本發明公開了一種基于態勢感知的網絡安全監控方法、裝置、設備及介質，所述方法包括：收集原始數據，其中，原始數據包括安全態勢數據和安全事件數據，結合安全事件數據，對安全態勢數據進行數據預處理并聚合分析，得到安全態勢數據對應的特征值，將特征值輸入到預設的隨機森林模型中，通過預設的隨機森林模型，對特征值進行訓練，得到特征值對應的目標分類，基于目標分類和預設的事件發生條件，得到安全評估結果。本發明還涉及區塊鏈技術，安全態勢數據和安全事件數據可存儲在區塊鏈中，本發明實現快速進行網絡安全評估，有利于提高網絡安全監控的及時性。

技術領域

本發明涉及網絡安全領域，尤其涉及一種基于態勢感知的網絡安全監控方法、裝置、設備及介質。

背景技術

隨著網絡規模的不斷擴大，傳統行業與互聯網的結合越來越廣泛，人們的生活已高度依賴于網絡。目前網絡安全環境不容樂觀，網絡攻擊日益頻繁，造成的威脅與損失也越來越大。因此在復雜多變的網絡環境中認知、理解并預測網絡的安全狀態及其發展趨勢，有助于管理人員及時掌握網絡安全狀況，并對未來可能出現的威脅提前做出防護，減小攻擊對網絡的危害。網絡安全態勢預測作為安全態勢感知的重要環節，通過預測未來網絡安全態勢的發展，幫助管理員提前做出防護準確，降低網絡攻擊所帶來的潛在損失。

傳統方法在對安全狀態的趨勢進行預測時，主要以攻擊威脅、網絡脆弱性為預測要素，該類方法僅結合單一要素進行預測，已經無法滿足管理人員對掌握網絡整體安全趨勢的需求。網絡安全態勢感知技術融合了入侵檢測系統IDS、防火墻、病毒檢測系統VDS等網絡安全設備的防護數據，是對網絡安全狀況與趨勢的一個整體反映，能夠作為網絡預警與響應的重要參照。目前主流的網絡安全態勢預測方法一般分為以下三種：方式一，基于時空序列分析的方法。該方法的假設條件為安全態勢值的變化具有規則和周期性，因此通過對網絡中歷史與當前安全態勢值的分析，從而實現對網絡安全趨勢的預測，該方法未對網絡各安全態勢要素的變化、以及各動態安全態勢要素間的相互影響進行分析，因此模式固定，預測突發事件不強；方式二，基于博弈論的方法。該方法在攻防對抗環境中，利用博弈理論動態選擇攻擊方與防御方的最優策略選擇，通過綜合分析攻擊方、防御方與網絡環境信息的變化，在態勢要素選擇上較為全面，博弈論在軍事領域應用比較成熟，而在網絡環境中突發性強、不可預知因素過多，因此對網絡攻防建立博弈論的模型難度較大，且該方法只能對安全趨勢進行短期預測，無法給出網絡態勢長期的預測；方式三，基于圖論的方法，該方法利用網絡環境中的脆弱性信息生成狀態轉移圖，并從攻擊者角度出發，依據當前狀態對網絡未來可能出現的安全狀態進行預測。但該方法僅僅從攻擊方與網絡環境信息進行考慮，其建立的攻擊圖為靜態攻擊圖，忽略了防御方的策略選擇對網絡未來安全態勢的影響。綜上，現有方法都是對網絡未來一段時間的預測，其預測為下一階段，時間上具有模糊性，缺乏對攻擊的入侵成功時間量化預測。因而，尋找一種對實時網絡攻擊的有效監控方法，成了一個亟待解決的技術難題。

發明內容

本發明實施例提供一種基于態勢感知的網絡安全監控方法、裝置、計算機設備和存儲介質，以提高網絡安全監控的及時性。

為了解決上述技術問題，本申請實施例提供一種基于態勢感知的網絡安全監控方法，包括：

收集原始數據，其中，所述原始數據包括安全態勢數據和安全事件數據；

結合所述安全事件數據，對所述安全態勢數據進行數據預處理并聚合分析，得到安全態勢數據對應的特征值；

將所述特征值輸入到預設的隨機森林模型中，通過所述預設的隨機森林模型，對所述特征值進行訓練，得到所述特征值對應的目標分類；

基于所述目標分類和預設的事件發生條件，得到安全評估結果。

可選地，所述安全態勢數據包括差異數據和惡意數據，所述結合所述安全事件數據，對所述安全態勢數據進行數據預處理并聚合分析，得到安全態勢數據對應的特征值包括：

通過樣本IP提取算法，從每個所述安全事件數據中，提取樣本IP；