張舒婷

摘 ?要： 網(wǎng)絡(luò)安全態(tài)勢(shì)受到多種因素影響，再加上網(wǎng)絡(luò)的開放性，具有復(fù)雜變化的特點(diǎn)，評(píng)估誤差高，可信度低。為了提高網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估精度，將大數(shù)據(jù)分析方法引入到網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的建模中。對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的研究現(xiàn)狀進(jìn)行分析，通過重構(gòu)得到多維網(wǎng)絡(luò)安全態(tài)勢(shì)學(xué)習(xí)樣本，采用大數(shù)據(jù)處理技術(shù)——最小二乘支持向量機(jī)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)樣本進(jìn)行訓(xùn)練，建立網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估模型，并進(jìn)行具體網(wǎng)絡(luò)安全態(tài)勢(shì)仿真測試。結(jié)果表明，所提模型可以準(zhǔn)確描述網(wǎng)絡(luò)安全態(tài)勢(shì)變化特點(diǎn)，獲得高精度的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果，評(píng)估誤差要遠(yuǎn)遠(yuǎn)低于對(duì)照模型，為網(wǎng)絡(luò)安全管理提供了一種有效的研究方法。

關(guān)鍵詞： 大數(shù)據(jù)分析; 學(xué)習(xí)樣本; 仿真測試; 樣本重構(gòu); 最小二乘支持向量機(jī); 網(wǎng)絡(luò)安全

中圖分類號(hào)： TN915.08?34; TP391 ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? ? 文章編號(hào)： 1004?373X（2019）13?0106?04

Network security situation assessment based on big data analysis

ZHANG Shuting

（Taiyuan University， Taiyuan 030032， China）

Abstract： Network security situation is affected by many factors， coupled with the openness of the network， and has the characteristics of complex changes， big evaluation error and low credibility. In order to improve the accuracy of network security situation assessment， the big data analysis method is introduced into the modeling of network security situation assessment. The current research situation of network security situation is analyzed， and the multi?dimensional network security situation learning sample is obtained by reconstruction. The network security situation sample is trained by big data processing technology （least square support vector machine）， and the evaluation model of network security situation is established. The simulation test is performed for the specific network security situation. The results show that the model can accurately describe the change characteristics of network security situation， and can obtain the high?precision network security situation evaluation results. The evaluation error of the model is far lower than that of contrast model. It provides an effective research method for network security management.

Keywords： big data analysis; learning sample; simulation test; sample reconstruction; least square support vector machine; network security

0 ?引 ?言

隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)民數(shù)量急劇增加，網(wǎng)絡(luò)作為一種傳輸信息的重要載體，其傳輸信息的速度要快于其他載體[1]。由于網(wǎng)絡(luò)的不設(shè)防性和網(wǎng)民安全意識(shí)淡薄，一些非法分子通過各種途徑入侵到網(wǎng)絡(luò)，從而出現(xiàn)了網(wǎng)絡(luò)安全問題。而網(wǎng)絡(luò)安全態(tài)勢(shì)可以描述網(wǎng)絡(luò)系統(tǒng)的變化，其具有重要的研究意義[2?3]。

為了把握網(wǎng)絡(luò)安全未來的發(fā)展趨勢(shì)，學(xué)者們對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行了全面、深入的研究，當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型分為兩種類型：定量分析的評(píng)估模型和定性分析的評(píng)估模型。其中，定性分析包括專家系統(tǒng)、免疫理論、危險(xiǎn)理論等網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，它們主要從整體上描述網(wǎng)絡(luò)安全態(tài)勢(shì)的變化趨勢(shì)，無法獲得理想網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[4];定量分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型又包括線性評(píng)估模型和非線性評(píng)估模型。其中，線性評(píng)估模型主要包括聚類分析等[5?7]，線性評(píng)估模型假設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)呈一種線性變化態(tài)勢(shì)，但網(wǎng)絡(luò)安全態(tài)勢(shì)受到許多因素的影響，呈現(xiàn)非線性，且具有一定的混沌特性，這樣線性評(píng)估模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估誤差大，評(píng)估結(jié)果的可信度低。非線性評(píng)估模型主要包括各種類型的神經(jīng)網(wǎng)絡(luò)和支持向量機(jī)，它們均有較好的非線性擬合能力，可以對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)變化進(jìn)行較好的跟蹤和刻畫，獲得了比線性評(píng)估模型更優(yōu)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果[8?10]。在實(shí)際應(yīng)用中，神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估訓(xùn)練過程極不穩(wěn)定，易得到局部最優(yōu)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果，影響網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估精度;支持向量機(jī)不存在局部最優(yōu)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果缺陷，但訓(xùn)練過程十分耗時(shí)，對(duì)于大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的評(píng)估實(shí)時(shí)性差，無法實(shí)現(xiàn)在線的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與分析[11?12]。最小二乘支持向量機(jī)克服了支持向量機(jī)訓(xùn)練過程耗時(shí)長的缺陷，且不存在神經(jīng)網(wǎng)絡(luò)的局部最優(yōu)解不足，為網(wǎng)絡(luò)安全態(tài)勢(shì)的建模和評(píng)估提供了一種新的分析工具[13]。

針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的非線性和混沌性，本文提出大數(shù)據(jù)分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，并進(jìn)行了網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的性能測試，測試結(jié)果驗(yàn)證了本文模型的優(yōu)異性能。

1 ?最小二乘支持向量機(jī)

支持向量機(jī)具有較強(qiáng)的泛化能力，但訓(xùn)練過程十分復(fù)雜，影響建模過程的實(shí)時(shí)性。為了克服支持向量機(jī)耗時(shí)長的缺陷，有學(xué)者對(duì)其進(jìn)行改進(jìn)，用二次損失函數(shù)表示支持向量機(jī)的不敏感損失函數(shù)，將支持向量機(jī)的二次尋優(yōu)變?yōu)橐淮螌?yōu)，改善了問題求解的效率，實(shí)際應(yīng)用范圍更廣。

設(shè)多維網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的訓(xùn)練數(shù)據(jù)為[{xi，yi}li=1]，[xi∈Rn]為第[i]個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的輸入，[yi∈Rn]為第[i]個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)的輸出數(shù)據(jù)，那么可以得到：

2 ?混沌理論

設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估樣本集合為[{x（i），i=1，2，…，n}]，根據(jù)延遲時(shí)間（[τ]）和嵌入維數(shù)（[m]）可以得到一個(gè)與原始數(shù)據(jù)具有同胚結(jié)構(gòu)的多維數(shù)據(jù)：[X（t）=x（t），x（i+τ），…，x（i+（m-1）τ）]，這樣更加有利于網(wǎng)絡(luò)安全態(tài)勢(shì)變化特點(diǎn)的分析。設(shè)兩個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)樣本點(diǎn)為[X（i）]和[X（j）]，它們的距離[rij（m）]計(jì)算公式為：

3 ?大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型步驟如下：

1） 收集某一個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)變化的歷史數(shù)據(jù)。

2） 采用均值和加權(quán)補(bǔ)齊缺失的網(wǎng)絡(luò)安全態(tài)勢(shì)變化的歷史數(shù)據(jù)以及比較離奇的數(shù)據(jù)。

3） 確定[m]和[τ]，得到網(wǎng)絡(luò)安全態(tài)勢(shì)變化的學(xué)習(xí)樣本數(shù)據(jù)。

4） 利用最小二支持向量機(jī)對(duì)訓(xùn)練樣本數(shù)據(jù)進(jìn)行學(xué)習(xí)，并輸出評(píng)估結(jié)果。

4 ?網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的性能測試

4.1 ?研究對(duì)象

為了分析大數(shù)據(jù)背景的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型性能，選擇HoneyNet數(shù)據(jù)集[14]作為研究對(duì)象，共收集500個(gè)數(shù)據(jù)，變化曲線如圖1所示，最后100個(gè)數(shù)據(jù)作為驗(yàn)證數(shù)據(jù)，其他作為訓(xùn)練數(shù)據(jù)。

圖1 ?網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的樣本數(shù)據(jù)

為了使本文模型的實(shí)驗(yàn)說服力更強(qiáng)，選擇文獻(xiàn)[11?12]的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型進(jìn)行對(duì)比實(shí)驗(yàn)。圖1中的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估樣本數(shù)據(jù)的[τ]和[m]變化如圖2所示。圖2中，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的樣本數(shù)據(jù)最佳[τ=5]，[m=5]，根據(jù)該值產(chǎn)生網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估學(xué)習(xí)樣本數(shù)據(jù)集。

圖2 ?網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估樣本[τ]和[m]估計(jì)

4.2 ?網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果分析

3種模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果如表1所示，對(duì)表1網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果進(jìn)行分析可知：

1） 文獻(xiàn)[11?12]的網(wǎng)絡(luò)安全態(tài)勢(shì)效果差，不能跟蹤網(wǎng)絡(luò)系統(tǒng)的安全趨勢(shì)，評(píng)估精度難以得到有效保證。

2） 本文模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估精度高，評(píng)估誤差要小于對(duì)比模型，這是因?yàn)楸疚氖紫纫牖煦缋碚搶?duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行處理，可以更好地挖掘出網(wǎng)絡(luò)安全態(tài)勢(shì)變化趨勢(shì)，然后引入最小二乘支持向量機(jī)對(duì)網(wǎng)絡(luò)安全變化態(tài)勢(shì)進(jìn)行擬合和建模，建立了性能更優(yōu)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。

表1 ?網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估精度

4.3 ?通用性分析

選擇4種常用的網(wǎng)絡(luò)，對(duì)它們的安全態(tài)勢(shì)進(jìn)行測試，評(píng)估精度如表2所示。

從表2可以看出，本文模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估精度平均值超過了95%，遠(yuǎn)遠(yuǎn)高于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的實(shí)際應(yīng)用要求。結(jié)果表明，本文模型是一種通用性強(qiáng)、精度高的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。

表2 ?網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的通用性測試

5 ?結(jié) ?語

為了獲得理想的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果，為網(wǎng)絡(luò)安全管理部門提供有價(jià)值的信息，本文提出一種大數(shù)據(jù)分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。與其他網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的對(duì)比測試結(jié)果表明，本文模型可以反映網(wǎng)絡(luò)安全態(tài)勢(shì)的復(fù)雜變化態(tài)勢(shì)，評(píng)估效果優(yōu)于對(duì)照模型，有效減少了網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估誤差，解決了當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型存在的難題，具有廣泛的應(yīng)用前景。

參考文獻(xiàn)

[1] LEAU Y B， MANICKAM S， CHONG Y W. Network security situation assessment： a review and discussion [J]. Lecture notes in electrical engineering， 2015， 339： 407?414.

[2] 吳果，陳雷，司志剛，等.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)體系優(yōu)化模型研究[J].計(jì)算機(jī)工程與科學(xué)，2017，39（5）：861?869.

WU Guo， CHEN Lei， SI Zhigang， et al. An index optimization model for network security situation evaluation [J]. Compu?ter engineering & science， 2017， 39（5）： 861?869.

[3] 陳妍伶，湯光明，孫怡峰.基于免疫危險(xiǎn)理論的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[J].計(jì)算機(jī)科學(xué)，2015，42（6）：167?170.

CHEN Yanling， TANG Guangming， SUN Yifeng. Assessment of network security situation based on immune danger theory [J]. Computer science， 2015， 42（6）： 167?170.

[4] 楊豪璞，邱輝，王坤.面向多步攻擊的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].通信學(xué)報(bào)，2017，38（1）：187?198.

YANG Haopu， QIU Hui， WANG Kun. Network security situation evaluation method for multi?step attack [J]. Journal on communications， 2017， 38（1）： 187?198.

[5] 王坤，邱輝，楊豪璞.基于攻擊模式識(shí)別的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].計(jì)算機(jī)應(yīng)用，2016，36（1）：194?198.

WANG Kun， QIU Hui， YANG Haopu. Network security situation evaluation method based on attack pattern recognition [J]. Journal of computer applications， 2016， 36（1）： 194?198.

[6] 許曉燕.基于改進(jìn)博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估平臺(tái)設(shè)計(jì)[J].現(xiàn)代電子技術(shù)，2016，39（12）：87?90.

XU Xiaoyan. Design of network security situation assessment platform based on the improved game model [J]. Modern electronics technique， 2016， 39（12）： 87?90.

[7] 文志誠，陳志剛，唐軍.基于聚類分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].上海交通大學(xué)學(xué)報(bào)，2016，50（9）：1407?1414.

WEN Zhicheng， CHEN Zhigang， TANG Jun. Network security assessment method based on cluster analysis [J]. Journal of Shanghai Jiao Tong University， 2016， 50（9）： 1407?1414.

[8] 湯永利，李偉杰，于金霞，等.基于改進(jìn)D?S證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].南京理工大學(xué)學(xué)報(bào)，2015，39（4）：405?411.

TANG Yongli， LI Weijie， YU Jinxia， et al. Network security situational assessment method based on improved D?S evidence theory [J]. Journal of Nanjing University of Science and Technology， 2015， 39（4）： 405?411.

[9] 文志誠，曹春麗，周浩.基于樸素貝葉斯分類器的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].計(jì)算機(jī)應(yīng)用，2015，35（8）：2164?2168.

WEN Zhicheng， CAO Chunli， ZHOU Hao. Network security situation assessment method based on naive Bayes classifier [J]. Journal of computer applications， 2015， 35（8）： 2164?2168.

[10] 方研，殷肖川，孫益博.基于隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[J].計(jì)算機(jī)應(yīng)用與軟件，2013，30（12）：64?68.

FANG Yan， YIN Xiaochuan， SUN Yibo. Network security si?tuation assessment based on hidden Markov model [J]. Computer applications and software， 2013， 30（12）： 64?68.

[11] 潘恒，李景峰，鄭秋生.基于HMM和信息熵的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].小型微型計(jì)算機(jī)系統(tǒng)，2015，36（8）：1784?1788.

PAN Heng， LI Jingfeng， ZHENG Qiusheng. Network security situation assessment method based on HMM and information entropy [J]. Mini?micro systems， 2015， 36（8）： 1784?1788.

[12] 謝麗霞，王志華.基于布谷鳥搜索優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].計(jì)算機(jī)應(yīng)用，2017，37（7）：1926?1930.

XIE Lixia， WANG Zhihua. Network security situation assessment method based on cuckoo search optimized back propagation neural network [J]. Journal of computer applications， 2017， 37（7）： 1926?1930.

[13] 黃東，李長彬.基于粒子群算法優(yōu)化最小二乘支持向量機(jī)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[J].信陽師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2016，29（1）：113?115.

HUANG Dong， LI Changbin. Network security situation assessment based on particle swarm algorithm optimizing least square support vector machine [J]. Journal of Xinyang Teachers College （Natural science edition）， 2016， 29（1）： 113?115.

[14] 汪材印.灰色關(guān)聯(lián)分析和支持向量機(jī)相融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[J].計(jì)算機(jī)應(yīng)用研究，2013，30（6）：1859?1862.

WANG Caiyin. Assessment of network security situation based on grey relational analysis and support vector machine [J]. Application research of computers， 2013， 30（6）： 1859?1862.