基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)研究

作者簡(jiǎn)介：王可陽(yáng)（1996— ），女，吉林長(zhǎng)春人，助教，碩士；研究方向：大數(shù)據(jù)與云計(jì)算。

摘要：隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)環(huán)境變得更為復(fù)雜，網(wǎng)絡(luò)攻擊手段也越來(lái)越多，網(wǎng)絡(luò)空間的安全性就更為重要。在此背景下，網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)運(yùn)而生，成為評(píng)估網(wǎng)絡(luò)安全現(xiàn)狀，洞察網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，預(yù)測(cè)網(wǎng)絡(luò)未來(lái)發(fā)展的關(guān)鍵技術(shù)。研究網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)可以提高網(wǎng)絡(luò)的監(jiān)控能力、應(yīng)急響應(yīng)能力等，文章分析了當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型和網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)，采用雙向LSTM網(wǎng)絡(luò)安全預(yù)測(cè)模型，并用貝葉斯優(yōu)化方法確定模型的超參數(shù)，從而提高了網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型精度與效率。

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢(shì)感知；網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)；LSTM模型

中圖分類號(hào)：TN915 文獻(xiàn)標(biāo)志碼：A

0 引言

隨著網(wǎng)絡(luò)的日益發(fā)展，互聯(lián)網(wǎng)用戶數(shù)量攀升，網(wǎng)絡(luò)技術(shù)日新月異，安全問(wèn)題層出不窮。為了保障網(wǎng)絡(luò)環(huán)境的安全，研究人員在網(wǎng)絡(luò)安全方面進(jìn)行了大量的研究，采用多種技術(shù)防護(hù)網(wǎng)絡(luò)安全，但是這些技術(shù)都是采用被動(dòng)的方式來(lái)防護(hù)網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)管理人員要從被動(dòng)防護(hù)轉(zhuǎn)換成主動(dòng)防御，就需要采用網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)可以收集影響網(wǎng)絡(luò)安全的相關(guān)因素，并對(duì)其進(jìn)行分析、處理，從而來(lái)推斷未來(lái)網(wǎng)絡(luò)變化趨勢(shì)，可以幫助網(wǎng)絡(luò)管理員預(yù)測(cè)網(wǎng)絡(luò)發(fā)展趨勢(shì)，及時(shí)做出相關(guān)的對(duì)策來(lái)進(jìn)行預(yù)防，因此，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)有著極為重要的研究意義。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知概述

態(tài)勢(shì)是一個(gè)全局的概念，主要體現(xiàn)系統(tǒng)與系統(tǒng)對(duì)象之間的關(guān)系。感知是對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行收集、處理、分析等操作。態(tài)勢(shì)感知（Situation Awareness）指的是在一定的時(shí)空范圍內(nèi)，認(rèn)知、理解環(huán)境因素，并對(duì)未來(lái)發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。1999年，Tim Bass將態(tài)勢(shì)感知引入網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全態(tài)勢(shì)感知就此誕生?，F(xiàn)在學(xué)術(shù)界對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知還沒(méi)有一個(gè)明確統(tǒng)一的定義，研究人員認(rèn)為網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是在網(wǎng)絡(luò)環(huán)境下，提取影響網(wǎng)絡(luò)安全態(tài)勢(shì)變化的安全因素，對(duì)其進(jìn)行處理、分析，并預(yù)測(cè)網(wǎng)絡(luò)安全發(fā)展趨勢(shì)。因此，網(wǎng)絡(luò)安全態(tài)勢(shì)感知是一個(gè)宏觀的概念，強(qiáng)調(diào)的是網(wǎng)絡(luò)整體狀態(tài)和整體的發(fā)展趨勢(shì)［1］。實(shí)際上，它融合了多元素?cái)?shù)據(jù)，采用人工智能與大數(shù)據(jù)技術(shù)，深入挖掘數(shù)據(jù)，并對(duì)其進(jìn)行分析處理，然后將預(yù)測(cè)的網(wǎng)絡(luò)安全狀況提供給網(wǎng)絡(luò)管理人員。網(wǎng)絡(luò)管理人員可以直觀地了解網(wǎng)絡(luò)環(huán)境下存在的威脅和風(fēng)險(xiǎn)，并及時(shí)采取相關(guān)措施進(jìn)行防范。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)分析

現(xiàn)階段，網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)更加整體化、自動(dòng)化，可以及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的安全隱患，有針對(duì)性地制定處理方案。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)就是采集網(wǎng)絡(luò)安全要素信息，然后對(duì)其進(jìn)行處理，提取安全態(tài)勢(shì)要素特征，再進(jìn)行評(píng)估和預(yù)測(cè)。這就需要使用到數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)、特征提取技術(shù)和態(tài)勢(shì)預(yù)測(cè)技術(shù)［2］。

數(shù)據(jù)融合技術(shù)是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基礎(chǔ)，網(wǎng)絡(luò)復(fù)雜化，數(shù)據(jù)的來(lái)源與種類非常多，不同的數(shù)據(jù)來(lái)源，帶來(lái)不同的數(shù)據(jù)類型，而網(wǎng)絡(luò)安全態(tài)勢(shì)的判斷需要多種類型的數(shù)據(jù)，這就需要采用數(shù)據(jù)融合技術(shù)對(duì)這些數(shù)據(jù)進(jìn)行統(tǒng)一化融合處理，為網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供精準(zhǔn)、全面的數(shù)據(jù)支持。數(shù)據(jù)挖掘技術(shù)是數(shù)據(jù)融合技術(shù)的進(jìn)一步操作，在得到統(tǒng)一化的數(shù)據(jù)后，可以對(duì)這些數(shù)據(jù)進(jìn)行篩選，借助人工智能、大數(shù)據(jù)技術(shù)對(duì)海量數(shù)據(jù)進(jìn)行挖掘，找出有關(guān)聯(lián)的數(shù)據(jù)，從而來(lái)預(yù)測(cè)相應(yīng)的結(jié)果。這是一個(gè)非常有用的技術(shù)手段，發(fā)現(xiàn)數(shù)據(jù)與數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，找出暗藏的重要信息，可以幫助網(wǎng)絡(luò)管理人員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中隱藏的安全威脅。特征提取技術(shù)就是在機(jī)器學(xué)習(xí)、模式識(shí)別和圖像處理中，從初始的一組數(shù)據(jù)開(kāi)始，建立提供信息和特征，促進(jìn)后續(xù)的泛化步驟。這里的特征提取就是將數(shù)據(jù)中的多元化數(shù)據(jù)，比如文本數(shù)據(jù)、二進(jìn)制數(shù)據(jù)、流數(shù)據(jù)等，通過(guò)相應(yīng)的技術(shù)和方法，提取相關(guān)特征供機(jī)器學(xué)習(xí)算法來(lái)使用。這些數(shù)值特征可以很好地反映出當(dāng)前的網(wǎng)絡(luò)態(tài)勢(shì)情況，需要注意的是，網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取效率與網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估與預(yù)測(cè)的結(jié)果息息相關(guān)，特征提取越好，其結(jié)果就更為準(zhǔn)確。在網(wǎng)絡(luò)安全態(tài)勢(shì)感知中，網(wǎng)絡(luò)攻擊時(shí)間、攻擊手段與攻擊目標(biāo)都是隨機(jī)的，網(wǎng)絡(luò)安全態(tài)勢(shì)變化是非常復(fù)雜的非線性過(guò)程，使用簡(jiǎn)單的線性預(yù)測(cè)模型無(wú)法滿足當(dāng)前的需要，需要使用預(yù)測(cè)模型來(lái)進(jìn)行預(yù)測(cè)。

3 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)研究

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)構(gòu)建主要分為4步：第一，態(tài)勢(shì)感知模型；第二，構(gòu)建指標(biāo)體系；第三，網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估；第四，網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)。

3.1 態(tài)勢(shì)感知模型

模型是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的重要研究?jī)?nèi)容之一，也是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的基礎(chǔ)［3］。網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的構(gòu)造是非常重要的，現(xiàn)階段，根據(jù)網(wǎng)絡(luò)環(huán)境的不同，有針對(duì)性的網(wǎng)絡(luò)感知模型。安全態(tài)勢(shì)感知模型分為3層：第一層，態(tài)勢(shì)提取，目的是獲取網(wǎng)絡(luò)系統(tǒng)的配置信息、運(yùn)行狀態(tài)、流量數(shù)據(jù)等與網(wǎng)絡(luò)安全相關(guān)的因素；第二層，態(tài)勢(shì)評(píng)估，這是態(tài)勢(shì)感知技術(shù)的核心，對(duì)獲取的數(shù)據(jù)進(jìn)行分析、理解，然后借助相關(guān)模型來(lái)評(píng)估網(wǎng)絡(luò)運(yùn)行的安全狀態(tài)；第三層，態(tài)勢(shì)預(yù)測(cè)，根據(jù)之前的運(yùn)行情況，預(yù)測(cè)未來(lái)的網(wǎng)絡(luò)安全態(tài)勢(shì)。其模型如圖1所示。

態(tài)勢(shì)感知模型指的是態(tài)勢(shì)感知在一定時(shí)間范圍內(nèi)對(duì)環(huán)境中安全因素進(jìn)行感知和理解，并對(duì)未來(lái)的網(wǎng)絡(luò)趨勢(shì)進(jìn)行預(yù)測(cè)。態(tài)勢(shì)感知模型的核心就是態(tài)勢(shì)感知部分，信息的來(lái)源主要是依賴網(wǎng)絡(luò)安全相關(guān)設(shè)備或 者是自主開(kāi)發(fā)相關(guān)軟件等。態(tài)勢(shì)感知模型主要由數(shù)據(jù)源、人機(jī)接口、數(shù)據(jù)庫(kù)管理系統(tǒng)、數(shù)據(jù)預(yù)處理、數(shù)據(jù)融合、態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)、過(guò)程處理等組成。這里采用的態(tài)勢(shì)感知模型為L(zhǎng)STM模型，如圖2所示。

LSTM預(yù)測(cè)模型有4層：輸入層、全連接層、雙向LSTM層和輸出層。輸入層是將網(wǎng)絡(luò)安全態(tài)勢(shì)前面的態(tài)勢(shì)值輸入預(yù)測(cè)模型中；全連接層的作用是對(duì)雙向LTSM層輸出的非線性特征進(jìn)行加權(quán)處理；雙向LSTM層的作用是對(duì)數(shù)據(jù)進(jìn)行計(jì)算，并向輸出層輸出結(jié)果；輸出層輸出模型預(yù)測(cè)的網(wǎng)絡(luò)安全態(tài)勢(shì)值。

3.2 構(gòu)建指標(biāo)體系

合理的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)體系是網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估準(zhǔn)確的基礎(chǔ)，如果指標(biāo)體系過(guò)大，就會(huì)增加評(píng)估的計(jì)算量，影響評(píng)估的性能；指標(biāo)體系過(guò)小，就會(huì)導(dǎo)致評(píng)估指標(biāo)不完整，結(jié)果不準(zhǔn)確。因此，在構(gòu)建指標(biāo)體系的時(shí)候，要遵循系統(tǒng)性原則、近似性原則、層次性原則和易操作原則，構(gòu)建科學(xué)合理的指標(biāo)體系，才能保證全面、準(zhǔn)確的評(píng)估結(jié)果。這里采用的評(píng)價(jià)指標(biāo)是平均絕對(duì)誤差（MAE）、均方誤差（MSE）和均方根誤差（RMSE）。

其中，xt是t時(shí)刻網(wǎng)絡(luò)安全態(tài)勢(shì)真實(shí)值；xt是t時(shí)刻網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)值；N是樣本總數(shù)。

3.3 利用機(jī)器學(xué)習(xí)技術(shù)來(lái)訓(xùn)練模型

訓(xùn)練模型的技術(shù)有很多，最為出色的是BP神經(jīng)網(wǎng)絡(luò)，這里選用BP神經(jīng)網(wǎng)絡(luò)對(duì)模型進(jìn)行訓(xùn)練。反向誤差（BP）神經(jīng)網(wǎng)絡(luò)是對(duì)人類大腦和智能的探索，是一種模仿人腦結(jié)構(gòu)和功能的信息處理系統(tǒng)，可以快速地適應(yīng)環(huán)境，學(xué)習(xí)處理外界事物。神經(jīng)網(wǎng)絡(luò)用處廣泛，主要用在預(yù)測(cè)、分類和聚類中，需要利用歷史數(shù)據(jù)來(lái)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，然后再對(duì)其分類、提取并進(jìn)行預(yù)測(cè)。一般來(lái)說(shuō)，BP神經(jīng)網(wǎng)絡(luò)分為輸入層、隱藏層和輸出層3個(gè)部分，是從輸入層輸入訓(xùn)練數(shù)據(jù)，這個(gè)訓(xùn)練數(shù)據(jù)是網(wǎng)絡(luò)安全特征向量，再根據(jù)相應(yīng)的計(jì)算公式進(jìn)行運(yùn)算，得出一個(gè)激勵(lì)函數(shù)，進(jìn)行轉(zhuǎn)換后，形成一個(gè)計(jì)算結(jié)果，對(duì)比實(shí)際結(jié)果與計(jì)算結(jié)果，得出誤差，然后將誤差反向傳遞，及時(shí)調(diào)整參與計(jì)算的權(quán)重值以及偏置值。多次重復(fù)上述計(jì)算過(guò)程，直到二者數(shù)值達(dá)到相應(yīng)的誤差范圍內(nèi)為止。

這樣就完成了網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型的實(shí)時(shí)更新，在網(wǎng)絡(luò)訓(xùn)練過(guò)程中，可以使得網(wǎng)絡(luò)結(jié)構(gòu)更加穩(wěn)定。

3.4 利用機(jī)器學(xué)習(xí)技術(shù)預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)主要是根據(jù)網(wǎng)絡(luò)環(huán)境的歷史狀態(tài)，對(duì)其進(jìn)行預(yù)測(cè)，幫助網(wǎng)絡(luò)管理人員及時(shí)了解網(wǎng)絡(luò)的安全狀況，化被動(dòng)為主動(dòng)，及時(shí)采取相應(yīng)措施解決網(wǎng)絡(luò)中的安全威脅。這里采用基于雙向LSTM的網(wǎng)絡(luò)模型預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，利用前t時(shí)刻的態(tài)勢(shì)值x1，x2…xt，預(yù)測(cè)后k個(gè)時(shí)刻的態(tài)勢(shì)值xt+1，xt+2…xt+k。當(dāng)k=1，就是預(yù)測(cè)下一時(shí)刻的態(tài)勢(shì)值。為了提高預(yù)測(cè)的精準(zhǔn)度，可以采用下面相關(guān)技術(shù)對(duì)態(tài)勢(shì)預(yù)測(cè)相關(guān)的因素進(jìn)行優(yōu)化。

在使用基于雙向LSTM的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型的時(shí)候，為了提高模型的收斂速度，避免過(guò)度擬合的問(wèn)題，模型訓(xùn)練完成后，還需要確定超參數(shù)，可以使用貝葉斯優(yōu)化對(duì)模型參數(shù)進(jìn)行全局優(yōu)化。貝葉斯優(yōu)化是貝葉斯全局優(yōu)化算法，其流傳就是采用近似逼近方法，利用函數(shù)來(lái)選擇樣本點(diǎn)進(jìn)行計(jì)算，直到收斂為止，從而優(yōu)化超參數(shù)。優(yōu)化的超參數(shù)包括：輸入層、雙向LSTM層神經(jīng)元節(jié)點(diǎn)個(gè)數(shù)、batch_size和dropout率。優(yōu)化后的參數(shù)值如表1所示。

根據(jù)上表可知，輸入層時(shí)序是3，隱藏層雙向LSTM是一層包含32個(gè)神經(jīng)單元，單次傳遞給程序用以訓(xùn)練的參數(shù)個(gè)數(shù)（batch_size）為32，dropout率是神經(jīng)網(wǎng)絡(luò)模型的正則化方法，取值范圍為0.2～0.5，這里給定的概率是20%，即0.2。

超參數(shù)優(yōu)化完畢后，需要初始化權(quán)值。權(quán)值初始化也是機(jī)器學(xué)習(xí)領(lǐng)域的關(guān)鍵，直接影響著神經(jīng)網(wǎng)絡(luò)的收斂性能。這是由于初始化權(quán)值與網(wǎng)絡(luò)模型結(jié)構(gòu)的參數(shù)傳遞息息相關(guān)，如果權(quán)值過(guò)大，數(shù)據(jù)就會(huì)喪失自身的意義，權(quán)值太小，就會(huì)影響數(shù)據(jù)在傳遞過(guò)程中對(duì)后續(xù)節(jié)點(diǎn)的影響，對(duì)整個(gè)神經(jīng)網(wǎng)絡(luò)來(lái)說(shuō)是非常不利的。這就需要使用Xavier初始化權(quán)值，根據(jù)對(duì)比發(fā)現(xiàn)，使用Xavier初始化權(quán)值的迭代次數(shù)更少，模型收斂速度更快。

Xavier初始化權(quán)值與節(jié)點(diǎn)個(gè)數(shù)的計(jì)算公式為：

其中，fanin是神經(jīng)網(wǎng)絡(luò)輸入節(jié)點(diǎn)；fanout是神經(jīng)網(wǎng)絡(luò)輸出節(jié)點(diǎn)；Uniform是均勻隨機(jī)取值。

神經(jīng)網(wǎng)絡(luò)過(guò)度擬合可以提高預(yù)測(cè)的精準(zhǔn)度，然而過(guò)度擬合又會(huì)降低模型的泛化能力，這就需要使用Dropout技術(shù)，可以有效避免神經(jīng)網(wǎng)絡(luò)過(guò)度擬合，提高模型的泛化能力。如果原模型過(guò)度擬合，Dropout技術(shù)也可以提升模型性能。由上述內(nèi)容可知，神經(jīng)網(wǎng)絡(luò)在訓(xùn)練數(shù)據(jù)的時(shí)候會(huì)將輸入的數(shù)據(jù)通過(guò)網(wǎng)絡(luò)向前傳播，再將誤差進(jìn)行反向傳輸。Dropout技術(shù)的核心是刪除隱藏層不工作的節(jié)點(diǎn)，改變模型的本身，依舊保留完整的訓(xùn)練模型。在更新模型的時(shí)候，這些節(jié)點(diǎn)就會(huì)被隱藏不更新，但是在進(jìn)行數(shù)據(jù)計(jì)算的時(shí)候，這些節(jié)點(diǎn)也會(huì)使用，保證數(shù)據(jù)完整性。Dropout技術(shù)減少神經(jīng)元之間共同適應(yīng)的復(fù)雜性，即使在個(gè)體不完整的情況下，也可以保證神經(jīng)網(wǎng)絡(luò)的精確計(jì)算。

在對(duì)模型、超參數(shù)等信息進(jìn)行優(yōu)化完畢后，就可以借助上述的數(shù)據(jù)進(jìn)行態(tài)勢(shì)預(yù)測(cè)，其流程如下。

（1）將采集到的數(shù)據(jù)進(jìn)行預(yù)處理。

（2）使用貝葉斯優(yōu)化。

（3）確定使用基于雙向LSTM的態(tài)勢(shì)預(yù)測(cè)模型。

（4）訓(xùn)練模型。

（5）判斷是否達(dá)到迭代次數(shù)，當(dāng)沒(méi)有達(dá)到最大迭代次數(shù)就繼續(xù)進(jìn)行計(jì)算輸出。

（6）達(dá)到迭代次數(shù)就輸出預(yù)測(cè)結(jié)果。

4 結(jié)語(yǔ)

機(jī)器學(xué)習(xí)技術(shù)這幾年日趨成熟，在網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中應(yīng)用機(jī)器學(xué)習(xí)算法進(jìn)行評(píng)估和預(yù)測(cè)，可以利用機(jī)器自主學(xué)習(xí)能力對(duì)數(shù)據(jù)進(jìn)行訓(xùn)練，借助相關(guān)模型對(duì)其預(yù)測(cè)，提高網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和預(yù)測(cè)效果，保障網(wǎng)絡(luò)環(huán)境的運(yùn)行安全。

參考文獻(xiàn)

［1］錢國(guó)慶.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知［D］.成都：電子科技大學(xué)，2019.

［2］李營(yíng).基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的研究與實(shí)現(xiàn)［D］.北京：北京郵電大學(xué)，2020.

［3］李欣濤.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［D］.北京：北京郵電大學(xué)，2020.

（編輯 沈 強(qiáng)）

Abstract： With the rapid development of information technology， the network environment has become more complex， and there are more and more methods of network attacks， making the security of the cyberspace even more important. In this context， network security situational awareness technology has emerged as a key technology for assessing the current state of network security， insight into network security risks， and predicting the future development of the network. The research on network security situation awareness system can improve the network monitoring ability， emergency response ability， etc. This paper analyzes the current network security situation awareness model and network security situation indicators， uses two-way LSTM network security prediction model， and uses Bayesian optimization method to determine the models hyperparameter， thus improving the accuracy and efficiency of network security situation prediction model.

Key words： network security situation awareness; network security situation prediction; LSTM model