的单个设备(如服务器、终端、交换机)的网络安全风险预测，采用安全态势预测模型进行预测，该模型利用决策树预处理网络数据样本之后，对网络安全风险事件进行预测。由于网络中的单个设备内均存在安全防护措施，导致其并不容易发生风险事件，进而使网络数据样本中风险类样本数量过少，导致网络数据样本分布不平衡，使得决策树在网络数据样本量少或网络数据样本分布不平衡时对噪声敏感，降低预测准确率。

此外，在一个安全防护措施相对完备的组织中，网络安全风险事件的发生往往是罕见的，网络数据样本量过少或网络数据样本分布不平衡是较为常见的问题。大多数现有的风险预测模型所使用的数据集，都是网络数据样本量充足且网络数据样本分布平衡的，此时基于传统的机器学习方法构建的网络安全风险事件预测模型，能取得较好的预测效果。但当风险类样本数量过少而导致网络数据样本分布不平衡时，如果依然使用传统的分类方法进行训练和预测，将降低模型捕获风险类样本特征的能力，最终更倾向于产生存在偏差或者不正确的预测模型，容易将出现风险事件类划分为未出现风险事件类。对于网络数据样本分布不平衡的问题，比较常用的是采用基于阈值移动的算法，但这种方法在风险预测时非常依赖于数据集的特点。例如欠采样在减少非风险类样本时，容易忽略潜在有用的数据；而过采样在风险类样本较少时，容易出现过度拟合问题；阈值移动需要根据输入数据及模型的输出特点进行动态调整。因此，针对网络安全风险事件预测中网络数据样本量过少及网络数据样本分布不平衡的问题，必须设计出能有效解决该问题的针对性模型。

发明内容

本发明实施例提供一种网络安全风险事件预测方法及装置，用以解决现有技术中存在的缺陷。

本发明实施例提供一种网络安全风险事件预测方法，包括：

获取待预测网络数据，并提取所述待预测网络数据的特征向量；