網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述

楊宇, 谷宇恒

(武警工程大學(xué)信息學(xué)院， 西安 710086)

當(dāng)今世界，信息技術(shù)日新月異，網(wǎng)絡(luò)空間迅速發(fā)展，極大改善了人們生產(chǎn)生活環(huán)境，同時(shí)也帶來了各類安全風(fēng)險(xiǎn)挑戰(zhàn)。特別是近年來，各種網(wǎng)絡(luò)安全事件頻發(fā)，中外敵對(duì)勢(shì)力加緊了對(duì)中國(guó)軍事、政治、經(jīng)濟(jì)等重要領(lǐng)域數(shù)據(jù)信息的竊取和破壞，國(guó)內(nèi)以盈利為目的非法組織利用網(wǎng)絡(luò)從事攻擊破壞活動(dòng)日益猖獗，致使中國(guó)網(wǎng)絡(luò)安全環(huán)境面臨著嚴(yán)峻威脅。網(wǎng)絡(luò)攻擊自動(dòng)化正在縮小攻防雙方之間的信息與技術(shù)差距，網(wǎng)絡(luò)安全態(tài)勢(shì)感知可以實(shí)現(xiàn)對(duì)系統(tǒng)漏洞和威脅的理解，并據(jù)此對(duì)系統(tǒng)的安全狀況進(jìn)行更加全面的評(píng)估和預(yù)測(cè)[1]?；诨ヂ?lián)網(wǎng)設(shè)計(jì)之初的開放性和互通性，許多網(wǎng)絡(luò)協(xié)議并不安全，軟件系統(tǒng)設(shè)計(jì)也常常存在漏洞。入侵檢測(cè)系統(tǒng)(intrusion detection system，IDS)[2]、防火墻、漏洞掃描等傳統(tǒng)防御技術(shù)無法提供智能高效的網(wǎng)絡(luò)安全分析和預(yù)測(cè)服務(wù)。因此，研究和發(fā)展能夠保障網(wǎng)絡(luò)可靠運(yùn)行的安全防御手段刻不容緩，網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的重要性不斷顯現(xiàn)。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知概況

1.1 態(tài)勢(shì)感知

態(tài)勢(shì)指事物發(fā)展的趨勢(shì)與狀態(tài)，是一個(gè)整體和全局的概念，任何單一的情況和狀態(tài)都不能稱之為態(tài)勢(shì)[3]。態(tài)勢(shì)感知對(duì)于操作人員在復(fù)雜系統(tǒng)中實(shí)施決策是不可或缺的，這一概念最早在軍事領(lǐng)域被提出，主要應(yīng)用于軍事作戰(zhàn)、航空航天、核反應(yīng)堆控制等領(lǐng)域，這些領(lǐng)域的一個(gè)共同特點(diǎn)是具有復(fù)雜的操作控制系統(tǒng)，決策者通常需要觀察、理解和分析海量的數(shù)據(jù)以精確完成任務(wù)，耗費(fèi)了決策者的大量精力，并對(duì)決策者的認(rèn)知水平提出了較高要求。

Endsley[4]于1988年給出了態(tài)勢(shì)感知的明確定義，即“在一定的時(shí)間和空間范圍內(nèi)感知環(huán)境中的元素，理解它們的意義，以及對(duì)它們?cè)诓痪脤淼陌l(fā)展趨勢(shì)與狀態(tài)進(jìn)行預(yù)測(cè)”，與此定義對(duì)應(yīng)的三級(jí)態(tài)勢(shì)感知概念模型如圖1所示，該模型奠定了傳統(tǒng)態(tài)勢(shì)感知領(lǐng)域的基礎(chǔ)。注意力和工作記憶[5]被認(rèn)為是限制決策者從環(huán)境中獲取、理解要素并形成態(tài)勢(shì)感知的關(guān)鍵因素。但當(dāng)面對(duì)開放的復(fù)雜巨系統(tǒng)時(shí)，決策者往往很難實(shí)時(shí)客觀地做出分析和判斷，將注意力機(jī)制與深度學(xué)習(xí)模型相結(jié)合正被廣泛地應(yīng)用于建模和預(yù)測(cè)復(fù)雜的系統(tǒng)中，并且在解決基于感知和記憶的任務(wù)中取得了良好的效果[6-7]。除此之外，Endsley等[8]指出目標(biāo)是態(tài)勢(shì)感知發(fā)展的核心，態(tài)勢(shì)感知過程在數(shù)據(jù)驅(qū)動(dòng)(自下而上)和目標(biāo)驅(qū)動(dòng)(自上而下)之間交替進(jìn)行。在數(shù)據(jù)驅(qū)動(dòng)下，感知到的信息要素經(jīng)過融合處理與關(guān)聯(lián)分析，可能得到新的有價(jià)值的目標(biāo)；在目標(biāo)驅(qū)動(dòng)下，目標(biāo)作為一個(gè)過濾器可以解釋所感知的信息，同時(shí)決策者將根據(jù)目標(biāo)有針對(duì)性地收集、理解信息要素，并將其與目標(biāo)進(jìn)行比較，以期獲得有價(jià)值的態(tài)勢(shì)感知結(jié)果。

1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知

Bass等[9]于1999年首次將態(tài)勢(shì)感知與網(wǎng)絡(luò)空間相結(jié)合，提出了網(wǎng)絡(luò)態(tài)勢(shì)感知這個(gè)概念，并指出多源異構(gòu)式網(wǎng)絡(luò)傳感器的數(shù)據(jù)挖掘與融合是實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢(shì)感知的關(guān)鍵[10]。由于Bass等[9]并未給出網(wǎng)絡(luò)態(tài)勢(shì)感知的明確定義，導(dǎo)致目前該領(lǐng)域的概念尚未統(tǒng)一。針對(duì)現(xiàn)狀，中外學(xué)者做了大量的研究與工作。Franke等[11]將網(wǎng)絡(luò)態(tài)勢(shì)感知看作態(tài)勢(shì)感知中涉及網(wǎng)絡(luò)環(huán)境的部分，認(rèn)為網(wǎng)絡(luò)態(tài)勢(shì)感知是態(tài)勢(shì)感知的一個(gè)子集。龔儉等[12]認(rèn)為網(wǎng)絡(luò)安全態(tài)勢(shì)感知與態(tài)勢(shì)感知是類型與實(shí)例的關(guān)系，并從態(tài)勢(shì)覺察、態(tài)勢(shì)理解、態(tài)勢(shì)投射三個(gè)層面提出一個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知功能模型。石樂義等[13]分析了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的各類關(guān)鍵技術(shù)，并對(duì)相關(guān)應(yīng)用領(lǐng)域進(jìn)行了歸納梳理。李艷等[14]從數(shù)據(jù)價(jià)值鏈角度出發(fā)，提出一種便于數(shù)據(jù)處理和工程實(shí)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知邏輯分析框架，為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的工程實(shí)現(xiàn)提供了參考。Liu等[15]從自動(dòng)控制角度出發(fā)，提出一種認(rèn)知意識(shí)控制模型(cognitive awareness-control model，CACM)，該模型采用粒子群(particle swarm optimization，PSO)優(yōu)化的D-S證據(jù)理論融合多源異構(gòu)數(shù)據(jù)，并提出一個(gè)基于歷史態(tài)勢(shì)的Q值強(qiáng)化學(xué)習(xí)(HS-QRL)機(jī)制，實(shí)現(xiàn)了自動(dòng)感知威脅情況并反饋調(diào)節(jié)系統(tǒng)狀態(tài)的功能。

本文研究詳細(xì)闡述了基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架，即在一定時(shí)間范圍內(nèi)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)要素進(jìn)行采集、預(yù)處理，通過逐層分析、融合安全態(tài)勢(shì)要素并結(jié)合數(shù)學(xué)模型、規(guī)則推理、模式識(shí)別等態(tài)勢(shì)評(píng)估方法，綜合掌控網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)，并對(duì)未來網(wǎng)絡(luò)安全趨勢(shì)做出精準(zhǔn)預(yù)測(cè)，其基本研究框架如圖2所示。

圖1 態(tài)勢(shì)感知概念模型[4]Fig.1 Conceptual model of situation awareness[4]

圖2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架[14]Fig.2 Network security situation awareness framework[14]

2 網(wǎng)絡(luò)安全態(tài)勢(shì)提取

2.1 數(shù)據(jù)采集

網(wǎng)絡(luò)安全態(tài)勢(shì)提取是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基礎(chǔ)，在復(fù)雜網(wǎng)絡(luò)系統(tǒng)中高效、精準(zhǔn)的采集網(wǎng)絡(luò)安全數(shù)據(jù)是網(wǎng)絡(luò)安全態(tài)勢(shì)提取的前提。數(shù)據(jù)采集從采集方式可分為單一要素采集和多源數(shù)據(jù)采集，由于當(dāng)前網(wǎng)絡(luò)攻擊的復(fù)雜性，學(xué)者們?cè)絹碓絻A向于多源數(shù)據(jù)采集。文獻(xiàn)[16]強(qiáng)調(diào)了靶向數(shù)據(jù)采集的重要性，并將網(wǎng)絡(luò)安全態(tài)勢(shì)感知數(shù)據(jù)分為資產(chǎn)、漏洞和威脅三個(gè)維度，針對(duì)不同維度數(shù)據(jù)，需要采用不同的技術(shù)進(jìn)行采集，如表1所示。Wireshark是一款功能強(qiáng)大的網(wǎng)絡(luò)封包分析軟件，可以截取各種網(wǎng)絡(luò)封包，獲取網(wǎng)絡(luò)流量數(shù)據(jù)并顯示網(wǎng)絡(luò)封包內(nèi)的詳細(xì)信息(源IP地址、目的IP地址、協(xié)議、部分?jǐn)?shù)據(jù)、捕獲時(shí)間等)。Syslog、Flume等通過將網(wǎng)絡(luò)上各種設(shè)備的日志數(shù)據(jù)收集到日志服務(wù)器，可以實(shí)現(xiàn)對(duì)多種事件類型的日志消息的采集。由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性，為了獲取全面的網(wǎng)絡(luò)數(shù)據(jù)，還可以采用Snmp、NetFlow等協(xié)議獲取系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等信息。除此之外，針對(duì)傳統(tǒng)的基于簽名的網(wǎng)絡(luò)安全工具所面臨的實(shí)際困難，使用蜜罐技術(shù)[17]或張量分析[18]等技術(shù)查找涉及內(nèi)部和外部攻擊者的惡意網(wǎng)絡(luò)流量取得了較好的效果。

表1 多源數(shù)據(jù)采集方法[16]Table 1 Multi-source data acquisition method[16]

2.2 數(shù)據(jù)預(yù)處理

通過不同的采集工具得到的海量網(wǎng)絡(luò)安全數(shù)據(jù)往往是多源異構(gòu)的，且存在大量冗余數(shù)據(jù)。此時(shí)需要對(duì)多源異構(gòu)數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、集成、規(guī)約、變換等預(yù)處理工作，初步得到網(wǎng)絡(luò)安全事件，以便計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)指數(shù)。一個(gè)網(wǎng)絡(luò)安全數(shù)據(jù)集可能包含許多冗余或不相關(guān)的特征，這阻礙了機(jī)器學(xué)習(xí)算法的訓(xùn)練效率。通常，機(jī)器學(xué)習(xí)算法可根據(jù)統(tǒng)計(jì)特征對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分類/評(píng)估，然而處理海量流量數(shù)據(jù)的多維度特征將導(dǎo)致漫長(zhǎng)的訓(xùn)練過程，特別是當(dāng)訓(xùn)練數(shù)據(jù)的特征高度相關(guān)時(shí)模型的預(yù)測(cè)準(zhǔn)確性不會(huì)按比例提高[19]。從訓(xùn)練數(shù)據(jù)集中選取重要性靠前的特征是提高機(jī)器學(xué)習(xí)模型分類精度和訓(xùn)練時(shí)間的有效方法。針對(duì)該問題，文獻(xiàn)[20]通過改進(jìn)基于條件熵的屬性簡(jiǎn)化算法，采用并行簡(jiǎn)化的思想構(gòu)造屬性重要性矩陣，并與鄰域粗糙集相結(jié)合，在NSL-KDD數(shù)據(jù)集的41個(gè)流量特征中篩選出13個(gè)重要性靠前的特征輸入到Classifier-tree-J48分類器中進(jìn)行訓(xùn)練。實(shí)驗(yàn)結(jié)果表明，與未經(jīng)特征選擇的數(shù)據(jù)集相比訓(xùn)練時(shí)間由0.45 s降低到0.37 s，提升了訓(xùn)練速度。文獻(xiàn)[21]使用一種集成方法，通過設(shè)定閾值，采用Information gain、Gain ratio及Relief 3種特征選擇方法選擇最重要的特征，并將所選擇的特征組合到一個(gè)特征集中，最后將篩選出的15個(gè)頂部特征輸入到Random Forest等機(jī)器學(xué)習(xí)分類模型中進(jìn)行訓(xùn)練，有效提高了感知模型的準(zhǔn)確率。

然而在真實(shí)的網(wǎng)絡(luò)攻防環(huán)境中，常常有少量攻擊流量混雜在海量正常數(shù)據(jù)中，以此躲避IDS的檢測(cè)，導(dǎo)致檢測(cè)結(jié)果出現(xiàn)偏差，單靠特征選擇方法無法解決網(wǎng)絡(luò)安全數(shù)據(jù)不平衡的問題。針對(duì)該問題，文獻(xiàn)[22]將大規(guī)模數(shù)據(jù)濃縮成事件概況，并與不同的人工神經(jīng)網(wǎng)絡(luò)(全卷積神經(jīng)網(wǎng)絡(luò)、長(zhǎng)短期記憶網(wǎng)絡(luò)等)相結(jié)合，迅速處理大量安全警報(bào)的同時(shí)專注于區(qū)分真陽性和假陽性警報(bào)，從而幫助安全分析師快速應(yīng)對(duì)網(wǎng)絡(luò)威脅，減少了虛警概率造成的影響。文獻(xiàn)[23]采用主成分分析(principal component analysis，PCA)算法進(jìn)行數(shù)據(jù)降維，利用Xgboost算法對(duì)約簡(jiǎn)后的特征進(jìn)行分類，提高了態(tài)勢(shì)要素提取的實(shí)時(shí)性和準(zhǔn)確性。但這兩種方法均使用有監(jiān)督的學(xué)習(xí)訓(xùn)練方式處理約簡(jiǎn)后的數(shù)據(jù)，在未知網(wǎng)絡(luò)威脅事件的檢測(cè)方面還有待提高。針對(duì)該問題，文獻(xiàn)[24]提出了一種基于生成和進(jìn)化網(wǎng)絡(luò)的未知威脅檢測(cè)方法(IDM-GE)，其中生成對(duì)抗網(wǎng)絡(luò)用來平衡數(shù)據(jù)集，使分類器更好地學(xué)習(xí)區(qū)分正常流量和攻擊流量的特征；進(jìn)化算法將未知威脅的特征從已知威脅中推測(cè)出來，提高了對(duì)未知威脅數(shù)據(jù)的檢測(cè)精度；實(shí)驗(yàn)結(jié)果表明該算法與傳統(tǒng)的殘差神經(jīng)網(wǎng)絡(luò)(ResNet)算法相比具有更高的檢測(cè)準(zhǔn)確率和召回率。文獻(xiàn)[25]采用Borderline-SMOTE算法對(duì)數(shù)據(jù)進(jìn)行過采樣，然后將采樣后的數(shù)據(jù)輸入自動(dòng)編碼器進(jìn)行特征降維，以提取主要特征，最后將降維后的數(shù)據(jù)輸入LightGBM分類模型中來識(shí)別入侵，解決了智能配電網(wǎng)絡(luò)中存在的大量冗余網(wǎng)絡(luò)流量特征和數(shù)據(jù)不平衡的問題，滿足了智能配電網(wǎng)絡(luò)安全防護(hù)的實(shí)時(shí)性需求。文獻(xiàn)[26]將深度卷積生成對(duì)抗網(wǎng)絡(luò)與深度神經(jīng)網(wǎng)絡(luò)相結(jié)合，通過深度卷積生成對(duì)抗網(wǎng)絡(luò)學(xué)習(xí)已知攻擊樣本數(shù)據(jù)的內(nèi)在特征分布并生成新的攻擊樣本，提升了訓(xùn)練穩(wěn)定性。使用CIC-IDS-2017數(shù)據(jù)集作為實(shí)驗(yàn)樣本對(duì)模型進(jìn)行評(píng)估，與傳統(tǒng)的過采樣算法(random over sampling、SMOTE)相比具有較高的檢測(cè)率。針對(duì)車載自組織網(wǎng)絡(luò)(VANET)容易遭受惡意流量攻擊的問題，文獻(xiàn)[27]提出一種基于多目標(biāo)優(yōu)化算法(FS-MOEA)的特征選擇算法，將偏差加權(quán)法用于為稀有類分配更高的優(yōu)先級(jí)，從而解決數(shù)據(jù)不平衡的問題，采用information gain (IG)-analytic hierarchy process (AHP)自動(dòng)搜索多解決方案中的最優(yōu)特征子集，最后在用來表示VANET的無線入侵檢測(cè)數(shù)據(jù)集(AWID)上進(jìn)行了測(cè)試，實(shí)驗(yàn)結(jié)果表明，該方法不僅可以提高車載自組織網(wǎng)絡(luò)中的入侵檢測(cè)性能，還可以緩解因數(shù)據(jù)不平衡問題帶來的負(fù)面影響。

3 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估向下結(jié)合安全要素和評(píng)估模型，關(guān)聯(lián)和融合各類安全事件；向上為態(tài)勢(shì)預(yù)測(cè)提供態(tài)勢(shì)信息和決策支持，是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的中心環(huán)節(jié)。目前的態(tài)勢(shì)評(píng)估方法按理論基礎(chǔ)主要可分為基于數(shù)學(xué)模型、基于知識(shí)推理、基于模式匹配3類，如表2所示。下面對(duì)幾種常用的態(tài)勢(shì)評(píng)估方法進(jìn)行了歸納與分析。

表2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估主要模型

3.1 基于AHP的態(tài)勢(shì)評(píng)估方法

層次分析法(analytic hierarchy process,AHP)由美國(guó)運(yùn)籌學(xué)家Saaty于20世紀(jì)70年代中期提出[28]，其核心思想是將復(fù)雜的決策過程劃分層次結(jié)構(gòu)，并構(gòu)造判斷矩陣，得到各目標(biāo)要素的權(quán)重系數(shù)，達(dá)到定性與定量評(píng)估相結(jié)合的目的。

文獻(xiàn)[29]基于大量入侵檢測(cè)系統(tǒng)的告警信息和服務(wù)信息，采取自下而上、先局部后整體的評(píng)估方針，結(jié)合攻擊漏洞層、服務(wù)層、主機(jī)層、系統(tǒng)層4個(gè)層次，逐層計(jì)算指標(biāo)權(quán)重，直觀了解各層安全態(tài)勢(shì)。但是該方法沒有綜合考慮多種安全信息來源，在獲取宏觀網(wǎng)絡(luò)安全態(tài)勢(shì)方面還有待提高。針對(duì)該問題，文獻(xiàn)[30]通過AHP和熵權(quán)法從主觀維度和客觀維度對(duì)屬性權(quán)重進(jìn)行改進(jìn)，形成權(quán)重決策矩陣的組合，同時(shí)計(jì)算業(yè)務(wù)節(jié)點(diǎn)重要性系數(shù)，對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件進(jìn)行有針對(duì)性的監(jiān)控，在通過物聯(lián)網(wǎng)影響業(yè)務(wù)系統(tǒng)的智能手機(jī)發(fā)生信息安全事件后，分析關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)對(duì)業(yè)務(wù)連續(xù)性的影響，計(jì)算業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)值，有效評(píng)估了業(yè)務(wù)風(fēng)險(xiǎn)。文獻(xiàn)[31]提出一種基于微分流形的網(wǎng)絡(luò)評(píng)估方法，將AHP和通用漏洞評(píng)分系統(tǒng)(common vulnerability scoring system，CVSS)相結(jié)合以評(píng)估資產(chǎn)維度和漏洞維度的網(wǎng)絡(luò)安全態(tài)勢(shì)，采用數(shù)據(jù)挖掘的方法評(píng)估威脅維度的網(wǎng)絡(luò)安全態(tài)勢(shì)，綜合感知了網(wǎng)絡(luò)安全態(tài)勢(shì)并具有較好的實(shí)時(shí)性。針對(duì)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)片面、難以嚴(yán)格量化的問題，文獻(xiàn)[32]提出一種基于AHP和灰色關(guān)聯(lián)分析相結(jié)合的網(wǎng)絡(luò)安全評(píng)估方法，通過虛擬機(jī)模擬網(wǎng)絡(luò)攻防環(huán)境并捕獲相關(guān)網(wǎng)絡(luò)流量，構(gòu)建了包含主機(jī)環(huán)境安全、網(wǎng)絡(luò)安全和漏洞安全的多維系統(tǒng)安全性評(píng)價(jià)模型。實(shí)驗(yàn)表明，該方法克服了利用傳統(tǒng)AHP方法來量化系統(tǒng)安全性的不足，能夠準(zhǔn)確、有效地量化網(wǎng)絡(luò)的綜合安全性。

3.2 基于博弈論的態(tài)勢(shì)評(píng)估方法

在網(wǎng)絡(luò)對(duì)抗環(huán)境中，攻擊和防御行動(dòng)往往瞬息萬變。然而傳統(tǒng)態(tài)勢(shì)評(píng)估技術(shù)大多只關(guān)注攻擊或防御一方，忽略了攻擊和防御雙方相互作用、相互影響的博弈過程。博弈論指對(duì)局者在特定條件制約下的對(duì)局中利用相關(guān)方的策略，調(diào)整優(yōu)化自己的策略進(jìn)而達(dá)到取勝的目的。目前，博弈論已廣泛應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域中。

由于攻守雙方的對(duì)立性，決策者常常很難選擇具有最大回報(bào)的防御策略。針對(duì)該問題，文獻(xiàn)[33]以馬爾可夫博弈模型為核心,通過四級(jí)數(shù)據(jù)融合并結(jié)合納什均衡點(diǎn)，較好地展示了網(wǎng)絡(luò)攻防安全態(tài)勢(shì)。文獻(xiàn)[34]結(jié)合攻防策略圖，采用攻防策略選取算法以及混合策略納什均衡求解方法，獲得了最佳防御策略。然而以上方法均沒有考慮系統(tǒng)運(yùn)行環(huán)境的變化，無法準(zhǔn)確描述實(shí)際網(wǎng)絡(luò)攻防的過程。針對(duì)該問題，以下3種方法通過引入隨機(jī)擾動(dòng)強(qiáng)度因子來模擬系統(tǒng)運(yùn)行環(huán)境對(duì)博弈過程的影響。文獻(xiàn)[35]利用隨機(jī)微分方程的知識(shí)，找到模型的演化均衡解，并應(yīng)用顯式歐拉數(shù)值法分析不同問題情況下對(duì)局者策略選擇的演變，取得了良好的防御效果。文獻(xiàn)[36]通過改進(jìn)基于網(wǎng)絡(luò)拓?fù)涞膶W(xué)習(xí)機(jī)制，建立了基于對(duì)局者學(xué)習(xí)范圍的學(xué)習(xí)對(duì)象集，使用費(fèi)米函數(shù)計(jì)算向?qū)W習(xí)對(duì)象策略過渡的概率，有效反映了網(wǎng)絡(luò)攻防態(tài)勢(shì)。文獻(xiàn)[37]提出一種鞍點(diǎn)均衡解方法，通過建立攻防隨機(jī)微分博弈模型，在具有隨機(jī)擾動(dòng)的網(wǎng)絡(luò)攻防場(chǎng)景中實(shí)現(xiàn)了實(shí)時(shí)防御決策。

然而，隨著網(wǎng)絡(luò)攻防博弈的不斷深入，對(duì)局者相互獲取的信息也越來越多，這可能導(dǎo)致傳統(tǒng)博弈模型的安全防御策略失效。針對(duì)該問題，文獻(xiàn)[38]提出一種獎(jiǎng)勵(lì)價(jià)值學(xué)習(xí)機(jī)制(reward value learning mechanism，RLM)，通過分析已經(jīng)發(fā)生的對(duì)抗信息，RLM自動(dòng)激勵(lì)或懲罰下一階段的攻擊和防御獎(jiǎng)勵(lì)值，有效提高了防御成功的概率。文獻(xiàn)[39]采用隨機(jī)演化博弈模型模擬網(wǎng)絡(luò)攻防過程,通過將參數(shù)$lambda $ 添加到 Logit 定量響應(yīng)動(dòng)力學(xué)方程中，以量化現(xiàn)實(shí)對(duì)局者的認(rèn)知差異，通過計(jì)算進(jìn)化穩(wěn)定均衡，給出最佳決策方法。實(shí)驗(yàn)表明，該方法可以幫助防守方成功預(yù)測(cè)勒索軟件的攻擊行動(dòng)，同時(shí)隨著時(shí)間推移實(shí)時(shí)提供最佳防御策略。

3.3 基于機(jī)器學(xué)習(xí)的態(tài)勢(shì)評(píng)估方法

網(wǎng)絡(luò)系統(tǒng)所面臨的威脅來自各個(gè)方面，決策者常常面臨大量的安全數(shù)據(jù)，且攻擊者的攻擊時(shí)間往往是隨機(jī)不確定的。這給網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的準(zhǔn)確性和實(shí)用性帶了很大挑戰(zhàn)。機(jī)器學(xué)習(xí)可以通過訓(xùn)練建立分類模型，在處理復(fù)雜的非線性問題方面具有很大優(yōu)勢(shì)。按照數(shù)據(jù)分析和模式構(gòu)建的不同可將機(jī)器學(xué)習(xí)分為監(jiān)督學(xué)習(xí)、無監(jiān)督學(xué)習(xí)、半監(jiān)督學(xué)習(xí)[40]和強(qiáng)化學(xué)習(xí)[41]4類，如表3所示。

傳統(tǒng)機(jī)器學(xué)習(xí)算法如支持向量機(jī)(support vector machines，SVM)、隨機(jī)森林(random forest，RF)、決策樹(decision tree，DT)、LIGHTGBM等計(jì)算量小，且具有較好的魯棒性和泛化能力，與參數(shù)尋優(yōu)算法相結(jié)合可以提高評(píng)估模型的效率和準(zhǔn)確性。文獻(xiàn)[42]將改進(jìn)的遺傳算法(genetic algorithm，GA)與支持向量機(jī)算法相結(jié)合，在CIC-IDS—2018數(shù)據(jù)集上獲得了95%的評(píng)估準(zhǔn)確率。文獻(xiàn)[43]提出一種基于歐氏距離的類間自學(xué)習(xí)算法(euclidean distance-based between-class，EBC)，通過計(jì)算不同類的k個(gè)最近鄰之間的歐氏距離來改善類間學(xué)習(xí)，并將改善后的數(shù)據(jù)輸入隨機(jī)森林、決策樹等分類器中進(jìn)行分類評(píng)估，在真實(shí)工業(yè)流量數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果表明，所提出的EBC學(xué)習(xí)具有較強(qiáng)的空間約束能力，提高了識(shí)別性能，有效推動(dòng)了信息物理系統(tǒng)的研究和部署。文獻(xiàn)[44]基于監(jiān)控和數(shù)據(jù)采集(SCADA)的電網(wǎng)入侵系統(tǒng)提出了一個(gè)集成框架，采用基于遞歸特征消除-極限梯度提升的特征選擇算法選擇頂部流量特征，將特征選擇后的流量數(shù)據(jù)輸入包含9個(gè)異構(gòu)分類器的多數(shù)投票融合方法進(jìn)行分類，在電網(wǎng)系統(tǒng)安全數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果表明，該模型可以快速準(zhǔn)確的捕獲網(wǎng)絡(luò)流量中的惡意事件，滿足了電網(wǎng)入侵檢測(cè)系統(tǒng)高實(shí)時(shí)性和準(zhǔn)確性的需求。然而SVM等傳統(tǒng)機(jī)器學(xué)習(xí)算法在大規(guī)模訓(xùn)練樣本上難以實(shí)施，且在多分類問題上存在一定困難。

表3 機(jī)器學(xué)習(xí)的主要算法及分類

深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的一個(gè)熱門領(lǐng)域且更適用于解決大數(shù)據(jù)集訓(xùn)練問題。文獻(xiàn)[45]分析了深度學(xué)習(xí)和傳統(tǒng)機(jī)器學(xué)習(xí)方法之間的區(qū)別與聯(lián)系，詳細(xì)介紹了自動(dòng)編碼器(auto-encoders，AE)、卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural network，CNN)、受限玻爾茲曼機(jī)(restricted Boltzmann machines，RBM)、深度監(jiān)督網(wǎng)絡(luò)(deeply-supervised nets，DSN)以及長(zhǎng)短期記憶網(wǎng)絡(luò)(long short-term memory，LSTM)等深度學(xué)習(xí)算法的結(jié)構(gòu)和特點(diǎn)。針對(duì)傳統(tǒng)的網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估方法無法有效評(píng)估分布式拒絕服務(wù)攻擊(distributed denial of service，DDoS)的問題，文獻(xiàn)[46]將CNN、LSTM和Back Propagation算法相結(jié)合來學(xué)習(xí)各類安全態(tài)勢(shì)指標(biāo)，提高了網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的準(zhǔn)確性。但該模型訓(xùn)練效率較低，無法達(dá)到實(shí)時(shí)評(píng)估的需求。針對(duì)該問題，文獻(xiàn)[47]采用無監(jiān)督多聚類特征選擇算法(multicluster feature selection，MCFS)篩選重要性靠前的特征，將變分自編碼器(variational autoencoder，VAE)和生成對(duì)抗網(wǎng)絡(luò)的鑒別器相結(jié)合，學(xué)習(xí)了各層網(wǎng)絡(luò)的重構(gòu)誤差，計(jì)算出訓(xùn)練的異常閾值，根據(jù)異常閾值檢測(cè)惡意攻擊流量，在HTTP CSIC 2010、ADFA-LD、ISOT、UNSW-NB15 4個(gè)數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果表明，該模型克服了傳統(tǒng)的基于監(jiān)督的網(wǎng)絡(luò)威脅情境評(píng)估方法的局限性，高效感知了物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢(shì)。文獻(xiàn)[48]提出一種基于對(duì)抗性深度學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，利用深度自動(dòng)編碼器執(zhí)行特征學(xué)習(xí)，采用深度神經(jīng)網(wǎng)絡(luò)(deep neural networks，DNN)實(shí)施分類，并通過欠采樣加權(quán)算法(under-over sampling weighted，UOSW)提高模型對(duì)少數(shù)網(wǎng)絡(luò)威脅的識(shí)別能力，取得了較好的泛化性和魯棒性。文獻(xiàn)[49]通過PCA算法對(duì)流量特征進(jìn)行數(shù)據(jù)降維，運(yùn)用深度可分離卷積神經(jīng)網(wǎng)絡(luò)和雙向長(zhǎng)短期記憶網(wǎng)絡(luò)提取網(wǎng)絡(luò)流量數(shù)據(jù)的空間特征和時(shí)間特征。在KDDCUP99數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果表明該模型具有較好的準(zhǔn)確率和較低的漏報(bào)率。文獻(xiàn)[50]以真實(shí)汽車采集的車載控制器局域網(wǎng)絡(luò)數(shù)據(jù)為基礎(chǔ)構(gòu)造出具有11維特征向量的車聯(lián)網(wǎng)安全數(shù)據(jù)集，并在門控循環(huán)單元(gate recurrent unit，GRU)上進(jìn)行了分類訓(xùn)練和測(cè)試，達(dá)到與長(zhǎng)短期記憶網(wǎng)絡(luò)檢測(cè)模型相當(dāng)?shù)姆诸悳?zhǔn)確率。

深度學(xué)習(xí)可以幫助抵御網(wǎng)絡(luò)攻擊，但也可以促進(jìn)危險(xiǎn)的攻擊，即產(chǎn)生可以繞過檢測(cè)方法的攻擊，從而達(dá)到攻擊者目的。針對(duì)該問題，文獻(xiàn)[51]提出一種能夠混合批處理對(duì)抗生成過程的卷積神經(jīng)網(wǎng)絡(luò)(MBAGP-CNN)，以此打破可轉(zhuǎn)移性攻擊，實(shí)驗(yàn)結(jié)果表明，該方法在3種對(duì)抗性攻擊數(shù)據(jù)集上獲得了超過80%的平均準(zhǔn)確率，在一定程度上緩解了對(duì)抗性攻擊防御背景下的災(zāi)難性遺忘問題。文獻(xiàn)[52]提出一種對(duì)抗性風(fēng)險(xiǎn)模型，并將網(wǎng)絡(luò)安全中的對(duì)抗性攻擊分為問題空間與特征空間兩個(gè)維度，在靜態(tài)攻擊數(shù)據(jù)上取得了較好的評(píng)估效果。文獻(xiàn)[53]詳細(xì)介紹了網(wǎng)絡(luò)安全領(lǐng)域?qū)剐詫W(xué)習(xí)模型的最新研究和進(jìn)展，并討論了在網(wǎng)絡(luò)安全領(lǐng)域?qū)嵤┒说蕉藢?duì)抗攻擊的問題，突出了反態(tài)勢(shì)感知研究的重要性。

4 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的關(guān)鍵環(huán)節(jié)，通常采取時(shí)間序列分析、灰色關(guān)聯(lián)分析、攻擊圖、貝葉斯網(wǎng)絡(luò)、馬爾可夫博弈論、深度學(xué)習(xí)等方法對(duì)當(dāng)前和歷史態(tài)勢(shì)進(jìn)行分析，預(yù)測(cè)網(wǎng)絡(luò)系統(tǒng)可能面臨的威脅，從而幫助決策人員或操作系統(tǒng)實(shí)現(xiàn)主動(dòng)防御的目的。

灰色系統(tǒng)理論于1982年由鄧聚龍[54]教授首先提出，主要研究信息不完全、不確定等方面的問題，在預(yù)測(cè)領(lǐng)域得到了廣泛應(yīng)用。文獻(xiàn)[55]構(gòu)建了一個(gè)基于GRA-SVM的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型，采取灰色關(guān)聯(lián)分析法計(jì)算態(tài)勢(shì)指數(shù)的權(quán)重并生成訓(xùn)練集和預(yù)測(cè)集，然后通過SVM對(duì)數(shù)據(jù)集進(jìn)行建模與預(yù)測(cè)，與基于SVM的預(yù)測(cè)模型相比具有更好的預(yù)測(cè)效率。文獻(xiàn)[56]提出一種基于灰色神經(jīng)網(wǎng)絡(luò)的態(tài)勢(shì)預(yù)測(cè)方法，采用BP誤差反饋算法優(yōu)化神經(jīng)網(wǎng)絡(luò)參數(shù)，成功預(yù)測(cè)了云環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢(shì)。

長(zhǎng)短期記憶網(wǎng)絡(luò)(long short-term memory，LSTM)是循環(huán)神經(jīng)網(wǎng)絡(luò)(recurrent neural network，RNN)的一種特殊形式，通過在網(wǎng)絡(luò)中引入輸入門、遺忘門和輸出門，較好地解決了RNN網(wǎng)絡(luò)中梯度衰減的問題，在安全態(tài)勢(shì)預(yù)測(cè)領(lǐng)域取得了較好的效果。文獻(xiàn)[57]構(gòu)建了一個(gè)基于LSTM-XGBoost的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型，采用改進(jìn)的雙向LSTM模型(bi-directional long short-term memory)預(yù)測(cè)網(wǎng)絡(luò)數(shù)據(jù)并利用XGBoost算法進(jìn)行分類和訓(xùn)練，提高了網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確性。但該模型在預(yù)測(cè)數(shù)據(jù)前沒有進(jìn)行特征分析和篩選，容易產(chǎn)生數(shù)據(jù)過擬合的問題。針對(duì)該問題，文獻(xiàn)[58]提出一種基于強(qiáng)化的LSTM網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型，通過引入Sigmoid加權(quán)線性單元處理反向傳播中的梯度問題，并將輸入值乘以Sigmoid函數(shù)，加強(qiáng)了LSTM網(wǎng)絡(luò)的結(jié)構(gòu)，同時(shí)使用布谷鳥搜索算法(cuckoo search，CS)對(duì)參數(shù)進(jìn)行優(yōu)化，較好地解決了過擬合的問題。文獻(xiàn)[59]將長(zhǎng)短期記憶網(wǎng)絡(luò)與決策樹相融合構(gòu)建檢測(cè)模型，通過層次分析法計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)要素的權(quán)重，利用堆疊式稀疏自動(dòng)編碼器提取網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)以獲得新的抽象特征，然后采用檢測(cè)模型對(duì)特征數(shù)據(jù)進(jìn)行擬合和分類，有效的預(yù)測(cè)了攻擊概率并識(shí)別了攻擊類型。針對(duì)當(dāng)前LSTM預(yù)測(cè)模型不能充分考慮數(shù)據(jù)的時(shí)間序列屬性的問題，文獻(xiàn)[60]提出一種基于持續(xù)時(shí)間序列的新型自適應(yīng)LSTM網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型，通過增添一個(gè)新的掩碼門，將時(shí)間序列屬性加入單元的記憶更新中，使模型更適合處理具有連續(xù)數(shù)據(jù)的序列，有效提高了預(yù)測(cè)的精確性。

然而以上預(yù)測(cè)模型的泛化能力較弱，在實(shí)際網(wǎng)絡(luò)攻防環(huán)境中的檢測(cè)準(zhǔn)確率仍有待檢驗(yàn)。針對(duì)該問題，文獻(xiàn)[61]構(gòu)建了電力信息網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境，模擬惡意流量對(duì)各服務(wù)器的聯(lián)合攻擊過程，通過基于混沌序列改進(jìn)的人工蜂群算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的參數(shù)，在電力信息網(wǎng)絡(luò)環(huán)境下取得了較好的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估精度。文獻(xiàn)[62]從電網(wǎng)的靜態(tài)安全性和動(dòng)態(tài)安全性出發(fā)，構(gòu)建了一套電網(wǎng)安全態(tài)勢(shì)評(píng)價(jià)體系,并以IEEE39節(jié)點(diǎn)系統(tǒng)為例,驗(yàn)證了深度神經(jīng)網(wǎng)絡(luò)應(yīng)用于電網(wǎng)安全預(yù)測(cè)的準(zhǔn)確性。文獻(xiàn)[63]采用粒子群優(yōu)化算法對(duì)徑向基函數(shù)神經(jīng)網(wǎng)絡(luò)進(jìn)行改進(jìn)，提高了徑向基函數(shù)神經(jīng)網(wǎng)絡(luò)的收斂速度，在CNCERT/CC數(shù)據(jù)集上獲得了良好的預(yù)測(cè)效果。文獻(xiàn)[64]提出一種基于時(shí)間作用因子改進(jìn)的蘭徹斯特方程態(tài)勢(shì)預(yù)測(cè)模型，從網(wǎng)絡(luò)攻防的角度對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行評(píng)估和預(yù)測(cè)，充分考慮了網(wǎng)絡(luò)防御和時(shí)間因素等指標(biāo)的效用，提高了網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確性。但該方法沒有考慮全面的網(wǎng)絡(luò)安全威脅信息，在復(fù)雜網(wǎng)絡(luò)環(huán)境中的準(zhǔn)確性仍待改進(jìn)。文獻(xiàn)[65]將注意力機(jī)制與循環(huán)網(wǎng)絡(luò)相結(jié)合，提出一種基于時(shí)空深度學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型，有效運(yùn)用了歷史時(shí)間序列的隱藏特征。實(shí)驗(yàn)表明該模型在預(yù)測(cè)準(zhǔn)確性上優(yōu)于自回歸移動(dòng)平均模型、深度神經(jīng)網(wǎng)絡(luò)等網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型。

5 結(jié)論與展望

介紹了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的發(fā)展歷程，從態(tài)勢(shì)提取、態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)等方面闡述了當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)感知的體系結(jié)構(gòu)、主要技術(shù)方法及優(yōu)缺點(diǎn)。當(dāng)前的網(wǎng)絡(luò)安全數(shù)據(jù)正逐年成指數(shù)級(jí)別增長(zhǎng)，網(wǎng)絡(luò)安全態(tài)勢(shì)提取所面臨的數(shù)據(jù)源具有海量異構(gòu)的特點(diǎn)。首先將態(tài)勢(shì)提取分為數(shù)據(jù)采集和數(shù)據(jù)預(yù)處理兩個(gè)階段，歸納梳理了不同維度數(shù)據(jù)的采集工具與方法，分析了基于分布式并行簡(jiǎn)化思想處理海量異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)的研究現(xiàn)狀，指出其在網(wǎng)絡(luò)安全大數(shù)據(jù)背景下的重要意義。接著從AHP、博弈論、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等方面闡述了網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的研究現(xiàn)狀。通過對(duì)比發(fā)現(xiàn)，深度學(xué)習(xí)技術(shù)不需要手動(dòng)提取特征數(shù)據(jù)且在處理非線性分類問題上具有較好效果，但需要龐大的訓(xùn)練數(shù)據(jù)進(jìn)行調(diào)參且對(duì)計(jì)算能力要求較高，在實(shí)際網(wǎng)絡(luò)環(huán)境的運(yùn)用中還存在一定難度。當(dāng)前基于深度學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型通常是多種神經(jīng)網(wǎng)絡(luò)的結(jié)合或是對(duì)已知算法的改進(jìn)，尚未取得突破性進(jìn)展。Transformer、Bert及其衍生模型在自然語言處理領(lǐng)域取得了突破性進(jìn)展，已有相關(guān)研究人員通過遷移學(xué)習(xí)技術(shù)將其應(yīng)用于惡意網(wǎng)絡(luò)流量檢測(cè)當(dāng)中，并在訓(xùn)練效率和準(zhǔn)確率上取得了較大進(jìn)展。未來結(jié)合AE等特征提取手段，將自然語言表示模型運(yùn)用到網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域?qū)?huì)是不錯(cuò)的研究方向。最后結(jié)合灰色關(guān)聯(lián)分析、深度學(xué)習(xí)、動(dòng)態(tài)貝葉斯網(wǎng)絡(luò)等方法介紹了網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的相關(guān)研究現(xiàn)狀，將循環(huán)神經(jīng)網(wǎng)絡(luò)與SVM、DT等經(jīng)典分類模型相結(jié)合可以有效提高網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型的準(zhǔn)確性。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)是由多個(gè)組合部分相互貫穿而成的結(jié)合體，不同層次之間的信息交互將有效提高態(tài)勢(shì)感知的準(zhǔn)確性，系統(tǒng)內(nèi)的跨層融合是十分重要的，針對(duì)不同層面需要采取合適的技術(shù)以達(dá)到綜合感知網(wǎng)絡(luò)安全態(tài)勢(shì)的目的。總結(jié)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域面臨的關(guān)鍵問題并對(duì)未來研究方向進(jìn)行了展望。

(1)復(fù)雜網(wǎng)絡(luò)巨系統(tǒng)的態(tài)勢(shì)感知問題。面對(duì)復(fù)雜網(wǎng)絡(luò)巨系統(tǒng)，如何高效提取海量異構(gòu)的網(wǎng)絡(luò)安全數(shù)據(jù)并對(duì)其進(jìn)行融合分析是當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究的一個(gè)重點(diǎn)問題。對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行預(yù)處理和聚類是十分必要的，將其輸入至分布式大數(shù)據(jù)處理平臺(tái)可以大大提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的感知效率。采用特征選擇、降/過采樣、自動(dòng)編碼器、D-S證據(jù)理論與層次分析法相結(jié)合等方法在處理海量網(wǎng)絡(luò)安全數(shù)據(jù)錯(cuò)綜復(fù)雜的關(guān)系上取得了較好效果，但其在具體應(yīng)用方面仍有待進(jìn)一步的研究。

(2)人機(jī)交互問題。隨著人工智能技術(shù)的不斷發(fā)展，越來越多的應(yīng)用領(lǐng)域與智能化、無人化結(jié)合得更加緊密。目前的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)大多仍需分析人員進(jìn)行決策，耗費(fèi)了大量的人力資源。針對(duì)復(fù)雜多變的網(wǎng)絡(luò)安全環(huán)境，實(shí)現(xiàn)智能高效的自動(dòng)響應(yīng)與認(rèn)知意識(shí)控制將成為網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域的重要研究方向。

(3)算法協(xié)同問題。機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域取得了顯著成效，集成模型和投票機(jī)制可以將異構(gòu)的機(jī)器學(xué)習(xí)分類器相互組合運(yùn)用、取長(zhǎng)補(bǔ)短，進(jìn)而獲得更高的檢測(cè)性能?，F(xiàn)有的參數(shù)尋優(yōu)算法各有其優(yōu)缺點(diǎn)，找到合適的參數(shù)尋優(yōu)算法對(duì)提高網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估性能有著重要意義。

(4)對(duì)抗性攻擊問題。采取經(jīng)過欺騙性處理的攻擊數(shù)據(jù)可以輕易突破大多數(shù)基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型。針對(duì)該問題，基于博弈論或?qū)剐燥L(fēng)險(xiǎn)模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在靜態(tài)攻擊數(shù)據(jù)集上已經(jīng)取得了一定效果，但其在應(yīng)對(duì)動(dòng)態(tài)的對(duì)抗性攻擊方面仍有待進(jìn)一步的研究，基于深度強(qiáng)化學(xué)習(xí)算法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型將成為未來研究的重點(diǎn)方向。