計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及預(yù)測(cè)方法研究

摘要：該研究通過評(píng)估并預(yù)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)，旨在幫助相關(guān)工作人員及時(shí)發(fā)現(xiàn)漏洞、惡意代碼、網(wǎng)絡(luò)攻擊等安全風(fēng)險(xiǎn)，并及時(shí)采取預(yù)防措施，防止安全事件的發(fā)生。在該次研究中，相關(guān)工作人員基于CAE-DNN-FL模型，進(jìn)行網(wǎng)絡(luò)攻擊識(shí)別，構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。在此基礎(chǔ)上，制定網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法，以期為相關(guān)部門提供及時(shí)的預(yù)警以及決策支持，提升其網(wǎng)絡(luò)安全水平。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)；態(tài)勢(shì)等級(jí)

中圖分類號(hào)：TN929 文獻(xiàn)標(biāo)志碼：A

0 引言

隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)安全問題日益凸顯，并引起了廣泛關(guān)注。各種惡意攻擊、數(shù)據(jù)泄露、網(wǎng)絡(luò)病毒等安全威脅，對(duì)個(gè)人、組織和國家的網(wǎng)絡(luò)健康以及信息安全產(chǎn)生了嚴(yán)重的影響。為應(yīng)對(duì)這些挑戰(zhàn)，相關(guān)工作人員積極尋找高效的計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及預(yù)測(cè)方法。在實(shí)際應(yīng)用中，這些方法用于網(wǎng)絡(luò)威脅情報(bào)分析、入侵檢測(cè)與防御、風(fēng)險(xiǎn)管理與決策支持等領(lǐng)域。隨著技術(shù)的不斷進(jìn)步和威脅的持續(xù)演變，該領(lǐng)域的研究也在不斷發(fā)展和完善，以應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。通過深入研究和創(chuàng)新，計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及預(yù)測(cè)方法將為網(wǎng)絡(luò)安全提供更加可靠的保障。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法

1.1 基于CAE-DNN-FL模型的網(wǎng)絡(luò)攻擊識(shí)別

1.1.1 模型構(gòu)建

（1）特征提取。

在處理網(wǎng)絡(luò)流量數(shù)據(jù)時(shí)，由于其往往呈現(xiàn)大規(guī)模和高維度的特性，因此在構(gòu)建模型之前，需要對(duì)數(shù)據(jù)進(jìn)行特征提取，通過這種方式降低數(shù)據(jù)維度并保留關(guān)鍵信息。該次研究中，工作人員運(yùn)用統(tǒng)計(jì)特征、頻譜分析、小波變換等多元化的特征提取方法，從原始網(wǎng)絡(luò)流量數(shù)據(jù)中提煉出富有意義的特征。

（2）攻擊識(shí)別。

在特征提取之后，使用深度神經(jīng)網(wǎng)絡(luò) （Deep Neural Networks，DNN）進(jìn)行攻擊識(shí)別。DNN 是一種多層神經(jīng)網(wǎng)絡(luò)，具有強(qiáng)大的模式識(shí)別和學(xué)習(xí)能力［1］。通過將提取到的特征作為輸入，DNN可以學(xué)習(xí)網(wǎng)絡(luò)攻擊的模式和規(guī)律，對(duì)新的網(wǎng)絡(luò)流量進(jìn)行分類，判斷其是否屬于攻擊行為，如圖1所示。

（3）不均衡數(shù)據(jù)處理。

在網(wǎng)絡(luò)流量數(shù)據(jù)中，攻擊樣本通常比正常樣本少得多，導(dǎo)致數(shù)據(jù)集的不均衡性。為了解決這個(gè)問題，研究人員利用過采樣增加少數(shù)類樣本的數(shù)量，同時(shí)利用欠采樣減少多數(shù)類樣本的數(shù)量，引入SMOTE算法使得數(shù)據(jù)集更加平衡，提高模型對(duì)少數(shù)類攻擊的識(shí)別能力。

1.1.2 模型訓(xùn)練

該模型的訓(xùn)練流程包括數(shù)據(jù)準(zhǔn)備、特征提取、CAE模型訓(xùn)練、DNN模型訓(xùn)練、不均衡數(shù)據(jù)處理、FL模型訓(xùn)練和模型評(píng)估。（1）準(zhǔn)備包含正常網(wǎng)絡(luò)流量和各類攻擊流量的數(shù)據(jù)集。然后，利用CAE對(duì)流量數(shù)據(jù)進(jìn)行特征提取，以降低維度并保留重要信息。（2）使用CAE和DNN進(jìn)行模型訓(xùn)練，其中，DNN通過學(xué)習(xí)網(wǎng)絡(luò)攻擊的模式和規(guī)律進(jìn)行攻擊識(shí)別。為了解決數(shù)據(jù)集不均衡的問題，采用過采樣、欠采樣或合成樣本生成等方法［2］。（3）使用聯(lián)邦學(xué)習(xí)進(jìn)行模型訓(xùn)練，實(shí)現(xiàn)分布式學(xué)習(xí)和隱私保護(hù)。在訓(xùn)練完成后，使用測(cè)試集對(duì)模型進(jìn)行評(píng)估。該模型的綜合應(yīng)用可以提高網(wǎng)絡(luò)攻擊識(shí)別的性能和數(shù)據(jù)隱私保護(hù)能力，如圖2所示。

1.2 基于網(wǎng)絡(luò)攻擊行為的態(tài)勢(shì)評(píng)估量化

1.2.1 態(tài)勢(shì)指標(biāo)構(gòu)建原則

（1）可比性與衡量標(biāo)準(zhǔn)。指標(biāo)應(yīng)具有可比性，能夠?qū)Σ煌木W(wǎng)絡(luò)環(huán)境和時(shí)間段進(jìn)行比較。為了實(shí)現(xiàn)可比性，該次研究使用了統(tǒng)一的衡量標(biāo)準(zhǔn)以及計(jì)量單位來描述指標(biāo)。

（2）動(dòng)態(tài)性與實(shí)時(shí)性。網(wǎng)絡(luò)攻擊態(tài)勢(shì)是動(dòng)態(tài)變化的，因此指標(biāo)應(yīng)該能夠隨著時(shí)間的推移進(jìn)行更新和調(diào)整。指標(biāo)的構(gòu)建應(yīng)該考慮實(shí)時(shí)數(shù)據(jù)的獲取，以及對(duì)不同時(shí)間段的比較和分析。

（3）敏感性與準(zhǔn)確性。指標(biāo)應(yīng)該能夠敏感地反映網(wǎng)絡(luò)攻擊的變化與趨勢(shì)。指標(biāo)的構(gòu)建應(yīng)該能夠捕捉到攻擊的細(xì)微變化，并能夠提供準(zhǔn)確的信息，以支持決策者進(jìn)行有效的安全管理。

1.2.2 態(tài)勢(shì)評(píng)估量化

（1）定義攻擊概率因子p。確定需要考慮的攻擊類型以及攻擊源，并根據(jù)攻擊歷史數(shù)據(jù)分析攻擊的概率。考慮因素可能包括攻擊頻率、攻擊成功率、攻擊持續(xù)時(shí)間等，根據(jù)實(shí)際情況選擇合適的指標(biāo)作為攻擊概率因子。

（2）定義攻擊數(shù)量因子M。考慮不同類型的攻擊事件數(shù)量對(duì)態(tài)勢(shì)的影響，可以定義攻擊數(shù)量因子來表示。根據(jù)攻擊類型的嚴(yán)重程度和影響范圍，給予不同類型攻擊事件相應(yīng)的權(quán)重，以便量化影響。

（3）定義單攻擊數(shù)量因子Mi?？紤]到攻擊事件中可能存在多個(gè)攻擊對(duì)象或目標(biāo)，可以對(duì)單攻擊的數(shù)量進(jìn)行分析和度量?？梢远x單攻擊數(shù)量因子，用于衡量每個(gè)攻擊事件中涉及的單個(gè)目標(biāo)數(shù)量，進(jìn)一步細(xì)化攻擊數(shù)量的指標(biāo)。

（4）定義攻擊影響因子Ii?？紤]到攻擊對(duì)系統(tǒng)或網(wǎng)絡(luò)的影響，可以定義攻擊影響因子來衡量攻擊事件的嚴(yán)重程度和影響范圍?？紤]影響因素可能包括數(shù)據(jù)泄露、系統(tǒng)癱瘓、服務(wù)不可用等，并根據(jù)實(shí)際情況選擇適當(dāng)?shù)闹笜?biāo)對(duì)其進(jìn)行度量［3］。

在確立各因子后，可根據(jù)實(shí)際需求對(duì)其進(jìn)行權(quán)衡與量化。通過數(shù)學(xué)模型、統(tǒng)計(jì)分析及專家評(píng)判等手段，確定各因子的權(quán)重與衡量方式。針對(duì)具體情況，可對(duì)各因子進(jìn)行加權(quán)綜合計(jì)算，從而得出最終的態(tài)勢(shì)指標(biāo)結(jié)果。為便于理解，研究人員利用可視化工具或儀表盤展示指標(biāo)成果，以供決策者及相關(guān)人員分析參考［4］。

該次研究中，工作人員使用滑動(dòng)窗口機(jī)制，對(duì)一段時(shí)間內(nèi)的所有網(wǎng)絡(luò)攻擊，對(duì)于系統(tǒng)所造成的影響進(jìn)行綜合考量。其計(jì)算公式如下：

公式（1）中，R代表某一個(gè)時(shí)間段內(nèi)，網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)值，p代表受到網(wǎng)絡(luò)攻擊的概率，n代表攻擊類型總和。

1.2.3 態(tài)勢(shì)等級(jí)劃分

根據(jù)2006年國務(wù)院出臺(tái)的《國家突發(fā)公共事件應(yīng)急預(yù)案》中的相關(guān)規(guī)定，網(wǎng)絡(luò)安全事件可劃分為5個(gè)等級(jí)，如表1所示。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法

2.1 構(gòu)建數(shù)據(jù)集

該次研究中，研究人員收集網(wǎng)絡(luò)安全歷史數(shù)據(jù)，并根據(jù)預(yù)測(cè)的時(shí)間范圍進(jìn)行劃分，劃分為訓(xùn)練集和測(cè)試集。對(duì)每條網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、特征提取、標(biāo)簽定義等預(yù)處理行為，將數(shù)據(jù)轉(zhuǎn)化為時(shí)間序列的形式，并按照一定的時(shí)間窗口大小劃分為輸入序列和對(duì)應(yīng)的目標(biāo)序列。

2.2 搭建時(shí)間卷積網(wǎng)絡(luò)TCN

研究人員定義TCN的網(wǎng)絡(luò)結(jié)構(gòu)，并采用不同的層數(shù)以及卷積核大小進(jìn)行調(diào)優(yōu)。每個(gè)網(wǎng)絡(luò)層包括一個(gè)因果卷積層、一個(gè)非線性激活層和一個(gè)下采樣池化層。使用不同的正則化方法，如批量歸一化或者丟棄法，提高模型的泛化能力和防止過擬合。

2.3 訓(xùn)練預(yù)測(cè)模型

研究人員使用訓(xùn)練集的時(shí)間序列數(shù)據(jù)作為輸入，預(yù)測(cè)目標(biāo)序列作為標(biāo)簽，對(duì)TCN模型進(jìn)行訓(xùn)練。選擇合適的優(yōu)化算法（如隨機(jī)梯度下降）、損失函數(shù)（如均方誤差、交叉熵）和評(píng)價(jià)指標(biāo)（如準(zhǔn)確率、召回率）來進(jìn)行模型優(yōu)化和評(píng)估。迭代訓(xùn)練過程，通過反向傳播算法更新模型的權(quán)重參數(shù)，使模型逐漸收斂并提升預(yù)測(cè)能力。根據(jù)訓(xùn)練集和測(cè)試集的損失函數(shù)值和評(píng)價(jià)指標(biāo)，對(duì)模型進(jìn)行調(diào)整和優(yōu)化，以提高預(yù)測(cè)的準(zhǔn)確性和魯棒性。其偽代碼片段為：

上述偽代碼中，首先定義了訓(xùn)練數(shù)據(jù)集和標(biāo)簽。然后根據(jù)輸入?yún)?shù)定義了TCN網(wǎng)絡(luò)結(jié)構(gòu)，并創(chuàng)建了TCN模型實(shí)例。接下來，定義了優(yōu)化器、損失函數(shù)和評(píng)估指標(biāo)。通過編譯模型后，使用訓(xùn)練數(shù)據(jù)進(jìn)行模型訓(xùn)練［5］。最后，使用測(cè)試數(shù)據(jù)進(jìn)行模型預(yù)測(cè)，得到預(yù)測(cè)結(jié)果。請(qǐng)根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整和修改。

2.4 實(shí)驗(yàn)結(jié)果分析

研究人員為驗(yàn)證TCN模型的實(shí)用性以及準(zhǔn)確度，引入SVM模型以及RNN模型進(jìn)行對(duì)比實(shí)驗(yàn)，如表2所示。

分析表3可以發(fā)現(xiàn)，與SVM模型以及RNN模型相比，TCN模型的五組樣本，其預(yù)測(cè)精度與實(shí)際值更為接近，證明該模型具有良好的預(yù)測(cè)準(zhǔn)確性，能夠有效減少預(yù)測(cè)誤差。

3 結(jié)語

該研究通過對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行分析與建模，評(píng)估和預(yù)測(cè)網(wǎng)絡(luò)的安全態(tài)勢(shì)，提前發(fā)現(xiàn)潛在的威脅與風(fēng)險(xiǎn)，從而采取相應(yīng)的防御措施。通過對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行分析、建模，可以提前發(fā)現(xiàn)并應(yīng)對(duì)潛在的網(wǎng)絡(luò)威脅，為企業(yè)提供有效的網(wǎng)絡(luò)安全保護(hù)策略。隨著網(wǎng)絡(luò)環(huán)境的不斷演化，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及預(yù)測(cè)方法仍然面臨挑戰(zhàn)，包括數(shù)據(jù)隱私保護(hù)、模型的泛化能力等問題，需要進(jìn)一步深入研究與探索。

參考文獻(xiàn)

［1］羅宏芳，王春枝.基于貝葉斯攻擊圖的光網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)研究［J］.激光雜志，2023（8）：134-138.

［2］孫伊然.中國對(duì)外經(jīng)濟(jì)關(guān)系的演進(jìn)態(tài)勢(shì)與戰(zhàn)略內(nèi)涵［J］.世界經(jīng)濟(jì)研究，2023（8）：3-14，135.

［3］詹雪.物聯(lián)網(wǎng)技術(shù)在艦船網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警中的應(yīng)用［J］.艦船科學(xué)技術(shù)，2023（15）：123-126.

［4］劉鵬舉.基于深度神經(jīng)網(wǎng)絡(luò)的物聯(lián)網(wǎng)安全態(tài)勢(shì)自動(dòng)辨識(shí)算法設(shè)計(jì)［J］.吉林大學(xué)學(xué)報(bào)（工學(xué)版），2023（7）：2121-2126.

［5］李澤慧，徐沛東，鄔陽，等.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)應(yīng)用研究［J］.計(jì)算機(jī)應(yīng)用與軟件，2023（7）：337-341.

Research on computer network security situation assessment and forecasting method Phase embellish tong

Abstract： This study aims to assess and predict the cybersecurity posture by helping relevant personnel detect vulnerabilities， malicious code， network attacks， and other security risks in a timely manner. The CAE-DNN-FL model is utilized for network attack identification， thereby constructing a cybersecurity posture assessment model. Based on this， a method for predicting cybersecurity posture is developed to provide timely alerts and decision support for relevant departments， enhancing their cybersecurity readiness and capabilities.

Key words： computer network; situation forecast of network security; situation level

··