2. 技术
  3. 网络安全事件脚本的适配方法和适配装置与流程

网络安全事件脚本的适配方法和适配装置与流程

xiaoxiao25天前  24

本发明涉及网络安全,具体而言,涉及一种网络安全事件脚本的适配方法、网络安全事件脚本的适配装置、计算机可读存储介质和计算机程序产品。


背景技术:

1、随着信息技术的迅猛发展和广泛应用,网络安全威胁变得日益复杂和多样化。各种网络攻击手段层出不穷,包括分布式拒绝服务(ddos)攻击、数据泄露、持久性威胁(apt)攻击等,严重威胁企业和机构的网络安全。为了有效应对这些威胁,企业和机构需要定期进行网络安全演练,以提高其应对能力和防御水平。然而,现有的网络安全演练系统在模拟实际攻击事件时,往往面临以下问题:特定性强:现有的网络安全事件脚本通常是针对特定网络拓扑设计的,无法直接应用于其他网络环境。缺乏灵活性:这些脚本缺乏动态调整和适应能力,难以模拟不同网络环境下的攻击事件。适应性差:无法有效提高受训人员在不同网络环境中应对特定攻击事件的能力。


技术实现思路

1、本技术的主要目的在于提供一种网络安全事件脚本的适配方法、网络安全事件脚本的适配装置、计算机可读存储介质和计算机程序产品,以至少解决现有技术中网络安全事件脚本通常是针对特定网络拓扑设计的导致无法直接应用于其他网络环境的问题。

2、为了实现上述目的,根据本技术的一个方面,提供了一种网络安全事件脚本的适配方法,包括:获取所有的历史网络安全事件脚本,所述历史网络安全事件脚本为根据已发生的网络安全事件所生成的脚本;根据所述历史网络安全事件脚本对应的源网络拓扑和目标网络拓扑生成多个初始网络安全事件脚本,所述源网络拓扑为所述历史网络安全事件脚本所属的网络拓扑,所述目标网络拓扑为待适应的网络拓扑;评估步骤,评估每个所述初始网络安全事件脚本的适应度;迭代步骤,根据所述适应度选择设定数量的所述初始网络安全事件脚本进行迭代,得到适配网络安全事件脚本,所述适配网络安全事件脚本为根据所述初始网络安全事件脚本优化后的脚本;依次重复所述评估步骤和所述迭代步骤至少一次直至达到最大迭代次数或所述适应度达到适应度阈值,生成目标网络安全事件脚本,所述目标网络安全事件脚本为所有的所述适配网络安全事件脚本中当前所述适应度最高的网络安全事件脚本;将所述目标网络安全事件脚本适配至所述目标网络拓扑上以完成网络安全演练。

3、可选地,获取所有的历史网络安全事件脚本,包括:获取所有的攻击子技术,每个所述攻击子技术由攻击子技术类型、拓扑节点要求、攻击动作和攻击结果构成;根据各所述攻击子技术和对应的网络拓扑节点形成对应的攻击行为,所述网络拓扑节点为适应与所述攻击子技术的所述拓扑节点要求的节点,一个所述攻击子技术和一个所述网络拓扑节点形成一个所述攻击行为;将所有的所述攻击行为组合形成多个攻击技术,所述攻击技术为多个所述攻击行为形成的序列;将所有的所述攻击技术组合形成多个攻击战术,所述攻击战术为多个所述攻击技术的集合;将所有的所述攻击战术形成多组攻击战术序列,得到所述历史网络安全事件脚本,一组所述攻击战术序列为一个所述历史网络安全事件脚本。

4、可选地,根据所述历史网络安全事件脚本对应的源网络拓扑和目标网络拓扑生成多个初始网络安全事件脚本,包括:根据所有的所述攻击子技术形成多个攻击子技术库,各所述攻击子技术库内的所有所述攻击子技术为同一类型;根据所述源网络拓扑中的所述网络拓扑节点和所述目标网络拓扑中的所述网络拓扑节点构建映射关系,所述映射关系至少包括所述网络拓扑节点的类型关系和所述网络拓扑节点之间的连接关系;对于所述源网络拓扑中各个源拓扑行为的源网络拓扑节点,根据所述映射关系进行查询,得到对应的目标网络拓扑节点,所述源拓扑行为表示所述源网络拓扑的所述攻击行为对应的所述网络拓扑节点,所述目标网络拓扑节点为所述映射关系中与所述源网络拓扑节点对应的所述网络拓扑节点;根据各所述目标网络拓扑节点在目标攻击子技术库中进行查找,得到对应的目标攻击子技术,所述目标攻击子技术库为满足所述目标网络拓扑节点的类型所对应的所述攻击子技术库,所述目标攻击子技术为所述目标网络拓扑节点可满足所述拓扑节点要求的所述攻击子技术;根据所有的所述目标网络拓扑节点和对应的所述目标攻击子技术对应生成新的所述攻击行为;根据所有新的所述攻击行为依次对所述攻击技术和所述攻击战术进行更新,以对应生成当前攻击战术;根据各所述当前攻击战术对对应的所述历史网络安全事件进行更新,生成所有所述初始网络安全事件脚本。

5、可选地,评估每个所述初始网络安全事件脚本的适应度,包括:在满足第一条件的情况下,根据第一公式计算所述初始网络安全事件脚本的所述适应度,所述第一公式为f(ei)=α×simw(ei)+β×simt(ei)+γ×simc(ei)+δ×simr(ei),simw(ei)表示所述攻击战术的保留度,simt(ei)表示攻击技术的保留度,simc(ei)表示所述攻击子技术的保留度,simr(ei)表示所述攻击结果的保留度,ei表示第i个所述初始网络安全事件脚本,α、β、γ、δ均为权重参数且满足α+β+γ+δ=1,所述第一条件为所述初始网络安全事件脚本中所有所述攻击子技术的所述拓扑节点要求的满足度大于满足度阈值;在不满足所述第一条件的情况下,根据第二公式确定所述初始网络安全事件脚本的所述适应度,所述第二公式为f(ei)=-∞。

6、可选地,根据所述适应度选择设定数量的所述初始网络安全事件脚本进行迭代,得到适配网络安全事件脚本,包括:在所有所述初始网络安全事件脚本中随机选择a个所述初始网络安全事件脚本;将a个所述初始网络安全事件脚本两两之间的交叉率大于交叉率阈值的两个所述初始网络安全事件脚本,分别确定为第一父代个体和第二父代个体,所述交叉率为两个所述初始网络安全事件脚本进行交叉的概率;根据交叉点将所述第一父代个体分为第一前部分和第一后部分,且根据所述交叉点将所述第二父代个体分为第二前部分和第二后部分,所述交叉点小于或等于最小长度值,所述最小长度值为所述第一父代个体的长度和所述第二父代个体长度之间的较小长度值;将所述第一前部分和所述第二后部分进行顺序拼接,得到第一子代个体,且将所述第二前部分和所述第一后部分进行顺序拼接,得到第二子代个体;将所述第一子代个体和所述第二子代个体添加至网络安全事件脚本集合中,网络安全事件脚本集合为所有的子代个体形成的集合;随机选择所述网络安全事件脚本集合中至少一个变异个体执行变异操作,得到所述适配网络安全事件脚本,所述变异个体为变异率大于变异阈值的所述子代个体,所述变异率为所述子代个体进行随机改变的概率,所述变异操作为对所述变异个体进行改变的操作。

7、可选地,随机选择所述网络安全事件脚本集合中至少一个变异个体执行变异操作,得到所述适配网络安全事件脚本,包括:根据变异率随机选择所述网络安全事件脚本集合中至少一个变异个体;在所述变异个体随机选择一个所述攻击战术,得到随机攻击战术;在所述随机攻击战术中随机选择一个所述攻击行为,得到随机攻击行为;根据所述随机攻击行为中的所述网络拓扑节点查找映射网络拓扑节点,并将所述随机攻击行为中的所述网络拓扑节点替换为所述映射网络拓扑节点,所述映射网络拓扑节点为根据所述映射关系查找在目标网络拓扑中对应的网络拓扑节点;在根据所述随机攻击行为中的所述网络拓扑节点无法查找到所述映射网络拓扑节点的情况下,根据适配条件在所述攻击子技术库中随机搜索适配攻击子技术,并将所述随机攻击行为中所述攻击子技术替换为所述适配攻击子技术,所述适配条件为满足所述随机攻击行为中所述攻击子技术的所述拓扑节点要求的条件,所述适配攻击子技术为符合所述适配条件的攻击子技术;根据所述映射网络拓扑节点或所述适配攻击子技术对所述变异个体进行改变,得到所述适配网络安全事件脚本。

8、可选地,在根据变异率随机选择所述网络安全事件脚本集合中至少一个变异个体之前,所述方法还包括:根据第一自适应公式对所述变异率进行自适应调整以加速迭代收敛,所述第一自适应公式为θt+1=θmin+(θmax+θmin)e-μfavg(t),其中θt+1为第t+1次迭代的变异率,θmin为设定最小变异率,θmax为设定最大变异率,favg(t)为第t次迭代所述初始网络安全事件脚本的所述适应度的平均值,μ为控制参数。

9、根据本技术的另一方面,提供了一种网络安全事件脚本的适配装置,所述装置包括:获取单元,用于获取所有的历史网络安全事件脚本,所述历史网络安全事件脚本为已发生的网络安全事件所生成的脚本;第一生成单元,用于根据所述历史网络安全事件脚本对应的源网络拓扑和目标网络拓扑生成多个初始网络安全事件脚本,所述源网络拓扑为所述历史网络安全事件脚本所属的网络拓扑,所述目标网络拓扑为待适应的网络拓扑;评估单元,用于执行评估步骤,评估每个所述初始网络安全事件脚本的适应度;迭代单元,用于执行迭代步骤,根据所述适应度选择设定数量的所述初始网络安全事件脚本进行迭代,得到适配网络安全事件脚本,所述适配网络安全事件脚本为根据所述初始网络安全事件脚本优化后的脚本;第二生成单元,用于依次重复所述评估步骤和所述迭代步骤至少一次直至达到最大迭代次数或所述适应度达到适应度阈值,生成目标网络安全事件脚本,所述目标网络安全事件脚本为所有的所述适配网络安全事件脚本中当前所述适应度最高的网络安全事件脚本;适配单元,用于将所述目标网络安全事件脚本适配至所述目标网络拓扑上以完成网络安全演练。

10、根据本技术的再一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行任意一种所述的方法。

11、根据本技术的又一方面,提供了一种计算机程序产品,包括计算机指令,所述计算机指令被处理器执行时实现任意一种所述的方法。

12、应用本技术的技术方案,在网络安全事件脚本的适配方法中,通过获取已发生的历史网络安全事件脚本,基于实际发生的历史网络安全事件脚本和其对映的源网络拓扑与需要适配的目标网络拓扑生成初始网络安全事件脚本,定义适应度函数,评估每个初始网络安全事件脚本的适应度,根据适应度选择优良的初始网络安全事件脚本进行繁殖,生成适配网络安全事件脚本,再对所有的适配网络安全事件脚本继续评估,将适应度最高的适配网络安全事件脚本作为目标网络安全事件脚本适配至目标网络拓扑上。本技术能够使基于已发生的网络安全事件生成的网络安全事件脚本适应不同的网络拓扑,从而在不同环境中进行有效的安全演练和影响评估。本技术解决了现有技术中网络安全事件脚本通常是针对特定网络拓扑设计的导致无法直接应用于其他网络环境的问题。


技术特征:

1.一种网络安全事件脚本的适配方法,其特征在于,包括:

2.根据权利要求1所述的方法,其特征在于,获取所有的历史网络安全事件脚本,包括:

3.根据权利要求2所述的方法,其特征在于,根据所述历史网络安全事件脚本对应的源网络拓扑和目标网络拓扑生成多个初始网络安全事件脚本,包括:

4.根据权利要求2所述的方法,其特征在于,评估每个所述初始网络安全事件脚本的适应度,包括:

5.根据权利要求1所述的方法,其特征在于,根据所述适应度选择设定数量的所述初始网络安全事件脚本进行迭代,得到适配网络安全事件脚本,包括:

6.根据权利要求3所述的方法,其特征在于,随机选择所述网络安全事件脚本集合中至少一个变异个体执行变异操作,得到所述适配网络安全事件脚本,包括:

7.根据权利要求6所述的方法,其特征在于,在根据变异率随机选择所述网络安全事件脚本集合中至少一个变异个体之前,所述方法还包括:

8.一种网络安全事件脚本的适配装置,其特征在于,所述装置包括:

9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7中任意一项所述的方法。

10.一种计算机程序产品,包括计算机指令,其特征在于,所述计算机指令被处理器执行时实现权利要求1至7中任意一项所述的方法。


技术总结
本申请提供了一种网络安全事件脚本的适配方法和适配装置,该方法包括:获取所有的历史网络安全事件脚本;根据历史网络安全事件脚本对应的源网络拓扑和目标网络拓扑生成多个初始网络安全事件脚本;评估步骤,评估每个初始网络安全事件脚本的适应度;迭代步骤,根据适应度选择设定数量的初始网络安全事件脚本进行迭代,得到适配网络安全事件脚本;依次重复评估步骤和迭代步骤至少一次直至达到最大迭代次数或适应度达到适应度阈值,生成目标网络安全事件脚本;将目标网络安全事件脚本适配至目标网络拓扑上以完成网络安全演练。该方法解决了现有技术中网络安全事件脚本通常是针对特定网络拓扑设计的导致无法直接应用于其他网络环境的问题。

技术研发人员:杨祎巍,陈霖,梁志宏,洪超,徐培明,李攀登,徐文倩,关泽武,张宇南
受保护的技术使用者:南方电网科学研究院有限责任公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)