CN112714130A

CN112714130A - 一种基于大数据自适应网络安全态势感知方法

Info

Publication number: CN112714130A
Application number: CN202011620905.0A
Authority: CN
Inventors: 王彭辉; 钱承山; 宗文杰
Original assignee: Nanjing University of Information Science and Technology
Current assignee: Nanjing University of Information Science and Technology
Priority date: 2020-12-30
Filing date: 2020-12-30
Publication date: 2021-04-27

Abstract

本发明公开了一种基于大数据自适应网络安全态势感知方法，属于网络信息系安全技术领域，本发明对网络安全态势的智能化实时监控，对潜在、恶意的网络行为变得无法控制之前进行安全态势的评估、防御、响应以及预警，供管理者及时给出响应的应对策略。本发明有助于对网络的全局安全性做出评估，方便网络管理者对安全策略的及时调整，并对后续的安全态势预测及态势可视化提供了技术支持。该模型能够利用自学习的误差逆反馈策略进行适应性的学习，从而检测网络大数据中动态变化的安全态势状况。本发明不但能够有效的处理实时网络数据流，而且能够发现高维数据流中隐藏的网络特征，从而弥补了网络安全态势感知模型在处理实时性问题方面的不足。

Description

一种基于大数据自适应网络安全态势感知方法

技术领域

本发明属于网络信息安全技术领域，具体涉及一种基于大数据自适应网络安全态势感知方法。

背景技术

随着社会的进步，互联网的出现带动了物联网、云计算等技术的产生，网络在人们的生活中的比重不断攀升，由于使用网络的人数和设备的激增，也导致了大数据的产生。

大量的数据中包含着许多重要信息，如银行账户信息、家庭住址信息、个人信息、国家安全信息等，这就会引发一些网络攻击，盗取信息或者恶意攻击等违法行为。

随着网络技术的发展，网络中的漏洞也越来越多，网络的攻击技术不断革新，新型的攻击工具大量涌现，传统的网络安全只是运用在单一的领域，并不能应对多方面的攻击，所以现在的网络安全问题越发严峻。

为了保证网络正常运行，需要实时监控网络当前运行状况以及预测网络未来的变化趋势，这也是现代网络管理和网络运维管理急需解决的问题。

发明内容

发明目的：本发明的目的在于提供一种基于大数据自适应网络安全态势感知方法，实现了在大规模网络环境下，对网络安全态势的智能化实时监控。

技术方案：为实现上述目的，本发明采用如下技术方案：

一种基于大数据自适应网络安全态势感知方法，包括如下步骤：

1)第一阶段是网络安全态势觉察，通过采用降低数据维度和数据关联的方法对数据进行预处理和分析，找出其特征和规律；

2)第二阶段是网络安全态势理解，根据识别出的攻击活动和它们的特征，定性、定量分析网络当前的安全状态和薄弱环节，进而判断异常网络状况之间的联系；

3)第三阶段是网络安全态势投射，根据基于长短记忆型循环神经网络算法训练的模型识别威胁数据，判断其态势状况和潜在的危险，并呈现预测曲线。

进一步地，所述的步骤1)中，首先通过数据采集模块完成数据采集，数据采集模块主要采集网络设备信息、网络日志及流量信息获取；使用采集到的数据库，并通过基于长短记忆型循环神经网络的算法训练基础模型；利用长短记忆型循环神经网络算法训练的基础模型检测互联网中的实时数据流，首先要对数据进行预处理，采用极大值规则化的方法使数据长度处于稳定范围，便于下一步分析；

所述的步骤2)中，在对数据进行预处理后，要将他们进行归并、关联，采动态时间规整算法使数据之间产生关联，便于基础模型检测；

所述的步骤3)中，经过处理后的数据，在通过长短记忆型循环神经网络模型收集实际在线数据时，利用建立的预测模型得到预测值；使用下一个采样时间的新观测数据作为上一个采样时间的真实值；将预测值与实际之间的误差加到总体样本误差中；最后利用误差最小化对模型参数进行迭代更新，随着在线数据的使用越来越多，模型得到的预测值越来越精确；

进一步地，所述的利用误差最小化对模型参数进行迭代更新是基于长短记忆型循环神经网络的更新公式，遗忘门f_t、

输入门i_t，输出门O_t，长记忆C_t，短记忆h_t，遗忘门的权重矩阵W_f，遗忘门的偏置项b_f，输入门的权重矩阵W_i，输入门的偏置项b_i，输出门的权重矩阵W_c，输出门的偏置项b_c，计算单元状态的权重矩阵W_o，计算单元的偏置项b_o：

在线上学习时，要对实时数据进行预处理，使得数据单位相同，数据范围在同一个值域，数据变化趋势在同一个状态幅度下。

进一步地，所述的极大值规则化的方法具体为：

设原始时间序列为X，规则化数据表示为X’，其中i、j代表数字角标，x_ij代表数据中的值，x_jmax表示数据中最大值：

x_jmax＝max{x_1j,x_2j,....x_ij}

极大值归一化方法变换后的数据范围落在[0，1]区间内，使数据更适合于分析。

进一步地，经过预处理的数据因结构属性发生了变化，为了使处理后的数据及其结构能够和检测模型适配，在模型匹配的过程中采用动态时间规整算法；规整路径的形式为w＝w₁,w₂,w₃....w_k，其中w_K＝(i,j)认为时间序列1的第i个点和时间序列2的第j个点是相似的，所有相似点的距离之和作为规整路径距离，用规整路径距离来衡量两个时间序列的相似性；规整路径距离越小，相似度越高；假设原始时间序列为X,Y它们的时间长度分别为|X|和|Y|，对于规整路径w＝w₁,w₂,w₃....w_k，有

Max(|x|,|y|)＜k＜|x|+|y|；

K表示两个序列最终被拉伸的长度；规整路径必须从w_K＝(|x|,|y|)开始，到w_k＝(|x|,|y|)结束，以保证原始时间序列X,Y的每个坐标点都出现一次；另外，规整路径w_K＝(i,j)中的i和j必须是单调递增的，所谓单调递增指的是：w_K＝(i,j)，w_k+1＝(i',j')，其中i＜i'＜i+1,j＜j'＜j+1；最后得到一个最短的规整路径：

D(i,j)＝Dist(i,j)+min{(i-1,k),D(i,j-1),D(i-1,j-1)}；

其中，Dist(i,j)表示X序列第i个点与Y序列第j个点之间的距离；D(i,j)衡量的是X序列前i个点与Y序列前j个点的相似性；通过动态时间算法解决了数据结构变化的问题，简化数据结构的同时也加快了检测速度。

进一步地，态势预测的算法步骤如下：

3.1)表示实际时间序列是X＝(x₁,x₂,...x_n)，将时间序列X扩展成矩阵

其中n为时间序列的长度，k为样本数量；训练样本被表示为y＝(x_k,x_k+1,...,x_n)；利用公式

对时间序列X进行标准化；

3.2)初始化网络参数并且设置超参数，

其中，M₁、M₂分别代表最大迭代次数Max_iter和误差阈值Error_Cost，L为LSTM细胞单元数，N为神经元层数，W_fb_f分别为忘记门权重和偏置；类似的，有输入门和输出门等等；

3.3)计算出需要忘记的细胞单元状态信息，

计算出遗忘门的输出

然后将遗忘门的输出乘以前一时刻的单元状态C_t-1；

3.4)计算t时刻哪些信息保存在细胞单元状态中，

此公式包括两个部分，第一部分是输入门i_t的输出，它决定了细胞单元需要更新值；第二部分是利用tanh函数来创建的新的候选向量C_t；然后用候选向量乘以输入门的输出；

3.5)计算出细胞单元状态

细胞单元状态是输入门和遗忘门状态结合的结果；

3.6)计算t时刻的网络输出

h_t＝σ(W_o·[h_t-1,x_t]+b_o)*tanh(C_t)；

首先计算输出门O_t，再将O_t乘以当前时刻的单元状态得到当前时刻的网络的输出；h_t为当前时刻的预测值；重复3到6步骤，计算出所有训练样本的预测值；

3.7)计算所有预测值y和真实值y的误差

使用BPTT算法进行自适应误差逆传播更新网络参数，迭代次数也加1，然后转到Step3，直到达到误差阈值或最大迭代次数，error>Error_Cost或者此时的迭代次数iter>Max_iter，则退出训练循环；

3.8)输入待更新的权重矩阵θ_o＝[W_f,W_i,W_c,W_o]，并利用NAWL算法对ILSTM网络模型参数进行训练；

θt＝θ_t-1-η[(1+γ)Z_t-γZ_t-1]；

由于参数初始化是添加新样本时历史样本的全局最优解，因此只需执行几个循环步骤就实现新样本下的全局最优解；

3.9)根据在观测数据实时更新参数方法，再添加新样本X_n+1(X_n-k+2,...,X_n+1)和θ_o进行3到6的前向传播，并且得到新样本的预测值h_n+1，

3.10)当下一采样时刻的预测值达到网络被攻击点，网络安全管理员会发出网络被攻击的警告并迅速做出反应，以防止网络进一步被攻击。

进一步地，所述的步骤3)中，将经过长短记忆型循环神经网络模型检测到的异常数据筛选出来存储到异常库中；在异常库中通过自适应误差逆传播神经网络算法更新模型的权值，然后利用更新后的基础模型与网络中的实时数据进行匹配，从而提高模型的检测率并降低误检率；最后根据本发明的的态势评估模型对网络中的大数据进行实时感知，对网安全态势做出预判。

有益效果：与现有技术相比，本发明的一种基于大数据自适应网络安全态势感知方法，实现了在大规模网络环境下，对网络安全态势的智能化实时监控，对潜在、恶意的网络行为变得无法控制之前进行安全态势的评估、防御、响应以及预警，供管理者及时给出响应的应对策略。本发明有助于对网络的全局安全性做出评估，方便网络管理者对安全策略的及时调整，并对后续的安全态势预测及态势可视化提供了技术支持。该模型能够利用自学习的误差逆反馈策略进行适应性的学习，从而检测网络大数据中动态变化的安全态势状况。本发明不但能够有效的处理实时网络数据流，而且能够发现高维数据流中隐藏的网络特征，从而弥补了网络安全态势感知模型在处理实时性问题方面的不足。自适应的学习能力和基于动态规划的模板匹配策略有效的减少了误检的可能同时将检测率提高了很多。

附图说明

图1网络安全态势感知模型；

图2基于长短记忆型循环神经网络态势序列预测算法流程图；

图3自适应网络安全态势感知模型。

具体实施方式

以下结合具体实施方式对本发明做进一步的说明。

如图1所示，一种基于大数据自适应网络安全态势感知方法，网络安全态势感知可分为3个阶段：第一阶段是网络安全态势觉察；第二阶段是网络安全态势理解；第三阶段是网络安全态势投射。

网络安全态势觉察过程，通过采用降低数据维度和数据关联的方法对数据进行预处理和分析，找出其特征和规律。网络安全态势理解过程，根据识别出的攻击活动和它们的特征，定性、定量分析网络当前的安全状态和薄弱环节，进而判断异常网络状况之间的联系，这一步是态势感知的核心。网络安全态势过程，根据基于ILSTM算法训练的模型识别威胁数据，判断其态势状况和潜在的危险，并呈现预测曲线。

线下学习。首先通过数据采集模块完成数据采集，数据采集模块主要采集网络设备信息、网络日志及流量信息获取。使用采集到的数据库，并通过基于长短记忆型循环神经网络的算法训练基础模型。

利用长短记忆型循环神经网络算法训练的基础模型检测互联网中的实时数据流，首先要对数据进行预处理，本发明采用极大值规则化的方法使数据长度处于稳定范围，便于下一步分析。在对数据进行预处理后，要将他们进行归并、关联，采动态时间规整算法使数据之间产生关联，便于基础模型检测。经过处理后的数据，在通过长短记忆型循环神经网络模型收集实际在线数据时，利用建立的预测模型可以得到预测值。使用下一个采样时间的新观测数据作为上一个采样时间的真实值。将预测值与实际之间的误差加到总体样本误差中。最后利用误差最小化对模型参数进行迭代更新，随着在线数据的使用越来越多，模型得到的预测值可以越来越精确。

基于长短记忆型循环神经网络的更新公式，遗忘门f_t、

在线上学习时，要对实时数据进行预处理，使得数据单位相同，数据范围在同一个值域，数据变化趋势在同一个状态幅度下。本发明采用极大值规则化的方法对数据进行预处理，设原始时间序列为X，规则化数据表示为X’，其中i、j代表数字角标，x_ij代表数据中的值，x_jmax表示数据中最大值：

x_jmax＝max{x_1j,x_2j,....x_ij}

经过预处理的数据因结构属性发生了变化，为了使处理后的数据及其结构能够和检测模型适配，在模型匹配的过程中采用动态时间规整算法。规整路径的形式为w＝w₁,w₂,w₃....w_k，其中w_K＝(i,j)认为时间序列1的第i个点和时间序列2的第j个点是相似的，所有相似点的距离之和作为规整路径距离，用规整路径距离来衡量两个时间序列的相似性。规整路径距离越小，相似度越高。假设原始时间序列为X,Y它们的时间长度分别为|X|和|Y|，对于规整路径w＝w₁,w₂,w₃....w_k，有

Max(|x|,|y|)＜k＜|x|+|y|；

K表示两个序列最终被拉伸的长度。规整路径必须从w_K＝(|x|,|y|)开始，到w_k＝(|x|,|y|)结束，以保证X,Y序列的每个坐标点都出现一次。另外，规整路径w_K＝(i,j)中的i和j必须是单调递增的，所谓单调递增指的是：w_K＝(i,j)，w_k+1＝(i',j')，其中i＜i'＜i+1,j＜j'＜j+1。最后得到一个最短的规整路径：

D(i,j)＝Dist(i,j)+min{(i-1,k),D(i,j-1),D(i-1,j-1)}；

其中，Dist(i,j)表示X序列第i个点与Y序列第j个点之间的距离。D(i,j)衡量的是X序列前i个点与Y序列前j个点的相似性。通过动态时间算法解决了数据结构变化的问题，简化数据结构的同时也加快了检测速度。

态势预测的算法步骤如下：

1)表示实际时间序列是X＝(x₁,x₂,...x_n)，将时间序列X扩展成矩阵

其中n为时间序列的长度，k为样本数量。训练样本被表示为y＝(x_k,x_k+1,...,x_n)。利用公式

对时间序列X进行标准化。

2)初始化网络参数并且设置超参数，

其中，M₁、M₂分别代表最大迭代次数Max_iter和误差阈值Error_Cost，L为LSTM细胞单元数，N为神经元层数，W_fb_f分别为忘记门权重和偏置。类似的，有输入门和输出门等等。

3)计算出需要忘记的细胞单元状态信息，

计算出遗忘门的输出

然后将遗忘门的输出乘以前一时刻的单元状态C_t-1。

4)计算t时刻哪些信息可以保存在细胞单元状态中，

此公式包括两个部分，第一部分是输入门i_t的输出，它决定了细胞单元需要更新值；第二部分是利用tanh函数来创建的新的候选向量C_t。然后用候选向量乘以输入门的输出。

5)计算出细胞单元状态

细胞单元状态是输入门和遗忘门状态结合的结果。

6)计算t时刻的网络输出

h_t＝σ(W_o·[h_t-1,x_t]+b_o)*tanh(C_t)；

首先计算输出门O_t，再将O_t乘以当前时刻的单元状态得到当前时刻的网络的输出。h_t为当前时刻的预测值。重复3到6步骤，计算出所有训练样本的预测值。

7)计算所有预测值y和真实值y的误差

使用BPTT算法进行自适应误差逆传播更新网络参数，迭代次数也加1，然后转到Step3，直到达到误差阈值或最大迭代次数，error>Error_Cost或者此时的迭代次数iter>Max_iter，则退出训练循环。

8)输入待更新的权重矩阵θ_o＝[W_f,W_i,W_c,W_o]，并利用NAWL算法对ILSTM网络模型参数进行训练。

θt＝θ_t-1-η[(1+γ)Z_t-γZ_t-1]；

由于参数初始化是添加新样本时历史样本的全局最优解，因此只需执行几个循环步骤就可以实现新样本下的全局最优解。

9)根据在观测数据实时更新参数方法，再添加新样本X_n+1(X_n-k+2,...,X_n+1)和θ_o进行3到6的前向传播，并且得到新样本的预测值h_n+1，

10)当下一采样时刻的预测值达到网络被攻击点，网络安全管理员会发出网络被攻击的警告并迅速做出反应，以防止网络进一步被攻击。

将经过长短记忆型循环神经网络模型检测到的异常数据筛选出来存储到异常库中。在异常库中通过自适应误差逆传播神经网络算法更新模型的权值，然后利用更新后的基础模型与网络中的实时数据进行匹配，从而提高模型的检测率并降低误检率。最后根据本发明的的态势评估模型对网络中的大数据进行实时感知，对网安全态势做出预判。

实施例

参阅图1-3所示，本发明实施例中的一种基于大数据自适应网络安全态势感知方法，包括以下步骤：

第一步，训练生成基础模型。在训练数据集中，正常网络数据相对比较少，而异常网络数据的比例很高，这和正常的网络环境有很大的差异，因此需要对采集到的数据进行一些预处理，把经过处理的数据集，通过线下学习生成基础模型。

第二步预处理网络实时数据流。通过极大值归一化方法对实时数据进行降维处理，去除类似的警报信息，提取数据的特征属性，并对警报数据进行分析、去噪、分类等操作，使得数据有利于后续的分析；

第三步进行态势察觉。数据预处理完成后，数据维度降低包含的特征属性较少，而且所包含的属性数目也不同，因此数据之间存在异同，故采用基于动态时间规整的方法进行数据处理，处理后的数据单位相同，数据范围在同一个值域，数据变化趋势在同一个状态幅度下。利用这种方法在把数据记录进行匹配时，不论是原始模型还是动态更新后的模型都是有效的。当数据处理结束后，就利用模板进行数据的匹配完成数据特征的识别，对每一条数据记录按照属性特征进行归类；

第四步异常库更新。在利用基础模型进行检测网络中的实时数据，因为模型匹配的检测率无法完全覆盖，因此必然会存在误检和漏检的情况。利用一种新颖的无监督方法将特征不明显或者不属于已知类型的数据记录进行模糊聚类分析，从而找到漏检或误检的数据，生成一个异常库，将新的异常数据存储到异常库中；

第五步一旦新的异常库生成就进行在线学习。利用新异常更新基础模型库，并为每一个模板分配权重，通过误差逆传播算法更新每一个权值，在基础模型库中按照每一个模板的权重进行排序，这样源源不断到达的网络数据记录优先和权重高的模板进行匹配，不但提高模型的处理效率，同时降低模型的误检率。

经过以上五步，本模型可以自动适应不但能够有效的处理实时网络数据流，而且能够发现高维数据流中隐藏的网络特征，从而弥补了网络安全态势感知模型在处理实时性问题方面的不足。自适应的学习能力和基于动态规划的模型匹配策略有效的减少了误检的可能，同时将检测率提高了很多。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，上述实施例的技术特征可进行任意组合，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于大数据自适应网络安全态势感知方法，其特征在于：包括如下步骤：

2.根据权利要求1所述的一种基于大数据自适应网络安全态势感知方法，其特征在于：所述的步骤1)中，首先通过数据采集模块完成数据采集，数据采集模块采集网络设备信息、网络日志及流量信息获取；使用采集到的数据库，并通过基于长短记忆型循环神经网络的算法训练基础模型；利用长短记忆型循环神经网络算法训练的基础模型检测互联网中的实时数据流，首先要对数据进行预处理，采用极大值规则化的方法使数据长度处于稳定范围，便于下一步分析；

所述的步骤3)中，经过处理后的数据，在通过长短记忆型循环神经网络模型收集实际在线数据时，利用建立的预测模型得到预测值；使用下一个采样时间的新观测数据作为上一个采样时间的真实值；将预测值与实际之间的误差加到总体样本误差中；最后利用误差最小化对模型参数进行迭代更新。

3.根据权利要求2所述的一种基于大数据自适应网络安全态势感知方法，其特征在于：所述的利用误差最小化对模型参数进行迭代更新是基于长短记忆型循环神经网络的更新公式，遗忘门f_t、

4.根据权利要求3所述的一种基于大数据自适应网络安全态势感知方法，其特征在于：所述的极大值规则化的方法具体为：

设原始时间序列为X，规则化数据表示为X’，其中i、j代表数字角标，x_ij代表数据中的值，x_jmax表示数据中最大值，则：

x_jmax＝max{x_1j,x_2j,....x_ij}

5.根据权利要求4所述的一种基于大数据自适应网络安全态势感知方法，其特征在于：所述的步骤2中，在对数据进行预处理后，为了使处理后的数据及其结构能够和检测模型适配，在模型匹配的过程中采用动态时间规整算法；规整路径的形式为w＝w₁,w₂,w₃....w_k，其中w_K＝(i,j)认为时间序列1的第i个点和时间序列2的第j个点是相似的，所有相似点的距离之和作为规整路径距离，用规整路径距离来衡量两个时间序列的相似性；；假设原始时间序列为X,Y它们的时间长度分别为|X|和|Y|，对于规整路径w＝w₁,w₂,w₃....w_k，有

Max(|x|,|y|)＜k＜|x|+|y|；

D(i,j)＝Dist(i,j)+min{(i-1,k),D(i,j-1),D(i-1,j-1)}；

其中，Dist(i,j)表示X序列第i个点与Y序列第j个点之间的距离；D(i,j)衡量的是X序列前i个点与Y序列前j个点的相似性。

6.根据权利要求5所述的一种基于大数据自适应网络安全态势感知方法，其特征在于：所述的步骤3)中，判断其态势状况中，态势预测的算法步骤如下：

对时间序列X进行标准化；

3.2)初始化网络参数并且设置超参数，

3.3)计算出需要忘记的细胞单元状态信息，

计算出遗忘门的输出

然后将遗忘门的输出乘以前一时刻的单元状态C_t-1；

3.4)计算t时刻哪些信息保存在细胞单元状态中，

3.5)计算出细胞单元状态

C_t，

细胞单元状态是输入门和遗忘门状态结合的结果；

3.6)计算t时刻的网络输出

h_t＝σ(W_o·[h_t-1,x_t]+b_o)*tanh(C_t)；

3.7)计算所有预测值y和真实值y的误差

θt＝θ_t-1-η[(1+γ)Z_t-γZ_t-1]；

7.根据权利要求6所述的一种基于大数据自适应网络安全态势感知方法，其特征在于：所述的步骤3)中，将经过长短记忆型循环神经网络模型检测到的异常数据筛选出来存储到异常库中；在异常库中通过自适应误差逆传播神经网络算法更新模型的权值，然后利用更新后的基础模型与网络中的实时数据进行匹配，从而提高模型的检测率并降低误检率；最后根据本发明的的态势评估模型对网络中的大数据进行实时感知，对网安全态势做出预判。