摘要：當(dāng)前大部分網(wǎng)絡(luò)系統(tǒng)都面臨著網(wǎng)絡(luò)蠕蟲、大規(guī)模網(wǎng)絡(luò)攻擊等各種安全威脅，網(wǎng)絡(luò)安全面臨著廣泛而巨大的挑戰(zhàn)。為了應(yīng)對這些網(wǎng)絡(luò)安全問題，很多研究人員采用網(wǎng)絡(luò)安全態(tài)勢感知的理念構(gòu)建網(wǎng)絡(luò)安全防護(hù)框架。網(wǎng)絡(luò)安全態(tài)勢感知通常監(jiān)測特定網(wǎng)絡(luò)環(huán)境中發(fā)生網(wǎng)絡(luò)事件，結(jié)合網(wǎng)絡(luò)環(huán)境中記錄的信息數(shù)據(jù)，分析研究網(wǎng)絡(luò)攻擊的行為特征，構(gòu)建網(wǎng)絡(luò)環(huán)境的全局性安全視圖，從而評判當(dāng)前網(wǎng)絡(luò)安全的形勢并推測未來一段時間內(nèi)網(wǎng)絡(luò)安全的發(fā)展趨勢。本文主要論述基于網(wǎng)絡(luò)流量探針采集的攻擊或威脅數(shù)據(jù)，采用粒子群向量機（SVM）回歸策略，實現(xiàn)網(wǎng)絡(luò)攻擊發(fā)展趨勢的態(tài)勢感知，并驗證該方法的有效性和優(yōu)異性。

關(guān)鍵詞：態(tài)勢感知;支持向量機;網(wǎng)絡(luò)安全;粒子群

中圖分類號：TP181 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）33-0064-02

開放科學(xué)（資源服務(wù)）標(biāo)i碼（OSID）：

態(tài)勢感知一般定義為基于一定的時間和空間條件，對現(xiàn)狀要素的感知，對現(xiàn)狀的理解和對未來狀態(tài)的預(yù)測。當(dāng)前大多數(shù)網(wǎng)絡(luò)系統(tǒng)正面臨著網(wǎng)絡(luò)蠕蟲、大規(guī)模網(wǎng)絡(luò)攻擊等各種安全威脅，網(wǎng)絡(luò)安全態(tài)勢感知是解決這些問題的有效途徑。

網(wǎng)絡(luò)態(tài)勢感知是一種簡單的識別網(wǎng)絡(luò)安全態(tài)勢的方法，在對監(jiān)控網(wǎng)絡(luò)信息進(jìn)行分離的基礎(chǔ)上，對監(jiān)控的網(wǎng)絡(luò)安全狀況進(jìn)行定量評估。通常真實網(wǎng)絡(luò)環(huán)境上廣泛處于運行的設(shè)備會產(chǎn)生大量的信息，這些信息需要很長的時間的處理后才能進(jìn)行準(zhǔn)確和預(yù)防性的檢測。許多漏洞評分的系統(tǒng)模型正在努力實現(xiàn)準(zhǔn)確的評估，但產(chǎn)生的定性警報還是缺乏精確性和準(zhǔn)確性。網(wǎng)絡(luò)分析人員需要一種有效的網(wǎng)絡(luò)安全態(tài)勢感知工具正確地融合所有可用的信息，從而比較容易地理解網(wǎng)絡(luò)安全的態(tài)勢。

網(wǎng)絡(luò)態(tài)勢感知的一個基本目標(biāo)是對網(wǎng)絡(luò)環(huán)境的安全態(tài)勢的預(yù)測。網(wǎng)絡(luò)態(tài)勢的預(yù)測通?；诃h(huán)境中網(wǎng)絡(luò)安全的歷史數(shù)據(jù)以及結(jié)合當(dāng)前運行的網(wǎng)絡(luò)狀況信息，預(yù)測未來一段時間內(nèi)網(wǎng)絡(luò)環(huán)境的安全狀況的變化趨勢。本文通過在被監(jiān)管的設(shè)備上部署探針，對網(wǎng)絡(luò)上發(fā)生的活動周期性進(jìn)行樣例數(shù)據(jù)的采集并通過關(guān)聯(lián)分析來捕獲網(wǎng)絡(luò)攻擊等惡意行為模式。網(wǎng)絡(luò)環(huán)境中的很多攻擊行為是隨機的，對此采集的一些數(shù)據(jù)信息也是具有很大的不確定性，從而在這些數(shù)據(jù)上進(jìn)行的一些安全態(tài)勢預(yù)測其分析過程中需要較為復(fù)雜的非線性計算處理流程。一些傳統(tǒng)的分析預(yù)測機制已經(jīng)逐漸不能滿足需求，越來越多的研究正在朝智能預(yù)測方法發(fā)展。這里的智能概念包括基于機器學(xué)習(xí)理論上的自動化感知和自主學(xué)習(xí)策略，構(gòu)建程序系統(tǒng)的思維能力和處理能力，也包括對復(fù)雜復(fù)合式行為的識別和預(yù)測。

有些基于人丁智能技術(shù)預(yù)測的方法對非線性時間序列數(shù)據(jù)具有很強的逼近和擬合能力，許多研究人員將其應(yīng)用于非線性時間序列的預(yù)測中并取得了較好的效果，典型的如神經(jīng)網(wǎng)絡(luò)、支持向量機、遺傳算法等智能預(yù)測方法。此類方法的優(yōu)點是具有自學(xué)習(xí)能力，中短期預(yù)測精度較高，需要較少的人工介入。本文中主要論述運用非參數(shù)的基于向量機的算法對網(wǎng)絡(luò)攻擊態(tài)勢進(jìn)行感知評估。

1 探針采集保護(hù)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)

為了度量完整有效的安全漏洞檢測和攻擊構(gòu)造模式，需要在攻擊發(fā)生前實時識別大量潛在的攻擊事件。由于網(wǎng)絡(luò)攻擊中存在大量的多變種攻擊組合，因而單獨檢測某一類型的網(wǎng)絡(luò)攻擊事件其價值較低，所以需要設(shè)計一些機制來提供準(zhǔn)確和完整的網(wǎng)絡(luò)攻擊信息來保持對成千上萬的網(wǎng)絡(luò)對象和事件的態(tài)勢感知。這些機制一般是在運行的網(wǎng)絡(luò)環(huán)境中部署支持多種協(xié)議的檢測采集工具，收集環(huán)境中可能威脅網(wǎng)絡(luò)安全的多維度、多方面的危險因素，以便及時分析和應(yīng)對這些類型的攻擊事件。目前現(xiàn)有的解決方案是使用各種度量來定量和定性地度量攻擊，這通常會涉及基于對象、時間和空間測量的預(yù)測，并使用這些派生出來的度量標(biāo)準(zhǔn)。

本文從網(wǎng)絡(luò)系統(tǒng)的多個方面分析的場景建立評估模型，其需要測量的態(tài)勢感知數(shù)據(jù)包括網(wǎng)絡(luò)和系統(tǒng)安全行為的各個方面。一方面可以通過流量日志進(jìn)行安全狩獵或者異常檢測、分析攻擊事件的影響范圍、回溯完整的攻擊鏈測量;另一方面可以利用在采集模塊中分布式部署的批量探針實現(xiàn)惡意軟件檢測、IDS和防火墻、漏洞掃描、滲透測試、在線測試和安全服務(wù)檢測，并將各類型的探針采集數(shù)據(jù)匯聚到大數(shù)據(jù)存儲平臺，從而對被管理的網(wǎng)絡(luò)進(jìn)行全方位監(jiān)控?？傊W(wǎng)絡(luò)安全數(shù)據(jù)的類型應(yīng)當(dāng)盡可能齊全，需要包括網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)、網(wǎng)絡(luò)服務(wù)數(shù)據(jù)、漏洞數(shù)據(jù)、脆弱性數(shù)據(jù)、威脅與入侵?jǐn)?shù)據(jù)、用戶異常行為數(shù)據(jù)等等，只有這樣網(wǎng)絡(luò)態(tài)勢的評估和預(yù)測結(jié)果才能比較精準(zhǔn)。

2 支持向量機的基本原理

SVM的基本原理是由Vapnik和Cortes在1995年提出的，可以簡單地理解為一個分類器，其主要目的是確定并輸出兩類數(shù)據(jù)節(jié)點中的邊界節(jié)點組合，其中的每一個邊界節(jié)點就是單個的支持向量，其權(quán)值為對應(yīng)的拉格朗日乘子。采用SVM感知網(wǎng)絡(luò)安全態(tài)勢通常在收斂速度上較快、預(yù)測的結(jié)果誤差值較小、具有較強的抗擬合能力、能夠較為準(zhǔn)確地預(yù)測未來一段時間內(nèi)的網(wǎng)絡(luò)環(huán)境的安全態(tài)勢發(fā)展趨勢，是當(dāng)前安全態(tài)勢預(yù)測研究中的一個熱點方向。

支持向量機最初適用于分類的，為了推廣到回歸估計中，本文引入了不敏感損失函數(shù)擬合機制。其核心理念就是采用非線性的映射將訓(xùn)練集中的數(shù)據(jù)樣本映射至一個高維度空間，并在這個線性的高維空間中進(jìn)行回歸估計函數(shù)的構(gòu)造，然后基于該回歸函數(shù)進(jìn)行相應(yīng)的線性回歸處理，從而可以避免一般SVM算法會面對的維數(shù)詛咒相關(guān)問題。

如果僅將支持向量機作為預(yù)測模型，通常會出現(xiàn)訓(xùn)練參數(shù)選擇盲目的問題，為此本文引用了一種基于粒子群優(yōu)化算法對傳統(tǒng)的SVM網(wǎng)絡(luò)全態(tài)勢預(yù)測策略進(jìn)行改進(jìn)，其基本思路是采用粒子群算法對SVM的訓(xùn)練參數(shù)進(jìn)行優(yōu)化，然后基于優(yōu)化后的訓(xùn)練參數(shù)進(jìn)一步構(gòu)造SVM預(yù)測模型。改進(jìn)后的算法模型在預(yù)測網(wǎng)絡(luò)安全態(tài)勢方面具有較高的準(zhǔn)確性。

3 利用模型感知網(wǎng)絡(luò)態(tài)勢

SVM可以基于網(wǎng)絡(luò)環(huán)境中采集到的廣泛的攻擊數(shù)據(jù)樣本采用支持向量機制進(jìn)行分類處理，從而構(gòu)成特征空間中描述超平面的訓(xùn)練輸入集的成員。利用SVM預(yù)測網(wǎng)絡(luò)攻擊態(tài)勢通常分為訓(xùn)練和測試兩個階段。支持向量機可以學(xué)習(xí)更大的模式集，并且能夠更好地縮放，因為其對分類的復(fù)雜性不依賴于特征空間的維數(shù)。支持向量機還能夠在分類過程中出現(xiàn)新模式時動態(tài)地更新訓(xùn)練模式。其主要缺點是支持向量機只能處理二類分類，而入侵檢測需要多類分類，從而對入侵檢測的數(shù)據(jù)需要構(gòu)建多個SVM模型進(jìn)行不同類型的攻擊態(tài)勢分析。

網(wǎng)絡(luò)攻擊數(shù)據(jù)的大致結(jié)構(gòu)確定后，必須先區(qū)分訓(xùn)練集和測試集，再進(jìn)行數(shù)據(jù)預(yù)處理。測試集在產(chǎn)品上線前一般是不可獲得的，為了讓建模的所有過程不受到測試集數(shù)據(jù)的影響和干擾，模型運行之前需要定義好訓(xùn)練集和測試集。首先SVM預(yù)測模型需要將最近一段時間內(nèi)網(wǎng)絡(luò)環(huán)境中收集到的安全數(shù)據(jù)集歸一化，既對收集到的數(shù)據(jù)進(jìn)行分離，包括分離特征矩陣和標(biāo)簽矩陣，實現(xiàn)訓(xùn)練集與測試集的數(shù)據(jù)拆分。然后對分離后的訓(xùn)練數(shù)據(jù)集進(jìn)一步處理，第一步需要將這些訓(xùn)練集數(shù)據(jù)劃分成N維的向量，預(yù)測函數(shù)采用N維向量總的前面d維作為輸入向量，并將剩余的后面e維向量作為輸出向量（N=d+e），輸入向量和輸出向量中的各一維向量組合（d，e）構(gòu)造成單個的訓(xùn)練數(shù)據(jù)對。第二步是進(jìn)行模型訓(xùn)練參數(shù)的初始化處理，基于第一步中構(gòu)造好訓(xùn)練數(shù)據(jù)對集合訓(xùn)練SVM預(yù)測模型，這個模型訓(xùn)練的具體過程等同于對（1）中的二次規(guī)劃方程進(jìn)行求解的過程。SVM預(yù)測模型基于交叉檢驗的方法對正則化參數(shù)和誤差控制參數(shù)的選擇進(jìn)行優(yōu)化處理，并在此基礎(chǔ)上對需要的各項參數(shù)進(jìn)行確認(rèn)和設(shè)置。

由于網(wǎng)絡(luò)態(tài)勢的數(shù)據(jù)類型眾多，單純的SVM算法在確定訓(xùn)練參數(shù)方面會有較大的挑戰(zhàn)且需要較長的時間。在第一階段的單獨地進(jìn)行SVM模型感知后，在第二階段為了解決訓(xùn)練參數(shù)選擇盲目的問題，本文引入了粒子群優(yōu)化算法輔助SVM預(yù)測模型?；诹Ｗ尤旱哪Ｐ桶讶后w中的單個個體視為n維空間中的一個無體積和質(zhì)量的點，通過由適應(yīng)度函數(shù)調(diào)整每個粒子至較優(yōu)的區(qū)域從而整體上能搜尋到最優(yōu)解。

論文中使用非線性遞減權(quán)值這一策略將慣性權(quán)值（1）設(shè)置成公式中的變量，通過非線性遞減權(quán)值的方法實現(xiàn)粒子的優(yōu)化調(diào)整，其公式如（2）所示：

改進(jìn)后的支持向量機算法具有很好的函數(shù)逼近能力和泛化能力，通過在實際項目中的運行數(shù)據(jù)結(jié)果評估，本文中粒子群SVM算法的預(yù)測結(jié)果的數(shù)值平均絕對誤差不超過0.032，同時預(yù)測結(jié)果的偏差度也小于9.2%，既而該算法具有優(yōu)良的預(yù)測準(zhǔn)確率，達(dá)到了準(zhǔn)確預(yù)測網(wǎng)絡(luò)安全態(tài)勢結(jié)果的目的。通過實際的運用表明：在預(yù)測網(wǎng)絡(luò)攻擊態(tài)勢的準(zhǔn)確度方面，基于粒子群的SVM的預(yù)測模型要優(yōu)于需要普通的SVM算法，既改進(jìn)后的網(wǎng)絡(luò)攻擊態(tài)勢預(yù)測方法更符合實際情況。

4 結(jié)論

本文闡述了網(wǎng)絡(luò)安全態(tài)勢感知所面臨的挑戰(zhàn)，并試圖提出相應(yīng)的應(yīng)對思路以及解決方案。接著闡述了網(wǎng)絡(luò)態(tài)勢感知這一基本理念，并提出了網(wǎng)絡(luò)攻擊態(tài)勢的一種感知方法。既基于探針采集的大數(shù)檢測數(shù)據(jù)，采用基于粒子群的向量機回歸方法對未來一段時間內(nèi)的網(wǎng)絡(luò)安全發(fā)展態(tài)勢進(jìn)行預(yù)測。這種預(yù)測方法具有自學(xué)習(xí)能力，其中短期預(yù)測精度較高，需要的人工介入較少，對非線性時間序列變化的攻擊數(shù)據(jù)具有很強的逼近和泛化能力，能有效避免實時預(yù)測運行時容易出現(xiàn)的解結(jié)果不穩(wěn)定現(xiàn)象，保證了預(yù)測的正確趨勢。但是對于網(wǎng)絡(luò)態(tài)勢預(yù)測模型效率的提升仍有很多分析和改進(jìn)工作需要進(jìn)行，有待于在今后的工作中進(jìn)一步研究和優(yōu)化。

參考文獻(xiàn)：

[1] Zhang Y，Tan X B，Xi H S.A novel approach to network securi-ty situation awareness based on multi-perspective analysis[Cl//2007 Intemational Conference on Computational Intelligenceand Security （CIS 2007）.December 15-19，2007，Harbin，China.IEEE，2007：768-772.

[2] Zhang X.Survey of network security situation awareness andkey technologies[Ml//Lecture Notes in Electrical Engineering.Dordrecht：Springer Netherlands，2013：3281-3286.

[3]席榮榮，云曉春，金舒原，等.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[Jl-計算機應(yīng)用，2012，32（1）：1-4，59.

[4]謝麗霞，王亞超，于巾博.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知[J].清華大學(xué)學(xué)報（自然科學(xué)版），2013，53（12）：1750-1760.

[5] Wang H Q，Liu X W，Lai J B，et aI.Network security situationawareness based on heterogeneous multi-sensor data fusionand neural network[C]//Second International Multi-Sympo-siums on Computer and Computational Sciences （IMSCCS2007）. August

13-15， 2007，lowa City，IA， USA. IEEE， 2007： 352-359.

[6]管磊，胡光俊，王專.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2016（9）：45-50.

[7]高川，嚴(yán)寒冰，賈子驍，基于特征的網(wǎng)絡(luò)漏洞態(tài)勢感知方法研究[J].信息網(wǎng)絡(luò)安全，2016（12）：28-33.

[8] Liu X W，Yu J G，Wang M L.Network security situation genera-tion and evaluation based on heterogeneous sensor fusion[Cl//2009 5th International Conference on Wireless Communica-tions， Networking and Mobile Computing. September 24-26，2009，Beij ing，China.IEEE，2009：1-4.

[9]葉健健，文志誠，吳欣欣.基于貝葉斯方法的網(wǎng)絡(luò)安全態(tài)勢感知模型[J].湖南工業(yè)大學(xué)學(xué)報，2014，28（3）：65-70.

[10]包利軍.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺在專網(wǎng)領(lǐng)域的應(yīng)用[J].信息安全研究，2019，5（2）：168-175.

[11]琚安康郭淵博朱泰銘.基于開源工具集的大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知及預(yù)警架構(gòu)[J].計算機科學(xué)，2017，44（5）：125-131.

[12]余成.基于復(fù)雜事件處理的分布式監(jiān)控系統(tǒng)[D].上海：上海交通大學(xué)，2014.

[13]程冬梅，嚴(yán)彪，文輝，等，基于規(guī)則匹配的分布式工控入侵檢測系統(tǒng)設(shè)計與實現(xiàn)[J].信息網(wǎng)絡(luò)安全，2017（7）：45-51.

[14]王道明，魯昌華，蔣薇薇，等.基于粒子群算法的決策樹SVM多分類方法研究[J].電子測量與儀器學(xué)報，2015，29（4）：611-615.

[15]梅飛，梅軍，鄭建勇，等.粒子群優(yōu)化的KFCM及SVM診斷模型在斷路器故障診斷中的應(yīng)用[J].中國電機工程學(xué)報，2013，33（36）：134-141，19.

[16]匡芳君，徐蔚鴻，張思揚.基于改進(jìn)混沌粒子群的混合核SVM參數(shù)優(yōu)化及應(yīng)用[J].計算機應(yīng)用研究，2014，31（3）：671-674，687.

[17]代鑫波，崔勇，周德祥，等.基于主成分與粒子群算法的LS-SVM短期負(fù)荷預(yù)測[J].電測與儀表，2012，49（6）：5-9.

【通聯(lián)編輯：唐一東】

作者簡介：尹隆波（1989-），男，湖南邵東縣人，碩士，研究實習(xí)員，主要研究方向：網(wǎng)絡(luò)安全。