應(yīng)用深度自編碼網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估

張玉臣，張任川，劉 璟，汪永偉

信息工程大學(xué)，鄭州450004

1 引言

網(wǎng)絡(luò)安全態(tài)勢感知這一概念由Bass 提出后[1]，引起廣泛關(guān)注，學(xué)界根據(jù)各種研究模型提出了很多理論方法，例如模糊識別[2]、灰色理論[3]、證據(jù)理論[4]等。這些模型的實際效果良好，但也存在一些缺陷，如識別空間中基本概率分配過于依賴領(lǐng)域知識和專家經(jīng)驗，評估效果存在不確定性；建立先期經(jīng)驗知識庫與選取訓(xùn)練樣本的過程代價龐大，態(tài)勢感知效率難以提高等等。BP（Back Propagation）神經(jīng)網(wǎng)絡(luò)[5]作為一種利用非線性方式表示復(fù)雜問題的方法，近年來在態(tài)勢感知領(lǐng)域得到了重點關(guān)注，多個基于BP神經(jīng)網(wǎng)絡(luò)的態(tài)勢評估模型[6-8]相繼被提出。

文獻(xiàn)[6]提出一種基于BP 神經(jīng)網(wǎng)絡(luò)（BPNN）的網(wǎng)絡(luò)安全態(tài)勢感知方法。利用網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系來表征整個網(wǎng)絡(luò)的安全狀態(tài)，然后運用BP神經(jīng)網(wǎng)絡(luò)模型，解決了態(tài)勢要素與評估結(jié)果之間的不確定性及模糊性問題。

文獻(xiàn)[7]提出一種基于布谷鳥搜索優(yōu)化BP神經(jīng)網(wǎng)絡(luò)（CSBPNN）的網(wǎng)絡(luò)安全態(tài)勢評估方法。使用浮點數(shù)編碼方式將神經(jīng)網(wǎng)絡(luò)的權(quán)值編碼成布谷鳥，并使用CS 算法對權(quán)值進(jìn)行優(yōu)化，得到用于態(tài)勢評估的神經(jīng)網(wǎng)絡(luò)模型。實驗結(jié)果表明，與傳染BP神經(jīng)網(wǎng)絡(luò)方法相比，該方法具有較快的收斂速度和較高的評估準(zhǔn)確率。

文獻(xiàn)[8]提出一種基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法，該方法具有利用粗糙集理論在處理冗余信息和特征提取等方面的能力，結(jié)合神經(jīng)網(wǎng)絡(luò)處理噪音和任意逼近能力，構(gòu)造出由指標(biāo)層、離散層、規(guī)則層、決策層組成的態(tài)勢評估模型。并與BP神經(jīng)網(wǎng)絡(luò)方法進(jìn)行對比研究。仿真實驗結(jié)果表明，所提方法能更客觀、準(zhǔn)確地分析網(wǎng)絡(luò)安全狀況。

上述模型具有優(yōu)良的自我學(xué)習(xí)能力，能夠從未知的模式中發(fā)現(xiàn)規(guī)律；并且建模過程也較為簡單，具有傳統(tǒng)模型難以比擬的效率優(yōu)勢。

但與此同時，基于神經(jīng)網(wǎng)絡(luò)類方法的態(tài)勢評估模型普遍存在一個缺陷，即BP 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練過程是有監(jiān)督學(xué)習(xí)過程，需要大量有標(biāo)簽數(shù)據(jù)作為訓(xùn)練集，而在態(tài)勢感知的實際環(huán)境中，有標(biāo)簽數(shù)據(jù)往往是稀缺的，為數(shù)據(jù)添加標(biāo)簽的過程也是復(fù)雜耗時的，這就對BP 神經(jīng)網(wǎng)絡(luò)在態(tài)勢感知領(lǐng)域的應(yīng)用造成了嚴(yán)重影響。為此，本文提出了一種基于深度自編碼網(wǎng)絡(luò)（DAEN）的網(wǎng)絡(luò)安全態(tài)勢評估方法，這種模型應(yīng)用深度自編碼器作為基本結(jié)構(gòu)，使用逐層無監(jiān)督預(yù)訓(xùn)練和有監(jiān)督微調(diào)訓(xùn)練[9]解決對態(tài)勢數(shù)據(jù)標(biāo)簽的依賴問題。通過對比實驗表明，相對于BP 神經(jīng)網(wǎng)絡(luò)，本文提出的模型克服了標(biāo)簽依賴缺陷，并且具有較高的態(tài)勢評估精度。

2 深度自編碼網(wǎng)絡(luò)

2.1 BP神經(jīng)網(wǎng)絡(luò)及標(biāo)簽依賴問題

神經(jīng)網(wǎng)絡(luò)中的節(jié)點單元通過調(diào)整相互間連接的權(quán)值，從而實現(xiàn)學(xué)習(xí)復(fù)雜表示的能力。如圖1 所示，感知器（Perception）是這些節(jié)點單元的常用結(jié)構(gòu)。該結(jié)構(gòu)本質(zhì)是一種分類器，具有將輸入向量經(jīng)過權(quán)重關(guān)系和激活函數(shù)的映射輸出到一個值上的功能，并擁有通過設(shè)置偏置值改變決策邊界的能力。

圖1 感知器模型

單個感知器表述能力十分有限，只能處理簡單問題，不能滿足復(fù)雜非線性映射的需求，為此，需要利用多個感知器的組合來提高網(wǎng)絡(luò)的能力，這就構(gòu)成了BP 神經(jīng)網(wǎng)絡(luò)[10]：其結(jié)構(gòu)圖如圖2所示。

通常使用有監(jiān)督學(xué)習(xí)和無監(jiān)督學(xué)習(xí)對BP神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)過程進(jìn)行分類，分類依據(jù)輸入數(shù)據(jù)是否含有標(biāo)簽信息而定。有監(jiān)督學(xué)習(xí)過程的實質(zhì)就是利用數(shù)據(jù)指導(dǎo)網(wǎng)絡(luò)找到特征和標(biāo)簽之間的聯(lián)系并調(diào)整至最優(yōu)結(jié)構(gòu)的過程，這樣無監(jiān)督學(xué)習(xí)就可以通過已訓(xùn)練的網(wǎng)絡(luò)得到未知數(shù)據(jù)的標(biāo)簽。

圖2 BP神經(jīng)網(wǎng)絡(luò)

因此，BP 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練過程是一種典型的有監(jiān)督學(xué)習(xí)過程，其特點是信息前向傳遞，誤差反向傳播，并通過相應(yīng)算法調(diào)整網(wǎng)絡(luò)的參數(shù)。受網(wǎng)絡(luò)結(jié)構(gòu)和訓(xùn)練算法的限制，傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)模型通常存在以下幾點缺陷[11]：

（1）過于依賴標(biāo)簽，神經(jīng)網(wǎng)絡(luò)的訓(xùn)練過程需要大量有標(biāo)簽數(shù)據(jù)，而在網(wǎng)絡(luò)安全態(tài)勢感知模型當(dāng)中，有標(biāo)簽數(shù)據(jù)樣本較為稀缺，在實際訓(xùn)練樣本較小的情況下，應(yīng)用深層結(jié)構(gòu)容易導(dǎo)致過擬合的問題出現(xiàn)。

（2）梯度彌散問題，因為神經(jīng)網(wǎng)絡(luò)模型的誤差采用反向傳播機制，梯度逐層減弱，導(dǎo)致各層不能有效工作，影響學(xué)習(xí)效果。

（3）局部最優(yōu)問題，神經(jīng)網(wǎng)絡(luò)擬合的是一個高維非凸多模態(tài)的函數(shù)，使用梯度下降方法很容易出現(xiàn)局部最優(yōu)問題，導(dǎo)致模型不能得到全局最優(yōu)解。

針對上述缺陷，本文提出一種基于深度自編碼網(wǎng)絡(luò)的態(tài)勢感知方法，以提高模型的準(zhǔn)確性和泛化能力。

2.2 自動編碼器與深度自編碼網(wǎng)絡(luò)

首先，為解決BP 神經(jīng)網(wǎng)絡(luò)模型對標(biāo)簽數(shù)據(jù)的依賴性，本文應(yīng)用自動編碼器（Auto Encoders，AE）[12]作為深度自編碼網(wǎng)絡(luò)的基本結(jié)構(gòu)，圖3 形象地展示了自動編碼器的應(yīng)用過程，其原理和描述如下所示。

圖3 自動編碼器形象化表示

自動編碼器的隱藏層為m 維，不同于感知器，自動編碼器的輸入與輸出可以同為n 維。自動編碼器包括編碼器和解碼器兩個基本結(jié)構(gòu)，編碼器設(shè)置在輸入層和隱藏層之間，其功能函數(shù)為：

解碼器設(shè)置在隱藏層和輸出層之間，其功能函數(shù)為：

公式（1）和（2）中，f 和g 分別代表編、解碼映射函數(shù)，sf和sg代表編、解碼器的激勵函數(shù)，w 是權(quán)重參數(shù)，p和q 是偏置。在模型給定輸入訓(xùn)練集參數(shù)集θ={w,p,q}的情況下，根據(jù)誤差函數(shù)L整體重構(gòu)的自動編碼器重構(gòu)誤差函數(shù)為：

因此，對自動編碼器進(jìn)行訓(xùn)練的實質(zhì)就是調(diào)整參數(shù)集θ 使得自動編碼器整體重構(gòu)誤差最小值。在此過程中，通常選擇均方誤差或交叉熵函數(shù)作為誤差函數(shù)，使用梯度下降算法求解JAE(θ)的最小值，經(jīng)過多輪迭代得到參數(shù)集θ 的滿意結(jié)構(gòu)。

由此可見，自動編碼器的這種獨有的編碼-解碼-重構(gòu)誤差的結(jié)構(gòu)，可以通過無監(jiān)督訓(xùn)練學(xué)習(xí)輸入，解決了基于單層感知器的BP神經(jīng)網(wǎng)絡(luò)必須依賴有標(biāo)簽數(shù)據(jù)的問題。

在此基礎(chǔ)上，為解決梯度彌散和局部最優(yōu)問題，本文應(yīng)用了深度學(xué)習(xí)的思想[13]，基于自動編碼器構(gòu)建了一個結(jié)合深度編碼器和BP（Back Propagation）算法的神經(jīng)網(wǎng)絡(luò)模型。其結(jié)構(gòu)如圖4所示。

圖4 深度自編碼網(wǎng)絡(luò)

在模型中，訓(xùn)練完第一個自動編碼器后，所有無標(biāo)簽訓(xùn)練樣本經(jīng)過編碼器得到了特征，將這些特征作為下一個自動編碼器的輸入，并按相同方法訓(xùn)練該自動編碼器，最后將多個以前向傳播方式訓(xùn)練好的自動編碼器堆疊在一起，形成深度堆棧自編碼網(wǎng)絡(luò)[12]。在輸出階段，模型將輸入和通過輸出層解碼器提取的數(shù)據(jù)特征聯(lián)系起來，并將其進(jìn)行最終重構(gòu)輸出。這種建模方法通過逐層無監(jiān)督訓(xùn)練，使得自編碼器具有了識別分類能力。其特點在于將彼此相鄰的隱藏層視為一個只有2 層的淺層神經(jīng)網(wǎng)絡(luò)，從而有助于減少深度結(jié)構(gòu)面臨的梯度彌散和局部最優(yōu)問題[13]，同時交叉深度結(jié)構(gòu)又可以提高模型的學(xué)習(xí)能力。

2.3 訓(xùn)練深度自編碼網(wǎng)絡(luò)

深度自編碼網(wǎng)絡(luò)的基本結(jié)構(gòu)是若干由自編碼器堆疊而成的淺層自編碼網(wǎng)絡(luò)，這種組織結(jié)構(gòu)能夠分層地提取輸入數(shù)據(jù)的特征，可以使模型從底層學(xué)習(xí)到更多的能夠表示數(shù)據(jù)隱含特征的抽象知識。建立在自動編碼器訓(xùn)練的基礎(chǔ)上，深度自編碼網(wǎng)絡(luò)的訓(xùn)練過程主要分為兩步，第一步是預(yù)訓(xùn)練，利用無標(biāo)簽數(shù)據(jù)對深度堆棧自編碼網(wǎng)絡(luò)進(jìn)行無監(jiān)督訓(xùn)練，確定網(wǎng)絡(luò)各層間權(quán)值的范圍空間；第二步是使用有監(jiān)督學(xué)習(xí)方法對網(wǎng)絡(luò)進(jìn)行參數(shù)微調(diào)，本文選用BP算法，利用少量有標(biāo)簽數(shù)據(jù)對經(jīng)過預(yù)訓(xùn)練的網(wǎng)絡(luò)進(jìn)行調(diào)整，使用有監(jiān)督訓(xùn)練方法對網(wǎng)絡(luò)各層參數(shù)及權(quán)值進(jìn)行優(yōu)化。如圖5，深度自編碼網(wǎng)絡(luò)的詳細(xì)訓(xùn)練步驟如下所示（與圖對應(yīng)起來）：

（1）無監(jiān)督逐層預(yù)訓(xùn)練階段

步驟1訓(xùn)練第一個自動編碼器，使其重構(gòu)誤差最低。

步驟2將上一個自動編碼器的輸出作為下一個自動編碼器的輸入，后者按上一步的相同方案進(jìn)行訓(xùn)練。

步驟3重復(fù)步驟2的過程，直到各層的訓(xùn)練完成為止。

步驟4將最后一層的輸出是下一個有監(jiān)督層的輸入，在保持前面各層均不變的情況下，初始化有監(jiān)督層參數(shù)。

（2）有監(jiān)督微調(diào)階段

步驟1網(wǎng)絡(luò)結(jié)構(gòu)初始化，將之前經(jīng)過預(yù)訓(xùn)練確定的參數(shù)輸入網(wǎng)絡(luò)，初始化BP神經(jīng)網(wǎng)絡(luò)的權(quán)值、偏置等參數(shù)。

步驟2根據(jù)有標(biāo)簽數(shù)據(jù)利用BP算法對網(wǎng)絡(luò)進(jìn)行有監(jiān)督訓(xùn)練，計算每一層的輸出。

步驟3計算網(wǎng)絡(luò)中每一層的有監(jiān)督學(xué)習(xí)重構(gòu)誤差，據(jù)此對網(wǎng)絡(luò)權(quán)值系數(shù)和偏置向量進(jìn)行微調(diào)。

圖5 深度自編碼網(wǎng)絡(luò)訓(xùn)練流程

步驟4將各性能指標(biāo)與規(guī)則值進(jìn)行比對，若不能滿足要求，則跳轉(zhuǎn)到步驟2繼續(xù)微調(diào)，直至達(dá)到預(yù)期要求。

2.4 過擬合及克服方法

在對態(tài)勢數(shù)據(jù)的訓(xùn)練過程中，會遇到過擬合[14]問題，即神經(jīng)網(wǎng)絡(luò)只適合于被訓(xùn)練的網(wǎng)絡(luò)安全態(tài)勢輸入集，而對一般性態(tài)勢數(shù)據(jù)的泛化效果不佳。產(chǎn)生這種情況的原因首先是隨著模型復(fù)雜度越來越高，優(yōu)化函數(shù)容易陷入局部最優(yōu)解而偏離真正的全局最優(yōu)解，其次是態(tài)勢訓(xùn)練樣本的匱乏加速了這種困境的出現(xiàn)。

針對這兩點，本文采用以下辦法克服過擬合現(xiàn)象：

（1）降低模型復(fù)雜度。首先可以采用預(yù)訓(xùn)練的方式，通過無監(jiān)督學(xué)習(xí)提供先驗性，降低訓(xùn)練規(guī)模。其次可以為參數(shù)加上范數(shù)約束，通過使參數(shù)集取值空間變小降低訓(xùn)練復(fù)雜度。最后可以采用Dropout 技術(shù)[15]，在訓(xùn)練時候以一定的概率來丟棄一定的神經(jīng)元，利用神經(jīng)網(wǎng)絡(luò)模型的容錯性，降低復(fù)雜度和過擬合可能。

（2）豐富數(shù)據(jù)增加多樣性。最直接的辦法是盡量使用更多的訓(xùn)練數(shù)據(jù)，這種方法可以使對未來數(shù)據(jù)估計與模擬更加準(zhǔn)確。同時，以噪聲的方式向數(shù)據(jù)施加一定的影響，通過增強數(shù)據(jù)的隨機性提高模型的泛化能力。

3 基于深度自編碼網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估

3.1 網(wǎng)絡(luò)安全態(tài)勢指標(biāo)

在網(wǎng)絡(luò)安全態(tài)勢感知過程中，由于網(wǎng)絡(luò)自身的復(fù)雜性和安全數(shù)據(jù)的異構(gòu)性，使得很難以直接衡量原始網(wǎng)絡(luò)數(shù)據(jù)的方式來評估網(wǎng)絡(luò)安全態(tài)勢，因此，需要建立網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系[16]，并通過對指標(biāo)體系的高效組織體現(xiàn)網(wǎng)絡(luò)安全的狀態(tài)和發(fā)展趨勢。作為整個網(wǎng)絡(luò)態(tài)勢分析的基礎(chǔ)，指標(biāo)選取對于態(tài)勢感知至關(guān)重要。

為了在準(zhǔn)確達(dá)成對所保護(hù)網(wǎng)絡(luò)安全狀況認(rèn)知的同時，提高從獲取原始信息到作出態(tài)勢響應(yīng)之間過程的效率。本文在層次化評估網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)上[17]，對網(wǎng)絡(luò)中的節(jié)點信息、防護(hù)信息、拓?fù)湫畔?、流量信息、報警信息、配置信息進(jìn)行提取和分析，并借鑒相關(guān)研究成果，綜合選取部分能表征宏觀網(wǎng)絡(luò)脆弱性、容災(zāi)性、威脅性和穩(wěn)定性的態(tài)勢指標(biāo)[16]，選取情況如表1所示。

表1 網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)

3.2 態(tài)勢評估

由于態(tài)勢指標(biāo)中存在權(quán)重、等級等大量難以精準(zhǔn)衡量的非線性因素，不可避免需要運用專家經(jīng)驗進(jìn)行界定，而不同的專家經(jīng)驗會對最終評估結(jié)果產(chǎn)生明顯的影響，并且形成的網(wǎng)絡(luò)安全態(tài)勢最終評估結(jié)果也依賴于專家經(jīng)驗進(jìn)行準(zhǔn)確性判定。針對這一問題，使用基于深度自編碼網(wǎng)絡(luò)的態(tài)勢評估方法的解決思路在于，利用態(tài)勢數(shù)據(jù)提取的態(tài)勢指標(biāo)進(jìn)行自學(xué)習(xí)預(yù)訓(xùn)練，并運用少量專家經(jīng)驗對自學(xué)習(xí)評估模型進(jìn)行參數(shù)調(diào)整，從而使模型達(dá)到接近專家經(jīng)驗判定的功能。同時，利用深度自編碼網(wǎng)絡(luò)的標(biāo)簽不依賴特性，可以弱化過多的人為因素對評估結(jié)果的影響。

在獲取網(wǎng)絡(luò)安全歷史態(tài)勢數(shù)據(jù)并對其進(jìn)行指標(biāo)提取的基礎(chǔ)上，本文采取層次化評估結(jié)合專家經(jīng)驗的方法評估網(wǎng)絡(luò)安全態(tài)勢，其計算過程如公式（4）所示：

其中，Ea為通過專家經(jīng)驗得出的攻擊嚴(yán)重性向量，Ss為各類服務(wù)遭受的攻擊數(shù)量向量，Sa為計算得出的各服務(wù)威脅態(tài)勢向量，Ep為通過專家經(jīng)驗加權(quán)得出的服務(wù)權(quán)重向量，ks為各主機節(jié)點開放的服務(wù)向量，Sm為得出的主機威脅態(tài)勢向量，Em為通過專家經(jīng)驗得出的主機權(quán)重向量，b為在系統(tǒng)層面通過專家經(jīng)驗加權(quán)得出的對網(wǎng)絡(luò)安全態(tài)勢的修正值，Sa為最終計算得出的系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢值。

詳細(xì)步驟和說明如下所示：

步驟1以固定時間段內(nèi)采集的入侵檢測報警和網(wǎng)絡(luò)中各類動靜態(tài)原始信息為數(shù)據(jù)源，綜合計算各態(tài)勢指標(biāo)的值，并進(jìn)行數(shù)據(jù)歸一化，去除不同物理量綱的干擾。

步驟2在各類態(tài)勢指標(biāo)值的基礎(chǔ)上，依據(jù)多位專家經(jīng)驗值進(jìn)行加權(quán)，對各權(quán)重指標(biāo)進(jìn)行綜合定量評估，根據(jù)各主機所提供服務(wù)的情況，計算各服務(wù)遭到的總體攻擊威脅情況。

步驟3以服務(wù)受威脅情況綜合評估系統(tǒng)中各主機的安全狀況；依據(jù)多位專家經(jīng)驗，定量各主機的權(quán)重信息，在此基礎(chǔ)上評估系統(tǒng)的安全威脅態(tài)勢。

步驟4建立測試集和訓(xùn)練集，在得到網(wǎng)絡(luò)安全態(tài)勢評估值的基礎(chǔ)上，選取相鄰一段時段態(tài)勢指標(biāo)值組合起來，構(gòu)建態(tài)勢指標(biāo)值向量Xi=[xi(1),xi(2),…,xi(n)]，以及其各自對應(yīng)的當(dāng)前時間段的態(tài)勢評估值Yi。

步驟5將序列Xi的各分量的值作為深度自編碼網(wǎng)絡(luò)的輸入，并進(jìn)行無監(jiān)督逐層預(yù)訓(xùn)練。

步驟6利用Yi進(jìn)行有監(jiān)督微調(diào)訓(xùn)練，調(diào)整模相關(guān)權(quán)值和偏置參數(shù)，使模型獲得最佳的性能。

步驟7在將深度自編碼模型訓(xùn)練完成的基礎(chǔ)上，運用模型開展對網(wǎng)絡(luò)安全態(tài)勢的評估。

基于深度自編碼網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估模型訓(xùn)練流程的偽代碼如算法1所示：

算法1 AE_Train(λ,η,Dataset_Train,AE(W,B))

輸入：訓(xùn)練數(shù)據(jù)集Dataset_Train，學(xué)習(xí)率η，迭代次數(shù)λ，未初始化的深度自編碼網(wǎng)絡(luò)AE(W,B)。

輸出：訓(xùn)練好的深度自編碼網(wǎng)絡(luò)AET(W,B)。

首先從訓(xùn)練數(shù)據(jù)集中提取態(tài)勢要素，構(gòu)建無標(biāo)簽樣本空間和有標(biāo)簽樣本空間。

for data in Dataset_Train：{

elements ←Extract(data)；//提取態(tài)勢要素

sample_space ←sample_space ∪

Record(elements)；//構(gòu)建無標(biāo)簽樣本空間

time_series ←Series(elements)；//構(gòu)建態(tài)勢指標(biāo)值向量

valuation ←Assessment(time_series)；//評估安全態(tài)勢

sample_space_label ←sample_space ∪

valuation；//構(gòu)建有標(biāo)簽樣本空間

}

其次利用無標(biāo)簽樣本對自編碼網(wǎng)絡(luò)進(jìn)行無監(jiān)督逐層預(yù)訓(xùn)練。

AE(W,B))←Init(AE(W,；B)//)初始化權(quán)值和偏置

AE(W,B)←Pre_train(AE(W,B),sample_spa；ce/)/無 監(jiān)督逐層預(yù)訓(xùn)練

最后利用有標(biāo)簽樣本對自編碼網(wǎng)絡(luò)進(jìn)行有監(jiān)督微調(diào)訓(xùn)練。

for sample in sample_space_label：{

time_series ←Series(sample；)//

while i ＜λ{(lán)

Data_Forward_propagation（

time_series，(AE(W,B；))//數(shù)據(jù)正向傳播

error(L(W,B))←Error_backward_

propagation（time_series，(AE(W,B)；)//誤差反向傳播

for w in W：{

w ←Update_weigh（t

error(L(W,B)),W,B,；η)//調(diào)整權(quán)值參數(shù)

}

for b in B：{

b ←Update_bias（

error(L(W,B)),W,B,η//)調(diào)整偏置

}

i ←i+1；

}

return AET(W,B)

在此基礎(chǔ)上，基于深度自編碼網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估流程的偽代碼如算法2所示。

算法2 AE_Train(Dataset_Train,AET(W,B))

深度自編碼網(wǎng)絡(luò)AET(W,B)；

輸出：態(tài)勢評估值

首先從待評估數(shù)據(jù)集中提取態(tài)勢要素，構(gòu)建待評估樣本空間。

for data in Dataset_Evaluation：{

elements ←Extract(data)；//提取態(tài)勢要素

sample_space ←sample_space ∪

Record(elements)；//構(gòu)建樣本空間

}

for sample in sample_space：{

time_series ←Series(sample)；//構(gòu)建態(tài)勢指標(biāo)值向量

value ←Data_Forward_propagation（

time_series,AET(W,B))；//數(shù)據(jù)正向傳播

return value；//得到評估值

}

}

綜合算法1 和算法2，基于深度自編碼網(wǎng)絡(luò)的態(tài)勢評估流程圖如圖6 所示。流程分為兩個部分，評估模型通過無監(jiān)督預(yù)訓(xùn)練和有監(jiān)督微調(diào)的組合，獲得滿足需要的評估模型；在評估階段，只需要態(tài)勢要素提取和數(shù)據(jù)正向傳播就可以獲得系統(tǒng)的安全態(tài)勢評估值。相比單純使用有監(jiān)督的訓(xùn)練方法，由于無監(jiān)督預(yù)訓(xùn)練方法的使用，基于深度自編碼網(wǎng)絡(luò)的態(tài)勢評估擁有以下兩點優(yōu)勢，一是樣本數(shù)據(jù)較為容易獲取，并且明顯減輕了為數(shù)據(jù)添加標(biāo)簽過程的開銷，且通過無監(jiān)督預(yù)訓(xùn)練，明顯提高了網(wǎng)絡(luò)的成熟程度，使得少量有監(jiān)督微調(diào)過程明顯加快；二是明顯減少了不準(zhǔn)確專家的經(jīng)驗數(shù)據(jù)會對最終評估結(jié)果產(chǎn)生的影響。

圖6 基于深度自編碼網(wǎng)絡(luò)的態(tài)勢評估流程圖

4 仿真實驗

4.1 實驗環(huán)境

本課題實驗采用的數(shù)據(jù)集是DARPA 1999[18]攻擊場景測評數(shù)據(jù)集。該數(shù)據(jù)集包含了5 周的連續(xù)數(shù)據(jù)，其中，第2、4和5周包含精心設(shè)計的各類網(wǎng)絡(luò)攻擊，集中覆蓋了Probe、DoS、R2L、U2R和DATA五大類共58種常見攻擊方式，是全面的網(wǎng)絡(luò)安全態(tài)勢研究數(shù)據(jù)集。該數(shù)據(jù)集的優(yōu)勢在于數(shù)據(jù)容量豐富且擁有全面的標(biāo)注信息，能夠在實驗中盡量減少對無關(guān)或冗余的信息的處理開銷。同時，便于容易提取數(shù)據(jù)記錄之間的關(guān)聯(lián)性，給評估模型的精度和效率帶來積極影響。

該測評數(shù)據(jù)集網(wǎng)絡(luò)拓?fù)淙鐖D7 所示，根據(jù)這一數(shù)據(jù)環(huán)境，本文設(shè)計了針對BP 神經(jīng)網(wǎng)絡(luò)和深度自編碼網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估效果對比實驗。首先利用Tcpreplay工具重放數(shù)據(jù)流，使用Snort 軟件作為入侵檢測工具評估數(shù)據(jù)流，并得到各類安全事件報警。然后從數(shù)據(jù)集中選取第2 和第4 周336 個小時的數(shù)據(jù)及其報警記錄作為訓(xùn)練集空間，結(jié)合專家經(jīng)驗，對各時間段的數(shù)據(jù)進(jìn)行態(tài)勢指標(biāo)提取和態(tài)勢評估，并使用其下一個時間段的態(tài)勢評估值作為有監(jiān)督學(xué)習(xí)的標(biāo)簽；最后選取第5 周168 個連續(xù)時間段的數(shù)據(jù)及其評估值作為測試集分析兩個態(tài)勢評估模型的性能。

圖7 DARPA 1999網(wǎng)絡(luò)拓?fù)鋱D

4.2 安全態(tài)勢評估實驗

表2 部分攻擊類型嚴(yán)重性權(quán)重向量

表3 服務(wù)權(quán)重向量

表4 部分主機節(jié)點重要性向量

根據(jù)專家經(jīng)驗定義的權(quán)重和等級指標(biāo)如表2～4所示。

采用時間段態(tài)勢評估的方式，將一天的數(shù)據(jù)分為24個時間段，利用專家經(jīng)驗提取指標(biāo)進(jìn)行態(tài)勢評判，并對最終評估結(jié)果進(jìn)行修正，作為訓(xùn)練集的標(biāo)簽。訓(xùn)練樣本的部分網(wǎng)絡(luò)安全態(tài)勢評估值如表5所示。

表5 部分訓(xùn)練樣本態(tài)勢評估值

4.2.1 實驗過程

實驗的思路是分別選用BP 神經(jīng)網(wǎng)絡(luò)、CSBPNN 和深度自編碼網(wǎng)絡(luò)在給定不同數(shù)量樣本的情況下觀察各自對標(biāo)簽空間的依賴程度和所能達(dá)到的最佳學(xué)習(xí)效果，并將三者的態(tài)勢評估準(zhǔn)確率進(jìn)行對比。實驗步驟如下所示：

步驟1是樣本構(gòu)建階段。作為對比實驗的基礎(chǔ)，本文按照訓(xùn)練樣本數(shù)量等量逐漸增加的順序構(gòu)建不同規(guī)模的訓(xùn)練空間，以第5 周數(shù)據(jù)和態(tài)勢評估值作為測試空間。

步驟2選用不同的模型參數(shù)如學(xué)習(xí)率、正則化方法、Dropout 比率、隱藏層節(jié)點數(shù)等對分別對BP 神經(jīng)網(wǎng)絡(luò)、CSBP 神經(jīng)網(wǎng)絡(luò)和深度自編碼網(wǎng)絡(luò)進(jìn)行模型訓(xùn)練和性能測試，并允許選取各自實驗平均效果最佳時的模型作對比分析。實驗使用以態(tài)勢評估序列和專家經(jīng)驗態(tài)勢評估序列間的均方根誤差值作為評價函數(shù)評估模型，進(jìn)行態(tài)勢評估的準(zhǔn)確性。

步驟3增加樣本數(shù)量，采用上述方式繼續(xù)考察三者的態(tài)勢評估性能，直至達(dá)到樣本空間的極限。

4.2.2 對比實驗和分析

由此，得出在訓(xùn)練效果最佳時各模型評估誤差指標(biāo)，如表6所示。

圖6 給出了三種算法在部分測試集上進(jìn)行評估的均方根誤差曲線圖，從表6和圖8中均可以看出，隨著訓(xùn)練數(shù)據(jù)的增多，各模型的均方根誤差都呈現(xiàn)出下降趨勢。不同之處在于，基于深度自編碼網(wǎng)絡(luò)的下降過程較為穩(wěn)定，波動較小，顯示出對標(biāo)簽數(shù)據(jù)的依賴程度較低。此外，在小規(guī)模的訓(xùn)練樣本下，深度自編碼網(wǎng)絡(luò)的均方根誤差明顯小于另兩者，表明其在評估精準(zhǔn)性上強于另兩者，體現(xiàn)出深度堆棧自編碼結(jié)構(gòu)的優(yōu)勢。

表6 不同樣本容量下的最小均方根誤差指標(biāo)及最佳模型參數(shù)

圖8 不同樣本容量下各模型最小均方根誤差指標(biāo)對比

綜上所述，由于深度自編碼網(wǎng)絡(luò)在處理非線性問題上的優(yōu)點，能夠比較精確地體現(xiàn)網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系各一級指標(biāo)和相應(yīng)的網(wǎng)絡(luò)安全態(tài)勢之間的聯(lián)系。本文認(rèn)為采用深度自編碼網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢評估是有效的。

5 結(jié)語

本文針對傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)類方法對標(biāo)簽數(shù)據(jù)過于依賴的缺陷進(jìn)行分析，給出了一種基于深度自編碼網(wǎng)絡(luò)的態(tài)勢評估模型。模型以深度自動編碼器為基本模塊，采用一種無監(jiān)督逐層預(yù)訓(xùn)練和有監(jiān)督微調(diào)訓(xùn)練相結(jié)合的訓(xùn)練算法克服標(biāo)簽數(shù)據(jù)稀缺和過擬合問題。在DAR‐PA1999 數(shù)據(jù)集上對BP 神經(jīng)網(wǎng)絡(luò)和深度自編碼網(wǎng)絡(luò)的態(tài)勢評估性能進(jìn)行了對比測試。結(jié)果顯示，本文提出的模型對標(biāo)簽依賴性較小，且具有較好的評估準(zhǔn)確性。下一步將在更豐富的數(shù)據(jù)集上進(jìn)行實驗，并考慮更多因素對模型性能的影響。