网络安全态势感知技术研究现状

陈伟然，朱重伟

网络安全态势感知技术研究现状

陈伟然，朱重伟

（水电十四局大理聚能投资有限公司，云南 大理 671000）

长久以来，网络安全态势感知技术的研究取得了长足的进展，但是随着大数据时代的来临，先前的研究显示出其局限性和不足之处，人工神经网络的出现促进了网络安全态势感知技术的进一步发展。着重分析了神经网络在网络安全态势中的应用，解决了网络安全态势的特征提取和预测问题，为神经网络技术与网络安全态势感知技术的结合奠定了基础。

神经网络；态势预测；网络安全；态势感知

1 引言

随着社会的发展和人们之间更多的沟通要求，网络在人们的日常生活中起着越来越重要的作用，包括计算机网络、无线通信网络等[1-3]。相应地，当人们上网发送和接收私人数据时，网络攻击变得更加频繁。然而，仅通过单一防御方法很难解决这些安全问题。在如此严酷的环境下，获取和处理安全信息的综合技术——网络安全状况感知（NSSA）受到了广泛的关注[4-5]。网络安全态势感知起源于古代军事对抗思想，该技术在航空领域得到首次应用，通过观察飞行场景进行认识，然后根据具体情况做出及时的反应和决策，随后空中交通管制的实施遏制了网络安全态势感知技术的发展，但是在医疗应急调度领域和电力系统领域得到了广泛应用。2018-09-13，国家能源局印发《关于加强电力行业网络安全工作的指导意见》，其中指出要进一步落实电力企业网络安全主体责任，完善网络安全监督管理体制机制，加强全方位网络安全管理，强化关键信息基础设施安全保护，加强行业网络安全基础设施建设，加强电力企业数据安全保护，提高网络安全态势感知、预警及应急处置能力，支持网络安全自主创新与安全可控。

2 网络安全态势感知模型

在态势感知技术创新发展的过程中，研究人员根据国内外具体的应用场景，设计了不同的态势感知模型：Endsley and Rodgers（1994）和Bass（1999）。

2.1 Endsley模型

1988年，德克萨斯州立大学技术学院ENDSLEY教授给出了态势感知的定义，1995年，ENDSLEY基于对态势创新理论的深入研究，提出了Endsley模型，描述了模型各部分的功能。该模型由环境因素、个体因素、态势感知、决策和实施五个部分组成。整个模型的核心分为三个级别，具体如下。

态势要素提取层：态势感知的第一层，负责从网络环境中感知和选择态势要素，对态势变化具有重要影响。该层是态势感知全过程的基础，关系到后续的态势要素的准确性评估和预测。

网络安全态势理解：在态势感知的基础上，全面分析从第一层中提取的要素，包括对要素、对象和事件重要性的理解，从而使管理人员具有决策和保护的目标。

网络安全态势预测：依据历史网络安全态势信息和当前网络安全态势信息预测未来网络安全态势的发展趋势，并根据系统目标和任务，结合专家的知识、能力、经验制定决策，实施安全控制措施。

2.2 Bass模型

BASS于1999年提出了交通监管态势感知理论，并给出了网络安全态势感知的定义，2000年，BASS T在该理论的基础上构建了针对入侵检测系统的Tim Bass功能模型。Tim Bass函数模型分为五个级别：数据精炼、对象精炼、态势评估、威胁评估和资源管理。

数据精炼：负责从许多安全设备（例如入侵检测、传感器和探针）收集有关态势评估的有用信息，并将这些信息转换为统一的标准。

对象精炼：在时间或空间上分析从数据提取层收集的数据，并通过分类提取对象，从入侵检测设备中提取重要的情况信息，并结合数据提取和对象提取的结果，为后续态势的评估和预测奠定了基础，该过程是动态分析的过程。

态势评估：根据提炼的分析对象和赋予的权重，评估系统的安全状况。

威胁评估：根据态势提取层的动态分析结果，对网络环境中的情况进行全面分析，尤其是针对网络环境中可能遇到的威胁或攻击。

资源管理：监视和管理网络安全态势感知的全过程，协调和分配态势感知全过程涉及的系统资源和信息资源。

随着态势感知技术的日益普及，国内外许多研究者根据不同的应用需求提出了不同的态势感知模型。SHEN等人[6]通过融合入侵检测系统和入侵防御系统的预警信息，建立了基于马尔可夫博弈论的网络安全态势融合感知与风险评估模型。JIA等人[7]从攻击、防御和网络环境三个角度构建了网络安全态势感知模型，该模型为不确定性推理模型，从而提高对态势感知的敏感性。

人工神经网络技术促进网络安全态势层间交互作用和认知能力。LI等人[8]提出使用跨层粒子群优化算法解决跨层态势信息融合问题，将重要参考指标作为态势因素，并将认知理论转化为态势感知，从服务安全性、主机安全性和网络安全性方面进行态势评估，通过绘制网络安全态势曲线为决策者提供参考。为了更好地适应空间共享领域信息网络安全态势多样化的特点，LI等人[8]提出了多层次的网络安全态势感知模型，将网络安全和信息安全数据、基本数据源等信息作为特征提取，通过数据集成完成态势因素的选择和提取，进行动态推理。杨荣泽根据多源数据流在端点之间数据包传输的序列化特性，构造单位时间段内的数据流元组，结合由隐马尔科夫模型（HMM）改进而来的条件随机场模型（CRF）对序列化数据流进行分类检测并实现了部分算法。同时，在检测方法的概念上改进了条件随机场对序列化数据的串行检测的传统方案，提出了基于CRF的异常数据流分层并发检测框架。赵昱博[9]构建了一个基于卷积神经网络的入侵检测模型，并对其中的卷积神经网络进行了深入的研究和改进。

3 基于神经网络的网络安全态势感知技术

网络安全态势感知技术的研究主要集中在三个阶段。第一阶段是网络安全状况因素的提取[9]，第二阶段是网络安全态势的评估[10-11]，第三阶段是网络安全态势的预测（NSSP）[12]。

3.1 网络安全态势的提取

美国高级国家安全系统研究中心针对主观因素提出了基于网络信息来提取网络态势感知，该方法取得了较好的结果[13-14]。在中国，网络安全态势要素的提取研究起步较晚，入侵检测的早期相关工作为网络安全态势提取技术的研究奠定了基础。为了消除冗余特征并提高运算精度，WANG等人[14]提出了一种基于态势因素的进化神经网络提取模型，并引入了进化策略来提高神经网络模型的收敛速度和分类精度。LI和LIU基于优化的粒子群优化（Improved Particle Swarm Optimization，IPSO）和逻辑回归算法（Logistic Regression LR）提取网络安全态势[15]，其模型如图1所示。鉴于异构网络安全状况因素的特征，HUA等人[16]提出了一种基于本体的网络安全状况知识库模型，对态势因素进行分类和提取。LIU等人[17]提出了一种基于融合的网络安全态势感知控制模型。在该模型中，通过引入权重系数对威胁因素进行分类，以实现网络安全态势的提取。

图1 基于LR-IPSO的安全态势要素提取模型

3.2 网络安全态势的评估

目前，网络安全态势评估研究主要集中在评价指标体系的研究和态势值的计算。

网络安全状况评估指标体系的研究尚无统一标准，国外相关成果主要从评估安全态势的角度出发，国内研究成果从网络服务架构、节点等方面开展。CHEN等人[18]提出了一种基于统计分析的层次化安全态势定量评估模型，该评估策略和计算方法采用了层次化评估方法，提供了直观的安全威胁评估模型。GIURA等人还建立了一个层次化的索引系统，对每个属性使用不同的定量方法来评估网络安全状况。ZHANG和JIA等人[19-20]通过各种威胁来获取总体安全状况。WEI等人[21]提出了基于改进算法的网络安全日志审计和态势评估模型，其主要思想是通过计算节点来评估整个网络的安全状况。

态势值计算是安全态势评估的基础。在目前的研究成果中，大部分运用人工智能、数据融合方法计算出态势值。SHARMA等人[22]从节点上提出了分层的网络安全状况评估指标体系，对系统、主机、服务器分级别进行了评估，其态势值是根据各个级别的情况进行计算。一些学者利用粗糙集、D-S理论、免疫理论和信息熵研究了网络安全态势评估模型，并提出了相应的态势值计算方法[23]。ZHANG等人[24]针对大数据环境下的网络安全态势感知，首先建立了网络安全态势感知指标体系，对指标因素进行选择和量化，然后通过计算态势值构建了网络安全态势感知系统。利用粒子群算法对小波神经网络参数进行优化，然后应用基于粒子群优化的小波神经网络计算态势值。

4 网络安全态势的预测

网络安全态势的预测（NSSP）作为整个态势感知的最后一步，分析和处理先前和当前的态势信息，然后对未来态势进行预测。为了解决网络安全态势预测中的一系列技术问题，许多学者开始对预测方法进行一些深入的探索。有学者建立了一个隐式马尔可夫模型，将网络安全态势中的过去和未来信息联系起来，然后可靠地预测了未来的网络安全态 势[25]。一些专家[26]分析了网络安全态势的特征，并提出了基于广义回归神经网络的预测模型。也有人使用区间Verhulst模型的残差校正功能来获取网络安全态势，然后引用灰色理论进行预测[27]。还有学者构建了分层网络结构的评估模型，并使用支持向量机（SVM）来预测网络安全态势值的非线性特征[28]。但是，随着网络规模的不断扩大，传统的预测算法存在预测精度低、收敛速度慢等问题。而且很容易陷入过早的收敛。结果，预测结果不能正确反映网络安全状况，管理人员无法做出合理的决定。

人工神经网络（ANN）具有一些潜在的优势，包括高适应性、自学习能力和良好的非线性逼近能力，因此已在NSSA领域得到了广泛的应用[29]。卓莹等人[30]提出了网络态势预测的广义回归神经网络模型GRNNSF，给出GRNNSF模型的网络设计原则以及网络态势预测方法，基于真实数据集验证GRNNSF模型的准确性和时效性。王宇飞等人[31]针对网络安全态势精确预测，提出一种基于改进广义回归神经网络的预测方法，以改善网络安全态势预测精度。利用滑动时间窗口方法将各个离散时间监测点的网络安全态势值构造成部分线性相关的多元回归数据序列，以其作为样本集输入到改进广义回归神经网络加以训练，进而得到网络安全态势预测模型。黄同庆[32]提出一种实时网络安全态势预测方法，设计了基于隐Markov模型的实时网络安全态势预测模型HMM-NSSP，通过网络攻击序列以及安全态势评估值构建预测模型，并根据安全态势预测算法计算出下一个时刻的网络安全状态，最后结合网络中所有主机和网络设备安全状态预测网络的安全态势。

针对网络安全态势预测模型，传统神经网络解决方案可能会产生一些偏差。因此，引入人工智能优化算法优化了人工神经网络的参数，普遍适用于各种人工神经网络模型。一些学者开始逐步研究智能优化算法与人工神经网络的结合，并取得了较好的效果。为了预测网络安全态势，有的学者提出了一种基于小波神经网络（WNN）的网络安全状况定量预测方法，其网络结构如图2所示。

图2 小波神经网络拓扑结构

其中采用梯度下降法来训练和优化WNN参数[33]。范九伦等人[34]依据网络安全态势值之间的非线性映射关系进行态势预测，采用布谷鸟搜索算法对RBF神经网络的结构参数进行优化，并在其间引入模拟退火算法思想和动态发现概率机制，以提升预测精度。仿真实验显示，改进后的布谷鸟搜索算法搜索效率更高，寻优结果更精确。孟锦等人[35]针对网络安全态势感知中的预测问题，提出了采用径向基函数（RBF）神经网络对态势值进行预测的方法，为了提高RBF神经网络的预测精度，使用混合递阶遗传算法（HHGA）对RBF神经网络进行训练，获得了神经网络结构参数。实验结果说明了此预测方法的有效性，并通过与已有的预测方法进行对比实验，验证了所提算法在精度方面的优越性。

王宇飞[36]从本质上深入剖析网络安全态势感知和网络安全态势预测的异同点，进而结合两者在工作原理上的相似性，利用人工智能理论提出基于集成学习Boosting算法的一体化NSSE模型，实现了对目标网络当前及未来安全态势的全方位评估，其结果如图3～图5和表1所示，从图中可知，相对比于BPNN和SVM，Boosting的预测精度较高。

图3 BPNN预测NSSV与NSSV真实值比较

图4 SVM预测NSSV与NSSV真实值比较

图5 Boosting预测NSSV与NSSV真实值比较

表1 NSSF实验结果（单位：%）

实验方法最小样本误差最大样本误差平均误差 BPNN2.19139.1532.17 SVM1.4473.6126.93 Boosting0.0015.779.007

为了提高神经网络的预测准确性，ZHANG等人[24]采用改进的遗传算法（INGA）建立了基于神经网络（WNN）网络安全状况预测模型（INGA-WNN），通过自适应遗传算法对WNN的参数进行了优化，其结果如图6所示，四个预测模型均取得了较好的预测效果。但是，与WNN、GA-BP（基于遗传算法的BP神经网络）和GA-WNN（基于遗传算法的小波神经网络）相比，INGA-WNN更接近实际网络态势值，主要原因是INGA-WNN采用改进的遗传算法对WNN进行优化，从而具有较高的非线性拟合能力，解决了种群遗传多样性的问题，有效避免了过早的收敛。

图6 各模型的安全态势预测曲线

5 结论

传统的网络安全态势感知技术存在预测精度低、收敛速度慢、预测结果不能正确反映网络安全状况导致管理员无法做出合理的决定。人工神经网络具有高适应性、自学习能力强和良好的非线性逼近能力，在安全态势感知领域得到了广泛的应用，神经网络与智能优化算法的结合有效地解决了过早和收敛性较低的问题，可以更准确地预测网络安全状况。研究基于新一代人工智能科学技术的网络安全态势预测技术，以适应数据量大、动态多变、实时性要求高、高度协同的大数据网络环境安全保障需求，支撑网络安全管理的精准决策，为网络安全主动动态防御提供指导。

［1］WU，DAPENG，HE，et al.A hierarchical packet forwarding mechanism for energy harvesting wireless sensor networks［J］.IEEE Communications Magazine：Articles，News，and Events of Interest to Communications Engineers，2015，53（8）：92-98.

［2］WU D，ZHANG H，WANG H，et al. Quality-of-protection-driven data forwarding for intermittently connected wireless networks［J］.IEEE Wireless Communications，2015，22（4）：66-73.

［3］WU D，WANG Y ，WANG H ，et al.Dynamic coding control in social intermittent connectivity wireless networks［J］. IEEE Transactions on Vehicular Technology，2016，65（9）：7634-7646.

［4］ZHAO G S，WU J C，CHEN Z H，et al.Research on cyberspace security situation awareness［J］.Chinese Journal of Network & Information Security，2016（10）：33-39.

［5］ONWUBIKO C.Functional requirements of situational awareness in computer network security［C］//Intelligence and Security Informatics，2009.ISI '09. IEEE International Conference on. IEEE，2009.

［6］SHEN D，CHEN G S，CRUZ J B，et al.A markov game theoretic data fusion approach for cyber situational awareness［C］//Defense & Security Symposium，2007.

［7］JIA X F，LIU Y L，YAN Y，et al.Network security situational awareness method based on capability-opportunity-intent model［J］.Application Research of Computers，2016（6）：1775-1779.

［8］LI M，TUO Y J，HUANG Y X.Cyberspace situation awareness model and application［J］.Communications Technology，2016（9）：1211-1216.

［9］赵昱博.基于卷积神经网络的入侵检测技术的研究［D］.哈尔滨：哈尔滨工程大学，2018.

［10］BASS T.Intrusion detection systems and multisensor data fusion［J］.Communications of the Acm，2000，43（4）：99-105.

［11］ABASI.A network security situational awareness model based on information fusion［J］.Advanced Materials Research，2009（3）：846-847.

［12］SALAZAR D S P，ADEODATO P J L，ARNAUD A L.Continuous dynamical combination of short and long-term forecasts for nonstationary time series［J］. Neural Networks and Learning Systems，IEEE Transactions on，2014，25（1）：241-246.

［13］HSIAO M U，CHEN C C，CHEN G H.Using UMLS to construct a generalized hierarchical concept-based dictionary of brain functions for information extraction from the fMRI literature［J］.Journal of Biomedical Informatics，2009，42（5）：912-922.

［14］WANG H Q，LIANG Y，YE H Z.An extraction method of situational factors for network security situational awareness［C］//Internet Computing in Science and Engineering，ICICSE'08.International Conference on.IEEE Computer Society，2008.

［15］LI D，LIU Z.Situation element extraction of network security based on logistic regression and improved particle swarm optimization［C］//2013 9th International Conference on Natural Computation（ICNC）.IEEE，2013.

［16］HUA H Y，CHEN Q M.Network security situation knowledge base model based on ontology［J］. Journal of Computer Applications，2014（Suppl 2）：95-98，107.

［17］LIU X W，WANG H Q，LI H W，et al.Fusion-based cognitive awareness-control model for network security situation［J］.Journal of Software，2016（8）：2099-2114.

［18］CHEN X Z，ZHENG Q H，GUAN X H，et al.Quantitative hierarchical threat evaluation model for network security［J］.Journal of Software，2006（4）：885-897.

［19］ZHANG Y，TAN X B，CUI X L，et al.Network security situation awareness approach based on markov game model［J］.Journal of Software，2011，22（3）：495-508.

［20］JIA R S，Liu C，SUN H M，et al.A situation assessment method for rock burst based on multi-agent information fusion［J］.Computers and Electrical Engineering，2015（4）：22-32.

［21］WEI Y，LIAN Y F.A network security situational awareness model based on log audit and performance correction［J］.Chinese Journal of Computers，2009，32（4）：763-772.

［22］SHARMA C，KATEICARFAD V.A novel framework for improved network security situation awareness［J］.International Journal of Computer Applications，2014，87（19）：26-31.

［23］WU J Y，YIN L H，FANG B X.A novel dynamic self-adaptive framework for network security evaluation［J］.Trustworthy Computing and Services，2013（5）：604-612.

［24］ZHANG H B，HUANG Q，LI F，et al.A network security situation prediction model based on wavelet neural network with optimized parameters［J］.Digital Communications and Networks，2016（3）：139-144.

［25］WEN Z C，CHEN Z G.Network security situation prediction method based on hidden markov model［J］.Journal of Central South University（Science and Technology），2015，46（10）：3689-3695.

［26］ZHUO Y，ZHANG Q，GONG Z H.GRNN model of network situation forecast［J］.Journal of PLA University of Science and Technology（Natural Science Edition），2012，13（2）：147-151.

［27］SHI Y Q，LI TAO，CHEN W，et al.A quantitative model for network security situation awareness based on immunity and grey theory［C］//2009 ISECS International Colloquium on Computing，Communication，Control，and Management.IEEE，2009.

［28］ELATTAR E E，GOULERMAS J，WU Q H.Electric load forecasting based on locally weighted support vector regression［J］.IEEE Transactions on Systems，Man and Cybernetics，Part C（Applications and Reviews），2010，40（4）：438-447.

［29］HE F，HE D F，XU A J.Hybrid model of molten steel temperature prediction based on ladle heat status and artificial neural network［J］. Journal of Iron and Steel Research，International，2014，21（2）：181-190.

［30］卓莹，张强，龚正虎. 网络态势预测的广义回归神经网络模型［J］. 解放军理工大学学报（自然科学版），2012，13（2）：147-151.

［31］王宇飞，沈红岩.基于改进广义回归神经网络的网络安全态势预测［J］.华北电力大学学报（自然科学版），2011，38（3）：91-95.

［32］黄同庆.一种实时网络安全态势预测方法［J］.小型微型计算机系统，2014，35（2）：303-306.

［33］LAI J B，WANG H Q，LIU X W，et al.A quantitative prediction method of network security situation based on wavelet neural network［C］//Data，Privacy，and E-Commerce，2007.ISDPE 2007. The First International Symposium on. IEEE Xplore，2007.

［34］范九伦，伍鹏.基于RBF神经网络的网络安全态势预测方法［J］.西安邮电大学学报，2017（2）：7-11.

［35］孟锦，马驰，何加浪，等.基于HHGA-RBF神经网络的网络安全态势预测模型［J］.计算机科学，2011，38（7）：70-72.

［36］王宇飞.基于集成学习的网络安全态势评估模型研究［D］.北京：华北电力大学，2012.

TP393.08

A

10.15913/j.cnki.kjycx.2020.14.001

2095－6835（2020）14－0001－05

〔编辑：王霞〕