基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)研究

摘要：隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，網(wǎng)絡(luò)攻擊手段不斷翻新，網(wǎng)絡(luò)安全的重要性日益凸顯。態(tài)勢感知作為一種基于環(huán)境、動(dòng)態(tài)和整體性的新興技術(shù)，能夠全面、深入、實(shí)時(shí)地感知網(wǎng)絡(luò)安全態(tài)勢，已成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。文章首先概述機(jī)器學(xué)習(xí)的概念和網(wǎng)絡(luò)安全態(tài)勢感知的內(nèi)涵，然后深入研究基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的關(guān)鍵技術(shù)，并提出一種改進(jìn)的網(wǎng)絡(luò)安全態(tài)勢感知模型，以期為提升網(wǎng)絡(luò)安全提供有益參考。

關(guān)鍵詞：機(jī)器學(xué)習(xí)；網(wǎng)絡(luò)安全；態(tài)勢感知；數(shù)據(jù)挖掘；評估預(yù)測

中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2025）20-0088-03

0引言

隨著互聯(lián)網(wǎng)的普及以及大數(shù)據(jù)、云計(jì)算等技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)環(huán)境日益復(fù)雜化。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)主要依賴靜態(tài)規(guī)則和特征匹配，難以有效應(yīng)對復(fù)雜多變的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)通過實(shí)時(shí)監(jiān)測和分析網(wǎng)絡(luò)環(huán)境中的安全要素，能夠動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并預(yù)測潛在的安全風(fēng)險(xiǎn)，已成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的重要研究方向。

機(jī)器學(xué)習(xí)作為一種具有強(qiáng)大數(shù)據(jù)分析和模式識別能力的技術(shù)，為提高網(wǎng)絡(luò)安全態(tài)勢感知效能提供了有力的支持[1]。將機(jī)器學(xué)習(xí)應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知，能夠?qū)崿F(xiàn)對海量網(wǎng)絡(luò)數(shù)據(jù)的智能處理和分析，提高態(tài)勢評估和預(yù)測的準(zhǔn)確性和效率。本文基于機(jī)器學(xué)習(xí)的相關(guān)知識，對網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)進(jìn)行了深入研究[2]。

1機(jī)器學(xué)習(xí)的概念

機(jī)器學(xué)習(xí)是人工智能領(lǐng)域的一個(gè)重要分支，它主要通過算法和統(tǒng)計(jì)模型，使計(jì)算機(jī)系統(tǒng)能夠從大量數(shù)據(jù)中自動(dòng)學(xué)習(xí)并提取有用的信息，然后進(jìn)行預(yù)測、分類或決策，而無須進(jìn)行明確的編程。在這個(gè)過程中，系統(tǒng)通過分析數(shù)據(jù)集中的輸入與輸出之間的關(guān)系，逐漸調(diào)整其內(nèi)部參數(shù)，以優(yōu)化對新數(shù)據(jù)的預(yù)測準(zhǔn)確性。機(jī)器學(xué)習(xí)包括監(jiān)督學(xué)習(xí)、半監(jiān)督學(xué)習(xí)、無監(jiān)督學(xué)習(xí)和強(qiáng)化學(xué)習(xí)等多種類別。在監(jiān)督學(xué)習(xí)中，模型通過分析帶有標(biāo)簽的訓(xùn)練數(shù)據(jù)集來進(jìn)行學(xué)習(xí)，將輸入映射到正確的輸出，從而對新的、未見過的輸入數(shù)據(jù)進(jìn)行準(zhǔn)確的預(yù)測或分類，如圖1所示[1]；半監(jiān)督學(xué)習(xí)利用大量的未標(biāo)記數(shù)據(jù)以及同時(shí)使用標(biāo)記數(shù)據(jù)來進(jìn)行模式識別工作；無監(jiān)督學(xué)習(xí)通過從未標(biāo)記的數(shù)據(jù)中學(xué)習(xí)數(shù)據(jù)的結(jié)構(gòu)來發(fā)現(xiàn)數(shù)據(jù)之間的關(guān)系，挖掘出大量未標(biāo)記數(shù)據(jù)中的潛在信息和模式；強(qiáng)化學(xué)習(xí)運(yùn)用試錯(cuò)的方式學(xué)習(xí)最優(yōu)策略，以最大化長期回報(bào)。這些方法的組合可以充分發(fā)揮各種學(xué)習(xí)方法的優(yōu)點(diǎn)，提高網(wǎng)絡(luò)安全態(tài)勢感知的準(zhǔn)確性和效率，為網(wǎng)絡(luò)安全態(tài)勢感知提供強(qiáng)有力的支持。

通過不斷學(xué)習(xí)和優(yōu)化，機(jī)器學(xué)習(xí)模型能夠識別數(shù)據(jù)中的復(fù)雜模式，解決各種實(shí)際問題。如今，機(jī)器學(xué)習(xí)作為人工智能的核心技術(shù)之一，在各個(gè)領(lǐng)域都取得了顯著成就。例如，機(jī)器學(xué)習(xí)技術(shù)能夠自動(dòng)從海量的網(wǎng)絡(luò)流量、日志文件等數(shù)據(jù)中挖掘出有價(jià)值的信息，實(shí)時(shí)監(jiān)測和智能響應(yīng)潛在的威脅，已成為網(wǎng)絡(luò)安全領(lǐng)域不可或缺的重要工具。

2網(wǎng)絡(luò)安全態(tài)勢感知

2.1網(wǎng)絡(luò)安全態(tài)勢感知作用和意義

網(wǎng)絡(luò)安全態(tài)勢感知在保障網(wǎng)絡(luò)安全中扮演著非常重要的角色。一方面，網(wǎng)絡(luò)安全態(tài)勢感知通過對網(wǎng)絡(luò)環(huán)境中各種安全要素的持續(xù)監(jiān)控和分析，能夠?qū)崟r(shí)、全面地掌控網(wǎng)絡(luò)的安全狀況，包括潛在的威脅、攻擊行為以及系統(tǒng)的脆弱性等。這種實(shí)時(shí)的態(tài)勢感知有助于及時(shí)發(fā)現(xiàn)并響應(yīng)安全事件，防止威脅的擴(kuò)散和損害的發(fā)生。另一方面，網(wǎng)絡(luò)安全態(tài)勢感知還能提供歷史數(shù)據(jù)的分析和趨勢預(yù)測，幫助安全團(tuán)隊(duì)更好地理解網(wǎng)絡(luò)安全的演變規(guī)律，從而制定更有效的安全策略和防護(hù)措施。

2.2網(wǎng)絡(luò)安全態(tài)勢感知任務(wù)

網(wǎng)絡(luò)安全態(tài)勢感知的任務(wù)是全面、實(shí)時(shí)地監(jiān)測和分析網(wǎng)絡(luò)環(huán)境中的安全狀況，以實(shí)現(xiàn)對潛在威脅的及時(shí)發(fā)現(xiàn)、準(zhǔn)確評估和有效應(yīng)對，需要完成以下5個(gè)任務(wù)：

1）部署各種傳感器和監(jiān)測工具，實(shí)時(shí)采集網(wǎng)絡(luò)流量、系統(tǒng)日志、用戶行為等安全相關(guān)數(shù)據(jù)。

2）對采集到的數(shù)據(jù)進(jìn)行清洗、格式化和標(biāo)準(zhǔn)化處理，以提高后續(xù)分析的準(zhǔn)確性和效率。

3）運(yùn)用機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析等技術(shù)，對預(yù)處理后的數(shù)據(jù)進(jìn)行深度挖掘和關(guān)聯(lián)分析，提取出具有代表性和區(qū)分性的特征信息，識別出潛在的威脅和脆弱點(diǎn)。

4）基于數(shù)據(jù)分析結(jié)果，對網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行定性和定量的評估，確定安全態(tài)勢的等級，并識別出關(guān)鍵的安全風(fēng)險(xiǎn)和薄弱環(huán)節(jié)。

5）根據(jù)態(tài)勢評估和預(yù)測結(jié)果，為網(wǎng)絡(luò)安全人員提供決策支持，以制訂有效的安全防護(hù)策略和應(yīng)急響應(yīng)計(jì)劃，進(jìn)而構(gòu)建一個(gè)全面、實(shí)時(shí)、智能的網(wǎng)絡(luò)安全監(jiān)測和分析體系。

2.3網(wǎng)絡(luò)安全態(tài)勢感知過程

網(wǎng)絡(luò)安全態(tài)勢感知過程是一個(gè)綜合性的、動(dòng)態(tài)的分析流程，可以分為3個(gè)步驟。

首先，數(shù)據(jù)分析階段。通過運(yùn)用機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析等技術(shù)，對收集到的數(shù)據(jù)進(jìn)行深度挖掘和關(guān)聯(lián)分析，提取具有代表性和區(qū)分性的特征信息。這些特征信息不僅反映了網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀態(tài)，還揭示了潛在的威脅和脆弱點(diǎn)，為網(wǎng)絡(luò)安全人員提供了直觀、準(zhǔn)確的安全態(tài)勢視圖。

其次，態(tài)勢評估階段。基于數(shù)據(jù)分析結(jié)果，對網(wǎng)絡(luò)安全狀態(tài)進(jìn)行定性和定量評估，確定安全態(tài)勢等級，并識別出關(guān)鍵的安全風(fēng)險(xiǎn)和薄弱環(huán)節(jié)。這一階段的結(jié)果為網(wǎng)絡(luò)安全人員提供了針對性的決策支持，幫助他們制定有效的安全防護(hù)策略和應(yīng)急響應(yīng)計(jì)劃。

最后，態(tài)勢預(yù)測環(huán)節(jié)。通過對歷史數(shù)據(jù)和當(dāng)前態(tài)勢的綜合分析，預(yù)測網(wǎng)絡(luò)未來安全發(fā)展趨勢，為未來的安全規(guī)劃和防護(hù)提供前瞻性的指導(dǎo)，確保網(wǎng)絡(luò)的安全性和穩(wěn)定性。

3基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)技術(shù)

3.1數(shù)據(jù)采集與特征提取

數(shù)據(jù)采集是整個(gè)態(tài)勢感知流程的起始環(huán)節(jié)。它涉及從網(wǎng)絡(luò)環(huán)境中收集各類與安全相關(guān)的數(shù)據(jù)，如用戶行為數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)、系統(tǒng)日志數(shù)據(jù)等，這些數(shù)據(jù)是后續(xù)分析、評估與預(yù)測的基礎(chǔ)，其準(zhǔn)確性和全面性直接關(guān)系到整個(gè)態(tài)勢感知系統(tǒng)的效能。因此，需要采用多種高效的數(shù)據(jù)采集手段，例如使用Packetbeat專用數(shù)據(jù)采集工具。Packetbeat是由Go語言編寫的，在采集數(shù)據(jù)時(shí)，大致分為以下4層：

數(shù)據(jù)包捕獲層：Packetbeat利用libpcap庫來捕獲數(shù)據(jù)包。libpcap是一個(gè)跨平臺的網(wǎng)絡(luò)數(shù)據(jù)包捕獲庫，它提供了捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能，并允許用戶根據(jù)需要對數(shù)據(jù)包進(jìn)行過濾和分析。

協(xié)議解析層：這一層的主要任務(wù)是對捕獲到的數(shù)據(jù)包進(jìn)行解碼和解析，以提取出有用的信息。Packet?beat支持多種應(yīng)用層協(xié)議，如HTTP、MySQL、Redis等。它會(huì)根據(jù)數(shù)據(jù)包的內(nèi)容，識別相應(yīng)協(xié)議，并調(diào)用相應(yīng)解析器進(jìn)行解析。

數(shù)據(jù)處理與輸出層：在這一層，要對數(shù)據(jù)進(jìn)行過濾、聚合等進(jìn)一步的處理，以滿足用戶的需求。配置與管理層：包括設(shè)置捕獲的網(wǎng)絡(luò)接口、要監(jiān)控的協(xié)議和端口、輸出目標(biāo)的配置等。

這些層次共同協(xié)作，使得Packetbeat能夠高效捕獲、解析和輸出網(wǎng)絡(luò)流量數(shù)據(jù)。然而，在龐大的數(shù)據(jù)中，要篩選出真正有價(jià)值的信息，特征提取技術(shù)顯得尤為重要。特征提取是指從原始數(shù)據(jù)中提取出能夠代表其本質(zhì)屬性的關(guān)鍵信息。這些信息通常具有更高的信息密度和更強(qiáng)的代表性，能夠更準(zhǔn)確地反映網(wǎng)絡(luò)狀態(tài)及其變化趨勢。通過特征提取，可以將海量的原始數(shù)據(jù)轉(zhuǎn)化為更加簡潔、直觀、易于分析的形式，為后續(xù)的分析、評估與預(yù)測工作提供有力的支持。在網(wǎng)絡(luò)安全態(tài)勢感知中，特征提取通常涉及多個(gè)層面和維度，如網(wǎng)絡(luò)流量特征、用戶行為特征、系統(tǒng)狀態(tài)特征等。這些特征不僅有助于更準(zhǔn)確地識別出網(wǎng)絡(luò)中的異常行為和潛在威脅，還能夠?yàn)楹罄m(xù)的態(tài)勢評估與預(yù)測提供重要的參考依據(jù)。

3.2態(tài)勢理解

態(tài)勢理解作為核心環(huán)節(jié)，具有3個(gè)顯著特點(diǎn)。

1）智能關(guān)聯(lián)與事件重建：態(tài)勢理解運(yùn)用機(jī)器學(xué)習(xí)算法，對網(wǎng)絡(luò)中的海量數(shù)據(jù)進(jìn)行智能關(guān)聯(lián)分析。它不僅能夠識別出單一安全事件的特征，還能夠?qū)⑦@些事件與之前的攻擊行為、網(wǎng)絡(luò)狀態(tài)等信息關(guān)聯(lián)起來，從而重建出完整的攻擊場景。

2）動(dòng)態(tài)適應(yīng)與實(shí)時(shí)更新：隨著新攻擊手段的不斷出現(xiàn)和網(wǎng)絡(luò)結(jié)構(gòu)的不斷調(diào)整，態(tài)勢理解能夠通過更新訓(xùn)練數(shù)據(jù)和算法模型，實(shí)時(shí)調(diào)整分析策略和預(yù)測結(jié)果。

3）可視化展示與決策支持：態(tài)勢理解能夠通過將復(fù)雜的網(wǎng)絡(luò)態(tài)勢信息以直觀、易懂的地圖、表格、樹狀圖、時(shí)間軸等可視化手段來展示網(wǎng)絡(luò)安全態(tài)勢狀況[3]。

3.3態(tài)勢評估

在網(wǎng)絡(luò)安全態(tài)勢評估環(huán)節(jié)中，包括3種方法。

1）專家評估：依賴網(wǎng)絡(luò)安全領(lǐng)域的專家通過經(jīng)驗(yàn)和知識對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估。這種方法能夠結(jié)合實(shí)際情況給出較為全面的評價(jià)，但是評估結(jié)果受主觀判斷的影響。

2）績效衡量方式：通過量化指標(biāo)來衡量網(wǎng)絡(luò)安全績效，如安全事件的數(shù)量、類型、影響范圍等。這種方法能夠客觀反映網(wǎng)絡(luò)安全的實(shí)際狀況，有助于企業(yè)了解當(dāng)前面臨的風(fēng)險(xiǎn)。

3）實(shí)時(shí)探測方法：利用網(wǎng)絡(luò)安全工具和技術(shù)對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控和探測，及時(shí)發(fā)現(xiàn)潛在的安全威脅。這種方法可以及時(shí)發(fā)現(xiàn)和處理安全事件，提高網(wǎng)絡(luò)安全響應(yīng)速度和準(zhǔn)確性。以上方法的實(shí)現(xiàn)過程如下：

1）權(quán)重值計(jì)算。

公式：Wt=100×N×pt

式中：Wt為權(quán)重值，t為安全事件類別，N為當(dāng)前網(wǎng)絡(luò)環(huán)境內(nèi)的主機(jī)數(shù)量，pt為各類安全事件的占比。首先，確定安全事件類別t，統(tǒng)計(jì)當(dāng)前網(wǎng)絡(luò)環(huán)境內(nèi)的主機(jī)數(shù)量N，然后，計(jì)算各類安全事件的占比pt，根據(jù)公式計(jì)算出權(quán)重值Wt。

2）態(tài)勢值計(jì)算。

公式：scoret=nt×Wt

式中：scoret為態(tài)勢值，nt為某段時(shí)間內(nèi)安全事件出現(xiàn)的次數(shù)，Wt為權(quán)重值。首先，確定某段時(shí)間nt，統(tǒng)計(jì)該段時(shí)間內(nèi)各類安全事件出現(xiàn)的次數(shù)，然后，根據(jù)公式和權(quán)重值Wt計(jì)算出態(tài)勢值scoret[4]。

3）整體態(tài)勢值計(jì)算。

基于每個(gè)主機(jī)的態(tài)勢值，可以計(jì)算出評估網(wǎng)絡(luò)空間對象的整體態(tài)勢值，這通常涉及對各個(gè)主機(jī)態(tài)勢值的匯總和綜合分析。

4）量化表賦予梯度值。

將計(jì)算得出的態(tài)勢值用量化表賦予梯度值，以便更直觀地了解網(wǎng)絡(luò)安全的態(tài)勢。這通常涉及將態(tài)勢值劃分為不同的等級或區(qū)間，并為每個(gè)等級或區(qū)間賦予相應(yīng)的梯度值或顏色標(biāo)識。

3.4態(tài)勢預(yù)測

態(tài)勢預(yù)測利用機(jī)器學(xué)習(xí)算法（特別是神經(jīng)網(wǎng)絡(luò)預(yù)測模型，例如BP神經(jīng)網(wǎng)絡(luò)、RBF神經(jīng)網(wǎng)絡(luò)等）從歷史數(shù)據(jù)中挖掘潛在規(guī)律，構(gòu)建預(yù)測模型，對未來網(wǎng)絡(luò)安全態(tài)勢進(jìn)行科學(xué)預(yù)測。預(yù)測結(jié)果的準(zhǔn)確性取決于數(shù)據(jù)質(zhì)量、特征工程和算法的有效性。深度學(xué)習(xí)技術(shù)也在態(tài)勢預(yù)測中發(fā)揮著重要作用，它增強(qiáng)了機(jī)器的學(xué)習(xí)和分析能力，以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全威脅[5]。

3.5態(tài)勢可視化

態(tài)勢可視化結(jié)合二維和三維顯示技術(shù)提供全面的態(tài)勢感知視圖。二維顯示通常采用地理信息系統(tǒng)技術(shù)，宏觀展示網(wǎng)絡(luò)安全整體狀況，通過地圖、圖表等形式直觀反映安全事件和威脅分布。三維顯示利用Unity等三維引擎技術(shù)，構(gòu)建真實(shí)的網(wǎng)絡(luò)場景，提供沉浸式態(tài)勢感知體驗(yàn)，更直觀地展示網(wǎng)絡(luò)中的設(shè)備、服務(wù)以及它們之間的關(guān)系。二維和三維顯示部分相互聯(lián)動(dòng)，通過坐標(biāo)變換、消息中間件等技術(shù)實(shí)現(xiàn)數(shù)據(jù)同步和一致展示，并支持實(shí)時(shí)數(shù)據(jù)更新和動(dòng)態(tài)展示，為安全人員提供及時(shí)、準(zhǔn)確的決策支持。

4結(jié)束語

基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)對保障網(wǎng)絡(luò)安全至關(guān)重要，它能夠高效完成數(shù)據(jù)的采集、管理、處理和整合，是解決網(wǎng)絡(luò)安全問題的有力工具。態(tài)勢感知分析技術(shù)建立在龐大的安全風(fēng)險(xiǎn)大數(shù)據(jù)模型之上，顯著增強(qiáng)了對復(fù)雜安全威脅特征的早期探測、識別、理解、分析和響應(yīng)能力，并提升了處置決策水平，是保障我國網(wǎng)絡(luò)安全的有效途徑。然而，該領(lǐng)域仍面臨持續(xù)的挑戰(zhàn)，需要繼續(xù)深化研究，推動(dòng)技術(shù)創(chuàng)新，并將創(chuàng)新成果應(yīng)用于實(shí)踐，不斷增強(qiáng)系統(tǒng)效能和安全性。

參考文獻(xiàn)：

[1]呂磊.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2024（9）：55-57.

[2]楊婉琳.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)研究[J].無線互聯(lián)科技，2022，19（18）：163-165.

[3]王閃閃.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知與關(guān)鍵技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（10）：3-5.

[4]張婷婷，陳云云.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2024（1）：20-22.

[5]沈雁葦.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)分析[J].中國信息化，2023（1）：75-76.

【通聯(lián)編輯：代影】