基于深度行為分析的網絡安全態勢感知技術

賓冬梅， 楊春燕， 余通， 凌穎

(廣西電網有限責任公司，電力科學研究院，廣西，南寧 530023)

0 引言

網絡安全態勢感知是一種主動防御機制，開展安全態勢感知之前先要理解分析以前的網絡態勢要素，推測網絡態勢未來發展趨勢[1-2]。態勢評估后由態勢值顯示的各時刻下的網絡狀態值反映網絡的安全情況，由此也可以說網絡安全態勢感知本質上是時間序列感知[3-4]。目前有學者將模糊推理作為基礎的網絡安全態勢感知技術[5]，也有將網絡定義作為基礎的網絡安全態勢感知技術[6]，雖然這2種方法都能感知網絡安全態勢，但是計算過程過于復雜，還存在與實際網絡狀態差異過大的情況。

自適應權重聚類算法選擇小批量特征集時使用隨機不放回策略，計算類內誤差平方[7]。自適應分配聚類權重時依據得出的誤差平方和大小，同時依據加權距離重新分配實例對象，這種算法通過加權距離的參數優化，實現最大化類間差異。自適應權重聚類算法能夠在提高執行效率的同時降低計算成本，通過該方法聚類，可以獲得網絡行為。

長短期記憶人工神經網絡(Long-Short Term Memory,LSTM)是一種時間循環神經網絡，主要為了解決循環神經網絡長期以來存在的問題而提出的；使用優化器(Look ahead)方法改進Nadam的優化算法(NAWL)，對長短期記憶人工神經網絡實行改進，形成一種深度學習的優化技術，將該技術應用于網絡安全態勢感知能夠實現收斂速度的提高[8-10]。

本文利用自適應權重聚類算法聚類網絡行為，并且使用改進后的Nadam優化算法優化長短期記憶人工神經網絡，形成一種深度學習方法，并研究網絡安全態勢感知技術。

1 網絡安全態勢感知技術研究

1.1 基于自適應權重聚類算法的網絡行為分析

這種方法通過自適應權重聚類算法分析網絡行為，利用網絡特征提取框架構建網絡行為特征集，對該特征集實行歸一化處理，將數據特征中存在的特征差異去除，通過自適應權重聚類算法聚類分析特征集，自動合并網絡行為相似的特征[11]。自適應權重聚類算法的目標是將類內誤差平方和最小化加權，依據的準則是最大化類間差異，按照隨機不放回原則選擇小批量特征集，最后獲得加大類內誤差平方結果。分配每個聚類權重需要依據誤差平方和的大小，重新分配實例對象時需要按照加權距離大小。通過將加權距離優化，保證類間差異最大化，該算法能夠提高執行效率并且保證計算成本得到降低，優化目標函數。自適應權重聚類算法不但可以幫助聚類算法消除對于初始聚類中心選擇的依賴性，還可以降低聚類算法處理大數據量特征集性能時的局限性[12]。算法流程如圖1所示。

圖1 網絡深度行為分析流程

圖1所示。算法的具體實現過程如下。

(1)歸一化處理特征。使用X={a1,a2,…,an}表示全部IP對通信實例特征集，n表示IP對通信實例的總數，使用D={d1,d2,…,dm}表示聚類中心的集合。Ai={ai,j|1≤l≤m}，通過一組特征向量表述Ai，第i個通信實例使用表示Ai，用ai,j表示第i個通信第j個特征使。在0至1的范圍中將特征值進行歸一化處理。

(2)m個聚類中心隨機初始化時使用自適應權重聚類算法。

(3)為了決定特征子集大小對C初始化時同樣使用自適應權重聚類算法。

(4)聚類分析隨機選擇C個特征實例。

(1)

當前更新受到前次迭代權重受λ控制，這樣能夠保證權重值的平滑變化連續迭代計算，并保持在迭代權重最大值以內。而保證誤差平方和最小化的前提是實現更高的聚類權重。初始化oinit為零，通過在歷次迭代步驟中ostep的值逐漸增加oinit，一直增加到最大值omax。聚類達到最大值omax后就保持狀態不再發生變化。

(6)再次對聚類中心實行計算。

(7)重新返回第(4)步，將迭代計算重復，一直到連續兩次的計算結果中聚類中心不出現變化或者實現最大迭代次數。

(8)通過計算新的M個類之間的誤差平方和，獲得差異值Bo。

(9)假如有Bo≥Bmax，那么需要更新Bo與Bmax，將新生成的M個聚類保存下來；假如不存在Bo≥Bmax，那么直接將新生成的M個聚類保存下來。

(10)該聚類結果便是網絡行為[14]。

1.2 基于NAWL-ILSTM的網絡安全態勢感知模型

依據上文得到的網絡行為聚類結果，采用基于NAWL-ILSTM的網絡安全態勢感知模型，實現網絡安全態勢感知。研究智能優化算法與深度神經網絡，使用一種全新的技術研究網絡安全態勢感知。本文將Look ahead方法結合Nadam作為基礎，對長短期記憶神經網絡實行優化，深度學習網絡行為，實現網絡安全態勢感知。具體計算過程如下。

(1)由E=(e1,e2,…,en)表示實際時間序列，擴展時間序列E為矩陣,如式(2),

(2)

式中，x與k分別表示時間序列長度與樣本數量,f=(ek,ek+1,…,en)表示訓練樣本(1.1得出的聚類結果)。標準化時間序列E,如式(3),

(3)

(2)設置參數的同時初始化網絡參數如式(4),

(4)

式中，Uf代表忘記門權重,qf代表忘記門偏置，與此類似的還有輸入與輸出門,G與H分別表示神經元層數與LSTM細胞單元數,P1表示最大迭代次數Max_iter，P2表示誤差閾值Error_Cost。

(5)

式中，ω(Uf*[st-1,e]+qf)為遺忘門的輸出，Vt-1表示前一刻的單元狀態。

(4)使用式(6)計算在t時刻時，能夠保存在細胞單元狀態內的信息量：

(6)

式中，ω(Ui*[st-1,et]+qi)表示輸入門i的輸出，由該輸出決定細胞單元需更新的值，tans(UV*[st-1,et]表示使用函數tans構建的全新候選向量Vt。

(5)通過計算式(7)得出細胞單元狀態Vt，

(7)

從式(7)中能夠看出，輸入門與遺忘門狀態相結合得出細胞單元狀態。

(6)使用式(8)計算在t時刻下網絡的輸出：

st=ω(Uα*[st-1,et]+qα)*tans(Vt)

(8)

式中，ω(Uα*[st-1,et]+qα)為輸出門αt的輸出，st為當前時刻下的感知值，tans(Vt)為當前時刻單元狀態。不斷重復計算步驟(3)至(6)，以此獲得全部訓練樣本感知值。

(7)通過計算式(9)獲取全部感知值與真實值之間的誤差，

(9)

迭代次數加1，運用隨時間反向傳播算法反向傳播更新網絡參數，重新轉回計算步驟(3)，直至最大迭代次數或者誤差閾值，如果當下迭代次數iter大于Max_iter，或者error大于Error_Cost，則停止訓練循環。

(8)使用NAWL算法對ILSTM網絡模型實行訓練，輸入等待更新的權重矩陣：ζ0=[Ur,Ui,Uv,Uα]，添加新樣本時，參數初始化是歷史樣本的全局最優解，只需要步驟簡單循環便能獲得新樣本的全局最優解[15]。

(9)依據在線觀測數據實時更新參數方法，將新樣本ζ0與En+1(en-k+2,…,en+1)添加進去，依據步驟(3)至步驟(6)前向傳播，獲得新樣本的感知值sn+1,如式(10)，

(10)

(10)假如下一個采樣時刻時的感知值到達網絡被攻擊的點，相關網絡安全員能夠發現網絡被攻擊后發出的警告，對此迅速作出反應，反之進一步攻擊網絡。

2 實驗分析

為了驗證文本技術的網絡安全態勢感知效果，使用某網絡公司2018年4月至6月內90天的IDS與防火墻采集的網絡受到攻擊時生成的原始數據日志信息開展實驗研究，在這90天的范圍內，前1天到60天的網絡行為作為訓練集，第61天到90天的網絡行為作為感知集，量化計算原始數據，獲取網絡安全態勢值。

為了對比本文技術的有效性，將模糊推理作為基礎的網絡安全態勢感知技術(文獻[5]技術)以及將網絡定義作為基礎的網絡安全態勢感知技術(文獻[6]技術)感知網絡的安全態勢，在網絡數據數量不同的情況下，執行網絡行為分類所花費的時間用圖2表示。

從圖2中能夠看出，文獻[6]技術由于需要計算網絡數據到聚類中心的距離，具有龐大的數據量，所以聚類網絡行為時所需要的時間較長；文獻[5]技術在實行迭代時遇到單簇集群以及空簇集群會不斷重新啟動，造成執行時間過長。本文技術所使用處理特征集的方式是小批量處理，很大程度上縮短了執行時間。

圖2 執行時間對比

對比3種技術檢測網絡行為時的準確率、漏檢率與誤檢率情況，結果如表1所示。

表1 網絡行為檢測情況對比

從表1能夠能夠看出，相比于另外2種技術，本文技術的準確率最高，數據量大小為4 000 bit時，本文技術的準確率超過了98%，隨著數據量增大，準確率有所降低，但是仍然保持在90%以上，總體準確性較為穩定；另2種技術，準確率最高時，僅為90.31%，大部分數據量下，準確率在90%以下，檢測網絡行為的效果不如本文技術的效果好。從誤檢率與漏檢率2個檢測內容來看，文本技術這2個檢測結果均較低，由此可以證明，本文技術檢測網絡行為時精度高，效果好。

這3種技術均通過計算分析網絡行為，各技術在對樣本實行訓練時，迭代次數變化對收斂效果(均方誤差)影響情況如圖3所示。

圖3 均方誤差變化對比

根據圖3可知，本文技術的收斂效果最好，這主要是由于Nadam算法與Look-ahcad算法相結合，在梯度下降方面具有明顯優勢，降低了訓練成本，提升收斂速度。從圖3中還可以看出，本文技術僅使用較少的迭代次數便能實現樣本訓練，而另兩種技術需要至少迭代80次才能達到良好的樣本訓練效果。

同時使用3種技術感知本文實驗對象第61到第75天共15天的網絡安全態勢，對比3種技術在感知網絡安全態勢時的情況，并與網絡實際安全狀況實行對比，結果如表2所示。

表2 網絡安全態勢感知結果對比

從表2中能夠看出，本文技術和文獻[5]技術感知值與網絡實際安全值最為接近，但是本文技術感知的結果與實際值最為接近，由此可以看出本文技術利用在線數據有效提高了感知精度，證明該技術具有很高的有效性。

為了從整體評價3種技術感知網絡安全態勢的情況，從相對誤差和均方誤差2個角度對技術實行評價，評價結果如表3所示。

表3 誤差情況對比

由表3可知，與另兩種感知技術相比，本文技術的平均相對誤差最低，說明本文技術對網絡安全態勢感知時更加接近實際網絡安全情況，由此能夠證明本文技術具有更加良好的網絡安全感知性能，更加接近實際中的網絡安全態勢時間序列。

3 總結

為了提高網絡運行的安全性，研究一種基于深度行為分析的網絡安全態勢感知技術，從理論與實驗兩方面證明了以下結論，該技術在進行網絡安全態勢感知時，具有較低的執行耗時與較高的感知準確性，說明所提出的感知技術具有較高的實際應用價值。

本文對網絡安全態勢感知技術的研究為今后的相關研究奠定了基礎，在今后的研究中可以從以下幾個方面展開。

(1)可以從感知網絡惡意數據攻擊的角度出發，研究抵御網絡惡意入侵相關內容。

(2)探尋是否存在更為精簡的計算方法，進一步提高計算速度。

(3)完善長短期記憶網絡，加快樣本訓練速度。