作者簡介：王可陽（1996— ），女，吉林長春人，助教，碩士；研究方向：大數(shù)據(jù)與云計(jì)算。

摘要：隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)環(huán)境變得更為復(fù)雜，網(wǎng)絡(luò)攻擊手段也越來越多，網(wǎng)絡(luò)空間的安全性就更為重要。在此背景下，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)運(yùn)而生，成為評估網(wǎng)絡(luò)安全現(xiàn)狀，洞察網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，預(yù)測網(wǎng)絡(luò)未來發(fā)展的關(guān)鍵技術(shù)。研究網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)可以提高網(wǎng)絡(luò)的監(jiān)控能力、應(yīng)急響應(yīng)能力等，文章分析了當(dāng)前網(wǎng)絡(luò)安全態(tài)勢感知模型和網(wǎng)絡(luò)安全態(tài)勢指標(biāo)，采用雙向LSTM網(wǎng)絡(luò)安全預(yù)測模型，并用貝葉斯優(yōu)化方法確定模型的超參數(shù)，從而提高了網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型精度與效率。

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢感知；網(wǎng)絡(luò)安全態(tài)勢預(yù)測；LSTM模型

中圖分類號：TN915 文獻(xiàn)標(biāo)志碼：A

0 引言

隨著網(wǎng)絡(luò)的日益發(fā)展，互聯(lián)網(wǎng)用戶數(shù)量攀升，網(wǎng)絡(luò)技術(shù)日新月異，安全問題層出不窮。為了保障網(wǎng)絡(luò)環(huán)境的安全，研究人員在網(wǎng)絡(luò)安全方面進(jìn)行了大量的研究，采用多種技術(shù)防護(hù)網(wǎng)絡(luò)安全，但是這些技術(shù)都是采用被動的方式來防護(hù)網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)管理人員要從被動防護(hù)轉(zhuǎn)換成主動防御，就需要采用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)可以收集影響網(wǎng)絡(luò)安全的相關(guān)因素，并對其進(jìn)行分析、處理，從而來推斷未來網(wǎng)絡(luò)變化趨勢，可以幫助網(wǎng)絡(luò)管理員預(yù)測網(wǎng)絡(luò)發(fā)展趨勢，及時做出相關(guān)的對策來進(jìn)行預(yù)防，因此，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)有著極為重要的研究意義。

1 網(wǎng)絡(luò)安全態(tài)勢感知概述

態(tài)勢是一個全局的概念，主要體現(xiàn)系統(tǒng)與系統(tǒng)對象之間的關(guān)系。感知是對系統(tǒng)數(shù)據(jù)進(jìn)行收集、處理、分析等操作。態(tài)勢感知（Situation Awareness）指的是在一定的時空范圍內(nèi)，認(rèn)知、理解環(huán)境因素，并對未來發(fā)展趨勢進(jìn)行預(yù)測。1999年，Tim Bass將態(tài)勢感知引入網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全態(tài)勢感知就此誕生?，F(xiàn)在學(xué)術(shù)界對于網(wǎng)絡(luò)安全態(tài)勢感知還沒有一個明確統(tǒng)一的定義，研究人員認(rèn)為網(wǎng)絡(luò)安全態(tài)勢感知就是在網(wǎng)絡(luò)環(huán)境下，提取影響網(wǎng)絡(luò)安全態(tài)勢變化的安全因素，對其進(jìn)行處理、分析，并預(yù)測網(wǎng)絡(luò)安全發(fā)展趨勢。因此，網(wǎng)絡(luò)安全態(tài)勢感知是一個宏觀的概念，強(qiáng)調(diào)的是網(wǎng)絡(luò)整體狀態(tài)和整體的發(fā)展趨勢［1］。實(shí)際上，它融合了多元素?cái)?shù)據(jù)，采用人工智能與大數(shù)據(jù)技術(shù)，深入挖掘數(shù)據(jù)，并對其進(jìn)行分析處理，然后將預(yù)測的網(wǎng)絡(luò)安全狀況提供給網(wǎng)絡(luò)管理人員。網(wǎng)絡(luò)管理人員可以直觀地了解網(wǎng)絡(luò)環(huán)境下存在的威脅和風(fēng)險(xiǎn)，并及時采取相關(guān)措施進(jìn)行防范。

2 網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)分析

現(xiàn)階段，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)更加整體化、自動化，可以及時地發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的安全隱患，有針對性地制定處理方案。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)就是采集網(wǎng)絡(luò)安全要素信息，然后對其進(jìn)行處理，提取安全態(tài)勢要素特征，再進(jìn)行評估和預(yù)測。這就需要使用到數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)、特征提取技術(shù)和態(tài)勢預(yù)測技術(shù)［2］。

數(shù)據(jù)融合技術(shù)是網(wǎng)絡(luò)安全態(tài)勢感知的基礎(chǔ)，網(wǎng)絡(luò)復(fù)雜化，數(shù)據(jù)的來源與種類非常多，不同的數(shù)據(jù)來源，帶來不同的數(shù)據(jù)類型，而網(wǎng)絡(luò)安全態(tài)勢的判斷需要多種類型的數(shù)據(jù)，這就需要采用數(shù)據(jù)融合技術(shù)對這些數(shù)據(jù)進(jìn)行統(tǒng)一化融合處理，為網(wǎng)絡(luò)安全態(tài)勢感知提供精準(zhǔn)、全面的數(shù)據(jù)支持。數(shù)據(jù)挖掘技術(shù)是數(shù)據(jù)融合技術(shù)的進(jìn)一步操作，在得到統(tǒng)一化的數(shù)據(jù)后，可以對這些數(shù)據(jù)進(jìn)行篩選，借助人工智能、大數(shù)據(jù)技術(shù)對海量數(shù)據(jù)進(jìn)行挖掘，找出有關(guān)聯(lián)的數(shù)據(jù)，從而來預(yù)測相應(yīng)的結(jié)果。這是一個非常有用的技術(shù)手段，發(fā)現(xiàn)數(shù)據(jù)與數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，找出暗藏的重要信息，可以幫助網(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中隱藏的安全威脅。特征提取技術(shù)就是在機(jī)器學(xué)習(xí)、模式識別和圖像處理中，從初始的一組數(shù)據(jù)開始，建立提供信息和特征，促進(jìn)后續(xù)的泛化步驟。這里的特征提取就是將數(shù)據(jù)中的多元化數(shù)據(jù)，比如文本數(shù)據(jù)、二進(jìn)制數(shù)據(jù)、流數(shù)據(jù)等，通過相應(yīng)的技術(shù)和方法，提取相關(guān)特征供機(jī)器學(xué)習(xí)算法來使用。這些數(shù)值特征可以很好地反映出當(dāng)前的網(wǎng)絡(luò)態(tài)勢情況，需要注意的是，網(wǎng)絡(luò)安全態(tài)勢特征提取效率與網(wǎng)絡(luò)安全態(tài)勢感知評估與預(yù)測的結(jié)果息息相關(guān)，特征提取越好，其結(jié)果就更為準(zhǔn)確。在網(wǎng)絡(luò)安全態(tài)勢感知中，網(wǎng)絡(luò)攻擊時間、攻擊手段與攻擊目標(biāo)都是隨機(jī)的，網(wǎng)絡(luò)安全態(tài)勢變化是非常復(fù)雜的非線性過程，使用簡單的線性預(yù)測模型無法滿足當(dāng)前的需要，需要使用預(yù)測模型來進(jìn)行預(yù)測。

3 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)研究

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)構(gòu)建主要分為4步：第一，態(tài)勢感知模型；第二，構(gòu)建指標(biāo)體系；第三，網(wǎng)絡(luò)態(tài)勢評估；第四，網(wǎng)絡(luò)態(tài)勢預(yù)測。

3.1 態(tài)勢感知模型

模型是網(wǎng)絡(luò)安全態(tài)勢感知的重要研究內(nèi)容之一，也是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的基礎(chǔ)［3］。網(wǎng)絡(luò)安全態(tài)勢感知模型對于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的構(gòu)造是非常重要的，現(xiàn)階段，根據(jù)網(wǎng)絡(luò)環(huán)境的不同，有針對性的網(wǎng)絡(luò)感知模型。安全態(tài)勢感知模型分為3層：第一層，態(tài)勢提取，目的是獲取網(wǎng)絡(luò)系統(tǒng)的配置信息、運(yùn)行狀態(tài)、流量數(shù)據(jù)等與網(wǎng)絡(luò)安全相關(guān)的因素；第二層，態(tài)勢評估，這是態(tài)勢感知技術(shù)的核心，對獲取的數(shù)據(jù)進(jìn)行分析、理解，然后借助相關(guān)模型來評估網(wǎng)絡(luò)運(yùn)行的安全狀態(tài)；第三層，態(tài)勢預(yù)測，根據(jù)之前的運(yùn)行情況，預(yù)測未來的網(wǎng)絡(luò)安全態(tài)勢。其模型如圖1所示。

態(tài)勢感知模型指的是態(tài)勢感知在一定時間范圍內(nèi)對環(huán)境中安全因素進(jìn)行感知和理解，并對未來的網(wǎng)絡(luò)趨勢進(jìn)行預(yù)測。態(tài)勢感知模型的核心就是態(tài)勢感知部分，信息的來源主要是依賴網(wǎng)絡(luò)安全相關(guān)設(shè)備或 者是自主開發(fā)相關(guān)軟件等。態(tài)勢感知模型主要由數(shù)據(jù)源、人機(jī)接口、數(shù)據(jù)庫管理系統(tǒng)、數(shù)據(jù)預(yù)處理、數(shù)據(jù)融合、態(tài)勢評估、態(tài)勢預(yù)測、過程處理等組成。這里采用的態(tài)勢感知模型為LSTM模型，如圖2所示。

LSTM預(yù)測模型有4層：輸入層、全連接層、雙向LSTM層和輸出層。輸入層是將網(wǎng)絡(luò)安全態(tài)勢前面的態(tài)勢值輸入預(yù)測模型中；全連接層的作用是對雙向LTSM層輸出的非線性特征進(jìn)行加權(quán)處理；雙向LSTM層的作用是對數(shù)據(jù)進(jìn)行計(jì)算，并向輸出層輸出結(jié)果；輸出層輸出模型預(yù)測的網(wǎng)絡(luò)安全態(tài)勢值。

3.2 構(gòu)建指標(biāo)體系

合理的網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)體系是網(wǎng)絡(luò)安全態(tài)勢評估準(zhǔn)確的基礎(chǔ)，如果指標(biāo)體系過大，就會增加評估的計(jì)算量，影響評估的性能；指標(biāo)體系過小，就會導(dǎo)致評估指標(biāo)不完整，結(jié)果不準(zhǔn)確。因此，在構(gòu)建指標(biāo)體系的時候，要遵循系統(tǒng)性原則、近似性原則、層次性原則和易操作原則，構(gòu)建科學(xué)合理的指標(biāo)體系，才能保證全面、準(zhǔn)確的評估結(jié)果。這里采用的評價指標(biāo)是平均絕對誤差（MAE）、均方誤差（MSE）和均方根誤差（RMSE）。

其中，xt是t時刻網(wǎng)絡(luò)安全態(tài)勢真實(shí)值；xt是t時刻網(wǎng)絡(luò)安全態(tài)勢預(yù)測值；N是樣本總數(shù)。

3.3 利用機(jī)器學(xué)習(xí)技術(shù)來訓(xùn)練模型

訓(xùn)練模型的技術(shù)有很多，最為出色的是BP神經(jīng)網(wǎng)絡(luò)，這里選用BP神經(jīng)網(wǎng)絡(luò)對模型進(jìn)行訓(xùn)練。反向誤差（BP）神經(jīng)網(wǎng)絡(luò)是對人類大腦和智能的探索，是一種模仿人腦結(jié)構(gòu)和功能的信息處理系統(tǒng)，可以快速地適應(yīng)環(huán)境，學(xué)習(xí)處理外界事物。神經(jīng)網(wǎng)絡(luò)用處廣泛，主要用在預(yù)測、分類和聚類中，需要利用歷史數(shù)據(jù)來訓(xùn)練神經(jīng)網(wǎng)絡(luò)，然后再對其分類、提取并進(jìn)行預(yù)測。一般來說，BP神經(jīng)網(wǎng)絡(luò)分為輸入層、隱藏層和輸出層3個部分，是從輸入層輸入訓(xùn)練數(shù)據(jù)，這個訓(xùn)練數(shù)據(jù)是網(wǎng)絡(luò)安全特征向量，再根據(jù)相應(yīng)的計(jì)算公式進(jìn)行運(yùn)算，得出一個激勵函數(shù)，進(jìn)行轉(zhuǎn)換后，形成一個計(jì)算結(jié)果，對比實(shí)際結(jié)果與計(jì)算結(jié)果，得出誤差，然后將誤差反向傳遞，及時調(diào)整參與計(jì)算的權(quán)重值以及偏置值。多次重復(fù)上述計(jì)算過程，直到二者數(shù)值達(dá)到相應(yīng)的誤差范圍內(nèi)為止。

這樣就完成了網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型的實(shí)時更新，在網(wǎng)絡(luò)訓(xùn)練過程中，可以使得網(wǎng)絡(luò)結(jié)構(gòu)更加穩(wěn)定。

3.4 利用機(jī)器學(xué)習(xí)技術(shù)預(yù)測網(wǎng)絡(luò)安全態(tài)勢

網(wǎng)絡(luò)安全態(tài)勢預(yù)測主要是根據(jù)網(wǎng)絡(luò)環(huán)境的歷史狀態(tài)，對其進(jìn)行預(yù)測，幫助網(wǎng)絡(luò)管理人員及時了解網(wǎng)絡(luò)的安全狀況，化被動為主動，及時采取相應(yīng)措施解決網(wǎng)絡(luò)中的安全威脅。這里采用基于雙向LSTM的網(wǎng)絡(luò)模型預(yù)測網(wǎng)絡(luò)安全態(tài)勢，利用前t時刻的態(tài)勢值x1，x2…xt，預(yù)測后k個時刻的態(tài)勢值xt+1，xt+2…xt+k。當(dāng)k=1，就是預(yù)測下一時刻的態(tài)勢值。為了提高預(yù)測的精準(zhǔn)度，可以采用下面相關(guān)技術(shù)對態(tài)勢預(yù)測相關(guān)的因素進(jìn)行優(yōu)化。

在使用基于雙向LSTM的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型的時候，為了提高模型的收斂速度，避免過度擬合的問題，模型訓(xùn)練完成后，還需要確定超參數(shù)，可以使用貝葉斯優(yōu)化對模型參數(shù)進(jìn)行全局優(yōu)化。貝葉斯優(yōu)化是貝葉斯全局優(yōu)化算法，其流傳就是采用近似逼近方法，利用函數(shù)來選擇樣本點(diǎn)進(jìn)行計(jì)算，直到收斂為止，從而優(yōu)化超參數(shù)。優(yōu)化的超參數(shù)包括：輸入層、雙向LSTM層神經(jīng)元節(jié)點(diǎn)個數(shù)、batch_size和dropout率。優(yōu)化后的參數(shù)值如表1所示。

根據(jù)上表可知，輸入層時序是3，隱藏層雙向LSTM是一層包含32個神經(jīng)單元，單次傳遞給程序用以訓(xùn)練的參數(shù)個數(shù)（batch_size）為32，dropout率是神經(jīng)網(wǎng)絡(luò)模型的正則化方法，取值范圍為0.2～0.5，這里給定的概率是20%，即0.2。

超參數(shù)優(yōu)化完畢后，需要初始化權(quán)值。權(quán)值初始化也是機(jī)器學(xué)習(xí)領(lǐng)域的關(guān)鍵，直接影響著神經(jīng)網(wǎng)絡(luò)的收斂性能。這是由于初始化權(quán)值與網(wǎng)絡(luò)模型結(jié)構(gòu)的參數(shù)傳遞息息相關(guān)，如果權(quán)值過大，數(shù)據(jù)就會喪失自身的意義，權(quán)值太小，就會影響數(shù)據(jù)在傳遞過程中對后續(xù)節(jié)點(diǎn)的影響，對整個神經(jīng)網(wǎng)絡(luò)來說是非常不利的。這就需要使用Xavier初始化權(quán)值，根據(jù)對比發(fā)現(xiàn)，使用Xavier初始化權(quán)值的迭代次數(shù)更少，模型收斂速度更快。

Xavier初始化權(quán)值與節(jié)點(diǎn)個數(shù)的計(jì)算公式為：

其中，fanin是神經(jīng)網(wǎng)絡(luò)輸入節(jié)點(diǎn)；fanout是神經(jīng)網(wǎng)絡(luò)輸出節(jié)點(diǎn)；Uniform是均勻隨機(jī)取值。

神經(jīng)網(wǎng)絡(luò)過度擬合可以提高預(yù)測的精準(zhǔn)度，然而過度擬合又會降低模型的泛化能力，這就需要使用Dropout技術(shù)，可以有效避免神經(jīng)網(wǎng)絡(luò)過度擬合，提高模型的泛化能力。如果原模型過度擬合，Dropout技術(shù)也可以提升模型性能。由上述內(nèi)容可知，神經(jīng)網(wǎng)絡(luò)在訓(xùn)練數(shù)據(jù)的時候會將輸入的數(shù)據(jù)通過網(wǎng)絡(luò)向前傳播，再將誤差進(jìn)行反向傳輸。Dropout技術(shù)的核心是刪除隱藏層不工作的節(jié)點(diǎn)，改變模型的本身，依舊保留完整的訓(xùn)練模型。在更新模型的時候，這些節(jié)點(diǎn)就會被隱藏不更新，但是在進(jìn)行數(shù)據(jù)計(jì)算的時候，這些節(jié)點(diǎn)也會使用，保證數(shù)據(jù)完整性。Dropout技術(shù)減少神經(jīng)元之間共同適應(yīng)的復(fù)雜性，即使在個體不完整的情況下，也可以保證神經(jīng)網(wǎng)絡(luò)的精確計(jì)算。

在對模型、超參數(shù)等信息進(jìn)行優(yōu)化完畢后，就可以借助上述的數(shù)據(jù)進(jìn)行態(tài)勢預(yù)測，其流程如下。

（1）將采集到的數(shù)據(jù)進(jìn)行預(yù)處理。

（2）使用貝葉斯優(yōu)化。

（3）確定使用基于雙向LSTM的態(tài)勢預(yù)測模型。

（4）訓(xùn)練模型。

（5）判斷是否達(dá)到迭代次數(shù)，當(dāng)沒有達(dá)到最大迭代次數(shù)就繼續(xù)進(jìn)行計(jì)算輸出。

（6）達(dá)到迭代次數(shù)就輸出預(yù)測結(jié)果。

4 結(jié)語

機(jī)器學(xué)習(xí)技術(shù)這幾年日趨成熟，在網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中應(yīng)用機(jī)器學(xué)習(xí)算法進(jìn)行評估和預(yù)測，可以利用機(jī)器自主學(xué)習(xí)能力對數(shù)據(jù)進(jìn)行訓(xùn)練，借助相關(guān)模型對其預(yù)測，提高網(wǎng)絡(luò)安全態(tài)勢評估和預(yù)測效果，保障網(wǎng)絡(luò)環(huán)境的運(yùn)行安全。

參考文獻(xiàn)

［1］錢國慶.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知［D］.成都：電子科技大學(xué)，2019.

［2］李營.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的研究與實(shí)現(xiàn)［D］.北京：北京郵電大學(xué)，2020.

［3］李欣濤.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［D］.北京：北京郵電大學(xué)，2020.

（編輯 沈 強(qiáng)）

Abstract： With the rapid development of information technology， the network environment has become more complex， and there are more and more methods of network attacks， making the security of the cyberspace even more important. In this context， network security situational awareness technology has emerged as a key technology for assessing the current state of network security， insight into network security risks， and predicting the future development of the network. The research on network security situation awareness system can improve the network monitoring ability， emergency response ability， etc. This paper analyzes the current network security situation awareness model and network security situation indicators， uses two-way LSTM network security prediction model， and uses Bayesian optimization method to determine the models hyperparameter， thus improving the accuracy and efficiency of network security situation prediction model.

Key words： network security situation awareness; network security situation prediction; LSTM model