◆扈瀟瀟

基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)空間安全監(jiān)測(cè)體系研究

◆扈瀟瀟

（廣東省網(wǎng)警總隊(duì)管理監(jiān)察等?？?廣東 510050）

隨著網(wǎng)絡(luò)攻擊手段日益豐富，對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)和分析成為網(wǎng)絡(luò)空間安全體系的重要一環(huán)。為了更加有效地監(jiān)控網(wǎng)絡(luò)并識(shí)別網(wǎng)絡(luò)攻擊，需要采用自動(dòng)化技術(shù)讀取網(wǎng)絡(luò)安全事件報(bào)告，同時(shí)自動(dòng)分析結(jié)果。本文將網(wǎng)絡(luò)空間安全監(jiān)測(cè)體系劃分為三個(gè)階段，在第二階段中，使用“詞袋模型”向量化關(guān)鍵詞，并通過神經(jīng)網(wǎng)絡(luò)技術(shù)分析事件報(bào)告，實(shí)現(xiàn)網(wǎng)絡(luò)空間安全監(jiān)測(cè)結(jié)果的自動(dòng)化分析。試驗(yàn)結(jié)果表明，本方法在適當(dāng)選取參數(shù)時(shí)能夠以較大精確度實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)事件的自動(dòng)化安全風(fēng)險(xiǎn)分析。

網(wǎng)絡(luò)空間安全；監(jiān)測(cè)；區(qū)塊鏈；神經(jīng)網(wǎng)絡(luò).

網(wǎng)絡(luò)空間是連接各種信息技術(shù)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)，包括互聯(lián)網(wǎng)、各種電信網(wǎng)、各種計(jì)算機(jī)系統(tǒng)、各種關(guān)鍵工業(yè)設(shè)施中的嵌入式處理器和控制器，同時(shí)還涉及人與人之間相互影響的虛擬信息環(huán)境[1]。世界經(jīng)濟(jì)論壇《2019年全球風(fēng)險(xiǎn)報(bào)告》中指出，網(wǎng)絡(luò)攻擊已成為全球五大風(fēng)險(xiǎn)之一，WannaCry勒索軟件、NotPetya惡意軟件和一系列數(shù)據(jù)泄露事件表明，網(wǎng)絡(luò)攻擊可以輕易導(dǎo)致全球經(jīng)濟(jì)和社會(huì)的混亂。隨著當(dāng)前生產(chǎn)生活對(duì)網(wǎng)絡(luò)信息系統(tǒng)依賴性的增強(qiáng)，針對(duì)網(wǎng)絡(luò)空間的攻擊事件仍將不斷增多，影響范圍也將更加廣泛[2]。

以云計(jì)算、移動(dòng)寬帶、物聯(lián)網(wǎng)、三網(wǎng)融合、人工智能等為代表的新技術(shù)新應(yīng)用的普及推廣，使得網(wǎng)絡(luò)互聯(lián)互通、信息資源共享共用的需求不斷增加，由此帶來的安全風(fēng)險(xiǎn)持續(xù)加大。與此同時(shí)，針對(duì)我國(guó)的網(wǎng)絡(luò)監(jiān)控和攻擊力度不斷增強(qiáng)，攻擊技術(shù)不斷翻新，手段層出不窮。傳統(tǒng)上靠“打補(bǔ)丁”“堵漏洞”的網(wǎng)絡(luò)安全防護(hù)，只能防住已知應(yīng)對(duì)威脅的技術(shù)手段，對(duì)未知攻擊基本無能為力，不能滿足新形勢(shì)下的網(wǎng)絡(luò)安全需要，因此加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)體系研究和建設(shè)，對(duì)于有效防范網(wǎng)絡(luò)各類攻擊，確保我國(guó)網(wǎng)絡(luò)空間安全，就顯得尤為重要和緊迫[3]。

1 網(wǎng)絡(luò)空間安全監(jiān)測(cè)體系研究現(xiàn)狀

隨著信息技術(shù)不斷進(jìn)步，大量未知的網(wǎng)絡(luò)攻擊手段層出不窮，僅靠單一的網(wǎng)絡(luò)檢測(cè)手段難以對(duì)網(wǎng)絡(luò)空間安全進(jìn)行有效監(jiān)測(cè)。

為解決上述問題，國(guó)內(nèi)外已經(jīng)出現(xiàn)了一些針對(duì)性的研究成果。周詩(shī)濤[4]提出了一種三層結(jié)構(gòu)的網(wǎng)絡(luò)空間安全監(jiān)測(cè)預(yù)警平臺(tái)，三個(gè)層級(jí)分別為由公安機(jī)關(guān)負(fù)責(zé)的總監(jiān)測(cè)中心、由各行業(yè)網(wǎng)絡(luò)監(jiān)管部門負(fù)責(zé)的分監(jiān)測(cè)中心，由各信息系統(tǒng)數(shù)據(jù)采集點(diǎn)組成的監(jiān)測(cè)點(diǎn)。王艷偉[5]結(jié)合安全事件和安全信息事件管理的特點(diǎn)，提出一種新的網(wǎng)絡(luò)安全監(jiān)測(cè)體系，通過定義一套開放聚合的框架和通用的數(shù)據(jù)輸入、輸出訪問接口來完成各類流量檢測(cè)引擎的快速適配和接入，實(shí)現(xiàn)多種檢測(cè)引擎的能力聚合和統(tǒng)一分析。Hortonworks[6]構(gòu)建了網(wǎng)絡(luò)安全應(yīng)用框架，該框架主要采用事件管理和安全信息管理方法，對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)和分析。the CAESAIR[7]為安全專家提供分析工具，以支持專家完成國(guó)家級(jí)的網(wǎng)絡(luò)安全事件處理。

2 基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)空間安全監(jiān)測(cè)體系

本文基于神經(jīng)網(wǎng)絡(luò)技術(shù)特點(diǎn)，提出一種新的網(wǎng)絡(luò)空間安全監(jiān)測(cè)體系架構(gòu)，通過神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)功能，實(shí)現(xiàn)能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的高效網(wǎng)絡(luò)安全監(jiān)測(cè)能力。架構(gòu)整體分為三層，如圖1所示。

圖1 網(wǎng)絡(luò)空間安全監(jiān)測(cè)體系架構(gòu)圖

2.1 網(wǎng)絡(luò)安全事件信息收集

為了全面了解網(wǎng)絡(luò)的整體安全狀況，應(yīng)從多個(gè)來源收集網(wǎng)絡(luò)安全事件的相關(guān)信息。網(wǎng)絡(luò)安全事件信息通常以半結(jié)構(gòu)化文本的形式發(fā)布，如最新更新、事件報(bào)告、漏洞警報(bào)、通知、公告。為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間安全態(tài)勢(shì)的全面監(jiān)測(cè)，必須依托豐富數(shù)據(jù)資源和多渠道的信息。

目前，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心[8]依托與運(yùn)營(yíng)商、域名注冊(cè)商、安全服務(wù)廠商等相關(guān)部門的快速工作機(jī)制，與多個(gè)世界著名的網(wǎng)絡(luò)安全機(jī)構(gòu)和各個(gè)國(guó)家級(jí)應(yīng)急組織建立的網(wǎng)絡(luò)安全事件處理合作機(jī)制，并面向國(guó)內(nèi)外用戶受理網(wǎng)絡(luò)安全事件報(bào)告，實(shí)現(xiàn)了及時(shí)掌握和處置突發(fā)重大網(wǎng)絡(luò)安全事件的要求。

2.2 自動(dòng)化事件分析

上述網(wǎng)絡(luò)安全事件報(bào)告信息收集完成之后，從這些文件中獲取網(wǎng)絡(luò)威脅情報(bào)需要手動(dòng)查看并確認(rèn)重要信息、識(shí)別各種重要信息之間的隱性關(guān)聯(lián)，估計(jì)安全風(fēng)險(xiǎn)，并提出可行應(yīng)對(duì)策略。

為提升事件分析效率，提出基于神經(jīng)網(wǎng)絡(luò)的自動(dòng)化分析流程。文本分析首先要進(jìn)行預(yù)處理操作，即將文字轉(zhuǎn)化為數(shù)學(xué)模型，之后才能進(jìn)一步進(jìn)行算法分析。使用“詞袋模型”（bag of words）[9]作為實(shí)現(xiàn)事件分析過程自動(dòng)化中文檔處理工具，其基本原理為將文檔看作是無序的關(guān)鍵詞的集合，通過統(tǒng)計(jì)每個(gè)關(guān)鍵詞在單個(gè)文檔中出現(xiàn)的頻率來對(duì)文檔進(jìn)行向量表示，并通過神經(jīng)網(wǎng)絡(luò)[10]實(shí)現(xiàn)聚類。

神經(jīng)網(wǎng)絡(luò)的輸出結(jié)果是一個(gè)介于0到1之間的實(shí)數(shù)，代表對(duì)輸入事件的風(fēng)險(xiǎn)判斷，越接近1表示風(fēng)險(xiǎn)越高，越接近0表示風(fēng)險(xiǎn)越低。

2.3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)匯報(bào)

讀取上一階段輸出的自動(dòng)化風(fēng)險(xiǎn)判斷值后，技術(shù)人員需要對(duì)風(fēng)險(xiǎn)值較高的結(jié)果進(jìn)行核驗(yàn)分析，以確定風(fēng)險(xiǎn)是否真實(shí)存在并在存在風(fēng)險(xiǎn)時(shí)提出應(yīng)對(duì)措施，最終總結(jié)為安全風(fēng)險(xiǎn)報(bào)告。

圖2 安全事件的自動(dòng)化分析流程

3 實(shí)驗(yàn)

3.1 數(shù)據(jù)源

實(shí)驗(yàn)所使用的數(shù)據(jù)源有兩大來源：一是采自公開源的網(wǎng)絡(luò)安全威脅情報(bào)平臺(tái)1004份報(bào)告；二是由技術(shù)人員手動(dòng)撰寫事件報(bào)告37份。數(shù)據(jù)源涉及的公開源的網(wǎng)絡(luò)安全威脅情報(bào)平臺(tái)包括微步在線、綠盟科技公司威脅情報(bào)中心、天際友盟、奇安信。上述1041份報(bào)告分為兩個(gè)部分：均勻隨機(jī)選擇520份用于訓(xùn)練神經(jīng)網(wǎng)絡(luò)；均勻隨機(jī)選擇521份用于測(cè)試結(jié)果。

3.2 實(shí)驗(yàn)環(huán)境

在單臺(tái)電腦上進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)電腦所使用的軟、硬件配置：Intel Core i7 CPU主頻3.2GHz、8G內(nèi)存、win10操作系統(tǒng)、python 3.7.2。

3.3 實(shí)驗(yàn)方法

通過python語(yǔ)言實(shí)現(xiàn)自動(dòng)化分析算法，并使用訓(xùn)練集內(nèi)的520份對(duì)算法中的神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練。由于訓(xùn)練集較小，為了達(dá)到充分收斂的訓(xùn)練效果，設(shè)置樣本批量大小為20份，所有樣本訓(xùn)練完后可以進(jìn)一步打亂并重新設(shè)置批量，反復(fù)訓(xùn)練。

訓(xùn)練完成后，使用測(cè)試集內(nèi)521份報(bào)告對(duì)自動(dòng)化分析算法進(jìn)行測(cè)試，并且人工核驗(yàn)測(cè)試結(jié)果是否準(zhǔn)確。為防止過擬合現(xiàn)象，進(jìn)一步對(duì)比訓(xùn)練誤差和測(cè)試誤差，當(dāng)二者相差不超過10%時(shí)，認(rèn)為結(jié)果有效。一旦發(fā)現(xiàn)結(jié)果無效，則重新打亂所有樣本，在不改變集合大小的前提下重新隨機(jī)選擇測(cè)試集和訓(xùn)練集，并重復(fù)實(shí)驗(yàn)。

3.4 實(shí)驗(yàn)結(jié)果

為評(píng)價(jià)算法執(zhí)行效果，使用拒真率和受偽率來衡量算法的效果。前者表示高風(fēng)險(xiǎn)項(xiàng)被判定為低風(fēng)險(xiǎn)項(xiàng)的概率，后者表示低風(fēng)險(xiǎn)項(xiàng)被判定為高風(fēng)險(xiǎn)項(xiàng)的概率。

定義如下記號(hào)：

令為所有測(cè)試樣本集合；

拒真率定義如下：

受偽率定義為：

經(jīng)過實(shí)驗(yàn)，在使用不同的正則因子時(shí)，拒真率和受偽率分別如表1所示。

表1 實(shí)驗(yàn)結(jié)果

將上述結(jié)果表示在折線圖中，如圖3所示。

圖3 實(shí)驗(yàn)結(jié)果

通過實(shí)驗(yàn)結(jié)果可以看出，取正則因子為0.01時(shí)，拒真率和受偽率都較低，能夠在一定程度上幫助用戶對(duì)網(wǎng)絡(luò)事件的安全風(fēng)險(xiǎn)進(jìn)行自動(dòng)化分析。

4 結(jié)束語(yǔ)

本文研究了神經(jīng)網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)空間安全監(jiān)測(cè)體系中的應(yīng)用，使用“詞袋模型”對(duì)安全風(fēng)險(xiǎn)事件進(jìn)行向量化，并使用神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)事件報(bào)告進(jìn)行聚類分析，進(jìn)而輸出風(fēng)險(xiǎn)評(píng)估分?jǐn)?shù)。實(shí)驗(yàn)表明，選取正確參數(shù)時(shí)，模型能夠以低至0.092的拒真率和低至0.199的受偽率實(shí)現(xiàn)網(wǎng)絡(luò)安全事件報(bào)告的自動(dòng)化分析，使用本模型可以在很大程度上降低網(wǎng)絡(luò)空間安全監(jiān)測(cè)體系中的人工工作量。

[1]National security presidential directive 54/homeland security presidential directive 23 （NSPD-54/HSPD-23）[EB/OL]. https://epic.org/privacy/cybersecurity/EPIC-FOIA-NSPD54.pdf.

[2]瑞星2019年中國(guó)網(wǎng)絡(luò)安全報(bào)告與趨勢(shì)展望[J].信息安全研究，2020，6（02）：98-107.

[3]董超.網(wǎng)絡(luò)安全2.0的發(fā)展思路和理念探索——基于網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警服務(wù)體系的研究與開發(fā)[J].信息安全與通信保密，2015.

[4]周詩(shī)濤. 網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警通報(bào)機(jī)制建設(shè)思路探討[C]. 2018第七屆全國(guó)安全等級(jí)保護(hù)技術(shù)大會(huì)論文集.2018.

[5]王艷偉，鄔江，羅赟騫，史春見. 一種基于開放聚合框架的網(wǎng)絡(luò)流量安全監(jiān)測(cè)體系設(shè)計(jì)[J]. 微型機(jī)與應(yīng)用，2018.

[6]Hortonworks. Mirror of Apache Metron[EB/OL]. https://github.com/apache/metron.

[7]Austrian Institute of Technology，“CAESAIR，” [EB/OL]. https://service.ait.ac.at/pydio/data/public/971d1f.

[8]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布《2018年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》[J].網(wǎng)信軍民融合，2019.

[9]丁凱. 基于空間結(jié)構(gòu)與量化關(guān)系的優(yōu)化視覺詞袋模型研究[D].安徽：合肥工業(yè)大學(xué)，2017.

[10]道輝，李洪升，張亮，劉如意，沈沛意，苗啟廣.輕量級(jí)神經(jīng)網(wǎng)絡(luò)架構(gòu)綜述[J].軟件學(xué)報(bào)，2019.