態勢感知的研究與應用探討

李柯

（河南理工大學計算機科學與技術學院，河南 焦作 454000）

在信息全球化發展以后，關于網絡安全的防范就一直未曾停止過。傳統的信息安全防御體系已不滿足當前信息系統防護要求，所以傳統的被動防御模式逐漸向主動防御模式進行過渡，而態勢感知是主動防御體系的核心設備。就像智慧城市的大腦一樣指揮城市的建設一樣，態勢感知統籌所有的安全設備來打造一個牢固的安全生態圈。面對當前日益多樣化諸如APT、人臉、區塊鏈等新型威脅，傳統的被動防御很難進行溯源分析，而且費時費力。同時針對安全信息數據分析缺乏和安全事件處置效率低下等問題傳統的安全管理已無法應對。在諸多行業痛點需要進行處理的情況下，態勢感知成為了行業當下的需要。它通過對收集包括安全設備、網絡設備及主機設備等網絡安全要素信息，通過機器學習、深度學習等算法隊整個網絡安全進行評估其狀態，然后根據狀態信息預測接下來的發展趨勢。態勢感知通過文字圖表的方式來展現給信息安全管理員以此來幫助信息安全管理員進行決策，可視化的形式往往比較酷炫[2]。

1 態勢感知發展歷程

網絡安全不像研發，網絡安全不僅不產生經濟利潤，而且還會消耗由產品研發等部門帶來的經濟利潤。這就導致了在互聯網高速發展過程中，網絡安全卻被邊緣化。這也導致了即使現在，無論是IT 行業還是傳統行業里仍然有很多人的網絡安全意識還很薄弱。當然在駭客攻擊下，遭受的經濟損失下，人們才逐漸重視起網絡安全。在這一階段就出現了以被動響應為核心特征的安全防御體系- 被動防御體系。被動防御體系典型設備如主要用在邊界的防火墻設備，IPS（入侵防御系統）和IDS（入侵檢測系統）等。在這一時期雖然人們對網絡安全有所重視，但只要不影響業務的正常運行，無論是否受到攻擊，攻擊程度如何，都無人關注。一旦發生重大安全事件，如非法獲取webshell、通橫向滲透盜取重要數據或用DDOS 攻擊導致服務器癱瘓等，則需要請安全廠商派出安全專家進行應急處理?？傮w上這一時期以被動響應為主，但已越來越不能應對目前的網絡安全威脅了。為了加強網絡空間安全，國家出臺了一系列法律法規，如《中華人民共和國數據安全法》、《數據安全法》、《個人隱私保護法》、《網絡安全法》等。

態勢感知整體架構包括安全數據收集層、安全日志存儲層、計算層及展示層。安全數據收集層主要是對安全日志及流量進行收集，來源主要安全設備的原始日志和流量。安全數據存儲層主要是將前面收集層收集來的數據采用HDFS 技術進行存儲。計算層主要對存儲的數據進行挖掘分析，這里使用到聚類算法、無監督學習算法等溯源攻擊鏈。最后的展示層就是實時的對前面的分析結果和數據分析圖表進行可視化。

2 網絡安全態勢感知的關鍵技術

作為主動防御體系的大腦, 網絡安全態勢感知能夠統籌所有安全信息的核心是算法。態勢感知使用的算法種類繁多，有基于數學模型或邏輯模型的融合方法，基于規則推理或概率統計的融合方法，也有知識推理方法、統計方法、灰度理論方法的評估算法。態勢感知也使用了不同的機器學習算法，例如傳統的機器學習算法隨機森林、支持向量機、決策樹，聚類算法K-mean 和深度學習神經網絡、LSTM 等算法進行網絡安全態勢感知預測方面。

3 網絡安全態勢感知技術研究

3.1 深度學習

深度學習是機器學習其中的一個分支，通過構建諸如CNN 等數學模型來發現數據中錯綜復雜的關系。深度學習和傳統的機器學習有本質上的區別，傳統的機器學習需要制定相應的規則，深度學習只需要提供相應的數據。深度學習通過神經元構建神經網絡來模擬人腦中的神經網絡對數據進行分析。深度學習通過獲取高維的數據特征來模擬人腦對圖像、聲音和文本等數據進行解釋的機制。深度學習一般可分兩類，第一是監督學習，所謂監督學習通過給數據一個標簽，通過神經網絡（ANN）、卷積神經網絡等訓練模型，然后運用模型預測結果；假設我們要判斷這個動物到底是貓還是狗，可以根據貓或狗的形狀和大小等標簽去判斷物體的種類，這就是監督學習。另一種無監督學習則是從無序的信息中自動發現規律，從而達到預測或分類的效果，它和監督學習區別在是否打標簽。還有一種是強化學習，強化學習和上述兩種有很大的區別，強化學習希望打造一個通用的人工智能體，探討的是智能體（agent）在復雜和不確定的環境（environment）中如何最大化獲得獎勵。強化學習強調的是智能體和環境動態交互過程中獲取最大化獎勵。智能體獲取環境中的狀態，智能體驗利用該狀態輸出動作和決策。然后將決策放入環境中，環境會根據代理做出的決策輸出下一個狀態和當前決策的獎勵。代理的目的是盡可能多地從環境中獲得獎勵。深度學習和強化學習深度結合在游戲領域也取得了相應的成果，如DOTA2AI、絕悟AI 等。

3.2 網絡安全態勢感知數據集

利用深度學習對網絡安全態勢感知進行研究，需要大量數據的數據集?；ヂ摼W上關于網絡安全的數據集有很多，本文實驗使用的數據集是網絡入侵檢測的KDDCUP99 數據集，使用此數據方便數據挖掘的入侵檢測技術研究。KDDCUP99 數據集收集連續9 周模擬的美國空軍局域網的網絡連接數據。數據集分為標記的訓練數據和未標記的測試數據，而且測試數據和訓練數據具有不同的概率分布。為了入侵檢測數據更具真實性，測試數據還加了一些訓練數據中沒有出現的攻擊類型。

取KDDCUP99 數據的10%，包括訓練集：23 個標簽，包括正常和22 個攻擊類型標簽，包括494021 個數據。

取KDDCUP99 數據的測試集38 個標簽，里面包括正常標簽和37 個攻擊標簽，包含311029 條數據。

3.3 數據集處理

利用python 對數據進行預處理，包含數據簡單處理，特征和標簽數值化，特征歸一化。

這里為了統一訓練集和測試集需要過濾掉15 類攻擊，且’spy.’, ’warezclient’這兩種只存在于訓練集中攻擊，所以一共過濾掉17 類攻擊。將過濾后的數據進行統一編碼處理，其中normal 歸一類，其他不正常的歸另一類。在這里preprocessing.LabelEncoder()的作用是標準化標簽，然后將標簽值統一轉換成range(標簽值個數-1)范圍內。

3.4 深度學習神經網絡的效果

本文使用pytorch 搭建3 層的神經網絡進行模型的訓練，使用pytorch 中的nn 模塊中Linear 構建輸入層、隱藏層、輸出層，使用激活函數ReLU()將來自節點的加權輸入轉換為該輸入的節點。相比于Sigmoid 等函數，使用Relu 激活函數，可以在整個過程中節省很多的計算量。Sigmoid 函數在深度神經網絡反向傳播時，容易發生梯度消失的情況，而Relu 的部分神經元的輸出為0，在相對復雜的深度神經網絡中能減少參數間的相互依賴關系并使網絡稀疏，以此緩解過擬合問題。

損失函數和優化器分別使用交叉熵損失函數CrossEntropyLoss()和Adam。Adam 優化算法在非非凸優化問題中計算非常高效、所需內存少，并且基本上只需極少量的調參。

最后對數據進行訓練，訓練時間根據硬件配置高低，以及數據量和模型框架等因素決定，本文使用GPU進行訓練，訓練結果如下：

通過實驗比對在三層神經網絡模型下使用KDDCup99 數據集進行分類的精準度能達到97%，從圖形上看測試集的波動性比較大，數值上acc 和loss 不穩定。

4 總結與展望

網絡安全態勢感知是互聯網時代發展的產物，并且幫助用戶實現主動的動態安全防御。并已在各行各業得到應用。隨著新技術諸如AI 技術、區塊鏈等不斷更新迭代，態勢感知的分析、預警和預測將越來越精準，也將會被更多的行業所使用。態勢感知也隨著信息技術發展而迭代更新，從態勢感知1.0 到2.0，不僅是功能發生了改變，以前的1.0 主要是放在網絡安全上，到了2.0 以后就以業務為核心了。國家對網絡空間安全的重視也使得態勢感知在網絡安全中占重要的地位。歷年的重保和護網行動中可以看出態勢感知平臺都在發揮著重要的作用。

態勢感知不僅僅在政策中有提及相關的建設內容，而且在法律法規中也有提及，在等保2.0 中態勢感知也是評測點。如今態勢感知早已成為監管單位和關鍵信息基礎設施相關行業的必備設施，像電力行業態勢感知是一定要使用的。當然目前態勢感知市場滲透率還是比較低，一方面還需要加大存量，另一方面還要繼續更新，以此來適應市場需求變化和網絡環境。