CN113780382A

CN113780382A - 一种基于ae和pmu的高效网络安全态势评估方法

Info

Publication number: CN113780382A
Application number: CN202110999372.XA
Authority: CN
Inventors: 杨昌松; 肖俊; 刘梓毅; 史科杏; 柳悦玲
Original assignee: Guilin University of Electronic Technology
Current assignee: Guilin University of Electronic Technology
Priority date: 2021-08-29
Filing date: 2021-08-29
Publication date: 2021-12-10

Abstract

本发明涉及通信控制领域，具体涉及一种基于AE和PMU的高效网络安全态势评估方法，包括初始化训练数据集和测试数据集；基于训练维度使用AE从训练数据集中提取训练态势评估要素；基于测试维度使用AE从测试数据集中提取测试态势评估要素；基于训练周期将训练态势评估要素输入到基于PMU的NSSA训练模型中进行训练，得到PMU模型；将测试态势评估要素输入PMU训练模型中得到评估态势值用以验证模型的有效性。使用AE进行数据降维以去除冗余数据，然后利用PMU提高模型的性能，与现有方法相比，我们提出的方法在效率、精度和拟合度上具有显著优势。

Description

一种基于AE和PMU的高效网络安全态势评估方法

技术领域

本发明涉及通信控制领域，尤其涉及一种基于AE和PMU的高效网络安全态势评估方法。

背景技术

网络安全态势评估(NSSA)是网络安全态势感知领域中一项重要而有效的主动防御技术。通过分析历史网络安全态势感知数据，NSSA可以评估网络安全威胁，分析网络攻击阶段，从而全面掌握网络安全整体态势。随着5G、云计算和物联网的快速发展，网络环境日益复杂，这也导致网络威胁的多样性和随机性，并直接决定了NSSA方法的准确性和普适性。

现有的NSSA方法大多过于注重主观判断和先验知识。同时，他们忽略了大量其他外部因素和指标数据的时序属性。因此，它们不适合网络安全状况的长期评估；其次，现有的NSSA方法在效率上不够突出。具体而言，当前指标数据具有大规模、多特征、异构、高维和非线性的特征。因此，现有的NSSA方法在评估网络安全状况之前需要消耗大量的计算资源来处理这些指标数据。此外，一些现有的NSSA方法只考虑了部分网络安全威胁和攻击。然而，目前的网络威胁和攻击具有多样性和随机性的特点，导致现有的一些方法准确率很低。

发明内容

本发明的目的在于提供一种基于AE和PMU的高效网络安全态势评估方法，旨在解决提高评估效率和精度。

为实现上述目的，本发明提供了一种基于AE和PMU的高效网络安全态势评估方法，包括初始化训练数据集和测试数据集；

基于训练维度使用AE从训练数据集中提取训练态势评估要素；

基于测试维度使用AE从测试数据集中提取测试态势评估要素；

基于训练周期将训练态势评估要素输入到基于PMU的NSSA训练模型中进行训练，得到PMU模型；

将测试态势评估要素输入PMU训练模型中得到评估态势值用以验证模型的有效性。

其中，所述初始化训练数据集和测试数据集的具体步骤是：

输入NSSA原始数据集；

将原始数据集预处理得到训练数据集和测试数据集。

其中，所述将原始数据集预处理得到训练数据集和测试数据集的方式是：消除重复信息和错误信息，并分成训练数据集和测试数据集。

其中，所述基于训练维度使用AE从训练数据集中提取训练态势评估要素的具体步骤是：

AE将训练数据集映射到编码层实现编码；

将编码后的数据映射到解码层进行解码；

将解码后的数据作为训练态势评估要素。

其中，所述基于测试维度使用AE从测试数据集中提取测试态势评估要素的具体步骤是：

AE将测试数据集映射到编码层实现编码；

将编码后的数据映射到解码层进行解码；

将解码后的数据作为测试态势评估要素。

本发明的一种基于AE和PMU的高效网络安全态势评估方法，包括初始化训练数据集和测试数据集；基于训练维度使用AE从训练数据集中提取训练态势评估要素；基于测试维度使用AE从测试数据集中提取测试态势评估要素；基于训练周期将训练态势评估要素输入到基于PMU的NSSA训练模型中进行训练，得到PMU模型；将测试态势评估要素输入PMU训练模型中得到评估态势值用以验证模型的有效性。使用AE进行数据降维以去除冗余数据，然后利用PMU提高模型的性能，与现有方法相比，我们提出的方法在效率、精度和拟合度上具有显著优势。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是AE的基本结构图；

图2是PMU的结构图；

图3是不同算法评估有效性的比较图；

图4是评估值和实际值的拟合折线图；

图5是不同方法的效率比较图；

图6是本发明的一种基于AE和PMU的高效网络安全态势评估方法的流程图；

图7是本发明的初始化训练数据集和测试数据集的流程图；

图8是本发明的基于训练维度使用AE从训练数据集中提取训练态势评估要素的流程图；

图9是本发明的基于测试维度使用AE从测试数据集中提取测试态势评估要素的流程图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

请参阅图1～图9，本发明提供一种基于AE和PMU的高效网络安全态势评估方法，包括：

S101初始化训练数据集和测试数据集；

所述初始化训练数据集和测试数据集的具体步骤是：

S201输入NSSA原始数据集；

S202将原始数据集预处理得到训练数据集和测试数据集。

方式是：消除重复信息和错误信息，并分成训练数据集和测试数据集。

S102基于训练维度使用AE从训练数据集中提取训练态势评估要素；

自动编码器(AE)是一种常见的无监督学习算法。如图1所示，AE生成的信息元素比原始数据元素具有更明显的特征和更低的维度。AE将原始数据映射到编码层实现编码，然后再将编码后的数据映射到解码层进行解码。最后将解码后的数据作为输出数据。

用X＝[X₁,X₂,…,X_l]^T∈R^l×1和

分别表示输入数据和编码器的权重。同时，用

表示编码层的输出。然后，用

表示解码器的权重。输出结果就可以表示为X'＝[X'₁,X'₂,…,X'_l]^T∈R^l×1。这里的l表示数据维度。需要说明的是，AE要求最终的输入结果和输出结果近似相等，即X＝X'。

AE的编码过程如下所示：

h_e＝f^e(W_eX+b^e) (1)

其中，编码部分的误差和激活函数分别用b^e和f^e来表示。

AE解码层的解码过程如下所示：

X'＝f^d(W_dh_e+b^d) (2)

其中，解码部分的误差和激活函数分别用b^d和f^d来表示。

均方误差(MSE)损失函数通常被用于AE的训练，它表示为：

这里的X表示输入变量，X'表示输出变量，L(X,X')表示损失函数，k表示样本的数量。

具体步骤是：

S301 AE将训练数据集映射到编码层实现编码；

S302将编码后的数据映射到解码层进行解码；

S303将解码后的数据作为训练态势评估要素。

S103基于测试维度使用AE从测试数据集中提取测试态势评估要素；

具体步骤是：

S401 AE将测试数据集映射到编码层实现编码；

S402将编码后的数据映射到解码层进行解码；

S403将解码后的数据作为测试态势评估要素。

S104基于训练周期将训练态势评估要素输入到基于PMU的NSSA训练模型中进行训练，得到PMU模型；

简约存储单元(PMU)是一种新的递归神经网络，可视为门控递归单元(GRU)的改进版本。PMU的特点是能更好地管理短期依赖和长期依赖之间的潜在关系。需要指出的是，在GRU模型中有两个门结构，即复位门和更新门。但是，PMU中却只有一个门结构，即单元门(如图2所示)。具体来说，PMU将GRU的更新门和复位门集成为新的单元门，这就使得PMU中的参数更少。此外，由于PMU可以更好地管理短期相关和长期相关之间的潜在关系，因此PMU在训练中具有更好的收敛性和速度。

在图2中，用U_t表示单元门，用于控制数据的长期相关性和短期相关性的学习。当U_t为1时，PMU学习数据的长期相关性；当U_t为0时，PMU学习数据的短期相关性。PMU的学习模型可以表示为：

首先，单元门的状态可以通过前一个节点的状态h_t-1和当前的输入节点x_t来得到：

U_t＝σ(W_u·[h_t-1,x_t]) (4)

其次，存储在当前候选集

上的当前时间的状态可以表示为：

再次，在更新存储器的状态时，PMU通过以下公式(6)更新当前时刻的状态(h_t)：

最后，正向传播的输出是：

y_t＝softmax(W_o·h_t) (7)

然后，输出y_t是正向传播的输出，将其作为评估网络安全状况的分值。

S105将测试态势评估要素输入PMU训练模型中得到评估态势值用以验证模型的有效性。

具体的算法表示如下：

在上述算法中，M代表数据降维的维度，n代表训练周期，C表示在评估测试集之后的态势值，AutoEncoder代表自编码器AE，PMU代表PMU态势要素评估方法。

下面基于上述方法进行时间复杂度分析与试验。

时间复杂度是判断算法优劣的重要指标。我们将分析并比较基于GRU的NSSA方法和基PMU的NSSA方法的前向传播时间复杂度。

我们可以假设数据输入的维度是m，PMU隐藏单元的数量为n。首先，根据公式(4)，U_t操作的次数可以表示为T(n×m+n²+n)；其次，根据公式(5)，用于计算当前状态候选集的操作的数量是

T(n×m+2×n²+n)；再次，根据公式(6)，存储更新阶段的操作数为T(n²+2×n)。最后，PMU的操作总数为T(2×n×m+4×n²+4×n)。总的来说，时间复杂度是O(n²)。

与PMU相比，GRU多了一个门结构，它和PMU有相同的U_t操作的次数。GRU使用Z_t来控制是否将候选集合状态添加到该状态的存储器更新阶段。因此，GRU的存储器更新阶段中的操作数量是T(2×n²+n)。GRU其他部分的运行时间与PMU相同。因此，GRU操作的总次数为T(3×n×m+6×n²+4×n)。总的来说，时间复杂度为O(n²)。

如表1所示，总的来说，尽管PMU的时间复杂度与GRU相同，但PMU中的操作总数比GRU中的少得多。因此，基于PMU的NSSA效率更高。

表1 PMU与GRU的时间复杂度

在我们的模拟实验中，公共数据集UNSW-NB15被用作实验数据集。在UNSW-NB15中，有9种不同的模型攻击。同时，每个数据记录包含43个元素和一个相应的标签。UNSW-NB15被分为4个不同的逗号分隔值(CSV)文件。总共包含2540044条数据记录。此外，还有30万条异常流量数据记录，如表2所示。

表2 UNSW-NB15数据集

如表2所示，数据集涵盖9种不同的攻击类别，详细类别如下：

分析渗透攻击(Analysis):通过电子邮件、web、脚本、端口等渗透web应用的入侵方法；

后门攻击(Backdoors):通过技术原理绕过系统安全机制对计算机或其数据进行评估的入侵方法；

分布式拒绝服务攻击(DDos)：故意攻击网络协议实现缺陷或直接使用蛮力耗尽被攻击对象资源的方法，从而实现使目标网络无法使用服务或资源的攻击；

漏洞攻击(Exploits):一种利用攻击者对操作系统或软件中安全漏洞的信息的攻击；

模糊攻击(Fuzzers):一种攻击类型，其中攻击者向程序或网络提供大量随机的数字，以使其关闭；

泛型攻击(Generic)：不管密码配置如何，使用哈希函数解决冲突；

探测攻击(Reconnaissance)：用于收集计算机信息的攻击，也称为探测；

填充数据攻击(Shellcode):攻击者使用shell命令和少量代码来控制被攻击主机的攻击模式；

蠕虫攻击(Worms)：蠕虫攻击，一种无需任何操作就能复制到控制主机的病毒攻击。

为了方便实验，我们每十分钟根据所有提取的数据集中的时间戳进行统计。一共产生了由生成的态势值所组成的144个样本数据。其中100个被截取作为训练集，44个作为测试集。此外，网络安全态势值为0-10。在建立态势风险等级的过程中，我们将0-2的态势值表示为安全，3-4的态势值表示为低风险，5-6的态势值表示为中风险。态势值7-8表示高风险，态势值9-10表示紧急情况。

在该实验中，Accuracy,Precision,Recall and F1_score用于评估我们的NSSA方法的有效性，其中一些概念定义如下：

真阳性(TP)：指阳性样本被评估为阳性样本；

假阳性(FP)：指阴性样本被评估为阳性样本；

真阴性(TN)：指阴性样本被评估为阴性样本；

假阴性(FN)：指阳性样本被评估为阴性样本。

我们用混淆矩阵来表示TP,FP,TN,FN。如表3所示。

表3混淆矩阵

然后，Accuracy,Precision,Recall and F1_score定义如下：

Accuracy代表总样本中正确识别样本数量的比例。Precision表示实际阳性样本在已识别阳性样本中的比例。Recall表示样本中被预测为正确的阳性实例的百分比。然而，仅从Precision和Recall来评估模型的性能是不合理的。为了使评估更令人信服，除了Precision和Recall，通常还会使用F1_score作为评估标准。

我们比较了基于AE-PMU的评估方法、基于PMU的评估方法、基于GRU的评估方法和基于BPNN的评估方法的有效性，如图3所示。

图3衡量了以下四种不同评估方法的有效性。Accuracy rate,Precision rate,Recall rate and F1_score。其中，基于AE-PMU的评估方法表现最好。这是因为基于BPNN的评估方法没有考虑指标数据的时间序列，因此无法更好地评估指标数据。尽管基于GRU的评估方法考虑了指标数据的时序性，但与基于PMU的评估方法相比，GRU无法基于短期和长期相关之间的潜在关系有效地管理门，因此其有效性不如基于PMU的评估方法。由于AE降维后的数据去除了冗余部分，因此基于AE-PMU的评估方法的有效性优于基于PMU的评估方法。这说明基于AE的降维数据完全保留了指标数据的有效性，基于PMU的评估方法的有效性优于基于GRU的评估方法。

我们利用折线图直观地显示了评估值和真实值之间的拟合比较，如图4所示。

从图4中我们可以看到，当样本数为3、13、31和33时，网络态势值波动很大，表明网络威胁在这些时刻相对较强。在第三个样本中，出现了“中等风险”级别的警告，表示网络正受到更高级别的攻击威胁，应采取安全防御措施。13号、31号样本出现“高风险”级别预警，表明网络遭受极大安全威胁，需要及时防护或救援。从实值和评估值的两条拟合曲线可以看出，提出的方法得到的态势评估结果基本符合真实的安全态势。除了错误判断“高风险”为“安全”的31号样本外，其他样本均判断正确，更能准确拟合当前网络的真实安全情况。在其他方法中，基于PMU的评估方法出错一次，基于GRU的评估方法出错两次，基于BPNN的评估方法出错三次。

我们对原因的分析与上述“有效性评估”的原因一致。根据以上实验结果可以看出，基于AE-PMU的NSSA方法能够适应现代网络环境下的NSSA，能够更加准确地拟合真实的网络安全态势变化。

在上述四种方法中，虽然BPNN的网络结构简单，但在实际应用中很少使用，因为它不能通过使用数据的时间序列来完全表征数据的特征。因此，这里我们只比较基于PMU、GRU和AE+PMU的NSSA方法的性能(评估时间)，如图5所示。

从图5中我们可以看出，基于AE-PMU的评估方法的运行时间最小，基于PMU的评估方法次之，基于GRU的评估方法最长。这是因为GRU有两个门结构。复位门帮助GRU决定哪些过去的信息需要忘记，更新门帮助GRU决定哪些过去的信息需要传递给未来。然而，PMU使用一个门来完成GRU更新门和复位门的计算任务，因此减少了计算量。同时，AE降低了原始指标数据的维数。因此，AE-PMU的评估方法的计算效率是最好的。

在大规模网络环境下，网络威胁的多样性和指标数据的高维度性使得NSSA变得更加困难。本文对大规模网络环境下的NSSA进行了研究，提出了一种基于AE和PMU的NSSA方法。具体来说，我们首先使用AE进行数据降维以去除冗余数据。然后，我们利用PMU实现了NSSA。通过利用的PMU优势，该方法可以有效提高模型的性能。最后，我们实现了所提出的方法，并提供了性能评估。实验结果表明，与现有方法相比，我们提出的方法在效率、精度和拟合度上具有显著优势。

Claims

1.一种基于AE和PMU的高效网络安全态势评估方法，其特征在于，

包括：初始化训练数据集和测试数据集；

2.如权利要求1所述的一种基于AE和PMU的高效网络安全态势评估方法，其特征在于，

所述初始化训练数据集和测试数据集的具体步骤是：

输入NSSA原始数据集；

将原始数据集预处理得到训练数据集和测试数据集。

3.如权利要求2所述的一种基于AE和PMU的高效网络安全态势评估方法，其特征在于，

所述将原始数据集预处理得到训练数据集和测试数据集的方式是：消除重复信息和错误信息，并分成训练数据集和测试数据集。

4.如权利要求1所述的一种基于AE和PMU的高效网络安全态势评估方法，其特征在于，

所述基于训练维度使用AE从训练数据集中提取训练态势评估要素的具体步骤是：

AE将训练数据集映射到编码层实现编码；

将编码后的数据映射到解码层进行解码；

将解码后的数据作为训练态势评估要素。

5.如权利要求1所述的一种基于AE和PMU的高效网络安全态势评估方法，其特征在于，

所述基于测试维度使用AE从测试数据集中提取测试态势评估要素的具体步骤是：

AE将测试数据集映射到编码层实现编码；

将编码后的数据映射到解码层进行解码；

将解码后的数据作为测试态势评估要素。