網絡安全態勢感知技術研究現狀

陳偉然，朱重偉

網絡安全態勢感知技術研究現狀

陳偉然，朱重偉

（水電十四局大理聚能投資有限公司，云南 大理 671000）

長久以來，網絡安全態勢感知技術的研究取得了長足的進展，但是隨著大數據時代的來臨，先前的研究顯示出其局限性和不足之處，人工神經網絡的出現促進了網絡安全態勢感知技術的進一步發展。著重分析了神經網絡在網絡安全態勢中的應用，解決了網絡安全態勢的特征提取和預測問題，為神經網絡技術與網絡安全態勢感知技術的結合奠定了基礎。

神經網絡；態勢預測；網絡安全；態勢感知

1 引言

隨著社會的發展和人們之間更多的溝通要求，網絡在人們的日常生活中起著越來越重要的作用，包括計算機網絡、無線通信網絡等[1-3]。相應地，當人們上網發送和接收私人數據時，網絡攻擊變得更加頻繁。然而，僅通過單一防御方法很難解決這些安全問題。在如此嚴酷的環境下，獲取和處理安全信息的綜合技術——網絡安全狀況感知（NSSA）受到了廣泛的關注[4-5]。網絡安全態勢感知起源于古代軍事對抗思想，該技術在航空領域得到首次應用，通過觀察飛行場景進行認識，然后根據具體情況做出及時的反應和決策，隨后空中交通管制的實施遏制了網絡安全態勢感知技術的發展，但是在醫療應急調度領域和電力系統領域得到了廣泛應用。2018-09-13，國家能源局印發《關于加強電力行業網絡安全工作的指導意見》，其中指出要進一步落實電力企業網絡安全主體責任，完善網絡安全監督管理體制機制，加強全方位網絡安全管理，強化關鍵信息基礎設施安全保護，加強行業網絡安全基礎設施建設，加強電力企業數據安全保護，提高網絡安全態勢感知、預警及應急處置能力，支持網絡安全自主創新與安全可控。

2 網絡安全態勢感知模型

在態勢感知技術創新發展的過程中，研究人員根據國內外具體的應用場景，設計了不同的態勢感知模型：Endsley and Rodgers（1994）和Bass（1999）。

2.1 Endsley模型

1988年，德克薩斯州立大學技術學院ENDSLEY教授給出了態勢感知的定義，1995年，ENDSLEY基于對態勢創新理論的深入研究，提出了Endsley模型，描述了模型各部分的功能。該模型由環境因素、個體因素、態勢感知、決策和實施五個部分組成。整個模型的核心分為三個級別，具體如下。

態勢要素提取層：態勢感知的第一層，負責從網絡環境中感知和選擇態勢要素，對態勢變化具有重要影響。該層是態勢感知全過程的基礎，關系到后續的態勢要素的準確性評估和預測。

網絡安全態勢理解：在態勢感知的基礎上，全面分析從第一層中提取的要素，包括對要素、對象和事件重要性的理解，從而使管理人員具有決策和保護的目標。

網絡安全態勢預測：依據歷史網絡安全態勢信息和當前網絡安全態勢信息預測未來網絡安全態勢的發展趨勢，并根據系統目標和任務，結合專家的知識、能力、經驗制定決策，實施安全控制措施。

2.2 Bass模型

BASS于1999年提出了交通監管態勢感知理論，并給出了網絡安全態勢感知的定義，2000年，BASS T在該理論的基礎上構建了針對入侵檢測系統的Tim Bass功能模型。Tim Bass函數模型分為五個級別：數據精煉、對象精煉、態勢評估、威脅評估和資源管理。

數據精煉：負責從許多安全設備（例如入侵檢測、傳感器和探針）收集有關態勢評估的有用信息，并將這些信息轉換為統一的標準。

對象精煉：在時間或空間上分析從數據提取層收集的數據，并通過分類提取對象，從入侵檢測設備中提取重要的情況信息，并結合數據提取和對象提取的結果，為后續態勢的評估和預測奠定了基礎，該過程是動態分析的過程。

態勢評估：根據提煉的分析對象和賦予的權重，評估系統的安全狀況。

威脅評估：根據態勢提取層的動態分析結果，對網絡環境中的情況進行全面分析，尤其是針對網絡環境中可能遇到的威脅或攻擊。

資源管理：監視和管理網絡安全態勢感知的全過程，協調和分配態勢感知全過程涉及的系統資源和信息資源。

隨著態勢感知技術的日益普及，國內外許多研究者根據不同的應用需求提出了不同的態勢感知模型。SHEN等人[6]通過融合入侵檢測系統和入侵防御系統的預警信息，建立了基于馬爾可夫博弈論的網絡安全態勢融合感知與風險評估模型。JIA等人[7]從攻擊、防御和網絡環境三個角度構建了網絡安全態勢感知模型，該模型為不確定性推理模型，從而提高對態勢感知的敏感性。

人工神經網絡技術促進網絡安全態勢層間交互作用和認知能力。LI等人[8]提出使用跨層粒子群優化算法解決跨層態勢信息融合問題，將重要參考指標作為態勢因素，并將認知理論轉化為態勢感知，從服務安全性、主機安全性和網絡安全性方面進行態勢評估，通過繪制網絡安全態勢曲線為決策者提供參考。為了更好地適應空間共享領域信息網絡安全態勢多樣化的特點，LI等人[8]提出了多層次的網絡安全態勢感知模型，將網絡安全和信息安全數據、基本數據源等信息作為特征提取，通過數據集成完成態勢因素的選擇和提取，進行動態推理。楊榮澤根據多源數據流在端點之間數據包傳輸的序列化特性，構造單位時間段內的數據流元組，結合由隱馬爾科夫模型（HMM）改進而來的條件隨機場模型（CRF）對序列化數據流進行分類檢測并實現了部分算法。同時，在檢測方法的概念上改進了條件隨機場對序列化數據的串行檢測的傳統方案，提出了基于CRF的異常數據流分層并發檢測框架。趙昱博[9]構建了一個基于卷積神經網絡的入侵檢測模型，并對其中的卷積神經網絡進行了深入的研究和改進。

3 基于神經網絡的網絡安全態勢感知技術

網絡安全態勢感知技術的研究主要集中在三個階段。第一階段是網絡安全狀況因素的提取[9]，第二階段是網絡安全態勢的評估[10-11]，第三階段是網絡安全態勢的預測（NSSP）[12]。

3.1 網絡安全態勢的提取

美國高級國家安全系統研究中心針對主觀因素提出了基于網絡信息來提取網絡態勢感知，該方法取得了較好的結果[13-14]。在中國，網絡安全態勢要素的提取研究起步較晚，入侵檢測的早期相關工作為網絡安全態勢提取技術的研究奠定了基礎。為了消除冗余特征并提高運算精度，WANG等人[14]提出了一種基于態勢因素的進化神經網絡提取模型，并引入了進化策略來提高神經網絡模型的收斂速度和分類精度。LI和LIU基于優化的粒子群優化（Improved Particle Swarm Optimization，IPSO）和邏輯回歸算法（Logistic Regression LR）提取網絡安全態勢[15]，其模型如圖1所示。鑒于異構網絡安全狀況因素的特征，HUA等人[16]提出了一種基于本體的網絡安全狀況知識庫模型，對態勢因素進行分類和提取。LIU等人[17]提出了一種基于融合的網絡安全態勢感知控制模型。在該模型中，通過引入權重系數對威脅因素進行分類，以實現網絡安全態勢的提取。

圖1 基于LR-IPSO的安全態勢要素提取模型

3.2 網絡安全態勢的評估

目前，網絡安全態勢評估研究主要集中在評價指標體系的研究和態勢值的計算。

網絡安全狀況評估指標體系的研究尚無統一標準，國外相關成果主要從評估安全態勢的角度出發，國內研究成果從網絡服務架構、節點等方面開展。CHEN等人[18]提出了一種基于統計分析的層次化安全態勢定量評估模型，該評估策略和計算方法采用了層次化評估方法，提供了直觀的安全威脅評估模型。GIURA等人還建立了一個層次化的索引系統，對每個屬性使用不同的定量方法來評估網絡安全狀況。ZHANG和JIA等人[19-20]通過各種威脅來獲取總體安全狀況。WEI等人[21]提出了基于改進算法的網絡安全日志審計和態勢評估模型，其主要思想是通過計算節點來評估整個網絡的安全狀況。

態勢值計算是安全態勢評估的基礎。在目前的研究成果中，大部分運用人工智能、數據融合方法計算出態勢值。SHARMA等人[22]從節點上提出了分層的網絡安全狀況評估指標體系，對系統、主機、服務器分級別進行了評估，其態勢值是根據各個級別的情況進行計算。一些學者利用粗糙集、D-S理論、免疫理論和信息熵研究了網絡安全態勢評估模型，并提出了相應的態勢值計算方法[23]。ZHANG等人[24]針對大數據環境下的網絡安全態勢感知，首先建立了網絡安全態勢感知指標體系，對指標因素進行選擇和量化，然后通過計算態勢值構建了網絡安全態勢感知系統。利用粒子群算法對小波神經網絡參數進行優化，然后應用基于粒子群優化的小波神經網絡計算態勢值。

4 網絡安全態勢的預測

網絡安全態勢的預測（NSSP）作為整個態勢感知的最后一步，分析和處理先前和當前的態勢信息，然后對未來態勢進行預測。為了解決網絡安全態勢預測中的一系列技術問題，許多學者開始對預測方法進行一些深入的探索。有學者建立了一個隱式馬爾可夫模型，將網絡安全態勢中的過去和未來信息聯系起來，然后可靠地預測了未來的網絡安全態 勢[25]。一些專家[26]分析了網絡安全態勢的特征，并提出了基于廣義回歸神經網絡的預測模型。也有人使用區間Verhulst模型的殘差校正功能來獲取網絡安全態勢，然后引用灰色理論進行預測[27]。還有學者構建了分層網絡結構的評估模型，并使用支持向量機（SVM）來預測網絡安全態勢值的非線性特征[28]。但是，隨著網絡規模的不斷擴大，傳統的預測算法存在預測精度低、收斂速度慢等問題。而且很容易陷入過早的收斂。結果，預測結果不能正確反映網絡安全狀況，管理人員無法做出合理的決定。

人工神經網絡（ANN）具有一些潛在的優勢，包括高適應性、自學習能力和良好的非線性逼近能力，因此已在NSSA領域得到了廣泛的應用[29]。卓瑩等人[30]提出了網絡態勢預測的廣義回歸神經網絡模型GRNNSF，給出GRNNSF模型的網絡設計原則以及網絡態勢預測方法，基于真實數據集驗證GRNNSF模型的準確性和時效性。王宇飛等人[31]針對網絡安全態勢精確預測，提出一種基于改進廣義回歸神經網絡的預測方法，以改善網絡安全態勢預測精度。利用滑動時間窗口方法將各個離散時間監測點的網絡安全態勢值構造成部分線性相關的多元回歸數據序列，以其作為樣本集輸入到改進廣義回歸神經網絡加以訓練，進而得到網絡安全態勢預測模型。黃同慶[32]提出一種實時網絡安全態勢預測方法，設計了基于隱Markov模型的實時網絡安全態勢預測模型HMM-NSSP，通過網絡攻擊序列以及安全態勢評估值構建預測模型，并根據安全態勢預測算法計算出下一個時刻的網絡安全狀態，最后結合網絡中所有主機和網絡設備安全狀態預測網絡的安全態勢。

針對網絡安全態勢預測模型，傳統神經網絡解決方案可能會產生一些偏差。因此，引入人工智能優化算法優化了人工神經網絡的參數，普遍適用于各種人工神經網絡模型。一些學者開始逐步研究智能優化算法與人工神經網絡的結合，并取得了較好的效果。為了預測網絡安全態勢，有的學者提出了一種基于小波神經網絡（WNN）的網絡安全狀況定量預測方法，其網絡結構如圖2所示。

圖2 小波神經網絡拓撲結構

其中采用梯度下降法來訓練和優化WNN參數[33]。范九倫等人[34]依據網絡安全態勢值之間的非線性映射關系進行態勢預測，采用布谷鳥搜索算法對RBF神經網絡的結構參數進行優化，并在其間引入模擬退火算法思想和動態發現概率機制，以提升預測精度。仿真實驗顯示，改進后的布谷鳥搜索算法搜索效率更高，尋優結果更精確。孟錦等人[35]針對網絡安全態勢感知中的預測問題，提出了采用徑向基函數（RBF）神經網絡對態勢值進行預測的方法，為了提高RBF神經網絡的預測精度，使用混合遞階遺傳算法（HHGA）對RBF神經網絡進行訓練，獲得了神經網絡結構參數。實驗結果說明了此預測方法的有效性，并通過與已有的預測方法進行對比實驗，驗證了所提算法在精度方面的優越性。

王宇飛[36]從本質上深入剖析網絡安全態勢感知和網絡安全態勢預測的異同點，進而結合兩者在工作原理上的相似性，利用人工智能理論提出基于集成學習Boosting算法的一體化NSSE模型，實現了對目標網絡當前及未來安全態勢的全方位評估，其結果如圖3～圖5和表1所示，從圖中可知，相對比于BPNN和SVM，Boosting的預測精度較高。

圖3 BPNN預測NSSV與NSSV真實值比較

圖4 SVM預測NSSV與NSSV真實值比較

圖5 Boosting預測NSSV與NSSV真實值比較

表1 NSSF實驗結果（單位：%）

實驗方法最小樣本誤差最大樣本誤差平均誤差 BPNN2.19139.1532.17 SVM1.4473.6126.93 Boosting0.0015.779.007

為了提高神經網絡的預測準確性，ZHANG等人[24]采用改進的遺傳算法（INGA）建立了基于神經網絡（WNN）網絡安全狀況預測模型（INGA-WNN），通過自適應遺傳算法對WNN的參數進行了優化，其結果如圖6所示，四個預測模型均取得了較好的預測效果。但是，與WNN、GA-BP（基于遺傳算法的BP神經網絡）和GA-WNN（基于遺傳算法的小波神經網絡）相比，INGA-WNN更接近實際網絡態勢值，主要原因是INGA-WNN采用改進的遺傳算法對WNN進行優化，從而具有較高的非線性擬合能力，解決了種群遺傳多樣性的問題，有效避免了過早的收斂。

圖6 各模型的安全態勢預測曲線

5 結論

傳統的網絡安全態勢感知技術存在預測精度低、收斂速度慢、預測結果不能正確反映網絡安全狀況導致管理員無法做出合理的決定。人工神經網絡具有高適應性、自學習能力強和良好的非線性逼近能力，在安全態勢感知領域得到了廣泛的應用，神經網絡與智能優化算法的結合有效地解決了過早和收斂性較低的問題，可以更準確地預測網絡安全狀況。研究基于新一代人工智能科學技術的網絡安全態勢預測技術，以適應數據量大、動態多變、實時性要求高、高度協同的大數據網絡環境安全保障需求，支撐網絡安全管理的精準決策，為網絡安全主動動態防御提供指導。

［1］WU，DAPENG，HE，et al.A hierarchical packet forwarding mechanism for energy harvesting wireless sensor networks［J］.IEEE Communications Magazine：Articles，News，and Events of Interest to Communications Engineers，2015，53（8）：92-98.

［2］WU D，ZHANG H，WANG H，et al. Quality-of-protection-driven data forwarding for intermittently connected wireless networks［J］.IEEE Wireless Communications，2015，22（4）：66-73.

［3］WU D，WANG Y ，WANG H ，et al.Dynamic coding control in social intermittent connectivity wireless networks［J］. IEEE Transactions on Vehicular Technology，2016，65（9）：7634-7646.

［4］ZHAO G S，WU J C，CHEN Z H，et al.Research on cyberspace security situation awareness［J］.Chinese Journal of Network & Information Security，2016（10）：33-39.

［5］ONWUBIKO C.Functional requirements of situational awareness in computer network security［C］//Intelligence and Security Informatics，2009.ISI '09. IEEE International Conference on. IEEE，2009.

［6］SHEN D，CHEN G S，CRUZ J B，et al.A markov game theoretic data fusion approach for cyber situational awareness［C］//Defense & Security Symposium，2007.

［7］JIA X F，LIU Y L，YAN Y，et al.Network security situational awareness method based on capability-opportunity-intent model［J］.Application Research of Computers，2016（6）：1775-1779.

［8］LI M，TUO Y J，HUANG Y X.Cyberspace situation awareness model and application［J］.Communications Technology，2016（9）：1211-1216.

［9］趙昱博.基于卷積神經網絡的入侵檢測技術的研究［D］.哈爾濱：哈爾濱工程大學，2018.

［10］BASS T.Intrusion detection systems and multisensor data fusion［J］.Communications of the Acm，2000，43（4）：99-105.

［11］ABASI.A network security situational awareness model based on information fusion［J］.Advanced Materials Research，2009（3）：846-847.

［12］SALAZAR D S P，ADEODATO P J L，ARNAUD A L.Continuous dynamical combination of short and long-term forecasts for nonstationary time series［J］. Neural Networks and Learning Systems，IEEE Transactions on，2014，25（1）：241-246.

［13］HSIAO M U，CHEN C C，CHEN G H.Using UMLS to construct a generalized hierarchical concept-based dictionary of brain functions for information extraction from the fMRI literature［J］.Journal of Biomedical Informatics，2009，42（5）：912-922.

［14］WANG H Q，LIANG Y，YE H Z.An extraction method of situational factors for network security situational awareness［C］//Internet Computing in Science and Engineering，ICICSE'08.International Conference on.IEEE Computer Society，2008.

［15］LI D，LIU Z.Situation element extraction of network security based on logistic regression and improved particle swarm optimization［C］//2013 9th International Conference on Natural Computation（ICNC）.IEEE，2013.

［16］HUA H Y，CHEN Q M.Network security situation knowledge base model based on ontology［J］. Journal of Computer Applications，2014（Suppl 2）：95-98，107.

［17］LIU X W，WANG H Q，LI H W，et al.Fusion-based cognitive awareness-control model for network security situation［J］.Journal of Software，2016（8）：2099-2114.

［18］CHEN X Z，ZHENG Q H，GUAN X H，et al.Quantitative hierarchical threat evaluation model for network security［J］.Journal of Software，2006（4）：885-897.

［19］ZHANG Y，TAN X B，CUI X L，et al.Network security situation awareness approach based on markov game model［J］.Journal of Software，2011，22（3）：495-508.

［20］JIA R S，Liu C，SUN H M，et al.A situation assessment method for rock burst based on multi-agent information fusion［J］.Computers and Electrical Engineering，2015（4）：22-32.

［21］WEI Y，LIAN Y F.A network security situational awareness model based on log audit and performance correction［J］.Chinese Journal of Computers，2009，32（4）：763-772.

［22］SHARMA C，KATEICARFAD V.A novel framework for improved network security situation awareness［J］.International Journal of Computer Applications，2014，87（19）：26-31.

［23］WU J Y，YIN L H，FANG B X.A novel dynamic self-adaptive framework for network security evaluation［J］.Trustworthy Computing and Services，2013（5）：604-612.

［24］ZHANG H B，HUANG Q，LI F，et al.A network security situation prediction model based on wavelet neural network with optimized parameters［J］.Digital Communications and Networks，2016（3）：139-144.

［25］WEN Z C，CHEN Z G.Network security situation prediction method based on hidden markov model［J］.Journal of Central South University（Science and Technology），2015，46（10）：3689-3695.

［26］ZHUO Y，ZHANG Q，GONG Z H.GRNN model of network situation forecast［J］.Journal of PLA University of Science and Technology（Natural Science Edition），2012，13（2）：147-151.

［27］SHI Y Q，LI TAO，CHEN W，et al.A quantitative model for network security situation awareness based on immunity and grey theory［C］//2009 ISECS International Colloquium on Computing，Communication，Control，and Management.IEEE，2009.

［28］ELATTAR E E，GOULERMAS J，WU Q H.Electric load forecasting based on locally weighted support vector regression［J］.IEEE Transactions on Systems，Man and Cybernetics，Part C（Applications and Reviews），2010，40（4）：438-447.

［29］HE F，HE D F，XU A J.Hybrid model of molten steel temperature prediction based on ladle heat status and artificial neural network［J］. Journal of Iron and Steel Research，International，2014，21（2）：181-190.

［30］卓瑩，張強，龔正虎. 網絡態勢預測的廣義回歸神經網絡模型［J］. 解放軍理工大學學報（自然科學版），2012，13（2）：147-151.

［31］王宇飛，沈紅巖.基于改進廣義回歸神經網絡的網絡安全態勢預測［J］.華北電力大學學報（自然科學版），2011，38（3）：91-95.

［32］黃同慶.一種實時網絡安全態勢預測方法［J］.小型微型計算機系統，2014，35（2）：303-306.

［33］LAI J B，WANG H Q，LIU X W，et al.A quantitative prediction method of network security situation based on wavelet neural network［C］//Data，Privacy，and E-Commerce，2007.ISDPE 2007. The First International Symposium on. IEEE Xplore，2007.

［34］范九倫，伍鵬.基于RBF神經網絡的網絡安全態勢預測方法［J］.西安郵電大學學報，2017（2）：7-11.

［35］孟錦，馬馳，何加浪，等.基于HHGA-RBF神經網絡的網絡安全態勢預測模型［J］.計算機科學，2011，38（7）：70-72.

［36］王宇飛.基于集成學習的網絡安全態勢評估模型研究［D］.北京：華北電力大學，2012.

TP393.08

A

10.15913/j.cnki.kjycx.2020.14.001

2095－6835（2020）14－0001－05

〔編輯：王霞〕