CN113780443B - 一种面向威胁检测的网络安全态势评估方法 - Google Patents

Abstract

一种网络安全态势评估方法。其包括构建威胁检测模型；获取网络数据集；数据预处理；威胁检测模型训练；威胁检测模型验证及威胁检测；计算网络安全态势值；根据网络态势值进行网络安全态势量化评估等步骤。本发明构建的由并行稀疏自动编码器和注意力机制改进的双向门控循环单元组成的网络威胁检测模型可更加有效检测网络中威胁。行稀疏自动编码器模块解决单个稀疏自动编码器提取特征时所需时间长且不能很好拟合不同攻击类型的分布缺点；注意力机制改进的双向门控循环单元模块减少了冗余特征的计算，并对关键特征进行加权，提高了网络威胁检测能力。网络安全态势值可以直观地表示当前网络所处的状态，能更加可靠、高效地对网络安全态势进行评估。

Description

一种面向威胁检测的网络安全态势评估方法

技术领域

本发明属于网络信息安全技术领域，特别是涉及一种面向威胁检测的网络安全态势评估方法。

背景技术

随着通信和云计算技术的发展，计算机网络的应用在日常生活的各个领域越来越广泛。与此同时，恶意攻击或破坏造成的网络安全事件也越来越普遍，安全问题日益突出，许多国家和地区都面临着众多网络威胁。因此，全面掌握网络的整体安全状态是一个亟待解决的热点问题。网络安全态势评估可以根据相关安全事件构建合适的模型，进而评估网络***整体所遭受的威胁程度，帮助安全管理人员掌握当前网络状况。

自Bass提出网络安全态势评估概念以来，其一直是态势感知研究的主要课题，但相关理论尚不完善，没有一种能在实际的网络环境中发挥重要作用的态势评估方法。基于数学模型的方法受主观因素的影响大，缺少客观统一的标准；基于概率和知识的方法依赖于专家知识库和大量的规则推理；基于模式分类的评估方法规模大，特征提取困难。因此，这些传统的网络安全态势评估方法不能很好地应用。而深度学习的不断发展为网络安全态势评估提供了新的解决思路，其强大的学习能力能够在充满海量网络流量的网络环境中灵活、准确地检测出潜在的网络威胁，进而可以更加可靠和高效地进行网络安全态势评估。

发明内容

为了解决上述问题，本发明的目的在于提供一种面向威胁检测的网络安全态势评估方法。

为了达到上述目的，本发明提供的面向威胁检测的网络安全态势评估方法包括按顺序进行的下列步骤：

1)构建威胁检测模型的S1阶段：构建由并行稀疏自动编码器和注意力机制改进的双向门控循环单元网络组成的威胁检测模型；

2)获取网络数据集的S2阶段：获取由训练集KDDTrain+和测试集KDDTest+构成的NSL-KDD数据集；

3)数据预处理的S3阶段：对上述训练集KDDTrain+和测试集KDDTest+中存在的原始分类特征值进行特征数值化处理，由此将所有的原始分类特征值转换为有序的分类向量；然后将经过特征数值化处理后数据集中分类特征最小值与分类特征最大值之间存在显著差异的分类特征进行归一化处理，使其映射至[0,1]区间内，继而获得数据预处理后的训练集和测试集；

4)威胁检测模型训练的S4阶段：将上述步骤3)获得的数据预处理后的训练集输入到步骤1)构建的威胁检测模型中进行训练，得到训练后的威胁检测模型及其误报消减矩阵；

5)威胁检测模型验证及威胁检测的S5阶段：将上述步骤3)获得的数据预处理后的测试集输入到步骤4)中训练后的威胁检测模型中，以对该模型进行验证，获得训练好的威胁检测模型；之后将待评估网络的数据按步骤3)的方法处理后输入到上述训练好的威胁检测模型中，获得各种攻击类型发生次数N_i；

6)计算网络安全态势值的S6阶段：用步骤4)获得的误报消减矩阵修正上述步骤5)获得的各种攻击类型发生次数N_i，由此得到各种攻击类型发生的修正次数M_i，然后采用权系数生成算法计算得到各种攻击类型的威胁严重因子T_i，结合各种攻击类型发生的修正次数M_i和威胁严重因子T_i计算得到威胁严重度RL_i；再根据通用漏洞评分***和各类攻击对机密性、完整性、可用性的影响计算得到威胁影响度RI_i；最后根据威胁严重度RL_i和威胁影响度RI_i计算得到网络安全态势值SV；

7)根据网络态势值进行网络安全态势量化评估的S7阶段：参考《国家突发公共事件总体应急预案》，将网络安全态势值划分等级，然后根据上述步骤6)获得的网络安全态势值SV确定出待评估网络的安全态势评估等级。

在步骤2)中，所述NSL-KDD数据集中包含DoS、Probe、R2L和U2R四种攻击类型和一种正常数据，基本信息如表1所示：

表1、NSL-KDD数据集基本信息

在步骤3)中，所述特征数值化处理采用独热编码方式进行；

分类特征归一化处理的计算公式如下：

其中，X_min表示分类特征最小值，X_max表示分类特征最大值，X表示原始分类特征值，X^*表示归一化处理后的分类特征值。

在步骤4)中，所述将步骤3)获得的数据预处理后的训练集输入到步骤1)构建的威胁检测模型中进行训练的方法是：在训练过程中采用动态的学习率，预训练学习率为le-3，每一批次输入1024条数据，网络迭代训练次数为200次；经过迭代训练，得到训练好的威胁检测模型；

所述误报消减矩阵B具体表示为：

误报消减矩阵B是一个n阶矩阵，其中n代表攻击类型数据的个数；b_ij是模型测试结果为攻击类型i的样本个数中误报为攻击类型j的相对概率。

在步骤6)中，所述利用误报消减矩阵获得各种攻击类型发生的修正次数M_i的计算方法如下：

M_i＝N×[b_i1 b_i2 b_i3 … b_in] (8)

其中，N为各种攻击类型发生次数N_i组成的向量；

所述采用权系数生成算法计算得到各种攻击类型的威胁严重因子T_i的具体方法如下：

根据各种攻击类型对网络的威胁程度将n种攻击类型分成c个不同的威胁等级，其中1≤c≤n，设攻击类型i的威胁等级为d_i，则该攻击类型的威胁严重因子T_i的计算公式如下：

威胁严重度RL_i的计算公式如下：

威胁影响度RI_i的计算公式如下：

其中，w₁、w₂、w₃分别为威胁影响度的机密性C、完整性I、可用性A三个指标的权重，C_i、I_i、A_i分别为攻击类型i的机密性C、完整性I、可用性A影响分数，取值范围见表2所示的通用漏洞评分***中机密性、完整性、可用性的影响程度和分数；

表2、机密性、完整性、可用性的影响程度和分数

网络安全态势值SV的计算公式如下：

在步骤7)中，所述根据网络态势值进行网络安全态势量化评估的方法是：参考《国家突发公共事件总体应急预案》，将网络安全态势值划分成0.00～0.30、0.31～0.60、0.61～0.90、0.91～1.20和1.21～1.50共五个区间，分别对应于安全、低危、中危、高危和超危五个网络安全态势评估等级，然后根据上述步骤6)获得的网络安全态势值SV所在区间即可确定出对应的网络安全态势评估等级，由此获得网络安全的整体态势评估结果。

与现有技术相比，本发明提供的面向威胁检测的网络安全态势评估方法有如下有益效果：本发明构建的由并行稀疏自动编码器和注意力机制改进的双向门控循环单元组成的网络威胁检测模型可以更加有效地检测网络中的威胁。其中，并行稀疏自动编码器模块解决了单个稀疏自动编码器提取特征时所需时间长且不能很好的拟合不同攻击类型的分布的缺点；注意力机制改进的双向门控循环单元模块减少了冗余特征的计算，并对关键特征进行加权，提高了网络威胁检测能力。基于本发明方法计算出的网络安全态势值可以直观地表示当前网络所处的状态，能够更加可靠、高效地对网络安全态势进行评估。

附图说明

图1为本发明提供的面向威胁检测的网络安全态势评估方法流程图。

图2为本发明提供的并行稀疏自动编码器的网络结构图。

图3为本发明提供的注意力机制改进的双向门控循环单元的网络结构图。

图4为本发明提供的网络安全态势评估架构图。

图5为本发明中设计的模型与其他模型的性能对比示意图。

图6为采用不同方法的网络安全态势评估示意图。

具体实施方式

下面结合附图及具体实施例对本发明做进一步的说明，但下述实施例绝非对本发明有任何限制。

如图1所示，本发明提供的面向威胁检测的网络安全态势评估方法包括按顺序进行的下列步骤：

1)构建威胁检测模型的S1阶段：构建由图2所示的并行稀疏自动编码器(PSAE)和图3所示的注意力机制改进的双向门控循环单元网络(IBiGRU)组成的威胁检测模型(PSAE-IBiGRU)，该模型能够检测网络中的数据流量并将数据流量分成不同的类型；

2)获取网络数据集的S2阶段：获取由训练集KDDTrain+和测试集KDDTest+构成的NSL-KDD数据集；NSL-KDD数据集解决了KDD99数据集存在的问题，该数据集中包含DoS、Probe、R2L和U2R四种攻击类型和一种正常数据，其基本信息如表1所示；由于其训练集中不包含测试集中一些特定的攻击类型，这为威胁检测提供了更现实的理论基础；

表1、NSL-KDD数据集基本信息

3)数据预处理的S3阶段：对上述训练集KDDTrain+和测试集KDDTest+中存在的原始分类特征值采用独热编码进行特征数值化处理，由此将所有的原始分类特征值转换为有序的分类向量；然后将经过特征数值化处理后数据集中分类特征最小值与分类特征最大值之间存在显著差异的分类特征进行归一化处理，使其映射至[0,1]区间内，继而获得数据预处理后的训练集和测试集；

所述的分类特征归一化处理的计算公式如下：

其中，X_min表示分类特征最小值，X_max表示分类特征最大值，X表示原始分类特征值，X^*表示归一化处理后的分类特征值。

4)威胁检测模型训练的S4阶段：将上述步骤3)获得的数据预处理后的训练集输入到步骤1)构建的威胁检测模型中进行训练，在训练过程中采用动态的学习率，预训练学习率为le-3，每一批次输入1024条数据，网络迭代训练次数为200次；经过迭代训练，得到训练好的威胁检测模型及其误报消减矩阵；

所述误报消减矩阵B具体可表示为：

误报消减矩阵B是一个n阶矩阵，其中n代表攻击类型数据的个数；b_ij是模型测试结果为攻击类型i的样本个数中误报为攻击类型j的相对概率。

5)威胁检测模型验证及威胁检测的S5阶段：将上述步骤3)获得的数据预处理后的测试集输入到步骤4)中训练后的威胁检测模型中，以对该模型进行验证，获得训练好的威胁检测模型；之后将待评估网络的数据按步骤3)的方法处理后输入到上述训练好的威胁检测模型中，获得各种攻击类型发生次数N_i；

6)计算网络安全态势值的S6阶段：用步骤4)获得的误报消减矩阵修正上述步骤5)获得的各种攻击类型发生次数N_i，由此得到各种攻击类型发生的修正次数M_i，然后采用权系数生成算法计算得到各种攻击类型的威胁严重因子T_i，结合各种攻击类型发生的修正次数M_i和威胁严重因子T_i计算得到威胁严重度RL_i；再根据通用漏洞评分***和各类攻击对机密性、完整性、可用性的影响计算得到威胁影响度RI_i；最后根据威胁严重度RL_i和威胁影响度RI_i计算得到网络安全态势值SV；

所述利用误报消减矩阵获得各种攻击类型发生的修正次数M_i的计算方法如下：

M_i＝N×[b_i1 b_i2 b_i3 … b_in] (14)

其中，N为各种攻击类型发生次数N_i组成的向量。

所述采用权系数生成算法计算得到各种攻击类型的威胁严重因子T_i的具体方法如下：

根据各种攻击类型对网络的威胁程度将n种攻击类型分成c个不同的威胁等级，其中1≤c≤n，设攻击类型i的威胁等级为d_i，则该攻击类型的威胁严重因子T_i的计算公式如下：

威胁严重度RL_i的计算公式如下：

威胁影响度RI_i的计算公式如下：

其中，w₁、w₂、w₃分别为威胁影响度的机密性C、完整性I、可用性A三个指标的权重，C_i、I_i、A_i分别为攻击类型i的机密性C、完整性I、可用性A影响分数，取值范围见表2所示的通用漏洞评分***中机密性、完整性、可用性的影响程度和分数。

表2、机密性、完整性、可用性的影响程度和分数

网络安全态势值SV的计算公式如下：

7)根据网络态势值进行网络安全态势量化评估的S7阶段：参考《国家突发公共事件总体应急预案》，将网络安全态势值划分成0.00～0.30、0.31～0.60、0.61～0.90、0.91～1.20和1.21～1.50共五个区间，分别对应于安全、低危、中危、高危和超危五个网络安全态势评估等级，然后根据上述步骤6)获得的网络安全态势值SV所在区间即可确定出待评估网络的安全态势评估等级，由此获得待评估网络安全的整体态势评估结果。

图4是本发明搭建的面向威胁检测的网络安全态势评估的架构图，评估过程主要包括态势提取、态势分析和态势评估三个部分。

本发明中威胁检测模型的评价：

本发明选取正确分类为正常的样本数TN(True Negatives)、错误分类为正常的攻击样本数FN(False Negatives)、正确分类为攻击的样本数TP(True Positives)、错误分类为攻击的正常样本数FP(False Positives)作为参考值用于定义以下指标：

精确率P，指学习模型正确预测为攻击的个数与学习模型预测为攻击的样本总数的百分比，表示为：

召回率R，指学习模型正确预测为攻击的个数与真实类别为攻击的样本总数的百分比，表示为：

F1值，综合考虑了精确率P和召回率R，是衡量模型检测性能的重要指标，表示为：

图5为本发明中威胁检测模型与其他模型的性能对比示意图，由图5可见，本发明提供的威胁检测模型取得了较高的精确率，在召回率、F1值的表现上也均优于其他几类模型。

图6为采用不同方法的网络安全态势评估示意图，由图6可见，本发明提供的威胁检测模型计算出的网络安全态势值始终与真实网络安全态势值最接近，并且均与真实网络安全态势值处于同一态势评估等级区间。

Claims (6)

1.一种面向威胁检测的网络安全态势评估方法，其特征在于：所述的网络安全态势评估方法包括按顺序进行的下列步骤：

1)构建威胁检测模型的S1阶段：构建由并行稀疏自动编码器和注意力机制改进的双向门控循环单元网络组成的威胁检测模型；

2)获取网络数据集的S2阶段：获取由训练集KDDTrain+和测试集KDDTest+构成的NSL-KDD数据集；

3)数据预处理的S3阶段：对上述训练集KDDTrain+和测试集KDDTest+中存在的原始分类特征值进行特征数值化处理，由此将所有的原始分类特征值转换为有序的分类向量；然后将经过特征数值化处理后数据集中分类特征最小值与分类特征最大值之间存在显著差异的分类特征进行归一化处理，使其映射至[0,1]区间内，继而获得数据预处理后的训练集和测试集；

4)威胁检测模型训练的S4阶段：将上述步骤3)获得的数据预处理后的训练集输入到步骤1)构建的威胁检测模型中进行训练，得到训练后的威胁检测模型及其误报消减矩阵；

5)威胁检测模型验证及威胁检测的S5阶段：将上述步骤3)获得的数据预处理后的测试集输入到步骤4)中训练后的威胁检测模型中，以对该模型进行验证，获得训练好的威胁检测模型；之后将待评估网络的数据按步骤3)的方法处理后输入到上述训练好的威胁检测模型中，获得各种攻击类型发生次数N_i；

6)计算网络安全态势值的S6阶段：用步骤4)获得的误报消减矩阵修正上述步骤5)获得的各种攻击类型发生次数N_i，由此得到各种攻击类型发生的修正次数M_i，然后采用权系数生成算法计算得到各种攻击类型的威胁严重因子T_i，结合各种攻击类型发生的修正次数M_i和威胁严重因子T_i计算得到威胁严重度RL_i；再根据通用漏洞评分***和各类攻击对机密性、完整性、可用性的影响计算得到威胁影响度RI_i；最后根据威胁严重度RL_i和威胁影响度RI_i计算得到网络安全态势值SV；

7)根据网络态势值进行网络安全态势量化评估的S7阶段：参考《国家突发公共事件总体应急预案》，将网络安全态势值划分等级，然后根据上述步骤6)获得的网络安全态势值SV确定出待评估网络的安全态势评估等级。

2.根据权利要求1所述的面向威胁检测的网络安全态势评估方法，其特征在于：在步骤2)中，所述NSL-KDD数据集中包含DoS、Probe、R2L和U2R四种攻击类型和一种正常数据，基本信息如表1所示：

表1、NSL-KDD数据集基本信息

。

3.根据权利要求1所述的面向威胁检测的网络安全态势评估方法，其特征在于：在步骤3)中，所述特征数值化处理采用独热编码方式进行；

分类特征归一化处理的计算公式如下：

其中，X_min表示分类特征最小值，X_max表示分类特征最大值，X表示原始分类特征值，X^*表示归一化处理后的分类特征值。

4.根据权利要求1所述的面向威胁检测的网络安全态势评估方法，其特征在于：在步骤4)中，所述将步骤3)获得的数据预处理后的训练集输入到步骤1)构建的威胁检测模型中进行训练的方法是：在训练过程中采用动态的学习率，预训练学习率为le-3，每一批次输入1024条数据，网络迭代训练次数为200次；经过迭代训练，得到训练好的威胁检测模型；

所述误报消减矩阵B具体表示为：

误报消减矩阵B是一个n阶矩阵，其中n代表攻击类型数据的个数；b_ij是模型测试结果为攻击类型i的样本个数中误报为攻击类型j的相对概率。

5.根据权利要求1所述的面向威胁检测的网络安全态势评估方法，其特征在于：在步骤6)中，所述利用误报消减矩阵获得各种攻击类型发生的修正次数M_i的计算方法如下：

M_i＝N×[b_i1 b_i2 b_i3 … b_in] (2)

其中，N为各种攻击类型发生次数N_i组成的向量；

所述采用权系数生成算法计算得到各种攻击类型的威胁严重因子T_i的具体方法如下：

根据各种攻击类型对网络的威胁程度将n种攻击类型分成c个不同的威胁等级，其中1≤c≤n，设攻击类型i的威胁等级为d_i，则该攻击类型的威胁严重因子T_i的计算公式如下：

威胁严重度RL_i的计算公式如下：

威胁影响度RI_i的计算公式如下：

其中，w₁、w₂、w₃分别为威胁影响度的机密性C、完整性I、可用性A三个指标的权重，C_i、I_i、A_i分别为攻击类型i的机密性C、完整性I、可用性A影响分数，取值范围见表2所示的通用漏洞评分***中机密性、完整性、可用性的影响程度和分数；

表2、机密性、完整性、可用性的影响程度和分数

网络安全态势值SV的计算公式如下：

。

6.根据权利要求1所述的面向威胁检测的网络安全态势评估方法，其特征在于：在步骤7)中，所述根据网络态势值进行网络安全态势量化评估的方法是：参考《国家突发公共事件总体应急预案》，将网络安全态势值划分成0.00～0.30、0.31～0.60、0.61～0.90、0.91～1.20和1.21～1.50共五个区间，分别对应于安全、低危、中危、高危和超危五个网络安全态势评估等级，然后根据上述步骤6)获得的网络安全态势值SV所在区间即可确定出对应的网络安全态势评估等级，由此获得网络安全的整体态势评估结果。