李 星，李浩然

(1.武警特色醫(yī)學(xué)中心 信息科，天津 300162；2.中國(guó)科學(xué)院天津工業(yè)生物技術(shù)研究所 生物設(shè)計(jì)中心，天津 300308)

0 引言

在目前人們?nèi)粘?yīng)用網(wǎng)絡(luò)的環(huán)境中，總是存在著許多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[1-7]。這主要是因?yàn)殡S著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、人工智能等技術(shù)的快速發(fā)展和應(yīng)用，使得網(wǎng)絡(luò)空間安全面臨的風(fēng)險(xiǎn)和威脅日益增多。DDoS攻擊、APT攻擊、高危漏洞增多、數(shù)據(jù)暴露事件頻發(fā)、“灰色”應(yīng)用層出不窮、高新技術(shù)帶來(lái)的安全風(fēng)險(xiǎn)等問(wèn)題尤為突出。目前，網(wǎng)絡(luò)系統(tǒng)面臨的安全問(wèn)題主要有以下幾個(gè)方面：涉及的網(wǎng)絡(luò)安全數(shù)據(jù)量逐漸增加，規(guī)模越來(lái)越大；網(wǎng)絡(luò)安全事件不斷地碎片化，使其難以被察覺(jué)，而獲得的安全信息分散無(wú)序，管理員需要花費(fèi)大量的時(shí)間和精力來(lái)分析潛在的安全威脅，既費(fèi)時(shí)又費(fèi)力，事半功倍；而現(xiàn)有的許多網(wǎng)絡(luò)安全系統(tǒng)在數(shù)據(jù)采集上存在局限性，有的僅局限于網(wǎng)絡(luò)安全數(shù)據(jù)的一個(gè)或幾個(gè)方面的采集、分析和處理，難以全面描述和反映網(wǎng)絡(luò)安全狀況。面對(duì)這些新的挑戰(zhàn)和威脅，現(xiàn)有的傳統(tǒng)網(wǎng)絡(luò)安全防御手段、策略和方法(如入侵檢測(cè)系統(tǒng)、防火墻、反病毒、訪問(wèn)控制等)已不能跟上當(dāng)今網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全需求。由于當(dāng)前網(wǎng)絡(luò)入侵逐漸呈現(xiàn)規(guī)?；?、隱蔽性的特點(diǎn)，導(dǎo)致常規(guī)的網(wǎng)絡(luò)安全評(píng)估、監(jiān)測(cè)和防護(hù)模型已不能滿足需求，因而利用數(shù)據(jù)整合與有效的數(shù)據(jù)分析手段構(gòu)建更加可靠的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型已成為研究的重點(diǎn)之一。

態(tài)勢(shì)感知技術(shù)由Endsley于1988年提出，定義為“在一定時(shí)空條件下對(duì)環(huán)境因素的識(shí)別和理解，并預(yù)測(cè)未來(lái)趨勢(shì)”。他將情境感知模型分為三層：情境抽取、情境理解和情境預(yù)測(cè)。文獻(xiàn)[8]提出了一種新型網(wǎng)絡(luò)安全態(tài)勢(shì)模型，設(shè)計(jì)了一種結(jié)合多源數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)架構(gòu)。在此模型的基礎(chǔ)上，定義了網(wǎng)絡(luò)安全態(tài)勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估就是指在各類(lèi)網(wǎng)絡(luò)數(shù)據(jù)中篩選出有效信息，然后輸入至對(duì)應(yīng)的評(píng)估模型，并計(jì)算得到對(duì)應(yīng)的態(tài)勢(shì)數(shù)值，然后根據(jù)數(shù)值評(píng)價(jià)出此時(shí)網(wǎng)絡(luò)的安全狀態(tài)，從而為之后可以提前預(yù)測(cè)及防護(hù)提供支撐及參考。因此網(wǎng)絡(luò)安全評(píng)估方法是當(dāng)前網(wǎng)絡(luò)的安全狀況防護(hù)關(guān)鍵技術(shù)之一，有利于提升安全防護(hù)效率。

態(tài)勢(shì)感知的思想最早出現(xiàn)在軍事領(lǐng)域，用于確定軍事環(huán)境和態(tài)勢(shì)，后來(lái)應(yīng)用于交通、醫(yī)療等領(lǐng)域，并延伸到網(wǎng)絡(luò)安全領(lǐng)域[9-15]。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是指通過(guò)一系列技術(shù)收集盡可能多的網(wǎng)絡(luò)安全要素，建立相應(yīng)的評(píng)估和預(yù)測(cè)模型，幫助網(wǎng)絡(luò)管理者及時(shí)應(yīng)對(duì)風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是指根據(jù)歷史態(tài)勢(shì)評(píng)估數(shù)據(jù)預(yù)測(cè)網(wǎng)絡(luò)未來(lái)的狀態(tài)，防止網(wǎng)絡(luò)攻擊。預(yù)測(cè)的前提是相鄰數(shù)據(jù)點(diǎn)之間存在一定的規(guī)則。研究表明，網(wǎng)絡(luò)流量數(shù)據(jù)具有自相似性。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的對(duì)象是網(wǎng)絡(luò)安全態(tài)勢(shì)值，網(wǎng)絡(luò)態(tài)勢(shì)值是按時(shí)間順序排列的，相鄰數(shù)據(jù)點(diǎn)之間存在一定的規(guī)律。因此，網(wǎng)絡(luò)安全形勢(shì)具有可預(yù)見(jiàn)性和可行性。

目前，網(wǎng)絡(luò)安全形勢(shì)預(yù)測(cè)主要采用的方法有以下幾種。(1)自回歸移動(dòng)平均模型：它是基于一個(gè)平滑的時(shí)間序列預(yù)測(cè)未來(lái)狀態(tài)，但它對(duì)時(shí)間序列的長(zhǎng)度有一定的要求。(2)灰色理論：側(cè)重于灰色關(guān)聯(lián)來(lái)發(fā)現(xiàn)系統(tǒng)的內(nèi)在規(guī)律，但對(duì)波動(dòng)較大的數(shù)據(jù)預(yù)測(cè)效果較差；(3)時(shí)間序列：它基于相鄰數(shù)據(jù)之間的相關(guān)性，但在建模過(guò)程中需要考慮很多元素。(4)神經(jīng)網(wǎng)絡(luò)：使用安全事件作為輸入和輸出的態(tài)勢(shì)值，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)，但容易陷入局部收斂，影響預(yù)測(cè)效果。

對(duì)于大多數(shù)深度學(xué)習(xí)從業(yè)者來(lái)說(shuō)，序列建模就是循環(huán)網(wǎng)絡(luò)的同義詞。然而，最近的研究結(jié)果表明，卷積架構(gòu)在音頻合成和工業(yè)生產(chǎn)力等任務(wù)上優(yōu)于循環(huán)網(wǎng)絡(luò)。變壓器已應(yīng)用于自然語(yǔ)言處理、計(jì)算機(jī)視覺(jué)、語(yǔ)音識(shí)別等領(lǐng)域。構(gòu)建了結(jié)合Transformer和TCN的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型，并以UNSW-NB15和CSE-CIC-IDS2018為基準(zhǔn)數(shù)據(jù)集，通過(guò)對(duì)比實(shí)驗(yàn)驗(yàn)證了模型的有效性。

在最新的復(fù)雜網(wǎng)絡(luò)安全評(píng)價(jià)中使用多源數(shù)據(jù)融合技術(shù)，不但能夠提高評(píng)價(jià)的準(zhǔn)確度，而且能夠提高互聯(lián)網(wǎng)應(yīng)用的安全性。為有效的運(yùn)用數(shù)據(jù)整合方法以適應(yīng)多源數(shù)據(jù)結(jié)構(gòu)分析性能的需要，很多研究者提出了安全態(tài)勢(shì)評(píng)價(jià)模型[5-10]。其模型由服務(wù)器、網(wǎng)絡(luò)和用戶三層組成。在服務(wù)器層，根據(jù)受到入侵和威脅信息的主機(jī)系統(tǒng)評(píng)估模型，在服務(wù)器層的入侵信息得到融合后，模型將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)層。以入侵?jǐn)?shù)據(jù)為參考對(duì)象，對(duì)存在危險(xiǎn)特性的網(wǎng)絡(luò)信息進(jìn)行了分類(lèi)，并對(duì)網(wǎng)絡(luò)信息系統(tǒng)中的可能存在的危險(xiǎn)特性和風(fēng)險(xiǎn)相關(guān)信息進(jìn)行建模和評(píng)價(jià)，得到整體結(jié)果。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)的研究現(xiàn)狀

網(wǎng)絡(luò)安全態(tài)勢(shì)感知根據(jù)網(wǎng)絡(luò)所處的當(dāng)前環(huán)境因素確定網(wǎng)絡(luò)態(tài)勢(shì)，從而預(yù)測(cè)網(wǎng)絡(luò)近期的狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是網(wǎng)絡(luò)態(tài)勢(shì)感知的重要組成部分。它可以盡快識(shí)別網(wǎng)絡(luò)中潛在的安全風(fēng)險(xiǎn)，并充分評(píng)估這些潛在威脅的影響程度，幫助網(wǎng)絡(luò)安全管理者掌握當(dāng)前網(wǎng)絡(luò)狀況，以便在網(wǎng)絡(luò)攻擊發(fā)生之前對(duì)這些威脅采取遏制和預(yù)防措施[16-20]。

近年來(lái)，許多學(xué)者結(jié)合各種技術(shù)，提出了各自的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型。機(jī)器學(xué)習(xí)在模型構(gòu)建中的應(yīng)用，極大地提高了數(shù)據(jù)挖掘的準(zhǔn)確性和效率。態(tài)勢(shì)預(yù)測(cè)作為態(tài)勢(shì)感知的重要組成部分，在實(shí)際模型構(gòu)建過(guò)程中，經(jīng)常通過(guò)網(wǎng)絡(luò)安全時(shí)間序列對(duì)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行實(shí)驗(yàn)，但需要更大的數(shù)據(jù)集和存儲(chǔ)容量作為支撐。

文獻(xiàn)[21]提出了一種基于異構(gòu)傳感器事件流的多階段網(wǎng)絡(luò)攻擊態(tài)勢(shì)實(shí)時(shí)感知方法，首次建立了基于網(wǎng)絡(luò)連通性和攻擊過(guò)程語(yǔ)義的攻擊建模方法，生成多級(jí)攻擊模板。然后將實(shí)時(shí)警報(bào)流中的攻擊事件語(yǔ)義與攻擊模板進(jìn)行關(guān)聯(lián)，完成多階段攻擊的態(tài)勢(shì)感知。

文獻(xiàn)[22]針對(duì)無(wú)線網(wǎng)絡(luò)環(huán)境提出了一套更容易實(shí)現(xiàn)的網(wǎng)絡(luò)流量安全指標(biāo)。通過(guò)收集和可視化無(wú)線網(wǎng)絡(luò)中的數(shù)據(jù)包到達(dá)間隔時(shí)間等指標(biāo)，幫助網(wǎng)絡(luò)管理人員識(shí)別攻擊，以掌握網(wǎng)絡(luò)情況。文獻(xiàn)[23]提出了一種警報(bào)關(guān)聯(lián)框架，可以有效地檢測(cè)多步攻擊事件并預(yù)測(cè)攻擊者行為。

循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)作為一種時(shí)間序列分析模型，在處理非線性關(guān)系方面有較好的表現(xiàn)。因此，它被廣泛應(yīng)用于不同領(lǐng)域的時(shí)間序列預(yù)測(cè)任務(wù)。與長(zhǎng)短期記憶(LSTM)相比，傳統(tǒng)RNN存在梯度消失問(wèn)題，在長(zhǎng)期依賴預(yù)測(cè)問(wèn)題中表現(xiàn)較差。為了克服RNN的局限性和梯度消失問(wèn)題，提出了RNN、LSTM和門(mén)控循環(huán)單元(GRU)的漸進(jìn)模型[24]，基于這兩種模型的編解碼器在機(jī)器翻譯中都取得了良好的效果。然而，隨著序列長(zhǎng)度的增加，它們的性能會(huì)迅速下降，為了解決這一問(wèn)題，提出了基于注意機(jī)制的編碼器-解碼器網(wǎng)絡(luò)。

現(xiàn)有的大部分網(wǎng)絡(luò)安全攻擊預(yù)測(cè)方法基本都是個(gè)體預(yù)測(cè)工具，這可能會(huì)帶來(lái)幾個(gè)相應(yīng)的問(wèn)題：(1)個(gè)體預(yù)測(cè)工具神經(jīng)元數(shù)量較少，對(duì)參數(shù)設(shè)置更敏感，存在過(guò)度訓(xùn)練的問(wèn)題；(2)單個(gè)探測(cè)器的預(yù)測(cè)精度不穩(wěn)定，沒(méi)有標(biāo)準(zhǔn)精度可用作比較；(3)與集成學(xué)習(xí)(融合機(jī)器學(xué)習(xí)算法)相比，單個(gè)檢測(cè)器的預(yù)測(cè)精度有限；(4)目前大多數(shù)架構(gòu)都是“黑盒”模型。模型內(nèi)的參數(shù)以非線性的方式進(jìn)行交互控制，我們無(wú)法捕捉到，模型參數(shù)的調(diào)整過(guò)于復(fù)雜和不可確定。

為了解決上述問(wèn)題，許多研究人員開(kāi)始通過(guò)選擇新模型或組合新模型來(lái)尋找新的解決方案。目前的研究是在序列建模任務(wù)上對(duì)卷積和循環(huán)架構(gòu)進(jìn)行的最廣泛的系統(tǒng)比較。結(jié)果表明，序列建模和循環(huán)網(wǎng)絡(luò)之間的共同聯(lián)系應(yīng)該重新考慮。TCN結(jié)構(gòu)不僅比LSTM和GRU等典型循環(huán)網(wǎng)絡(luò)更精確，而且更簡(jiǎn)單、更清晰。TCN不使用門(mén)控機(jī)制，具有較長(zhǎng)的內(nèi)存[25]。因此，這可能是將深度網(wǎng)絡(luò)應(yīng)用于序列處理的一個(gè)更合適的起點(diǎn)。文獻(xiàn)[26]開(kāi)發(fā)了一個(gè)使用TCN對(duì)時(shí)間序列建模的輕量級(jí)預(yù)測(cè)系統(tǒng)，并且提出了一種基于信道注意力的時(shí)間卷積模型，以較少的參數(shù)實(shí)現(xiàn)了衛(wèi)星圖像時(shí)間序列分類(lèi)。

上述模型在短期預(yù)測(cè)任務(wù)中表現(xiàn)較好，但網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)需要有多步時(shí)間序列預(yù)測(cè)的能力，以滿足長(zhǎng)序列處理需求。Transformer模型在捕獲長(zhǎng)期依賴關(guān)系方面表現(xiàn)優(yōu)于RNN模型。它對(duì)自注意機(jī)制的依賴可以有效地避免圓形結(jié)構(gòu)?；谧晕谊P(guān)注的Transformer模型最近在翻譯、音樂(lè)和圖像生成方面表現(xiàn)更好。然而，自注意性的空間復(fù)雜度隨著序列長(zhǎng)度的增加呈二次增長(zhǎng)，這對(duì)超長(zhǎng)序列的處理造成了計(jì)算能力的限制。網(wǎng)絡(luò)安全數(shù)據(jù)是具有細(xì)粒度和長(zhǎng)期相關(guān)性的時(shí)間序列。因此，單一模型已經(jīng)不能滿足長(zhǎng)期預(yù)測(cè)需要解決的問(wèn)題。文獻(xiàn)[27]構(gòu)建了TCN-LSTM混合模型，實(shí)現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)。文獻(xiàn)[28]利用時(shí)序融合模型實(shí)現(xiàn)了可解釋的高性能多視圖預(yù)測(cè)。通過(guò)時(shí)間融合變壓器的選擇和相關(guān)分量的抑制，得到不同尺度下的時(shí)間關(guān)系。

文獻(xiàn)[29]針對(duì)傳統(tǒng)極限學(xué)習(xí)機(jī)在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法中存在的預(yù)測(cè)精度低、收斂速度慢等問(wèn)題，提出一種基于改進(jìn)麻雀算法優(yōu)化極限學(xué)習(xí)機(jī)的預(yù)測(cè)方法，提高了網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確性。文獻(xiàn)[30]針對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型存在的準(zhǔn)確性低，收斂慢等問(wèn)題，提出了一種融合模擬退火、麻雀算法和BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型。但目前許多方法對(duì)于綜合復(fù)雜網(wǎng)絡(luò)背景下防護(hù)態(tài)勢(shì)評(píng)估的準(zhǔn)確性都不佳，需要進(jìn)行優(yōu)化和調(diào)整。

現(xiàn)有的時(shí)間序列預(yù)測(cè)方法依賴于機(jī)器學(xué)習(xí)模型的自動(dòng)特征選擇來(lái)識(shí)別相關(guān)變量，同時(shí)支持基于多個(gè)時(shí)間序列和測(cè)量的安全情況預(yù)測(cè)?，F(xiàn)有的研究文章大多應(yīng)用多個(gè)模型架構(gòu)的組合，每個(gè)組合的模型也會(huì)有特定的適用領(lǐng)域和相應(yīng)的精度。總體而言，網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)成果較多，但其相關(guān)技術(shù)尚處于發(fā)展階段。目前提出的各種算法模型各有優(yōu)缺點(diǎn)。大多數(shù)模型沒(méi)有全面考慮安全態(tài)勢(shì)影響因素，態(tài)勢(shì)評(píng)估和預(yù)測(cè)的計(jì)算精度有進(jìn)一步提高的空間。

針對(duì)上述問(wèn)題，提出了一種新的網(wǎng)絡(luò)安全防護(hù)態(tài)勢(shì)優(yōu)化方法。建立了網(wǎng)絡(luò)安全狀態(tài)模型，并引入數(shù)據(jù)挖掘技術(shù)對(duì)各類(lèi)網(wǎng)絡(luò)安全信息進(jìn)行挖掘。利用入侵檢測(cè)方法提取自適應(yīng)特征和主要的功能參數(shù)，進(jìn)而提取敏感信息。然后利用優(yōu)化后的FCM方法對(duì)復(fù)雜高頻信息流進(jìn)行分類(lèi)。通過(guò)實(shí)驗(yàn)驗(yàn)證了所提方法的有效性。

2 模型分析與預(yù)處理

2.1 復(fù)雜場(chǎng)景下網(wǎng)絡(luò)入侵的安全狀態(tài)模型

為了進(jìn)一步實(shí)現(xiàn)最優(yōu)的評(píng)價(jià)性能，利用信號(hào)處理框架設(shè)計(jì)了綜合評(píng)價(jià)算法。數(shù)據(jù)是一組廣泛而穩(wěn)定的非線性時(shí)間信號(hào)模型，適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。

IPoE業(yè)務(wù)是一種接入認(rèn)證業(yè)務(wù)。在IPoE業(yè)務(wù)中，用戶通過(guò)物理以太網(wǎng)鏈路訪問(wèn)，通過(guò)DHC動(dòng)態(tài)獲取IP地址。

用戶認(rèn)證主要有三種類(lèi)型：web認(rèn)證、option 60認(rèn)證和線路認(rèn)證。通過(guò)引入“累積狀態(tài)變化”，值導(dǎo)數(shù)GRU算法可以同時(shí)定量描述移動(dòng)網(wǎng)絡(luò)惡意流量的低層和高層變化信息。此外，通過(guò)增加池化層，值導(dǎo)數(shù)GRU算法可以獲得關(guān)于流的重要信息。病毒入侵給網(wǎng)絡(luò)安全帶來(lái)隱患。通過(guò)對(duì)參數(shù)的詳細(xì)討論，利用式(1)表示病毒入侵信息流的特征。網(wǎng)絡(luò)環(huán)境下m終端上病毒入侵信息流的特征具體表達(dá)式如下：

x(k)=[x1(k)，x2(k)，…xm(k)]i=1，2，…，m

(1)

式中，k為網(wǎng)絡(luò)安全態(tài)勢(shì)分布的屬性值，xi(k)為網(wǎng)絡(luò)入侵的特征標(biāo)量的時(shí)間序列。假設(shè)n維隨機(jī)分布變量(x1，x2，…，xn)受網(wǎng)絡(luò)病毒攻擊，表達(dá)式如下：

(2)

式中，vs為網(wǎng)絡(luò)收集網(wǎng)絡(luò)安全入侵中數(shù)據(jù)的變化行為。利用網(wǎng)絡(luò)入侵行為所收集的數(shù)據(jù)中xs和rt的偏差，使得復(fù)雜場(chǎng)景下網(wǎng)絡(luò)入侵模型的狀態(tài)為V={V1，V2，…，Vn}，則此時(shí)網(wǎng)絡(luò)安全狀況的條件轉(zhuǎn)移概率L表示為：

(3)

式中，C為網(wǎng)絡(luò)安全入侵的免疫值，σs表示從所收集數(shù)據(jù)中任意選取的狀態(tài)向量，ai，j表示網(wǎng)絡(luò)安全態(tài)勢(shì)分布狀態(tài)i在空間j上的分布概率。網(wǎng)絡(luò)入侵檢測(cè)的穩(wěn)態(tài)概率表達(dá)式如下：

(4)

在信息融合中心設(shè)置網(wǎng)絡(luò)病毒攻擊的平均互通信息權(quán)重屬性如下：

Φ(ω1，ω2，…ωn)=E{exp[j(ω1x1+…+ωnxn)]}

(5)

網(wǎng)絡(luò)安全威脅特征的振幅和頻率估計(jì)如下：

(6)

(7)

改進(jìn)的計(jì)算方法表達(dá)式如下：

θ1(k+1)=θ1(k)-μRe[y(k)φ*(k)]

(8)

節(jié)點(diǎn)分布位置圖如圖1所示。構(gòu)建網(wǎng)絡(luò)安全入侵的安全狀態(tài)分布模型。當(dāng)有黑客試圖入侵網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)，其不僅會(huì)考慮當(dāng)前節(jié)點(diǎn)的價(jià)值，還會(huì)考慮入侵代價(jià)和可能產(chǎn)生的收益。入侵的代價(jià)和收益不會(huì)改變節(jié)點(diǎn)之間的初始狀態(tài)變換，但會(huì)對(duì)入侵節(jié)點(diǎn)的選取產(chǎn)生影響，黑客會(huì)傾向于選取代價(jià)低、收益大的節(jié)點(diǎn)進(jìn)行入侵。

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)節(jié)點(diǎn)分布圖

2.2 網(wǎng)絡(luò)安全態(tài)勢(shì)關(guān)聯(lián)信息模型的構(gòu)建

ARMA模型用于模擬網(wǎng)絡(luò)攻擊環(huán)境中影響網(wǎng)絡(luò)安全狀況的威脅指數(shù)和主機(jī)威脅指數(shù)。本文引入強(qiáng)化學(xué)習(xí)(RL)進(jìn)行模型搭建，RL大多基于實(shí)際場(chǎng)景進(jìn)行學(xué)習(xí)，并不是提前繼續(xù)數(shù)據(jù)，因此本文利用真實(shí)動(dòng)態(tài)場(chǎng)景作為仿真環(huán)境。先在樣本集隨機(jī)選擇一個(gè)新的樣本，并針對(duì)分類(lèi)器的預(yù)期目標(biāo)進(jìn)行獎(jiǎng)勵(lì)，隨后再根據(jù)學(xué)習(xí)目標(biāo)對(duì)算法進(jìn)行初始化，從而通過(guò)環(huán)境提高分類(lèi)器的預(yù)測(cè)難度。可以計(jì)算黑客對(duì)當(dāng)前節(jié)點(diǎn)發(fā)起攻擊的概率。當(dāng)攻擊概率為0時(shí)，表示攻擊無(wú)法獲益，此時(shí)黑客不會(huì)對(duì)節(jié)點(diǎn)進(jìn)行攻擊；當(dāng)概率為1時(shí)，表示攻擊行為可以獲益，此時(shí)黑客將會(huì)發(fā)起攻擊。

因此，不但要考慮網(wǎng)絡(luò)用戶的靜態(tài)數(shù)據(jù)，而且還要考慮移動(dòng)網(wǎng)絡(luò)用戶的動(dòng)態(tài)變化數(shù)據(jù)。通過(guò)收集有關(guān)移動(dòng)網(wǎng)絡(luò)用戶的靜態(tài)和動(dòng)態(tài)數(shù)據(jù)，從而提升算法對(duì)網(wǎng)絡(luò)空間中危險(xiǎn)信息的檢測(cè)精度。

網(wǎng)絡(luò)安全態(tài)勢(shì)威脅指數(shù)可表示為：

(9)

式中，vk，ek表示為時(shí)空差偏差特征流，則對(duì)安全態(tài)勢(shì)指數(shù)的威脅表示為：

(10)

x(n)=s(n)+v(n)=

(11)

入侵特征分為(w1，w2，…，wn)，n為預(yù)測(cè)誤差。在此基礎(chǔ)上，利用數(shù)據(jù)聚類(lèi)提取網(wǎng)絡(luò)攻擊特征，實(shí)現(xiàn)安全態(tài)勢(shì)評(píng)估。

在真實(shí)的網(wǎng)絡(luò)場(chǎng)景中，網(wǎng)絡(luò)安全指標(biāo)會(huì)根據(jù)網(wǎng)絡(luò)的運(yùn)行狀態(tài)而動(dòng)態(tài)變化。當(dāng)黑客的目標(biāo)已知時(shí)，靜態(tài)風(fēng)險(xiǎn)評(píng)價(jià)的精確度也會(huì)隨之下降。因此，可以利用基于Bayes原理得出的動(dòng)態(tài)可達(dá)率，通過(guò)時(shí)刻更新網(wǎng)絡(luò)節(jié)點(diǎn)的可達(dá)率，建立動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)價(jià)模型?？紤]以下兩種修改：

1)根據(jù)SDN問(wèn)題模型模擬強(qiáng)化學(xué)習(xí)的環(huán)境，該環(huán)境的狀態(tài)為網(wǎng)絡(luò)入侵類(lèi)型。

2)Agent是復(fù)雜的分類(lèi)器，其主要任務(wù)是通過(guò)模擬環(huán)境的狀態(tài)預(yù)測(cè)流量的類(lèi)別。

3 數(shù)據(jù)聚類(lèi)和網(wǎng)絡(luò)安全防護(hù)態(tài)勢(shì)評(píng)估

3.1 基于數(shù)據(jù)聚類(lèi)的安全態(tài)勢(shì)特征檢測(cè)

為了構(gòu)建動(dòng)態(tài)場(chǎng)景環(huán)境下的安全狀態(tài)分布安全威脅，假設(shè)輸入網(wǎng)絡(luò)安全估計(jì)模型的自適應(yīng)全局概率分布為x(t)，并使用屬性分類(lèi)結(jié)果。網(wǎng)絡(luò)安全態(tài)勢(shì)的范圍和頻率估計(jì)如下：

(12)

(13)

式中，Wx(t，v)為匹配范圍內(nèi)數(shù)值交換的入侵?jǐn)?shù)據(jù)的脈沖響應(yīng)，為一實(shí)數(shù)。該問(wèn)題的最優(yōu)解決方案是在數(shù)據(jù)聚類(lèi)中找到最優(yōu)個(gè)體?；谧赃m應(yīng)數(shù)據(jù)分類(lèi)定義模型：

(14)

FCM數(shù)據(jù)提取入侵特征信息流，將服務(wù)器層的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)分解為數(shù)據(jù)聚類(lèi)特征。得到的交叉概率為：

(15)

病毒數(shù)據(jù)的跨項(xiàng)目分布特征描述如下：

x(k)=[x1(k)，x2(k)，…，xm(k)]i=1，2，…，m

(16)

受到網(wǎng)絡(luò)安全威脅的網(wǎng)絡(luò)的用戶特征定義為：

(17)

對(duì)于所有ω，|V(ejω)|=1，選擇一個(gè)集合適應(yīng)度函數(shù)，使網(wǎng)絡(luò)安全態(tài)勢(shì)檢測(cè)方法的頻響模量在z=e±jω0，保證了算法的收斂性。

3.2 網(wǎng)絡(luò)安全防護(hù)態(tài)勢(shì)評(píng)估

結(jié)合數(shù)據(jù)聚類(lèi)算法檢測(cè)網(wǎng)絡(luò)病毒攻擊的信息流，通過(guò)在整個(gè)搜索空間中的時(shí)頻展開(kāi)，將模型的經(jīng)驗(yàn)?zāi)B(tài)分布指向性函數(shù)定義為：

(18)

Wy(t，v)=Wx(kt，v/k)

(19)

根據(jù)所建立的成本計(jì)算模型，得出各數(shù)據(jù)聚類(lèi)中心對(duì)應(yīng)的成本。通過(guò)數(shù)據(jù)聚類(lèi)的特征約束，網(wǎng)絡(luò)安全態(tài)勢(shì)分析的時(shí)頻響應(yīng)應(yīng)為：

(20)

(21)

如果得到的適應(yīng)度較大，則通過(guò)數(shù)據(jù)聚類(lèi)來(lái)測(cè)量病毒的攻擊強(qiáng)度，得到網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的迭代方程為：

(22)

(23)

(24)

經(jīng)調(diào)頻得到的評(píng)價(jià)安全態(tài)勢(shì)信號(hào)的模糊約束匹配輸出如下：

(25)

在此基礎(chǔ)上，通過(guò)使用數(shù)據(jù)聚類(lèi)約束的的一般分析方法，對(duì)模型的調(diào)幅信號(hào)進(jìn)行檢驗(yàn)，將網(wǎng)絡(luò)入侵信息的兩個(gè)交叉點(diǎn)所涉及的范圍設(shè)置為匹配范圍，并引入特征自相關(guān)變量S，采用數(shù)據(jù)聚類(lèi)對(duì)提取的網(wǎng)絡(luò)入侵信息流進(jìn)行自關(guān)聯(lián)檢驗(yàn)，從而完成對(duì)網(wǎng)絡(luò)安全的精確評(píng)價(jià)。而不同的安全基本單元指標(biāo)的特征參數(shù)，往往有著不同的維數(shù)和物理含義。如果將上述基本信息數(shù)據(jù)放入網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)進(jìn)行計(jì)算，物理單元中的各類(lèi)數(shù)據(jù)會(huì)發(fā)生難以預(yù)見(jiàn)的偏差，從而使得無(wú)法成功預(yù)測(cè)網(wǎng)絡(luò)態(tài)勢(shì)。某樣本適應(yīng)度值越大，其可以成為樣本集中心的概率就會(huì)越大。其中適應(yīng)度值表示樣本與當(dāng)前聚類(lèi)中心歐氏距離的最小值。

4 仿真實(shí)驗(yàn)分析

4.1 數(shù)據(jù)集介紹

選擇UNSW-NB15數(shù)據(jù)集作為本文的數(shù)據(jù)集。UNSW-NB15數(shù)據(jù)集是由澳大利亞網(wǎng)絡(luò)安全中心(ACCS)網(wǎng)絡(luò)邊緣實(shí)驗(yàn)室的IXIA PerfectStorm工具創(chuàng)建的。UNSW-NB15數(shù)據(jù)集是基于一個(gè)全面的網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的，用于生成攻擊活動(dòng)。該數(shù)據(jù)集從真實(shí)的、正常運(yùn)行的網(wǎng)絡(luò)中收集攻擊數(shù)據(jù)集，滿足網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)需要使用具有時(shí)間特征和連續(xù)時(shí)間維的數(shù)據(jù)集的條件。數(shù)據(jù)集還提供了訓(xùn)練集和測(cè)試集，減少了數(shù)據(jù)預(yù)處理的工作量。UNSW-NB15作為基準(zhǔn)數(shù)據(jù)集，包含Tcpdump工作者捕獲的100 GB原始流量。數(shù)據(jù)集包含9種類(lèi)型的網(wǎng)絡(luò)攻擊，實(shí)施的攻擊類(lèi)型包括FTP、SSH、DoS、Heartbleach、Web攻擊、滲透、僵尸網(wǎng)絡(luò)和DDoS等。

網(wǎng)絡(luò)流量數(shù)據(jù)通常用高維向量表示。采用t分布隨機(jī)鄰域嵌入(t-SNE)方法對(duì)其復(fù)雜度進(jìn)行可視化，并基于可視化圖對(duì)其進(jìn)行定性分析。在UNSW-NB15數(shù)據(jù)集上呈現(xiàn)顯著差異，其中一些類(lèi)內(nèi)距離可能大于類(lèi)間距離，并且分布不均勻。正常樣本和攻擊樣本具有相同的空間特征，這也說(shuō)明特征空間不可能線性分離。因此，基于這個(gè)數(shù)據(jù)集實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)，可以最大限度地模擬真實(shí)網(wǎng)絡(luò)的復(fù)雜性。

由于UNSW-NB15數(shù)據(jù)集的連通性特征和其他特征，該數(shù)據(jù)集在攻擊模式識(shí)別和分析方面具有巨大潛力。雖然使用UNSW-NB15數(shù)據(jù)集檢測(cè)了預(yù)測(cè)模型的性能，但也發(fā)現(xiàn)了此數(shù)據(jù)集在在研究中的一些局限性。在進(jìn)行實(shí)驗(yàn)之前，對(duì)數(shù)據(jù)集中的大量數(shù)據(jù)進(jìn)行預(yù)處理，發(fā)現(xiàn)數(shù)據(jù)集中包含大量的噪聲，這些噪聲對(duì)情況預(yù)測(cè)的貢獻(xiàn)很小。

4.2 數(shù)據(jù)預(yù)處理

在深入研究Snort威脅分類(lèi)機(jī)制的基礎(chǔ)上，我們首先將威脅級(jí)別分為高、中、低三類(lèi)。第一類(lèi)是侵入計(jì)算機(jī)并獲得計(jì)算機(jī)控制權(quán)的攻擊，可以對(duì)計(jì)算機(jī)系統(tǒng)造成致命威脅，定義為高。第二類(lèi)攻擊是為了獲取系統(tǒng)內(nèi)部的私人信息而進(jìn)入計(jì)算機(jī)的攻擊，這種攻擊被定義為中。第三類(lèi)攻擊不進(jìn)入計(jì)算機(jī)系統(tǒng)，目的是消耗網(wǎng)絡(luò)帶寬。這種類(lèi)型的攻擊使計(jì)算機(jī)無(wú)法與外界通信或提供正常的操作，它被定義為中。第四類(lèi)是網(wǎng)絡(luò)掃描型攻擊，對(duì)計(jì)算機(jī)的影響較小，定義為低。

將權(quán)重系數(shù)理論與攻擊威脅等級(jí)分類(lèi)有機(jī)地結(jié)合起來(lái)，確定攻擊威脅值。基于威脅等級(jí)越高威脅值越高的原理，對(duì)威脅等級(jí)進(jìn)行了預(yù)測(cè)使用權(quán)重系數(shù)分布函數(shù)在0和1之間。具體表達(dá)式如下：

(26)

式中，最大量化值定義為M0=1；n表示威脅級(jí)數(shù)；i表示威脅級(jí)別的序數(shù)，即i=0，1和2分別表示高、中和低。UNSW-NB15數(shù)據(jù)集中各種攻擊類(lèi)型的威脅等級(jí)及威脅值如表1所示。

表1 UNSW-NB15數(shù)據(jù)集的攻擊態(tài)勢(shì)值

為評(píng)估提出的模型的預(yù)測(cè)能力的準(zhǔn)確性，使用均方根誤差(RMSE)和平均絕對(duì)誤差(MAE)來(lái)衡量情況預(yù)測(cè)準(zhǔn)確性。RMSE具體表達(dá)式如下：

(27)

(28)

4.3 實(shí)驗(yàn)分析

本節(jié)將對(duì)所提出的模型進(jìn)行驗(yàn)證。硬件設(shè)置為筆記本電腦，配置參數(shù)為AMD R9-5800 CPU，運(yùn)行內(nèi)存16 G，操作系統(tǒng)為Windows 11。采用MATLAB R2020b編程軟件進(jìn)行算法設(shè)計(jì)。

網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的采樣尺度為2 000，訓(xùn)練集為120，模擬時(shí)間長(zhǎng)度為1 200 s，檢測(cè)頻率為24 kHz。根據(jù)上述仿真回路和參數(shù)，進(jìn)行網(wǎng)絡(luò)安全防護(hù)態(tài)勢(shì)評(píng)估仿真。首先，選擇UNSW-NB15數(shù)據(jù)集上其中一段的含有強(qiáng)烈干擾信號(hào)的網(wǎng)絡(luò)入侵行為數(shù)據(jù)為例，示意圖如圖2所示。以上述網(wǎng)絡(luò)安全入侵信號(hào)為樣本輸入，作為評(píng)估模型的初始信息，從圖2中可以看出，入侵?jǐn)?shù)據(jù)受到媒體信息的干擾，難以有效識(shí)別一般。在防護(hù)態(tài)勢(shì)評(píng)估中，以8 s的時(shí)間寬度提取模型的特征信息，然后通過(guò)數(shù)據(jù)聚類(lèi)得到Sink節(jié)點(diǎn)和Source節(jié)點(diǎn)的網(wǎng)絡(luò)，檢測(cè)提取的網(wǎng)絡(luò)安全威脅信息流與Sink節(jié)點(diǎn)和Source節(jié)點(diǎn)的網(wǎng)絡(luò)之間的相關(guān)性。結(jié)果如圖3所示。

圖2 網(wǎng)絡(luò)入侵信息數(shù)據(jù)

圖3 網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估結(jié)果

從圖2和圖3中可以看出，基于本文算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估具有良好的波束指向性，能夠準(zhǔn)確地反映出網(wǎng)絡(luò)受網(wǎng)絡(luò)安全威脅后對(duì)安全態(tài)勢(shì)的最終分布情況，從而定量地比較本文方法在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中的優(yōu)越性能，本文模型與其他方法相比，以評(píng)價(jià)的準(zhǔn)確性為檢驗(yàn)指標(biāo)，對(duì)比結(jié)果如圖4所示。在迭代后期，本文模型較快的實(shí)現(xiàn)了防護(hù)準(zhǔn)確率100%的目標(biāo)，另外兩種算法前期準(zhǔn)確率較低均低于75%且隨著迭代的進(jìn)行準(zhǔn)確率提升較慢，因此本文算法具有更好的防護(hù)準(zhǔn)確性及效率。

圖4 網(wǎng)絡(luò)防護(hù)態(tài)勢(shì)準(zhǔn)確率比較

其次，在整個(gè)UNSW-NB15數(shù)據(jù)集上大規(guī)模進(jìn)行實(shí)驗(yàn)，具體實(shí)驗(yàn)結(jié)果如表2所示。

表2 UNSW-NB15結(jié)果

表1為各個(gè)算法在UNSW-NB15數(shù)據(jù)集上的RMSE、MAE結(jié)果，從中可以看出本文算法相比于文獻(xiàn)[10]算法、文獻(xiàn)[11]算法、文獻(xiàn)[12]算法在RMSE減少了約45.8%～61.8%，在MAE減少了約42.5%～64.5%。展現(xiàn)出本文算法的優(yōu)越性，表明本文算法誤差更小，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估準(zhǔn)確度更高，從而有利于實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的優(yōu)化。

5 結(jié)束語(yǔ)

本文設(shè)計(jì)了一種網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化新方法。首先，構(gòu)建多變場(chǎng)景下的網(wǎng)絡(luò)安全狀態(tài)趨勢(shì)模型，利用綜合大數(shù)據(jù)挖掘方法對(duì)網(wǎng)絡(luò)安全信息相關(guān)數(shù)據(jù)進(jìn)行挖掘，獲得網(wǎng)絡(luò)的綜合狀態(tài)和結(jié)構(gòu)。其次，利用入侵檢測(cè)方法提取自適應(yīng)特征和主要功能參數(shù)結(jié)構(gòu)，進(jìn)而提取敏感信息。然后利用優(yōu)化后的FCM方法對(duì)復(fù)雜高頻信息流進(jìn)行分類(lèi)。仿真結(jié)果表明，本文算法能較好地進(jìn)行網(wǎng)絡(luò)安全防護(hù)狀況評(píng)估，網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確率較高，誤差更小，網(wǎng)絡(luò)安全得到了保證。在未來(lái)的研究中，可以嘗試考慮模型在不同場(chǎng)景下的評(píng)估，以驗(yàn)證其性能。