基于數據聚類的網絡安全防護態勢優化方法

李 星，李浩然

(1.武警特色醫學中心 信息科，天津 300162；2.中國科學院天津工業生物技術研究所 生物設計中心，天津 300308)

0 引言

在目前人們日常應用網絡的環境中，總是存在著許多網絡安全風險[1-7]。這主要是因為隨著互聯網、大數據、云計算、人工智能等技術的快速發展和應用，使得網絡空間安全面臨的風險和威脅日益增多。DDoS攻擊、APT攻擊、高危漏洞增多、數據暴露事件頻發、“灰色”應用層出不窮、高新技術帶來的安全風險等問題尤為突出。目前，網絡系統面臨的安全問題主要有以下幾個方面：涉及的網絡安全數據量逐漸增加，規模越來越大；網絡安全事件不斷地碎片化，使其難以被察覺，而獲得的安全信息分散無序，管理員需要花費大量的時間和精力來分析潛在的安全威脅，既費時又費力，事半功倍；而現有的許多網絡安全系統在數據采集上存在局限性，有的僅局限于網絡安全數據的一個或幾個方面的采集、分析和處理，難以全面描述和反映網絡安全狀況。面對這些新的挑戰和威脅，現有的傳統網絡安全防御手段、策略和方法(如入侵檢測系統、防火墻、反病毒、訪問控制等)已不能跟上當今網絡系統的實際安全需求。由于當前網絡入侵逐漸呈現規模化、隱蔽性的特點，導致常規的網絡安全評估、監測和防護模型已不能滿足需求，因而利用數據整合與有效的數據分析手段構建更加可靠的網絡安全態勢評估模型已成為研究的重點之一。

態勢感知技術由Endsley于1988年提出，定義為“在一定時空條件下對環境因素的識別和理解，并預測未來趨勢”。他將情境感知模型分為三層：情境抽取、情境理解和情境預測。文獻[8]提出了一種新型網絡安全態勢模型，設計了一種結合多源數據的網絡安全態勢架構。在此模型的基礎上，定義了網絡安全態勢。網絡安全態勢評估就是指在各類網絡數據中篩選出有效信息，然后輸入至對應的評估模型，并計算得到對應的態勢數值，然后根據數值評價出此時網絡的安全狀態，從而為之后可以提前預測及防護提供支撐及參考。因此網絡安全評估方法是當前網絡的安全狀況防護關鍵技術之一，有利于提升安全防護效率。

態勢感知的思想最早出現在軍事領域，用于確定軍事環境和態勢，后來應用于交通、醫療等領域，并延伸到網絡安全領域[9-15]。網絡安全態勢感知是指通過一系列技術收集盡可能多的網絡安全要素，建立相應的評估和預測模型，幫助網絡管理者及時應對風險。網絡安全態勢預測是指根據歷史態勢評估數據預測網絡未來的狀態，防止網絡攻擊。預測的前提是相鄰數據點之間存在一定的規則。研究表明，網絡流量數據具有自相似性。網絡安全態勢預測的對象是網絡安全態勢值，網絡態勢值是按時間順序排列的，相鄰數據點之間存在一定的規律。因此，網絡安全形勢具有可預見性和可行性。

目前，網絡安全形勢預測主要采用的方法有以下幾種。(1)自回歸移動平均模型：它是基于一個平滑的時間序列預測未來狀態，但它對時間序列的長度有一定的要求。(2)灰色理論：側重于灰色關聯來發現系統的內在規律，但對波動較大的數據預測效果較差；(3)時間序列：它基于相鄰數據之間的相關性，但在建模過程中需要考慮很多元素。(4)神經網絡：使用安全事件作為輸入和輸出的態勢值，實現網絡安全態勢預測，但容易陷入局部收斂，影響預測效果。

對于大多數深度學習從業者來說，序列建模就是循環網絡的同義詞。然而，最近的研究結果表明，卷積架構在音頻合成和工業生產力等任務上優于循環網絡。變壓器已應用于自然語言處理、計算機視覺、語音識別等領域。構建了結合Transformer和TCN的網絡安全態勢預測模型，并以UNSW-NB15和CSE-CIC-IDS2018為基準數據集，通過對比實驗驗證了模型的有效性。

在最新的復雜網絡安全評價中使用多源數據融合技術，不但能夠提高評價的準確度，而且能夠提高互聯網應用的安全性。為有效的運用數據整合方法以適應多源數據結構分析性能的需要，很多研究者提出了安全態勢評價模型[5-10]。其模型由服務器、網絡和用戶三層組成。在服務器層，根據受到入侵和威脅信息的主機系統評估模型，在服務器層的入侵信息得到融合后，模型將數據發送到網絡層。以入侵數據為參考對象，對存在危險特性的網絡信息進行了分類，并對網絡信息系統中的可能存在的危險特性和風險相關信息進行建模和評價，得到整體結果。

1 網絡安全態勢的研究現狀

網絡安全態勢感知根據網絡所處的當前環境因素確定網絡態勢，從而預測網絡近期的狀態。網絡安全態勢預測是網絡態勢感知的重要組成部分。它可以盡快識別網絡中潛在的安全風險，并充分評估這些潛在威脅的影響程度，幫助網絡安全管理者掌握當前網絡狀況，以便在網絡攻擊發生之前對這些威脅采取遏制和預防措施[16-20]。

近年來，許多學者結合各種技術，提出了各自的網絡安全態勢感知模型。機器學習在模型構建中的應用，極大地提高了數據挖掘的準確性和效率。態勢預測作為態勢感知的重要組成部分，在實際模型構建過程中，經常通過網絡安全時間序列對未來網絡安全態勢進行實驗，但需要更大的數據集和存儲容量作為支撐。

文獻[21]提出了一種基于異構傳感器事件流的多階段網絡攻擊態勢實時感知方法，首次建立了基于網絡連通性和攻擊過程語義的攻擊建模方法，生成多級攻擊模板。然后將實時警報流中的攻擊事件語義與攻擊模板進行關聯，完成多階段攻擊的態勢感知。

文獻[22]針對無線網絡環境提出了一套更容易實現的網絡流量安全指標。通過收集和可視化無線網絡中的數據包到達間隔時間等指標，幫助網絡管理人員識別攻擊，以掌握網絡情況。文獻[23]提出了一種警報關聯框架，可以有效地檢測多步攻擊事件并預測攻擊者行為。

循環神經網絡(RNN)作為一種時間序列分析模型，在處理非線性關系方面有較好的表現。因此，它被廣泛應用于不同領域的時間序列預測任務。與長短期記憶(LSTM)相比，傳統RNN存在梯度消失問題，在長期依賴預測問題中表現較差。為了克服RNN的局限性和梯度消失問題，提出了RNN、LSTM和門控循環單元(GRU)的漸進模型[24]，基于這兩種模型的編解碼器在機器翻譯中都取得了良好的效果。然而，隨著序列長度的增加，它們的性能會迅速下降，為了解決這一問題，提出了基于注意機制的編碼器-解碼器網絡。

現有的大部分網絡安全攻擊預測方法基本都是個體預測工具，這可能會帶來幾個相應的問題：(1)個體預測工具神經元數量較少，對參數設置更敏感，存在過度訓練的問題；(2)單個探測器的預測精度不穩定，沒有標準精度可用作比較；(3)與集成學習(融合機器學習算法)相比，單個檢測器的預測精度有限；(4)目前大多數架構都是“黑盒”模型。模型內的參數以非線性的方式進行交互控制，我們無法捕捉到，模型參數的調整過于復雜和不可確定。

為了解決上述問題，許多研究人員開始通過選擇新模型或組合新模型來尋找新的解決方案。目前的研究是在序列建模任務上對卷積和循環架構進行的最廣泛的系統比較。結果表明，序列建模和循環網絡之間的共同聯系應該重新考慮。TCN結構不僅比LSTM和GRU等典型循環網絡更精確，而且更簡單、更清晰。TCN不使用門控機制，具有較長的內存[25]。因此，這可能是將深度網絡應用于序列處理的一個更合適的起點。文獻[26]開發了一個使用TCN對時間序列建模的輕量級預測系統，并且提出了一種基于信道注意力的時間卷積模型，以較少的參數實現了衛星圖像時間序列分類。

上述模型在短期預測任務中表現較好，但網絡安全態勢預測需要有多步時間序列預測的能力，以滿足長序列處理需求。Transformer模型在捕獲長期依賴關系方面表現優于RNN模型。它對自注意機制的依賴可以有效地避免圓形結構。基于自我關注的Transformer模型最近在翻譯、音樂和圖像生成方面表現更好。然而，自注意性的空間復雜度隨著序列長度的增加呈二次增長，這對超長序列的處理造成了計算能力的限制。網絡安全數據是具有細粒度和長期相關性的時間序列。因此，單一模型已經不能滿足長期預測需要解決的問題。文獻[27]構建了TCN-LSTM混合模型，實現了網絡安全態勢預測。文獻[28]利用時序融合模型實現了可解釋的高性能多視圖預測。通過時間融合變壓器的選擇和相關分量的抑制，得到不同尺度下的時間關系。

文獻[29]針對傳統極限學習機在網絡安全態勢預測方法中存在的預測精度低、收斂速度慢等問題，提出一種基于改進麻雀算法優化極限學習機的預測方法，提高了網絡安全態勢預測的準確性。文獻[30]針對當前網絡安全態勢評估模型存在的準確性低，收斂慢等問題，提出了一種融合模擬退火、麻雀算法和BP神經網絡的網絡安全態勢評價模型。但目前許多方法對于綜合復雜網絡背景下防護態勢評估的準確性都不佳，需要進行優化和調整。

現有的時間序列預測方法依賴于機器學習模型的自動特征選擇來識別相關變量，同時支持基于多個時間序列和測量的安全情況預測。現有的研究文章大多應用多個模型架構的組合，每個組合的模型也會有特定的適用領域和相應的精度。總體而言，網絡安全態勢感知相關成果較多，但其相關技術尚處于發展階段。目前提出的各種算法模型各有優缺點。大多數模型沒有全面考慮安全態勢影響因素，態勢評估和預測的計算精度有進一步提高的空間。

針對上述問題，提出了一種新的網絡安全防護態勢優化方法。建立了網絡安全狀態模型，并引入數據挖掘技術對各類網絡安全信息進行挖掘。利用入侵檢測方法提取自適應特征和主要的功能參數，進而提取敏感信息。然后利用優化后的FCM方法對復雜高頻信息流進行分類。通過實驗驗證了所提方法的有效性。

2 模型分析與預處理

2.1 復雜場景下網絡入侵的安全狀態模型

為了進一步實現最優的評價性能，利用信號處理框架設計了綜合評價算法。數據是一組廣泛而穩定的非線性時間信號模型，適用于復雜的網絡環境。

IPoE業務是一種接入認證業務。在IPoE業務中，用戶通過物理以太網鏈路訪問，通過DHC動態獲取IP地址。

用戶認證主要有三種類型：web認證、option 60認證和線路認證。通過引入“累積狀態變化”，值導數GRU算法可以同時定量描述移動網絡惡意流量的低層和高層變化信息。此外，通過增加池化層，值導數GRU算法可以獲得關于流的重要信息。病毒入侵給網絡安全帶來隱患。通過對參數的詳細討論，利用式(1)表示病毒入侵信息流的特征。網絡環境下m終端上病毒入侵信息流的特征具體表達式如下：

x(k)=[x1(k)，x2(k)，…xm(k)]i=1，2，…，m

(1)

式中，k為網絡安全態勢分布的屬性值，xi(k)為網絡入侵的特征標量的時間序列。假設n維隨機分布變量(x1，x2，…，xn)受網絡病毒攻擊，表達式如下：

(2)

式中，vs為網絡收集網絡安全入侵中數據的變化行為。利用網絡入侵行為所收集的數據中xs和rt的偏差，使得復雜場景下網絡入侵模型的狀態為V={V1，V2，…，Vn}，則此時網絡安全狀況的條件轉移概率L表示為：

(3)

式中，C為網絡安全入侵的免疫值，σs表示從所收集數據中任意選取的狀態向量，ai，j表示網絡安全態勢分布狀態i在空間j上的分布概率。網絡入侵檢測的穩態概率表達式如下：

(4)

在信息融合中心設置網絡病毒攻擊的平均互通信息權重屬性如下：

Φ(ω1，ω2，…ωn)=E{exp[j(ω1x1+…+ωnxn)]}

(5)

網絡安全威脅特征的振幅和頻率估計如下：

(6)

(7)

改進的計算方法表達式如下：

θ1(k+1)=θ1(k)-μRe[y(k)φ*(k)]

(8)

節點分布位置圖如圖1所示。構建網絡安全入侵的安全狀態分布模型。當有黑客試圖入侵網絡節點時，其不僅會考慮當前節點的價值，還會考慮入侵代價和可能產生的收益。入侵的代價和收益不會改變節點之間的初始狀態變換，但會對入侵節點的選取產生影響，黑客會傾向于選取代價低、收益大的節點進行入侵。

圖1 網絡安全態勢節點分布圖

2.2 網絡安全態勢關聯信息模型的構建

ARMA模型用于模擬網絡攻擊環境中影響網絡安全狀況的威脅指數和主機威脅指數。本文引入強化學習(RL)進行模型搭建，RL大多基于實際場景進行學習，并不是提前繼續數據，因此本文利用真實動態場景作為仿真環境。先在樣本集隨機選擇一個新的樣本，并針對分類器的預期目標進行獎勵，隨后再根據學習目標對算法進行初始化，從而通過環境提高分類器的預測難度。可以計算黑客對當前節點發起攻擊的概率。當攻擊概率為0時，表示攻擊無法獲益，此時黑客不會對節點進行攻擊；當概率為1時，表示攻擊行為可以獲益，此時黑客將會發起攻擊。

因此，不但要考慮網絡用戶的靜態數據，而且還要考慮移動網絡用戶的動態變化數據。通過收集有關移動網絡用戶的靜態和動態數據，從而提升算法對網絡空間中危險信息的檢測精度。

網絡安全態勢威脅指數可表示為：

(9)

式中，vk，ek表示為時空差偏差特征流，則對安全態勢指數的威脅表示為：

(10)

x(n)=s(n)+v(n)=

(11)

入侵特征分為(w1，w2，…，wn)，n為預測誤差。在此基礎上，利用數據聚類提取網絡攻擊特征，實現安全態勢評估。

在真實的網絡場景中，網絡安全指標會根據網絡的運行狀態而動態變化。當黑客的目標已知時，靜態風險評價的精確度也會隨之下降。因此，可以利用基于Bayes原理得出的動態可達率，通過時刻更新網絡節點的可達率，建立動態風險評價模型。考慮以下兩種修改：

1)根據SDN問題模型模擬強化學習的環境，該環境的狀態為網絡入侵類型。

2)Agent是復雜的分類器，其主要任務是通過模擬環境的狀態預測流量的類別。

3 數據聚類和網絡安全防護態勢評估

3.1 基于數據聚類的安全態勢特征檢測

為了構建動態場景環境下的安全狀態分布安全威脅，假設輸入網絡安全估計模型的自適應全局概率分布為x(t)，并使用屬性分類結果。網絡安全態勢的范圍和頻率估計如下：

(12)

(13)

式中，Wx(t，v)為匹配范圍內數值交換的入侵數據的脈沖響應，為一實數。該問題的最優解決方案是在數據聚類中找到最優個體。基于自適應數據分類定義模型：

(14)

FCM數據提取入侵特征信息流，將服務器層的網絡入侵數據分解為數據聚類特征。得到的交叉概率為：

(15)

病毒數據的跨項目分布特征描述如下：

x(k)=[x1(k)，x2(k)，…，xm(k)]i=1，2，…，m

(16)

受到網絡安全威脅的網絡的用戶特征定義為：

(17)

對于所有ω，|V(ejω)|=1，選擇一個集合適應度函數，使網絡安全態勢檢測方法的頻響模量在z=e±jω0，保證了算法的收斂性。

3.2 網絡安全防護態勢評估

結合數據聚類算法檢測網絡病毒攻擊的信息流，通過在整個搜索空間中的時頻展開，將模型的經驗模態分布指向性函數定義為：

(18)

Wy(t，v)=Wx(kt，v/k)

(19)

根據所建立的成本計算模型，得出各數據聚類中心對應的成本。通過數據聚類的特征約束，網絡安全態勢分析的時頻響應應為：

(20)

(21)

如果得到的適應度較大，則通過數據聚類來測量病毒的攻擊強度，得到網絡安全態勢評估的迭代方程為：

(22)

(23)

(24)

經調頻得到的評價安全態勢信號的模糊約束匹配輸出如下：

(25)

在此基礎上，通過使用數據聚類約束的的一般分析方法，對模型的調幅信號進行檢驗，將網絡入侵信息的兩個交叉點所涉及的范圍設置為匹配范圍，并引入特征自相關變量S，采用數據聚類對提取的網絡入侵信息流進行自關聯檢驗，從而完成對網絡安全的精確評價。而不同的安全基本單元指標的特征參數，往往有著不同的維數和物理含義。如果將上述基本信息數據放入網絡態勢預測進行計算，物理單元中的各類數據會發生難以預見的偏差，從而使得無法成功預測網絡態勢。某樣本適應度值越大，其可以成為樣本集中心的概率就會越大。其中適應度值表示樣本與當前聚類中心歐氏距離的最小值。

4 仿真實驗分析

4.1 數據集介紹

選擇UNSW-NB15數據集作為本文的數據集。UNSW-NB15數據集是由澳大利亞網絡安全中心(ACCS)網絡邊緣實驗室的IXIA PerfectStorm工具創建的。UNSW-NB15數據集是基于一個全面的網絡環境設計的，用于生成攻擊活動。該數據集從真實的、正常運行的網絡中收集攻擊數據集，滿足網絡安全態勢預測需要使用具有時間特征和連續時間維的數據集的條件。數據集還提供了訓練集和測試集，減少了數據預處理的工作量。UNSW-NB15作為基準數據集，包含Tcpdump工作者捕獲的100 GB原始流量。數據集包含9種類型的網絡攻擊，實施的攻擊類型包括FTP、SSH、DoS、Heartbleach、Web攻擊、滲透、僵尸網絡和DDoS等。

網絡流量數據通常用高維向量表示。采用t分布隨機鄰域嵌入(t-SNE)方法對其復雜度進行可視化，并基于可視化圖對其進行定性分析。在UNSW-NB15數據集上呈現顯著差異，其中一些類內距離可能大于類間距離，并且分布不均勻。正常樣本和攻擊樣本具有相同的空間特征，這也說明特征空間不可能線性分離。因此，基于這個數據集實現網絡安全態勢預測，可以最大限度地模擬真實網絡的復雜性。

由于UNSW-NB15數據集的連通性特征和其他特征，該數據集在攻擊模式識別和分析方面具有巨大潛力。雖然使用UNSW-NB15數據集檢測了預測模型的性能，但也發現了此數據集在在研究中的一些局限性。在進行實驗之前，對數據集中的大量數據進行預處理，發現數據集中包含大量的噪聲，這些噪聲對情況預測的貢獻很小。

4.2 數據預處理

在深入研究Snort威脅分類機制的基礎上，我們首先將威脅級別分為高、中、低三類。第一類是侵入計算機并獲得計算機控制權的攻擊，可以對計算機系統造成致命威脅，定義為高。第二類攻擊是為了獲取系統內部的私人信息而進入計算機的攻擊，這種攻擊被定義為中。第三類攻擊不進入計算機系統，目的是消耗網絡帶寬。這種類型的攻擊使計算機無法與外界通信或提供正常的操作，它被定義為中。第四類是網絡掃描型攻擊，對計算機的影響較小，定義為低。

將權重系數理論與攻擊威脅等級分類有機地結合起來，確定攻擊威脅值。基于威脅等級越高威脅值越高的原理，對威脅等級進行了預測使用權重系數分布函數在0和1之間。具體表達式如下：

(26)

式中，最大量化值定義為M0=1；n表示威脅級數；i表示威脅級別的序數，即i=0，1和2分別表示高、中和低。UNSW-NB15數據集中各種攻擊類型的威脅等級及威脅值如表1所示。

表1 UNSW-NB15數據集的攻擊態勢值

為評估提出的模型的預測能力的準確性，使用均方根誤差(RMSE)和平均絕對誤差(MAE)來衡量情況預測準確性。RMSE具體表達式如下：

(27)

(28)

4.3 實驗分析

本節將對所提出的模型進行驗證。硬件設置為筆記本電腦，配置參數為AMD R9-5800 CPU，運行內存16 G，操作系統為Windows 11。采用MATLAB R2020b編程軟件進行算法設計。

網絡入侵數據的采樣尺度為2 000，訓練集為120，模擬時間長度為1 200 s，檢測頻率為24 kHz。根據上述仿真回路和參數，進行網絡安全防護態勢評估仿真。首先，選擇UNSW-NB15數據集上其中一段的含有強烈干擾信號的網絡入侵行為數據為例，示意圖如圖2所示。以上述網絡安全入侵信號為樣本輸入，作為評估模型的初始信息，從圖2中可以看出，入侵數據受到媒體信息的干擾，難以有效識別一般。在防護態勢評估中，以8 s的時間寬度提取模型的特征信息，然后通過數據聚類得到Sink節點和Source節點的網絡，檢測提取的網絡安全威脅信息流與Sink節點和Source節點的網絡之間的相關性。結果如圖3所示。

圖2 網絡入侵信息數據

圖3 網絡態勢評估結果

從圖2和圖3中可以看出，基于本文算法的網絡安全態勢評估具有良好的波束指向性，能夠準確地反映出網絡受網絡安全威脅后對安全態勢的最終分布情況，從而定量地比較本文方法在網絡安全態勢評估中的優越性能，本文模型與其他方法相比，以評價的準確性為檢驗指標，對比結果如圖4所示。在迭代后期，本文模型較快的實現了防護準確率100%的目標，另外兩種算法前期準確率較低均低于75%且隨著迭代的進行準確率提升較慢，因此本文算法具有更好的防護準確性及效率。

圖4 網絡防護態勢準確率比較

其次，在整個UNSW-NB15數據集上大規模進行實驗，具體實驗結果如表2所示。

表2 UNSW-NB15結果

表1為各個算法在UNSW-NB15數據集上的RMSE、MAE結果，從中可以看出本文算法相比于文獻[10]算法、文獻[11]算法、文獻[12]算法在RMSE減少了約45.8%～61.8%，在MAE減少了約42.5%～64.5%。展現出本文算法的優越性，表明本文算法誤差更小，對網絡安全態勢的評估準確度更高，從而有利于實現網絡安全態勢的優化。

5 結束語

本文設計了一種網絡安全態勢優化新方法。首先，構建多變場景下的網絡安全狀態趨勢模型，利用綜合大數據挖掘方法對網絡安全信息相關數據進行挖掘，獲得網絡的綜合狀態和結構。其次，利用入侵檢測方法提取自適應特征和主要功能參數結構，進而提取敏感信息。然后利用優化后的FCM方法對復雜高頻信息流進行分類。仿真結果表明，本文算法能較好地進行網絡安全防護狀況評估，網絡入侵檢測的準確率較高，誤差更小，網絡安全得到了保證。在未來的研究中，可以嘗試考慮模型在不同場景下的評估，以驗證其性能。