基于一維卷積神經網絡與改進D-S證據理論的警務云安全數據融合技術

收稿日期：2022-04-26；修回日期：2022-06-15" 基金項目：江蘇省重點研發計劃資助項目；軍內科研項目；軍隊重點課題

作者簡介：李偉（1996-），男，江蘇鹽城人，碩士研究生，主要研究方向為云安全（1136279206@qq.com）；何明（1978-），男，新疆石河子人，教授，博導，主要研究方向為智聯網、無人指控等；徐兵（1988-），男，河南周口人，講師，主要研究方向為無線電定位與導航、計算機網絡；錢發華（1967-），男，警務技術二級主任，主要研究方向為網絡與云平臺；李晨（1994-），男，山東菏澤人，碩士研究生，主要研究方向為計算機視覺．

摘 要：針對系統內評估信息來源單一、準確度偏差過大與異構數據提取融合不充分的問題，提出一種可擴展攻擊行為的多源異構網絡安全數據融合框架。首先，建立以攻擊模式為核心的安全事件分析模型，進一步精簡安全數據；其次，針對決策層數據特征提取不足的問題，建立了基于攻擊行為的1D-CNN （1D convolutional neural network，1D-CNN）模型，對警務安全數據進行特征學習和重構；最后，為了進一步提高警務云安全數據的分類能力，模型改進了D-S證據理論并結合多源安全數據的可信度進行數據融合。實驗分析表明，基于1D-CNN的改進D-S證據理論模型進一步提高了警務云中安全事件的報警識別率，與其他相關技術相比，該模型具有較好的分析能力，對警務云的安全入侵檢測和漏洞分析具有重要意義。

關鍵詞：云數據安全；數據融合；D-S證據理論；神經網絡

中圖分類號：TP309"" 文獻標志碼：A

文章編號：1001-3695（2022）12-038-3765-05

doi：10.19734/j.issn.1001-3695.2022.04.0201

Police cloud security data fusion technology based on one-dimensional convolutional neural network and improved D-S theory of evidence

Li Wei1，He Ming1，Xu Bing1，Qian Fahua2，Li Chen1

（1.Institute of Command amp; Control Engineering，Army Engineering University of PLA，Nanjing 210007，China；2.Information Department，Jiangsu Provincial Public Security Department，Nanjing 210007，China）

Abstract：In order to solve the problems about single source of evaluation information，large deviation of accuracy and insufficient extraction fusion of heterogeneous data，this paper proposed a multi-source heterogeneous network security data fusion framework which could expand the attack behaviors.Firstly，this paper established a security event analysis model based on attack mode to further simplify security data.Secondly，aiming at the problem of insufficient data feature extraction at decision level，it established a 1D-CNN model based on the attack behaviors to learn and reconstruct the features of police security data.Finally，in order to improve the classification ability in police cloud network security situation data，it modified the D-S evidence theory to fuse data combined with the credibility of multi-source security data.The experiment shows that the improved D-S theory of evidence module based on the 1D-CNN model further improves the alarm recognition rate of security events in police cloud.Compared with other related technologies，the model has better analytical ability and a great significance for security intrusion detection and vulnerability analysis in police cloud.

Key words：cloud data security；data fusion；D-S theory of evidence；neural network

0 引言

在大數據的背景下，警務云平臺的建設應用工作持續深入發展，在有力服務各類基礎設施、智能應用以及數據資源的同時，對平臺的整體安全性也提出了新的要求。隨著警務云網絡范圍和規模的不斷擴大［1，2］，病毒入侵、拒絕服務攻擊、5G集群攻擊、注入攻擊、惡意軟件等問題始終威脅著平臺安全，警務云通過跨端點、云和Web的安全設備等提供云基礎安全防護，直接使用這些設備生成的安全日志進行網絡入侵檢測面臨三類問題：a）存在大量的異構設備，這些數據格式不一、標準多樣、協議復雜，對這些數據很難實現歸一化，存在多設備的安全日志無法融合、單設備檢測結果不精確的問題；b）入侵檢測沒有面向內容特征的安全異構大數據聚類融合方法，嚴重依賴于專家知識，無法進行定性評估；c）警務云大數據環境下安全信息由于數據結構復雜、節點動態增減等原因，公共語義參考模型很難預先設定。如何快速準確地檢測攻擊事件，實現安全事件存儲和計算總量的雙壓降，提高警務云安全分析數據的質量和時效性，已成為當今警務網絡安全面臨的主要挑戰。

目前，卷積神經網絡（convolutional neural network，CNN）作為一種深度學習方法，在圖像識別、語音識別和機器視覺［3］方面作出了巨大貢獻。入侵檢測與CNN相結合已經被廣泛應用于網絡威脅檢測，在分析警務云安全數據時，發現每個威脅行為數據集具有一維特征相似性，因此本文基于一維CNN（1D-CNN）建立數據分類模型進行安全數據處理。首先在安全數據集的基礎上系統地對攻擊技術機制和攻擊目標的特征進行總結，建立一個可擴展的攻擊行為模型；接著基于攻擊行為模型建立1D-CNN模型來對警務安全數據進行特征學習和重構，層次挖掘警務數據集中時間隱藏特征，解決現有決策層數據特征提取不足的缺點；最后結合改進的D-S證據理論進行多源數據融合，將以攻擊模式為核心的多源異構安全數據常態化為威脅事件，進一步增強入侵檢測的分類效果，為云中的細粒度安全狀態檢測構建靈活的方案，進一步為警務云數據安全防護能力提供了參考。該模型主要貢獻如下：a）使用來自警務云的多源日志，包括IDS日志、交換設備日志和系統日志作為入侵檢測數據集，比單源日志作為入侵檢測數據集取得了更好的結果；b）基于警務云大數據環境提出一維卷積神經網絡模型，從單個證據源的入侵數據中提取有影響的特征進行特征提取及重構，經過訓練取得一個分類良好的模型，實現了較高的檢測率和召回率；c）建立了攻擊融合模型，在一維卷積神經模型的基礎上再次對異構數據進行改進D-S證據融合處理，進一步提高準確率，極大地提高了目前警務云的入侵檢測識別效率。

1 相關工作

1.1 一維卷積神經網絡

許多用于入侵檢測的機器學習方法，如支持向量機、神經網絡、隱馬爾可夫模型和模糊邏輯等只具有淺層學習架構，難以識別未知攻擊，也無法處理大型數據集中常見的噪聲，所以不適用于在警務云大數據環境中進行入侵檢測。1D-CNN是一種具有卷積計算的深度前饋神經網絡，結構包括一個輸入層、若干卷積層、若干池化層、連接層和輸出層，在多層的組合操作下使重構特征輸出，不僅可以增強原始數據的特征，而且可以相對降低數據維數，減少數據分析的工作量［4～8］。

目前基于CNN的入侵檢測算法研究中，Hassan等人［9］基于CNN和權重下降的長短期記憶（WDLSTM） 網絡提出適用于大數據環境下的網絡入侵檢測方案，使用深度CNN從 IDS中提取有意義的特征，并使用 WDLSTM保留提取特征之間的依賴關系，有效減少循環連接的過度擬合，但該方案不適用于小參數的網絡檢測模型，且不能很好地概括輸入數據的規模。陳旖等人［10］提出一種基于一維卷積神經網絡的SHDoS攻擊流量檢測方法，將攻擊數據流轉換為一維序列并進行去重處理，學習攻擊樣本的局部模式，從而使模型能夠檢測多種攻擊流。Kan等人［11］提出了一種基于自適應粒子群優化卷積神經網絡的入侵檢測方法，引入慣性權重因子的自適應變化方法，對原有的PSO算法進行改進，通過自適應粒子群的全局搜索能力將模型成功應用于多類型的網絡攻擊檢測樣本中，但該模型不能較好地對訓練周期內的指標變化進行評估，在粒子群的迭代優化中更新速度較慢。Jiang等人［12］將CNN和雙向長短期記憶（bi-directional long short-term memory，BiLSTM）在深層層次結構中結合，提出了一種高效的IDS，利用CNN提取空間特征、使用雙向BiLSTM提取時間特征形成深層次網絡模型，該模型在準確性和檢測率方面有較好的性能，但由于該模型結構較為復雜，所需訓練時間較長。

綜上所述，1D-CNN 相較于其他機器學習方法，能夠提高入侵檢測的精度和計算速度，在一定程度上能夠提高網絡環境的安全性，然而此類研究很少可以直接應用于多源日志的網絡檢測，單源日志將導致一定的檢測缺失率。

1.2 D-S證據理論

D-S證據理論適用于不確定性推理，允許結合不同來源的證據并得出一個考慮所有可用證據的信念程度，其具有與概率、可能性和不精確概率論等其他框架的理解聯系，在自動控制、圖像識別、目標檢測和入侵檢測［13～16］等領域具有廣泛的潛在應用。D-S證據理論中包含辨識框架、mass函數、信度函數和似然函數，其中辨識框架為非空集θ，信度函數為某個事件A所有的子集概率之和，似然函數為事件A交集不為空的概率之和，mass函數為冪集2θ在［0，1］上的映射函數，表示為

mass：2θ→［0，1］，m（θ）=0amp;∑Aθm（A）=1（1）

對于n個mass函數集合{m1，m2，…，mn}，事件集合{A1，A2，…，An}，K為歸一化函數，其合成公式為

（m1⊕m2⊕…⊕mn）（A）=1K∑A1∩A2∩…∩An=Am1（A1）m2（A2）…mn（An）Aiθ，i∈{1，2，…，n}（2）

K=∑A1∩A2∩…∩An≠m1（A1）m2（A2）…mn（An）=1-∑A1∩A2∩…∩An=m1（A1）m2（A2）…mn（An）（3）

在入侵檢測應用方面，王思琪等人［17］結合靜態漏洞檢測技術和D-S證據理論實現了一種基于多維度特征的固件Web漏洞檢測方法，并基于此實現了一套針對固件Web漏洞的檢測框架，提高了具有復雜語義和控制流固件Web代碼漏洞的檢測能力。Liu［18］為了提高網絡通信惡意入侵檢測的效率，設計了基于D-S證據理論的惡意入侵檢測模型，首先對數據進行預處理，包括正常樣本數據建模、標準數據隸屬度計算等，其次完成入侵檢測分類和信任值計算，得出云數據中心網絡通信的惡意入侵檢測結果，降低了檢測時間和誤報率。Sahu等人［19］針對網絡物理系統（cyber-physical system，CPS）安全中的隱式信任問題提出了用于推理的域間證據理論方法（inter-domain evidence theoretic approach for inference，IDEA-I），該方法將檢測問題重新定義為如何在給定不確定性的情況下作出好的決策，同時利用D-S證據理論設計了一個多假設質量函數模型，利用從監督學習分類器獲得的概率分數進行位置和域的融合，以使用析取、連接規則來評估檢測器的性能。Li等人［20］提出了一種基于D-S證據理論的主機安全分析方法，采用支持向量回歸、邏輯回歸和K近鄰回歸三種模型作為多源信息融合的傳感器，多個傳感器分別對主機進行安全分析，并將分析結果作為D-S證據理論的證據，提高了分析結果的實時性和準確性。Chen等人［21］結合神經網絡和D-S證據理論實現了一種DoS攻擊檢測方法，通過BP神經網絡獲取各種攻擊的基本概率分配值，然后借助改進的D-S證據理論和獲得的BPA得到最終結果，通過模糊支持加權調整D-S證據理論的組合規則，避免不同源之間存在完全沖突時出現不合理的融合結果，降低了沖突信息的誤差影響。Zhao等人［22］針對態勢感知系統中評估信息來源過于單一、準確度偏差過大的問題，提出一種基于D-S證據理論的網絡安全態勢評估模型，首先使用PCA對報警數據進行預處理，縮短報警處理時間，其次利用改進的D-S證據理論，結合多源攻擊數據的可信度提高告警識別率。

綜上所述，D-S證據理論對從網絡收集的單源或多源數據進行預處理，通過特征融合和關聯能夠獲得更多更優質的細化數據，極大地提高了惡意網絡行為的檢測能力。本文將D-S證據理論應用于警務云安全數據融合中，可以通過其將異構設備的多源事件經預處理引入不同等級的置信度，融合多個屬性對安全事件進行量化評判，從多源數據生成的初始決策被集成到決策融合中心，以實現更準確、更全面的推理和決策，達到降低誤報率的目的。

2 基于1D-CNN與改進D-S證據理論的融合模型

本文提出的基于攻擊模式的1D-CNN與D-S證據理論融合框架將網絡攻擊轉換為具有結構化的標志，使用一階邏輯關系來對攻擊進行描述，根據提出的1D-CNN和改進D-S證據理論模型提取攻擊者意圖，在大規模數據情況下，可以有效地進行警務安全數據融合檢測。

2.1 攻擊模式的定義

對于警務大數據而言，需要盡可能收集與安全威脅相關的所有數據，包括風險數據、攻擊事件數據、安全狀態數據、行為分析數據等內部安全數據，以及基于外部的各種攻防動態、攻擊樣本、黑客攻擊等情報數據，并通過完善的關聯分析和數據挖掘方法去發現這些數據的隱藏價值，以保證平臺的開放性，兼容并支持更多安全數據。例如警務云系統在操作過程中會生成大量日志，由于系統大部分時間都處于正常工作狀態，收集到的日志會有大量冗余數據，如果直接使用該類安全數據，會提高日志分析的干擾程度。為此通過攻擊模式的建立可以大量刪除安全數據中的冗余數據，基于攻擊行為建模的有效性取決于對單個攻擊動作的精確建模。通過研究多重攻擊行為建模方法和攻擊分類標準，對攻擊行為的完整描述應包括以下三個維度：a）攻擊目標的特征，目標類型、目標的產品技術、目標依托的運行環境，即對特定平臺發起的攻擊具有目標的強相關特征；b）攻擊機制，包括初始條件、資源要求、攻擊手段、攻擊層次、時間特性、嚴重程度等；c）攻擊意圖，攻擊階段意圖與預期攻擊結果。如嗅探攻擊可以按三個維度描述為：攻擊目標類型為網絡設備，依托運行環境為廣播型網絡；攻擊機制為網絡鏈路流動的數據流分析，初始條件為較低安全的網絡結構，資源需求為同一個網絡段，攻擊手段為滲透性流量分析，攻擊層次為偵察，時間特性為長時高強度，嚴重程度為破壞信息的保密性；攻擊階段意圖為實現數據流分析攻擊，預期攻擊結果為實施重放攻擊。

本文基于以上三維方法對攻擊模式進行定義，構造了如圖1所示的結構攻擊模式。為了建立歸一化攻擊情況數據場與未知攻擊情況數據場之間的映射關系，需要提取網絡攻擊情境中攻擊數據中的目標特征、攻擊機制和攻擊意圖三種主要信息類型。數據結構和數據內容的融合是安全異構大數據語義融合的關鍵，傳統異構數據語義融合方法通常需預先設定公共語義參考模型，警務云大數據環境下安全信息由于數據結構復雜、節點動態增減等原因，公共語義參考模型很難預先設定。本文考慮動態語義融合機制，面向內容特征進行攻擊匹配，進而提高基于安全事件的置信度，攻擊匹配過程如圖2所示。如果提取的攻擊特征與目標特征無法進行攻擊模式的匹配，則需進一步提取攻擊意圖，完成攻擊模式的分類。

2.2 多源異構結構的數據融合框架

警務云中存在大量的異構設備，這些數據格式不一、標準多樣、協議復雜，多源異構安全數據融合的難點在于警務云中不同安全供應商和設備收集的日志數據在描述網絡攻擊時并不一致、對相同情景信息的描述并不一致，很難實現對這些數據的歸一化。本節提出基于警務云的數據融合框架如圖3所示。首先對多源異構的網絡設備、安全設備以及系統日志等數據源進行采集和數據解析，通過自定義的攻擊模式對持對收集到的重復日志進行過濾及聚合歸并，減少日志量；接著對數據進行預處理操作，如隨機采樣、均值歸一化、one-hot編碼等；然后合并特征數據劃分訓練集與測試集，送入1D-CNN模型內進行數據分類；在此基礎上需要整合不同異構情況數據源來提取和描述抽象的攻擊意圖，所以該部分的數據分類是并發進行的，不同設備的數據進行1D-CNN分類后送入D-S證據理論模塊內進行安全數據融合；最后輸出識別攻擊類型。

基于警務云的1D-CNN模型如圖4所示，其中輸入數據的來源為N個傳感器X，X為N個獨立的K維數樣本集。本文所使用的模型共包含兩個卷積層、一個池化層、兩個全局池化層和一個全連接層，具體步驟如下：

a）數據預處理操作。當數據輸入時進行數據預處理工作，采用one-hot編碼，將數據映射到［0，1］，降低特征值數量級不一致對結果的影響。

b）卷積—池化—池化操作。經過卷積層convld1卷積后進行pooling層池化操作，進行特征選擇降低特征數量，輸出表示為Tlthmth=ReLU（maxpooling（Slthmth，Plthmth）+blthmth），其中blthmth為l th卷積的偏差層，步幅為1，再將輸出送入下一層卷積層convld2，并保存convld2的特征圖Y′，其中Y′中每個元素y′的運算定義為y′=ReLU（∑i∈［0，l］input（i+c，channel）×Cj+b），l為特征圖長度，i為卷積核序列號，c為卷積核長度，Cj代表該層卷積核序列號為j的卷積核長度。

c）分別對上次結果進行全局平均池化（global average pooling）和全局最大池化（global max pooling）操作。該部分得到1×k個特征圖，為了防止過擬合現象，全連接層處使用softmax得到分類結果，其中每個元素y進行y=soft（y′）計算，損失函數為loss=crossentropy（Y，Y′）。

d）應用Adam優化器對損失進行優化。當達到訓練迭代的終止條件時，進行權值更新和偏置更新，使用批處理歸一化在訓練時對每個特征進行歸一化，然后在整個訓練數據集后再次重新縮放使訓練收斂速度更快，并提高性能結果。為了防止過擬合現象，在全局池化結果合并時使用dropout函數刪除上一層的輸出比例來提供正則化，對不可見結果進行泛化處理，隨機忽略一些神經元以防止過度擬合。

為了解決警務云內多個安全設備主體在合成規則不確定的情況下融合結果的合理性及有效性問題，在D-S證據理論的基礎上結合1D-CNN的檢測模型分類完成的安全數據，對其進行改進，識別框架θ中包含n個不同結論和M個不同信息源的N維行向量Si（i≤k），向量分布的概率賦值函數設為k1，k2，…，kK，mi為對應元素的分布概率，Ai為第i個證據，為了能夠將證據之間的關聯與距離相關聯，對于證據源Si、Sj，D（Si，Sj）為兩者之間的2N×2N矩陣，兩兩證據源之間的距離定義為d（Si，Sj）。

D（Si，Sj）=|Si∩Sj||Si∪Sj|（4）

d（Si，Sj）=（Si-Sj）TD（Si-Sj）2（5）

式（5）為證據Si、Sj之間的相關程度，d（Si，Sj）的取值為［0，1］，即關聯程度可以設為cor（Si，Sj）=e1-d（Si，Sj），當cor（Si，Sj）越接近e時，證據之間表示為強相關性。同時，Si的總支持度為受其他證據的支持度的總和，可以由cor（Si，Sj）函數表示為sup（Si）=∑Mj=1cor（Si，Sj），iM，如果證據的可信度權重與平均支持度高度相似，就意味著該證據得到了其他大部分證據的支持，擁有較高的可信度，每一條證據的可信度權重ti=sup（Si）/∑Mj=1sup（Sj），在此基礎上根據證據源確定證據可信度。總證據可信度T=（∑M-1i=1∑Mj=1+1corM！（Si，Sj）M！）1M！。

根據警務云內安全數據特點重設概率分配函數，將沖突證據與證據可信度結合在一起，其中將部分沖突信息分配給證據中的焦點，其余分配給未知項。根據事件信息在總警務安全信息中所占的比重確定，當證據之間的關聯越密切時，融合效果越好，最終根據以下公式計算得到最終識別結果。其中，|Aa∩Bb∩…∩Ll|M|Aa||Bb|…|Ll|為證據之間的融合程度，P為關聯證據融合程度的集合值，P/（1-K）為融合后證據關聯中的單個分配概率。

m（）=0（6）

P=∑Aa∩Bb∩…∩Ll≠m1（Aa）m2（Bb）…mn（Ll）log2（|Aa∩Bb∩…∩Ll|M|Aa||Bb|…|Ll|）（7）

K=∑A1∩A2∩…∩An=m1（A1）m2（A2）…mn（An）=

1-∑A1∩A2∩…∩An≠m1（A1）m2（A2）…mn（An）（8）

m（A）=PT1-K∑Aa∩Bb∩…∩Ll=Am1（Aa）m2（Bb）…mn（Ll）+KT∑Mi=1t（si）m1（A）（9）

3 實驗分析

3.1 數據集描述

本文實驗使用的數據集為警務云內放置的蜜罐服務器與其對應防火墻、文件系統、網絡設備等收集的入侵數據集，數據集中混合正常工作活動和合成的模擬攻擊行為，數據集根據上文攻擊模式的定義分為10類攻擊類型，分別為Normal、Fuzzers、Reconnaissance、Backdoors、DoS、exploit、Analysis、Generic、Shell code及Worms，具體數據集描述如表1所示，共產生41個特征，分別是基于報文屬性和基于流屬性，基于報文屬性有助于檢查報文頭中的負載，基于流的特征是基于方向、到達時間和長度，如srcip、sport、dstip、dsport、proto，采用隨機采樣技術來解決攻擊量與正常數據之間數據不平衡的問題。

3.2 實驗環境及參數設置

本文使用PyTorch搭建1D-CNN模型，首先根據對攻擊模式的定義對數據進行預處理，接下來進行特征工程，包含隨機采樣、均值歸一化、one-hot編碼等方法，使用不同的降維方法去除網絡流量數據中的冗余和不相關特征，接著合并特征數據劃分訓練集與測試集，分別輸入模型得到結果，具體參數如表2所示，其中學習率設置為0.01。

3.3 評估指標及結果

實驗采用精確率、召回率、F1分數、ROC曲線作為評估標準。precesion為精確率，即正確分類的攻擊樣本數量占總樣本數量的比重；recall為召回率，即預測為正確樣本數量占實際正常樣本數量的比重；F1分數為該模型精確率和召回率的調和平均；FP（1 positive）是判定為正確樣本的錯誤樣本；FN（1 negative）是被判定為錯誤樣本的正確樣本，TP（true positive）是判定為正確樣本的正確樣本。計算公式如下：

P（precesion）=TPTP+FP（10）

R（recall）=TPTP+FN（11）

F1=2PRP+R（12）

將本文提出的1D-CNN模型與目前常見的檢測方法，如基于KNN、隨機森林（random forest，RF）、多層感知機（multi-layer perceptron，MLP）、樸素貝葉斯（naive-Bayes，NB）方法進行相同數據集比較，結果如表3所示。與其他四種方法相比，該模型的精準率和召回率都在97%以上，ROC曲線如圖5所示，降維后的低維特征數據集實現了網絡流量中的冗余去除，可以得出本文根據攻擊模式所提出的1D-CNN模型在特征選擇、檢測結果方面有較好的優越性。

為了進一步驗證改進的1D-CNN模型具有魯棒性，在安全數據集CIC-IDS-2017上也進行了對比實驗，結果如表4所示。該方法在精度、召回率和F1分數方面表現良好，精度、召回率絕大多數都在0.97左右，F1值均在0.97以上，綜合情況較好。ROC曲線如圖6所示。實驗證明，在數據集CIC-IDS-2017數據集上該模型也能取得較為理想的結果。

本文對不同類型的日志集進行了比較實驗，以驗證多源日志的數據融合階段采用改進D-S證據理論能夠對入侵檢測模型的性能。基于前文的1D-CNN模型進行了有無改進D-S證據理論與其他特征融合技術的對比實驗，鑒于D-S證據理論能區分不確定及未知因素，改進的D-S證據理論首先對信息進行提取和提煉，對安全事件進行融合。在此基礎上給出該信息的基本概率分配值，其通過將來自不同網絡設備的多源事件經預處理、精簡引入不同等級的置信度、融合多個屬性對安全事件進行量化評判以達到降低誤報率的目的，實驗結果如表5所示。

實驗表明，改進的D-S證據理論比缺省數據融合的訓練集準確率提升了1.6%，測試集的準確率提升了3.5%，比其余兩種基于D-S證據理論的數據融合算法的準確率和召回率要高。該實驗證明分類數據經過改進的D-S證據理論融合能夠進一步提高檢測模型的準確率。數據融合階段各類樣本類型精確率和召回率對比如圖7、8所示。改進D-S證據理論對警務云入侵檢測數據集具有較強的分類效果，精確率和召回率均有所提高，與原有的D-S證據理論方法相比，改進D-S證據理論在警務云威脅檢測中能夠確保安全檢測較高的準確性和良好的收斂性，通過該方法可以結合多源攻擊數據的可信度，提高告警識別率，減少誤報事件，提高識別攻擊行為的能力，能夠為警務云快速變化的網絡環境提供有力的支持，提高了警務云系統感知的準確性。

4 結束語

本文提出了一種基于1D-CNN和改進D-S證據理論的警務云數據融合技術，以解決評估信息來源過于單一、準確度偏差過大等問題，通過基于警務云的攻擊模式建立1D-CNN模型來對警務安全數據進行特征學習和重構，層次挖掘警務數據集中的時間隱藏特征，對多異構設備實現特征的并行提取，解決現有決策層數據特征提取不足的缺點。最后結合改進D-S證據理論的數據融合方法對分類數據的置信度進行推理。實驗通過采用真實數據集和CIC-IDS-2017數據集驗證了整體模型的有效性，與現有算法相比，該警務云入侵檢測模型具有更優的準確率、精確度和召回率，提高了入侵網絡流量的分類檢測性能，通過對警務云多源異構日志的分析實現了對攻擊信號的精準研判，得到了有效的安全規則，對警務云的安全入侵檢測和漏洞檢測具有重要意義。

下一步計劃將考慮更多的安全日志融合規則以提高入侵檢測的性能，基于檢測模型實現數據融合可視化，繪制出識別融合數據的分布特征，同時繼續完善模型結構，提高識別攻擊行為的能力，進而基于安全設備的置信度進行融合治理，并通過構建脆弱性、威脅和資產三種態勢評估指標量化態勢分量，提高警務云安全分析數據質量和時效性。

參考文獻：

［1］宋華，劉亮，胡芳，等.基于警務云的快遞業安全監管平臺設計［J］.電子技術應用，2017，43（4）：141-144，148.（Song Hua，Liu Liang，Hu Fang，et al.Design of express industry security supervision platform based on policing cloud［J］.Application of Electronic Technique，2017，43（4）：141-144，148.）

［2］張金龍.基于視圖警務云平臺的車輛大數據應用［J］.中國公共安全，2018（11）：159-161.（Zhang Jinlong.Vehicle big data application based on view police cloud platform［J］.China Public Security，2018（11）：159-161.）

［3］李晨，何明，王勇，等.基于深度學習的視頻行為識別技術綜述［J］.計算機應用研究，2022，39（9）：2561-2569.（Li Chen，He Ming，Wang Yong，et al.Review of video action recognition technology based on deep learning［J］.Application Research of Computers，2022，39（9）：2561-2569.）

［4］Tekerek A.A novel architecture for Web-based attack detection using convolutional neural network［J］.Computers amp; Security，2021，100（1）：102096.

［5］Shone N，Ngoc T N，Phai V D，et al.A deep learning approach to network intrusion detection［J］.IEEE Trans on Emerging Topics in Computational Intelligence，2018，2（1）：41-50.

［6］李道全，王雪，于波，等.基于一維卷積神經網絡的網絡流量分類方法［J］.計算機工程與應用，2020，56（3）：94-99.（Li Daoquan，Wang Xue，Yu Bo，et al.Network traffic classification method based on one-dimensional convolutional neural network［J］.Computer Engineering and Applications，2020，56（3）：94-99.）

［7］Ho S，Al Jufout S，Dajani K，et al.A novel intrusion detection model for detecting known and innovative cyberattacks using convolutional neural network［J］.IEEE Open Journal of the Computer Society，2021，2：14-25.

［8］Folino F，Folino G，Guarascio M，et al.On learning effective ensembles of deep neural networks for intrusion detection［J］.Information Fusion，2021，72（8）：48-69.

［9］Hassan M M，Gumaei A，Alsanad A，et al.A hybrid deep learning model for efficient intrusion detection in big data environment［J］.Information Sciences，2020，513（3）：386-396.

［10］陳旖，張美璟，許發見.基于一維卷積神經網絡的HTTP慢速DoS攻擊檢測方法［J］.計算機應用，2020，40（10）：2973-2979.（Chen Yi，Zhang Meijing，Xu Fajian.Slow HTTP DoS attack detection method based on one-dimensional convolutional neural network［J］.Journal of Computer Applications，2020，40（10）：2973-2979.）

［11］Kan Xiu，Fan Yixuan，Fang Zhijun，et al.A novel IoT network intrusion detection approach based on adaptive particle swarm optimization convolutional neural network［J］.Information Sciences，2021，568（8）：147-162.

［12］Jiang Kaiyuan，Wang Wenya，Wang Aili，et al.Network intrusion detection combined hybrid sampling with deep hierarchical network［J］.IEEE Access，2020，8：32464-32476.

［13］Yuan Jing.Design of online marketing system based on multi-data model fusion and intrusion detection［C］//Proc of the 2nd International Conference on Smart Electronics and Communication.Pisca-taway，NJ：IEEE Press，2021：363-366.

［14］Ghugar U，Pradhan J，Bhoi S K，et al.LB-IDS：securing wireless sensor network using protocol layer trust-based intrusion detection system［J］.Journal of Computer Networks and Communications，2019，2019：article ID 2054298.

［15］Shah V，Aggarwal A K，Chaubey N.Performance improvement of intrusion detection with fusion of multiple sensors［J］.Complex amp; Intelligent Systems，2017，3（1）：33-39.

［16］Bandecchi S，Dascalu N.Intrusion detection scheme in secure zone based system［J］.Journal of Computing and Natural Science，2021，1（1）：19-25.

［17］王思琪，繆思薇，張小玲，等.基于D-S證據理論的嵌入式固件Web代碼靜態漏洞檢測技術［J］.北京郵電大學學報，2019，42（5）：91-99.（Wang Siqi，Miao Siwei，Zhang Xiaoling，et al.Static vulnerability detection technology for the embedded firmware Web code based on D-S evidence theory［J］.Journal of Beijing University of Posts amp; Telecommunications，2019，42（5）：91-99.）

［18］Liu Dan.Prediction of network security based on DS evidence theory［J］.ETRI Journal，2020，42（5）：799-804.

［19］Sahu A，Davis K.Inter-domain fusion for enhanced intrusion detection in power systems：an evidence theoretic and meta-heuristic approach［J］.Sensors，2022，22（6）：2100.

［20］Li Yuanzhang，Yao Shangjun，Zhang Ruyun，et al.Analyzing host security using D-S evidence theory and multisource information fusion［J］.International Journal of Intelligent Systems，2021，36（2）：1053-1068.

［21］Chen Kaiyuan，Gu Lize，Sun Jiaxuan.A DoS attack detection method based on multi-source data fusion［C］//Proc of the 4th International Conference on Computer Science and Application Engineering.New York：ACM Press，2020：article No.116.

［22］Zhao Zhongwei，Zhou Tingting，Wang Huan.Quantitative evaluation model of network security situation based on DS evidence theory［C］//Proc of the 6th International Conference on Dependable Systems and Their Applications.Piscataway，NJ：IEEE Press，2020：371-376.

［23］Alharbi Y，Alferaidi A，Yadav K，et al.Denial-of-service attack detection over IPv6 network based on KNN algorithm［J］.Wireless Communications and Mobile Computing，2021，2021：article ID 8000869.

［24］Arora P，Kaur B，Teixeira M A.Evaluation of machine learning algorithms used on attacks detection in industrial control systems［J］.Journal of The Institution of Engineers（India）：Series B，2021，102（3）：605-616.

［25］Oliveira N，Praa I，Maia E，et al.Intelligent cyber attack detection and classification for network-based intrusion detection systems［J］.Applied Sciences，2021，11（4）：1674.

［26］Artur M.Review the performance of the Bernoulli nave Bayes classifier in intrusion detection systems using recursive feature elimination with cross-validated selection of the best number of features［J］.Procedia Computer Science，2021，190：564-570.

［27］Anjum N，Latif Z，Lee C，et al.MIND：a multi-source data fusion scheme for intrusion detection in networks［J］.Sensors，2021，21（14）：4941.

［28］Debicha I，Debatty T，Mees W，et al.Efficient intrusion detection using evidence theory［EB/OL］.（2021-03-15）.https：//arxiv.org/pdf/2103.08585.pdf.