基于人工智能的网络风险预警方法与流程

本发明涉及网络安全技术领域，特别涉及基于人工智能的网络风险预警方法。

背景技术：

经过长时间多年的演进，人工智能发展已经进入新阶段。特别是在移动互联网、大数据、超级计算、传感网、脑科学等新理论新技术以及经济社会发展强烈需求的共同驱动下，人工智能加速发展，呈现出深度学习、跨界融合、人机协同、群智开放、自主操控等新特征。大数据驱动知识学习、跨媒体协同处理、人机协同增强智能、群体集成智能、自主智能系统成为人工智能的发展重点，受脑科学研究成果启发的类脑智能蓄势待发，芯片化硬件化平台化趋势更加明显，人工智能发展进入新阶段。当前，新一代人工智能相关学科发展、理论建模、技术创新、软硬件升级等整体推进，正在引发链式突破，推动经济社会各领域从数字化、网络化向智能化加速跃升。然而，随着互联网的普及，用户的网络系统面临的风险也与日俱增，稍有不慎就会造成巨大损失。

技术实现要素：

本发明的目的是为了对网络系统的风险进行预警，减少网络系统的损失，提出基于人工智能的网络风险预警方法。

为解决上述技术问题，本发明采用以下技术方案：

基于人工智能的网络风险预警方法包括：

获取网络系统的网络对象信息；

获取所述网络系统的流量态势；

基于所述网络对象和所述流量态势对所述网络系统的自身威胁进行分析以获得所述网络系统的自身威胁信息；

获取所述网络系统受到的外部网络攻击信息；

对所述自身威胁信息和所述外部网络攻击信息进行分析以得到所述网络系统的威胁态势；

获取外部网络的安全事件并与所述网络系统的网络对象进行对比以分析所述网络对象是否具有外部安全事件威胁；

获取所述网络系统的历史安全事件；

对所述历史安全事件和所述外部安全事件威胁进行分析以得到所述网络系统的安全事件态势；

基于所述威胁态势和所述安全事件态势对所述网络系统的当前安全状况进行评估以及对未来安全状况进行预测。

在一些优选的实施方式中，所述基于所述网络对象和所述流量态势对所述网络系统的自身威胁进行分析以获得所述网络系统的自身威胁信息包括：

将具有关系的所述网络对象作为一个评估整体；

获取所述评估整体的信息；

根据所述评估整体的网络对象的数量、关系的数量、网络对象的关系和网络对象的流量态势按照权重计算所述评估整体的自身威胁信息。

在一些优选的实施方式中，所述基于所述威胁态势和所述安全事件态势对所述网络系统的当前安全状况进行评估包括：对所述威胁态势和所述安全事件态势进行打分以获得威胁态势分数和安全事件态势分数，根据所述威胁态势分数和所述安全事件态势分数按照权重评估所述当前安全状况。

在一些优选的实施方式中，所述网络对象包括域名、ip地址和端口。

在进一步优选的实施方式中，所述关系的类型包括父域名关系、ip关系、开放端口关系、父ip关系。

在一些优选的实施方式中，在所述获取所述网络的网络对象信息之前还包括：对网络系统进行检测。

在一些优选的实施方式中，在所述获取所述网络系统的流量态势之前还包括：对所述网络系统的流量进行记录。

在另一方面，本发明提供一种计算机可读存储介质，其存储有与计算设备结合使用的计算机程序，所述计算机程序被处理器执行以实现上述网络风险预警方法。

与现有技术相比，本发明的有益效果有：

基于威胁态势和安全事件态势对网络系统的当前安全状况进行评估以及对未来安全状况进行预测，从而实现全面的风险预警，减少网络系统的损失。

附图说明

图1为本发明的基于人工智能的网络风险预警方法的流程图；

图2为本发明的基于人工智能的网络风险预警方法的一种变型方式的流程图；

图3为本发明的网络对象的相互关系的示意图；

图4为本发明的网络对象的相互关系的一种具体形式的结构示意图。

具体实施方式

参考图1至图4，以下对本发明的实施方式作详细说明。应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。

参考图1，本发明基于人工智能的网络风险预警方法包括步骤s1至步骤s9。

步骤s1、获取网络系统的网络对象信息。网络系统可以是服务器、服务器集群、计算机、计算机群组，以及在它们上面运行的系统。网络对象包括域名、ip地址和端口，这些也称为网络资产。网络系统的网络对象信息可以由外部设备输入系统中，也可以是系统通过对网络系统进行检测，从而获得网络系统的网络对象信息；比如获得网络系统的域名、ip地址和端口信息。

步骤s2、获取网络系统的流量态势。流量态势是指网络系统的流量使用情况，比如上行流量和下行流量。网络系统的流量态势可以由外部设备输入系统中，也可以是系统通过对网络系统的流量进行记录，从而获得网络系统的流量态势。

步骤s3、基于网络对象和流量态势对网络系统的自身威胁进行分析以获得网络系统的自身威胁信息。网络系统的流量使用情况反映其自身与外界的数据交换情况，而其流量的使用与其网络对象有关，网络系统的流量态势可以反映网络对象的流量态势。网络对象的数量及类型会给网络系统造成风险，比如网络系统开放的端口数量越多，风险就越大，比如存在弱口令或者端口开放了远程控制，这是网络系统一方面的自身威胁。流量态势反映在网络对象上发生的流量情况，异常的流量情况比如庞大的流量使用、异常时间的流量使用、异常的流向等都可能预示着风险，这是网络系统另一方面的自身威胁。将以上两方面的自身威胁按照权重计算，比如一方面的占40％、另一方面的占60％，获得网络系统的自身威胁信息，也即网络系统最终的自身威胁。

示例的，参考图2，步骤s3包括步骤s31至步骤s33。

步骤s31、将具有关系的网络对象作为一个评估整体。多个网络对象比如两个网络对象之间会存在关系，参考图3和图4，这些关系包括父域名关系、ip关系、开放端口关系、父ip关系。示例的，a域名对应某ip地址，某ip地址设有b端口，通过关系将a域名、某ip地址和b端口关联在一起存储在数据库中作为一个评估整体。

步骤s32、获取评估整体的信息。也就是在数据库中找到该评估整体。

步骤s33、根据评估整体的网络对象的数量、关系的数量、网络对象的关系和网络对象的流量态势按照权重计算评估整体的自身威胁信息。评估整体包含很多信息，从不同方面去评估其自身威胁信息显得更合理。示例的，评估整体的网络对象的数量作为一类权重，比如端口的权重最大，域名的权重最小，权重越大，在计算自身威胁信息时的贡献越大，使得评估整体的风险越大；评估整体的关系的数量作为另一类权重，开放端口关系的数量的权重最大，父域名关系的数量的权重最小；评估整体的网络对象的关系也作为另一类权重，开放端口关系的权重最大，父域名关系的权重最小；评估整体的网络对象的流量态势也作为一类权重，流量态势异常的权重最大，反之最小。还可以进一步细化，比如在端口中，8080端口的权重最大，也就是说相比之下开放了8080端口的ip地址的风险会更大。

根据评估整体的网络对象的数量、关系的数量、网络对象的关系和网络对象的流量态势按照权重计算评估整体的自身威胁信息，可实现快速计算，减少硬件资源的占用以及节省处理时间。

步骤s4、获取网络系统受到的外部网络攻击信息。网络系统可能会受到外部的网络攻击，这也是风险预警的一部分。

步骤s5、对自身威胁信息和外部网络攻击信息进行分析以得到网络系统的威胁态势。自身威胁信息属于网络系统的内部威胁，外部网络攻击信息则属于网络系统的外部威胁，两者按照权重计算，得到网络系统的威胁态势。

步骤s6、获取外部网络的安全事件并与网络系统的网络对象进行对比以分析网络对象是否具有外部安全事件威胁。安全事件包括已发生或者可能会发生的对网络系统造成不良影响的事件。外部网络的安全事件是指在网络上发布的会对或者已对其它网络系统造成不良影响的事件，比如在漏洞库上发布的事件，而网络系统与其它网络系统存在共性，也有可能会发生该安全事件。通过对比分析，若存在共性，则存在风险，也即具有外部安全事件威胁。

步骤s7、获取网络系统的历史安全事件。历史安全事件是指已发生的对网络系统造成不良影响的事件。

步骤s8、对历史安全事件和外部安全事件威胁进行分析以得到网络系统的安全事件态势。对于风险预警，不仅要考虑即将会发生的安全事件，也要考虑已发生的安全事件。特别的，系统查看历史安全事件是否还会发生，比如漏洞没有修复，若是，则判定为更大的风险。示例的，可对历史安全事件和外部安全事件威胁按照权重计算得到网络系统的安全事件态势。

步骤s9、基于威胁态势和安全事件态势对网络系统的当前安全状况进行评估以及对未来安全状况进行预测。威胁态势与用户相关，反映网络系统的自身风险。安全事件态势则是网络系统在整个网络环境中存在的外部风险。示例的，对自身风险和外部风险进行打分以获得威胁态势分数和安全事件态势分数，根据威胁态势分数和安全事件态势分数按照权重评估当前安全状况；同时也可对未来安全状况进行预测，从而实现全面的风险预警，减少网络系统的损失。

本发明基于人工智能的网络风险预警方法的步骤s1至步骤s9的顺序不是固定的，比如步骤s4至步骤s8在步骤s1之前。

在另一方面，本发明提供一种计算机可读存储介质，其存储有与计算设备结合使用的计算机程序，该计算机程序被处理器执行以实现上述网络风险预警方法。

以上内容是结合具体/优选的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，其还可以对这些已描述的实施方式做出若干替代或变型，而这些替代或变型方式都应当视为属于本发明的保护范围。