基于網(wǎng)絡(luò)探針采集數(shù)據(jù)，采用粒子群SVM實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知

摘要：當(dāng)前大部分網(wǎng)絡(luò)系統(tǒng)都面臨著網(wǎng)絡(luò)蠕蟲(chóng)、大規(guī)模網(wǎng)絡(luò)攻擊等各種安全威脅，網(wǎng)絡(luò)安全面臨著廣泛而巨大的挑戰(zhàn)。為了應(yīng)對(duì)這些網(wǎng)絡(luò)安全問(wèn)題，很多研究人員采用網(wǎng)絡(luò)安全態(tài)勢(shì)感知的理念構(gòu)建網(wǎng)絡(luò)安全防護(hù)框架。網(wǎng)絡(luò)安全態(tài)勢(shì)感知通常監(jiān)測(cè)特定網(wǎng)絡(luò)環(huán)境中發(fā)生網(wǎng)絡(luò)事件，結(jié)合網(wǎng)絡(luò)環(huán)境中記錄的信息數(shù)據(jù)，分析研究網(wǎng)絡(luò)攻擊的行為特征，構(gòu)建網(wǎng)絡(luò)環(huán)境的全局性安全視圖，從而評(píng)判當(dāng)前網(wǎng)絡(luò)安全的形勢(shì)并推測(cè)未來(lái)一段時(shí)間內(nèi)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)。本文主要論述基于網(wǎng)絡(luò)流量探針采集的攻擊或威脅數(shù)據(jù)，采用粒子群向量機(jī)（SVM）回歸策略，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊發(fā)展趨勢(shì)的態(tài)勢(shì)感知，并驗(yàn)證該方法的有效性和優(yōu)異性。

關(guān)鍵詞：態(tài)勢(shì)感知;支持向量機(jī);網(wǎng)絡(luò)安全;粒子群

中圖分類號(hào)：TP181 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）33-0064-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)i碼（OSID）：

態(tài)勢(shì)感知一般定義為基于一定的時(shí)間和空間條件，對(duì)現(xiàn)狀要素的感知，對(duì)現(xiàn)狀的理解和對(duì)未來(lái)狀態(tài)的預(yù)測(cè)。當(dāng)前大多數(shù)網(wǎng)絡(luò)系統(tǒng)正面臨著網(wǎng)絡(luò)蠕蟲(chóng)、大規(guī)模網(wǎng)絡(luò)攻擊等各種安全威脅，網(wǎng)絡(luò)安全態(tài)勢(shì)感知是解決這些問(wèn)題的有效途徑。

網(wǎng)絡(luò)態(tài)勢(shì)感知是一種簡(jiǎn)單的識(shí)別網(wǎng)絡(luò)安全態(tài)勢(shì)的方法，在對(duì)監(jiān)控網(wǎng)絡(luò)信息進(jìn)行分離的基礎(chǔ)上，對(duì)監(jiān)控的網(wǎng)絡(luò)安全狀況進(jìn)行定量評(píng)估。通常真實(shí)網(wǎng)絡(luò)環(huán)境上廣泛處于運(yùn)行的設(shè)備會(huì)產(chǎn)生大量的信息，這些信息需要很長(zhǎng)的時(shí)間的處理后才能進(jìn)行準(zhǔn)確和預(yù)防性的檢測(cè)。許多漏洞評(píng)分的系統(tǒng)模型正在努力實(shí)現(xiàn)準(zhǔn)確的評(píng)估，但產(chǎn)生的定性警報(bào)還是缺乏精確性和準(zhǔn)確性。網(wǎng)絡(luò)分析人員需要一種有效的網(wǎng)絡(luò)安全態(tài)勢(shì)感知工具正確地融合所有可用的信息，從而比較容易地理解網(wǎng)絡(luò)安全的態(tài)勢(shì)。

網(wǎng)絡(luò)態(tài)勢(shì)感知的一個(gè)基本目標(biāo)是對(duì)網(wǎng)絡(luò)環(huán)境的安全態(tài)勢(shì)的預(yù)測(cè)。網(wǎng)絡(luò)態(tài)勢(shì)的預(yù)測(cè)通常基于環(huán)境中網(wǎng)絡(luò)安全的歷史數(shù)據(jù)以及結(jié)合當(dāng)前運(yùn)行的網(wǎng)絡(luò)狀況信息，預(yù)測(cè)未來(lái)一段時(shí)間內(nèi)網(wǎng)絡(luò)環(huán)境的安全狀況的變化趨勢(shì)。本文通過(guò)在被監(jiān)管的設(shè)備上部署探針，對(duì)網(wǎng)絡(luò)上發(fā)生的活動(dòng)周期性進(jìn)行樣例數(shù)據(jù)的采集并通過(guò)關(guān)聯(lián)分析來(lái)捕獲網(wǎng)絡(luò)攻擊等惡意行為模式。網(wǎng)絡(luò)環(huán)境中的很多攻擊行為是隨機(jī)的，對(duì)此采集的一些數(shù)據(jù)信息也是具有很大的不確定性，從而在這些數(shù)據(jù)上進(jìn)行的一些安全態(tài)勢(shì)預(yù)測(cè)其分析過(guò)程中需要較為復(fù)雜的非線性計(jì)算處理流程。一些傳統(tǒng)的分析預(yù)測(cè)機(jī)制已經(jīng)逐漸不能滿足需求，越來(lái)越多的研究正在朝智能預(yù)測(cè)方法發(fā)展。這里的智能概念包括基于機(jī)器學(xué)習(xí)理論上的自動(dòng)化感知和自主學(xué)習(xí)策略，構(gòu)建程序系統(tǒng)的思維能力和處理能力，也包括對(duì)復(fù)雜復(fù)合式行為的識(shí)別和預(yù)測(cè)。

有些基于人丁智能技術(shù)預(yù)測(cè)的方法對(duì)非線性時(shí)間序列數(shù)據(jù)具有很強(qiáng)的逼近和擬合能力，許多研究人員將其應(yīng)用于非線性時(shí)間序列的預(yù)測(cè)中并取得了較好的效果，典型的如神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)、遺傳算法等智能預(yù)測(cè)方法。此類方法的優(yōu)點(diǎn)是具有自學(xué)習(xí)能力，中短期預(yù)測(cè)精度較高，需要較少的人工介入。本文中主要論述運(yùn)用非參數(shù)的基于向量機(jī)的算法對(duì)網(wǎng)絡(luò)攻擊態(tài)勢(shì)進(jìn)行感知評(píng)估。

1 探針采集保護(hù)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)

為了度量完整有效的安全漏洞檢測(cè)和攻擊構(gòu)造模式，需要在攻擊發(fā)生前實(shí)時(shí)識(shí)別大量潛在的攻擊事件。由于網(wǎng)絡(luò)攻擊中存在大量的多變種攻擊組合，因而單獨(dú)檢測(cè)某一類型的網(wǎng)絡(luò)攻擊事件其價(jià)值較低，所以需要設(shè)計(jì)一些機(jī)制來(lái)提供準(zhǔn)確和完整的網(wǎng)絡(luò)攻擊信息來(lái)保持對(duì)成千上萬(wàn)的網(wǎng)絡(luò)對(duì)象和事件的態(tài)勢(shì)感知。這些機(jī)制一般是在運(yùn)行的網(wǎng)絡(luò)環(huán)境中部署支持多種協(xié)議的檢測(cè)采集工具，收集環(huán)境中可能威脅網(wǎng)絡(luò)安全的多維度、多方面的危險(xiǎn)因素，以便及時(shí)分析和應(yīng)對(duì)這些類型的攻擊事件。目前現(xiàn)有的解決方案是使用各種度量來(lái)定量和定性地度量攻擊，這通常會(huì)涉及基于對(duì)象、時(shí)間和空間測(cè)量的預(yù)測(cè)，并使用這些派生出來(lái)的度量標(biāo)準(zhǔn)。

本文從網(wǎng)絡(luò)系統(tǒng)的多個(gè)方面分析的場(chǎng)景建立評(píng)估模型，其需要測(cè)量的態(tài)勢(shì)感知數(shù)據(jù)包括網(wǎng)絡(luò)和系統(tǒng)安全行為的各個(gè)方面。一方面可以通過(guò)流量日志進(jìn)行安全狩獵或者異常檢測(cè)、分析攻擊事件的影響范圍、回溯完整的攻擊鏈測(cè)量;另一方面可以利用在采集模塊中分布式部署的批量探針實(shí)現(xiàn)惡意軟件檢測(cè)、IDS和防火墻、漏洞掃描、滲透測(cè)試、在線測(cè)試和安全服務(wù)檢測(cè)，并將各類型的探針采集數(shù)據(jù)匯聚到大數(shù)據(jù)存儲(chǔ)平臺(tái)，從而對(duì)被管理的網(wǎng)絡(luò)進(jìn)行全方位監(jiān)控。總之網(wǎng)絡(luò)安全數(shù)據(jù)的類型應(yīng)當(dāng)盡可能齊全，需要包括網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)、網(wǎng)絡(luò)服務(wù)數(shù)據(jù)、漏洞數(shù)據(jù)、脆弱性數(shù)據(jù)、威脅與入侵?jǐn)?shù)據(jù)、用戶異常行為數(shù)據(jù)等等，只有這樣網(wǎng)絡(luò)態(tài)勢(shì)的評(píng)估和預(yù)測(cè)結(jié)果才能比較精準(zhǔn)。

2 支持向量機(jī)的基本原理

SVM的基本原理是由Vapnik和Cortes在1995年提出的，可以簡(jiǎn)單地理解為一個(gè)分類器，其主要目的是確定并輸出兩類數(shù)據(jù)節(jié)點(diǎn)中的邊界節(jié)點(diǎn)組合，其中的每一個(gè)邊界節(jié)點(diǎn)就是單個(gè)的支持向量，其權(quán)值為對(duì)應(yīng)的拉格朗日乘子。采用SVM感知網(wǎng)絡(luò)安全態(tài)勢(shì)通常在收斂速度上較快、預(yù)測(cè)的結(jié)果誤差值較小、具有較強(qiáng)的抗擬合能力、能夠較為準(zhǔn)確地預(yù)測(cè)未來(lái)一段時(shí)間內(nèi)的網(wǎng)絡(luò)環(huán)境的安全態(tài)勢(shì)發(fā)展趨勢(shì)，是當(dāng)前安全態(tài)勢(shì)預(yù)測(cè)研究中的一個(gè)熱點(diǎn)方向。

支持向量機(jī)最初適用于分類的，為了推廣到回歸估計(jì)中，本文引入了不敏感損失函數(shù)擬合機(jī)制。其核心理念就是采用非線性的映射將訓(xùn)練集中的數(shù)據(jù)樣本映射至一個(gè)高維度空間，并在這個(gè)線性的高維空間中進(jìn)行回歸估計(jì)函數(shù)的構(gòu)造，然后基于該回歸函數(shù)進(jìn)行相應(yīng)的線性回歸處理，從而可以避免一般SVM算法會(huì)面對(duì)的維數(shù)詛咒相關(guān)問(wèn)題。

如果僅將支持向量機(jī)作為預(yù)測(cè)模型，通常會(huì)出現(xiàn)訓(xùn)練參數(shù)選擇盲目的問(wèn)題，為此本文引用了一種基于粒子群優(yōu)化算法對(duì)傳統(tǒng)的SVM網(wǎng)絡(luò)全態(tài)勢(shì)預(yù)測(cè)策略進(jìn)行改進(jìn)，其基本思路是采用粒子群算法對(duì)SVM的訓(xùn)練參數(shù)進(jìn)行優(yōu)化，然后基于優(yōu)化后的訓(xùn)練參數(shù)進(jìn)一步構(gòu)造SVM預(yù)測(cè)模型。改進(jìn)后的算法模型在預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)方面具有較高的準(zhǔn)確性。

3 利用模型感知網(wǎng)絡(luò)態(tài)勢(shì)

SVM可以基于網(wǎng)絡(luò)環(huán)境中采集到的廣泛的攻擊數(shù)據(jù)樣本采用支持向量機(jī)制進(jìn)行分類處理，從而構(gòu)成特征空間中描述超平面的訓(xùn)練輸入集的成員。利用SVM預(yù)測(cè)網(wǎng)絡(luò)攻擊態(tài)勢(shì)通常分為訓(xùn)練和測(cè)試兩個(gè)階段。支持向量機(jī)可以學(xué)習(xí)更大的模式集，并且能夠更好地縮放，因?yàn)槠鋵?duì)分類的復(fù)雜性不依賴于特征空間的維數(shù)。支持向量機(jī)還能夠在分類過(guò)程中出現(xiàn)新模式時(shí)動(dòng)態(tài)地更新訓(xùn)練模式。其主要缺點(diǎn)是支持向量機(jī)只能處理二類分類，而入侵檢測(cè)需要多類分類，從而對(duì)入侵檢測(cè)的數(shù)據(jù)需要構(gòu)建多個(gè)SVM模型進(jìn)行不同類型的攻擊態(tài)勢(shì)分析。

網(wǎng)絡(luò)攻擊數(shù)據(jù)的大致結(jié)構(gòu)確定后，必須先區(qū)分訓(xùn)練集和測(cè)試集，再進(jìn)行數(shù)據(jù)預(yù)處理。測(cè)試集在產(chǎn)品上線前一般是不可獲得的，為了讓建模的所有過(guò)程不受到測(cè)試集數(shù)據(jù)的影響和干擾，模型運(yùn)行之前需要定義好訓(xùn)練集和測(cè)試集。首先SVM預(yù)測(cè)模型需要將最近一段時(shí)間內(nèi)網(wǎng)絡(luò)環(huán)境中收集到的安全數(shù)據(jù)集歸一化，既對(duì)收集到的數(shù)據(jù)進(jìn)行分離，包括分離特征矩陣和標(biāo)簽矩陣，實(shí)現(xiàn)訓(xùn)練集與測(cè)試集的數(shù)據(jù)拆分。然后對(duì)分離后的訓(xùn)練數(shù)據(jù)集進(jìn)一步處理，第一步需要將這些訓(xùn)練集數(shù)據(jù)劃分成N維的向量，預(yù)測(cè)函數(shù)采用N維向量總的前面d維作為輸入向量，并將剩余的后面e維向量作為輸出向量（N=d+e），輸入向量和輸出向量中的各一維向量組合（d，e）構(gòu)造成單個(gè)的訓(xùn)練數(shù)據(jù)對(duì)。第二步是進(jìn)行模型訓(xùn)練參數(shù)的初始化處理，基于第一步中構(gòu)造好訓(xùn)練數(shù)據(jù)對(duì)集合訓(xùn)練SVM預(yù)測(cè)模型，這個(gè)模型訓(xùn)練的具體過(guò)程等同于對(duì)（1）中的二次規(guī)劃方程進(jìn)行求解的過(guò)程。SVM預(yù)測(cè)模型基于交叉檢驗(yàn)的方法對(duì)正則化參數(shù)和誤差控制參數(shù)的選擇進(jìn)行優(yōu)化處理，并在此基礎(chǔ)上對(duì)需要的各項(xiàng)參數(shù)進(jìn)行確認(rèn)和設(shè)置。

由于網(wǎng)絡(luò)態(tài)勢(shì)的數(shù)據(jù)類型眾多，單純的SVM算法在確定訓(xùn)練參數(shù)方面會(huì)有較大的挑戰(zhàn)且需要較長(zhǎng)的時(shí)間。在第一階段的單獨(dú)地進(jìn)行SVM模型感知后，在第二階段為了解決訓(xùn)練參數(shù)選擇盲目的問(wèn)題，本文引入了粒子群優(yōu)化算法輔助SVM預(yù)測(cè)模型。基于粒子群的模型把群體中的單個(gè)個(gè)體視為n維空間中的一個(gè)無(wú)體積和質(zhì)量的點(diǎn)，通過(guò)由適應(yīng)度函數(shù)調(diào)整每個(gè)粒子至較優(yōu)的區(qū)域從而整體上能搜尋到最優(yōu)解。

論文中使用非線性遞減權(quán)值這一策略將慣性權(quán)值（1）設(shè)置成公式中的變量，通過(guò)非線性遞減權(quán)值的方法實(shí)現(xiàn)粒子的優(yōu)化調(diào)整，其公式如（2）所示：

改進(jìn)后的支持向量機(jī)算法具有很好的函數(shù)逼近能力和泛化能力，通過(guò)在實(shí)際項(xiàng)目中的運(yùn)行數(shù)據(jù)結(jié)果評(píng)估，本文中粒子群SVM算法的預(yù)測(cè)結(jié)果的數(shù)值平均絕對(duì)誤差不超過(guò)0.032，同時(shí)預(yù)測(cè)結(jié)果的偏差度也小于9.2%，既而該算法具有優(yōu)良的預(yù)測(cè)準(zhǔn)確率，達(dá)到了準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)結(jié)果的目的。通過(guò)實(shí)際的運(yùn)用表明：在預(yù)測(cè)網(wǎng)絡(luò)攻擊態(tài)勢(shì)的準(zhǔn)確度方面，基于粒子群的SVM的預(yù)測(cè)模型要優(yōu)于需要普通的SVM算法，既改進(jìn)后的網(wǎng)絡(luò)攻擊態(tài)勢(shì)預(yù)測(cè)方法更符合實(shí)際情況。

4 結(jié)論

本文闡述了網(wǎng)絡(luò)安全態(tài)勢(shì)感知所面臨的挑戰(zhàn)，并試圖提出相應(yīng)的應(yīng)對(duì)思路以及解決方案。接著闡述了網(wǎng)絡(luò)態(tài)勢(shì)感知這一基本理念，并提出了網(wǎng)絡(luò)攻擊態(tài)勢(shì)的一種感知方法。既基于探針采集的大數(shù)檢測(cè)數(shù)據(jù)，采用基于粒子群的向量機(jī)回歸方法對(duì)未來(lái)一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)進(jìn)行預(yù)測(cè)。這種預(yù)測(cè)方法具有自學(xué)習(xí)能力，其中短期預(yù)測(cè)精度較高，需要的人工介入較少，對(duì)非線性時(shí)間序列變化的攻擊數(shù)據(jù)具有很強(qiáng)的逼近和泛化能力，能有效避免實(shí)時(shí)預(yù)測(cè)運(yùn)行時(shí)容易出現(xiàn)的解結(jié)果不穩(wěn)定現(xiàn)象，保證了預(yù)測(cè)的正確趨勢(shì)。但是對(duì)于網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)模型效率的提升仍有很多分析和改進(jìn)工作需要進(jìn)行，有待于在今后的工作中進(jìn)一步研究和優(yōu)化。

參考文獻(xiàn)：

[1] Zhang Y，Tan X B，Xi H S.A novel approach to network securi-ty situation awareness based on multi-perspective analysis[Cl//2007 Intemational Conference on Computational Intelligenceand Security （CIS 2007）.December 15-19，2007，Harbin，China.IEEE，2007：768-772.

[2] Zhang X.Survey of network security situation awareness andkey technologies[Ml//Lecture Notes in Electrical Engineering.Dordrecht：Springer Netherlands，2013：3281-3286.

[3]席榮榮，云曉春，金舒原，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述[Jl-計(jì)算機(jī)應(yīng)用，2012，32（1）：1-4，59.

[4]謝麗霞，王亞超，于巾博.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2013，53（12）：1750-1760.

[5] Wang H Q，Liu X W，Lai J B，et aI.Network security situationawareness based on heterogeneous multi-sensor data fusionand neural network[C]//Second International Multi-Sympo-siums on Computer and Computational Sciences （IMSCCS2007）. August

13-15， 2007，lowa City，IA， USA. IEEE， 2007： 352-359.

[6]管磊，胡光俊，王專.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2016（9）：45-50.

[7]高川，嚴(yán)寒冰，賈子驍，基于特征的網(wǎng)絡(luò)漏洞態(tài)勢(shì)感知方法研究[J].信息網(wǎng)絡(luò)安全，2016（12）：28-33.

[8] Liu X W，Yu J G，Wang M L.Network security situation genera-tion and evaluation based on heterogeneous sensor fusion[Cl//2009 5th International Conference on Wireless Communica-tions， Networking and Mobile Computing. September 24-26，2009，Beij ing，China.IEEE，2009：1-4.

[9]葉健健，文志誠(chéng)，吳欣欣.基于貝葉斯方法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型[J].湖南工業(yè)大學(xué)學(xué)報(bào)，2014，28（3）：65-70.

[10]包利軍.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)在專網(wǎng)領(lǐng)域的應(yīng)用[J].信息安全研究，2019，5（2）：168-175.

[11]琚安康郭淵博朱泰銘.基于開(kāi)源工具集的大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知及預(yù)警架構(gòu)[J].計(jì)算機(jī)科學(xué)，2017，44（5）：125-131.

[12]余成.基于復(fù)雜事件處理的分布式監(jiān)控系統(tǒng)[D].上海：上海交通大學(xué)，2014.

[13]程冬梅，嚴(yán)彪，文輝，等，基于規(guī)則匹配的分布式工控入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2017（7）：45-51.

[14]王道明，魯昌華，蔣薇薇，等.基于粒子群算法的決策樹(shù)SVM多分類方法研究[J].電子測(cè)量與儀器學(xué)報(bào)，2015，29（4）：611-615.

[15]梅飛，梅軍，鄭建勇，等.粒子群優(yōu)化的KFCM及SVM診斷模型在斷路器故障診斷中的應(yīng)用[J].中國(guó)電機(jī)工程學(xué)報(bào)，2013，33（36）：134-141，19.

[16]匡芳君，徐蔚鴻，張思揚(yáng).基于改進(jìn)混沌粒子群的混合核SVM參數(shù)優(yōu)化及應(yīng)用[J].計(jì)算機(jī)應(yīng)用研究，2014，31（3）：671-674，687.

[17]代鑫波，崔勇，周德祥，等.基于主成分與粒子群算法的LS-SVM短期負(fù)荷預(yù)測(cè)[J].電測(cè)與儀表，2012，49（6）：5-9.

【通聯(lián)編輯：唐一東】

作者簡(jiǎn)介：尹隆波（1989-），男，湖南邵東縣人，碩士，研究實(shí)習(xí)員，主要研究方向：網(wǎng)絡(luò)安全。