基于決策樹的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計

摘要：針對日益復(fù)雜的網(wǎng)絡(luò)攻擊、安全風(fēng)險，以及網(wǎng)絡(luò)安全態(tài)勢感知模型的感知檢測率低、效果差等問題，本文提出并設(shè)計了一種基于決策樹的新型網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)。該系統(tǒng)的設(shè)計分為軟件、硬件兩個部分。其中，系統(tǒng)硬件部分通過對系統(tǒng)日志的采集和處理實現(xiàn)對數(shù)據(jù)的訪問；在軟件設(shè)計過程中引入決策樹，搭建了網(wǎng)絡(luò)安全態(tài)勢感知模型，并借助歸一化異構(gòu)修正，實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢感知的優(yōu)化和軟件流程設(shè)計。經(jīng)仿真結(jié)果證明：本文設(shè)計的系統(tǒng)具有較高的網(wǎng)絡(luò)安全態(tài)勢感知準確率，能夠有效滿足用戶需求。

關(guān)鍵詞：決策樹；網(wǎng)絡(luò)安全；安全態(tài)勢感知；數(shù)據(jù)處理

一、引言

近年來，隨著云計算、大數(shù)據(jù)等技術(shù)的快速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量呈幾何式上漲。其在為人們生活提供便利的同時，海量的復(fù)雜數(shù)據(jù)也帶來了嚴重的網(wǎng)絡(luò)安全問題。因此，如何高效、精準地實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知，成為相關(guān)學(xué)者重點關(guān)注的課題。決策樹（Decision Tree）是一個流程圖形式的樹結(jié)構(gòu)，它利用對自身內(nèi)部的每個節(jié)點屬性測試的方式，確定最終結(jié)果，并將其在類標簽上進行呈現(xiàn)[1]。鐘云勝針對網(wǎng)絡(luò)安全態(tài)勢感知存在的感知檢出率低的問題，提出了一種基于決策樹算法的網(wǎng)絡(luò)安全態(tài)勢感知優(yōu)化方法。該方法通過引入決策樹算法，實現(xiàn)對定向感知特征的提取，搭建對應(yīng)優(yōu)化模型，并進行歸一化處理，以達到優(yōu)化安全態(tài)勢的目的[2]。林立鑫針對網(wǎng)絡(luò)安全風(fēng)險問題，提出了一種基于改進決策樹的網(wǎng)絡(luò)安全態(tài)勢感知方法。該方法通過利用改進后的決策樹算法實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢要素的提取，并利用D-S證據(jù)理論對其結(jié)果量化，從而達到提高網(wǎng)絡(luò)安全和感知水平的目的[3]。但這兩種方法的設(shè)計效果都低于預(yù)期目標。

基于此，本文提出了一種基于決策樹的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計方案，并對該系統(tǒng)進行了仿真測試，最終結(jié)果證明：本系統(tǒng)具有較高的網(wǎng)絡(luò)安全態(tài)勢檢測率，能夠更好地實現(xiàn)對網(wǎng)絡(luò)中攻擊行為的準確判定。

二、決策樹概述

（一）決策樹模型設(shè)計

由圖1結(jié)構(gòu)可知，本文設(shè)計的決策樹自上而下?lián)碛卸鄠€節(jié)點，這些節(jié)點互相之間不存在關(guān)聯(lián)，且每一個單獨的決策節(jié)點都表示單個屬性的最終測試結(jié)果。

簡單來說，決策樹是由大量決策節(jié)點形成森林，而通過森林中的決策樹可以對輸入的樣本類別進行判別、對數(shù)據(jù)的安全態(tài)勢進行感知，以此來確定網(wǎng)絡(luò)數(shù)據(jù)的攻擊類型。決策樹的樹葉代表不同類型的分布方式，決策樹的頂端節(jié)點則代表主節(jié)點，它能夠?qū)崿F(xiàn)對不同數(shù)據(jù)樣本的分類，而樹杈分支則代表測試結(jié)果[4]。

（二）網(wǎng)絡(luò)安全態(tài)勢感知預(yù)處理設(shè)計

為解決網(wǎng)絡(luò)安全態(tài)勢感知過程中存在的感知環(huán)境影響問題，需要結(jié)合實際情況和感知需求，對網(wǎng)絡(luò)安全態(tài)勢感知環(huán)境進行預(yù)處理操作。

首先，在進行預(yù)處理時，需要搭建標準的定向感知邏輯，并在邏輯程序當中編寫對應(yīng)的參數(shù)規(guī)則，如告警關(guān)聯(lián)編碼、規(guī)則、結(jié)構(gòu)等，這樣一來，就能夠形成可控神經(jīng)網(wǎng)絡(luò)。

其次，需要構(gòu)建對應(yīng)的感知矩陣，并將告警編碼轉(zhuǎn)化成感知矩陣的執(zhí)行向量，然后搭配Bayes技術(shù)，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知架構(gòu)的搭建。

最后，借助采集到的相關(guān)數(shù)據(jù)和信息，對網(wǎng)絡(luò)態(tài)勢感知標準的迭代次數(shù)進行計算，具體公式如下：

式（1）中，網(wǎng)絡(luò)態(tài)勢感知標準迭代次數(shù)、感知范圍、告警距離、威脅環(huán)境、預(yù)設(shè)感知次數(shù)等分別以G、κ、、i、γ來表示。

結(jié)合上述內(nèi)容，可以對網(wǎng)絡(luò)安全態(tài)勢感知的標準迭代次數(shù)進行計算。并且，還可以將其設(shè)定為感知迭代標準，從而構(gòu)成多目標智能感知架構(gòu)，實現(xiàn)對測定環(huán)境的預(yù)處理。

（三）定向感知特征提取設(shè)計

在定向感知特征提取設(shè)計中，考慮到同一種感知特征中可能存在感知威脅情況，因此，通過引入決策樹算法，能夠?qū)崿F(xiàn)對定向感知特征，如信息種類、信息用戶、信息風(fēng)險等的提取。

三、基于決策樹的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計及實現(xiàn)

（一）系統(tǒng)硬件設(shè)計

本文提出的基于決策樹的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計方案主要分為硬件和軟件兩個部分。其中，系統(tǒng)硬件部分也可以看作決策支持系統(tǒng)，它主要包括數(shù)據(jù)采集器、日志傳感器、分析器、決策器等。數(shù)據(jù)采集器、日志傳感器、決策器的設(shè)計，可以進一步確定網(wǎng)絡(luò)安全的安全域，并利用傳感器獲得計算機和網(wǎng)絡(luò)的現(xiàn)行狀況。這樣一來，當系統(tǒng)感知到網(wǎng)絡(luò)中存在異常安全問題時，數(shù)據(jù)采集器所采集的異常行為會借助傳感器將其發(fā)送到分析器當中，并將其分析結(jié)果上傳到數(shù)據(jù)庫當中，由不同的分析模塊對數(shù)據(jù)庫內(nèi)部的數(shù)據(jù)進行分析，再通過決策器進行處理，以此來判別網(wǎng)絡(luò)是否安全[4]。

1.日志傳感器設(shè)計

該硬件能夠?qū)崿F(xiàn)對基于決策樹的網(wǎng)絡(luò)安全態(tài)勢感知結(jié)果的初步分析、精簡，從中提取不同的要求，以此確保安全態(tài)勢感知的精度。簡單來說，此硬件可以對數(shù)據(jù)采集器采集到的網(wǎng)絡(luò)日志信息進行全面分析，并將對應(yīng)的分析結(jié)果統(tǒng)一上傳到上一層應(yīng)用中，為其提供數(shù)據(jù)支持。為了確保網(wǎng)絡(luò)日志信息不被破壞、惡意修改或者篡改，傳感器配置了檢測模塊和日志訪問協(xié)議，用于實時監(jiān)測網(wǎng)絡(luò)日志的狀況，從而確保系統(tǒng)的安全。

2.數(shù)據(jù)采集器設(shè)計

本文選擇SYSLOG數(shù)據(jù)采集器作為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的采集器。此采集器內(nèi)置的數(shù)據(jù)采集協(xié)議可以充分滿足大部分網(wǎng)絡(luò)安全設(shè)備在數(shù)據(jù)方面的需求。因此，基于決策樹的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)可以實現(xiàn)對不同網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)采集。

此數(shù)據(jù)采集器設(shè)備還能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)日志信息和多線程數(shù)據(jù)的采集。配置網(wǎng)絡(luò)保護系統(tǒng)的采集器還可以實現(xiàn)對信息終端的轉(zhuǎn)換，借助數(shù)據(jù)處理工具，實現(xiàn)對采集的數(shù)據(jù)信息的自動過濾、分析，從而可以獲得不同類型的網(wǎng)絡(luò)日志信息。

（二）系統(tǒng)軟件設(shè)計

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)硬件設(shè)計工作完成之后，需要對系統(tǒng)軟件進行設(shè)計。本文通過引入決策樹實現(xiàn)系統(tǒng)軟件程序的設(shè)計。系統(tǒng)軟件工作流程如圖2所示。

利用安全態(tài)勢感知系統(tǒng)硬件中的數(shù)據(jù)采集器，可以獲得感知到的相關(guān)基礎(chǔ)數(shù)據(jù)信息。將這些基礎(chǔ)數(shù)據(jù)設(shè)置成基礎(chǔ)數(shù)據(jù)源，從而實現(xiàn)對網(wǎng)絡(luò)設(shè)備信息的統(tǒng)一、集中、分類處理。也可以通過拓撲結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)格式等獲取不同網(wǎng)絡(luò)的設(shè)備信息，并利用Snmp和syslog數(shù)據(jù)采集器實現(xiàn)對網(wǎng)絡(luò)中海量數(shù)據(jù)流量和網(wǎng)絡(luò)日志的全面采集分析。系統(tǒng)在完成態(tài)勢感知工作之后，還需要對得到的信息進行去噪和歸一化處理，以此為網(wǎng)絡(luò)安全事件的處理和關(guān)聯(lián)分析奠定基礎(chǔ)[6]。

為了解決安全態(tài)勢感知環(huán)境對最終感知效果造成的影響，需要結(jié)合實際感知需要，搭建預(yù)處理網(wǎng)絡(luò)安全態(tài)勢感知環(huán)境。首先，在對感知環(huán)境進行預(yù)處理時，需要構(gòu)建定向感知邏輯，以此獲得對應(yīng)告警的關(guān)聯(lián)規(guī)則、編碼和結(jié)構(gòu)；進行邏輯程序設(shè)計，以此搭建一個可控的神經(jīng)網(wǎng)絡(luò)。其次，通過搭建基礎(chǔ)網(wǎng)絡(luò)安全態(tài)勢感知矩陣，將告警編碼轉(zhuǎn)換成執(zhí)行向量，再利用Bayes技術(shù)，實現(xiàn)多維網(wǎng)絡(luò)安全態(tài)勢感知框架建設(shè)?？紤]到同一種類型的感知特征會延伸出感知威脅，決策樹的應(yīng)用能夠?qū)崿F(xiàn)對定向感知特征，如數(shù)據(jù)種類、風(fēng)險等的提取。

同時，利用感知系統(tǒng)對不同設(shè)備的數(shù)據(jù)進行處理和匹配，從而實現(xiàn)相關(guān)網(wǎng)絡(luò)信息的歸并處理。然后，將歸并處理后得到的不同數(shù)據(jù)值存儲在系統(tǒng)數(shù)據(jù)庫當中，設(shè)其為系統(tǒng)默認值，從而達到對數(shù)據(jù)處理的目的。如圖2所示，通過網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)軟件程序中的定時功能，結(jié)合數(shù)據(jù)采集器，可以實現(xiàn)對網(wǎng)絡(luò)信息的整體處理，進一步確定網(wǎng)絡(luò)的安全態(tài)勢。利用網(wǎng)絡(luò)安全態(tài)勢標準指標，實現(xiàn)對安全態(tài)勢的一級指標、二級指標劃分；借助評估字典和動態(tài)化配置方法，實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢指標的分析，并根據(jù)系統(tǒng)硬件、數(shù)據(jù)源、算法庫等獲得具體安全態(tài)勢指標。再結(jié)合建立的評價分級標準，可以確定模糊矩陣；利用應(yīng)用層分析法獲得對應(yīng)的權(quán)重系數(shù)后，經(jīng)對特征向量的歸一化處理之后，就可以得到綜合評價指標。因此，當網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)感知到網(wǎng)絡(luò)中存在異常安全行為時，系統(tǒng)的安全響應(yīng)模塊就會被觸發(fā)，并將態(tài)勢信息呈現(xiàn)給管理員，便于管理員更好地了解相關(guān)問題并及時采取響應(yīng)措施。

（三）態(tài)勢感知歸一化修正

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)在對網(wǎng)絡(luò)數(shù)據(jù)進行感知時，受外部環(huán)境中不同因素的影響，可能會導(dǎo)致系統(tǒng)的態(tài)勢感知范圍或者命令發(fā)生錯誤。因此，可以通過設(shè)定的網(wǎng)絡(luò)感知節(jié)點對數(shù)據(jù)信息進行采集，從而搭建歸一化異構(gòu)程序，使其和感知系統(tǒng)相關(guān)聯(lián)。當系統(tǒng)的感知出現(xiàn)異常時，就能夠通過對獲取到的信息和初始信息的對比分析，實現(xiàn)對存在的安全態(tài)勢感知誤差進行處理。歸一化處理修正流程如圖3所示。當程序設(shè)計完成后，可以將其安裝到網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)當中，以此提高系統(tǒng)感知的準確率和網(wǎng)絡(luò)的安全性[7]。

四、仿真測試分析

（一）測試環(huán)境和參數(shù)

為了進一步驗證基于決策樹的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的實際應(yīng)用效果和可行性，本文選擇KDD99基礎(chǔ)數(shù)據(jù)庫為測試數(shù)據(jù)集，搭配真實網(wǎng)絡(luò)環(huán)境對本文系統(tǒng)展開仿真測試。此次測試環(huán)境搭建標準如下：測試系統(tǒng)為Windows11、CPU處理器為i7-13700k、內(nèi)存為32G、存儲為4T、測試數(shù)據(jù)庫為KDD99數(shù)據(jù)庫、帶寬為1000M。測試的數(shù)據(jù)樣本為零散樣式分布。需要利用決策樹的網(wǎng)絡(luò)安全態(tài)勢系統(tǒng)對不同區(qū)域中的數(shù)據(jù)樣本信息和網(wǎng)絡(luò)安全要素進行處理、分析，并配置完成對應(yīng)的初始參數(shù)。之后，將其和傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)兩者之間進行對比分析，從而得到相關(guān)數(shù)據(jù)信息收斂的情況。同時，由于本文設(shè)計的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，采用了模糊計算的方式對網(wǎng)絡(luò)指標因素進行計算、分析，從而確定被評估對象所存在的問題，所以，最終得到的系統(tǒng)信息收斂情況相對較好。歸一化修正程序的設(shè)計，實現(xiàn)了對處理之后的最大特征值的權(quán)重指標處理和確認，從而得到相關(guān)特征向量。此外，本文提出的系統(tǒng)能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)安全要素的類別劃分、數(shù)據(jù)信息參數(shù)優(yōu)化，這就說明系統(tǒng)具有非?？斓氖諗克俣取?/p>

（二）測試結(jié)果分析

為了更好地判斷本文系統(tǒng)對不同類型網(wǎng)絡(luò)安全態(tài)勢的檢測準確率，選擇將其和傳統(tǒng)網(wǎng)絡(luò)安全感知平臺、基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知方法、基于LSTM-DT模型的網(wǎng)絡(luò)安全感知方法等進行測試對比分析，本次試驗測試次數(shù)為5次，測試數(shù)據(jù)庫依然是KDD99基礎(chǔ)數(shù)據(jù)庫，具體實驗結(jié)果見表1所示。

測試結(jié)果表明，本文提出的基于決策樹的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，在網(wǎng)絡(luò)數(shù)據(jù)安全態(tài)勢感知方面具有較強的性能，可以更好地確保網(wǎng)絡(luò)信息的安全。同時，經(jīng)過5次實驗測試結(jié)果得知，本文所提出的系統(tǒng)檢測準確率平均為97.65%，明顯超過了其他三種感知方法，能夠更好地應(yīng)用于網(wǎng)絡(luò)安全防御領(lǐng)域。

五、結(jié)束語

針對網(wǎng)絡(luò)的安全態(tài)勢感知問題，本文設(shè)計了一種基于決策樹的新型網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)方案。同時，本文引入決策樹對系統(tǒng)軟件和硬件進行了設(shè)計。經(jīng)仿真測試證明，本系統(tǒng)在網(wǎng)絡(luò)安全態(tài)勢感知方面具有較高的感知準確率，能夠為網(wǎng)絡(luò)提供更強的安全防御。

作者單位：張煉 重慶移通學(xué)院

參考文獻

[1]謝兆賢，鄒興敏，張文靜.面向大型數(shù)據(jù)集的高效決策樹參數(shù)剪枝算法[J].計算機工程，2024，50（01）：156-165.

[2]鐘云勝.基于決策樹算法的網(wǎng)絡(luò)信息安全態(tài)勢感知優(yōu)化方法研究[J].信息與電腦，2023，35（06）：239-241.

[3]林立鑫，涂劍峰，喻燕華.基于改進決策樹的通信網(wǎng)絡(luò)安全態(tài)勢感知方法[J].信息與電腦（理論版）， 2023，35（09）：223-225.

[4]何翠萍.基于改進決策樹的高校網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計[J].信息與電腦（理論版）， 2023，35（07）：133-135.

[5]張春萌.網(wǎng)絡(luò)安全態(tài)勢感知方法研究[J].電子質(zhì)量，2023（6）：90-94.

[6]謝凱，代康.基于決策樹的聯(lián)級網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計[J].現(xiàn)代電子技術(shù)，2022，45（17）：74-78.

[7]張顥芳.基于LSTM--DT模型的網(wǎng)絡(luò)安全態(tài)勢感知研究[D].黑龍江：黑龍江大學(xué)，2022.