楊宇, 谷宇恒

(武警工程大學信息學院， 西安 710086)

當今世界，信息技術日新月異，網(wǎng)絡空間迅速發(fā)展，極大改善了人們生產(chǎn)生活環(huán)境，同時也帶來了各類安全風險挑戰(zhàn)。特別是近年來，各種網(wǎng)絡安全事件頻發(fā)，中外敵對勢力加緊了對中國軍事、政治、經(jīng)濟等重要領域數(shù)據(jù)信息的竊取和破壞，國內以盈利為目的非法組織利用網(wǎng)絡從事攻擊破壞活動日益猖獗，致使中國網(wǎng)絡安全環(huán)境面臨著嚴峻威脅。網(wǎng)絡攻擊自動化正在縮小攻防雙方之間的信息與技術差距，網(wǎng)絡安全態(tài)勢感知可以實現(xiàn)對系統(tǒng)漏洞和威脅的理解，并據(jù)此對系統(tǒng)的安全狀況進行更加全面的評估和預測[1]。基于互聯(lián)網(wǎng)設計之初的開放性和互通性，許多網(wǎng)絡協(xié)議并不安全，軟件系統(tǒng)設計也常常存在漏洞。入侵檢測系統(tǒng)(intrusion detection system，IDS)[2]、防火墻、漏洞掃描等傳統(tǒng)防御技術無法提供智能高效的網(wǎng)絡安全分析和預測服務。因此，研究和發(fā)展能夠保障網(wǎng)絡可靠運行的安全防御手段刻不容緩，網(wǎng)絡安全態(tài)勢感知技術的重要性不斷顯現(xiàn)。

1 網(wǎng)絡安全態(tài)勢感知概況

1.1 態(tài)勢感知

態(tài)勢指事物發(fā)展的趨勢與狀態(tài)，是一個整體和全局的概念，任何單一的情況和狀態(tài)都不能稱之為態(tài)勢[3]。態(tài)勢感知對于操作人員在復雜系統(tǒng)中實施決策是不可或缺的，這一概念最早在軍事領域被提出，主要應用于軍事作戰(zhàn)、航空航天、核反應堆控制等領域，這些領域的一個共同特點是具有復雜的操作控制系統(tǒng)，決策者通常需要觀察、理解和分析海量的數(shù)據(jù)以精確完成任務，耗費了決策者的大量精力，并對決策者的認知水平提出了較高要求。

Endsley[4]于1988年給出了態(tài)勢感知的明確定義，即“在一定的時間和空間范圍內感知環(huán)境中的元素，理解它們的意義，以及對它們在不久將來的發(fā)展趨勢與狀態(tài)進行預測”，與此定義對應的三級態(tài)勢感知概念模型如圖1所示，該模型奠定了傳統(tǒng)態(tài)勢感知領域的基礎。注意力和工作記憶[5]被認為是限制決策者從環(huán)境中獲取、理解要素并形成態(tài)勢感知的關鍵因素。但當面對開放的復雜巨系統(tǒng)時，決策者往往很難實時客觀地做出分析和判斷，將注意力機制與深度學習模型相結合正被廣泛地應用于建模和預測復雜的系統(tǒng)中，并且在解決基于感知和記憶的任務中取得了良好的效果[6-7]。除此之外，Endsley等[8]指出目標是態(tài)勢感知發(fā)展的核心，態(tài)勢感知過程在數(shù)據(jù)驅動(自下而上)和目標驅動(自上而下)之間交替進行。在數(shù)據(jù)驅動下，感知到的信息要素經(jīng)過融合處理與關聯(lián)分析，可能得到新的有價值的目標；在目標驅動下，目標作為一個過濾器可以解釋所感知的信息，同時決策者將根據(jù)目標有針對性地收集、理解信息要素，并將其與目標進行比較，以期獲得有價值的態(tài)勢感知結果。

1.2 網(wǎng)絡安全態(tài)勢感知

Bass等[9]于1999年首次將態(tài)勢感知與網(wǎng)絡空間相結合，提出了網(wǎng)絡態(tài)勢感知這個概念，并指出多源異構式網(wǎng)絡傳感器的數(shù)據(jù)挖掘與融合是實現(xiàn)網(wǎng)絡態(tài)勢感知的關鍵[10]。由于Bass等[9]并未給出網(wǎng)絡態(tài)勢感知的明確定義，導致目前該領域的概念尚未統(tǒng)一。針對現(xiàn)狀，中外學者做了大量的研究與工作。Franke等[11]將網(wǎng)絡態(tài)勢感知看作態(tài)勢感知中涉及網(wǎng)絡環(huán)境的部分，認為網(wǎng)絡態(tài)勢感知是態(tài)勢感知的一個子集。龔儉等[12]認為網(wǎng)絡安全態(tài)勢感知與態(tài)勢感知是類型與實例的關系，并從態(tài)勢覺察、態(tài)勢理解、態(tài)勢投射三個層面提出一個網(wǎng)絡安全態(tài)勢感知功能模型。石樂義等[13]分析了網(wǎng)絡安全態(tài)勢感知的各類關鍵技術，并對相關應用領域進行了歸納梳理。李艷等[14]從數(shù)據(jù)價值鏈角度出發(fā)，提出一種便于數(shù)據(jù)處理和工程實現(xiàn)的網(wǎng)絡安全態(tài)勢感知邏輯分析框架，為網(wǎng)絡安全態(tài)勢感知的工程實現(xiàn)提供了參考。Liu等[15]從自動控制角度出發(fā)，提出一種認知意識控制模型(cognitive awareness-control model，CACM)，該模型采用粒子群(particle swarm optimization，PSO)優(yōu)化的D-S證據(jù)理論融合多源異構數(shù)據(jù)，并提出一個基于歷史態(tài)勢的Q值強化學習(HS-QRL)機制，實現(xiàn)了自動感知威脅情況并反饋調節(jié)系統(tǒng)狀態(tài)的功能。

本文研究詳細闡述了基于數(shù)據(jù)融合的網(wǎng)絡安全態(tài)勢感知系統(tǒng)框架，即在一定時間范圍內對網(wǎng)絡安全態(tài)勢要素進行采集、預處理，通過逐層分析、融合安全態(tài)勢要素并結合數(shù)學模型、規(guī)則推理、模式識別等態(tài)勢評估方法，綜合掌控網(wǎng)絡系統(tǒng)的安全態(tài)勢，并對未來網(wǎng)絡安全趨勢做出精準預測，其基本研究框架如圖2所示。

圖1 態(tài)勢感知概念模型[4]Fig.1 Conceptual model of situation awareness[4]

圖2 網(wǎng)絡安全態(tài)勢感知框架[14]Fig.2 Network security situation awareness framework[14]

2 網(wǎng)絡安全態(tài)勢提取

2.1 數(shù)據(jù)采集

網(wǎng)絡安全態(tài)勢提取是網(wǎng)絡安全態(tài)勢感知的基礎，在復雜網(wǎng)絡系統(tǒng)中高效、精準的采集網(wǎng)絡安全數(shù)據(jù)是網(wǎng)絡安全態(tài)勢提取的前提。數(shù)據(jù)采集從采集方式可分為單一要素采集和多源數(shù)據(jù)采集，由于當前網(wǎng)絡攻擊的復雜性，學者們越來越傾向于多源數(shù)據(jù)采集。文獻[16]強調了靶向數(shù)據(jù)采集的重要性，并將網(wǎng)絡安全態(tài)勢感知數(shù)據(jù)分為資產(chǎn)、漏洞和威脅三個維度，針對不同維度數(shù)據(jù)，需要采用不同的技術進行采集，如表1所示。Wireshark是一款功能強大的網(wǎng)絡封包分析軟件，可以截取各種網(wǎng)絡封包，獲取網(wǎng)絡流量數(shù)據(jù)并顯示網(wǎng)絡封包內的詳細信息(源IP地址、目的IP地址、協(xié)議、部分數(shù)據(jù)、捕獲時間等)。Syslog、Flume等通過將網(wǎng)絡上各種設備的日志數(shù)據(jù)收集到日志服務器，可以實現(xiàn)對多種事件類型的日志消息的采集。由于網(wǎng)絡系統(tǒng)的復雜性，為了獲取全面的網(wǎng)絡數(shù)據(jù)，還可以采用Snmp、NetFlow等協(xié)議獲取系統(tǒng)的網(wǎng)絡拓撲結構等信息。除此之外，針對傳統(tǒng)的基于簽名的網(wǎng)絡安全工具所面臨的實際困難，使用蜜罐技術[17]或張量分析[18]等技術查找涉及內部和外部攻擊者的惡意網(wǎng)絡流量取得了較好的效果。

表1 多源數(shù)據(jù)采集方法[16]Table 1 Multi-source data acquisition method[16]

2.2 數(shù)據(jù)預處理

通過不同的采集工具得到的海量網(wǎng)絡安全數(shù)據(jù)往往是多源異構的，且存在大量冗余數(shù)據(jù)。此時需要對多源異構數(shù)據(jù)進行數(shù)據(jù)清洗、集成、規(guī)約、變換等預處理工作，初步得到網(wǎng)絡安全事件，以便計算網(wǎng)絡安全態(tài)勢指數(shù)。一個網(wǎng)絡安全數(shù)據(jù)集可能包含許多冗余或不相關的特征，這阻礙了機器學習算法的訓練效率。通常，機器學習算法可根據(jù)統(tǒng)計特征對網(wǎng)絡安全事件進行分類/評估，然而處理海量流量數(shù)據(jù)的多維度特征將導致漫長的訓練過程，特別是當訓練數(shù)據(jù)的特征高度相關時模型的預測準確性不會按比例提高[19]。從訓練數(shù)據(jù)集中選取重要性靠前的特征是提高機器學習模型分類精度和訓練時間的有效方法。針對該問題，文獻[20]通過改進基于條件熵的屬性簡化算法，采用并行簡化的思想構造屬性重要性矩陣，并與鄰域粗糙集相結合，在NSL-KDD數(shù)據(jù)集的41個流量特征中篩選出13個重要性靠前的特征輸入到Classifier-tree-J48分類器中進行訓練。實驗結果表明，與未經(jīng)特征選擇的數(shù)據(jù)集相比訓練時間由0.45 s降低到0.37 s，提升了訓練速度。文獻[21]使用一種集成方法，通過設定閾值，采用Information gain、Gain ratio及Relief 3種特征選擇方法選擇最重要的特征，并將所選擇的特征組合到一個特征集中，最后將篩選出的15個頂部特征輸入到Random Forest等機器學習分類模型中進行訓練，有效提高了感知模型的準確率。

然而在真實的網(wǎng)絡攻防環(huán)境中，常常有少量攻擊流量混雜在海量正常數(shù)據(jù)中，以此躲避IDS的檢測，導致檢測結果出現(xiàn)偏差，單靠特征選擇方法無法解決網(wǎng)絡安全數(shù)據(jù)不平衡的問題。針對該問題，文獻[22]將大規(guī)模數(shù)據(jù)濃縮成事件概況，并與不同的人工神經(jīng)網(wǎng)絡(全卷積神經(jīng)網(wǎng)絡、長短期記憶網(wǎng)絡等)相結合，迅速處理大量安全警報的同時專注于區(qū)分真陽性和假陽性警報，從而幫助安全分析師快速應對網(wǎng)絡威脅，減少了虛警概率造成的影響。文獻[23]采用主成分分析(principal component analysis，PCA)算法進行數(shù)據(jù)降維，利用Xgboost算法對約簡后的特征進行分類，提高了態(tài)勢要素提取的實時性和準確性。但這兩種方法均使用有監(jiān)督的學習訓練方式處理約簡后的數(shù)據(jù)，在未知網(wǎng)絡威脅事件的檢測方面還有待提高。針對該問題，文獻[24]提出了一種基于生成和進化網(wǎng)絡的未知威脅檢測方法(IDM-GE)，其中生成對抗網(wǎng)絡用來平衡數(shù)據(jù)集，使分類器更好地學習區(qū)分正常流量和攻擊流量的特征；進化算法將未知威脅的特征從已知威脅中推測出來，提高了對未知威脅數(shù)據(jù)的檢測精度；實驗結果表明該算法與傳統(tǒng)的殘差神經(jīng)網(wǎng)絡(ResNet)算法相比具有更高的檢測準確率和召回率。文獻[25]采用Borderline-SMOTE算法對數(shù)據(jù)進行過采樣，然后將采樣后的數(shù)據(jù)輸入自動編碼器進行特征降維，以提取主要特征，最后將降維后的數(shù)據(jù)輸入LightGBM分類模型中來識別入侵，解決了智能配電網(wǎng)絡中存在的大量冗余網(wǎng)絡流量特征和數(shù)據(jù)不平衡的問題，滿足了智能配電網(wǎng)絡安全防護的實時性需求。文獻[26]將深度卷積生成對抗網(wǎng)絡與深度神經(jīng)網(wǎng)絡相結合，通過深度卷積生成對抗網(wǎng)絡學習已知攻擊樣本數(shù)據(jù)的內在特征分布并生成新的攻擊樣本，提升了訓練穩(wěn)定性。使用CIC-IDS-2017數(shù)據(jù)集作為實驗樣本對模型進行評估，與傳統(tǒng)的過采樣算法(random over sampling、SMOTE)相比具有較高的檢測率。針對車載自組織網(wǎng)絡(VANET)容易遭受惡意流量攻擊的問題，文獻[27]提出一種基于多目標優(yōu)化算法(FS-MOEA)的特征選擇算法，將偏差加權法用于為稀有類分配更高的優(yōu)先級，從而解決數(shù)據(jù)不平衡的問題，采用information gain (IG)-analytic hierarchy process (AHP)自動搜索多解決方案中的最優(yōu)特征子集，最后在用來表示VANET的無線入侵檢測數(shù)據(jù)集(AWID)上進行了測試，實驗結果表明，該方法不僅可以提高車載自組織網(wǎng)絡中的入侵檢測性能，還可以緩解因數(shù)據(jù)不平衡問題帶來的負面影響。

3 網(wǎng)絡安全態(tài)勢評估

網(wǎng)絡安全態(tài)勢評估向下結合安全要素和評估模型，關聯(lián)和融合各類安全事件；向上為態(tài)勢預測提供態(tài)勢信息和決策支持，是網(wǎng)絡安全態(tài)勢感知的中心環(huán)節(jié)。目前的態(tài)勢評估方法按理論基礎主要可分為基于數(shù)學模型、基于知識推理、基于模式匹配3類，如表2所示。下面對幾種常用的態(tài)勢評估方法進行了歸納與分析。

表2 網(wǎng)絡安全態(tài)勢評估主要模型

3.1 基于AHP的態(tài)勢評估方法

層次分析法(analytic hierarchy process,AHP)由美國運籌學家Saaty于20世紀70年代中期提出[28]，其核心思想是將復雜的決策過程劃分層次結構，并構造判斷矩陣，得到各目標要素的權重系數(shù)，達到定性與定量評估相結合的目的。

文獻[29]基于大量入侵檢測系統(tǒng)的告警信息和服務信息，采取自下而上、先局部后整體的評估方針，結合攻擊漏洞層、服務層、主機層、系統(tǒng)層4個層次，逐層計算指標權重，直觀了解各層安全態(tài)勢。但是該方法沒有綜合考慮多種安全信息來源，在獲取宏觀網(wǎng)絡安全態(tài)勢方面還有待提高。針對該問題，文獻[30]通過AHP和熵權法從主觀維度和客觀維度對屬性權重進行改進，形成權重決策矩陣的組合，同時計算業(yè)務節(jié)點重要性系數(shù)，對物聯(lián)網(wǎng)網(wǎng)絡安全事件進行有針對性的監(jiān)控，在通過物聯(lián)網(wǎng)影響業(yè)務系統(tǒng)的智能手機發(fā)生信息安全事件后，分析關鍵業(yè)務節(jié)點對業(yè)務連續(xù)性的影響，計算業(yè)務連續(xù)性風險值，有效評估了業(yè)務風險。文獻[31]提出一種基于微分流形的網(wǎng)絡評估方法，將AHP和通用漏洞評分系統(tǒng)(common vulnerability scoring system，CVSS)相結合以評估資產(chǎn)維度和漏洞維度的網(wǎng)絡安全態(tài)勢，采用數(shù)據(jù)挖掘的方法評估威脅維度的網(wǎng)絡安全態(tài)勢，綜合感知了網(wǎng)絡安全態(tài)勢并具有較好的實時性。針對網(wǎng)絡安全評價指標片面、難以嚴格量化的問題，文獻[32]提出一種基于AHP和灰色關聯(lián)分析相結合的網(wǎng)絡安全評估方法，通過虛擬機模擬網(wǎng)絡攻防環(huán)境并捕獲相關網(wǎng)絡流量，構建了包含主機環(huán)境安全、網(wǎng)絡安全和漏洞安全的多維系統(tǒng)安全性評價模型。實驗表明，該方法克服了利用傳統(tǒng)AHP方法來量化系統(tǒng)安全性的不足，能夠準確、有效地量化網(wǎng)絡的綜合安全性。

3.2 基于博弈論的態(tài)勢評估方法

在網(wǎng)絡對抗環(huán)境中，攻擊和防御行動往往瞬息萬變。然而傳統(tǒng)態(tài)勢評估技術大多只關注攻擊或防御一方，忽略了攻擊和防御雙方相互作用、相互影響的博弈過程。博弈論指對局者在特定條件制約下的對局中利用相關方的策略，調整優(yōu)化自己的策略進而達到取勝的目的。目前，博弈論已廣泛應用于網(wǎng)絡安全態(tài)勢感知領域中。

由于攻守雙方的對立性，決策者常常很難選擇具有最大回報的防御策略。針對該問題，文獻[33]以馬爾可夫博弈模型為核心,通過四級數(shù)據(jù)融合并結合納什均衡點，較好地展示了網(wǎng)絡攻防安全態(tài)勢。文獻[34]結合攻防策略圖，采用攻防策略選取算法以及混合策略納什均衡求解方法，獲得了最佳防御策略。然而以上方法均沒有考慮系統(tǒng)運行環(huán)境的變化，無法準確描述實際網(wǎng)絡攻防的過程。針對該問題，以下3種方法通過引入隨機擾動強度因子來模擬系統(tǒng)運行環(huán)境對博弈過程的影響。文獻[35]利用隨機微分方程的知識，找到模型的演化均衡解，并應用顯式歐拉數(shù)值法分析不同問題情況下對局者策略選擇的演變，取得了良好的防御效果。文獻[36]通過改進基于網(wǎng)絡拓撲的學習機制，建立了基于對局者學習范圍的學習對象集，使用費米函數(shù)計算向學習對象策略過渡的概率，有效反映了網(wǎng)絡攻防態(tài)勢。文獻[37]提出一種鞍點均衡解方法，通過建立攻防隨機微分博弈模型，在具有隨機擾動的網(wǎng)絡攻防場景中實現(xiàn)了實時防御決策。

然而，隨著網(wǎng)絡攻防博弈的不斷深入，對局者相互獲取的信息也越來越多，這可能導致傳統(tǒng)博弈模型的安全防御策略失效。針對該問題，文獻[38]提出一種獎勵價值學習機制(reward value learning mechanism，RLM)，通過分析已經(jīng)發(fā)生的對抗信息，RLM自動激勵或懲罰下一階段的攻擊和防御獎勵值，有效提高了防御成功的概率。文獻[39]采用隨機演化博弈模型模擬網(wǎng)絡攻防過程,通過將參數(shù)$lambda $ 添加到 Logit 定量響應動力學方程中，以量化現(xiàn)實對局者的認知差異，通過計算進化穩(wěn)定均衡，給出最佳決策方法。實驗表明，該方法可以幫助防守方成功預測勒索軟件的攻擊行動，同時隨著時間推移實時提供最佳防御策略。

3.3 基于機器學習的態(tài)勢評估方法

網(wǎng)絡系統(tǒng)所面臨的威脅來自各個方面，決策者常常面臨大量的安全數(shù)據(jù)，且攻擊者的攻擊時間往往是隨機不確定的。這給網(wǎng)絡安全態(tài)勢評估的準確性和實用性帶了很大挑戰(zhàn)。機器學習可以通過訓練建立分類模型，在處理復雜的非線性問題方面具有很大優(yōu)勢。按照數(shù)據(jù)分析和模式構建的不同可將機器學習分為監(jiān)督學習、無監(jiān)督學習、半監(jiān)督學習[40]和強化學習[41]4類，如表3所示。

傳統(tǒng)機器學習算法如支持向量機(support vector machines，SVM)、隨機森林(random forest，RF)、決策樹(decision tree，DT)、LIGHTGBM等計算量小，且具有較好的魯棒性和泛化能力，與參數(shù)尋優(yōu)算法相結合可以提高評估模型的效率和準確性。文獻[42]將改進的遺傳算法(genetic algorithm，GA)與支持向量機算法相結合，在CIC-IDS—2018數(shù)據(jù)集上獲得了95%的評估準確率。文獻[43]提出一種基于歐氏距離的類間自學習算法(euclidean distance-based between-class，EBC)，通過計算不同類的k個最近鄰之間的歐氏距離來改善類間學習，并將改善后的數(shù)據(jù)輸入隨機森林、決策樹等分類器中進行分類評估，在真實工業(yè)流量數(shù)據(jù)集上的實驗結果表明，所提出的EBC學習具有較強的空間約束能力，提高了識別性能，有效推動了信息物理系統(tǒng)的研究和部署。文獻[44]基于監(jiān)控和數(shù)據(jù)采集(SCADA)的電網(wǎng)入侵系統(tǒng)提出了一個集成框架，采用基于遞歸特征消除-極限梯度提升的特征選擇算法選擇頂部流量特征，將特征選擇后的流量數(shù)據(jù)輸入包含9個異構分類器的多數(shù)投票融合方法進行分類，在電網(wǎng)系統(tǒng)安全數(shù)據(jù)集上的實驗結果表明，該模型可以快速準確的捕獲網(wǎng)絡流量中的惡意事件，滿足了電網(wǎng)入侵檢測系統(tǒng)高實時性和準確性的需求。然而SVM等傳統(tǒng)機器學習算法在大規(guī)模訓練樣本上難以實施，且在多分類問題上存在一定困難。

表3 機器學習的主要算法及分類

深度學習是機器學習的一個熱門領域且更適用于解決大數(shù)據(jù)集訓練問題。文獻[45]分析了深度學習和傳統(tǒng)機器學習方法之間的區(qū)別與聯(lián)系，詳細介紹了自動編碼器(auto-encoders，AE)、卷積神經(jīng)網(wǎng)絡(convolutional neural network，CNN)、受限玻爾茲曼機(restricted Boltzmann machines，RBM)、深度監(jiān)督網(wǎng)絡(deeply-supervised nets，DSN)以及長短期記憶網(wǎng)絡(long short-term memory，LSTM)等深度學習算法的結構和特點。針對傳統(tǒng)的網(wǎng)絡態(tài)勢評估方法無法有效評估分布式拒絕服務攻擊(distributed denial of service，DDoS)的問題，文獻[46]將CNN、LSTM和Back Propagation算法相結合來學習各類安全態(tài)勢指標，提高了網(wǎng)絡安全態(tài)勢評估的準確性。但該模型訓練效率較低，無法達到實時評估的需求。針對該問題，文獻[47]采用無監(jiān)督多聚類特征選擇算法(multicluster feature selection，MCFS)篩選重要性靠前的特征，將變分自編碼器(variational autoencoder，VAE)和生成對抗網(wǎng)絡的鑒別器相結合，學習了各層網(wǎng)絡的重構誤差，計算出訓練的異常閾值，根據(jù)異常閾值檢測惡意攻擊流量，在HTTP CSIC 2010、ADFA-LD、ISOT、UNSW-NB15 4個數(shù)據(jù)集上的實驗結果表明，該模型克服了傳統(tǒng)的基于監(jiān)督的網(wǎng)絡威脅情境評估方法的局限性，高效感知了物聯(lián)網(wǎng)的網(wǎng)絡安全態(tài)勢。文獻[48]提出一種基于對抗性深度學習的網(wǎng)絡安全態(tài)勢評估模型，利用深度自動編碼器執(zhí)行特征學習，采用深度神經(jīng)網(wǎng)絡(deep neural networks，DNN)實施分類，并通過欠采樣加權算法(under-over sampling weighted，UOSW)提高模型對少數(shù)網(wǎng)絡威脅的識別能力，取得了較好的泛化性和魯棒性。文獻[49]通過PCA算法對流量特征進行數(shù)據(jù)降維，運用深度可分離卷積神經(jīng)網(wǎng)絡和雙向長短期記憶網(wǎng)絡提取網(wǎng)絡流量數(shù)據(jù)的空間特征和時間特征。在KDDCUP99數(shù)據(jù)集上的實驗結果表明該模型具有較好的準確率和較低的漏報率。文獻[50]以真實汽車采集的車載控制器局域網(wǎng)絡數(shù)據(jù)為基礎構造出具有11維特征向量的車聯(lián)網(wǎng)安全數(shù)據(jù)集，并在門控循環(huán)單元(gate recurrent unit，GRU)上進行了分類訓練和測試，達到與長短期記憶網(wǎng)絡檢測模型相當?shù)姆诸悳蚀_率。

深度學習可以幫助抵御網(wǎng)絡攻擊，但也可以促進危險的攻擊，即產(chǎn)生可以繞過檢測方法的攻擊，從而達到攻擊者目的。針對該問題，文獻[51]提出一種能夠混合批處理對抗生成過程的卷積神經(jīng)網(wǎng)絡(MBAGP-CNN)，以此打破可轉移性攻擊，實驗結果表明，該方法在3種對抗性攻擊數(shù)據(jù)集上獲得了超過80%的平均準確率，在一定程度上緩解了對抗性攻擊防御背景下的災難性遺忘問題。文獻[52]提出一種對抗性風險模型，并將網(wǎng)絡安全中的對抗性攻擊分為問題空間與特征空間兩個維度，在靜態(tài)攻擊數(shù)據(jù)上取得了較好的評估效果。文獻[53]詳細介紹了網(wǎng)絡安全領域對抗性學習模型的最新研究和進展，并討論了在網(wǎng)絡安全領域實施端到端對抗攻擊的問題，突出了反態(tài)勢感知研究的重要性。

4 網(wǎng)絡安全態(tài)勢預測

網(wǎng)絡安全態(tài)勢預測是網(wǎng)絡安全態(tài)勢感知的關鍵環(huán)節(jié)，通常采取時間序列分析、灰色關聯(lián)分析、攻擊圖、貝葉斯網(wǎng)絡、馬爾可夫博弈論、深度學習等方法對當前和歷史態(tài)勢進行分析，預測網(wǎng)絡系統(tǒng)可能面臨的威脅，從而幫助決策人員或操作系統(tǒng)實現(xiàn)主動防御的目的。

灰色系統(tǒng)理論于1982年由鄧聚龍[54]教授首先提出，主要研究信息不完全、不確定等方面的問題，在預測領域得到了廣泛應用。文獻[55]構建了一個基于GRA-SVM的網(wǎng)絡安全態(tài)勢預測模型，采取灰色關聯(lián)分析法計算態(tài)勢指數(shù)的權重并生成訓練集和預測集，然后通過SVM對數(shù)據(jù)集進行建模與預測，與基于SVM的預測模型相比具有更好的預測效率。文獻[56]提出一種基于灰色神經(jīng)網(wǎng)絡的態(tài)勢預測方法，采用BP誤差反饋算法優(yōu)化神經(jīng)網(wǎng)絡參數(shù)，成功預測了云環(huán)境下的網(wǎng)絡安全態(tài)勢。

長短期記憶網(wǎng)絡(long short-term memory，LSTM)是循環(huán)神經(jīng)網(wǎng)絡(recurrent neural network，RNN)的一種特殊形式，通過在網(wǎng)絡中引入輸入門、遺忘門和輸出門，較好地解決了RNN網(wǎng)絡中梯度衰減的問題，在安全態(tài)勢預測領域取得了較好的效果。文獻[57]構建了一個基于LSTM-XGBoost的網(wǎng)絡安全態(tài)勢預測模型，采用改進的雙向LSTM模型(bi-directional long short-term memory)預測網(wǎng)絡數(shù)據(jù)并利用XGBoost算法進行分類和訓練，提高了網(wǎng)絡安全態(tài)勢預測的準確性。但該模型在預測數(shù)據(jù)前沒有進行特征分析和篩選，容易產(chǎn)生數(shù)據(jù)過擬合的問題。針對該問題，文獻[58]提出一種基于強化的LSTM網(wǎng)絡安全態(tài)勢預測模型，通過引入Sigmoid加權線性單元處理反向傳播中的梯度問題，并將輸入值乘以Sigmoid函數(shù)，加強了LSTM網(wǎng)絡的結構，同時使用布谷鳥搜索算法(cuckoo search，CS)對參數(shù)進行優(yōu)化，較好地解決了過擬合的問題。文獻[59]將長短期記憶網(wǎng)絡與決策樹相融合構建檢測模型，通過層次分析法計算網(wǎng)絡安全態(tài)勢要素的權重，利用堆疊式稀疏自動編碼器提取網(wǎng)絡安全態(tài)勢指標以獲得新的抽象特征，然后采用檢測模型對特征數(shù)據(jù)進行擬合和分類，有效的預測了攻擊概率并識別了攻擊類型。針對當前LSTM預測模型不能充分考慮數(shù)據(jù)的時間序列屬性的問題，文獻[60]提出一種基于持續(xù)時間序列的新型自適應LSTM網(wǎng)絡安全態(tài)勢預測模型，通過增添一個新的掩碼門，將時間序列屬性加入單元的記憶更新中，使模型更適合處理具有連續(xù)數(shù)據(jù)的序列，有效提高了預測的精確性。

然而以上預測模型的泛化能力較弱，在實際網(wǎng)絡攻防環(huán)境中的檢測準確率仍有待檢驗。針對該問題，文獻[61]構建了電力信息網(wǎng)絡安全實驗環(huán)境，模擬惡意流量對各服務器的聯(lián)合攻擊過程，通過基于混沌序列改進的人工蜂群算法優(yōu)化神經(jīng)網(wǎng)絡的參數(shù)，在電力信息網(wǎng)絡環(huán)境下取得了較好的網(wǎng)絡安全態(tài)勢評估精度。文獻[62]從電網(wǎng)的靜態(tài)安全性和動態(tài)安全性出發(fā)，構建了一套電網(wǎng)安全態(tài)勢評價體系,并以IEEE39節(jié)點系統(tǒng)為例,驗證了深度神經(jīng)網(wǎng)絡應用于電網(wǎng)安全預測的準確性。文獻[63]采用粒子群優(yōu)化算法對徑向基函數(shù)神經(jīng)網(wǎng)絡進行改進，提高了徑向基函數(shù)神經(jīng)網(wǎng)絡的收斂速度，在CNCERT/CC數(shù)據(jù)集上獲得了良好的預測效果。文獻[64]提出一種基于時間作用因子改進的蘭徹斯特方程態(tài)勢預測模型，從網(wǎng)絡攻防的角度對網(wǎng)絡態(tài)勢進行評估和預測，充分考慮了網(wǎng)絡防御和時間因素等指標的效用，提高了網(wǎng)絡安全態(tài)勢預測的準確性。但該方法沒有考慮全面的網(wǎng)絡安全威脅信息，在復雜網(wǎng)絡環(huán)境中的準確性仍待改進。文獻[65]將注意力機制與循環(huán)網(wǎng)絡相結合，提出一種基于時空深度學習的網(wǎng)絡安全態(tài)勢預測模型，有效運用了歷史時間序列的隱藏特征。實驗表明該模型在預測準確性上優(yōu)于自回歸移動平均模型、深度神經(jīng)網(wǎng)絡等網(wǎng)絡安全態(tài)勢預測模型。

5 結論與展望

介紹了網(wǎng)絡安全態(tài)勢感知的發(fā)展歷程，從態(tài)勢提取、態(tài)勢評估、態(tài)勢預測等方面闡述了當前網(wǎng)絡安全態(tài)勢感知的體系結構、主要技術方法及優(yōu)缺點。當前的網(wǎng)絡安全數(shù)據(jù)正逐年成指數(shù)級別增長，網(wǎng)絡安全態(tài)勢提取所面臨的數(shù)據(jù)源具有海量異構的特點。首先將態(tài)勢提取分為數(shù)據(jù)采集和數(shù)據(jù)預處理兩個階段，歸納梳理了不同維度數(shù)據(jù)的采集工具與方法，分析了基于分布式并行簡化思想處理海量異構網(wǎng)絡安全數(shù)據(jù)的研究現(xiàn)狀，指出其在網(wǎng)絡安全大數(shù)據(jù)背景下的重要意義。接著從AHP、博弈論、機器學習、深度學習等方面闡述了網(wǎng)絡安全態(tài)勢評估的研究現(xiàn)狀。通過對比發(fā)現(xiàn)，深度學習技術不需要手動提取特征數(shù)據(jù)且在處理非線性分類問題上具有較好效果，但需要龐大的訓練數(shù)據(jù)進行調參且對計算能力要求較高，在實際網(wǎng)絡環(huán)境的運用中還存在一定難度。當前基于深度學習的網(wǎng)絡安全態(tài)勢評估模型通常是多種神經(jīng)網(wǎng)絡的結合或是對已知算法的改進，尚未取得突破性進展。Transformer、Bert及其衍生模型在自然語言處理領域取得了突破性進展，已有相關研究人員通過遷移學習技術將其應用于惡意網(wǎng)絡流量檢測當中，并在訓練效率和準確率上取得了較大進展。未來結合AE等特征提取手段，將自然語言表示模型運用到網(wǎng)絡安全態(tài)勢感知領域將會是不錯的研究方向。最后結合灰色關聯(lián)分析、深度學習、動態(tài)貝葉斯網(wǎng)絡等方法介紹了網(wǎng)絡安全態(tài)勢預測的相關研究現(xiàn)狀，將循環(huán)神經(jīng)網(wǎng)絡與SVM、DT等經(jīng)典分類模型相結合可以有效提高網(wǎng)絡安全態(tài)勢預測模型的準確性。

網(wǎng)絡安全態(tài)勢感知系統(tǒng)是由多個組合部分相互貫穿而成的結合體，不同層次之間的信息交互將有效提高態(tài)勢感知的準確性，系統(tǒng)內的跨層融合是十分重要的，針對不同層面需要采取合適的技術以達到綜合感知網(wǎng)絡安全態(tài)勢的目的?？偨Y了網(wǎng)絡安全態(tài)勢感知領域面臨的關鍵問題并對未來研究方向進行了展望。

(1)復雜網(wǎng)絡巨系統(tǒng)的態(tài)勢感知問題。面對復雜網(wǎng)絡巨系統(tǒng)，如何高效提取海量異構的網(wǎng)絡安全數(shù)據(jù)并對其進行融合分析是當前網(wǎng)絡安全態(tài)勢感知研究的一個重點問題。對網(wǎng)絡安全數(shù)據(jù)進行預處理和聚類是十分必要的，將其輸入至分布式大數(shù)據(jù)處理平臺可以大大提高網(wǎng)絡安全態(tài)勢感知系統(tǒng)的感知效率。采用特征選擇、降/過采樣、自動編碼器、D-S證據(jù)理論與層次分析法相結合等方法在處理海量網(wǎng)絡安全數(shù)據(jù)錯綜復雜的關系上取得了較好效果，但其在具體應用方面仍有待進一步的研究。

(2)人機交互問題。隨著人工智能技術的不斷發(fā)展，越來越多的應用領域與智能化、無人化結合得更加緊密。目前的網(wǎng)絡安全態(tài)勢感知系統(tǒng)大多仍需分析人員進行決策，耗費了大量的人力資源。針對復雜多變的網(wǎng)絡安全環(huán)境，實現(xiàn)智能高效的自動響應與認知意識控制將成為網(wǎng)絡安全態(tài)勢感知領域的重要研究方向。

(3)算法協(xié)同問題。機器學習在網(wǎng)絡安全態(tài)勢感知領域取得了顯著成效，集成模型和投票機制可以將異構的機器學習分類器相互組合運用、取長補短，進而獲得更高的檢測性能?，F(xiàn)有的參數(shù)尋優(yōu)算法各有其優(yōu)缺點，找到合適的參數(shù)尋優(yōu)算法對提高網(wǎng)絡安全態(tài)勢評估性能有著重要意義。

(4)對抗性攻擊問題。采取經(jīng)過欺騙性處理的攻擊數(shù)據(jù)可以輕易突破大多數(shù)基于神經(jīng)網(wǎng)絡的網(wǎng)絡安全態(tài)勢感知模型。針對該問題，基于博弈論或對抗性風險模型的網(wǎng)絡安全態(tài)勢感知系統(tǒng)在靜態(tài)攻擊數(shù)據(jù)集上已經(jīng)取得了一定效果，但其在應對動態(tài)的對抗性攻擊方面仍有待進一步的研究，基于深度強化學習算法的網(wǎng)絡安全態(tài)勢感知模型將成為未來研究的重點方向。