1 绪论
1.1 课题的研究背景以及研究意义
据 CNNIC 在第 44 次统计报告中指出[1],到 2019 年 6 月为止,我国的网络用户数量又创新高,高达 8.54 亿,比 2018 年增长了近 2.6 万;互联网普及率增至 61.2%,比2018 年增长了 1.6%。随着网络规模的急剧增大,随之而来的网络环境也日趋复杂,同时网络安全问题也日益严峻。
如图 1-1 所示,在国家互联网应急中心发布的近几年网络态势报告中可以看出,虽然网络整体态势控制在“良”或者“中”等级,但是依然有主机感染网络病毒,且每周都有新增的安全漏洞。
1.1 课题的研究背景以及研究意义
据 CNNIC 在第 44 次统计报告中指出[1],到 2019 年 6 月为止,我国的网络用户数量又创新高,高达 8.54 亿,比 2018 年增长了近 2.6 万;互联网普及率增至 61.2%,比2018 年增长了 1.6%。随着网络规模的急剧增大,随之而来的网络环境也日趋复杂,同时网络安全问题也日益严峻。
如图 1-1 所示,在国家互联网应急中心发布的近几年网络态势报告中可以看出,虽然网络整体态势控制在“良”或者“中”等级,但是依然有主机感染网络病毒,且每周都有新增的安全漏洞。
......................
1.2 国内外研究现状
1.2.1 国外现状
国外来讲,对网络安全态势感知的研究工作进行得比较早且研究相对系统化,最早是 1988 年 Endsley[4]定义网络安全态势感知为 3 步:即“在网络的特定时空环境下,对网络要素的获取、态势理解、和未来态势的预测”,如图 1-2 所示:
1.2.1 国外现状
国外来讲,对网络安全态势感知的研究工作进行得比较早且研究相对系统化,最早是 1988 年 Endsley[4]定义网络安全态势感知为 3 步:即“在网络的特定时空环境下,对网络要素的获取、态势理解、和未来态势的预测”,如图 1-2 所示:
第 1 步——网络态势要素获取。主要是监测和获取网络环境中影响网络安全的态势要素,并对其进行实时收集、初步整理以及规范化等预处理操作,为态势理解做准备工作。
第 2 步——网络态势理解。将预处理好的态势要素数据进行关联分析,挖掘出其内部的有用信息,将当前网络的态势以定性或者定量的方式展示出来。
第 3 步——网络态势趋势预测。基于对目前已知环境网络态势的理解,进一步预测未来网络态势的趋势发展,为管理员提供决策支持。
...........................
2 相关技术介绍
2.1 态势感知技术
态势感知(Situational Awareness, SA)[23]源于航天的“人因工程”研究,之后在交通、军事、医疗等领域都有广泛的应用。态势既可以是对目前情况的一种定性定量描述,也可以是对未来发展趋势的一种预测,它是对整个网络运行状态的全局描述,从宏观的角度来进行理解和分析,所以说任何单一状态或者单一事件都不能称为态势[24]。而近年来态势感知也慢慢被应用到了网络安全领域,网络安全态势感知的发展经过了以下 4 个阶段:
(1)20 世纪 60 年代之前:此阶段的主要思想是建立一个绝对安全的系统,保证攻击不会发生,核心技术为软/硬件技术层面的架构设计。
(2)20 世纪 70 年代至 80 年代:此阶段主要构建一个安全辅助系统,在攻击发生时能检测并采取措施,核心技术为误用检测或者异常检测。
(3)20 世纪 90 年代:此阶段以主动防御为主并预防攻击的发生,尽量在攻击发生前制定防御策略,核心技术为攻击树、攻击图、状态图等攻击模型。
(4)21 世纪以后:此阶段为态势感知,主要是感知空间环境和时间环境中对网络安全产生影响的元素,把握网络空间整体的安全状况,同时预测未来态势变化的趋势,主要核心技术为 JDL、OODA、高级随机模型等。
2.1 态势感知技术
态势感知(Situational Awareness, SA)[23]源于航天的“人因工程”研究,之后在交通、军事、医疗等领域都有广泛的应用。态势既可以是对目前情况的一种定性定量描述,也可以是对未来发展趋势的一种预测,它是对整个网络运行状态的全局描述,从宏观的角度来进行理解和分析,所以说任何单一状态或者单一事件都不能称为态势[24]。而近年来态势感知也慢慢被应用到了网络安全领域,网络安全态势感知的发展经过了以下 4 个阶段:
(1)20 世纪 60 年代之前:此阶段的主要思想是建立一个绝对安全的系统,保证攻击不会发生,核心技术为软/硬件技术层面的架构设计。
(2)20 世纪 70 年代至 80 年代:此阶段主要构建一个安全辅助系统,在攻击发生时能检测并采取措施,核心技术为误用检测或者异常检测。
(3)20 世纪 90 年代:此阶段以主动防御为主并预防攻击的发生,尽量在攻击发生前制定防御策略,核心技术为攻击树、攻击图、状态图等攻击模型。
(4)21 世纪以后:此阶段为态势感知,主要是感知空间环境和时间环境中对网络安全产生影响的元素,把握网络空间整体的安全状况,同时预测未来态势变化的趋势,主要核心技术为 JDL、OODA、高级随机模型等。
根据国内外专家学者在态势感知上的研究,不管是 Endsley 模型,还是 Bass 模型,亦或是分层量化感知模型等,都有一个共通之处:态势感知即是对网络环境中影响网络安全的要素进行获取、理解,并运用数学模型、人工智能等方法进行关联分析,挖掘其中能表达网络态势的潜在信息,并且定性或者定量对网络的安全状态进行描述;同时借助历史态势完成对未来态势的预测。
由上可知,态势感知主要分为要素获取、态势评估以及态势预测。在态势感知中较为重要的是如何利用态势要素数据评估和预测网络态势状况,即对态势评估技术以及态势预测技术的研究,同时这两部分也是本文的研究重点。
由上可知,态势感知主要分为要素获取、态势评估以及态势预测。在态势感知中较为重要的是如何利用态势要素数据评估和预测网络态势状况,即对态势评估技术以及态势预测技术的研究,同时这两部分也是本文的研究重点。
.......................
2.2 态势评估技术
态势评估技术是利用获取好的态势要素数据,按照一定的模型和方法对其进行检测和分析,挖掘出能反应网络态势的潜在信息,量化网络安全态势状态,进一步为管理者提供决策支持。态势评估方法众多,主要有以下:
(1)基于灰色理论方法
2.2 态势评估技术
态势评估技术是利用获取好的态势要素数据,按照一定的模型和方法对其进行检测和分析,挖掘出能反应网络态势的潜在信息,量化网络安全态势状态,进一步为管理者提供决策支持。态势评估方法众多,主要有以下:
(1)基于灰色理论方法
基于灰色理论方法(Grey Theory,GT):通过对完全已知信息和完全未知信息的挖掘分析,提取出有用的关键信息,建立灰色模型,从而得出数据的变化规律。在实际应用中主要解决“认知不确定性”、“随机不确定性”、“少样本、少信息不确定性”等问题[25]。
文献[26]将网络攻击要素数据用灰色关联分析法来关联,并用统计技术以及专家系统给出的权重将主机、服务、网络 3 方面的态势信息进行融合,最后使用 Honeynet 数据集验证了该方法能准确有效地得出总体安全态势;文献[27]从信息保护以及信息防御方面分析了网络防护能力,并根据网络运行机制结合灰色理论构建网络能力评估模型,进而量化目标网络的防护能力。
(2)基于知识推理方法
基于知识推理方法(Knowledge Reasoning,KR):其凭借着专家经验和知识建立模型来分析网络的安全态势,其主要处理不确定信息问题。KR 法具有一定的智能性,它能模拟人类的思维来解决问题,能将已有的知识运用到推理中,但 KR 法的痛点在于无法很好地建立和维护模型所需要的相关推理知识。常用的 KR 法有贝叶斯网络、D-S证据理论等。
文献[28]使用贝叶斯网络来模糊和概率化处理态势要素,进而构建态势评估模型,结果表明其可以较好地反映态势动态变化的客观规律;文献[29]通过对攻击场景的分析来评估潜在的威胁,提出一种基于威胁传播的态势实时评估方法。
基于知识推理方法(Knowledge Reasoning,KR):其凭借着专家经验和知识建立模型来分析网络的安全态势,其主要处理不确定信息问题。KR 法具有一定的智能性,它能模拟人类的思维来解决问题,能将已有的知识运用到推理中,但 KR 法的痛点在于无法很好地建立和维护模型所需要的相关推理知识。常用的 KR 法有贝叶斯网络、D-S证据理论等。
文献[28]使用贝叶斯网络来模糊和概率化处理态势要素,进而构建态势评估模型,结果表明其可以较好地反映态势动态变化的客观规律;文献[29]通过对攻击场景的分析来评估潜在的威胁,提出一种基于威胁传播的态势实时评估方法。
...........................
3 基于攻击的态势评估模型......................................15
3.1 基于 Adam-BNDNN 的攻击检测模型............................... 15
3.1.1 DNN 的参数优化..................................15
3.1.2 Adam-BNDNN 的攻击检测模型.......................... 20
4 基于 GA-LSTM 的态势预测模型....................................37
4.1 LSTM 网络..................................37
4.2 遗传算法优化 LSTM 网络...................................39
4.2.1 遗传算法简介.............................................39
4.2.2 遗传算法对 LSTM 的优化.....................................41
5 总结与展望.....................................48
5.1 总结.............................48
5.2 展望......................................49
4 基于 GA-LSTM 的态势预测模型
4.1 LSTM 网络
循环神经网络(Recurrent Neural Network, RNN)[53]是一种改进的多层次神经网络,同样由输入层、隐含层和输出层组成,其隐藏层节点的输出结果仍然会保留在网络中,同下一个输入数据一起作用在下一次输出的计算中,可以有效地解决时间上长期依赖的问题。其结构如图 4-1 所示,RNN 是一个链式结构,由神经元结构可以看出,它与时间序列有着很大的关系,当前的隐含层节点不仅接收当前时间的输入信息,同样也接受了上一时间隐含层保留的信息。这就是 RNN 能够解决时间自相关问题的原因。对于网络流量数据而言,因其具有时间序列的特性,某一时刻的数据和历史数据存在时间上的依赖性,故而采用 RNN 来进行网络态势预测是不错的选择。
4.1 LSTM 网络
循环神经网络(Recurrent Neural Network, RNN)[53]是一种改进的多层次神经网络,同样由输入层、隐含层和输出层组成,其隐藏层节点的输出结果仍然会保留在网络中,同下一个输入数据一起作用在下一次输出的计算中,可以有效地解决时间上长期依赖的问题。其结构如图 4-1 所示,RNN 是一个链式结构,由神经元结构可以看出,它与时间序列有着很大的关系,当前的隐含层节点不仅接收当前时间的输入信息,同样也接受了上一时间隐含层保留的信息。这就是 RNN 能够解决时间自相关问题的原因。对于网络流量数据而言,因其具有时间序列的特性,某一时刻的数据和历史数据存在时间上的依赖性,故而采用 RNN 来进行网络态势预测是不错的选择。
.......................
5 总结与展望
5.1 总结
随着当前网络用户的急速增加,网络规模的逐步扩大,网络中的恶意行为也越发严重,且攻击者的网络攻击手段也越发多样化,这使得我们赖以生存的网络面临着极大挑战。虽然网络管理者已经意识到保障网络安全的重要性,也在网络环境中部署了多种安全设备(如 IDS、防火墙等),但是仍然无法很好地满足对网络安全进行整体评价的需求。在此情况下,网络管理者需要寻求一种能准确、快速地掌控整个网络安全当前态势以及发展趋势的解决方案,而态势感知就是针对此种需求提出的解决方法,也是近年来网络安全方向研究的热点内容。
态势评估以及态势预测是态势感知的核心部分,近年来随着人工智能的兴起,人工神经网络在各行各业得到充分地应用。本课题结合神经网络在网络安全方面的应用优势,从态势评估以及态势预测两方面进行研究,来提升网络安全态势的感知和预测能力,主要的研究工作有:
5.1 总结
随着当前网络用户的急速增加,网络规模的逐步扩大,网络中的恶意行为也越发严重,且攻击者的网络攻击手段也越发多样化,这使得我们赖以生存的网络面临着极大挑战。虽然网络管理者已经意识到保障网络安全的重要性,也在网络环境中部署了多种安全设备(如 IDS、防火墙等),但是仍然无法很好地满足对网络安全进行整体评价的需求。在此情况下,网络管理者需要寻求一种能准确、快速地掌控整个网络安全当前态势以及发展趋势的解决方案,而态势感知就是针对此种需求提出的解决方法,也是近年来网络安全方向研究的热点内容。
态势评估以及态势预测是态势感知的核心部分,近年来随着人工智能的兴起,人工神经网络在各行各业得到充分地应用。本课题结合神经网络在网络安全方面的应用优势,从态势评估以及态势预测两方面进行研究,来提升网络安全态势的感知和预测能力,主要的研究工作有:
(1)针对 DNN 在攻击检测上存在检测精度低、误报率高等问题,本文提出了一种融合批量规范化和深层神经网络的攻击检测模型。该模型在深层神经网络的隐藏层中添加了批量规范化层,优化隐藏层的输出结果,然后采用 Adam 自适应梯度下降优化算法对 BNDNN 进行参数自动优化,提高模型的异常检测能力。通过分析不同网络攻击对网络安全状况的影响情况,构建基于攻击因子的态势评估指标,该方法利用受到攻击的情况来体现主机当前态势状况,再根据网络中所有主机的态势信息综合计算整个网络的态势值并量化得出态势等级,实现了网络安全态势的感知。
(2)通过分析网络安全态势具有时序性的特点,结合上述获得的安全态势值,采用长短期记忆网络(LSTM)来解决态势预测问题;同时利用遗传算法(GA)优秀的学习能力以及全局搜索能力来优化 LSTM 的网络结构参数,建立了基于 GA-LSTM 的态势预测模型,实现了对网络安全态势的预测。
(3)为验证方法的有效性,本文使用 NSL-KDD 数据集对态势评估进行了实验,并与 SNN,KNN,DNN 等模型作对比,证明了态势感知模型的可行性、有效性;同时本文还采集了实时网络数据,利用真实的网络数据再次验证了态势评估模型的有效性;通过态势评估后的态势数据,用 GA-LSTM 完成态势的预测,并与标准化 LSTM 网络、时间序列分析法作对比,结果验证了本文预测模型的有效性。
参考文献(略)
(2)通过分析网络安全态势具有时序性的特点,结合上述获得的安全态势值,采用长短期记忆网络(LSTM)来解决态势预测问题;同时利用遗传算法(GA)优秀的学习能力以及全局搜索能力来优化 LSTM 的网络结构参数,建立了基于 GA-LSTM 的态势预测模型,实现了对网络安全态势的预测。
(3)为验证方法的有效性,本文使用 NSL-KDD 数据集对态势评估进行了实验,并与 SNN,KNN,DNN 等模型作对比,证明了态势感知模型的可行性、有效性;同时本文还采集了实时网络数据,利用真实的网络数据再次验证了态势评估模型的有效性;通过态势评估后的态势数据,用 GA-LSTM 完成态势的预测,并与标准化 LSTM 网络、时间序列分析法作对比,结果验证了本文预测模型的有效性。
参考文献(略)