基于攻击图的网络安全态势感知模型和方法与流程

本发明涉及计算机网络安全领域，具体涉及一种基于攻击图的网络安全态势感知模型。

背景技术：

随着计算机网络的快速发展，网络攻击事件逐年增多，网络安全问题也成为人们当前关注的焦点，通常都是对网络安全态势进行预测，这样才可以在网络攻击事件发生前掌握网络的安全状态，从而采取相应的防护措施，避免遭受不必要的攻击和损失。

但是，对于网络安全态势的研究，国内起步较晚，大多为网络威胁量化过程和入侵检测过程的研究，只能分析过去或当前的网络安全态势，无法进行网络安全态势的预测；而且有少数的预测模型，也只能适用于特定的标准体系和应用场景，一些安全漏洞库网站公布的漏洞预警信息，由于具有高度的随机性和离散性，普通的态势分析模型只能根据统计方法得到某些属性的分布状况，分析当前的网络安全状态，无法进行有效、合理的态势预测。

技术实现要素：

针对现有技术中存在的缺陷，本发明的目的在于提供一种基于攻击图的网络安全态势感知模型和方法，通过对网络中多源数据的关联分析，生成攻击状态图，刻画攻击画像，建立攻击特征库，实现了攻击状态识别、网络态势评估和网络态势预测的功能。

为了实现上述目的，本发明采取的技术方案为：

一种基于攻击图的网络安全态势感知模型，包括数据预处理模块、攻击特征库构建模块、攻击状态识别模块、安全态势评估模块和安全态势预测模块，其中：

所述数据预处理模块，用于收集不同来源的数据集，并从中提取出用于网络安全态势感知的主成分信息，然后再经数据关联分析，消除多源数据的冗余性后，挖掘出各数据之间的关联性，从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息，并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据；

所述攻击特征库构建模块，用于对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练，建立攻击特征库；

所述攻击状态识别模块，用于将预处理后的数据与攻击特征库中的攻击画像进行匹配，识别当前的攻击模式，再通过与攻击状态图的比对确定当前设备所处的攻击状态；

所述安全态势评估模块，用于根据数据预处理模块得到的资产漏洞威胁数据和资产攻击威胁数据，评估出网络设备在网络中的重要性，计算出网络设备的风险值，并评估整个网络的安全态势；

所述安全态势预测模块，用于通过攻击状态图的攻防博弈矩阵预测下一个攻击状态，进而实现网络安全态势的预测。

在上述模型中，所述数据预处理模块包含数据采集子模块、数据主成分提取子模块及数据关联分析子模块；

所述数据采集子模块，用于采集包含漏洞信息数据、攻击信息数据和资产信息数据的这三类不同来源的数据集；

其中，漏洞信息数据是通过爬虫的方式从一些知名安全漏洞库网站发布的针对网络通信设备的漏洞预警公告中得到；攻击信息数据是指一些发生在网络通信时的攻击事件、威胁情报和风险访问等，可从入侵检测设备、防火墙和交换机的日志信息中获取；资产信息数据是指网络中存在的安全设备和软件的信息，从设备系统对微量数据包的响应信息中获取；

所述数据主成分提取子模块，用于从数据采集子模块采集到的上述三类不同来源的数据集中，提取出对网络安全态势感知有用的主成分数据，以提升算法效率和减小模型计算负担；

其中，需要从漏洞信息数据中提取出的对网络安全态势感知有用的主成分数据包含漏洞的名称、类型、发布时间、影响设备、威胁等级以及该漏洞引发的攻击类型；需要从攻击信息数据中提取出的对网络安全态势感知有用的主成分数据包含攻击者ip、攻击者归属地、受害者ip、受害者归属地、受攻击平台、攻击端口、攻击类型、攻击时间、攻击行为和漏洞利用信息；需要从资产信息数据中提取出的对网络安全态势感知有用的主成分数据包含设备类型、硬件参数、设备连接数和其中的用户隐私数据量；

所述数据关联分析子模块，用于根据数据主成分提取子模块提取到的对网络安全态势感知有用的主成分数据，进行关联分析，得到相应的资产漏洞威胁数据和资产攻击威胁数据；

其中，资产漏洞威胁数据是通过资产信息数据与漏洞信息数据进行关联分析得到；资产攻击威胁数据是通过漏洞信息数据与攻击信息数据进行关联分析得到。

所述资产漏洞威胁数据，其具体是通过如下方式得到的：先将资产信息数据与漏洞信息数据进行关联，然后针对某一设备类型，统计其一段时间内各类型漏洞爆发的数量，最后根据漏洞的威胁等级计算其威胁程度，得到某一设备类型在一段时间内的漏洞爆发规律，即资产漏洞威胁数据；

所述资产攻击威胁数据，其具体是通过如下方式得到的：先将漏洞信息数据与攻击信息数据进行关联，然后针对某一漏洞类型，统计一段时间内利用该漏洞爆发攻击事件的数量，计算该类型漏洞的攻击爆发率；之后，再将得到的资产漏洞威胁数据与漏洞的攻击爆发率进行关联分析，得到某一资产类型在一段时间内的攻击爆发规律，即资产攻击威胁数据。

在上述模型中，所述攻击特征库包括攻击状态图和攻击画像；

所述攻击状态图，是攻击者实施攻击时所面临的多种系统状态组成的图结构，用于表示一次攻击事件中的多个攻击状态及其之间的相互转换，其每个节点表示一个攻击状态，即设备遭受的攻击行为和所处的安全状态的信息标签集合，每条边表示攻击状态转移的概率；

所述攻击画像，用于刻画一次攻击事件的行为特征。

在上述模型中，所述攻击状态转移概率是通过攻防博弈矩阵计算得到的，每个攻击状态对应一个攻防博弈矩阵，每个攻防博弈矩阵的行表示不同的攻击行为，列表示不同的资产防护状态。

一种基于攻击图的网络安全态势感知方法，具体包括以下步骤：

s1、数据采集：收集不同来源的数据集，并从中提取出用于网络安全态势感知的主成分信息，然后再经数据关联分析，消除多源数据的冗余性后，挖掘出各数据之间的关联性，从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息，并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据；

s2、构建攻击特征库：对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练，建立攻击特征库；

s3、攻击状态识别：将预处理后的数据与攻击特征库中的攻击画像进行匹配，识别当前的攻击模式，再通过与攻击状态图的比对确定当前设备所处的攻击状态；

s4、安全态势评估：根据步骤s1中得到的资产攻击威胁数据，获取设备在网络中的重要性wi，利用风险评估函数ei＝t(si)计算设备的风险值，并结合设备的重要性wi，计算整体网络的安全态势值e，e＝∑wiei；

s5、安全态势预测：通过攻击状态图的攻防博弈矩阵预测下一个攻击状态，进而实现网络安全态势的预测。

在上述方法中，步骤s1数据采集具体包括以下步骤：

s101、通过数据采集模块采集包含漏洞信息数据、攻击信息数据和资产信息数据的这三类不同来源的数据集；漏洞信息数据是通过爬虫的方式从一些知名安全漏洞库网站发布的针对网络通信设备的漏洞预警公告中得到；攻击信息数据是指一些发生在网络通信时的攻击事件、威胁情报和风险访问等，可从入侵检测设备、防火墙和交换机的日志信息中获取；资产信息数据是指网络中存在的安全设备和软件的信息，从设备系统对微量数据包的响应信息中获取；

s102、通过数据主成分提取模块从步骤s101采集到的上述三类不同来源的数据集中，提取出对网络安全态势感知有用的主成分数据，以提升算法效率和减小模型计算负担；需要从漏洞信息数据中提取出的对网络安全态势感知有用的主成分数据包含漏洞的名称、类型、发布时间、影响设备、威胁等级以及该漏洞引发的攻击类型；需要从攻击信息数据中提取出的对网络安全态势感知有用的主成分数据包含攻击者ip、攻击者归属地、受害者ip、受害者归属地、受攻击平台、攻击端口、攻击类型、攻击时间、攻击行为和漏洞利用信息；需要从资产信息数据中提取出的对网络安全态势感知有用的主成分数据包含设备类型、硬件参数、设备连接数和其中的用户隐私数据量；

s103、通过数据关联分析模块从步骤s102中提取到的对网络安全态势感知有用的主成分数据，进行关联分析，得到相应的资产漏洞威胁数据和资产攻击威胁数据；资产漏洞威胁数据是通过资产信息数据与漏洞信息数据进行关联分析得到；资产攻击威胁数据是通过漏洞信息数据与攻击信息数据进行关联分析得到；

s104、通过数据关联分析模块将步骤s102中提取到的资产信息数据与漏洞信息数据进行关联，然后针对某一设备类型，统计其一段时间内各类型漏洞爆发的数量，最后根据漏洞的威胁等级计算其威胁程度，得到某一设备类型在一段时间内的漏洞爆发规律，即资产漏洞威胁数据；通过数据关联分析模块将步骤s102中提取到的漏洞信息数据与攻击信息数据进行关联，然后针对某一漏洞类型，统计一段时间内利用该漏洞爆发攻击事件的数量，计算该类型漏洞的攻击爆发率；之后，再将得到的资产漏洞威胁数据与漏洞的攻击爆发率进行关联分析，得到某一资产类型在一段时间内的攻击爆发规律，即资产攻击威胁数据。

在上述方法中，步骤s2攻击特征库的构建具体包括以下步骤：

s201、攻击状态图的构建，其具体是利用一次攻击事件中的多个攻击状态及其之间的相互转换来形成的；攻击状态图是攻击者实施攻击时所面临的多种系统状态组成的图结构，其中每个节点表示一个攻击状态，即设备遭受的攻击行为和所处的安全状态的信息标签集合，每条边表示攻击状态转移的概率，通过攻防博弈矩阵计算攻击状态图的状态转移概率，每个攻击状态对应一个攻防博弈矩阵，攻防博弈矩阵的行表示不同的攻击行为，列表示不同的资产防护状态；

具体的攻防博弈矩阵的构建为：对于每个攻击状态，列出设备在此状态下所有的防护措施和所有可能的攻击行为，以攻击行为集合为行向量，防护措施集合为列向量，构建此攻击状态的攻防博弈矩阵，矩阵内容为在相应的攻击行为和防护措施的作用下设备遭受攻击的下一个状态，依次为每个攻击状态构建相应的攻防博弈矩阵；

假设当前的攻击状态为si，可能的攻击事件e＝{e1，e2，e3，…，em}，可能的防护措施d＝{d1，d2，d3，…，dn}，则攻防博弈矩阵qi如下：

qkl∈s；

其中qkl的攻击状态为sj，表示当前资产的防御措施为dk，如果发生攻击事件el，则攻击状态sj会转移到sj，在所有满足当前防护措施的列中找到攻击状态sj，统计其所占的比例即为当前状态下si到sj的状态转移概率；

s202、攻击画像的刻画，其具体是为了刻画一次攻击事件的行为特征；当步骤s201完成攻击状态图的构建后，提取其关键的攻击属性信息作为刻画这类攻击画像的标签，由于攻击属性信息种类繁多，且需要快速匹配攻击画像，所以通过三级标签结构刻画攻击画像：第一级标签为攻击类型和漏洞利用两种属性，可以快速区分不同类型的网络攻击；第二级标签为攻击平台、攻击者ip、受害者ip和攻击端口四种属性，可将同类型攻击细分不同的攻击对象；第三级标签为攻击行为属性，可以划分同类型攻击的不同变种；从攻击状态图中提取这些可以准确描述一次攻击事件的属性标签，去除冗余信息后，便可将标签集合作为攻击状态图的攻击画像。

在上述方法中，步骤s3攻击状态识别具体包括以下步骤：

s301、攻击画像匹配

提取预处理数据中关于攻击信息的关键词，将关键词分为三级，攻击类型和漏洞利用为第一级，攻击平台和ip端口等信息为第二级，攻击行为等信息为第三级；并将关键词进行树型方式的匹配，计算攻击画像的匹配度，将匹配度最高的攻击画像作为预处理数据的匹配画像，并找到相应的攻击状态图为当前的攻击模式；

s302、攻击状态确定

提取预处理数据中攻击行为和设备状态的关键词，根据攻击画像找到最匹配的攻击状态图，确定与关键词符合的状态节点，即为当前设备的攻击状态。

在上述方法中，步骤s4安全态势评估具体包括以下步骤：

s401、根据设备的资产数据评估设备在网络中的重要性wi；其评估过程具体包括如下步骤：

1)统计设备在网络中的连接数量和设备中存储的用户隐私数量；

2)根据设备类型和服务影响范围定义设备的功能等级；

3)根据硬件参数定义设备的性能等级，将这些属性值进行累加和标准化，得到设备在网络中的重要性wi；

s402、使用风险评估函数ei＝t(si)，计算设备的风险值ei；

其中，si为设备当前所处的攻击状态，t为预先设定的风险评估函数，可由攻击状态对应到风险数值

s403、结合步骤s401得到的设备在网络中的重要性wi，计算整体网络的安全态势值e，计算公式如下：

e＝∑wiei

其中，wi为设备在网络中的重要性，ei为设备的风险值。

在上述方法中，步骤s5安全态势预测具体包括以下步骤：

s501、由当前设备所处的攻击状态si找到其对应的攻防博弈矩阵qi，并确定当前设备的防护措施d＝{d1，d2，d3，…，dk}；

s502、统计攻防博弈矩阵qi中防护措施d所对应的所有可能的攻击状态，计算状态转移概率，将概率最大的攻击状态sj作为下一个攻击状态的预测值；

s503、利用风险评估函数ej＝t(sj)计算设备的风险预测值，结合设备的重要性wi，计算网络的安全态势预测值e′：

e′＝∑wiej

其中，wi为设备的重要性，ej为设备的风险预测值。

本发明提供的基于攻击图的网络安全态势感知模型的工作原理为：

首先采集不同来源的数据集，预处理后从中得到相应的资产漏洞威胁数据和资产攻击威胁数据；并利用资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练，建立攻击特征库；之后将预处理后的数据与攻击特征库中的攻击画像进行匹配，确定当前设备所处的攻击状态；然后利用资产攻击威胁数据，获取设备在网络中的重要性，利用设备的风险值，并结合设备的重要性，计算整体网络的安全态势值；最后通过攻击状态图的攻防博弈矩阵预测下一个攻击状态，进而实现网络安全态势的预测。

与现有技术相比，本发明的优点为：利用大量数据采集后构建的攻击特征库，使得攻击特征库中攻击状态图的结构多样化，攻击状态识别结果准确，并且通过三级标签索引的构造，大大提高了攻击状态识别的速度，实现了良好的态势感知效果、以及网络安全态势的评估和预测功能，具有实用性、高效性和扩展性。

附图说明：

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例中基于攻击图的网络安全态势感知模型的流程图；

图2是本发明基于攻击图的网络安全态势感知方法的流程图。

具体实施方式：

为了对本发明的技术特征、目的和效果有更加清楚的理解，现对照附图详细说明本发的具体实施方式。

参阅图1所示，本发明实施例中基于攻击图的网络安全态势感知模型，包括数据预处理模块1、攻击特征库构建模块2、攻击状态识别模块3、安全态势评估模块4和安全态势预测模块5，其中：

数据预处理模块1，用于收集不同来源的数据集，并从中提取出用于网络安全态势感知的主成分信息，然后再经数据关联分析，消除多源数据的冗余性后，挖掘出各数据之间的关联性，从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息，并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据；

攻击特征库构建模块2，用于对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练，建立攻击特征库；

攻击状态识别模块3，用于将预处理后的数据与攻击特征库中的攻击画像进行匹配，识别当前的攻击模式，再通过与攻击状态图的比对确定当前设备所处的攻击状态；

安全态势评估模块4，用于根据数据预处理模块1得到的资产漏洞威胁数据和资产攻击威胁数据，评估出网络设备在网络中的重要性，计算出网络设备的风险值，并评估整个网络的安全态势；

安全态势预测模块5，用于通过攻击状态图的攻防博弈矩阵预测下一个攻击状态，进而实现网络安全态势的预测。

更具体的说，在本发明态势感知模型实施例中数据预处理模块1包含数据采集子模块1.1、数据主成分提取子模块1.2及数据关联分析子模块1.3；

数据采集子模块1.1，用于采集包含漏洞信息数据、攻击信息数据和资产信息数据的这三类不同来源的数据集；

其中，漏洞信息数据是通过爬虫的方式从一些知名安全漏洞库网站发布的针对网络通信设备的漏洞预警公告中得到；攻击信息数据是指一些发生在网络通信时的攻击事件、威胁情报和风险访问等，可从入侵检测设备、防火墙和交换机的日志信息中获取；资产信息数据是指网络中存在的安全设备和软件的信息，从设备系统对微量数据包的响应信息中获取；

数据主成分提取子模块1.2，用于从数据采集子模块1.1采集到的上述三类不同来源的数据集中，提取出对网络安全态势感知有用的主成分数据，以提升算法效率和减小模型计算负担；

其中，需要从漏洞信息数据中提取出的对网络安全态势感知有用的主成分数据包含漏洞的名称、类型、发布时间、影响设备、威胁等级以及该漏洞引发的攻击类型；需要从攻击信息数据中提取出的对网络安全态势感知有用的主成分数据包含攻击者ip、攻击者归属地、受害者ip、受害者归属地、受攻击平台、攻击端口、攻击类型、攻击时间、攻击行为和漏洞利用信息；需要从资产信息数据中提取出的对网络安全态势感知有用的主成分数据包含设备类型、硬件参数、设备连接数和其中的用户隐私数据量；

数据关联分析子模块1.3，用于根据数据主成分提取子模块1.2提取到的对网络安全态势感知有用的主成分数据，进行关联分析，得到相应的资产漏洞威胁数据和资产攻击威胁数据；

其中，资产漏洞威胁数据是通过资产信息数据与漏洞信息数据进行关联分析得到；资产攻击威胁数据是通过漏洞信息数据与攻击信息数据进行关联分析得到；

资产漏洞威胁数据，其具体是通过如下方式得到的：先将资产信息数据与漏洞信息数据进行关联，然后针对某一设备类型，统计其一段时间内各类型漏洞爆发的数量，最后根据漏洞的威胁等级计算其威胁程度，得到某一设备类型在一段时间内的漏洞爆发规律，即资产漏洞威胁数据；

资产攻击威胁数据，其具体是通过如下方式得到的：先将漏洞信息数据与攻击信息数据进行关联，然后针对某一漏洞类型，统计一段时间内利用该漏洞爆发攻击事件的数量，计算该类型漏洞的攻击爆发率；之后，再将得到的资产漏洞威胁数据与漏洞的攻击爆发率进行关联分析，得到某一资产类型在一段时间内的攻击爆发规律，即资产攻击威胁数据。

更具体的说，在本发明态势感知模型实施例中攻击特征库包括攻击状态图和攻击画像；

攻击状态图，是攻击者实施攻击时所面临的多种系统状态组成的图结构，用于表示一次攻击事件中的多个攻击状态及其之间的相互转换，其每个节点表示一个攻击状态，即设备遭受的攻击行为和所处的安全状态的信息标签集合，每条边表示攻击状态转移的概率；

攻击画像，用于刻画一次攻击事件的行为特征。

更具体的说，在本发明态势感知模型实施例中攻击状态转移概率是通过攻防博弈矩阵计算得到的，每个攻击状态对应一个攻防博弈矩阵，每个攻防博弈矩阵的行表示不同的攻击行为，列表示不同的资产防护状态。

更具体的说，在本发明态势感知模型实施例中，攻击状态识别模块3包括攻击画像匹配和攻击状态确定；

攻击画像匹配，具体是提取预处理数据中关于攻击信息的关键词，并将关键词进行树型方式的匹配，计算攻击画像的匹配度，将匹配度最高的攻击画像作为预处理数据的匹配画像，并找到相应的攻击状态图；

其中，关键词分为三级，攻击类型和漏洞利用为第一级，攻击平台和ip端口等信息为第二级，攻击行为等信息为第三级；

攻击状态确定，具体是提取预处理数据中攻击行为和设备状态的关键词，根据攻击画像匹配子模块找到的最匹配的攻击状态图，确定与关键词符合的状态节点，即为当前设备的攻击状态。

参阅图2所示，本发明实施例提供的一种基于攻击图的网络安全态势感知方法，具体包括以下步骤：

s1、数据采集：收集不同来源的数据集，并从中提取出用于网络安全态势感知的主成分信息，然后再经数据关联分析，消除多源数据的冗余性后，挖掘出各数据之间的关联性，从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息，并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据；

s2、构建攻击特征库：对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练，建立攻击特征库；

s3、攻击状态识别：将预处理后的数据与攻击特征库中的攻击画像进行匹配，识别当前的攻击模式，再通过与攻击状态图的比对确定当前设备所处的攻击状态；

s4、安全态势评估：根据步骤s1中得到的资产攻击威胁数据，获取设备在网络中的重要性wi，利用风险评估函数ei＝t(si)计算设备的风险值，并结合设备的重要性wi，计算整体网络的安全态势值e，e＝∑wiei；

s5、安全态势预测：通过攻击状态图的攻防博弈矩阵预测下一个攻击状态，进而实现网络安全态势的预测。

更具体的说，在本发明感知方法实施例中，s1数据采集包含具体包括以下步骤：

s101、通过数据采集模块采集包含漏洞信息数据、攻击信息数据和资产信息数据的这三类不同来源的数据集；漏洞信息数据是通过爬虫的方式从一些知名安全漏洞库网站发布的针对网络通信设备的漏洞预警公告中得到；攻击信息数据是指一些发生在网络通信时的攻击事件、威胁情报和风险访问等，可从入侵检测设备、防火墙和交换机的日志信息中获取；资产信息数据是指网络中存在的安全设备和软件的信息，从设备系统对微量数据包的响应信息中获取；

s102、通过数据主成分提取模块从步骤s101采集到的上述三类不同来源的数据集中，提取出对网络安全态势感知有用的主成分数据，以提升算法效率和减小模型计算负担；需要从漏洞信息数据中提取出的对网络安全态势感知有用的主成分数据包含漏洞的名称、类型、发布时间、影响设备、威胁等级以及该漏洞引发的攻击类型；需要从攻击信息数据中提取出的对网络安全态势感知有用的主成分数据包含攻击者ip、攻击者归属地、受害者ip、受害者归属地、受攻击平台、攻击端口、攻击类型、攻击时间、攻击行为和漏洞利用信息；需要从资产信息数据中提取出的对网络安全态势感知有用的主成分数据包含设备类型、硬件参数、设备连接数和其中的用户隐私数据量；

s103、通过数据关联分析模块从步骤s102中提取到的对网络安全态势感知有用的主成分数据，进行关联分析，得到相应的资产漏洞威胁数据和资产攻击威胁数据；资产漏洞威胁数据是通过资产信息数据与漏洞信息数据进行关联分析得到；资产攻击威胁数据是通过漏洞信息数据与攻击信息数据进行关联分析得到。

s104、通过数据关联分析模块将步骤s102中提取到的资产信息数据与漏洞信息数据进行关联，然后针对某一设备类型，统计其一段时间内各类型漏洞爆发的数量，最后根据漏洞的威胁等级计算其威胁程度，得到某一设备类型在一段时间内的漏洞爆发规律，即资产漏洞威胁数据；通过数据关联分析模块将步骤s102中提取到的漏洞信息数据与攻击信息数据进行关联，然后针对某一漏洞类型，统计一段时间内利用该漏洞爆发攻击事件的数量，计算该类型漏洞的攻击爆发率；之后，再将得到的资产漏洞威胁数据与漏洞的攻击爆发率进行关联分析，得到某一资产类型在一段时间内的攻击爆发规律，即资产攻击威胁数据。

更具体的说，在本发明态势感知方法实施例中，s2攻击特征库的构建具体包括以下步骤：

s201、攻击状态图的构建，其具体是利用一次攻击事件中的多个攻击状态及其之间的相互转换来形成的；攻击状态图是攻击者实施攻击时所面临的多种系统状态组成的图结构，其中每个节点表示一个攻击状态，即设备遭受的攻击行为和所处的安全状态的信息标签集合，每条边表示攻击状态转移的概率，通过攻防博弈矩阵计算攻击状态图的状态转移概率，每个攻击状态对应一个攻防博弈矩阵，攻防博弈矩阵的行表示不同的攻击行为，列表示不同的资产防护状态；

具体的攻防博弈矩阵的构建为：对于每个攻击状态，列出设备在此状态下所有的防护措施和所有可能的攻击行为，以攻击行为集合为行向量，防护措施集合为列向量，构建此攻击状态的攻防博弈矩阵，矩阵内容为在相应的攻击行为和防护措施的作用下设备遭受攻击的下一个状态，依次为每个攻击状态构建相应的攻防博弈矩阵；

假设当前的攻击状态为si，可能的攻击事件e＝{e1，e2，e3，…，em}，可能的防护措施d＝{d1，d2，d3，…，dn},则攻防博弈矩阵qi如下：

qkl∈s。

其中qkl的攻击状态为sj，表示当前资产的防御措施为dk，如果发生攻击事件el，则攻击状态si会转移到sj，在所有满足当前防护措施的列中找到攻击状态sj，统计其所占的比例即为当前状态下si到sj的状态转移概率；

s202、攻击画像的刻画，其具体是为了刻画一次攻击事件的行为特征；当步骤s201完成攻击状态图的构建后，提取其关键的攻击属性信息作为刻画这类攻击画像的标签，由于攻击属性信息种类繁多，且需要快速匹配攻击画像，所以通过三级标签结构刻画攻击画像：第一级标签为攻击类型和漏洞利用两种属性，可以快速区分不同类型的网络攻击；第二级标签为攻击平台、攻击者ip、受害者ip和攻击端口四种属性，可将同类型攻击细分不同的攻击对象；第三级标签为攻击行为属性，可以划分同类型攻击的不同变种；从攻击状态图中提取这些可以准确描述一次攻击事件的属性标签，去除冗余信息后，便可将标签集合作为攻击状态图的攻击画像。

更具体的说，在本发明态势感知方法实施例中，s3攻击状态识别具体包括以下步骤：

s301、攻击画像匹配：

提取预处理数据中关于攻击信息的关键词，将关键词分为三级，攻击类型和漏洞利用为第一级，攻击平台和ip端口等信息为第二级，攻击行为等信息为第三级；并将关键词进行树型方式的匹配，计算攻击画像的匹配度，将匹配度最高的攻击画像作为预处理数据的匹配画像，并找到相应的攻击状态图为当前的攻击模式；

s302、攻击状态确定：

提取预处理数据中攻击行为和设备状态的关键词，根据攻击画像匹配子模块找到的最匹配的攻击状态图，确定与关键词符合的状态节点，即为当前设备的攻击状态。

更具体的说，在本发明态势感知方法实施例中，s4安全态势评估具体包括以下步骤：

s401、根据设备的资产数据评估设备在网络中的重要性wi；其评估过程具体包括如下步骤：

1)统计设备在网络中的连接数量和设备中存储的用户隐私数量；

2)根据设备类型和服务影响范围定义设备的功能等级；

3)根据硬件参数定义设备的性能等级，将这些属性值进行累加和标准化，得到设备在网络中的重要性wi；

s402、使用风险评估函数ei＝t(si)，计算设备的风险值ei；

其中，其中si为设备当前所处的攻击状态，t为预先设定的风险评估函数，可由攻击状态对应到风险数值

s403、结合步骤s401得到的设备在网络中的重要性wi，计算整体网络的安全态势值e，计算公式如下：

e＝∑wiei

其中，wi为设备在网络中的重要性，ei为设备的风险值。

更具体的说，在本发明态势感知方法实施例中，s5安全态势预测具体包括以下步骤：

s501、由当前设备所处的攻击状态si找到其对应的攻防博弈矩阵qi，并确定当前设备的防护措施d＝{d1，d2，d3，…，dk}；

s502、统计攻防博弈矩阵qi中防护措施d所对应的所有可能的攻击状态，计算状态转移概率，将概率最大的攻击状态sj作为下一个攻击状态的预测值；

s503、利用风险评估函数ej＝t(sj)计算设备的风险预测值，结合设备的重要性wi，计算网络的安全态势预测值e′：

e′＝∑wiej

其中，wi为设备的重要性，ej为设备的风险预测值。

本发明提供的基于攻击图的网络安全态势感知模型的工作原理为：首先采集不同来源的数据集，预处理后从中得到相应的资产漏洞威胁数据和资产攻击威胁数据；并利用资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练，建立攻击特征库；之后将预处理后的数据与攻击特征库中的攻击画像进行匹配，确定当前设备所处的攻击状态；然后利用资产攻击威胁数据，获取设备在网络中的重要性，利用设备的风险值，并结合设备的重要性，计算整体网络的安全态势值；最后通过攻击状态图的攻防博弈矩阵预测下一个攻击状态，进而实现网络安全态势的预测。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。