基于RBF神經網絡的通信網絡安全態勢感知方法

謝凱 代康

摘要：常規的感知方法在感知通信網絡安全態勢時，感知準確率偏低，且感知精度容易受到網絡環境干擾因素影響。針對這一問題，本文提出了基于RBF神經網絡的通信網絡安全態勢感知方法，將Suricata、Shellcodes等多種探測器應用到通信網絡中，用于探測網絡流量數據，并提取數據特征；基于RBF神經網絡計算網絡攻擊發生概率，根據計算結果，評估和感知通信網絡的安全態勢。通過對比實驗證明，新的感知方法與現有方法相比感知準確率更高，且對通信網絡中的影響因素具有極強的抗干擾能力，可以保證感知結果的精度。

關鍵詞：RBF神經網絡；網絡安全態勢；感知方法；通信網絡

引言

隨著無線通信技術的快速發展，網絡覆蓋范圍的不斷擴大，在不同信息接口之間，存在著海量的數據，這些數據也包含了許多私密的數據[1]。目前，人類所生成的海量數據呈幾何倍數增長，但在現實工作與生活中，此類數據隨時都會受到來自網絡的攻擊，從而引發了大量的網絡安全問題。根據社會調查，我國每年都有大量的信息泄露，并且呈直線上升的趨勢。網絡數據的安全性給企業造成了巨大的經濟損失，這一點不容忽視[2]。有效地對網絡中的數據進行預測和識別，是保障網絡數據安全的關鍵。然而，現有的感知方式在安全檢測時，由于對信息的敏感度不夠，導致對信息安全狀態的估計與真實狀態之間的偏差很大，嚴重影響了無線通信網絡的安全狀態[3]。因此，針對通信網絡進行安全態勢感知具有十分重要的意義。基于此，本文引入RBF神經網絡，針對通信網絡安全態勢感知方法展開設計與研究。

1. 通信網絡流量數據探測與數據特征提取

流量探測是以當前的網絡結構為基礎，在網絡中布置各種探測器，并根據每個探測器的探測結果差異，對通過網絡的數據包進行統計分析。Netflow探測器是一種應用于網絡接入端的網絡，用于對網絡接入端進行采集和處理[4]。Suricata探測器和Snort探測器都是基于網絡的入侵檢測系統，但二者的探測重點和探測原理不同，一般根據監測的需求部署到相應的交換機或路由器等設備上。在提取數據特征時要求必須實現對通信網絡的全面覆蓋，針對異常態勢特征，對非數值特征進行數據化處理，并在遵循歸一化數值特征合理化原則的基礎上，為通信網絡安全態勢感知核心屬性提供幫助。對于數值特征的歸一化處理，可將公式（1）作為依據：式中，F表示經過歸一化處理后的數據特征；P表示定義特征值；ι表示特征數據長度；β表示數據特征標準值。

在完成對特征數據的歸一化處理后，針對不同的探測器功能，有針對性地從每一個探測器中提取核心屬性[5]。每一個核心屬性當中都包含一個五元組，五元組由protocol、sport、sip、doprt和dip組成。除此之外，在Netflow探測器中除了包含上述五元組外，還包含結束時間屬性（ltime）、數據包數量屬性（pkt）、數據包大小屬性（byt）等。Suricata探測器當中，除了包含上述五元組外，還包含服務類型屬性（service）、數據包大小屬性（byt）等。

為了能夠進一步提升本文感知方法的性能，聚焦異常感知活動特征，針對上述兩種探測器，分別增加attack_num新屬性[6]。

對數據進行預處理，主要有對非數字屬性進行數量化和對數字屬性進行標準化。對非數字屬性進行數字表示時，通常使用兩種方法：One-Hot Encoding和Label Encoding。One-Hot Encoding一般適用于類與類間無次序關系的特性；Label Encoding可以應用于針對數據類別之間具有順序關系的特征，對其進行處理。由于本文中的非數字屬性之間沒有顯著次序關系，因此，利用獨熱編碼的方式，把非數字屬性的值轉換成以“0”“1”兩種形式代表的陣列，陣列的尺寸取決于不同類型的屬性個數，One-Hot Encoding可以從某種意義上實現對特征的增益[7]。通過標準化處理數字屬性，可以有效克服因屬性變量維度差異而產生的錯誤。

2. 基于RBF神經網絡計算攻擊發生概率

將提取到的數據特征作為依據，為實現對通信網絡中攻擊發生概率的計算，為后續感知提供憑證，引入RBF神經網絡，科學地訓練由核心屬性到攻擊類別的模型，以此獲取異常態勢中不同類型攻擊發生概率[8]。RBF神經網絡可以利用徑向基函數實現特征提取，徑向基函數在同一通道上進行滑動位移，不得跨通道進行運算。

在本文設計的態勢感知方法當中設置的決策引擎包含5個徑向基函數層，其基本運算見公式（2）。

式中，RBF（x，y）表示對應徑向基函數的輸出元素所在空間坐標；p×q表示徑向卷積函數徑向大小，其中p表示長、q表示寬；Wi表示徑向基函數權重；Vi表示RBF神經網絡的輸入數據值；b表示偏置。在此基礎上，提出了一種新的網絡模型，該模型具有去除冗余信息、減少數據維度、壓縮數據特性、降低網絡復雜度等功能[9]。

常用的網絡分類器運算包括最大分類器、平均分類器、L2分類器。由于徑向基函數層自身可以完成對局部特征的提取，而池化層可以將局部信息進行更深入的提取，并且對局部特征進行了深度的壓縮，從而容易造成信息的損失。在這個過程中，每個探測器在經過提煉數據的編碼之后，其最大的特征維度為42維，但是屬性維度卻很小。經過多次的訓練對比得出，在這個過程中，增加池化的效果并不好，所以在這個過程中，決策引擎并沒有增加池化層。在完全連通的層次上，通過對卷積、池化兩個層次的特征進行融合，實現對局部特征的重構，提高了模型的表達能力，通過上述運算，RBF神經網絡輸出的結果即為網絡攻擊發生概率計算結果。

3. 通信網絡安全態勢評估與感知

基于上述網絡攻擊發生概率計算結果，對通信網絡安全態勢進行評估和感知。借助Snort威脅等級劃分激勵，采用一種基于層次結構的網絡分析方法，實現對網絡安全態勢的可視化展示，并通過對通信網絡狀態的分析感知網絡安全態勢。攻擊的威脅性定量是通過分析各種類型的攻擊對整個網絡造成的傷害，從而對各種類型的攻擊所造成的傷害進行有效的定量。對網絡安全狀況進行科學評價，是實現對網絡安全形勢的正確判斷的前提。深度挖掘Snort入侵檢測探測器對警報類型的威脅級別進行分類的機制，并從中提取出威脅級別的劃分原理，并對威脅級別進行了劃分。共劃分三個威脅等級，分別為高威脅等級、中威脅等級和低威脅等級。在真實通信網絡環境中，態勢具有動態變化特征，因此在某一時間窗口上，某一主機的第種服務態勢可以用公式（3）表示：式中，Skj（t）表示t時間窗口第k個主機第j種服務的態勢感知結果；p（attacki）表示發生攻擊的概率；f（attacki）表示威脅值。根據上述運算得到最終感知結果。

4. 對比實驗

本文上述研究針對當前通信網絡中存在的安全風險問題，引入RBF神經網絡，提出了一種全新的安全態勢感知方法。為了進一步驗證這一方法的應用性能，以及是否能夠解決現有感知方法在實際應用中存在的問題，開展下述對比實驗研究：實驗中將本文提出的感知方法作為實驗組，將基于Bio-PEPA的感知方法作為對照I組，將基于大數據的感知方法作為對照II組。利用三種感知方法在相同實驗環境和實驗條件下，對同一通信網絡進行安全態勢感知。

實驗選擇將UNSW-NB19數據集作為此次實驗的實驗數據集，該數據集的持續時間為8小時25分鐘，按照每5分鐘為一個時間窗口計算，實驗數據集當中共包含250000條數據。此次實驗選擇該數據集當中的150000條作為感知對象，將三種感知方法的訓練集和測試集的比例均設置為5∶3。在該數據集當中包含的數據可以實現對通信網絡真實場景的描述，描述的通信網絡規模較大，主機數量較多，攻擊類型豐富。數據集當中包含了通信網絡的正常流量以及存在異常的9種攻擊流量，如表1所示。

為了更好地衡量三種感知方法的性能，選擇將感知結果的準確率ACC作為衡量指標，準確率ACC的計算公式見公式（4）。式中，TP表示感知結果中正類樣本被判定為正類的數量；TN表示感知結果中負類樣本被判定為負類的數量；FN表示感知結果中正類樣本被判定為負類樣本的數量；表示感知結果中負類樣本被判定為正類樣本的數量。公式（4）中，TP、TN、FP、FN均未混淆矩陣中的參數。通過對各項參數的記錄，根據上述公式計算得出準確率，針對10種不同類型的流量數據，將三者中感知方法感知結果的準確率記錄如表2所示。

從得到的三種感知方法感知結果準確率記錄結果可以看出，實驗組方法針對每一種類型數據的感知準確率均高于90%，并且針對normal類型數據可以實現100%的準確；對照I組和對照II組方法針對每一種類型的感知準確率僅能夠達到50%～70%范圍。由此可以看出，實驗組感知方法的感知準確率更高，感知精度更高。在上述實驗基礎上，為進一步對比三種感知方法的抗干擾能力，對通信網絡環境中的干擾項進行設置，共設置三種干擾條件，第一組：噪聲為1.0254，方差為4.253e-02，感知門限為1.023；第二組：噪聲為1.2534，方差為0.0015，感知門限為1.3256；第三組：噪聲為1.5236，方差為4.1253e-02，感知門限為1.1253。針對上述三種實驗條件，應用三種感知方法對上述包含10種類型數據的實驗數據集進行感知，并記錄每次感知結果的偏移系數：

式中，h表示感知結果的偏移系數；d表示感知門限；s表示方差。根據公式（5），計算得出的感知結果偏差系數記錄如圖1所示。

從圖1三條折線可以看出，在三種不同的通信網絡環境中，實驗組感知方法的感知結果偏移系數始終控制在0.10以下，而另外兩種感知方法感知結果的偏移系數均超過0.15，且在不同干擾條件下偏移系數也存在較大差別。根據“感知結果的偏移系數越大，感知結果精度越小；感知結果的偏移系數越小，感知結果的精度越大”這一理論可得，本文設計的感知方法具備更高的感知精度，且對通信網絡環境中存在的干擾因素具備極高的抗干擾能力。綜合上述兩方面得到的實驗結果證明，本文設計的基于RBF神經網絡的感知法方法與現有感知方法相比具備更高的感知精度，且對通信網絡中干擾因素的影響具備極高的抗干擾能力，能夠確保最終得到的感知結果更符合實際，為通信網絡的運維管理提供更加可靠的事實依據。

結語

當前信息化的快速發展使得通信網絡逐漸成為繼陸海空天之后的第五大領域空間。為確保通信網絡環境的安全，本文結合RBF神經網絡，設計了一種全新的通信網絡安全態勢感知方法，并通過將該方法與其他現有感知方法的對比驗證了該感知方法的應用性能。盡管將RBF神經網絡引入網絡環境，可以提高攻擊辨識能力和局勢計算精度，為信息環境下的局勢感知提供新的途徑，但是也帶來了更多的計算參數，使得感知的效率在一定程度上受到影響。因此，為了能夠在后續實現對通信網絡更加全面、細致、高精度和高效率的感知，針對當前存在的問題，在后續研究中還將進行更深入探索，從而促進感知方法的應用適應性得到進一步提升，為通信網絡安全提供更有力的保障。

參考文獻：

[1]沈瀟軍，蔡晴，婁佳，等.基于Bio-PEPA的光纖網絡安全態勢動態計算系統[J].激光雜志，2023，44（2）：169-173.

[2]王偉.面向虛擬化網絡環境的網絡安全態勢要素提取及安全態勢預測應用[J].電視技術，2023，47（1）：177-182.

[3]于燁，吳佳靜，馬國武，等.基于鯨魚算法改進支持向量機的信息網絡安全態勢預測研究[J].微型電腦應用，2022，38（12）：107-110.

[4]榮文晶，李帥，彭輝，等.基于時空關聯的核電5G網絡安全態勢感知方法研究[J].電子產品可靠性與環境試驗，2022，40（S2）：1-5.

[5]宋錦平.鐵路局集團公司客票系統網絡安全態勢感知技術的研究[J].鐵路計算機應用，2022，31（8）：62-65.

[6]劉宇萌.基于深度學習的無線通信網絡數據安全態勢感知研究[J].信息記錄材料，2022，23（8）：182-185.

[7]郭璇.基于直覺模糊集的無線網絡傳輸層安全態勢要素識別方法[J].自動化與儀器儀表，2022，（7）：54-57，61.

[8]肖鵬，王柯強，黃振林.基于IABC和聚類優化RBF神經網絡的電力信息網絡安全態勢評估[J].智慧電力，2022，50（6）：100-106.

[9]劉巖，韓璐，李娜.聯邦學習和證據理論在智慧城市網絡安全態勢感知中的應用研究[J].電腦知識與技術，2022，18（15）：22-24.

作者簡介：謝凱，本科，講師，研究方向：電子與通信工程。