謝凱 代康

摘要：常規(guī)的感知方法在感知通信網(wǎng)絡(luò)安全態(tài)勢時，感知準確率偏低，且感知精度容易受到網(wǎng)絡(luò)環(huán)境干擾因素影響。針對這一問題，本文提出了基于RBF神經(jīng)網(wǎng)絡(luò)的通信網(wǎng)絡(luò)安全態(tài)勢感知方法，將Suricata、Shellcodes等多種探測器應(yīng)用到通信網(wǎng)絡(luò)中，用于探測網(wǎng)絡(luò)流量數(shù)據(jù)，并提取數(shù)據(jù)特征；基于RBF神經(jīng)網(wǎng)絡(luò)計算網(wǎng)絡(luò)攻擊發(fā)生概率，根據(jù)計算結(jié)果，評估和感知通信網(wǎng)絡(luò)的安全態(tài)勢。通過對比實驗證明，新的感知方法與現(xiàn)有方法相比感知準確率更高，且對通信網(wǎng)絡(luò)中的影響因素具有極強的抗干擾能力，可以保證感知結(jié)果的精度。

關(guān)鍵詞：RBF神經(jīng)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全態(tài)勢；感知方法；通信網(wǎng)絡(luò)

引言

隨著無線通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)覆蓋范圍的不斷擴大，在不同信息接口之間，存在著海量的數(shù)據(jù)，這些數(shù)據(jù)也包含了許多私密的數(shù)據(jù)[1]。目前，人類所生成的海量數(shù)據(jù)呈幾何倍數(shù)增長，但在現(xiàn)實工作與生活中，此類數(shù)據(jù)隨時都會受到來自網(wǎng)絡(luò)的攻擊，從而引發(fā)了大量的網(wǎng)絡(luò)安全問題。根據(jù)社會調(diào)查，我國每年都有大量的信息泄露，并且呈直線上升的趨勢。網(wǎng)絡(luò)數(shù)據(jù)的安全性給企業(yè)造成了巨大的經(jīng)濟損失，這一點不容忽視[2]。有效地對網(wǎng)絡(luò)中的數(shù)據(jù)進行預(yù)測和識別，是保障網(wǎng)絡(luò)數(shù)據(jù)安全的關(guān)鍵。然而，現(xiàn)有的感知方式在安全檢測時，由于對信息的敏感度不夠，導(dǎo)致對信息安全狀態(tài)的估計與真實狀態(tài)之間的偏差很大，嚴重影響了無線通信網(wǎng)絡(luò)的安全狀態(tài)[3]。因此，針對通信網(wǎng)絡(luò)進行安全態(tài)勢感知具有十分重要的意義?；诖?，本文引入RBF神經(jīng)網(wǎng)絡(luò)，針對通信網(wǎng)絡(luò)安全態(tài)勢感知方法展開設(shè)計與研究。

1. 通信網(wǎng)絡(luò)流量數(shù)據(jù)探測與數(shù)據(jù)特征提取

流量探測是以當前的網(wǎng)絡(luò)結(jié)構(gòu)為基礎(chǔ)，在網(wǎng)絡(luò)中布置各種探測器，并根據(jù)每個探測器的探測結(jié)果差異，對通過網(wǎng)絡(luò)的數(shù)據(jù)包進行統(tǒng)計分析。Netflow探測器是一種應(yīng)用于網(wǎng)絡(luò)接入端的網(wǎng)絡(luò)，用于對網(wǎng)絡(luò)接入端進行采集和處理[4]。Suricata探測器和Snort探測器都是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，但二者的探測重點和探測原理不同，一般根據(jù)監(jiān)測的需求部署到相應(yīng)的交換機或路由器等設(shè)備上。在提取數(shù)據(jù)特征時要求必須實現(xiàn)對通信網(wǎng)絡(luò)的全面覆蓋，針對異常態(tài)勢特征，對非數(shù)值特征進行數(shù)據(jù)化處理，并在遵循歸一化數(shù)值特征合理化原則的基礎(chǔ)上，為通信網(wǎng)絡(luò)安全態(tài)勢感知核心屬性提供幫助。對于數(shù)值特征的歸一化處理，可將公式（1）作為依據(jù)：式中，F(xiàn)表示經(jīng)過歸一化處理后的數(shù)據(jù)特征；P表示定義特征值；ι表示特征數(shù)據(jù)長度；β表示數(shù)據(jù)特征標準值。

在完成對特征數(shù)據(jù)的歸一化處理后，針對不同的探測器功能，有針對性地從每一個探測器中提取核心屬性[5]。每一個核心屬性當中都包含一個五元組，五元組由protocol、sport、sip、doprt和dip組成。除此之外，在Netflow探測器中除了包含上述五元組外，還包含結(jié)束時間屬性（ltime）、數(shù)據(jù)包數(shù)量屬性（pkt）、數(shù)據(jù)包大小屬性（byt）等。Suricata探測器當中，除了包含上述五元組外，還包含服務(wù)類型屬性（service）、數(shù)據(jù)包大小屬性（byt）等。

為了能夠進一步提升本文感知方法的性能，聚焦異常感知活動特征，針對上述兩種探測器，分別增加attack_num新屬性[6]。

對數(shù)據(jù)進行預(yù)處理，主要有對非數(shù)字屬性進行數(shù)量化和對數(shù)字屬性進行標準化。對非數(shù)字屬性進行數(shù)字表示時，通常使用兩種方法：One-Hot Encoding和Label Encoding。One-Hot Encoding一般適用于類與類間無次序關(guān)系的特性；Label Encoding可以應(yīng)用于針對數(shù)據(jù)類別之間具有順序關(guān)系的特征，對其進行處理。由于本文中的非數(shù)字屬性之間沒有顯著次序關(guān)系，因此，利用獨熱編碼的方式，把非數(shù)字屬性的值轉(zhuǎn)換成以“0”“1”兩種形式代表的陣列，陣列的尺寸取決于不同類型的屬性個數(shù)，One-Hot Encoding可以從某種意義上實現(xiàn)對特征的增益[7]。通過標準化處理數(shù)字屬性，可以有效克服因?qū)傩宰兞烤S度差異而產(chǎn)生的錯誤。

2. 基于RBF神經(jīng)網(wǎng)絡(luò)計算攻擊發(fā)生概率

將提取到的數(shù)據(jù)特征作為依據(jù)，為實現(xiàn)對通信網(wǎng)絡(luò)中攻擊發(fā)生概率的計算，為后續(xù)感知提供憑證，引入RBF神經(jīng)網(wǎng)絡(luò)，科學(xué)地訓(xùn)練由核心屬性到攻擊類別的模型，以此獲取異常態(tài)勢中不同類型攻擊發(fā)生概率[8]。RBF神經(jīng)網(wǎng)絡(luò)可以利用徑向基函數(shù)實現(xiàn)特征提取，徑向基函數(shù)在同一通道上進行滑動位移，不得跨通道進行運算。

在本文設(shè)計的態(tài)勢感知方法當中設(shè)置的決策引擎包含5個徑向基函數(shù)層，其基本運算見公式（2）。

式中，RBF（x，y）表示對應(yīng)徑向基函數(shù)的輸出元素所在空間坐標；p×q表示徑向卷積函數(shù)徑向大小，其中p表示長、q表示寬；Wi表示徑向基函數(shù)權(quán)重；Vi表示RBF神經(jīng)網(wǎng)絡(luò)的輸入數(shù)據(jù)值；b表示偏置。在此基礎(chǔ)上，提出了一種新的網(wǎng)絡(luò)模型，該模型具有去除冗余信息、減少數(shù)據(jù)維度、壓縮數(shù)據(jù)特性、降低網(wǎng)絡(luò)復(fù)雜度等功能[9]。

常用的網(wǎng)絡(luò)分類器運算包括最大分類器、平均分類器、L2分類器。由于徑向基函數(shù)層自身可以完成對局部特征的提取，而池化層可以將局部信息進行更深入的提取，并且對局部特征進行了深度的壓縮，從而容易造成信息的損失。在這個過程中，每個探測器在經(jīng)過提煉數(shù)據(jù)的編碼之后，其最大的特征維度為42維，但是屬性維度卻很小。經(jīng)過多次的訓(xùn)練對比得出，在這個過程中，增加池化的效果并不好，所以在這個過程中，決策引擎并沒有增加池化層。在完全連通的層次上，通過對卷積、池化兩個層次的特征進行融合，實現(xiàn)對局部特征的重構(gòu)，提高了模型的表達能力，通過上述運算，RBF神經(jīng)網(wǎng)絡(luò)輸出的結(jié)果即為網(wǎng)絡(luò)攻擊發(fā)生概率計算結(jié)果。

3. 通信網(wǎng)絡(luò)安全態(tài)勢評估與感知

基于上述網(wǎng)絡(luò)攻擊發(fā)生概率計算結(jié)果，對通信網(wǎng)絡(luò)安全態(tài)勢進行評估和感知。借助Snort威脅等級劃分激勵，采用一種基于層次結(jié)構(gòu)的網(wǎng)絡(luò)分析方法，實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的可視化展示，并通過對通信網(wǎng)絡(luò)狀態(tài)的分析感知網(wǎng)絡(luò)安全態(tài)勢。攻擊的威脅性定量是通過分析各種類型的攻擊對整個網(wǎng)絡(luò)造成的傷害，從而對各種類型的攻擊所造成的傷害進行有效的定量。對網(wǎng)絡(luò)安全狀況進行科學(xué)評價，是實現(xiàn)對網(wǎng)絡(luò)安全形勢的正確判斷的前提。深度挖掘Snort入侵檢測探測器對警報類型的威脅級別進行分類的機制，并從中提取出威脅級別的劃分原理，并對威脅級別進行了劃分。共劃分三個威脅等級，分別為高威脅等級、中威脅等級和低威脅等級。在真實通信網(wǎng)絡(luò)環(huán)境中，態(tài)勢具有動態(tài)變化特征，因此在某一時間窗口上，某一主機的第種服務(wù)態(tài)勢可以用公式（3）表示：式中，Skj（t）表示t時間窗口第k個主機第j種服務(wù)的態(tài)勢感知結(jié)果；p（attacki）表示發(fā)生攻擊的概率；f（attacki）表示威脅值。根據(jù)上述運算得到最終感知結(jié)果。

4. 對比實驗

本文上述研究針對當前通信網(wǎng)絡(luò)中存在的安全風險問題，引入RBF神經(jīng)網(wǎng)絡(luò)，提出了一種全新的安全態(tài)勢感知方法。為了進一步驗證這一方法的應(yīng)用性能，以及是否能夠解決現(xiàn)有感知方法在實際應(yīng)用中存在的問題，開展下述對比實驗研究：實驗中將本文提出的感知方法作為實驗組，將基于Bio-PEPA的感知方法作為對照I組，將基于大數(shù)據(jù)的感知方法作為對照II組。利用三種感知方法在相同實驗環(huán)境和實驗條件下，對同一通信網(wǎng)絡(luò)進行安全態(tài)勢感知。

實驗選擇將UNSW-NB19數(shù)據(jù)集作為此次實驗的實驗數(shù)據(jù)集，該數(shù)據(jù)集的持續(xù)時間為8小時25分鐘，按照每5分鐘為一個時間窗口計算，實驗數(shù)據(jù)集當中共包含250000條數(shù)據(jù)。此次實驗選擇該數(shù)據(jù)集當中的150000條作為感知對象，將三種感知方法的訓(xùn)練集和測試集的比例均設(shè)置為5∶3。在該數(shù)據(jù)集當中包含的數(shù)據(jù)可以實現(xiàn)對通信網(wǎng)絡(luò)真實場景的描述，描述的通信網(wǎng)絡(luò)規(guī)模較大，主機數(shù)量較多，攻擊類型豐富。數(shù)據(jù)集當中包含了通信網(wǎng)絡(luò)的正常流量以及存在異常的9種攻擊流量，如表1所示。

為了更好地衡量三種感知方法的性能，選擇將感知結(jié)果的準確率ACC作為衡量指標，準確率ACC的計算公式見公式（4）。式中，TP表示感知結(jié)果中正類樣本被判定為正類的數(shù)量；TN表示感知結(jié)果中負類樣本被判定為負類的數(shù)量；FN表示感知結(jié)果中正類樣本被判定為負類樣本的數(shù)量；表示感知結(jié)果中負類樣本被判定為正類樣本的數(shù)量。公式（4）中，TP、TN、FP、FN均未混淆矩陣中的參數(shù)。通過對各項參數(shù)的記錄，根據(jù)上述公式計算得出準確率，針對10種不同類型的流量數(shù)據(jù)，將三者中感知方法感知結(jié)果的準確率記錄如表2所示。

從得到的三種感知方法感知結(jié)果準確率記錄結(jié)果可以看出，實驗組方法針對每一種類型數(shù)據(jù)的感知準確率均高于90%，并且針對normal類型數(shù)據(jù)可以實現(xiàn)100%的準確；對照I組和對照II組方法針對每一種類型的感知準確率僅能夠達到50%～70%范圍。由此可以看出，實驗組感知方法的感知準確率更高，感知精度更高。在上述實驗基礎(chǔ)上，為進一步對比三種感知方法的抗干擾能力，對通信網(wǎng)絡(luò)環(huán)境中的干擾項進行設(shè)置，共設(shè)置三種干擾條件，第一組：噪聲為1.0254，方差為4.253e-02，感知門限為1.023；第二組：噪聲為1.2534，方差為0.0015，感知門限為1.3256；第三組：噪聲為1.5236，方差為4.1253e-02，感知門限為1.1253。針對上述三種實驗條件，應(yīng)用三種感知方法對上述包含10種類型數(shù)據(jù)的實驗數(shù)據(jù)集進行感知，并記錄每次感知結(jié)果的偏移系數(shù)：

式中，h表示感知結(jié)果的偏移系數(shù)；d表示感知門限；s表示方差。根據(jù)公式（5），計算得出的感知結(jié)果偏差系數(shù)記錄如圖1所示。

從圖1三條折線可以看出，在三種不同的通信網(wǎng)絡(luò)環(huán)境中，實驗組感知方法的感知結(jié)果偏移系數(shù)始終控制在0.10以下，而另外兩種感知方法感知結(jié)果的偏移系數(shù)均超過0.15，且在不同干擾條件下偏移系數(shù)也存在較大差別。根據(jù)“感知結(jié)果的偏移系數(shù)越大，感知結(jié)果精度越??；感知結(jié)果的偏移系數(shù)越小，感知結(jié)果的精度越大”這一理論可得，本文設(shè)計的感知方法具備更高的感知精度，且對通信網(wǎng)絡(luò)環(huán)境中存在的干擾因素具備極高的抗干擾能力。綜合上述兩方面得到的實驗結(jié)果證明，本文設(shè)計的基于RBF神經(jīng)網(wǎng)絡(luò)的感知法方法與現(xiàn)有感知方法相比具備更高的感知精度，且對通信網(wǎng)絡(luò)中干擾因素的影響具備極高的抗干擾能力，能夠確保最終得到的感知結(jié)果更符合實際，為通信網(wǎng)絡(luò)的運維管理提供更加可靠的事實依據(jù)。

結(jié)語

當前信息化的快速發(fā)展使得通信網(wǎng)絡(luò)逐漸成為繼陸?？仗熘蟮牡谖宕箢I(lǐng)域空間。為確保通信網(wǎng)絡(luò)環(huán)境的安全，本文結(jié)合RBF神經(jīng)網(wǎng)絡(luò)，設(shè)計了一種全新的通信網(wǎng)絡(luò)安全態(tài)勢感知方法，并通過將該方法與其他現(xiàn)有感知方法的對比驗證了該感知方法的應(yīng)用性能。盡管將RBF神經(jīng)網(wǎng)絡(luò)引入網(wǎng)絡(luò)環(huán)境，可以提高攻擊辨識能力和局勢計算精度，為信息環(huán)境下的局勢感知提供新的途徑，但是也帶來了更多的計算參數(shù)，使得感知的效率在一定程度上受到影響。因此，為了能夠在后續(xù)實現(xiàn)對通信網(wǎng)絡(luò)更加全面、細致、高精度和高效率的感知，針對當前存在的問題，在后續(xù)研究中還將進行更深入探索，從而促進感知方法的應(yīng)用適應(yīng)性得到進一步提升，為通信網(wǎng)絡(luò)安全提供更有力的保障。

參考文獻：

[1]沈瀟軍，蔡晴，婁佳，等.基于Bio-PEPA的光纖網(wǎng)絡(luò)安全態(tài)勢動態(tài)計算系統(tǒng)[J].激光雜志，2023，44（2）：169-173.

[2]王偉.面向虛擬化網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢要素提取及安全態(tài)勢預(yù)測應(yīng)用[J].電視技術(shù)，2023，47（1）：177-182.

[3]于燁，吳佳靜，馬國武，等.基于鯨魚算法改進支持向量機的信息網(wǎng)絡(luò)安全態(tài)勢預(yù)測研究[J].微型電腦應(yīng)用，2022，38（12）：107-110.

[4]榮文晶，李帥，彭輝，等.基于時空關(guān)聯(lián)的核電5G網(wǎng)絡(luò)安全態(tài)勢感知方法研究[J].電子產(chǎn)品可靠性與環(huán)境試驗，2022，40（S2）：1-5.

[5]宋錦平.鐵路局集團公司客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的研究[J].鐵路計算機應(yīng)用，2022，31（8）：62-65.

[6]劉宇萌.基于深度學(xué)習的無線通信網(wǎng)絡(luò)數(shù)據(jù)安全態(tài)勢感知研究[J].信息記錄材料，2022，23（8）：182-185.

[7]郭璇.基于直覺模糊集的無線網(wǎng)絡(luò)傳輸層安全態(tài)勢要素識別方法[J].自動化與儀器儀表，2022，（7）：54-57，61.

[8]肖鵬，王柯強，黃振林.基于IABC和聚類優(yōu)化RBF神經(jīng)網(wǎng)絡(luò)的電力信息網(wǎng)絡(luò)安全態(tài)勢評估[J].智慧電力，2022，50（6）：100-106.

[9]劉巖，韓璐，李娜.聯(lián)邦學(xué)習和證據(jù)理論在智慧城市網(wǎng)絡(luò)安全態(tài)勢感知中的應(yīng)用研究[J].電腦知識與技術(shù)，2022，18（15）：22-24.

作者簡介：謝凱，本科，講師，研究方向：電子與通信工程。