導(dǎo)語(yǔ)：網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)與應(yīng)用一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

為了應(yīng)對(duì)日趨復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題，傳統(tǒng)的基于規(guī)則的網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)無(wú)法預(yù)知未知的網(wǎng)絡(luò)入侵方法。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是一種基于環(huán)境的、動(dòng)態(tài)的、整體的數(shù)據(jù)融合方法，可以從宏觀角度把數(shù)據(jù)融合起來(lái)。通過(guò)機(jī)器學(xué)習(xí)算法發(fā)現(xiàn)數(shù)據(jù)之間的相關(guān)性，而不是人為制定規(guī)則，可以發(fā)現(xiàn)數(shù)據(jù)之間潛在的聯(lián)系。支持向量機(jī)是機(jī)器學(xué)習(xí)中較為通用的一種算法，通過(guò)對(duì)KDDCUP99數(shù)據(jù)集的訓(xùn)練和測(cè)試，得到的模型有效地對(duì)網(wǎng)絡(luò)安全測(cè)試數(shù)據(jù)進(jìn)行了預(yù)測(cè)。態(tài)勢(shì)感知技術(shù)是網(wǎng)絡(luò)安全強(qiáng)有力的監(jiān)控技術(shù)和保障技術(shù)，面對(duì)傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)無(wú)法較好地檢測(cè)網(wǎng)絡(luò)狀態(tài)和探究其變化規(guī)律等問(wèn)題，本文結(jié)合機(jī)器學(xué)習(xí)在大數(shù)據(jù)分析于預(yù)測(cè)方面的優(yōu)勢(shì)，通過(guò)數(shù)據(jù)融合的方式將入侵檢測(cè)系統(tǒng)、日志文件、防火墻、網(wǎng)絡(luò)設(shè)備等數(shù)據(jù)進(jìn)行歸一化操作，然后基于這些統(tǒng)一的數(shù)據(jù)進(jìn)行進(jìn)一步的態(tài)勢(shì)評(píng)估和預(yù)測(cè)，并對(duì)不同機(jī)器學(xué)習(xí)算法在網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估與預(yù)測(cè)效果和數(shù)據(jù)訓(xùn)練耗時(shí)方面進(jìn)行了對(duì)比。

1網(wǎng)絡(luò)安全態(tài)勢(shì)感知的相關(guān)概念

狀態(tài)是指一個(gè)物質(zhì)系統(tǒng)中各個(gè)對(duì)象所處的狀況，由一組測(cè)度來(lái)表征，態(tài)勢(shì)是系統(tǒng)中各個(gè)對(duì)象狀態(tài)的綜合，是一個(gè)整體和全局的概念。任何單一的狀態(tài)均不能成為態(tài)勢(shì)，它強(qiáng)調(diào)系統(tǒng)及系統(tǒng)中對(duì)象之間的關(guān)系[1]。態(tài)勢(shì)感知是指獲取一個(gè)系統(tǒng)中各對(duì)象要素的數(shù)據(jù)以及對(duì)這些數(shù)據(jù)表征的系統(tǒng)的理解和預(yù)測(cè)。文獻(xiàn)[2]探討了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念，認(rèn)為它是“在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)”。國(guó)外對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究工作進(jìn)行得較早且相對(duì)系統(tǒng)化，最早是1988年Endsley定義網(wǎng)絡(luò)安全態(tài)勢(shì)感知分為3步，即“在網(wǎng)絡(luò)的特定時(shí)空環(huán)境下，對(duì)網(wǎng)絡(luò)要素的獲取、態(tài)勢(shì)理解、對(duì)未來(lái)的預(yù)測(cè)”，如圖1所示：

2網(wǎng)絡(luò)安全態(tài)勢(shì)感知的關(guān)鍵技術(shù)

文獻(xiàn)[3]對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的算法有較大篇幅的論述，他把網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的算法分為以下幾類(lèi)：基于邏輯關(guān)系的融合方法、基于數(shù)學(xué)模型的融合方法、基于概率統(tǒng)計(jì)的融合方法、基于規(guī)則推理的融合方法。在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方面，一般采用神經(jīng)網(wǎng)絡(luò)、時(shí)間序列預(yù)測(cè)法和支持向量機(jī)等方法。文獻(xiàn)[4]對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的算法分為以下3類(lèi)：知識(shí)推理方法、統(tǒng)計(jì)方法、灰度理論方法。文獻(xiàn)[5]對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的關(guān)鍵技術(shù)分為基于層次化分析、機(jī)器學(xué)習(xí)、免疫系統(tǒng)、博弈論的態(tài)勢(shì)感知方法。文獻(xiàn)[6]通過(guò)應(yīng)用不同的機(jī)器學(xué)習(xí)算法于同一數(shù)據(jù)集進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知進(jìn)行評(píng)估與預(yù)測(cè)，比較不同算法在平均絕對(duì)誤差、均方差和訓(xùn)練時(shí)間上的差別。從以上3篇綜述文章可以看出，在網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究的早期，屬于機(jī)器學(xué)習(xí)的神經(jīng)網(wǎng)絡(luò)、時(shí)間序列預(yù)測(cè)法和支持向量機(jī)等方法，僅用于網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方面。今年，機(jī)器學(xué)習(xí)逐漸成為網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)中一個(gè)單獨(dú)的分類(lèi)。以“機(jī)器學(xué)習(xí)”和“網(wǎng)絡(luò)安全態(tài)勢(shì)”為關(guān)鍵字檢索到7篇論文[7-13]均為2015年之后發(fā)表的碩士和博士論文，說(shuō)明應(yīng)用機(jī)器學(xué)習(xí)技術(shù)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究，所涵蓋的知識(shí)深度和內(nèi)容足夠廣泛。

3基于支持向量機(jī)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究

3.1支持向量機(jī)

支持向量機(jī)（SupportVectorMachines,SVM）是一種二分類(lèi)模型，它的基本模型是定義在特征空間上的間隔最大的線性分類(lèi)器，間隔最大使它有別于感知機(jī)；SVM還包括核技巧，這使它成為實(shí)質(zhì)上的非線性分類(lèi)器。SVM的學(xué)習(xí)策略就是間隔最大化，可形式化為一個(gè)求解凸二次規(guī)劃的問(wèn)題，也等價(jià)于正則化的合頁(yè)損失函數(shù)的最小化問(wèn)題。SVM的學(xué)習(xí)算法就是求解凸二次規(guī)劃的最優(yōu)化算法。線性支持向量機(jī)學(xué)習(xí)算法如下：輸入：訓(xùn)練數(shù)據(jù)集T={(x1,y1),(x2,y1),…,(xN,yN)}，其中，xi∈Rn，yi∈{+1,-1}，i=1,2,…N;輸出：分離超平面和分類(lèi)決策函數(shù)（1）選擇懲罰參數(shù)C>0，構(gòu)造并求解凸二次規(guī)劃問(wèn)題：minα1/2∑Ni=1∑Nj=1αiαjyiyj(xi·xj)-∑Ni=1αi(1)s.t.∑Ni=1αiyi=00<αi≤C,i=1,2,......,N得到最優(yōu)解α*=(α1*,α2*,…,αN*)T（2）計(jì)算：w*=∑Ni=1α1*yixi(2)選擇α*的一個(gè)分量αj*滿足條件0<αj*<C，計(jì)算b*=yj-∑Ni=1α1*yi(xi·xj)(3)（3）求分離超平面：w*·x+b*=0(4)分類(lèi)決策函數(shù)：f(x)=sign(w*·x+b*)(5)

3.2網(wǎng)絡(luò)安全態(tài)勢(shì)感知數(shù)據(jù)集

利用機(jī)器學(xué)習(xí)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知進(jìn)行研究，需要足夠數(shù)據(jù)的數(shù)據(jù)集。數(shù)據(jù)集可以采用私有數(shù)據(jù)集，也可以采用公開(kāi)的數(shù)據(jù)集。采用公開(kāi)的數(shù)據(jù)集的好處是很多已公開(kāi)發(fā)布的研究成果采用的是公開(kāi)的數(shù)據(jù)集，不同研究成果算法之間可以在同一基礎(chǔ)上進(jìn)行比較和借鑒。公開(kāi)的可以獲得的網(wǎng)絡(luò)安全數(shù)據(jù)集包括：KDDCUP99數(shù)據(jù)集、CICIDS2017數(shù)據(jù)集、HoneyNet-data數(shù)據(jù)集等。本文采用的數(shù)據(jù)集是KDDCUP99數(shù)據(jù)集。該數(shù)據(jù)集是從一個(gè)模擬的美國(guó)空軍局域網(wǎng)上采集來(lái)的9個(gè)星期的網(wǎng)絡(luò)連接數(shù)據(jù),分成具有標(biāo)識(shí)的訓(xùn)練數(shù)據(jù)和未加標(biāo)識(shí)的測(cè)試數(shù)據(jù)。測(cè)試數(shù)據(jù)和訓(xùn)練數(shù)據(jù)有著不同的概率分布,測(cè)試數(shù)據(jù)包含了一些未出現(xiàn)在訓(xùn)練數(shù)據(jù)中的攻擊類(lèi)型,這使得入侵檢測(cè)更具有現(xiàn)實(shí)性。在訓(xùn)練數(shù)據(jù)集中包含了1種正常的標(biāo)識(shí)類(lèi)型Normal和22種訓(xùn)練攻擊類(lèi)型,如表1所示。另外有14種攻擊僅出現(xiàn)在測(cè)試數(shù)據(jù)集中。KDDCUP99訓(xùn)練數(shù)據(jù)集中每個(gè)連接記錄包含了41個(gè)固定的特征屬性和1個(gè)類(lèi)標(biāo)識(shí)，標(biāo)識(shí)用來(lái)表示該條連接記錄是正常的,或是某個(gè)具體的攻擊類(lèi)型。在41個(gè)固定的特征屬性中,9個(gè)特征屬性為離散(Symbolic)型,其他均為連續(xù)(Continuous)型。KDDCUP99數(shù)據(jù)集由500萬(wàn)條記錄構(gòu)成，特征屬性采用41個(gè)特征屬性中的duration、wrong_fragment、num_failed_logins、logged_in、root_shell、dst_host_same_src_port_rate、dst_host_serror_rate、dst_host_rerror_rate這8個(gè)特征屬性。

3.3數(shù)據(jù)預(yù)處理

數(shù)據(jù)的預(yù)處理包括數(shù)據(jù)的歸一化和數(shù)據(jù)的標(biāo)準(zhǔn)化、標(biāo)簽編碼。數(shù)據(jù)的歸一化是將訓(xùn)練集和測(cè)試集中某一列特征的值縮放到0和1之間。方法如式(6)所示：Xnorm=(X-Xmin)/(Xmax-Xmin)(6)數(shù)據(jù)的標(biāo)準(zhǔn)化是將訓(xùn)練集和測(cè)試集中某一列特征的值縮成均值為0，方差為1的狀態(tài)。方法如式(7)所示：z=(x-μ)/σ(7)

3.4基于scikitlearn類(lèi)庫(kù)的支持向量機(jī)算法的實(shí)現(xiàn)和評(píng)估

機(jī)器學(xué)習(xí)類(lèi)庫(kù)scikitlearn包含了支持向量機(jī)算法的實(shí)現(xiàn)，可以用以下幾行代碼實(shí)現(xiàn)：#支持向量機(jī)fromsklearnimportsvmclf=svm.SVC()clf.fit(X_train,y_train)y_pred=clf.predict(X_test)evaluation(y_test,y_pred,index_name=[clf])對(duì)KDDCUP99數(shù)據(jù)集應(yīng)用高斯樸素貝葉斯算法的效果如下：平均絕對(duì)誤差：0.1355均方差：0.2717訓(xùn)練時(shí)間：2.8601ms。

4總結(jié)

機(jī)器學(xué)習(xí)技術(shù)經(jīng)過(guò)幾年的飛速發(fā)展日趨成熟，在應(yīng)用機(jī)器學(xué)習(xí)算法到網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估和預(yù)測(cè)方面，可以利用已有的第三方模塊中的模型便捷地進(jìn)行數(shù)據(jù)的訓(xùn)練和測(cè)試及預(yù)測(cè)。利用支持向量機(jī)算法對(duì)所采用的數(shù)據(jù)集進(jìn)行訓(xùn)練，可以達(dá)到較為良好的效果。本文只對(duì)特定的數(shù)據(jù)集中數(shù)據(jù)的部分特征進(jìn)行了訓(xùn)練，需要進(jìn)一步研究的是對(duì)所選數(shù)據(jù)集的全部特征訓(xùn)練需要縮短訓(xùn)練時(shí)間，也需要對(duì)其它數(shù)據(jù)集進(jìn)行訓(xùn)練和模型構(gòu)建，驗(yàn)證支持向量機(jī)算法對(duì)其它數(shù)據(jù)集的有效性。

作者：魏孔鵬 王菊 谷洪彬 單位：盤(pán)錦職業(yè)技術(shù)學(xué)院