張克君 鄭煒 于新穎 王航宇 王志強(qiáng)

摘要：針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)中態(tài)勢(shì)要素提取的質(zhì)量與效率較低的問題，提出了融合粒子群（Particle Swarm Optimization，PSO）和模擬退火（Simulated Annealing，SA）的態(tài)勢(shì)要素識(shí)別模型PSO-TSA.在位置更新模塊，利用Metropolis準(zhǔn)則對(duì)PSO算法中的個(gè)體極值和全局極值進(jìn)行退火優(yōu)化，增加粒子的選擇性，提高態(tài)勢(shì)要素提取質(zhì)量.在參數(shù)優(yōu)化模塊，利用Metropolis 準(zhǔn)則優(yōu)化PSO算法中的參數(shù)，并對(duì)參數(shù)優(yōu)化過程和粒子適應(yīng)度同時(shí)進(jìn)行評(píng)價(jià)，避免算法陷入局部最優(yōu)，提高態(tài)勢(shì)要素識(shí)別效率.按照目前網(wǎng)絡(luò)狀態(tài)的實(shí)際需求，選擇了37個(gè)網(wǎng)絡(luò)安全數(shù)據(jù)字段，搭建了小型網(wǎng)絡(luò)環(huán)境，以獲取更加真實(shí)的網(wǎng)絡(luò)安全數(shù)據(jù)集SDS-W.在開放網(wǎng)絡(luò)安全數(shù)據(jù)集和獲取的SDS-W數(shù)據(jù)集上分別進(jìn)行態(tài)勢(shì)要素識(shí)別實(shí)驗(yàn)，實(shí)驗(yàn)證明，PSO-TSA在時(shí)間成本保持不變甚至更少的基礎(chǔ)上，態(tài)勢(shì)要素識(shí)別的精確度平均提升了5%～7%.

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢(shì)感知;態(tài)勢(shì)要素識(shí)別;粒子群算法;模擬退火算法

中圖分類號(hào)：TN915.08文獻(xiàn)標(biāo)志碼：A

Research on Recognition of Network Security Situation Elements Based on PSO-TSA Model

ZHANG Kejun? ZHENG Wei YU Xinying WANG Hangyu WANG Zhiqiang1

（1. Department of Cyberspace Security，Beijing Electronic Science and Technology Institute，Beijing 10007 China;

2. College of Cyberspace Security，Beijing University of Posts and Telecommunications，Beijing 100876，China）

Abstract：Given the low quality and efficiency of situation element extraction in network security situation awareness techniques，this paper proposes a situation element identification model incorporating particle swarm optimization and simulated annealing （PSO-TSA）. In the position update module，the Metropolis criterion is utilized to optimize the individual and global extremum in the PSO algorithm to increase the selectivity of the particles and improve the quality of the situation elements extraction. In the parameter optimization module，the parameters in the PSO algorithm are optimized using the Metropolis criterion，and the parameter optimization process and particle fitness are evaluated simultaneously to rid the local optimum and improve the efficiency of the situation element recognition. Due to the actual needs of the current network state，this paper selects 37 network security data fields and establishes a small network environment to obtain a more realistic network security dataset SDS-W. This paper conducts experiments of the situation element recognition on the open cybersecurity dataset and the SDS-W，respectively. Experiments show that PSO-TSA improves the accuracy of situation element recognition by an average of 5% to 7% while the time cost remains the same or even less.

Key words：network security situation awareness;situation element recognition;Particle Swarm Optimization;Simulated Annealing

隨著信息技術(shù)的不斷發(fā)展，當(dāng)前的網(wǎng)絡(luò)規(guī)模具有多節(jié)點(diǎn)、多分支、多網(wǎng)段、大流量等特點(diǎn)，網(wǎng)絡(luò)安全問題越來越嚴(yán)峻.傳統(tǒng)的監(jiān)測(cè)方法和防護(hù)手段已經(jīng)無法滿足新的安全需求.網(wǎng)絡(luò)安全態(tài)勢(shì)感知（Network Security Situation Awareness，NSSA）能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中實(shí)時(shí)感知網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，安全分析人員能結(jié)合網(wǎng)絡(luò)安全環(huán)境，快速、準(zhǔn)確地做出判斷，將風(fēng)險(xiǎn)和損失降到最低[1].網(wǎng)絡(luò)安全態(tài)勢(shì)要素識(shí)別是NSSA的基礎(chǔ)，也是直接影響NSSA性能的關(guān)鍵因素之一.

粒子群算法[2]結(jié)構(gòu)簡(jiǎn)單、收斂速度快，符合NSSA對(duì)時(shí)效性的要求，是目前應(yīng)用最廣泛的態(tài)勢(shì)要素識(shí)別算法.粒子群算法在搜索最優(yōu)解時(shí)通過共享粒子之間的信息，使得粒子總是在向當(dāng)前最優(yōu)解更新.在算法開始階段收斂速度很快，直到所有粒子狀態(tài)相似時(shí)收斂速度減慢.這會(huì)使算法在尋找到局部最優(yōu)解且收斂于該位置時(shí)，粒子難以從局部最優(yōu)解中跳出，從而形成粒子“早熟”，導(dǎo)致態(tài)勢(shì)要素識(shí)別的準(zhǔn)確率降低[3].

PSO算法容易陷入局部最優(yōu)解，而模擬退火算法能夠接受非更好的解.同時(shí)，PSO算法在初期具有極快的收斂速度，能夠彌補(bǔ)SA算法在收斂速度上的缺陷.因此，針對(duì)態(tài)勢(shì)要素提取質(zhì)量與識(shí)別效率較低的問題，本文提出融合粒子群和模擬退火的態(tài)勢(shì)要素識(shí)別模型PSO-TSA.利用模擬退火中的Metropolis 準(zhǔn)則，允許粒子接受一個(gè)非更好的解，以優(yōu)化個(gè)體極值（p_best）、全局極值（g_best）以及PSO參數(shù)設(shè)置等過程，使得粒子擺脫局部最優(yōu)解，提高態(tài)勢(shì)要素識(shí)別質(zhì)量與效率.本文的主要工作如下：

1）在p_best和g_best更新階段，引入退火算法中的Metropolis準(zhǔn)則，改變p_best和g_best的接受規(guī)則，允許在一定的概率下接受一個(gè)非更好的位置，增加粒子的選擇性，提高態(tài)勢(shì)要素提取質(zhì)量.

2）在PSO參數(shù)優(yōu)化階段，利用退火算法中的Metropolis 準(zhǔn)則將PSO算法中參數(shù)的設(shè)置作為一個(gè)統(tǒng)一的優(yōu)化問題，在評(píng)價(jià)粒子適應(yīng)度的同時(shí)，也對(duì)參數(shù)優(yōu)化過程進(jìn)行評(píng)價(jià)，幫助粒子跳出局部極值.

3）本文提出了NSSA數(shù)據(jù)獲取集成工具，并搭建了一個(gè)小型網(wǎng)絡(luò)環(huán)境，以獲取反映網(wǎng)絡(luò)安全狀態(tài)的真實(shí)數(shù)據(jù)集SDS-W.在開放網(wǎng)絡(luò)安全數(shù)據(jù)集和SDS- W數(shù)據(jù)集上的實(shí)驗(yàn)表明，PSO-TSA模型保持了較優(yōu)的識(shí)別精度和效率.

1相關(guān)工作

態(tài)勢(shì)要素識(shí)別技術(shù)的研究是隨著網(wǎng)絡(luò)安全態(tài)勢(shì)感知概念的提出開始的.2003年，Matheus等人提出了基于Ontology的態(tài)勢(shì)感知模型，結(jié)合各個(gè)模塊提出了抽象實(shí)體的思想，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取具有一定的指導(dǎo)意義[4].2007年，Jin等人針對(duì)軍事戰(zhàn)場(chǎng)中面臨的態(tài)勢(shì)要素提取情況，并結(jié)合周圍環(huán)境等因素，提出一種基于概念的態(tài)勢(shì)要素提取技術(shù)[5]，但該方法提取的數(shù)據(jù)源單一且不能應(yīng)對(duì)多源攻擊的情況.2014年，劉等人提出了基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[6]，在時(shí)間維度上預(yù)測(cè)未來時(shí)段內(nèi)的安全態(tài)勢(shì)要素集，并在空間維度上分析各安全態(tài)勢(shì)要素集對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的影響.2016年，Kaufman等人考慮了網(wǎng)絡(luò)環(huán)境的整體結(jié)構(gòu)及不同的層級(jí)之間有不同的軟硬件設(shè)施和相應(yīng)的通信協(xié)議，提出采用自下而上、先局部再整體的形式對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行描述[7].2018年，Bazrafkan等人從國家戰(zhàn)略決策的角度提出一個(gè)國家態(tài)勢(shì)感知的概念[8]，以層次化結(jié)構(gòu)提高了態(tài)勢(shì)識(shí)別的效率，降低了錯(cuò)誤信息的干擾.2019年，Eckhart等人提出建立系統(tǒng)的虛擬副本，在并行環(huán)境下對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行全面的感知[9].同年，Debatty等人提出利用網(wǎng)絡(luò)靶場(chǎng)更真實(shí)地模擬安全事件[10]，為決策提供更準(zhǔn)確的支持.

國內(nèi)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取相關(guān)研究起步較晚，前期在入侵檢測(cè)方面所做的相關(guān)工作為網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取技術(shù)的研究奠定了基礎(chǔ).2008年，王等人提出了一種在神經(jīng)網(wǎng)絡(luò)的基礎(chǔ)上結(jié)合進(jìn)化策略的方法[11]，以優(yōu)化建立神經(jīng)網(wǎng)絡(luò)的參數(shù)，然后用神經(jīng)網(wǎng)絡(luò)來提取態(tài)勢(shì)要素，極大地提高了分類準(zhǔn)確度. 2010年，賴等人為獲取反映網(wǎng)絡(luò)整體安全態(tài)勢(shì)的信息，提出了將D-S證據(jù)理論用于多源報(bào)警數(shù)據(jù)聚類，計(jì)算不同數(shù)據(jù)之間的相似度，融合多種設(shè)備來降低系統(tǒng)誤報(bào)率[12].為了更好更快地去除冗余特征，適應(yīng)網(wǎng)絡(luò)安全領(lǐng)域的需要，2015年，司等人提出了一種基于本體論的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)獲取方法[13]，將多源異構(gòu)數(shù)據(jù)進(jìn)行分類提取，依據(jù)本體構(gòu)建規(guī)則建立由領(lǐng)域本體、應(yīng)用本體和原子本體組成的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫本體模型.2016年，劉等人[14]提出一種基于融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，將對(duì)安全事件威脅等級(jí)和威脅要素關(guān)系的推演和多源融合算法結(jié)合，克服了態(tài)勢(shì)要素獲取過程中需處理網(wǎng)絡(luò)組件間復(fù)雜隸屬關(guān)系的不足.2017年，戚等人提出了基于信息增益的貝葉斯態(tài)勢(shì)要素提取方法[15]，相較于樸素貝葉斯態(tài)勢(shì)要素提取方法，該方法提高了分類效果，實(shí)現(xiàn)了對(duì)惡意攻擊的檢測(cè).2018年，張等人為了評(píng)估網(wǎng)絡(luò)安全現(xiàn)狀，提出了一種基于分布式集群的安全態(tài)勢(shì)感知系統(tǒng)[16]，該方法在要素提取的準(zhǔn)確性和時(shí)間上都有了明顯的優(yōu)化.2019年，徐等人針對(duì)云平臺(tái)的安全態(tài)勢(shì)，提出一個(gè)三層安全態(tài)勢(shì)指標(biāo)體系[17]，從而識(shí)別出精確反應(yīng)云平臺(tái)態(tài)勢(shì)的要素.同年，段等人提出基于RSAR的隨機(jī)森林網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取，有效提高了分類精確度[18].2020年，趙等人利用D-S證據(jù)理論處理多源數(shù)據(jù)[19]，實(shí)現(xiàn)了對(duì)要素更精確的識(shí)別.

1995年，Kennedy和Eberhart提出了粒子群算法[20].粒子群算法屬于群體智能算法，具有結(jié)構(gòu)簡(jiǎn)單、魯棒性強(qiáng)的特點(diǎn)，在解決組合優(yōu)化問題時(shí)有很好的表現(xiàn).近幾年，針對(duì)PSO算法的研究主要集中在PSO算法的優(yōu)化和與其他算法的融合方面.最早由Shi和Eberhart提出的慣性權(quán)重線性遞減的方案，在算法初期能夠快速找到最優(yōu)解的范圍.隨著迭代次數(shù)的增多，算法進(jìn)行更加精確的搜索，最終得到最優(yōu)解.文獻(xiàn)[21]將群體滅絕的現(xiàn)象引入PSO算法，促進(jìn)粒子個(gè)體進(jìn)化的持續(xù)性和群體選擇的多樣性.文獻(xiàn)[22]中，每個(gè)粒子根據(jù)其自身的適應(yīng)度和最優(yōu)粒子選擇慣性因子，使得算法具有全局收斂性，能有效地緩解早熟收斂問題.2018年，胡等人提出利用粒子群算法優(yōu)化模擬退火降溫速度過慢的問題[23]，并在實(shí)際場(chǎng)景中獲得良好的效果.2019年，董等人利用模擬退火解決粒子群容易陷入局部極值的問題，設(shè)計(jì)了一種新的USV全局路徑規(guī)劃算法[24]，該算法在考慮收斂速度的同時(shí)能夠更為準(zhǔn)確地找到全局極值.

2融合粒子群和模擬退火的態(tài)勢(shì)要素識(shí)別模型PSO-TSA

本文將粒子群算法和模擬退火算法應(yīng)用到態(tài)勢(shì)要素識(shí)別的過程中，提出了一種融合粒子群和模擬退火的態(tài)勢(shì)要素識(shí)別模型PSO-TSA.PSO-TSA利用模擬退火中的Metropolis準(zhǔn)則克服PSO在以往的態(tài)勢(shì)要素識(shí)別過程中識(shí)別準(zhǔn)確率不高的問題，能較好地?cái)[脫局部最優(yōu)解，快速準(zhǔn)確地找到態(tài)勢(shì)要素.PSO- TSA 模型的總體框架如圖1所示，模型主要由兩個(gè)部分組成：p_best和g_best退火更新模塊、PSO參數(shù)退火優(yōu)化模塊.

2.1Metropolis 準(zhǔn)則

假設(shè)一個(gè)D維的目標(biāo)搜索空間，有種群數(shù)目為N的粒子群，其中把第i個(gè)粒子表示為一個(gè)D維向量，記為：

X_i=（X_i x_i …，x_iD），i= ??…，N（1）

第i個(gè)粒子的飛行速度也是一個(gè)D維向量，記為：

V_i=（v_i v_i …，v_iD），i= ??…，N（2）

第i個(gè)粒子目前找到的最佳位置稱為個(gè)體極值，記為：

p_best=（P_i P_i …，P_iD），i=? …，N（3）

整個(gè)粒子群目前找到的最佳位置為全局極值，記為：

g_best=（g g …，g_D）（4）

當(dāng)粒子找到個(gè)體極值和群體極值后，粒子會(huì)更新自己的速度和位置，如公式（5）和公式（6）所示：

v_id=w×v_id+c₁×r₁×（p_id-x_id）+c₂×r₂×（g_d-x_id）（5）

x_id=x_id+v_id（6）

式中：w為慣性權(quán)重，表示在多大的程度上保留原有速度.w越大則全局收斂能力越強(qiáng);w越小則局部收斂能力越強(qiáng).c₁和c₂為學(xué)習(xí)因子，r₁和r₂為[0，1]內(nèi)的均勻隨機(jī)數(shù).

Metropolis準(zhǔn)則是一種以概率接受新狀態(tài)的采樣法.給定一個(gè)初始狀態(tài)i作為當(dāng)前狀態(tài)，記當(dāng)前狀態(tài)的能量為E_i.然后通過一定的手段產(chǎn)生一個(gè)變化，使其進(jìn)入一個(gè)新的狀態(tài)j，記新狀態(tài)的能量為E_j.若E_ji，則接受新狀態(tài);否則，考慮到熱力學(xué)運(yùn)動(dòng)，這個(gè)新狀態(tài)是否被接受要依賴一定的概率來判斷.該過程服從正則分布，如公式（7）所示：

物體處于狀態(tài)i和狀態(tài)j的概率應(yīng)為相應(yīng)Boltzmann因子的比值，如公式（9）所示：

若r>0，則接受新狀態(tài)j，否則舍棄新狀態(tài)j.由此得到簡(jiǎn)化的Metropolis接受準(zhǔn)則：若系統(tǒng)當(dāng)前處在狀態(tài)i，由于某種變化進(jìn)入狀態(tài)j.相應(yīng)地，系統(tǒng)的能量也由E_i變?yōu)镋_j，那么系統(tǒng)接受這種狀態(tài)改變的概率為：

2.2p_best和g_best更新模塊

p_best和g_best更新模塊在利用Metropolis準(zhǔn)則更新個(gè)體粒子的最好位置p_best時(shí)，允許P_best在一定的概率下向一個(gè)非更好的位置更新.同樣，在更新群體粒子的最好位置g_best時(shí)，g_best也被允許在一定的概率下向一個(gè)非更好的位置更新，算法結(jié)束時(shí)輸出G_best.兩次退火更新能增加粒子的選擇性，防止PSO算法陷入局部最優(yōu)解.p_best和g_best更新模塊算法步驟如下.

Step1：對(duì)算法進(jìn)行初始化，包括最大迭代次數(shù)t_max、初始溫度T、降溫系數(shù)α、最低溫度t_min、參數(shù)組合S（w，c c₂）、適應(yīng)度函數(shù)f（x_i）.

Step2：計(jì)算所有粒子各自的適應(yīng)值f（x_i）以及每個(gè)粒子目前的最好位置p_best的適應(yīng)值f（p_best）.計(jì)算Δf=f（x_i）-f（p_best），當(dāng)Δf>0時(shí)，更新p_best=x;當(dāng)Δf<0時(shí)，引入Metropolis準(zhǔn)則，得到p=exp（-Δf/T）.當(dāng)p>0時(shí)，p_best=x.

Step3：設(shè)置兩個(gè)變量G_best和g_best來記錄群體粒子經(jīng)歷的最好位置.比較當(dāng)前個(gè)體粒子最好位置的適應(yīng)值f（x_best）和群體粒子最好位置的適應(yīng)值f（G_best）.如果f（x_best）>f（G_best），則G_best=g_best=x_best，否則，計(jì)算Δf=f（x_best）-f（g_best），當(dāng)Δf>0時(shí)，更新g_best=x_best：當(dāng)Δf<0時(shí)，引入Metropolis準(zhǔn)則，得到p=exp（-Δf/T）.當(dāng)p>0時(shí)，g_best=x_best.

p_best和g_best更新算法流程如圖2所示.

2.3PSO參數(shù)優(yōu)化模塊

PSO參數(shù)優(yōu)化模塊對(duì)PSO算法中的參數(shù)（慣性權(quán)重w，學(xué)習(xí)因子c₁、c₂）進(jìn)行退火優(yōu)化.在每次迭代中，PSO算法對(duì)粒子群的適應(yīng)度和參數(shù)組合的優(yōu)化評(píng)價(jià)值都可以用最優(yōu)適應(yīng)度函數(shù)來表示.由于Metropolis 準(zhǔn)則能接受非更好的參數(shù)組合，從而粒子可以更好地?cái)[脫局部最優(yōu)解.PSO參數(shù)優(yōu)化模塊算法步驟如下.

Stepl：取評(píng)價(jià)函數(shù)C（S）=g_best，求解得到新的參數(shù)組合S′（w′，c′ c′₂），按照公式（5）、（6）和新的參數(shù)組合更新速度v_i和位置x_i，并計(jì)算適應(yīng)度f（x_i）

Step2：令C（S′）=min[f（x_i），i=? …，m]，其中m為粒子個(gè)數(shù)，ΔC=C（S）-C（S′）.當(dāng)ΔC>0時(shí)，接受S′，進(jìn)行退火操作，并依據(jù)S′更新速度和位置;當(dāng)ΔC<0時(shí)，引入Metropolis準(zhǔn)則，得到p=exp（-ΔC/T）.當(dāng)p>0時(shí)，接受S′，進(jìn)行退火操作，并依據(jù)S′更新速度和位置.否則拒絕S′的狀態(tài)，S仍為當(dāng)前狀態(tài)，依據(jù)S更新粒子的速度和位置.

Step3：判斷是否滿足終止條件，若滿足，則算法結(jié)束，輸出最優(yōu)值;否則，跳轉(zhuǎn)到p_best和g_best更新模塊的Step2.

PSO參數(shù)優(yōu)化模塊算法流程如圖3所示.

2.4PSO-TSA性能分析

為了驗(yàn)證PSO-TSA在尋找最優(yōu)解時(shí)的能力、有效性和收斂性，本文選擇了囊括單多峰函數(shù)的三個(gè)測(cè)試函數(shù)來分析算法的性能，分別是：

1）Rosenbrock單峰函數(shù).

x∈（-10，10），當(dāng)（x x …，x_N）=（? …，1）時(shí)，有最小值f（%）=0.

2）Rastrigin多峰函數(shù).

x∈（-10，10），當(dāng)（x x …，x_N）=（0，0，…，0）時(shí)，有最小值f（x）=0.

3）Griewank多峰函數(shù).

x∈（-10，10），當(dāng)（x x …，x_N）=（0，0，…，0）時(shí)，有最小值f（x）=0.

本文對(duì)標(biāo)準(zhǔn)粒子群算法（PSO）、線性慣性權(quán)重粒子群算法（LDPSO）以及本文提出的融合粒子群和

模擬退火的PSO-TSA進(jìn)行對(duì)比分析.在對(duì)比試驗(yàn)中，三個(gè)函數(shù)的維度設(shè)置為N=10.算法的參數(shù)設(shè)置：種群大小m=40，初始溫度T=1000，最大迭代次數(shù)t_max=1500，降溫系數(shù)α=0.96，慣性權(quán)重w=0.6，學(xué)習(xí)因子c₁=c₂=2.算法各自獨(dú)立運(yùn)行100 次，實(shí)驗(yàn)結(jié)果如表1所示.

由表1可知，針對(duì)本文選取的三種測(cè)試函數(shù)，PSO-TSA的測(cè)試效果要優(yōu)于其他兩種傳統(tǒng)的PSO算法.在算法速度上，對(duì)于單峰函數(shù)Rosenbrock，PSO- TSA相比于另外兩種算法沒有明顯的優(yōu)勢(shì);對(duì)于多峰函數(shù)Rastrigin和Griewank，PSO-TSA在收斂速度上的表現(xiàn)明顯優(yōu)于傳統(tǒng)的PSO算法.在算法的收斂精度上，對(duì)于單峰函數(shù)Rosenbrock，PSO-TSA算法相較于另外兩種算法有了明顯的提高;對(duì)于多峰函數(shù)Rastrigin和Griewank，PSO-TSA算法在收斂速度提升的同時(shí)，精度也有了明顯的提高.總的來說，PSO- TSA對(duì)于單峰函數(shù)，速度上沒有明顯的優(yōu)勢(shì)，但在收斂精度上有明顯的優(yōu)勢(shì);對(duì)于多峰函數(shù)，其優(yōu)化后的收斂速度和精度都有很大的提升.PSO-TSA增加了一定的算法復(fù)雜性，在維持原有收斂速度甚至提高速度的情況下，能夠很好地?cái)[脫局部最優(yōu)值，提升尋找全局最優(yōu)值的性能.

3實(shí)驗(yàn)分析

3.1實(shí)驗(yàn)拓?fù)?/p>

全面采集網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)并充分考慮多方面信息，進(jìn)而選擇合適的態(tài)勢(shì)數(shù)據(jù)字段組成態(tài)勢(shì)指標(biāo)，這是進(jìn)行準(zhǔn)確態(tài)勢(shì)理解[25]的重要保證.為了數(shù)據(jù)獲取的真實(shí)性，本文搭建了一個(gè)小型網(wǎng)絡(luò)環(huán)境.實(shí)驗(yàn)環(huán)境拓?fù)淙鐖D4所示，包括七臺(tái)主機(jī)，五個(gè)網(wǎng)絡(luò)組件和兩套NSSA數(shù)據(jù)獲取工具，其中三臺(tái)主機(jī)進(jìn)行服務(wù)器模擬，包括了Web服務(wù)、FTP服務(wù)和database服務(wù).

3.2數(shù)據(jù)采集

網(wǎng)絡(luò)安全態(tài)勢(shì)感知旨在實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的全面掌握，需要對(duì)反映網(wǎng)絡(luò)安全狀態(tài)的數(shù)據(jù)進(jìn)行全面的獲取.本文考慮了漏洞信息、攻擊信息、流量信息三個(gè)方面，提出了NSSA數(shù)據(jù)獲取集成工具，包括Nessus、Snort和Netflow.NSSA數(shù)據(jù)獲取集成工具對(duì)網(wǎng)絡(luò)的基本運(yùn)行、正在面臨的攻擊和潛在的安全隱患進(jìn)行全面的測(cè)評(píng)，為態(tài)勢(shì)要素提取提供了強(qiáng)有力的支持.

NSSA數(shù)據(jù)獲取工具對(duì)網(wǎng)絡(luò)中節(jié)點(diǎn)的態(tài)勢(shì)數(shù)據(jù)進(jìn)行采集，剔除缺失數(shù)據(jù)，生成態(tài)勢(shì)要素?cái)?shù)據(jù)集SDS-W.SDS-W數(shù)據(jù)集包含了各類網(wǎng)絡(luò)安全數(shù)據(jù)信息，共37個(gè)字段，數(shù)據(jù)格式如表2所示.

3.3實(shí)驗(yàn)結(jié)果

本文為了全面分析PSO-TSA算法在態(tài)勢(shì)要素識(shí)別上的性能，將實(shí)驗(yàn)分為兩個(gè)部分.一部分實(shí)驗(yàn)采用現(xiàn)有的開放網(wǎng)絡(luò)安全數(shù)據(jù)集，包括KDD99、NSL- KDD和UNSW-NB 15;另一部分實(shí)驗(yàn)采用本文模擬的實(shí)驗(yàn)環(huán)境所獲取到的態(tài)勢(shì)要素?cái)?shù)據(jù)集SDS-W.本文選取五種在態(tài)勢(shì)要素識(shí)別領(lǐng)域應(yīng)用較多并且較為經(jīng)典的算法與PSO-TSA算法進(jìn)行比較，包括支持向量機(jī)（SVM）、分類決策樹（CART）、線性慣性權(quán)重粒子群算法（LDPSO）、BP神經(jīng)網(wǎng)絡(luò)、循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN）.實(shí)驗(yàn)結(jié)果如表3和表4所示.

KDD99數(shù)據(jù)集包含了四種攻擊類型和一種正常狀態(tài)，訓(xùn)練集共494 021個(gè)，測(cè)試集共331 029個(gè);NSL-KDD數(shù)據(jù)集包含四種攻擊類型和一種正常狀態(tài)，訓(xùn)練集共125 973個(gè)，測(cè)試集22 544個(gè);UNSW- NB 15數(shù)據(jù)集為二分類集合，包含訓(xùn)練集175 341個(gè)和測(cè)試集82 332個(gè).本文獲取的SDS-W數(shù)據(jù)集為二分類集合，包含訓(xùn)練集148 957個(gè)和測(cè)試集51 043個(gè).

由表3可知，在開放網(wǎng)絡(luò)安全數(shù)據(jù)集的實(shí)驗(yàn)中，相較于SVM、BP和RNN，PSO-TSA在KDD99數(shù)據(jù)集上的訓(xùn)練時(shí)間和測(cè)試時(shí)間上都體現(xiàn)了明顯的優(yōu)越性.從訓(xùn)練準(zhǔn)確率和測(cè)試準(zhǔn)確率來看，六種算法在KDD99數(shù)據(jù)集上的性能表現(xiàn)相差不大.在NSL-KDD 數(shù)據(jù)集上，PSO-TSA在訓(xùn)練時(shí)間、測(cè)試時(shí)間和測(cè)試準(zhǔn)確率上有了明顯提升.在UNSW-NB 15數(shù)據(jù)集上，PSO-TSA在四項(xiàng)性能指標(biāo)中都有明顯的優(yōu)勢(shì)，尤其在大幅度縮小測(cè)試時(shí)間的基礎(chǔ)上，對(duì)測(cè)試準(zhǔn)確度也有了顯著的改進(jìn).整體來看，PSO-TSA雖然在各個(gè)數(shù)據(jù)集上的識(shí)別準(zhǔn)確率略遜于BP神經(jīng)網(wǎng)絡(luò)和RNN，但是在時(shí)間成本上具有明顯的優(yōu)勢(shì);與同類型的LDPSO相比較，在測(cè)試準(zhǔn)確率有小幅提升的情況下，時(shí)間成本極大減少.

由表4可知，在本文搭建的小型網(wǎng)絡(luò)環(huán)境所采集的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)集SDS-W上，PSO-TSA在各項(xiàng)性能指標(biāo)上的表現(xiàn)比較突出.與SVM、CART、LDPSO相比，在時(shí)間成本和識(shí)別精確度上都有比較好的表現(xiàn).與BP和RNN神經(jīng)網(wǎng)絡(luò)算法相比，雖然在準(zhǔn)確率上有1%～2%的下降，但是其時(shí)間成本不到這兩種算法的10%.

總的來說，PSO-TSA在開放網(wǎng)絡(luò)安全數(shù)據(jù)集上的整體表現(xiàn)比較好，在個(gè)別數(shù)據(jù)集上全面優(yōu)于實(shí)驗(yàn)中的其他五種算法.在本文搭建的模擬網(wǎng)絡(luò)環(huán)境中，對(duì)于采集到的網(wǎng)絡(luò)安全數(shù)據(jù)集SDS-W，PSO-TSA在識(shí)別精度保持一定的基礎(chǔ)上，時(shí)間成本大幅降低.

4結(jié)語

本文提出了一種融合粒子群和模擬退火的網(wǎng)絡(luò)安全態(tài)勢(shì)要素識(shí)別模型PSO-TSA，用于對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)要素進(jìn)行快速準(zhǔn)確的識(shí)別.首先分析了粒子群算法和模擬退火中的Metropolis準(zhǔn)則，討論了兩者結(jié)合的可能性.接著提出了以粒子群為基礎(chǔ)，在位置更新和參數(shù)選擇階段三次引入Metropolis準(zhǔn)則的全新融合算法.然后從測(cè)試函數(shù)的角度證明了PSO-TSA 算法比其他PSO改進(jìn)算法在避免陷入局部最優(yōu)解的方面具有更優(yōu)的效果.最后為了實(shí)驗(yàn)數(shù)據(jù)更加逼近實(shí)際網(wǎng)絡(luò)環(huán)境，搭建了一個(gè)小型網(wǎng)絡(luò)環(huán)境，用于獲取全新的網(wǎng)絡(luò)安全態(tài)勢(shì)要素?cái)?shù)據(jù)集SDS-W.從現(xiàn)有開放網(wǎng)絡(luò)安全數(shù)據(jù)集和全新態(tài)勢(shì)要素?cái)?shù)據(jù)集SDS-W 兩方面，將PSO-TSA與幾種常見的態(tài)勢(shì)要素識(shí)別算法進(jìn)行對(duì)比實(shí)驗(yàn).實(shí)驗(yàn)表明，PSO-TSA算法在絕大多數(shù)的態(tài)勢(shì)要素?cái)?shù)據(jù)集中的性能表現(xiàn)都要優(yōu)于其他識(shí)別算法，在維持甚至大幅度降低原有時(shí)間成本的基礎(chǔ)上，顯著提升了態(tài)勢(shì)要素識(shí)別的精確度.

未來的工作將討論在現(xiàn)有態(tài)勢(shì)要素識(shí)別的基礎(chǔ)上，如何將識(shí)別后的要素更快、更準(zhǔn)確地進(jìn)行態(tài)勢(shì)理解，從而對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)有一個(gè)更直觀有效的表達(dá)，為之后的決策、分析提供強(qiáng)有力的支持.

參考文獻(xiàn)

[1]劉效武，王慧強(qiáng)，賴積保，等.基于多源異質(zhì)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)生成與評(píng)價(jià)[J].系統(tǒng)仿真學(xué)報(bào)，2010，22（6）：1411-1415.

LIU X W，WANG HQ，LAIJB，et al. Network security situation generation and evaluation based on heterogeneous multi-sensor fusion[J]. Journal of System Simulation ，2010，22（6）：1411-1415 .（In Chinese）

[2]胡志剛，常健，周舟.面向云環(huán)境中任務(wù)負(fù)載的粒子群優(yōu)化調(diào)度策略[J].湖南大學(xué)學(xué)報(bào)（自然科學(xué)版），2019，46（8）：117-123.

HU Z G，CHANG J，ZHOU Z. PSO scheduling strategy for task load in cloud computing[J]. Journal of Hunan University （Natural Sciences），2019，46（8）：117-123 .（In Chinese）

[3]郭思源，劉海峰，李理，等.基于混合粒子群算法的PSS4B參數(shù)優(yōu)化研究[J].湖南大學(xué)學(xué)報(bào)（自然科學(xué)版），2018，45（4）：112-121.

GUO S Y，LIU H F，LI L，et al. Research on parameter optimization of PSS4B based on hybrid particle swarm algorithm[J].Journal of Hunan University（Natural Sciences），2018，45（4）：112- 121 .（In Chinese）

[4] MATHEUS C J，KOKAR M M，BACLAWSKI K. A core ontology for situation awareness [C]//6th International Conference on Information Fusion. Cairns，Australia：IEEE Computer Society，2003：545-552.

[5] JIN W，SRIHARI R K，WU X. Mining concept associations for knowledge discovery through concept chain queries [J]. International Journal of Computer Applications in Technology，2007，29（2/3/4）：243-246.

[6]劉玉嶺，馮登國，連一峰，等.基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J].計(jì)算機(jī)研究與發(fā)展，201 51（8）：1681-1694. LIU Y L，F(xiàn)ENG D G，LIAN Y F，et al. Network situation prediction method based on spatial-time dimension analysis [J]. Journal of Computer Research and Development，201 51（8）：1681-1694.（In Chinese）

[7] KAUFMAN C，PERLMAN R J，SPECINER M. Network security：private communication in a public world [M]. Pearson Education India，2016.

[8] BAZRAFKAN M H ，GHARAEE H ，ENAYATI A. National cyber situation awareness model[C]//2018 9th International Symposium on Telecommunications （IST）. Tehran，Iran：IEEE，2018：216-220.

[9]ECKHART M，EKELHART A，WEIPPL E. Enhancing cyber situational awareness for cyber-physical systems through digital twins [C]//2019 24th IEEE International Conference on Emerging Technologies and Factory Automation. Zaragoza，Spain：IEEE ，2019 ：1222-1225.

[10] DEBATTY T，MEES W.Building a cyber range for training CyberDefense situation awareness [C]//2019 International Conference on Military Communications and Information Systems （ICMCIS）.Budva，Montenegro：IEEE，2019：1-6.

[11] WANG H Q，LIANG Y，YE H Z. An extraction method of situational factors for network security situational awareness[C]//2008 International Conference on Internet Computing in Science and Engineering.Harbin，China：IEEE，2008：317-320.

[12]賴積保，王慧強(qiáng)，鄭逢斌，等.基于DSimC和EWDS的網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取方法[J].計(jì)算機(jī)科學(xué)，2010，37（11）：64-69.

LAI J B，WANG H Q，ZHENG F B，et al.Network security situation element extraction method based on DSimC and EWDS [J]. Computer Science，2010，37（11）：64-69 .（In Chinese）

[13]司成，張紅旗，汪永偉，等.基于本體的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型研究J].計(jì)算機(jī)科學(xué)，2015，42（5）：173-177.

SI C，ZHANG H Q，WANG Y W，et al.Research on network security situational elements knowledge base model based on ontol- ogy[J].Computer Science，2015，42（5）：173-177.（In Chinese）[14]劉效武，王慧強(qiáng)，呂宏武，等.網(wǎng)絡(luò)安全態(tài)勢(shì)認(rèn)知融合感控模型[J].軟件學(xué)報(bào)，2016，27（8）：2099-2114.

LIU X W，WANG H Q，LU H W，et al. Fusion-based cognitive awareness-control model for network security situation[J].Journal of Software，2016，27（8）：2099-2114.（In Chinese）

[15]戚犇，王夢(mèng)迪.基于信息增益的貝葉斯態(tài)勢(shì)要素提取J].信息網(wǎng)絡(luò)安全，2017（9）：54-57.

QI B，WANG M D.A method using information gain and na?veBayes to extract network situation information[J].Netinfo Security，2017（9）：54-57.（In Chinese）

[16] ZHANG P，HAN X，ZHANG D J，et al.A security situation awareness system based on wide & deep [C]//2018 5th IEEE International Conference on Cloud Computing and Intelligence Systems. Nanjing，China ：IEEE，2018 ：107-111.

[17] XU Y B，WANG W J.A security situational awareness method for cloud platform[ C]//2019 IEEE 5th International Conference on Computer and Communications.Chengdu，China：IEEE，2019：1927-1934.

[18]段詠程，王雨晴，李欣，等.基于RSAR的隨機(jī)森林網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取[J].信息網(wǎng)絡(luò)安全，2019（7）：75-81.

DUAN Y C，WANG Y Q，LI X，et al.RSAR-based random forest network security situation factor extraction[J].Netinfo Security，2019（7）：75-81.（In Chinese）

[19] ZHAO Z W，ZHOU T T，WANG H. Quantitative evaluation model of network security situation based on D-S evidence theory [C]//2019 6th International Conference on Dependable Systems and Their Applications （DSA）. Harbin，China：IEEE，2020：371-376.

[20] KENNEDY J，EBERHART R.Particle swarm optimization[ C]// Proceedings of ICNN ，95 —International Conference on Neural Networks.Perth，WA，Australia：IEEE，1995：1942-1948.

[21] XIE X F，ZHANG W J，YANG Z L.Hybrid particle swarm optimizer with mass extinction[C]//IEEE 2002 International Conference on Communications，Circuits and Systems and West Sino Expositions.Chengdu，China：IEEE，2002：1170-1173.

[22] ZHU J R，ZHAO J B，LI X N.A new adaptive particle swarm optimization algorithm[C]//2008 International Workshop on Model- ling，Simulation and Optimization.Hong Kong，China：IEEE，2008：456-458.

[23] HU X M，XU H J，XU J，et al.A novel workshop layout optimization algorithm based on SA-PSO[C]//2018 2nd IEEE Advanced Information Management，Communicates，Electronic and Automation Control Conference. Xi，an，China：IEEE，2018：2431- 2435.

[24] DONG J，CHEN X，ZHANG J Q，et al.Global path planning algorithm for USV based on IPSO-SA [C]//2019 Chinese Control and Decision Conference（CCDC）.Nanchang，China：IEEE，2019：2614-2619.

[25]龔儉，臧小東，蘇琪，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J].軟件學(xué)報(bào)，2017，28（4）：1010-1026.

GONG J，ZANG X D，SU Q，et al. Survey of network security situation awareness[J] . Journal of Software，2017，28（4）：1010-1026.（In Chinese