基于神经网络的网络安全态势感知技术研究

  态势评估是态势感知的核心技术手段，一个合理、有效的态势评估模型能够更加快速、准确地对当前网络环境的态势状态做出反应，以便管理者更好地管理网络。本文就神经网络较强的学习和分类能力，提出基于攻击的态势评估模型，包括基于攻击的攻击检测模型和基于攻击因子的态势评估指标。针对 DNN 在攻击检测上存在检测精度低、误报率高等问题，本文提出了一种融合批量规范化和深层神经网络的攻击检测模型。该模型首先在深层神经网络的隐藏层中添加了批量规范化层，优化隐藏层的输出结果，然后采用 Adam 自适应梯度下降优化算法对 BNDNN 进行参数自动优化，提高模型的检测能力。通过分析不同网络攻击对安全状况的影响，构建基于攻击因子的态势评估指标。该方法利用受到攻击的情况来体现主机当前态势状况，再根据网络中所有主机的态势信息综合计算整个网络的态势值并量化得出态势等级，实现了网络安全态势的感知。并用 NSL-KDD 数据集和真实网络流量数据集分别验证了评估模型的可行性和有效性。

  第 1 步——网络态势要素获取。主要是监测和获取网络环境中影响网络安全的态势要素，并对其进行实时收集、初步整理以及规范化等预处理操作，为态势理解做准备工作。第 2 步——网络态势理解。将预处理好的态势要素数据进行关联分析，挖掘出其内部的有用信息，将当前网络的态势以定性或者定量的方式展示出来。第 3 步——网络态势趋势预测。基于对目前已知环境网络态势的理解，进一步预测未来网络态势的趋势发展，为管理员提供决策支持。而态势感知概念的提出是在 1999 年，由 Tim Bass提出，他指出态势感知将会成为未来网络管理的主要研究方向，同时他在数据融合模型的基础之上，以分层的思想对多源数据进行态势融合处理，得到了基于多源数据融合的 NSSA 模型。Endsley 和 Tim Bass 对态势感知的相关研究，启迪了后来的研究学者和研究机构，之后对态势感知的研究多以态势评估以及态势预测为主。在态势评估技术方面，Ladimir Gorodetsky 等通过多代理异步数据流来分析网络安全的态势情况；Liu Mixia 等通过分析影响网络安全的因素之间的关系，用 D-S 证据理论进行数据融合来构建一个更加高效的评估模型；Hiff]et J利用了多种网络检测技术，并提出一种单一因素的评估框架；Z Ying 等根据粗糙集理论(Rough Set Theory，RST)在机器学习中处理冗余数据以及特征选择方面的优势，建立了基于 RST 的网络评估模型，并用NLANR 数据集验证了模型的评估性能；在态势预测技术方面，Li T 等提出基于空间重构和人工免疫系统相结合的态势预测方法，先使用空间重构法来重构表示网络安全状况的时间序列数据，再利用免疫进化机制为网络安全状况构建相应的预测模型；Olabelurin 等结合熵概念和相关特征变量的聚类算法，及时检测并主动预测 DDo S 攻击；Bao 等通过分析攻击类别间的逻辑关系，并计算其权值和可能性，从而实现复合攻击的检测和预测；Lai 等利用基于附加权重的 GM(1,1)建立了预测模型，完成网络态势的预测工作。国内而言，关于网络安全态势感知的研究起步比较晚，现在主要处于理论研究阶段。随着国家越来越重视网络空间安全的发展，使得许多学者、机构都投身于该领域的研究。通过不断地研究与实践，我国在态势感知的系统结构、模型优化以及实际应用中都取得了较好的研究成果。在态势评估技术方面，韦勇等利用服务和漏洞信息，通过改进的 D-S 证据理论来融合节点要素和节点态势以完成态势评估，同时使用时间序列分析法进行态势预测；张勇等将多种传感器采集的要素数据融合并进行规范化处理，且分析其内在的传播规律，建立一个 Markov 博弈模型来评估网络安全状况；许国光等仿照人体健康状态与抗体浓度变化的规律，根据自体耐受性等免疫原理，提出了基于抗体浓度的异常定量检测模型；陈秀真等根据网络结构、主机和服务等 3 个方面权重占比，以分层量化的思想，综合评估出网络安全态势信息；李方伟等采用最佳聚类以及模糊 C-均值(Fuzzy C-means, FCM)聚类准则对数据进行预处理后，建立一个多因素的二级态势评估模型以获得最后的态势信息。

  2 相关技术介绍