摘要：針對日益復雜的網絡攻擊、安全風險，以及網絡安全態(tài)勢感知模型的感知檢測率低、效果差等問題，本文提出并設計了一種基于決策樹的新型網絡安全態(tài)勢感知系統(tǒng)。該系統(tǒng)的設計分為軟件、硬件兩個部分。其中，系統(tǒng)硬件部分通過對系統(tǒng)日志的采集和處理實現(xiàn)對數(shù)據(jù)的訪問；在軟件設計過程中引入決策樹，搭建了網絡安全態(tài)勢感知模型，并借助歸一化異構修正，實現(xiàn)對網絡安全態(tài)勢感知的優(yōu)化和軟件流程設計。經仿真結果證明：本文設計的系統(tǒng)具有較高的網絡安全態(tài)勢感知準確率，能夠有效滿足用戶需求。

關鍵詞：決策樹；網絡安全；安全態(tài)勢感知；數(shù)據(jù)處理

一、引言

近年來，隨著云計算、大數(shù)據(jù)等技術的快速發(fā)展，網絡數(shù)據(jù)流量呈幾何式上漲。其在為人們生活提供便利的同時，海量的復雜數(shù)據(jù)也帶來了嚴重的網絡安全問題。因此，如何高效、精準地實現(xiàn)網絡安全態(tài)勢感知，成為相關學者重點關注的課題。決策樹（Decision Tree）是一個流程圖形式的樹結構，它利用對自身內部的每個節(jié)點屬性測試的方式，確定最終結果，并將其在類標簽上進行呈現(xiàn)[1]。鐘云勝針對網絡安全態(tài)勢感知存在的感知檢出率低的問題，提出了一種基于決策樹算法的網絡安全態(tài)勢感知優(yōu)化方法。該方法通過引入決策樹算法，實現(xiàn)對定向感知特征的提取，搭建對應優(yōu)化模型，并進行歸一化處理，以達到優(yōu)化安全態(tài)勢的目的[2]。林立鑫針對網絡安全風險問題，提出了一種基于改進決策樹的網絡安全態(tài)勢感知方法。該方法通過利用改進后的決策樹算法實現(xiàn)對網絡安全態(tài)勢要素的提取，并利用D-S證據(jù)理論對其結果量化，從而達到提高網絡安全和感知水平的目的[3]。但這兩種方法的設計效果都低于預期目標。

基于此，本文提出了一種基于決策樹的網絡安全態(tài)勢感知系統(tǒng)設計方案，并對該系統(tǒng)進行了仿真測試，最終結果證明：本系統(tǒng)具有較高的網絡安全態(tài)勢檢測率，能夠更好地實現(xiàn)對網絡中攻擊行為的準確判定。

二、決策樹概述

（一）決策樹模型設計

由圖1結構可知，本文設計的決策樹自上而下?lián)碛卸鄠€節(jié)點，這些節(jié)點互相之間不存在關聯(lián)，且每一個單獨的決策節(jié)點都表示單個屬性的最終測試結果。

簡單來說，決策樹是由大量決策節(jié)點形成森林，而通過森林中的決策樹可以對輸入的樣本類別進行判別、對數(shù)據(jù)的安全態(tài)勢進行感知，以此來確定網絡數(shù)據(jù)的攻擊類型。決策樹的樹葉代表不同類型的分布方式，決策樹的頂端節(jié)點則代表主節(jié)點，它能夠實現(xiàn)對不同數(shù)據(jù)樣本的分類，而樹杈分支則代表測試結果[4]。

（二）網絡安全態(tài)勢感知預處理設計

為解決網絡安全態(tài)勢感知過程中存在的感知環(huán)境影響問題，需要結合實際情況和感知需求，對網絡安全態(tài)勢感知環(huán)境進行預處理操作。

首先，在進行預處理時，需要搭建標準的定向感知邏輯，并在邏輯程序當中編寫對應的參數(shù)規(guī)則，如告警關聯(lián)編碼、規(guī)則、結構等，這樣一來，就能夠形成可控神經網絡。

其次，需要構建對應的感知矩陣，并將告警編碼轉化成感知矩陣的執(zhí)行向量，然后搭配Bayes技術，實現(xiàn)網絡安全態(tài)勢感知架構的搭建。

最后，借助采集到的相關數(shù)據(jù)和信息，對網絡態(tài)勢感知標準的迭代次數(shù)進行計算，具體公式如下：

式（1）中，網絡態(tài)勢感知標準迭代次數(shù)、感知范圍、告警距離、威脅環(huán)境、預設感知次數(shù)等分別以G、κ、、i、γ來表示。

結合上述內容，可以對網絡安全態(tài)勢感知的標準迭代次數(shù)進行計算。并且，還可以將其設定為感知迭代標準，從而構成多目標智能感知架構，實現(xiàn)對測定環(huán)境的預處理。

（三）定向感知特征提取設計

在定向感知特征提取設計中，考慮到同一種感知特征中可能存在感知威脅情況，因此，通過引入決策樹算法，能夠實現(xiàn)對定向感知特征，如信息種類、信息用戶、信息風險等的提取。

三、基于決策樹的網絡安全態(tài)勢感知系統(tǒng)設計及實現(xiàn)

（一）系統(tǒng)硬件設計

本文提出的基于決策樹的網絡安全態(tài)勢感知系統(tǒng)設計方案主要分為硬件和軟件兩個部分。其中，系統(tǒng)硬件部分也可以看作決策支持系統(tǒng)，它主要包括數(shù)據(jù)采集器、日志傳感器、分析器、決策器等。數(shù)據(jù)采集器、日志傳感器、決策器的設計，可以進一步確定網絡安全的安全域，并利用傳感器獲得計算機和網絡的現(xiàn)行狀況。這樣一來，當系統(tǒng)感知到網絡中存在異常安全問題時，數(shù)據(jù)采集器所采集的異常行為會借助傳感器將其發(fā)送到分析器當中，并將其分析結果上傳到數(shù)據(jù)庫當中，由不同的分析模塊對數(shù)據(jù)庫內部的數(shù)據(jù)進行分析，再通過決策器進行處理，以此來判別網絡是否安全[4]。

1.日志傳感器設計

該硬件能夠實現(xiàn)對基于決策樹的網絡安全態(tài)勢感知結果的初步分析、精簡，從中提取不同的要求，以此確保安全態(tài)勢感知的精度。簡單來說，此硬件可以對數(shù)據(jù)采集器采集到的網絡日志信息進行全面分析，并將對應的分析結果統(tǒng)一上傳到上一層應用中，為其提供數(shù)據(jù)支持。為了確保網絡日志信息不被破壞、惡意修改或者篡改，傳感器配置了檢測模塊和日志訪問協(xié)議，用于實時監(jiān)測網絡日志的狀況，從而確保系統(tǒng)的安全。

2.數(shù)據(jù)采集器設計

本文選擇SYSLOG數(shù)據(jù)采集器作為網絡安全態(tài)勢感知系統(tǒng)的采集器。此采集器內置的數(shù)據(jù)采集協(xié)議可以充分滿足大部分網絡安全設備在數(shù)據(jù)方面的需求。因此，基于決策樹的網絡安全態(tài)勢感知系統(tǒng)可以實現(xiàn)對不同網絡設備的數(shù)據(jù)采集。

此數(shù)據(jù)采集器設備還能夠實現(xiàn)對網絡日志信息和多線程數(shù)據(jù)的采集。配置網絡保護系統(tǒng)的采集器還可以實現(xiàn)對信息終端的轉換，借助數(shù)據(jù)處理工具，實現(xiàn)對采集的數(shù)據(jù)信息的自動過濾、分析，從而可以獲得不同類型的網絡日志信息。

（二）系統(tǒng)軟件設計

網絡安全態(tài)勢感知系統(tǒng)硬件設計工作完成之后，需要對系統(tǒng)軟件進行設計。本文通過引入決策樹實現(xiàn)系統(tǒng)軟件程序的設計。系統(tǒng)軟件工作流程如圖2所示。

利用安全態(tài)勢感知系統(tǒng)硬件中的數(shù)據(jù)采集器，可以獲得感知到的相關基礎數(shù)據(jù)信息。將這些基礎數(shù)據(jù)設置成基礎數(shù)據(jù)源，從而實現(xiàn)對網絡設備信息的統(tǒng)一、集中、分類處理。也可以通過拓撲結構、網絡協(xié)議、數(shù)據(jù)格式等獲取不同網絡的設備信息，并利用Snmp和syslog數(shù)據(jù)采集器實現(xiàn)對網絡中海量數(shù)據(jù)流量和網絡日志的全面采集分析。系統(tǒng)在完成態(tài)勢感知工作之后，還需要對得到的信息進行去噪和歸一化處理，以此為網絡安全事件的處理和關聯(lián)分析奠定基礎[6]。

為了解決安全態(tài)勢感知環(huán)境對最終感知效果造成的影響，需要結合實際感知需要，搭建預處理網絡安全態(tài)勢感知環(huán)境。首先，在對感知環(huán)境進行預處理時，需要構建定向感知邏輯，以此獲得對應告警的關聯(lián)規(guī)則、編碼和結構；進行邏輯程序設計，以此搭建一個可控的神經網絡。其次，通過搭建基礎網絡安全態(tài)勢感知矩陣，將告警編碼轉換成執(zhí)行向量，再利用Bayes技術，實現(xiàn)多維網絡安全態(tài)勢感知框架建設。考慮到同一種類型的感知特征會延伸出感知威脅，決策樹的應用能夠實現(xiàn)對定向感知特征，如數(shù)據(jù)種類、風險等的提取。

同時，利用感知系統(tǒng)對不同設備的數(shù)據(jù)進行處理和匹配，從而實現(xiàn)相關網絡信息的歸并處理。然后，將歸并處理后得到的不同數(shù)據(jù)值存儲在系統(tǒng)數(shù)據(jù)庫當中，設其為系統(tǒng)默認值，從而達到對數(shù)據(jù)處理的目的。如圖2所示，通過網絡安全態(tài)勢感知系統(tǒng)軟件程序中的定時功能，結合數(shù)據(jù)采集器，可以實現(xiàn)對網絡信息的整體處理，進一步確定網絡的安全態(tài)勢。利用網絡安全態(tài)勢標準指標，實現(xiàn)對安全態(tài)勢的一級指標、二級指標劃分；借助評估字典和動態(tài)化配置方法，實現(xiàn)對網絡安全態(tài)勢指標的分析，并根據(jù)系統(tǒng)硬件、數(shù)據(jù)源、算法庫等獲得具體安全態(tài)勢指標。再結合建立的評價分級標準，可以確定模糊矩陣；利用應用層分析法獲得對應的權重系數(shù)后，經對特征向量的歸一化處理之后，就可以得到綜合評價指標。因此，當網絡安全態(tài)勢感知系統(tǒng)感知到網絡中存在異常安全行為時，系統(tǒng)的安全響應模塊就會被觸發(fā)，并將態(tài)勢信息呈現(xiàn)給管理員，便于管理員更好地了解相關問題并及時采取響應措施。

（三）態(tài)勢感知歸一化修正

網絡安全態(tài)勢感知系統(tǒng)在對網絡數(shù)據(jù)進行感知時，受外部環(huán)境中不同因素的影響，可能會導致系統(tǒng)的態(tài)勢感知范圍或者命令發(fā)生錯誤。因此，可以通過設定的網絡感知節(jié)點對數(shù)據(jù)信息進行采集，從而搭建歸一化異構程序，使其和感知系統(tǒng)相關聯(lián)。當系統(tǒng)的感知出現(xiàn)異常時，就能夠通過對獲取到的信息和初始信息的對比分析，實現(xiàn)對存在的安全態(tài)勢感知誤差進行處理。歸一化處理修正流程如圖3所示。當程序設計完成后，可以將其安裝到網絡安全態(tài)勢感知系統(tǒng)當中，以此提高系統(tǒng)感知的準確率和網絡的安全性[7]。

四、仿真測試分析

（一）測試環(huán)境和參數(shù)

為了進一步驗證基于決策樹的網絡安全態(tài)勢感知系統(tǒng)的實際應用效果和可行性，本文選擇KDD99基礎數(shù)據(jù)庫為測試數(shù)據(jù)集，搭配真實網絡環(huán)境對本文系統(tǒng)展開仿真測試。此次測試環(huán)境搭建標準如下：測試系統(tǒng)為Windows11、CPU處理器為i7-13700k、內存為32G、存儲為4T、測試數(shù)據(jù)庫為KDD99數(shù)據(jù)庫、帶寬為1000M。測試的數(shù)據(jù)樣本為零散樣式分布。需要利用決策樹的網絡安全態(tài)勢系統(tǒng)對不同區(qū)域中的數(shù)據(jù)樣本信息和網絡安全要素進行處理、分析，并配置完成對應的初始參數(shù)。之后，將其和傳統(tǒng)網絡安全態(tài)勢感知系統(tǒng)兩者之間進行對比分析，從而得到相關數(shù)據(jù)信息收斂的情況。同時，由于本文設計的網絡安全態(tài)勢感知系統(tǒng)，采用了模糊計算的方式對網絡指標因素進行計算、分析，從而確定被評估對象所存在的問題，所以，最終得到的系統(tǒng)信息收斂情況相對較好。歸一化修正程序的設計，實現(xiàn)了對處理之后的最大特征值的權重指標處理和確認，從而得到相關特征向量。此外，本文提出的系統(tǒng)能夠實現(xiàn)對網絡安全要素的類別劃分、數(shù)據(jù)信息參數(shù)優(yōu)化，這就說明系統(tǒng)具有非?？斓氖諗克俣取?/p>

（二）測試結果分析

為了更好地判斷本文系統(tǒng)對不同類型網絡安全態(tài)勢的檢測準確率，選擇將其和傳統(tǒng)網絡安全感知平臺、基于大數(shù)據(jù)技術的網絡安全態(tài)勢感知方法、基于LSTM-DT模型的網絡安全感知方法等進行測試對比分析，本次試驗測試次數(shù)為5次，測試數(shù)據(jù)庫依然是KDD99基礎數(shù)據(jù)庫，具體實驗結果見表1所示。

測試結果表明，本文提出的基于決策樹的網絡安全態(tài)勢感知系統(tǒng)，在網絡數(shù)據(jù)安全態(tài)勢感知方面具有較強的性能，可以更好地確保網絡信息的安全。同時，經過5次實驗測試結果得知，本文所提出的系統(tǒng)檢測準確率平均為97.65%，明顯超過了其他三種感知方法，能夠更好地應用于網絡安全防御領域。

五、結束語

針對網絡的安全態(tài)勢感知問題，本文設計了一種基于決策樹的新型網絡安全態(tài)勢感知系統(tǒng)方案。同時，本文引入決策樹對系統(tǒng)軟件和硬件進行了設計。經仿真測試證明，本系統(tǒng)在網絡安全態(tài)勢感知方面具有較高的感知準確率，能夠為網絡提供更強的安全防御。

作者單位：張煉 重慶移通學院

參考文獻

[1]謝兆賢，鄒興敏，張文靜.面向大型數(shù)據(jù)集的高效決策樹參數(shù)剪枝算法[J].計算機工程，2024，50（01）：156-165.

[2]鐘云勝.基于決策樹算法的網絡信息安全態(tài)勢感知優(yōu)化方法研究[J].信息與電腦，2023，35（06）：239-241.

[3]林立鑫，涂劍峰，喻燕華.基于改進決策樹的通信網絡安全態(tài)勢感知方法[J].信息與電腦（理論版）， 2023，35（09）：223-225.

[4]何翠萍.基于改進決策樹的高校網絡安全態(tài)勢感知系統(tǒng)設計[J].信息與電腦（理論版）， 2023，35（07）：133-135.

[5]張春萌.網絡安全態(tài)勢感知方法研究[J].電子質量，2023（6）：90-94.

[6]謝凱，代康.基于決策樹的聯(lián)級網絡安全態(tài)勢感知系統(tǒng)設計[J].現(xiàn)代電子技術，2022，45（17）：74-78.

[7]張顥芳.基于LSTM--DT模型的網絡安全態(tài)勢感知研究[D].黑龍江：黑龍江大學，2022.