[发明专利]一种面向威胁检测的网络安全态势评估方法

说明书

一种网络安全态势评估方法。其包括构建威胁检测模型；获取网络数据集；数据预处理；威胁检测模型训练；威胁检测模型验证及威胁检测；计算网络安全态势值；根据网络态势值进行网络安全态势量化评估等步骤。本发明构建的由并行稀疏自动编码器和注意力机制改进的双向门控循环单元组成的网络威胁检测模型可更加有效检测网络中威胁。行稀疏自动编码器模块解决单个稀疏自动编码器提取特征时所需时间长且不能很好拟合不同攻击类型的分布缺点；注意力机制改进的双向门控循环单元模块减少了冗余特征的计算，并对关键特征进行加权，提高了网络威胁检测能力。网络安全态势值可以直观地表示当前网络所处的状态，能更加可靠、高效地对网络安全态势进行评估。

技术领域

本发明属于网络信息安全技术领域，特别是涉及一种面向威胁检测的网络安全态势评估方法。

背景技术

随着通信和云计算技术的发展，计算机网络的应用在日常生活的各个领域越来越广泛。与此同时，恶意攻击或破坏造成的网络安全事件也越来越普遍，安全问题日益突出，许多国家和地区都面临着众多网络威胁。因此，全面掌握网络的整体安全状态是一个亟待解决的热点问题。网络安全态势评估可以根据相关安全事件构建合适的模型，进而评估网络系统整体所遭受的威胁程度，帮助安全管理人员掌握当前网络状况。

自Bass提出网络安全态势评估概念以来，其一直是态势感知研究的主要课题，但相关理论尚不完善，没有一种能在实际的网络环境中发挥重要作用的态势评估方法。基于数学模型的方法受主观因素的影响大，缺少客观统一的标准；基于概率和知识的方法依赖于专家知识库和大量的规则推理；基于模式分类的评估方法规模大，特征提取困难。因此，这些传统的网络安全态势评估方法不能很好地应用。而深度学习的不断发展为网络安全态势评估提供了新的解决思路，其强大的学习能力能够在充满海量网络流量的网络环境中灵活、准确地检测出潜在的网络威胁，进而可以更加可靠和高效地进行网络安全态势评估。

发明内容

为了解决上述问题，本发明的目的在于提供一种面向威胁检测的网络安全态势评估方法。

为了达到上述目的，本发明提供的面向威胁检测的网络安全态势评估方法包括按顺序进行的下列步骤：

1)构建威胁检测模型的S1阶段：构建由并行稀疏自动编码器和注意力机制改进的双向门控循环单元网络组成的威胁检测模型；

2)获取网络数据集的S2阶段：获取由训练集KDDTrain+和测试集KDDTest+构成的NSL-KDD数据集；

3)数据预处理的S3阶段：对上述训练集KDDTrain+和测试集KDDTest+中存在的原始分类特征值进行特征数值化处理，由此将所有的原始分类特征值转换为有序的分类向量；然后将经过特征数值化处理后数据集中分类特征最小值与分类特征最大值之间存在显著差异的分类特征进行归一化处理，使其映射至[0,1]区间内，继而获得数据预处理后的训练集和测试集；

4)威胁检测模型训练的S4阶段：将上述步骤3)获得的数据预处理后的训练集输入到步骤1)构建的威胁检测模型中进行训练，得到训练后的威胁检测模型及其误报消减矩阵；

5)威胁检测模型验证及威胁检测的S5阶段：将上述步骤3)获得的数据预处理后的测试集输入到步骤4)中训练后的威胁检测模型中，以对该模型进行验证，获得训练好的威胁检测模型；之后将待评估网络的数据按步骤3)的方法处理后输入到上述训练好的威胁检测模型中，获得各种攻击类型发生次数N_i；