李 星，李浩然

(1.武警特色醫(yī)學(xué)中心 信息科，天津 300162；2.中國科學(xué)院天津工業(yè)生物技術(shù)研究所 生物設(shè)計中心，天津 300308)

0 引言

在目前人們?nèi)粘?yīng)用網(wǎng)絡(luò)的環(huán)境中，總是存在著許多網(wǎng)絡(luò)安全風(fēng)險[1-7]。這主要是因為隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能等技術(shù)的快速發(fā)展和應(yīng)用，使得網(wǎng)絡(luò)空間安全面臨的風(fēng)險和威脅日益增多。DDoS攻擊、APT攻擊、高危漏洞增多、數(shù)據(jù)暴露事件頻發(fā)、“灰色”應(yīng)用層出不窮、高新技術(shù)帶來的安全風(fēng)險等問題尤為突出。目前，網(wǎng)絡(luò)系統(tǒng)面臨的安全問題主要有以下幾個方面：涉及的網(wǎng)絡(luò)安全數(shù)據(jù)量逐漸增加，規(guī)模越來越大；網(wǎng)絡(luò)安全事件不斷地碎片化，使其難以被察覺，而獲得的安全信息分散無序，管理員需要花費大量的時間和精力來分析潛在的安全威脅，既費時又費力，事半功倍；而現(xiàn)有的許多網(wǎng)絡(luò)安全系統(tǒng)在數(shù)據(jù)采集上存在局限性，有的僅局限于網(wǎng)絡(luò)安全數(shù)據(jù)的一個或幾個方面的采集、分析和處理，難以全面描述和反映網(wǎng)絡(luò)安全狀況。面對這些新的挑戰(zhàn)和威脅，現(xiàn)有的傳統(tǒng)網(wǎng)絡(luò)安全防御手段、策略和方法(如入侵檢測系統(tǒng)、防火墻、反病毒、訪問控制等)已不能跟上當(dāng)今網(wǎng)絡(luò)系統(tǒng)的實際安全需求。由于當(dāng)前網(wǎng)絡(luò)入侵逐漸呈現(xiàn)規(guī)模化、隱蔽性的特點，導(dǎo)致常規(guī)的網(wǎng)絡(luò)安全評估、監(jiān)測和防護模型已不能滿足需求，因而利用數(shù)據(jù)整合與有效的數(shù)據(jù)分析手段構(gòu)建更加可靠的網(wǎng)絡(luò)安全態(tài)勢評估模型已成為研究的重點之一。

態(tài)勢感知技術(shù)由Endsley于1988年提出，定義為“在一定時空條件下對環(huán)境因素的識別和理解，并預(yù)測未來趨勢”。他將情境感知模型分為三層：情境抽取、情境理解和情境預(yù)測。文獻[8]提出了一種新型網(wǎng)絡(luò)安全態(tài)勢模型，設(shè)計了一種結(jié)合多源數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢架構(gòu)。在此模型的基礎(chǔ)上，定義了網(wǎng)絡(luò)安全態(tài)勢。網(wǎng)絡(luò)安全態(tài)勢評估就是指在各類網(wǎng)絡(luò)數(shù)據(jù)中篩選出有效信息，然后輸入至對應(yīng)的評估模型，并計算得到對應(yīng)的態(tài)勢數(shù)值，然后根據(jù)數(shù)值評價出此時網(wǎng)絡(luò)的安全狀態(tài)，從而為之后可以提前預(yù)測及防護提供支撐及參考。因此網(wǎng)絡(luò)安全評估方法是當(dāng)前網(wǎng)絡(luò)的安全狀況防護關(guān)鍵技術(shù)之一，有利于提升安全防護效率。

態(tài)勢感知的思想最早出現(xiàn)在軍事領(lǐng)域，用于確定軍事環(huán)境和態(tài)勢，后來應(yīng)用于交通、醫(yī)療等領(lǐng)域，并延伸到網(wǎng)絡(luò)安全領(lǐng)域[9-15]。網(wǎng)絡(luò)安全態(tài)勢感知是指通過一系列技術(shù)收集盡可能多的網(wǎng)絡(luò)安全要素，建立相應(yīng)的評估和預(yù)測模型，幫助網(wǎng)絡(luò)管理者及時應(yīng)對風(fēng)險。網(wǎng)絡(luò)安全態(tài)勢預(yù)測是指根據(jù)歷史態(tài)勢評估數(shù)據(jù)預(yù)測網(wǎng)絡(luò)未來的狀態(tài)，防止網(wǎng)絡(luò)攻擊。預(yù)測的前提是相鄰數(shù)據(jù)點之間存在一定的規(guī)則。研究表明，網(wǎng)絡(luò)流量數(shù)據(jù)具有自相似性。網(wǎng)絡(luò)安全態(tài)勢預(yù)測的對象是網(wǎng)絡(luò)安全態(tài)勢值，網(wǎng)絡(luò)態(tài)勢值是按時間順序排列的，相鄰數(shù)據(jù)點之間存在一定的規(guī)律。因此，網(wǎng)絡(luò)安全形勢具有可預(yù)見性和可行性。

目前，網(wǎng)絡(luò)安全形勢預(yù)測主要采用的方法有以下幾種。(1)自回歸移動平均模型：它是基于一個平滑的時間序列預(yù)測未來狀態(tài)，但它對時間序列的長度有一定的要求。(2)灰色理論：側(cè)重于灰色關(guān)聯(lián)來發(fā)現(xiàn)系統(tǒng)的內(nèi)在規(guī)律，但對波動較大的數(shù)據(jù)預(yù)測效果較差；(3)時間序列：它基于相鄰數(shù)據(jù)之間的相關(guān)性，但在建模過程中需要考慮很多元素。(4)神經(jīng)網(wǎng)絡(luò)：使用安全事件作為輸入和輸出的態(tài)勢值，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢預(yù)測，但容易陷入局部收斂，影響預(yù)測效果。

對于大多數(shù)深度學(xué)習(xí)從業(yè)者來說，序列建模就是循環(huán)網(wǎng)絡(luò)的同義詞。然而，最近的研究結(jié)果表明，卷積架構(gòu)在音頻合成和工業(yè)生產(chǎn)力等任務(wù)上優(yōu)于循環(huán)網(wǎng)絡(luò)。變壓器已應(yīng)用于自然語言處理、計算機視覺、語音識別等領(lǐng)域。構(gòu)建了結(jié)合Transformer和TCN的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型，并以UNSW-NB15和CSE-CIC-IDS2018為基準(zhǔn)數(shù)據(jù)集，通過對比實驗驗證了模型的有效性。

在最新的復(fù)雜網(wǎng)絡(luò)安全評價中使用多源數(shù)據(jù)融合技術(shù)，不但能夠提高評價的準(zhǔn)確度，而且能夠提高互聯(lián)網(wǎng)應(yīng)用的安全性。為有效的運用數(shù)據(jù)整合方法以適應(yīng)多源數(shù)據(jù)結(jié)構(gòu)分析性能的需要，很多研究者提出了安全態(tài)勢評價模型[5-10]。其模型由服務(wù)器、網(wǎng)絡(luò)和用戶三層組成。在服務(wù)器層，根據(jù)受到入侵和威脅信息的主機系統(tǒng)評估模型，在服務(wù)器層的入侵信息得到融合后，模型將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)層。以入侵?jǐn)?shù)據(jù)為參考對象，對存在危險特性的網(wǎng)絡(luò)信息進行了分類，并對網(wǎng)絡(luò)信息系統(tǒng)中的可能存在的危險特性和風(fēng)險相關(guān)信息進行建模和評價，得到整體結(jié)果。

1 網(wǎng)絡(luò)安全態(tài)勢的研究現(xiàn)狀

網(wǎng)絡(luò)安全態(tài)勢感知根據(jù)網(wǎng)絡(luò)所處的當(dāng)前環(huán)境因素確定網(wǎng)絡(luò)態(tài)勢，從而預(yù)測網(wǎng)絡(luò)近期的狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢預(yù)測是網(wǎng)絡(luò)態(tài)勢感知的重要組成部分。它可以盡快識別網(wǎng)絡(luò)中潛在的安全風(fēng)險，并充分評估這些潛在威脅的影響程度，幫助網(wǎng)絡(luò)安全管理者掌握當(dāng)前網(wǎng)絡(luò)狀況，以便在網(wǎng)絡(luò)攻擊發(fā)生之前對這些威脅采取遏制和預(yù)防措施[16-20]。

近年來，許多學(xué)者結(jié)合各種技術(shù)，提出了各自的網(wǎng)絡(luò)安全態(tài)勢感知模型。機器學(xué)習(xí)在模型構(gòu)建中的應(yīng)用，極大地提高了數(shù)據(jù)挖掘的準(zhǔn)確性和效率。態(tài)勢預(yù)測作為態(tài)勢感知的重要組成部分，在實際模型構(gòu)建過程中，經(jīng)常通過網(wǎng)絡(luò)安全時間序列對未來網(wǎng)絡(luò)安全態(tài)勢進行實驗，但需要更大的數(shù)據(jù)集和存儲容量作為支撐。

文獻[21]提出了一種基于異構(gòu)傳感器事件流的多階段網(wǎng)絡(luò)攻擊態(tài)勢實時感知方法，首次建立了基于網(wǎng)絡(luò)連通性和攻擊過程語義的攻擊建模方法，生成多級攻擊模板。然后將實時警報流中的攻擊事件語義與攻擊模板進行關(guān)聯(lián)，完成多階段攻擊的態(tài)勢感知。

文獻[22]針對無線網(wǎng)絡(luò)環(huán)境提出了一套更容易實現(xiàn)的網(wǎng)絡(luò)流量安全指標(biāo)。通過收集和可視化無線網(wǎng)絡(luò)中的數(shù)據(jù)包到達間隔時間等指標(biāo)，幫助網(wǎng)絡(luò)管理人員識別攻擊，以掌握網(wǎng)絡(luò)情況。文獻[23]提出了一種警報關(guān)聯(lián)框架，可以有效地檢測多步攻擊事件并預(yù)測攻擊者行為。

循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)作為一種時間序列分析模型，在處理非線性關(guān)系方面有較好的表現(xiàn)。因此，它被廣泛應(yīng)用于不同領(lǐng)域的時間序列預(yù)測任務(wù)。與長短期記憶(LSTM)相比，傳統(tǒng)RNN存在梯度消失問題，在長期依賴預(yù)測問題中表現(xiàn)較差。為了克服RNN的局限性和梯度消失問題，提出了RNN、LSTM和門控循環(huán)單元(GRU)的漸進模型[24]，基于這兩種模型的編解碼器在機器翻譯中都取得了良好的效果。然而，隨著序列長度的增加，它們的性能會迅速下降，為了解決這一問題，提出了基于注意機制的編碼器-解碼器網(wǎng)絡(luò)。

現(xiàn)有的大部分網(wǎng)絡(luò)安全攻擊預(yù)測方法基本都是個體預(yù)測工具，這可能會帶來幾個相應(yīng)的問題：(1)個體預(yù)測工具神經(jīng)元數(shù)量較少，對參數(shù)設(shè)置更敏感，存在過度訓(xùn)練的問題；(2)單個探測器的預(yù)測精度不穩(wěn)定，沒有標(biāo)準(zhǔn)精度可用作比較；(3)與集成學(xué)習(xí)(融合機器學(xué)習(xí)算法)相比，單個檢測器的預(yù)測精度有限；(4)目前大多數(shù)架構(gòu)都是“黑盒”模型。模型內(nèi)的參數(shù)以非線性的方式進行交互控制，我們無法捕捉到，模型參數(shù)的調(diào)整過于復(fù)雜和不可確定。

為了解決上述問題，許多研究人員開始通過選擇新模型或組合新模型來尋找新的解決方案。目前的研究是在序列建模任務(wù)上對卷積和循環(huán)架構(gòu)進行的最廣泛的系統(tǒng)比較。結(jié)果表明，序列建模和循環(huán)網(wǎng)絡(luò)之間的共同聯(lián)系應(yīng)該重新考慮。TCN結(jié)構(gòu)不僅比LSTM和GRU等典型循環(huán)網(wǎng)絡(luò)更精確，而且更簡單、更清晰。TCN不使用門控機制，具有較長的內(nèi)存[25]。因此，這可能是將深度網(wǎng)絡(luò)應(yīng)用于序列處理的一個更合適的起點。文獻[26]開發(fā)了一個使用TCN對時間序列建模的輕量級預(yù)測系統(tǒng)，并且提出了一種基于信道注意力的時間卷積模型，以較少的參數(shù)實現(xiàn)了衛(wèi)星圖像時間序列分類。

上述模型在短期預(yù)測任務(wù)中表現(xiàn)較好，但網(wǎng)絡(luò)安全態(tài)勢預(yù)測需要有多步時間序列預(yù)測的能力，以滿足長序列處理需求。Transformer模型在捕獲長期依賴關(guān)系方面表現(xiàn)優(yōu)于RNN模型。它對自注意機制的依賴可以有效地避免圓形結(jié)構(gòu)?；谧晕谊P(guān)注的Transformer模型最近在翻譯、音樂和圖像生成方面表現(xiàn)更好。然而，自注意性的空間復(fù)雜度隨著序列長度的增加呈二次增長，這對超長序列的處理造成了計算能力的限制。網(wǎng)絡(luò)安全數(shù)據(jù)是具有細粒度和長期相關(guān)性的時間序列。因此，單一模型已經(jīng)不能滿足長期預(yù)測需要解決的問題。文獻[27]構(gòu)建了TCN-LSTM混合模型，實現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢預(yù)測。文獻[28]利用時序融合模型實現(xiàn)了可解釋的高性能多視圖預(yù)測。通過時間融合變壓器的選擇和相關(guān)分量的抑制，得到不同尺度下的時間關(guān)系。

文獻[29]針對傳統(tǒng)極限學(xué)習(xí)機在網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法中存在的預(yù)測精度低、收斂速度慢等問題，提出一種基于改進麻雀算法優(yōu)化極限學(xué)習(xí)機的預(yù)測方法，提高了網(wǎng)絡(luò)安全態(tài)勢預(yù)測的準(zhǔn)確性。文獻[30]針對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢評估模型存在的準(zhǔn)確性低，收斂慢等問題，提出了一種融合模擬退火、麻雀算法和BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評價模型。但目前許多方法對于綜合復(fù)雜網(wǎng)絡(luò)背景下防護態(tài)勢評估的準(zhǔn)確性都不佳，需要進行優(yōu)化和調(diào)整。

現(xiàn)有的時間序列預(yù)測方法依賴于機器學(xué)習(xí)模型的自動特征選擇來識別相關(guān)變量，同時支持基于多個時間序列和測量的安全情況預(yù)測。現(xiàn)有的研究文章大多應(yīng)用多個模型架構(gòu)的組合，每個組合的模型也會有特定的適用領(lǐng)域和相應(yīng)的精度?？傮w而言，網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)成果較多，但其相關(guān)技術(shù)尚處于發(fā)展階段。目前提出的各種算法模型各有優(yōu)缺點。大多數(shù)模型沒有全面考慮安全態(tài)勢影響因素，態(tài)勢評估和預(yù)測的計算精度有進一步提高的空間。

針對上述問題，提出了一種新的網(wǎng)絡(luò)安全防護態(tài)勢優(yōu)化方法。建立了網(wǎng)絡(luò)安全狀態(tài)模型，并引入數(shù)據(jù)挖掘技術(shù)對各類網(wǎng)絡(luò)安全信息進行挖掘。利用入侵檢測方法提取自適應(yīng)特征和主要的功能參數(shù)，進而提取敏感信息。然后利用優(yōu)化后的FCM方法對復(fù)雜高頻信息流進行分類。通過實驗驗證了所提方法的有效性。

2 模型分析與預(yù)處理

2.1 復(fù)雜場景下網(wǎng)絡(luò)入侵的安全狀態(tài)模型

為了進一步實現(xiàn)最優(yōu)的評價性能，利用信號處理框架設(shè)計了綜合評價算法。數(shù)據(jù)是一組廣泛而穩(wěn)定的非線性時間信號模型，適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。

IPoE業(yè)務(wù)是一種接入認(rèn)證業(yè)務(wù)。在IPoE業(yè)務(wù)中，用戶通過物理以太網(wǎng)鏈路訪問，通過DHC動態(tài)獲取IP地址。

用戶認(rèn)證主要有三種類型：web認(rèn)證、option 60認(rèn)證和線路認(rèn)證。通過引入“累積狀態(tài)變化”，值導(dǎo)數(shù)GRU算法可以同時定量描述移動網(wǎng)絡(luò)惡意流量的低層和高層變化信息。此外，通過增加池化層，值導(dǎo)數(shù)GRU算法可以獲得關(guān)于流的重要信息。病毒入侵給網(wǎng)絡(luò)安全帶來隱患。通過對參數(shù)的詳細討論，利用式(1)表示病毒入侵信息流的特征。網(wǎng)絡(luò)環(huán)境下m終端上病毒入侵信息流的特征具體表達式如下：

x(k)=[x1(k)，x2(k)，…xm(k)]i=1，2，…，m

(1)

式中，k為網(wǎng)絡(luò)安全態(tài)勢分布的屬性值，xi(k)為網(wǎng)絡(luò)入侵的特征標(biāo)量的時間序列。假設(shè)n維隨機分布變量(x1，x2，…，xn)受網(wǎng)絡(luò)病毒攻擊，表達式如下：

(2)

式中，vs為網(wǎng)絡(luò)收集網(wǎng)絡(luò)安全入侵中數(shù)據(jù)的變化行為。利用網(wǎng)絡(luò)入侵行為所收集的數(shù)據(jù)中xs和rt的偏差，使得復(fù)雜場景下網(wǎng)絡(luò)入侵模型的狀態(tài)為V={V1，V2，…，Vn}，則此時網(wǎng)絡(luò)安全狀況的條件轉(zhuǎn)移概率L表示為：

(3)

式中，C為網(wǎng)絡(luò)安全入侵的免疫值，σs表示從所收集數(shù)據(jù)中任意選取的狀態(tài)向量，ai，j表示網(wǎng)絡(luò)安全態(tài)勢分布狀態(tài)i在空間j上的分布概率。網(wǎng)絡(luò)入侵檢測的穩(wěn)態(tài)概率表達式如下：

(4)

在信息融合中心設(shè)置網(wǎng)絡(luò)病毒攻擊的平均互通信息權(quán)重屬性如下：

Φ(ω1，ω2，…ωn)=E{exp[j(ω1x1+…+ωnxn)]}

(5)

網(wǎng)絡(luò)安全威脅特征的振幅和頻率估計如下：

(6)

(7)

改進的計算方法表達式如下：

θ1(k+1)=θ1(k)-μRe[y(k)φ*(k)]

(8)

節(jié)點分布位置圖如圖1所示。構(gòu)建網(wǎng)絡(luò)安全入侵的安全狀態(tài)分布模型。當(dāng)有黑客試圖入侵網(wǎng)絡(luò)節(jié)點時，其不僅會考慮當(dāng)前節(jié)點的價值，還會考慮入侵代價和可能產(chǎn)生的收益。入侵的代價和收益不會改變節(jié)點之間的初始狀態(tài)變換，但會對入侵節(jié)點的選取產(chǎn)生影響，黑客會傾向于選取代價低、收益大的節(jié)點進行入侵。

圖1 網(wǎng)絡(luò)安全態(tài)勢節(jié)點分布圖

2.2 網(wǎng)絡(luò)安全態(tài)勢關(guān)聯(lián)信息模型的構(gòu)建

ARMA模型用于模擬網(wǎng)絡(luò)攻擊環(huán)境中影響網(wǎng)絡(luò)安全狀況的威脅指數(shù)和主機威脅指數(shù)。本文引入強化學(xué)習(xí)(RL)進行模型搭建，RL大多基于實際場景進行學(xué)習(xí)，并不是提前繼續(xù)數(shù)據(jù)，因此本文利用真實動態(tài)場景作為仿真環(huán)境。先在樣本集隨機選擇一個新的樣本，并針對分類器的預(yù)期目標(biāo)進行獎勵，隨后再根據(jù)學(xué)習(xí)目標(biāo)對算法進行初始化，從而通過環(huán)境提高分類器的預(yù)測難度?？梢杂嬎愫诳蛯Ξ?dāng)前節(jié)點發(fā)起攻擊的概率。當(dāng)攻擊概率為0時，表示攻擊無法獲益，此時黑客不會對節(jié)點進行攻擊；當(dāng)概率為1時，表示攻擊行為可以獲益，此時黑客將會發(fā)起攻擊。

因此，不但要考慮網(wǎng)絡(luò)用戶的靜態(tài)數(shù)據(jù)，而且還要考慮移動網(wǎng)絡(luò)用戶的動態(tài)變化數(shù)據(jù)。通過收集有關(guān)移動網(wǎng)絡(luò)用戶的靜態(tài)和動態(tài)數(shù)據(jù)，從而提升算法對網(wǎng)絡(luò)空間中危險信息的檢測精度。

網(wǎng)絡(luò)安全態(tài)勢威脅指數(shù)可表示為：

(9)

式中，vk，ek表示為時空差偏差特征流，則對安全態(tài)勢指數(shù)的威脅表示為：

(10)

x(n)=s(n)+v(n)=

(11)

入侵特征分為(w1，w2，…，wn)，n為預(yù)測誤差。在此基礎(chǔ)上，利用數(shù)據(jù)聚類提取網(wǎng)絡(luò)攻擊特征，實現(xiàn)安全態(tài)勢評估。

在真實的網(wǎng)絡(luò)場景中，網(wǎng)絡(luò)安全指標(biāo)會根據(jù)網(wǎng)絡(luò)的運行狀態(tài)而動態(tài)變化。當(dāng)黑客的目標(biāo)已知時，靜態(tài)風(fēng)險評價的精確度也會隨之下降。因此，可以利用基于Bayes原理得出的動態(tài)可達率，通過時刻更新網(wǎng)絡(luò)節(jié)點的可達率，建立動態(tài)風(fēng)險評價模型。考慮以下兩種修改：

1)根據(jù)SDN問題模型模擬強化學(xué)習(xí)的環(huán)境，該環(huán)境的狀態(tài)為網(wǎng)絡(luò)入侵類型。

2)Agent是復(fù)雜的分類器，其主要任務(wù)是通過模擬環(huán)境的狀態(tài)預(yù)測流量的類別。

3 數(shù)據(jù)聚類和網(wǎng)絡(luò)安全防護態(tài)勢評估

3.1 基于數(shù)據(jù)聚類的安全態(tài)勢特征檢測

為了構(gòu)建動態(tài)場景環(huán)境下的安全狀態(tài)分布安全威脅，假設(shè)輸入網(wǎng)絡(luò)安全估計模型的自適應(yīng)全局概率分布為x(t)，并使用屬性分類結(jié)果。網(wǎng)絡(luò)安全態(tài)勢的范圍和頻率估計如下：

(12)

(13)

式中，Wx(t，v)為匹配范圍內(nèi)數(shù)值交換的入侵?jǐn)?shù)據(jù)的脈沖響應(yīng)，為一實數(shù)。該問題的最優(yōu)解決方案是在數(shù)據(jù)聚類中找到最優(yōu)個體?；谧赃m應(yīng)數(shù)據(jù)分類定義模型：

(14)

FCM數(shù)據(jù)提取入侵特征信息流，將服務(wù)器層的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)分解為數(shù)據(jù)聚類特征。得到的交叉概率為：

(15)

病毒數(shù)據(jù)的跨項目分布特征描述如下：

x(k)=[x1(k)，x2(k)，…，xm(k)]i=1，2，…，m

(16)

受到網(wǎng)絡(luò)安全威脅的網(wǎng)絡(luò)的用戶特征定義為：

(17)

對于所有ω，|V(ejω)|=1，選擇一個集合適應(yīng)度函數(shù)，使網(wǎng)絡(luò)安全態(tài)勢檢測方法的頻響模量在z=e±jω0，保證了算法的收斂性。

3.2 網(wǎng)絡(luò)安全防護態(tài)勢評估

結(jié)合數(shù)據(jù)聚類算法檢測網(wǎng)絡(luò)病毒攻擊的信息流，通過在整個搜索空間中的時頻展開，將模型的經(jīng)驗?zāi)B(tài)分布指向性函數(shù)定義為：

(18)

Wy(t，v)=Wx(kt，v/k)

(19)

根據(jù)所建立的成本計算模型，得出各數(shù)據(jù)聚類中心對應(yīng)的成本。通過數(shù)據(jù)聚類的特征約束，網(wǎng)絡(luò)安全態(tài)勢分析的時頻響應(yīng)應(yīng)為：

(20)

(21)

如果得到的適應(yīng)度較大，則通過數(shù)據(jù)聚類來測量病毒的攻擊強度，得到網(wǎng)絡(luò)安全態(tài)勢評估的迭代方程為：

(22)

(23)

(24)

經(jīng)調(diào)頻得到的評價安全態(tài)勢信號的模糊約束匹配輸出如下：

(25)

在此基礎(chǔ)上，通過使用數(shù)據(jù)聚類約束的的一般分析方法，對模型的調(diào)幅信號進行檢驗，將網(wǎng)絡(luò)入侵信息的兩個交叉點所涉及的范圍設(shè)置為匹配范圍，并引入特征自相關(guān)變量S，采用數(shù)據(jù)聚類對提取的網(wǎng)絡(luò)入侵信息流進行自關(guān)聯(lián)檢驗，從而完成對網(wǎng)絡(luò)安全的精確評價。而不同的安全基本單元指標(biāo)的特征參數(shù)，往往有著不同的維數(shù)和物理含義。如果將上述基本信息數(shù)據(jù)放入網(wǎng)絡(luò)態(tài)勢預(yù)測進行計算，物理單元中的各類數(shù)據(jù)會發(fā)生難以預(yù)見的偏差，從而使得無法成功預(yù)測網(wǎng)絡(luò)態(tài)勢。某樣本適應(yīng)度值越大，其可以成為樣本集中心的概率就會越大。其中適應(yīng)度值表示樣本與當(dāng)前聚類中心歐氏距離的最小值。

4 仿真實驗分析

4.1 數(shù)據(jù)集介紹

選擇UNSW-NB15數(shù)據(jù)集作為本文的數(shù)據(jù)集。UNSW-NB15數(shù)據(jù)集是由澳大利亞網(wǎng)絡(luò)安全中心(ACCS)網(wǎng)絡(luò)邊緣實驗室的IXIA PerfectStorm工具創(chuàng)建的。UNSW-NB15數(shù)據(jù)集是基于一個全面的網(wǎng)絡(luò)環(huán)境設(shè)計的，用于生成攻擊活動。該數(shù)據(jù)集從真實的、正常運行的網(wǎng)絡(luò)中收集攻擊數(shù)據(jù)集，滿足網(wǎng)絡(luò)安全態(tài)勢預(yù)測需要使用具有時間特征和連續(xù)時間維的數(shù)據(jù)集的條件。數(shù)據(jù)集還提供了訓(xùn)練集和測試集，減少了數(shù)據(jù)預(yù)處理的工作量。UNSW-NB15作為基準(zhǔn)數(shù)據(jù)集，包含Tcpdump工作者捕獲的100 GB原始流量。數(shù)據(jù)集包含9種類型的網(wǎng)絡(luò)攻擊，實施的攻擊類型包括FTP、SSH、DoS、Heartbleach、Web攻擊、滲透、僵尸網(wǎng)絡(luò)和DDoS等。

網(wǎng)絡(luò)流量數(shù)據(jù)通常用高維向量表示。采用t分布隨機鄰域嵌入(t-SNE)方法對其復(fù)雜度進行可視化，并基于可視化圖對其進行定性分析。在UNSW-NB15數(shù)據(jù)集上呈現(xiàn)顯著差異，其中一些類內(nèi)距離可能大于類間距離，并且分布不均勻。正常樣本和攻擊樣本具有相同的空間特征，這也說明特征空間不可能線性分離。因此，基于這個數(shù)據(jù)集實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢預(yù)測，可以最大限度地模擬真實網(wǎng)絡(luò)的復(fù)雜性。

由于UNSW-NB15數(shù)據(jù)集的連通性特征和其他特征，該數(shù)據(jù)集在攻擊模式識別和分析方面具有巨大潛力。雖然使用UNSW-NB15數(shù)據(jù)集檢測了預(yù)測模型的性能，但也發(fā)現(xiàn)了此數(shù)據(jù)集在在研究中的一些局限性。在進行實驗之前，對數(shù)據(jù)集中的大量數(shù)據(jù)進行預(yù)處理，發(fā)現(xiàn)數(shù)據(jù)集中包含大量的噪聲，這些噪聲對情況預(yù)測的貢獻很小。

4.2 數(shù)據(jù)預(yù)處理

在深入研究Snort威脅分類機制的基礎(chǔ)上，我們首先將威脅級別分為高、中、低三類。第一類是侵入計算機并獲得計算機控制權(quán)的攻擊，可以對計算機系統(tǒng)造成致命威脅，定義為高。第二類攻擊是為了獲取系統(tǒng)內(nèi)部的私人信息而進入計算機的攻擊，這種攻擊被定義為中。第三類攻擊不進入計算機系統(tǒng)，目的是消耗網(wǎng)絡(luò)帶寬。這種類型的攻擊使計算機無法與外界通信或提供正常的操作，它被定義為中。第四類是網(wǎng)絡(luò)掃描型攻擊，對計算機的影響較小，定義為低。

將權(quán)重系數(shù)理論與攻擊威脅等級分類有機地結(jié)合起來，確定攻擊威脅值?；谕{等級越高威脅值越高的原理，對威脅等級進行了預(yù)測使用權(quán)重系數(shù)分布函數(shù)在0和1之間。具體表達式如下：

(26)

式中，最大量化值定義為M0=1；n表示威脅級數(shù)；i表示威脅級別的序數(shù)，即i=0，1和2分別表示高、中和低。UNSW-NB15數(shù)據(jù)集中各種攻擊類型的威脅等級及威脅值如表1所示。

表1 UNSW-NB15數(shù)據(jù)集的攻擊態(tài)勢值

為評估提出的模型的預(yù)測能力的準(zhǔn)確性，使用均方根誤差(RMSE)和平均絕對誤差(MAE)來衡量情況預(yù)測準(zhǔn)確性。RMSE具體表達式如下：

(27)

(28)

4.3 實驗分析

本節(jié)將對所提出的模型進行驗證。硬件設(shè)置為筆記本電腦，配置參數(shù)為AMD R9-5800 CPU，運行內(nèi)存16 G，操作系統(tǒng)為Windows 11。采用MATLAB R2020b編程軟件進行算法設(shè)計。

網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的采樣尺度為2 000，訓(xùn)練集為120，模擬時間長度為1 200 s，檢測頻率為24 kHz。根據(jù)上述仿真回路和參數(shù)，進行網(wǎng)絡(luò)安全防護態(tài)勢評估仿真。首先，選擇UNSW-NB15數(shù)據(jù)集上其中一段的含有強烈干擾信號的網(wǎng)絡(luò)入侵行為數(shù)據(jù)為例，示意圖如圖2所示。以上述網(wǎng)絡(luò)安全入侵信號為樣本輸入，作為評估模型的初始信息，從圖2中可以看出，入侵?jǐn)?shù)據(jù)受到媒體信息的干擾，難以有效識別一般。在防護態(tài)勢評估中，以8 s的時間寬度提取模型的特征信息，然后通過數(shù)據(jù)聚類得到Sink節(jié)點和Source節(jié)點的網(wǎng)絡(luò)，檢測提取的網(wǎng)絡(luò)安全威脅信息流與Sink節(jié)點和Source節(jié)點的網(wǎng)絡(luò)之間的相關(guān)性。結(jié)果如圖3所示。

圖2 網(wǎng)絡(luò)入侵信息數(shù)據(jù)

圖3 網(wǎng)絡(luò)態(tài)勢評估結(jié)果

從圖2和圖3中可以看出，基于本文算法的網(wǎng)絡(luò)安全態(tài)勢評估具有良好的波束指向性，能夠準(zhǔn)確地反映出網(wǎng)絡(luò)受網(wǎng)絡(luò)安全威脅后對安全態(tài)勢的最終分布情況，從而定量地比較本文方法在網(wǎng)絡(luò)安全態(tài)勢評估中的優(yōu)越性能，本文模型與其他方法相比，以評價的準(zhǔn)確性為檢驗指標(biāo)，對比結(jié)果如圖4所示。在迭代后期，本文模型較快的實現(xiàn)了防護準(zhǔn)確率100%的目標(biāo)，另外兩種算法前期準(zhǔn)確率較低均低于75%且隨著迭代的進行準(zhǔn)確率提升較慢，因此本文算法具有更好的防護準(zhǔn)確性及效率。

圖4 網(wǎng)絡(luò)防護態(tài)勢準(zhǔn)確率比較

其次，在整個UNSW-NB15數(shù)據(jù)集上大規(guī)模進行實驗，具體實驗結(jié)果如表2所示。

表2 UNSW-NB15結(jié)果

表1為各個算法在UNSW-NB15數(shù)據(jù)集上的RMSE、MAE結(jié)果，從中可以看出本文算法相比于文獻[10]算法、文獻[11]算法、文獻[12]算法在RMSE減少了約45.8%～61.8%，在MAE減少了約42.5%～64.5%。展現(xiàn)出本文算法的優(yōu)越性，表明本文算法誤差更小，對網(wǎng)絡(luò)安全態(tài)勢的評估準(zhǔn)確度更高，從而有利于實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的優(yōu)化。

5 結(jié)束語

本文設(shè)計了一種網(wǎng)絡(luò)安全態(tài)勢優(yōu)化新方法。首先，構(gòu)建多變場景下的網(wǎng)絡(luò)安全狀態(tài)趨勢模型，利用綜合大數(shù)據(jù)挖掘方法對網(wǎng)絡(luò)安全信息相關(guān)數(shù)據(jù)進行挖掘，獲得網(wǎng)絡(luò)的綜合狀態(tài)和結(jié)構(gòu)。其次，利用入侵檢測方法提取自適應(yīng)特征和主要功能參數(shù)結(jié)構(gòu)，進而提取敏感信息。然后利用優(yōu)化后的FCM方法對復(fù)雜高頻信息流進行分類。仿真結(jié)果表明，本文算法能較好地進行網(wǎng)絡(luò)安全防護狀況評估，網(wǎng)絡(luò)入侵檢測的準(zhǔn)確率較高，誤差更小，網(wǎng)絡(luò)安全得到了保證。在未來的研究中，可以嘗試考慮模型在不同場景下的評估，以驗證其性能。