張艾森

(上海工業(yè)自動(dòng)化儀表研究有限公司，上海 200233)

0 引言

無(wú)線通信網(wǎng)絡(luò)是互聯(lián)網(wǎng)行業(yè)中的一種新型網(wǎng)絡(luò)，為無(wú)線通信提供了更多的可能[1]。但是，隨著無(wú)線通信網(wǎng)絡(luò)的發(fā)展和完善，其網(wǎng)絡(luò)安全問(wèn)題日益突出，因通信信息泄漏所造成的通信詐騙，以及危及人們?nèi)松碡?cái)產(chǎn)安全的問(wèn)題不斷涌現(xiàn)[2]。為了應(yīng)對(duì)無(wú)線通信網(wǎng)絡(luò)攻擊，相關(guān)學(xué)者研究出防火墻、數(shù)字加密、防病毒程序等網(wǎng)絡(luò)安全保護(hù)措施，以提升無(wú)線通信網(wǎng)絡(luò)的安全性[3]。然而，這些技術(shù)在實(shí)際應(yīng)用過(guò)程中卻出現(xiàn)了防護(hù)功能有限、檢測(cè)技術(shù)落后、加密不斷被破解等問(wèn)題。

因此，國(guó)內(nèi)外研究出了解決網(wǎng)絡(luò)安全問(wèn)題的新途徑，主要是通過(guò)安全態(tài)勢(shì)感知三級(jí)模型、安全態(tài)勢(shì)預(yù)測(cè)模型、安全態(tài)勢(shì)量化評(píng)估模型、安全態(tài)勢(shì)評(píng)估模型等感知網(wǎng)絡(luò)安全[4]。在國(guó)內(nèi)外研究基礎(chǔ)上，國(guó)內(nèi)相關(guān)學(xué)者的研究也取得了一定的進(jìn)展。文獻(xiàn)[5]將配電網(wǎng)安全作為研究對(duì)象，針對(duì)配電網(wǎng)安全運(yùn)行狀態(tài)和潛在隱患，構(gòu)建了配電網(wǎng)網(wǎng)絡(luò)拓?fù)浞謱幽Ｐ?，確定配電網(wǎng)安全態(tài)勢(shì)預(yù)警指標(biāo)，以此感知配電網(wǎng)安全態(tài)勢(shì)。文獻(xiàn)[6]根據(jù)網(wǎng)絡(luò)中存在的威脅情報(bào)，依據(jù)博弈論思想量化網(wǎng)絡(luò)安全態(tài)勢(shì)，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知。文獻(xiàn)[7]根據(jù)網(wǎng)絡(luò)中存在的高級(jí)可持續(xù)威脅(advanced persistent threat,APT)攻擊，計(jì)算網(wǎng)絡(luò)安全威脅之間的關(guān)聯(lián)規(guī)則，以此識(shí)別網(wǎng)絡(luò)安全威脅。文獻(xiàn)[8]通過(guò)獲取網(wǎng)絡(luò)中存在的態(tài)勢(shì)指標(biāo)數(shù)據(jù)，采用貝葉斯方法評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知。

上述學(xué)者研究的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法，在識(shí)別網(wǎng)絡(luò)安全態(tài)勢(shì)時(shí)，只能獲取網(wǎng)絡(luò)層的安全態(tài)勢(shì)感知要素，存在網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別誤差偏大的問(wèn)題。為此，本文提出基于深度自編碼網(wǎng)絡(luò)的無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法。

1 無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法

此次研究的無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法，將通過(guò)提取網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素的方式，識(shí)別無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)。因此，本文采用深度自編碼網(wǎng)絡(luò)前向傳播的方式，獲取網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素，并通過(guò)計(jì)算無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)值，以識(shí)別無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)。

1.1 基于深度自編碼網(wǎng)絡(luò)的感知要素提取

深度自編碼網(wǎng)絡(luò)由編碼器(輸入)、編碼層和解碼器(輸出)三層組成。在提取無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素時(shí)，需要將無(wú)線通信網(wǎng)絡(luò)數(shù)據(jù)從編碼器端輸入，經(jīng)過(guò)深度自編碼網(wǎng)絡(luò)編碼層的訓(xùn)練，在解碼器端輸出無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素。

然而，深度自編碼網(wǎng)絡(luò)是一種鏡面對(duì)稱(chēng)結(jié)構(gòu)。在網(wǎng)絡(luò)中包含許多隱藏節(jié)點(diǎn)，以非線性映射的方式，訓(xùn)練網(wǎng)絡(luò)中的輸入數(shù)據(jù)。因此，在網(wǎng)絡(luò)訓(xùn)練過(guò)程中，網(wǎng)絡(luò)初始值過(guò)大會(huì)導(dǎo)致解碼器端輸出結(jié)果陷入局部最優(yōu)，過(guò)小則不能對(duì)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，從而提取網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素[9]。為此，本文引入受限玻爾茲曼機(jī)網(wǎng)絡(luò)逐層訓(xùn)練深度自編碼網(wǎng)絡(luò)。受限玻爾茲曼機(jī)網(wǎng)絡(luò)由可視層(輸入)、偏置單元和隱藏層(輸出)三層構(gòu)成。其在訓(xùn)練深度自編碼網(wǎng)絡(luò)時(shí)，產(chǎn)生的能量函數(shù)E為：

(1)

式中：b1i為可視層的偏置；I為受限玻爾茲曼機(jī)網(wǎng)絡(luò)可視層輸入向量；i為網(wǎng)絡(luò)可視層元素序號(hào)；O為受限玻爾茲曼機(jī)網(wǎng)絡(luò)隱藏層輸出向量；j為網(wǎng)絡(luò)隱藏層的元素序號(hào)；ωij為網(wǎng)絡(luò)輸入、輸出層之間邊的權(quán)重。

根據(jù)式(1)可知，當(dāng)E值達(dá)到最小時(shí)，受限玻爾茲曼機(jī)網(wǎng)絡(luò)才會(huì)處于穩(wěn)定狀態(tài)。為此，假設(shè)網(wǎng)絡(luò)參數(shù)ε={ω,b1,b2}，則I和O的聯(lián)合概率Pε(I,O)為：

(2)

式中：C(ε)為歸一化因子；e為常數(shù)；exp為取經(jīng)驗(yàn)值[10]。

根據(jù)式(2)所示的Pε(I,O)計(jì)算過(guò)程，將I作為自變量，得到的I分布概率P(I)為：

(3)

式中：T為轉(zhuǎn)置符號(hào)。

根據(jù)式(2)和式(3)，采用梯度下降方法，在P(I)最大化情況下求取ε值。則有：

(4)

式中：M為最大化符號(hào)；N為網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)；n為網(wǎng)絡(luò)的第n個(gè)節(jié)點(diǎn)；?為求偏導(dǎo)符號(hào)；d為網(wǎng)絡(luò)輸入數(shù)據(jù)集[11]。

依據(jù)式(4)，假設(shè)d值已知、ε為通過(guò)式(4)計(jì)算得到的值。若網(wǎng)絡(luò)隱藏層節(jié)點(diǎn)為1，重構(gòu)隱藏層和可視層節(jié)點(diǎn)，修正ε值。則有：

(5)

式中：Δ為迭代更新符號(hào)；η為學(xué)習(xí)速率符號(hào)；s為重構(gòu)符號(hào)。

綜合式(1)～式(5)可計(jì)算得到ε值。將ε值作為深度自編碼網(wǎng)絡(luò)初始值，并采用反向傳播的方式微調(diào)ε值，得到最小的代價(jià)函數(shù)。則有：

(6)

式中：x為網(wǎng)絡(luò)輸入值；y為網(wǎng)絡(luò)輸出值；fε(x)為網(wǎng)絡(luò)輸出x的預(yù)測(cè)值；λ為懲罰因子；H(λ,ε)為懲罰函數(shù)[12]。

結(jié)合式(6)，得到深度自編碼網(wǎng)絡(luò)ε值的更新規(guī)則，為：

(7)

式中：l為網(wǎng)絡(luò)層數(shù)；a為網(wǎng)絡(luò)階數(shù)；b為網(wǎng)絡(luò)偏置。

綜合上述計(jì)算過(guò)程，在深度自編碼網(wǎng)絡(luò)中進(jìn)行前向傳播，并在傳播的過(guò)程中提取服務(wù)、主機(jī)、網(wǎng)絡(luò)三層安全態(tài)勢(shì)感知要素。當(dāng)上述三層指標(biāo)均被提取后，停止網(wǎng)絡(luò)迭代，輸出網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素提取結(jié)果。

1.2 識(shí)別無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)

以網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素提取結(jié)果為基礎(chǔ)，將網(wǎng)絡(luò)態(tài)勢(shì)分為環(huán)境(網(wǎng)絡(luò)信息環(huán)境)、威脅(網(wǎng)絡(luò)攻擊)、資產(chǎn)(網(wǎng)絡(luò)脆弱性)三方面的因子。所設(shè)定的因子定義為：

(8)

式中：W為威脅因子；V為環(huán)境因子；Z為資產(chǎn)因子；x1為網(wǎng)絡(luò)漏洞信息；u為網(wǎng)絡(luò)受到攻擊的名稱(chēng)；u1為主機(jī)名稱(chēng)；t為網(wǎng)絡(luò)受到攻擊時(shí)間；p為受到攻擊的主機(jī)IP地址；p0為攻擊源IP；p1為攻擊目的IP；p2為存在漏洞的主機(jī)IP；z為攻擊對(duì)資產(chǎn)因子的影響；L為攻擊類(lèi)型；L1為主機(jī)類(lèi)型；v為攻擊等級(jí)；v1為漏洞被利用后的危害等級(jí)；q0為網(wǎng)絡(luò)受到攻擊源端口；q1為攻擊目的端口；q2為主機(jī)開(kāi)放端口；q3為漏洞依賴端口；o為網(wǎng)絡(luò)受到攻擊位置；r1為主機(jī)狀態(tài)；r2為主機(jī)端口狀態(tài)；S為主機(jī)服務(wù)項(xiàng)目；w為主機(jī)操作系統(tǒng)；c為網(wǎng)絡(luò)漏洞編碼；P0為漏洞被利用概率[13]。

根據(jù)式(8)所示的網(wǎng)絡(luò)安全態(tài)勢(shì)因子定義，可以將網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別定義為U：

U={K,X}

(9)

式中：K為網(wǎng)絡(luò)安全態(tài)勢(shì)級(jí)別；X為網(wǎng)絡(luò)安全態(tài)勢(shì)值。

依據(jù)式(8)所示的三個(gè)因子定義，將網(wǎng)絡(luò)安全收益劃分為威脅方、防守方和中立方三方。通過(guò)三方博弈，可獲取三方效益，得到網(wǎng)絡(luò)安全態(tài)勢(shì)值。則有：

(10)

如式(10)所示的三方效益計(jì)算公式，其重要元素的計(jì)算方式過(guò)程如下：

(11)

根據(jù)式(10)所示的三方效益計(jì)算值可知，網(wǎng)絡(luò)安全態(tài)勢(shì)因子中的威脅因子可以改變網(wǎng)絡(luò)態(tài)勢(shì)。為此，采用指數(shù)累加的方式，計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)。則有：

(12)

式中：k為W、V、Z的等級(jí)關(guān)系；fi(i=W,V,Z)為三個(gè)因子對(duì)網(wǎng)絡(luò)安全威脅的態(tài)勢(shì)值；F為綜合態(tài)勢(shì)值；FA、FQ、FY分別為A、Q、Y的安全態(tài)勢(shì)[15]。

依據(jù)k值和不同的加權(quán)參數(shù)，得到無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別結(jié)果。此時(shí)，將k值和加權(quán)參數(shù)代入式(9)，即可確定網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí)，從而完成網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別。

2 試驗(yàn)分析

選擇基于貝葉斯方法的網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法APT攻擊的網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法作為此次試驗(yàn)的對(duì)比方法，將CIC官網(wǎng)上的CIC-IDS2017數(shù)據(jù)集作為試驗(yàn)數(shù)據(jù)集，驗(yàn)證本文研究的基于深度自編碼網(wǎng)絡(luò)的無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法的有效性。

2.1 搭建無(wú)線通信網(wǎng)絡(luò)

根據(jù)CIC官網(wǎng)上的CIC-IDS2017數(shù)據(jù)集，搭建攻擊與受害這2個(gè)獨(dú)立的網(wǎng)絡(luò)。無(wú)線通信網(wǎng)絡(luò)如圖1所示。

圖1 無(wú)線通信網(wǎng)絡(luò)

創(chuàng)建6個(gè)代碼形式的攻擊文件，對(duì)如圖1所示的無(wú)線通信網(wǎng)絡(luò)發(fā)起僵尸網(wǎng)絡(luò)攻擊、Dos攻擊、DDos攻擊、窮舉攻擊、滲透攻擊、Web程序攻擊。

2.2 試驗(yàn)過(guò)程

此次試驗(yàn)將持續(xù)5天。如圖1所示的攻擊網(wǎng)絡(luò)將于星期一上午9∶00開(kāi)始攻擊，并于星期五的下午17∶00停止攻擊。

首先，將試驗(yàn)過(guò)程中的數(shù)據(jù)以20 min為單位，劃分為120個(gè)時(shí)間段的數(shù)據(jù)。然后，按照1～6,2～7,...,115～120的規(guī)律，提取出115個(gè)試驗(yàn)樣本，并從中隨機(jī)選取100個(gè)樣本作為訓(xùn)練樣本。剩余樣本作為測(cè)試樣本。

將圖1中攻擊網(wǎng)絡(luò)攻擊無(wú)線通信網(wǎng)絡(luò)產(chǎn)生結(jié)果劃分為5個(gè)等級(jí)。網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí)如表1所示。

表1 網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí)

基于表1所示的網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí)，在試驗(yàn)設(shè)置15個(gè)測(cè)試樣本中，受害網(wǎng)絡(luò)的實(shí)際安全態(tài)勢(shì)等級(jí)分別為0.3、0.2、0.1、0.8、0.3、0.4、0.5、0.1、0.2、0.3、0.6、0.7、0.5、0.2、0.1。

2.3 試驗(yàn)結(jié)果

采用3組網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法，分別識(shí)別15種測(cè)試樣本網(wǎng)絡(luò)安全態(tài)勢(shì)，并按照表1識(shí)別網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí)。

2.3.1 安全態(tài)勢(shì)等級(jí)擬合度對(duì)比

將3組網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法劃分等級(jí)與實(shí)際等級(jí)進(jìn)行擬合。3組方法識(shí)別值與實(shí)際值擬合對(duì)比如圖2所示。

從圖2中可以看出，基于貝葉斯方法的網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法和面向APT攻擊的網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法得到的識(shí)別結(jié)果與試驗(yàn)設(shè)置的實(shí)際安全態(tài)勢(shì)曲線趨勢(shì)不一致，重合度較低；而本文方法識(shí)別15組測(cè)試樣本安全態(tài)勢(shì)等級(jí)得到的識(shí)別曲線趨勢(shì)與試驗(yàn)設(shè)置的實(shí)際安全態(tài)勢(shì)曲線趨勢(shì)基本一致，重合度較高。

圖2 3組方法識(shí)別值與實(shí)際值擬合對(duì)比圖

2.3.2 等級(jí)態(tài)勢(shì)絕對(duì)誤差對(duì)比

在2.3.1節(jié)試驗(yàn)結(jié)果基礎(chǔ)上，依據(jù)圖2所示的3組方法識(shí)別值與實(shí)際值擬合對(duì)比圖，采用式(13)，定量對(duì)比3組網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法。

(13)

絕對(duì)誤差對(duì)比如圖3所示。

圖3 絕對(duì)誤差對(duì)比圖

由圖3可知，面向APT攻擊的網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法的絕對(duì)誤差平均值為0.106，最大值和最小值相差0.2；基于貝葉斯方法的網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法的絕對(duì)誤差平均值為0.113，最大值和最小值相差0.2；而本文研究方法的絕對(duì)誤差最大值和最小值相差0.03，平均值為0.01。由此表明，本文研究方法絕對(duì)誤差明顯小于基于貝葉斯方法的網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法和面向APT攻擊的網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別方法，差值分別為0.112和0.106。

3 結(jié)論

本文充分利用深度自編碼網(wǎng)絡(luò)，獲取網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素，將其作為無(wú)線通信網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別因子，以此降低網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別誤差。但是此次研究的方法受網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素影響較大，若提取的要素存在偏差，會(huì)直接影響網(wǎng)絡(luò)安全態(tài)勢(shì)感知識(shí)別結(jié)果。因此，在今后的研究中，還需深入研究網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素提取結(jié)果，以降低網(wǎng)絡(luò)安全態(tài)勢(shì)感知識(shí)別的不確定性。