面向虛擬化網絡環境的網絡安全態勢要素提取及安全態勢預測應用

王 偉

（中央廣播電視總臺，北京 100859）

0 引 言

隨著信息化的普及和發展，廣播電視制播技術已經逐步從SDI架構轉向基于互聯網的IP架構，特別是IPTV、網絡接入服務等業務的拓展，使得廣播電視行業逐步進入網絡運營與應用范疇。然而，計算機網絡在顯著提升業務推進效率和便捷度的同時，也引入了新的風險，即網絡安全問題。隨著網絡技術的不斷發展，計算機網絡軟硬件架構處于不斷發現問題和解決問題的過程中。除去業務對于網絡性能和功能的新需求外，來自內部和外部的網絡安全威脅是最為典型的問題。傳統的網絡安全檢測與防御往往是面向具體的網絡架構和網絡所遭受的攻擊行為提出應對方案，網絡安防往往是通過歷史事件倒推網絡安全漏洞，并事后予以彌補，這顯然無法為網絡安全提供實時保障，同時也無法應對未知網絡風險[1]。同時，隨著網絡需求和功能的變動，網絡架構和技術形式往往會有相應的變化和升級，特別是隨著網絡技術的發展，利用虛擬化服務及軟件，對網絡設備及架構進行實現已經成為發展趨勢。網絡功能虛擬化（Network Functions Virtualization，NFV）及軟件定義網絡（Software Defined Network，SDN）的高度融合，就是虛擬化網絡及服務的典型應用之一。可以看到，在新的技術發展趨勢下，網絡安全需求已經從傳統的靜態安全評估和防護，逐步變為對網絡的實時監測和動態的態勢預測。正是基于這一訴求，網絡安全態勢預測被提出。對于網絡安全態勢預測而言，態勢要素提取和態勢預測是兩個關鍵環節[1]。對于不同的網絡架構和技術形式，特別是大規模異構網絡，其態勢要素往往有較大差異。因此，態勢要素的獲取也是態勢預測的必要前置條件。而在態勢預測階段，常見的實現路徑主要為利用機器學習構建模型，進而對未來某時刻的網絡安全態勢進行預測。本文擬通過研究面向NFV與SDN高度融合的網絡環境的態勢要素提取方法，進一步對該網絡技術架構下的安全態勢預測問題進行研究。

1 NFV與SDN高度融合網絡架構

1.1 NFV與SDN概述

1.1.1 NFV概述

網絡功能虛擬化（Network Functions Virtualization，NFV），是虛擬網絡構建的一種基礎技術方案。NFV基于虛擬化技術實現網絡功能，對傳統交換機、路由交換協議、網絡管理工具等設備設施予以替代。該技術允許網絡設計與構建人員利用通用服務器，對所需的各項網絡設施進行虛擬化實現，在顯著降低傳統網絡設備用量、降低實施成本的同時，進一步提升設備的綜合利用率和管理效率[2]。此外，NFV允許管理者利用一系列開放的應用程序接口（Application Programming Interface，API）構建可編程、可集中管理、可智能靈活配置部署的整套虛擬化網絡。更為特殊的一點是，NFV構建的網絡設備具備彈性可伸縮特性，這就使得未來的升級擴充高效便捷。

1.1.2 SDN概述

軟件定義網絡（Software Defined Network，SDN）的出現，解決了網絡管理對于平臺的“開放”和“集中”訴求?！伴_放”是指不同網絡設備的SDN能力開放問題，“集中”則主要指將網內各設備的控制信息集中到一個控制平面進行集成控制。前者能夠有效提升整個控制面板對各類規格設備和功能的控制兼容度，使得整套網絡具備較強的功能控制解耦能力。后者則能夠以最小粒度對網絡進行集中管理，極大提升管理效率。

1.2 NFV與SDN融合架構

從NFV與SDN各自的優勢可以看出，如果將二者進行高度融合，不僅可以有效提升網絡的開放性、彈性可伸縮性、敏捷性，而且能夠在顯著降低網絡復雜程度的同時，實現高效的內部協調和管理。這也是NFV與SDN深度融合的基礎與核心驅動力。NFV與SDN的高度融合架構如圖1所示?？梢钥吹剑准軜嬕杂布摂M化技術為核心，構建了虛擬化資源池。此后基于這一虛擬化資源池，進一步構建各級虛擬化計算資源及各層級的虛擬化設備，并構建各層虛擬網絡功能（Virtual Network Function，VNF），形成虛擬化網絡。與此同時，利用SDN構建管理及控制面，將NFV、VNF及基礎虛擬接口的管理進行集成[3]。由于SDN能夠與南向接口通過協議直接與轉發設備交互，同時能夠與外部應用通過北向接口通信，這就使得SDN控制器成為網絡管理和調度的集成中心。

圖1 NFV/SDF高度融合架構

2 NFV與SDN高度融合下的態勢要素提取

態勢預測是基于態勢要素實現的。對具體問題和場景而言，態勢要素往往需要根據實際情形進行分類提取，并不存在一通百通的態勢要素集合。由于NFV/SDN高度融合下的網絡形態和復雜度都有了顯著的變化，因此，傳統網絡環境下的安全態勢要素顯然無法用于該環境下網絡的態勢預測。本章節圍繞態勢要素提取展開研究，為后續態勢預測提供支撐。

2.1 態勢要素提取網絡架構

針對NFV/SDN融合環境的網絡安全態勢要素提取問題，本文擬通過構建NFV/SDN融合網絡攻擊信息樣本庫，結合基于深度條件變分自編碼網絡，對樣本中隱含的有價值的態勢要素進行分類提取。在該架構中，由于隱變量z是原始樣本構建的核心，因此核心問題是如何探求隱變量z的分布[4]。本方案考慮在生成網絡前增加一個編碼網絡，利用樣本及標簽集c作為其輸入，進而獲得隱變量z的分布?；跇撕瀋，樣本可被強制分配至不同的分布空間。由于編碼網絡與生成網絡互為鏡像，因此隱變量可將編碼網絡的輸出重構為原始數據。最后通過對比原始數據與重構后的原始數據的差異，最終評估訓練獲得的各項權值是否達到最優。本文構建的態勢要素分類提取網絡架構如圖2所示。

圖2 態勢要素分類提取網絡架構

2.2 模型訓練

上文所構建的態勢要素分類提取網絡架構，其核心在于編碼網絡和生成網絡。利用這種深度神經網絡，能夠對樣本中隱含的高級特征進行捕捉，進而指導攻擊樣本的分類。該過程可描述為樣本處理、輸入網絡及優化參數三個步驟。

2.2.1 樣本處理

根據獲得的網絡攻擊數據集，及在NFV/SDF融合環境下獲取到的網絡攻擊數據，共同構建一套訓練數據集。樣本處理階段，需要對網絡攻擊數據進行歸一化處理，使其形式和構成與網絡攻擊數據集數據一致，獲得樣本集x=(x1,x2,…,xn)。此后通過人工標記方式，將網絡攻擊數據樣本進行標記，形成集合c=(c1,c2,…,ck)。據此可獲得兩個多維數據集，其中n，k分別為處理后的數據維度。

2.2.2 輸入網絡

將上述數據輸入編碼網絡，可獲得隱變量z的分布，可通過中采樣處理進一步獲得其采樣值。此后將z的采樣值作為參數，連同標簽共同作為生成網絡的輸入參數，完成數據重構。

2.2.3 優化參數

通過損失函數可對網絡進行反復優化，以最終達到編碼參數?與生成參數θ的對數似然函數的變分下界最大化的目標[5]。該過程可表示為式（1）：

式中：?表示編碼參數，θ表示生成參數，z表示采樣值，x表示樣本集，c表示樣本標記集，L表示隱變量z的采樣數。q?(z|x,c)與pθ(x|z,c)分別表示編碼網絡和生成網絡的概率分布，其中pθ(x|z,c)主要用于評估隱函數z在生成網絡中能夠將樣本c重構為原始樣本的概率。此時，應視近似概率q?(z|x,c)服從正態分布N(μ,δ2)，條件概率pθ(z|c)服從正態分布N(μ,1)。通過對上述兩個概率進行KL散度，可評估二者的相似度。若二者不同，則該損失函數將對網絡進行懲罰。

樣本擴充階段主要通過生成網絡來完成。該網絡通過計算生成樣本與元樣本的偏離度，計算構建損失，并指定構建損失閾值。某類別的損失閾值（或稱最大構建損失）可用式（2）表示。

式中：maxL表示損失閾值，即構建損失的過濾標準，max(l(x,c))表示輸入的樣本集x及標記集c的最大重構損失值。若該類別樣本構建損失超過該閾值，則剔除；反之，則納入新訓練集合中，用于對編碼網絡進行微調優化。

2.3 樣本分類

編碼網絡完成訓練后，可為編碼網絡增加softmax層，用于實現分類結果的輸出。通過softmax函數，神經元的輸出將最終映射到（0，1）區間內，直接表示分類概率。分類概率計算公式可表示為式（3）：

式中：W為回歸層的權重參數，b為偏置值，I為輸出層節點數量（表征類別數量）。

3 網絡安全態勢預測方法研究

前文的成果能夠為網絡安全態勢預測提供適當的態勢要素。本文提出一種基于注意力機制的循環門控單元（Gated Recurrent Unit，GRU）網絡。該網絡實質上是一種簡化的長短時記憶網絡（Long Short-Term Memory，LSTM），是一種具備選擇性短時記憶能力的帶有門控制機制的神經網絡，能夠針對網絡態勢要素變動的歷史進行綜合衡量，進而對網絡安全態勢進行動態感知[6]。

3.1 網絡構建

本文構建的網絡安全態勢預測網絡如圖3所示。輸入層的輸入數據來源為：利用前文分類獲取到的網絡態勢要素為分類標準，對國家互聯網應急中心發布的數據進行處理，使其符合網絡輸入層所需的維度和結構。編碼層的核心即GRU網絡。通過GRU的門結構，信息可根據需要進行短暫存儲，以實現對信息實時流動的調控。注意力層則主要對數據屬性權重進行調整，對于各數據與網絡安全趨勢的關聯度進行定義，確保整個注意力網絡能夠側重于對高影響因子的信息的關注，進而獲得更精準的預測結果[7]。網絡最后為預測網絡結構，最終輸出實時的網絡安全態勢預測值。

圖3 基于注意力機制和GRU的網絡態勢預測網絡

3.2 GRU超參數選擇

GRU網絡的性能與網絡參數息息相關[8]，諸如網絡神經元數量m，batchsize，時間步長T等超參數的尋找十分關鍵。這里通過粒子群算法設計如圖4所示的步驟對超參數進行選擇。

圖4 超參數組合優化算法邏輯

首先，初始化粒子群參數，設定包括種群規模I、迭代次數p、慣性權重W，以及c1，c2變化區間在內的所有粒子群建立所必須的參數。

其次，對種群根據規模I進行隨機生成，參數包括網絡神經元數量m，batchsize，時間步長T，同時對粒子初始速度和初始位置進行指定。

此后根據每輪迭代，參照式（4）和式（5）對粒子位置進行實時調整，并對粒子與歷史最佳位置和種群最佳位置進行對比，評估是否到達了優化終點。

3.3 模型求解

前文對GRU網絡參數進行了最優化，本階段將對模型進行求解，完成輸入到輸出各步驟的設計。

第一步，定義輸入數據。這里將帶有時間序列的輸入數據用式（6）表示。

式中：T為時間步長，n為數據屬性數量。

第二步，通過式（7）—式（10）對GRU中重置門、更新門的控制邏輯進行定義，實現信息記憶與遺忘機制。

式中：Wr表示重置門的權值矩陣，Wz表示更新門的權重矩陣，br表示重置門的偏置值，bz表示更新門的偏置值，°表示矩陣乘法。最終可獲得編碼器的映射結果ht。

第三步，利用h及原始訓練樣本作為輸入值，輸入注意力層。在該層中，首先利用式（11）對h與其他屬性間的相似性進行評估。

式中：k在[1,n]區間內，表示安全指標的編號，ht-1表示上一時刻編碼器的隱藏狀態，xk表示第k個安全指標在一個時間步長中的數據。此后通過softmax對該評估值進行歸一化，最終使得所有注意力權重總和為1。最終加權求和，獲得t時刻綜合權值ct（該權值充分考慮了歷史信息）。

第四步，利用預測網絡計算該時刻的預測輸出，并更新GRU的隱藏狀態。最終可獲得t時刻的網絡安全態勢預測值該過程可由式（12）和式（13）描述。

式中：g為基于softmax函數的線性變換，ct為t時刻的綜合權值，dt表示此刻GRU的隱藏狀態更新。

3.4 實驗及模型評價

3.4.1 評價指標及對照模型選擇

本文選擇平均絕對誤差（Mean Absolute Error，MAE）及均方根誤差（Root Mean Square Error，RMSE）作為模型效果的評估指標?？擅枋鰹槭剑?4）及式（15）。

式中：N為預測次數，與測試數據集大小一致，yi為預測結果，為樣本標記的真實態勢值。

為客觀評估本文設計的模型性能，選取Attention-RNN、AIS-LSTM兩種神經網絡預測模型，以及PSO-SVM這一傳統機器學習模型作為本次評價的對照模型。

3.4.2 數據預處理

數據方面，本文選取國家互聯網應急中心發布的周數據以及在NFV/SDF融合環境下的安全態勢數據，并確定以安全漏洞新增數量、外部攻擊中Web內容篡改攻擊數量、網內病毒感染數量、外部DDOS攻擊數量作為主要安全指標。選取時間步長為周，準備了共計260組訓練數據及130組測試數據。

由于網絡隨機性較強，數據量綱差異較大，為便于訓練，本文采用式（16）所描述的方法對數據進行歸一化處理，以數據自身度量其變化程度，將數據變化的表達方式統一化。

式中：x為目標數據，max(x)和min(x)分別為x的最大值和最小值。

3.4.3 結果對比及評價

通過對本文設計的模型、Attention-RNN、AISLSTM、PSO-SVM四種模型進行訓練和測試，得到如表1所示的結果。可以看到，本文設計的基于GRU的注意力模型的整體表現不僅遠超傳統支持向量機（Support Vector Machine，SVM）模型，在與同類神經網絡模型相比時也有更好的表現。該結果可以證實，注意力機制本身對于權重分配的優化有較高的價值。

表1 四種模型的誤差值對比結果

4 結 語

本文面向NFV與SDN高度融合的網絡安全態勢預測問題進行了研究。首先介紹了NFV與SDN網絡的特征和優勢，并提出其與傳統網絡的差異；其次，探討了面向NFV/SDN融合網絡的態勢預測難點和步驟；再次，通過構建態勢要素分類算法，提出了面向NFV/SDN融合網絡的態勢要素提取機制；最后，利用基于注意力機制的GRU網絡，對網絡安全態勢預測模型進行構建和求解。期望本文的研究能夠為網絡安全領域的工作提供一些幫助。