(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210912484.1 (22)申请日 2022.07.30 (71)申请人 北京冠程科技有限公司 地址 102200 北京市昌平区科技园区东区 产业基地景兴街18号院1号楼4层409 室 (72)发明人 丁聪霜　吴中华　吴国华　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全态 势感知方法及系统 (57)摘要 本申请涉及一种网络安全态势感知方法及 系统， 其属于网络安全技术领域， 该方法包括获 取异常数据流； 根据异常数据流得到目标数据； 调取预设的种类库， 种类库包括与目标数据一一 对应的异常因子， 每一个异常因子对应一个分 值； 在种类库中匹配与目标数据对应的异常因子 得到第一输出因子； 调取指定时间段内被标记的 异常因子； 基于指定时间段内被标记的异常因子 输出测试指令， 并在之后的第一预设时间段内接 收反馈数据流； 根据反馈数据流和对抗学习模型 得到确认数据； 在种类库中匹配与确认数据对应 的异常因子得到第二输出因子； 根据第一输出因 子的分值、 第二输出因子的分值以及态势感知模 型得到安全态势等级。 本申请具有提升感知安全 态势准确度的效果。 权利要求书2页 说明书9页 附图2页 CN 115277229 A 2022.11.01 CN 115277229 A 1.一种网络安全态 势感知方法， 其特 征在于， 包括： 获取被测系统(1)输出的异常数据流； 根据所述异常数据流和对抗学习模型 得到目标 数据； 调取预设的种类库， 所述种类库包括与目标数据一一对应的异常因子， 每一个异常因 子对应一个分值； 基于所述目标数据在种类库中匹配对应的异常因子， 将与目标数据匹配的异常因子标 记为第一输出因子； 调取指定时间段内被标记的异常因子； 基于所述指定时间段内被标记的异常因子和预设的匹配模型 得到测试指令； 输出测试指令至测试系统(3)中， 并在 之后的第一预设时间段内接收被测系统(1)输出 的反馈数据流； 根据所述反馈数据流和所述对抗学习模型 得到确认数据； 基于所述确 认数据在种类库中匹配对应的异常因子， 将与确 认数据匹配的异常因子标 记为第二输出因子； 根据所述第 一输出因子的分值、 第 二输出因子的分值以及预设的态势感知模型得到安 全态势等级。 2.根据权利要求1所述的网络安全态势感知方法， 其特征在于， 所述获取到被测系统 (1)输出的异常数据流后， 采用网络指纹技 术对所述异常数据流进行 过滤处理。 3.根据权利要求1所述的网络安全态势感知方法， 其特征在于， 所述根据 所述异常数据 流和对抗学习模型得到目标数据之前， 需要先建立对抗学习模型； 所述建立对抗学习模型 的步骤包括： 调取历史的异常数据流作为训练样本 输入对抗学习网络； 计算当前异常数据流的特征向量和模式向量， 并对所述特征向量和所述模式向量进行 插值处理， 所述当前异常数据流 为得到目标 数据的异常数据流； 将经过插值处 理的特征向量和模式向量输入 对抗学习网络中； 当生成的对抗学习模型具有当前异常数据流中包含的异常数据的潜在模式时， 输出对 抗学习模型。 4.根据权利要求1所述的网络安全态势感知方法， 其特征在于， 所述种类库包括漏洞种 类库、 威胁种类库以及 入侵种类库， 所述漏洞种类库、 威胁种类库以及 入侵种类库中包含的 异常因子的分值由信息保密性、 信息完整性、 信息威胁性以及信息脆弱性共四个角度的评 分相加而得。 5.根据权利要求1所述的网络安全态势感知方法， 其特征在于， 所述基于指定时间段内 被标记的异常因子和预设的匹配模型 得到测试指令的步骤 包括： 识别所述指定时间段内被标记的异常因子所属的种类； 根据所述种类确认输出的测试指令 。 6.根据权利要求1所述的网络安全态势感知方法， 其特征在于， 所述根据 所述第一输出 因子的分值、 第二输出因子的分值以及预设的态势感知模型得到安全态势等级的步骤包 括： 判断所述第二输出因子是否与指定时间段内被标记的异常因子对应；权　利　要　求　书 1/2 页 2 CN 115277229 A 2若是， 则根据所述第一输出因子的分值、 第二输出因子的分值以及第一计算模型得到 安全态势等级； 否则， 根据所述第一输出因子的分值、 第二输出因子的分值以及第二计算模型得到安 全态势等级。 7.根据权利要求6所述的网络安全态势感知方法， 其特征在于， 所述根据 所述第一输出 因子的分值、 第二输出因子的分值以及第一计算模型 得到安全态 势等级的步骤 包括： 判断第二输出因子在指定的时间段内是否出现三次以上； 若否， 则计算总分值=第一输出因子的分值+第二输出因子的分值 ×， 所述n为第二输出 因子在指定时间段内， 以安全态 势等级的隐患程度由轻至 重的方向进行排序中的顺序； 根据所述总分值确定安全态 势等级。 8.根据权利要求7所述的网络安全态势感知方法， 其特征在于， 所述根据总分值确定安 全态势等级的步骤 包括： 调取等级库， 所述等级库包括一级、 二级、 三级、 四级以及五级， 所述一级、 二级、 三级、 四级以及五级分别对应不同的分值范围； 基于所述总分值在等级库中匹配相同的分值， 将匹配得到的分值所在的等级输出为安 全态势等级。 9.根据权利要求6所述的网络安全态势感知方法， 其特征在于， 所述根据 所述第一输出 因子的分值、 第二输出因子的分值以及第二计算模型 得到安全态 势等级的步骤 包括： 计算总分值=第一输出因子的分值+第二输出因子的分值； 根据所述总分值确定安全态 势等级。 10.一种网络安全态 势感知系统， 其特 征在于， 包括： 第一获取模块(21)， 用于获取被测系统(1)输出的异常数据流； 第一确认模块(2 2)， 用于根据所述异常数据流和对抗学习模型 得到目标 数据； 第一调取模块(23)， 用于调取预设的种类库， 所述种类库包括与目标数据一一对应的 异常因子， 每一个异常因子对应一个分值； 第一匹配模块(24)， 用于基于所述目标数据在种类库中匹配对应的异常因子， 将与目 标数据匹配的异常因子标记为第一输出因子； 第二调取模块(25)， 用于调取指定时间段内被标记的异常因子； 第二匹配模块(26)， 用于基于所述指定时间段内被标记的异常因子和预设的匹配模型 得到测试指令； 第二获取模块(27)， 用于输出测试指令至测试系统(3)中， 并在之后的第一预设时间段 内接收被测系统(1)输出的反馈数据流； 第二确认模块(28)， 用于根据所述反馈数据流和所述对抗学习模型 得到确认数据； 第三匹配模块(29)， 用于基于所述确认数据在种类库中匹配对应的异常因子， 将与确 认数据匹配的异常因子标记为第二输出因子； 数据计算模块(30)， 用于根据所述第一输出因子的分值、 第二输出因子的分值以及预 设的态势感知模型 得到安全态 势等级。权　利　要　求　书 2/2 页 3 CN 115277229 A 3