本技術(shù)涉及網(wǎng)絡(luò)安全，特別是涉及一種網(wǎng)絡(luò)空間反測(cè)繪方法、裝置、計(jì)算機(jī)設(shè)備、存儲(chǔ)介質(zhì)和計(jì)算機(jī)程序產(chǎn)品。

背景技術(shù)：

1、網(wǎng)絡(luò)已經(jīng)成為生活工作中的必要部分。然而，網(wǎng)絡(luò)攻擊者利用各種漏洞、異常軟件和高級(jí)持續(xù)性威脅等手段，不斷對(duì)各種網(wǎng)絡(luò)設(shè)備和系統(tǒng)發(fā)動(dòng)攻擊，造成經(jīng)濟(jì)損失和信息泄露。

2、如今，網(wǎng)絡(luò)攻擊者可以隱藏在網(wǎng)絡(luò)空間的測(cè)繪活動(dòng)中，以網(wǎng)絡(luò)空間測(cè)繪的名義潛伏在測(cè)繪活動(dòng)中暗地里進(jìn)行網(wǎng)絡(luò)攻擊。相關(guān)技術(shù)中，網(wǎng)絡(luò)安全防御手段往往局限于靜態(tài)規(guī)則的檢測(cè)和防御，無(wú)法有效地應(yīng)對(duì)網(wǎng)絡(luò)空間測(cè)繪活動(dòng)中隱藏的網(wǎng)絡(luò)攻擊，導(dǎo)致網(wǎng)絡(luò)設(shè)備和系統(tǒng)的安全性不足。

技術(shù)實(shí)現(xiàn)思路

1、基于此，有必要針對(duì)上述技術(shù)問(wèn)題，提供一種能夠提升網(wǎng)絡(luò)設(shè)備和系統(tǒng)的安全性的網(wǎng)絡(luò)空間反測(cè)繪方法、裝置、計(jì)算機(jī)設(shè)備、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)和計(jì)算機(jī)程序產(chǎn)品。

2、第一方面，本技術(shù)提供了一種網(wǎng)絡(luò)空間反測(cè)繪方法。所述方法包括：

3、將網(wǎng)絡(luò)空間中實(shí)時(shí)的網(wǎng)絡(luò)流量數(shù)據(jù)輸入訓(xùn)練好的異常檢測(cè)模型，確定所述網(wǎng)絡(luò)流量數(shù)據(jù)的異常檢測(cè)結(jié)果；所述異常檢測(cè)模型是基于網(wǎng)絡(luò)安全知識(shí)圖譜中的標(biāo)注數(shù)據(jù)訓(xùn)練得到的；所述網(wǎng)絡(luò)安全知識(shí)圖譜包含所述網(wǎng)絡(luò)空間中的異常資源數(shù)據(jù)，以及所述異常資源數(shù)據(jù)間的關(guān)聯(lián)關(guān)系；

4、若所述異常檢測(cè)結(jié)果為異常，則確定所述網(wǎng)絡(luò)流量數(shù)據(jù)中異常請(qǐng)求對(duì)應(yīng)的異常模式，并根據(jù)所述異常模式、所述網(wǎng)絡(luò)空間的拓?fù)浣Y(jié)構(gòu)，對(duì)潛在攻擊路徑進(jìn)行分析，確定預(yù)測(cè)攻擊方案；所述異常請(qǐng)求為所述異常檢測(cè)結(jié)果為異常的網(wǎng)絡(luò)流量數(shù)據(jù)在所述網(wǎng)絡(luò)空間中向各資源數(shù)據(jù)發(fā)起的訪問(wèn)請(qǐng)求；

5、基于所述預(yù)測(cè)攻擊方案更新安全策略，得到更新后的安全策略，并執(zhí)行所述安全策略。

6、在其中一個(gè)實(shí)施例中，所述將網(wǎng)絡(luò)空間中實(shí)時(shí)的網(wǎng)絡(luò)流量數(shù)據(jù)輸入訓(xùn)練好的異常檢測(cè)模型，確定所述網(wǎng)絡(luò)流量數(shù)據(jù)的異常檢測(cè)結(jié)果之前，所述方法還包括：

7、對(duì)實(shí)時(shí)獲取的初始流量數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，得到訓(xùn)練流量數(shù)據(jù)，并基于所述網(wǎng)絡(luò)安全知識(shí)圖譜中的異常資源數(shù)據(jù)和所述異常資源數(shù)據(jù)間的關(guān)聯(lián)關(guān)系，對(duì)所述訓(xùn)練流量數(shù)據(jù)進(jìn)行標(biāo)記，得到標(biāo)記后的訓(xùn)練流量數(shù)據(jù)；

8、建立預(yù)設(shè)的異常檢測(cè)模型，并基于所述訓(xùn)練流量數(shù)據(jù)和所述異常檢測(cè)模型確定損失值，并通過(guò)反向傳播算法和所述損失值確定所述異常檢測(cè)模型的梯度信息；

9、通過(guò)所述梯度信息更新所述異常檢測(cè)模型的模型參數(shù)，得到更新后的異常檢測(cè)模型，返回執(zhí)行所述基于所述訓(xùn)練流量數(shù)據(jù)和所述異常檢測(cè)模型確定損失值的步驟，直到所述異常檢測(cè)模型的模型性能滿足訓(xùn)練結(jié)束條件，得到訓(xùn)練好的異常檢測(cè)模型。

10、在其中一個(gè)實(shí)施例中，所述將網(wǎng)絡(luò)空間中實(shí)時(shí)的網(wǎng)絡(luò)流量數(shù)據(jù)輸入訓(xùn)練好的異常檢測(cè)模型，確定所述網(wǎng)絡(luò)流量數(shù)據(jù)的異常檢測(cè)結(jié)果之前，所述方法還包括：

11、對(duì)從網(wǎng)絡(luò)安全數(shù)據(jù)源獲取的異常資源數(shù)據(jù)進(jìn)行實(shí)體抽取和關(guān)系抽取，得到所述異常資源數(shù)據(jù)對(duì)應(yīng)的實(shí)體和關(guān)系，并基于所述實(shí)體和關(guān)系，確定所述異常資源數(shù)據(jù)構(gòu)成的網(wǎng)絡(luò)安全知識(shí)圖譜；

12、基于網(wǎng)絡(luò)安全知識(shí)庫(kù)中的已有圖結(jié)構(gòu)對(duì)所述網(wǎng)絡(luò)安全知識(shí)圖譜進(jìn)行更新，得到更新后的網(wǎng)絡(luò)安全知識(shí)圖譜；

13、根據(jù)所述網(wǎng)絡(luò)安全知識(shí)圖譜中的異常資源數(shù)據(jù)，對(duì)已標(biāo)注正常和異常的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行評(píng)估，確定所述網(wǎng)絡(luò)安全知識(shí)圖譜對(duì)所述已標(biāo)注正常和異常的網(wǎng)絡(luò)流量數(shù)據(jù)的全面性評(píng)估結(jié)果、完整性評(píng)估結(jié)果和準(zhǔn)確性評(píng)估結(jié)果；其中，所述全面性評(píng)估結(jié)果用于表示所述網(wǎng)絡(luò)安全知識(shí)圖譜的實(shí)體和關(guān)系的數(shù)量；所述完整性評(píng)估結(jié)果用于表示所述網(wǎng)絡(luò)安全知識(shí)圖譜中各實(shí)體的屬性是否完整；所述準(zhǔn)確性評(píng)估結(jié)果用于表示所述網(wǎng)絡(luò)安全知識(shí)圖譜對(duì)應(yīng)的預(yù)測(cè)模型的評(píng)價(jià)指標(biāo)；

14、若所述全面性評(píng)估結(jié)果、所述完整性評(píng)估結(jié)果和所述準(zhǔn)確性評(píng)估結(jié)果中至少一項(xiàng)沒(méi)有達(dá)到預(yù)設(shè)標(biāo)準(zhǔn)值，則對(duì)所述網(wǎng)絡(luò)安全知識(shí)圖譜中的異常資源數(shù)據(jù)進(jìn)行更新，得到更新后的網(wǎng)絡(luò)安全知識(shí)圖譜。

15、在其中一個(gè)實(shí)施例中，所述方法還包括：

16、若所述異常檢測(cè)結(jié)果為正常，則確定所述網(wǎng)絡(luò)流量數(shù)據(jù)對(duì)應(yīng)的系統(tǒng)和應(yīng)用程序的指紋信息；

17、通過(guò)添加隨機(jī)噪聲、刪除或修改特征、特征加密中的至少一種，對(duì)所述指紋信息進(jìn)行模糊化處理，得到模糊化后的指紋信息；

18、基于隨機(jī)插入或隨機(jī)位置替換策略，將所述模糊化后的指紋信息與所述網(wǎng)絡(luò)流量數(shù)據(jù)混合，得到更新后的網(wǎng)絡(luò)流量數(shù)據(jù)。

19、在其中一個(gè)實(shí)施例中，所述根據(jù)所述異常模式、所述網(wǎng)絡(luò)空間的拓?fù)浣Y(jié)構(gòu)，對(duì)潛在攻擊路徑進(jìn)行分析，確定預(yù)測(cè)攻擊方案，包括：

20、根據(jù)所述異常模式，確定所述網(wǎng)絡(luò)空間的拓?fù)浣Y(jié)構(gòu)中已被入侵的主機(jī)，或者外部異常用戶為攻擊起點(diǎn)；

21、根據(jù)uct選擇策略，在所述網(wǎng)絡(luò)空間的拓?fù)浣Y(jié)構(gòu)中確定所述攻擊起點(diǎn)對(duì)應(yīng)的子節(jié)點(diǎn)，并對(duì)生成所述子節(jié)點(diǎn)對(duì)應(yīng)的新?tīng)顟B(tài)；

22、基于所述新?tīng)顟B(tài)，對(duì)所述子節(jié)點(diǎn)進(jìn)行擴(kuò)展，直到依據(jù)所述新?tīng)顟B(tài)生成所有的子節(jié)點(diǎn)，得到所述子節(jié)點(diǎn)和所述攻擊起點(diǎn)構(gòu)成的節(jié)點(diǎn)樹；

23、依據(jù)預(yù)設(shè)的模擬次數(shù)，通過(guò)隨機(jī)選擇動(dòng)作，對(duì)所述節(jié)點(diǎn)樹中各節(jié)點(diǎn)從當(dāng)前狀態(tài)到達(dá)終止?fàn)顟B(tài)的過(guò)程進(jìn)行模擬，得到所述節(jié)點(diǎn)樹中各節(jié)點(diǎn)對(duì)應(yīng)的模擬統(tǒng)計(jì)信息；

24、根據(jù)所述模擬統(tǒng)計(jì)信息和所述節(jié)點(diǎn)樹的拓?fù)浣Y(jié)構(gòu)，確定高期望收益的攻擊動(dòng)作為預(yù)測(cè)攻擊方案。

25、在其中一個(gè)實(shí)施例中，所述基于所述預(yù)測(cè)攻擊方案更新安全策略，得到更新后的安全策略，包括：

26、將已配置的安全策略確定為模擬退火策略中的當(dāng)前狀態(tài)，并確定所述當(dāng)前狀態(tài)的成本函數(shù)值，以及確定所述模擬退火策略的初始溫度和終止溫度；所述成本函數(shù)值是基于所述預(yù)測(cè)攻擊方案和所述安全策略的成本函數(shù)確定的；

27、基于所述預(yù)測(cè)攻擊方案中的攻擊路徑和影響范圍，調(diào)整所述當(dāng)前狀態(tài)中的參數(shù)，對(duì)所述當(dāng)前狀態(tài)進(jìn)行變異，確定變異后的候選狀態(tài)和所述候選狀態(tài)對(duì)應(yīng)的成本函數(shù)值；

28、確定所述當(dāng)前狀態(tài)的成本函數(shù)值與所述候選狀態(tài)的成本函數(shù)值的差值，若所述差值滿足預(yù)設(shè)條件，則確定所述候選狀態(tài)為當(dāng)前狀態(tài)；

29、返回執(zhí)行所述基于所述預(yù)測(cè)攻擊方案中的攻擊路徑和影響范圍，調(diào)整所述當(dāng)前狀態(tài)中的參數(shù)的步驟，直到所述初始溫度降低至所述終止溫度；

30、確定各所述當(dāng)前狀態(tài)中所述成本函數(shù)值最小的狀態(tài)，并根據(jù)所述成本函數(shù)值最小的狀態(tài)，對(duì)所述安全策略進(jìn)行更新，得到更新后的安全策略。

31、第二方面，本技術(shù)還提供了一種網(wǎng)絡(luò)空間反測(cè)繪裝置。所述裝置包括：

32、異常檢測(cè)模塊，用于將網(wǎng)絡(luò)空間中實(shí)時(shí)的網(wǎng)絡(luò)流量數(shù)據(jù)輸入訓(xùn)練好的異常檢測(cè)模型，確定所述網(wǎng)絡(luò)流量數(shù)據(jù)的異常檢測(cè)結(jié)果；所述異常檢測(cè)模型是基于網(wǎng)絡(luò)安全知識(shí)圖譜中的標(biāo)注數(shù)據(jù)訓(xùn)練得到的；所述網(wǎng)絡(luò)安全知識(shí)圖譜包含所述網(wǎng)絡(luò)空間中的異常資源數(shù)據(jù)，以及所述異常資源數(shù)據(jù)間的關(guān)聯(lián)關(guān)系；

33、攻擊預(yù)測(cè)模塊，用于若所述異常檢測(cè)結(jié)果為異常，則確定所述網(wǎng)絡(luò)流量數(shù)據(jù)中異常請(qǐng)求對(duì)應(yīng)的異常模式，并根據(jù)所述異常模式、所述網(wǎng)絡(luò)空間的拓?fù)浣Y(jié)構(gòu)，對(duì)潛在攻擊路徑進(jìn)行分析，確定預(yù)測(cè)攻擊方案；所述異常請(qǐng)求為所述異常檢測(cè)結(jié)果為異常的網(wǎng)絡(luò)流量數(shù)據(jù)在所述網(wǎng)絡(luò)空間中向各資源數(shù)據(jù)發(fā)起的訪問(wèn)請(qǐng)求；

34、策略更新模塊，用于基于所述預(yù)測(cè)攻擊方案更新安全策略，得到更新后的安全策略，并執(zhí)行所述安全策略。

35、第三方面，本技術(shù)還提供了一種計(jì)算機(jī)設(shè)備。所述計(jì)算機(jī)設(shè)備包括存儲(chǔ)器和處理器，所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如第一方面所述方法的步驟。

36、第四方面，本技術(shù)還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如第一方面所述方法的步驟。

37、第五方面，本技術(shù)還提供了一種計(jì)算機(jī)程序產(chǎn)品。所述計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序，該計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如第一方面所述方法的步驟。

38、上述網(wǎng)絡(luò)空間反測(cè)繪方法、裝置、計(jì)算機(jī)設(shè)備、存儲(chǔ)介質(zhì)和計(jì)算機(jī)程序產(chǎn)品，通過(guò)對(duì)網(wǎng)絡(luò)空間中實(shí)時(shí)的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行檢測(cè)，可以使用訓(xùn)練好的異常檢測(cè)模型確定實(shí)時(shí)的網(wǎng)絡(luò)流量數(shù)據(jù)的異常檢測(cè)結(jié)果，確定網(wǎng)絡(luò)流量數(shù)據(jù)是否異常。由于訓(xùn)練好的異常檢測(cè)模型是根據(jù)預(yù)先構(gòu)建的網(wǎng)絡(luò)安全知識(shí)圖譜的標(biāo)注數(shù)據(jù)訓(xùn)練得到的，且網(wǎng)絡(luò)安全知識(shí)圖譜包含異常資源數(shù)據(jù)的實(shí)體和關(guān)聯(lián)關(guān)系，異常檢測(cè)模型能夠依靠網(wǎng)絡(luò)安全知識(shí)圖譜包含的異常資源數(shù)據(jù)準(zhǔn)確地檢測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)是否存在異常。在異常檢測(cè)結(jié)果為異常的情況下，服務(wù)器可以確定異常的網(wǎng)絡(luò)流量數(shù)據(jù)中所發(fā)起的異常請(qǐng)求，并確定異常請(qǐng)求對(duì)應(yīng)的異常模式，之后通過(guò)網(wǎng)絡(luò)空間的拓?fù)浣Y(jié)構(gòu)以及異常模式，對(duì)潛在攻擊路徑進(jìn)行預(yù)測(cè)，得到預(yù)測(cè)攻擊方案，從而通過(guò)預(yù)測(cè)攻擊方案對(duì)現(xiàn)有的安全策略進(jìn)行更新，得到更新后的安全策略，并執(zhí)行更新后的安全策略。由于網(wǎng)絡(luò)空間中的網(wǎng)絡(luò)流量數(shù)據(jù)被實(shí)時(shí)監(jiān)控和檢測(cè)，并且在網(wǎng)絡(luò)流量數(shù)據(jù)存在異常時(shí)，服務(wù)器可以通過(guò)異常請(qǐng)求的異常模式，對(duì)不法分子的網(wǎng)絡(luò)攻擊進(jìn)行預(yù)測(cè)，得到預(yù)測(cè)攻擊方案，從而實(shí)時(shí)地對(duì)安全策略進(jìn)行更新，提升網(wǎng)絡(luò)空間反測(cè)繪的防御精準(zhǔn)度，從而提升服務(wù)器應(yīng)對(duì)網(wǎng)絡(luò)空間測(cè)繪活動(dòng)時(shí)面對(duì)網(wǎng)絡(luò)攻擊的安全性。