基于RBF神经网络的通信网络安全态势感知方法

谢凯 代康

摘要：常规的感知方法在感知通信网络安全态势时，感知准确率偏低，且感知精度容易受到网络环境干扰因素影响。针对这一问题，本文提出了基于RBF神经网络的通信网络安全态势感知方法，将Suricata、Shellcodes等多种探测器应用到通信网络中，用于探测网络流量数据，并提取数据特征；基于RBF神经网络计算网络攻击发生概率，根据计算结果，评估和感知通信网络的安全态势。通过对比实验证明，新的感知方法与现有方法相比感知准确率更高，且对通信网络中的影响因素具有极强的抗干扰能力，可以保证感知结果的精度。

关键词：RBF神经网络；网络安全态势；感知方法；通信网络

引言

随着无线通信技术的快速发展，网络覆盖范围的不断扩大，在不同信息接口之间，存在着海量的数据，这些数据也包含了许多私密的数据[1]。目前，人类所生成的海量数据呈几何倍数增长，但在现实工作与生活中，此类数据随时都会受到来自网络的攻击，从而引发了大量的网络安全问题。根据社会调查，我国每年都有大量的信息泄露，并且呈直线上升的趋势。网络数据的安全性给企业造成了巨大的经济损失，这一点不容忽视[2]。有效地对网络中的数据进行预测和识别，是保障网络数据安全的关键。然而，现有的感知方式在安全检测时，由于对信息的敏感度不够，导致对信息安全状态的估计与真实状态之间的偏差很大，严重影响了无线通信网络的安全状态[3]。因此，针对通信网络进行安全态势感知具有十分重要的意义。基于此，本文引入RBF神经网络，针对通信网络安全态势感知方法展开设计与研究。

1. 通信网络流量数据探测与数据特征提取

流量探测是以当前的网络结构为基础，在网络中布置各种探测器，并根据每个探测器的探测结果差异，对通过网络的数据包进行统计分析。Netflow探测器是一种应用于网络接入端的网络，用于对网络接入端进行采集和处理[4]。Suricata探测器和Snort探测器都是基于网络的入侵检测系统，但二者的探测重点和探测原理不同，一般根据监测的需求部署到相应的交换机或路由器等设备上。在提取数据特征时要求必须实现对通信网络的全面覆盖，针对异常态势特征，对非数值特征进行数据化处理，并在遵循归一化数值特征合理化原则的基础上，为通信网络安全态势感知核心属性提供帮助。对于数值特征的归一化处理，可将公式（1）作为依据：式中，F表示经过归一化处理后的数据特征；P表示定义特征值；ι表示特征数据长度；β表示数据特征标准值。

在完成对特征数据的归一化处理后，针对不同的探测器功能，有针对性地从每一个探测器中提取核心属性[5]。每一个核心属性当中都包含一个五元组，五元组由protocol、sport、sip、doprt和dip组成。除此之外，在Netflow探测器中除了包含上述五元组外，还包含结束时间属性（ltime）、数据包数量属性（pkt）、数据包大小属性（byt）等。Suricata探测器当中，除了包含上述五元组外，还包含服务类型属性（service）、数据包大小属性（byt）等。

为了能够进一步提升本文感知方法的性能，聚焦异常感知活动特征，针對上述两种探测器，分别增加attack_num新属性[6]。

对数据进行预处理，主要有对非数字属性进行数量化和对数字属性进行标准化。对非数字属性进行数字表示时，通常使用两种方法：One-Hot Encoding和Label Encoding。One-Hot Encoding一般适用于类与类间无次序关系的特性；Label Encoding可以应用于针对数据类别之间具有顺序关系的特征，对其进行处理。由于本文中的非数字属性之间没有显著次序关系，因此，利用独热编码的方式，把非数字属性的值转换成以“0”“1”两种形式代表的阵列，阵列的尺寸取决于不同类型的属性个数，One-Hot Encoding可以从某种意义上实现对特征的增益[7]。通过标准化处理数字属性，可以有效克服因属性变量维度差异而产生的错误。

2. 基于RBF神经网络计算攻击发生概率

将提取到的数据特征作为依据，为实现对通信网络中攻击发生概率的计算，为后续感知提供凭证，引入RBF神经网络，科学地训练由核心属性到攻击类别的模型，以此获取异常态势中不同类型攻击发生概率[8]。RBF神经网络可以利用径向基函数实现特征提取，径向基函数在同一通道上进行滑动位移，不得跨通道进行运算。

在本文设计的态势感知方法当中设置的决策引擎包含5个径向基函数层，其基本运算见公式（2）。

式中，RBF（x，y）表示对应径向基函数的输出元素所在空间坐标；p×q表示径向卷积函数径向大小，其中p表示长、q表示宽；Wi表示径向基函数权重；Vi表示RBF神经网络的输入数据值；b表示偏置。在此基础上，提出了一种新的网络模型，该模型具有去除冗余信息、减少数据维度、压缩数据特性、降低网络复杂度等功能[9]。

常用的网络分类器运算包括最大分类器、平均分类器、L2分类器。由于径向基函数层自身可以完成对局部特征的提取，而池化层可以将局部信息进行更深入的提取，并且对局部特征进行了深度的压缩，从而容易造成信息的损失。在这个过程中，每个探测器在经过提炼数据的编码之后，其最大的特征维度为42维，但是属性维度却很小。经过多次的训练对比得出，在这个过程中，增加池化的效果并不好，所以在这个过程中，决策引擎并没有增加池化层。在完全连通的层次上，通过对卷积、池化两个层次的特征进行融合，实现对局部特征的重构，提高了模型的表达能力，通过上述运算，RBF神经网络输出的结果即为网络攻击发生概率计算结果。

3. 通信网络安全态势评估与感知

基于上述网络攻击发生概率计算结果，对通信网络安全态势进行评估和感知。借助Snort威胁等级划分激励，采用一种基于层次结构的网络分析方法，实现对网络安全态势的可视化展示，并通过对通信网络状态的分析感知网络安全态势。攻击的威胁性定量是通过分析各种类型的攻击对整个网络造成的伤害，从而对各种类型的攻击所造成的伤害进行有效的定量。对网络安全状况进行科学评价，是实现对网络安全形势的正确判断的前提。深度挖掘Snort入侵检测探测器对警报类型的威胁级别进行分类的机制，并从中提取出威胁级别的划分原理，并对威胁级别进行了划分。共划分三个威胁等级，分别为高威胁等级、中威胁等级和低威胁等级。在真实通信网络环境中，态势具有动态变化特征，因此在某一时间窗口上，某一主机的第种服务态势可以用公式（3）表示：式中，Skj（t）表示t时间窗口第k个主机第j种服务的态势感知结果；p（attacki）表示发生攻击的概率；f（attacki）表示威胁值。根据上述运算得到最终感知结果。

4. 对比实验

本文上述研究针对当前通信网络中存在的安全风险问题，引入RBF神经网络，提出了一种全新的安全态势感知方法。为了进一步验证这一方法的应用性能，以及是否能够解决现有感知方法在实际应用中存在的问题，开展下述对比实验研究：实验中将本文提出的感知方法作为实验组，将基于Bio-PEPA的感知方法作为对照I组，将基于大数据的感知方法作为对照II组。利用三种感知方法在相同实验环境和实验条件下，对同一通信网络进行安全态势感知。

实验选择将UNSW-NB19数据集作为此次实验的实验数据集，该数据集的持续时间为8小时25分钟，按照每5分钟为一个时间窗口计算，实验数据集当中共包含250000条数据。此次实验选择该数据集当中的150000条作为感知对象，将三种感知方法的训练集和测试集的比例均设置为5∶3。在该数据集当中包含的数据可以实现对通信网络真实场景的描述，描述的通信网络规模较大，主机数量较多，攻击类型丰富。数据集当中包含了通信网络的正常流量以及存在异常的9种攻击流量，如表1所示。

为了更好地衡量三种感知方法的性能，选择将感知结果的准确率ACC作为衡量指标，准确率ACC的计算公式见公式（4）。式中，TP表示感知结果中正类样本被判定为正类的数量；TN表示感知结果中负类样本被判定为负类的数量；FN表示感知结果中正类样本被判定为负类样本的数量；表示感知结果中负类样本被判定为正类样本的数量。公式（4）中，TP、TN、FP、FN均未混淆矩阵中的参数。通过对各项参数的记录，根据上述公式计算得出准确率，针对10种不同类型的流量数据，将三者中感知方法感知结果的准确率记录如表2所示。

从得到的三种感知方法感知结果准确率记录结果可以看出，实验组方法针对每一种类型数据的感知准确率均高于90%，并且针对normal类型数据可以实现100%的准确；对照I组和对照II组方法针对每一种类型的感知准确率仅能够达到50%～70%范围。由此可以看出，实验组感知方法的感知准确率更高，感知精度更高。在上述实验基础上，为进一步对比三种感知方法的抗干扰能力，对通信网络环境中的干扰项进行设置，共设置三种干扰条件，第一组：噪声为1.0254，方差为4.253e-02，感知门限为1.023；第二组：噪声为1.2534，方差为0.0015，感知门限为1.3256；第三组：噪声为1.5236，方差为4.1253e-02，感知门限为1.1253。针对上述三种实验条件，应用三种感知方法对上述包含10种类型数据的实验数据集进行感知，并记录每次感知结果的偏移系数：

式中，h表示感知结果的偏移系数；d表示感知门限；s表示方差。根据公式（5），计算得出的感知结果偏差系数记录如图1所示。

从图1三条折线可以看出，在三种不同的通信网络环境中，实验组感知方法的感知结果偏移系数始终控制在0.10以下，而另外两种感知方法感知结果的偏移系数均超过0.15，且在不同干扰条件下偏移系数也存在较大差别。根据“感知结果的偏移系数越大，感知结果精度越小；感知结果的偏移系数越小，感知结果的精度越大”这一理论可得，本文设计的感知方法具备更高的感知精度，且对通信网络环境中存在的干扰因素具备极高的抗干扰能力。综合上述两方面得到的实验结果证明，本文设计的基于RBF神经网络的感知法方法与现有感知方法相比具备更高的感知精度，且对通信网络中干扰因素的影响具备极高的抗干扰能力，能够确保最终得到的感知结果更符合实际，为通信网络的运维管理提供更加可靠的事实依据。

结语

当前信息化的快速发展使得通信网络逐渐成为继陆海空天之后的第五大领域空间。为确保通信网络环境的安全，本文结合RBF神经网络，设计了一种全新的通信网络安全态势感知方法，并通过将该方法与其他现有感知方法的对比验证了该感知方法的应用性能。尽管将RBF神经网络引入网络环境，可以提高攻击辨识能力和局势计算精度，为信息环境下的局势感知提供新的途径，但是也带来了更多的计算参数，使得感知的效率在一定程度上受到影响。因此，为了能够在后续实现对通信网络更加全面、细致、高精度和高效率的感知，针对当前存在的问题，在后续研究中还将进行更深入探索，从而促进感知方法的应用适应性得到进一步提升，为通信网络安全提供更有力的保障。

参考文獻：

[1]沈潇军，蔡晴，娄佳，等.基于Bio-PEPA的光纤网络安全态势动态计算系统[J].激光杂志，2023，44（2）：169-173.

[2]王伟.面向虚拟化网络环境的网络安全态势要素提取及安全态势预测应用[J].电视技术，2023，47（1）：177-182.

[3]于烨，吴佳静，马国武，等.基于鲸鱼算法改进支持向量机的信息网络安全态势预测研究[J].微型电脑应用，2022，38（12）：107-110.

[4]荣文晶，李帅，彭辉，等.基于时空关联的核电5G网络安全态势感知方法研究[J].电子产品可靠性与环境试验，2022，40（S2）：1-5.

[5]宋锦平.铁路局集团公司客票系统网络安全态势感知技术的研究[J].铁路计算机应用，2022，31（8）：62-65.

[6]刘宇萌.基于深度学习的无线通信网络数据安全态势感知研究[J].信息记录材料，2022，23（8）：182-185.

[7]郭璇.基于直觉模糊集的无线网络传输层安全态势要素识别方法[J].自动化与仪器仪表，2022，（7）：54-57，61.

[8]肖鹏，王柯强，黄振林.基于IABC和聚类优化RBF神经网络的电力信息网络安全态势评估[J].智慧电力，2022，50（6）：100-106.

[9]刘岩，韩璐，李娜.联邦学习和证据理论在智慧城市网络安全态势感知中的应用研究[J].电脑知识与技术，2022，18（15）：22-24.

作者简介：谢凯，本科，讲师，研究方向：电子与通信工程。