CN114257395B - 基于协作学习的定制化网络安全态势感知方法及装置 - Google Patents

基于协作学习的定制化网络安全态势感知方法及装置 Download PDF

Info

Publication number
CN114257395B
CN114257395B CN202111284879.3A CN202111284879A CN114257395B CN 114257395 B CN114257395 B CN 114257395B CN 202111284879 A CN202111284879 A CN 202111284879A CN 114257395 B CN114257395 B CN 114257395B
Authority
CN
China
Prior art keywords
network
security situation
network security
module
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111284879.3A
Other languages
English (en)
Other versions
CN114257395A (zh
Inventor
徐恪
赵乙
刘泱
李海斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN202111284879.3A priority Critical patent/CN114257395B/zh
Publication of CN114257395A publication Critical patent/CN114257395A/zh
Application granted granted Critical
Publication of CN114257395B publication Critical patent/CN114257395B/zh
Priority to US18/051,223 priority patent/US20230136375A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Abstract

本申请公开了一种基于协作学习的定制化网络安全态势感知方法及装置,方法包括以下步骤:对所有网络单元不同监测点监测到的网络安全态势数据进行整合,确定以网络单元为单位的统一数据展现形式;利用基于卷积神经网络的特征提取模块、基于注意力机制的个性化定制模块和基于全连接网络的网络安全态势分级模块彼此配合,进行本地网络安全态势感知方法构建与优化训练;利用协作学习框架提升网络单元在特征提取方面的泛化能力,并对基于注意力机制的个性化定制模块进行二次微调,得到最终网络安全态势感知模型后对任一目标网络单元进行网络安全态势感知。本申请适用于具备共性知识又存在专有需求或特点的大规模复杂异构网络场景下的网络安全态势感知。

Description

基于协作学习的定制化网络安全态势感知方法及装置
技术领域
本申请涉及互联网网络安全技术领域,特别涉及一种基于协作学习的定制化网络安全态势感知方法及装置。
背景技术
随着网络技术的持续发展以及应用场景的不断丰富,以互联网为代表的计算机网络已经演变为涉及物联网、自主可控专网、工业互联网等多种形态的大规模复杂异构网络。与此同时,针对大规模复杂异构网络的安全威胁也在持续发展与不断丰富。为了评估某一个网络单元(比如,某一特定自治域网络、某一特定单位网络、某一特定形态网络),网络管理者往往会在多个监测点(也被称作网络节点)部署网络状态的监测任务,并且某一个监测点可能同时监测多种类别网络安全事件。针对每一个具体监测点的具体安全事件,网络管理者能够依据现有方法给出该具体事件所产生的威胁程度(比如,遭受特定安全事件影响的用户数量作为威胁程度的指示)。但是,由于特定网络单元中包含多个监测点以及多种不同类别的安全事件,难以给出针对该特定网络单元进行的整体网络安全态势判断。
就目前而言,主流方法是由专家结合自己的专业知识以及网络单元所在的场景,对网络单元内所有监测点的安全事件威胁程度进行综合分析,从而给出该特定网络单元的整体网络安全态势。此类方法有两方面的缺陷:负责某一个网络单元的专家在专业知识方面可能存在局限性;某一个网络单元的已有网络安全态势数据可能存在局限性。事实上,不同网络单元中网络安全态势可能存在类似的现象和本质。如果不同网络单元的专家知识以及数据能够协作,将会进一步提升每一个网络单元内整体网络安全态势感知的准确性和有效性。
发明内容
本申请提供一种基于协作学习的定制化网络安全态势感知方法及装置,在维护每个网络单元数据隐私的前提下,通过不同网络单元在网络安全态势感知方面进行知识共享,并且允许每个网络单元依据自己的个性化要求和本地数据对网络安全态势感知模型进行个性化的定制优化。本申请能够有效地提升网络安全态势感知的可扩展性,极大地丰富网络安全态势感知方法的使用场景。
本申请第一方面实施例提供一种基于协作学习的定制化网络安全态势感知方法,包括以下步骤:对所有网络单元中不同监测点监测到的网络安全态势相关数据进行整合,确定以网络单元为单位的统一数据展现形式;利用基于卷积神经网络的特征提取模块、基于注意力机制的个性化定制模块和基于全连接网络的网络安全态势分级模块彼此配合,进行本地网络安全态势感知方法的构建与优化训练,得到初始网络安全态势感知模型;利用协作学习框架提升所述网络单元在特征提取方面的泛化能力,直到满足预设条件,并对基于注意力机制的个性化定制模块进行二次微调,得到最终网络安全态势感知模型;利用所述最终网络安全态势感知模型对任一目标网络单元进行网络安全态势感知,以及根据所述网络安全态势感知结果更新所述最终网络安全态势感知模型的训练集。
可选地,在本申请的一个实施例中,所述利用所述最终网络安全态势感知模型感知任一目标网络单元的网络安全态势感知结果,根据所述网络安全态势感知结果更新所述网络安全态势感知模型的训练集,包括:在每个目标网络单元进行网络安全态势分级的同时,根据每个目标网络单元的网络安全态势级别更新所述训练集,并利用所述训练集优化所述最终网络安全态势感知模型。
可选地,在本申请的一个实施例中,所述根据每个目标网络单元的网络安全态势级别更新所述训练集,并利用所述训练集优化所述最终网络安全态势感知模型,包括:实时更新本地监测指标矩阵;根据更新后的本地监测指标矩阵的异动情况进行安全态势分级,并利用安全级别大于预设级别的事件更新所述训练集。
可选地,在本申请的一个实施例中,所述对所有网络单元中不同监测点监测到的网络安全态势相关数据进行整合,确定以网络单元为单位的统一数据展现形式,包括:采集复杂异构网络场景下的基础信息;基于所述复杂异构网络场景下的基础信息,引入随机特性确定数据展现形式;按照下标索引升序的方式选择基于公有监测指标的数据展现形式或者基于全部监测指标的数据展现形式。
可选地,在本申请的一个实施例中,所述利用协作学习框架提升所述网络单元在特征提取方面的泛化能力,包括:基于部分参数共享的特征提取能力泛化,并且基于本地个性化定制模块的二次微调,以及以预设时长定期进行协作优化及二次微调。
本申请第二方面实施例提供一种基于协作学习的定制化网络安全态势感知装置,包括:整合模块,用于对所有网络单元中不同监测点监测到的网络安全态势相关数据进行整合,确定以网络单元为单位的统一数据展现形式;第一构建模块,用于利用基于卷积神经网络的特征提取模块、基于注意力机制的个性化定制模块和基于全连接网络的网络安全态势分级模块彼此配合,进行本地网络安全态势感知方法的构建与优化训练,得到初始网络安全态势感知模型;以及第二构建模块,用于利用协作学习框架提升所述网络单元在特征提取方面的泛化能力,直到满足预设条件,并对基于注意力机制的个性化定制模块进行二次微调,得到最终网络安全态势感知模型;感知模块,用于利用所述最终网络安全态势感知模型对任一目标网络单元进行网络安全态势感知,以及根据所述网络安全态势感知结果更新所述最终网络安全态势感知模型的训练集。
可选地,在本申请的一个实施例中,所述感知模块,进一步用于,在每个目标网络单元进行网络安全态势分级的同时,根据每个目标网络单元的网络安全态势级别更新所述训练集,并利用所述训练集优化所述最终网络安全态势感知模型。
可选地,在本申请的一个实施例中,所述整合模块,具体用于,采集复杂异构网络场景下的基础信息;基于所述复杂异构网络场景下的基础信息,引入随机特性确定数据展现形式;按照下标索引升序的方式选择基于公有监测指标的数据展现形式或者基于全部监测指标的数据展现形式。
本申请第三方面实施例提供一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行如上述实施例所述的基于协作学习的定制化网络安全态势感知方法。
本申请第四方面实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上述实施例所述的基于协作学习的定制化网络安全态势感知方法。
本申请实施例的基于协作学习的定制化网络安全态势感知方法及装置,主要用于大规模复杂异构网络场景下,多个网络单元通过协同优化来提升单个网络单元对网络安全态势进行感知的泛化能力,同时借助本地的个性化定制模块来加强个性化的优化能力,通过对所有网络单元中不同监测点能够监测到的网络安全态势相关数据进行整合,明确出以网络单元为单位的统一数据展现形式,进而保证不同网络单元能够利用一致的网络结构进行协同优化。随后,进行本地网络安全态势感知方法的构建与优化训练,其方法主要由基于卷积神经网络的特征提取模块、基于注意力机制的个性化定制模块以及基于全连接网络的网络安全态势分级模块构成。在确定了单个网络单元的数据展现形式以及网络安全态势感知方法之后,利用协作学习框架来提升网络单元在特征提取方面的泛化能力,并对基于注意力机制的个性化定制模块进行微调。最后,每个网络单元在进行实时地网络安全态势分级的同时,将会结合具体情况进一步更新有监督训练所利用的数据集。由此,在大规模复杂异构网络场景下的网络安全态势感知方面,具备准确性高、可扩展性强的优势,并且具备兼容个性化定制的优化能力,非常适合具备共性知识又存在专有需求或特点的大规模复杂异构网络场景中的部署与应用。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本申请实施例提供的一种基于协作学习的定制化网络安全态势感知方法的流程图;
图2为根据本申请实施例的基于协作学习的定制化网络安全态势感知装置的示例图;
图3为申请实施例提供的电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
图1为根据本申请实施例提供的一种基于协作学习的定制化网络安全态势感知方法的流程图。
如图1所示,该基于协作学习的定制化网络安全态势感知方法包括以下步骤:
在步骤S101中,对所有网络单元中不同监测点监测到的网络安全态势相关数据进行整合,确定以网络单元为单位的统一数据展现形式。
可选地,在本申请的一个实施例中,对所有网络单元中不同监测点监测到的网络安全态势相关数据进行整合,确定以网络单元为单位的统一数据展现形式,包括:采集复杂异构网络场景下的基础信息;基于复杂异构网络场景下的基础信息,引入随机特性确定数据展现形式;按照下标索引升序的方式选择基于公有监测指标的数据展现形式或者基于全部监测指标的数据展现形式。
具体地,虽然不同网络单元在可监测网络安全事件及其威胁程度等方面存在共性知识,但是不同网络单元监测到的网络安全态势数据依然存在差异。为了保证不同网络单元进行协同优化的深度学习模型的优化效率,所有网络单元中运行的基于深度学习的网络安全态势感知方法具有完全一致的网络结构。为了兼容统一的网络结构,不同网络单元中网络安全态势感知方法的输入具备一致格式。因此,针对复杂异构网络场景下差异化的网络安全态势数据设计统一的数据展现形式。具体步骤为:
1-1)复杂异构网络场景下基础信息采集。假设某一个复杂异构网络中具有N个网络单元,共同构成集合
Figure BDA0003332628780000051
其中,
Figure BDA0003332628780000052
指的是下标索引为i的网络单元。对于某一个特定的网络单元
Figure BDA0003332628780000053
拥有Ni个具备网络状态监测能力的网络状态监测节点,构成集合
Figure BDA0003332628780000054
其中,Mi,j指的是在网络单元Ui中下标索引为j的网络状态监测点。对于某一个特定的网络状态监测点,拥有Ni,j种监测指标,构成集合
Figure BDA0003332628780000055
1-2)引入随机特性来确定数据展现形式。定义数据展现形式的指示性变量,由符号α表示。α的赋值方式为获取当前系统时间,并将当前时间按照24小时制的标准进行转换,取其分钟数的整数部分作为α的具体值。U1将自己网络单元的α分发给所有网络单元,每个网络单元
Figure BDA0003332628780000056
维护同样的α值。当α为奇数时,数据展现形式采用步骤1-3)指示的方法;否则,数据展现形式采用步骤1-4)指示的方法。此外,
Figure BDA0003332628780000057
表示拥有监测点最少的网络单元内监测点数量。所有监测点按照下标索引升序的方式来选取前σ个监测点的数据来执行步骤1-3)或者步骤1-4)。
1-3)基于公有监测指标的数据展现形式。针对所有网络状态监测点,取其监测指标交集内的元素(也就是所有网络监测点的公有监测指标),由集合
Figure BDA0003332628780000058
表示。其中,将集合
Figure BDA0003332628780000059
的元素个数定义为W,其集合形式表示为
Figure BDA00033326287800000510
因此,对于所有监测点都能够得到集合
Figure BDA00033326287800000511
中所包含的监测指标。对于某一个具体的网络单元
Figure BDA00033326287800000512
前σ个监测点的所有监测指标的值由矩阵Ai表示,即:
Figure BDA00033326287800000513
其中,每一行表示某一个监测点所监测到的公有监测指标。而行号表示监测点的下标索引,列号表示集合
Figure BDA00033326287800000514
中公有监测指标的下标索引。由于是公有监测指标,每个元素都能够有相应的监测值。
1-4)基于全部监测指标的数据展现形式。针对所有网络状态监测点,取其监测指标并集内的元素(也就是全部监测指标),由集合
Figure BDA0003332628780000061
表示。其中,将集合
Figure BDA0003332628780000062
的元素个数定义为W,其集合形式表示为
Figure BDA0003332628780000063
对于某一个具体的网络单元
Figure BDA0003332628780000064
前σ个监测点的所有监测指标的值由矩阵Ai表示,即:
Figure BDA0003332628780000065
其中,每一行表示某一个监测点所监测到的公有监测指标。而行号表示监测点的下标索引,列号表示集合
Figure BDA0003332628780000066
中全部监测指标的下标索引。由于是全部监测指标,有些监测点可能无法监测到对应的监测指标,此时利用零元素进行填充。
在步骤S102中,利用基于卷积神经网络的特征提取模块、基于注意力机制的个性化定制模块和基于全连接网络的网络安全态势分级模块彼此配合,进行本地网络安全态势感知方法的构建与优化训练,得到初始网络安全态势感知模型。
具体地,通过步骤S101,复杂异构网络场景下差异化的网络安全态势数据拥有了统一的数据展现形式。针对每一个网络单元
Figure BDA0003332628780000067
进行本地网络安全态势感知方法的构建与训练优化。具体步骤为:
2-1)基于卷积神经网络对网络安全态势构建特征提取模块。借助步骤1-3)或步骤1-4),每一个网络单元
Figure BDA0003332628780000068
都拥有本地监测指标矩阵Ai。利用多个卷积层,如ResNet网络,进行特征提取,如下所示:
featurei=fi(Ai)
其中,fi指的由卷积层构成的特征提取函数,其可训练参数构成集合Φi。featurei是h×w×c的矩阵,h,w和c分别是特征的参数。
2-2)基于注意力机制构建个性化定制模块。基于步骤2-1)获取的特征featurei,利用平均池化得到1×1×c的矩阵。随后,利用两层全连接网络组织个性化定制模块的相关参数,如下所示:
attentioni=gi(featurei)
其中,gi指的是由全连接网络构成的个性化定制模块,其可训练参数构成集合Θi。attentioni是1×1×c的矩阵。
2-3)基于全连接网络构建网络安全态势分级模块。基于步骤2-1)获取的特征featurei和步骤2-2)获取的attentioni,进行矩阵相乘,得到利用注意力优化的特征feature′i。然后,采用有监督学习的方式,利用两层全连接网络对网络安全态势进行分级。在此环节,通过softmax作为最后一层,损失函数为交叉熵,其可训练参数构成集合Λi。网络安全态势共分为L个级别。
在步骤S103中,利用协作学习框架提升网络单元在特征提取方面的泛化能力,直到满足预设条件,并对基于注意力机制的个性化定制模块进行二次微调,得到最终网络安全态势感知模型。
具体而言,由于复杂异构网络场景下数据的差异化特征明显,不同网络单元常见的数据有所差异,同时也有可能在未来的某些时刻发生重复。因此,为了提升网络单元对各种数据的感知能力,特别是对从未遇到的数据具有感知能力,采用协作学习的方法来提升单个网络单元在网络安全态势感知方面的泛化能力。
可选地,在本申请的一个实施例中,利用协作学习框架提升网络单元在特征提取方面的泛化能力,包括:基于部分参数共享的特征提取能力泛化,并且基于本地个性化定制模块的二次微调,以及以预设时长定期进行协作优化及二次微调。
具体的步骤为:
3-1)基于部分参数共享的特征提取能力泛化。通过步骤2-3)的训练,每一个网络单元
Figure BDA0003332628780000071
都具备适应本地数据的网络安全态势感知能力。这包括特征提取、个性化定制优化以及网络安全态势分级。为了让网络单元
Figure BDA0003332628780000072
在未知数据(如其他网络单元遇到过的数据,但是Ui没有遇到过的数据)的应对能力,采用参数平均的方式来提升特征提取的泛化能力。这里,仅对所有网络单元Φi中的参数进行平均。
3-2)基于本地个性化定制模块的二次微调。通过步骤3-1)的参数平均,每一个网络单元
Figure BDA0003332628780000073
都拥有了更加泛化的特征提取能力来执行网络安全态势感知分级。与此同时,集合Θi构成的个性化定制模块需要利用本地数据进行微调,即对模型进行二次训练。在二次训练过程中,平均后的Φi中的参数被冻结。基于梯度的反向传播优化,仅调整集合Θi和集合Λi中的参数。
3-3)定期进行协作优化以及二次微调。针对复杂异构网络场景,采用粗粒度的协作优化模式,并且将协作优化时间间隔定义为t。具体地,每隔时间间隔t,所有网络单元执行一次步骤3-1),以实现最新特征提取能力的泛化。紧接着,执行步骤3-2),通过二次微调,来利用本地数据适度调整个性化定制模块的相关参数。
步骤S104,利用最终网络安全态势感知模型对任一目标网络单元进行网络安全态势感知,以及根据网络安全态势感知结果更新最终网络安全态势感知模型的训练集。
可选地,在本申请的一个实施例中,利用最终网络安全态势感知模型对任一目标网络单元进行网络安全态势感知,以及根据网络安全态势感知结果更新最终网络安全态势感知模型的训练集,包括:在每个目标网络单元进行网络安全态势分级的同时,根据每个目标网络单元的网络安全态势级别更新训练集,并利用训练集优化最终网络安全态势感知模型。
可选地,在本申请的一个实施例中,根据每个目标网络单元的网络安全态势级别更新训练集,并利用训练集优化最终网络安全态势感知模型,包括:实时更新本地监测指标矩阵;根据更新后的本地监测指标矩阵的异动情况进行安全态势分级,并利用安全级别大于预设级别的事件更新训练集。
具体地,利用步骤S102构建的网络安全态势感知方法以及步骤S103具备个性化定制优化能力的参数,实时地进行网络安全态势分级,并且结合具体情况进一步丰富有监督训练所利用的数据集。具体步骤为:
4-1)实时更新本地监测指标矩阵。对于每一个网络单元
Figure BDA0003332628780000081
采用实时监测更新的方式更新步骤S101所构建的本地监测指标矩阵Ai
4-2)基于监测指标矩阵异动情况进行安全态势分级。一旦本地监测指标矩阵Ai中的值存在变化,立即利用步骤S102构建的网络安全态势感知方法以及步骤S103具备个性化定制优化能力的参数对本地监测指标Ai进行安全态势分级。
4-3)利用安全级别突出的事件丰富训练数据集以进一步提升敏感网络安全态势的应对能力。对于达到特定安全态势级别L',如L'=8以上的结果,立即将此次的新样本放到训练集中,利用步骤S103对模型参数进行调整优化。
通过上述介绍,本申请考虑到协作学习具备在维护每一个数据拥有者数据隐私的基础上进行知识共享的能力,首先,对于每一个网络单元,采用基于神经网络的深度学习模型来评估该网络单元内所有安全事件威胁程度的数据,进而实现该网络单元的整体网络安全态势感知。在任务初始阶段,需要专家针对一段时间的数据给出整体网络安全态势,作为深度学习模型进行监督学习的优化依据。这样做不仅能够提升网络安全态势感知的可扩展能力,并且可以降低专家进行人工判别的压力。同时,为了充分利用不同网络单元中与网络安全态势相关的数据所反映出的客观规律,打破单一网络单元在数据、知识方面的局限性,通过协作学习框架来共享知识,在维护每个网络单元数据隐私的前提下,进一步提升网络安全态势感知模块对从未见识过的网络安全态势的感知能力。此外,虽然网络安全态势感知中存在共性知识,但是大规模复杂异构网络中不同网络单元在网络安全态势感知方面不可避免地存在仅适用本单元的独有知识。比如,自治域A和自治域B都能够监测到安全事件a、安全事件b和安全事件c。但是,安全事件a对于自治域A更为重要,而安全事件b对于自治域B更加重要,安全事件c对两个自治域的整体网络安全态势都没有影响。因此,所有网络单元在通过协作学习进行协同优化的同时,即遵循了一致的网络结构来实现知识共享,又在训练阶段对个性化定制模块进行分别优化,以实现每个网络单元都拥有更加适合自己的网络安全态势感知模块。总地来说,此方法及装置在大规模复杂异构网络场景下的网络安全态势感知方面,具备准确性高、可扩展性强的优势,并且具备兼容个性化定制的优化能力,非常适合具备共性知识又存在专有需求或特点的大规模复杂异构网络场景中的部署与应用。
根据本申请实施例提出的基于协作学习的定制化网络安全态势感知方法,通过对所有网络单元中不同监测点能够监测到的网络安全态势相关数据进行整合,明确出以网络单元为单位的统一数据展现形式,进而保证不同网络单元能够利用一致的网络结构进行协同优化。随后,进行本地网络安全态势感知方法的构建与优化训练,其方法主要由基于卷积神经网络的特征提取模块、基于注意力机制的个性化定制模块以及基于全连接网络的网络安全态势分级模块构成。在确定了单个网络单元的数据展现形式以及网络安全态势感知方法之后,利用协作学习框架来提升网络单元在特征提取方面的泛化能力,并对基于注意力机制的个性化定制模块进行微调。最后,每个网络单元在进行实时地网络安全态势分级的同时,将会结合具体情况进一步更新有监督训练所利用的数据集。
其次参照附图描述根据本申请实施例提出的基于协作学习的定制化网络安全态势感知装置。
图2是本申请实施例的基于协作学习的定制化网络安全态势感知装置的方框示意图。
如图2所示,该基于协作学习的定制化网络安全态势感知装置10包括:整合模块100、第一构建模块200、第二构建模块300和感知模块400。
其中,整合模块100,用于对所有网络单元中不同监测点监测到的网络安全态势相关数据进行整合,确定以网络单元为单位的统一数据展现形式。第一构建模块200,用于利用基于卷积神经网络的特征提取模块、基于注意力机制的个性化定制模块和基于全连接网络的网络安全态势分级模块彼此配合,进行本地网络安全态势感知方法的构建与优化训练,得到初始网络安全态势感知模型。第二构建模块300,用于利用协作学习框架提升网络单元在特征提取方面的泛化能力,直到满足预设条件,并对基于注意力机制的个性化定制模块进行二次微调,得到最终网络安全态势感知模型。感知模块400,用于利用最终网络安全态势感知模型对任一目标网络单元进行网络安全态势感知,以及根据网络安全态势感知结果更新最终网络安全态势感知模型的训练集。
可选地,在本申请的一个实施例中,感知模块,进一步用于,在每个目标网络单元进行网络安全态势分级的同时,根据每个目标网络单元的网络安全态势级别更新训练集,并利用训练集优化最终网络安全态势感知模型。
可选地,在本申请的一个实施例中,整合模块,具体用于,采集复杂异构网络场景下的基础信息;基于复杂异构网络场景下的基础信息,引入随机特性确定数据展现形式;按照下标索引升序的方式选择基于公有监测指标的数据展现形式或者基于全部监测指标的数据展现形式。
需要说明的是,前述对基于协作学习的定制化网络安全态势感知方法实施例的解释说明也适用于该实施例的基于协作学习的定制化网络安全态势感知装置,此处不再赘述。
根据本申请实施例提出的基于协作学习的定制化网络安全态势感知装置,通过对所有网络单元中不同监测点能够监测到的网络安全态势相关数据进行整合,明确出以网络单元为单位的统一数据展现形式,进而保证不同网络单元能够利用一致的网络结构进行协同优化。随后,进行本地网络安全态势感知方法的构建与优化训练,其方法主要由基于卷积神经网络的特征提取模块、基于注意力机制的个性化定制模块以及基于全连接网络的网络安全态势分级模块构成。在确定了单个网络单元的数据展现形式以及网络安全态势感知方法之后,利用协作学习框架来提升网络单元在特征提取方面的泛化能力,并对基于注意力机制的个性化定制模块进行微调。最后,每个网络单元在进行实时地网络安全态势分级的同时,将会结合具体情况进一步更新有监督训练所利用的数据集。由此,在大规模复杂异构网络场景下的网络安全态势感知方面,具备准确性高、可扩展性强的优势,并且具备兼容个性化定制的优化能力,非常适合具备共性知识又存在专有需求或特点的大规模复杂异构网络场景中的部署与应用。
图3为本申请实施例提供的电子设备结构示意图。该电子设备可以包括:
存储器301、处理器302及存储在存储器301上并可在处理器302上运行的计算机程序。
处理器302执行程序时实现上述实施例中提供的基于协作学习的定制化网络安全态势感知方法。
进一步地,电子设备还包括:
通信接口303,用于存储器301和处理器302之间的通信。
存储器301,用于存放可在处理器302上运行的计算机程序。
存储器301可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
如果存储器301、处理器302和通信接口303独立实现,则通信接口303、存储器301和处理器302可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(Industry Standard Architecture,简称为ISA)总线、外部设备互连(PeripheralComponent,简称为PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture,简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选的,在具体实现上,如果存储器301、处理器302及通信接口303,集成在一块芯片上实现,则存储器301、处理器302及通信接口303可以通过内部接口完成相互间的通信。
处理器302可能是一个中央处理器(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路。
本实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如上的基于协作学习的定制化网络安全态势感知方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或N个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“N个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更N个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,N个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。

Claims (9)

1.一种基于协作学习的定制化网络安全态势感知方法,其特征在于,包括以下步骤:
对所有网络单元中不同监测点监测到的网络安全态势相关数据进行整合,确定以网络单元为单位的统一数据展现形式;
利用基于卷积神经网络的特征提取模块、基于注意力机制的个性化定制模块和基于全连接网络的网络安全态势分级模块彼此配合,进行本地网络安全态势感知方法的构建与优化训练,得到初始网络安全态势感知模型,其中,基于所述卷积神经网络对网络安全态势构建所述特征提取模块,每一个网络单元都拥有本地监测指标矩阵,利用多个卷积层进行特征提取,获取特征featurei
featurei=fi(Ai),
其中,fi指的是由卷积层构成的特征提取函数,其可训练参数构成集合Φi,featurei是h×w×c的矩阵,h,w和c分别是特征的参数;
基于所述注意力机制构建所述个性化定制模块,基于所述特征featurei,利用平均池化得到1×1×c的矩阵,利用两层全连接网络组织个性化定制模块的相关参数attentioni
attentioni=gi(featurei),
其中,gi指的是由全连接网络构成的个性化定制模块,其可训练参数构成集合Θi,attentioni是1×1×c的矩阵;
基于所述全连接网络构建所述网络安全态势分级模块,将所述特征featurei和所述相关参数attentioni进行矩阵相乘,得到利用注意力优化的特征featurei',采用有监督学习的方式,利用两层全连接网络对所述网络安全态势进行分级且通过softmax作为最后一层,损失函数为交叉熵,其可训练参数构成集合Λi,且网络安全态势共分为L个级别;
利用协作学习框架提升所述网络单元在特征提取方面的泛化能力,直到满足预设条件,并对基于注意力机制的个性化定制模块进行二次微调,得到最终网络安全态势感知模型,其中,基于部分参数共享的特征提取能力泛化,对所有网络单元Φi中的参数进行平均;
基于本地个性化定制模块的二次微调,基于本地数据对集合Θi构成的个性化定制模块进行二次训练,冻结平均后的Φi中的参数,基于梯度的反向传播优化,调整集合Θi和集合Λi中的参数;
基于定期进行协作优化以及二次微调,针对复杂异构网络场景,采用粗粒度的协作优化模式,并且将协作优化时间间隔定义为t;
利用所述最终网络安全态势感知模型对任一目标网络单元进行网络安全态势感知,以及根据所述网络安全态势感知结果更新所述最终网络安全态势感知模型的训练集。
2.根据权利要求1所述的方法,其特征在于,所述利用所述最终网络安全态势感知模型对任一目标网络单元进行网络安全态势感知,以及根据所述网络安全态势感知结果更新所述最终网络安全态势感知模型的训练集,包括:
在每个目标网络单元进行网络安全态势分级的同时,根据每个目标网络单元的网络安全态势级别更新所述训练集,并利用所述训练集优化所述最终网络安全态势感知模型。
3.根据权利要求2所述的方法,其特征在于,所述根据每个目标网络单元的网络安全态势级别更新所述训练集,并利用所述训练集优化所述最终网络安全态势感知模型,包括:
实时更新本地监测指标矩阵;
根据更新后的本地监测指标矩阵的异动情况进行安全态势分级,并利用安全级别大于预设级别的事件更新所述训练集。
4.根据权利要求1所述的方法,其特征在于,所述对所有网络单元中不同监测点监测到的网络安全态势相关数据进行整合,确定以网络单元为单位的统一数据展现形式,包括:
采集复杂异构网络场景下的基础信息;
基于所述复杂异构网络场景下的基础信息,引入随机特性确定数据展现形式;
按照下标索引升序的方式选择基于公有监测指标的数据展现形式或者基于全部监测指标的数据展现形式。
5.一种基于协作学习的定制化网络安全态势感知装置,其特征在于,包括:
整合模块,用于对所有网络单元中不同监测点监测到的网络安全态势相关数据进行整合,确定以网络单元为单位的统一数据展现形式;
第一构建模块,用于利用基于卷积神经网络的特征提取模块、基于注意力机制的个性化定制模块和基于全连接网络的网络安全态势分级模块彼此配合,进行本地网络安全态势感知方法的构建与优化训练,得到初始网络安全态势感知模型,其中,所述第一构建模块具体用于基于所述卷积神经网络对网络安全态势构建所述特征提取模块,每一个网络单元都拥有本地监测指标矩阵,利用多个卷积层进行特征提取,获取特征featurei
featurei=fi(Ai),
其中,fi指的是由卷积层构成的特征提取函数,其可训练参数构成集合Φi,featurei是h×w×c的矩阵,h,w和c分别是特征的参数;
基于所述注意力机制构建所述个性化定制模块,基于所述特征featurei,利用平均池化得到1×1×c的矩阵,利用两层全连接网络组织个性化定制模块的相关参数attentioni
attentioni=gi(featurei),
其中,gi指的是由全连接网络构成的个性化定制模块,其可训练参数构成集合Θi,attentioni是1×1×c的矩阵;
基于所述全连接网络构建所述网络安全态势分级模块,将所述特征featurei和所述相关参数attentioni进行矩阵相乘,得到利用注意力优化的特征featurei',采用有监督学习的方式,利用两层全连接网络对所述网络安全态势进行分级且通过softmax作为最后一层,损失函数为交叉熵,其可训练参数构成集合Λi,且网络安全态势共分为L个级别;
第二构建模块,用于利用协作学习框架提升所述网络单元在特征提取方面的泛化能力,直到满足预设条件,并对基于注意力机制的个性化定制模块进行二次微调,得到最终网络安全态势感知模型,其中,所述第二构建模块具体用于基于部分参数共享的特征提取能力泛化,对所有网络单元Φi中的参数进行平均;
基于本地个性化定制模块的二次微调,基于本地数据对集合Θi构成的个性化定制模块进行二次训练,冻结平均后的Φi中的参数,基于梯度的反向传播优化,调整集合Θi和集合Λi中的参数;
基于定期进行协作优化以及二次微调,针对复杂异构网络场景,采用粗粒度的协作优化模式,并且将协作优化时间间隔定义为t;
感知模块,用于利用所述最终网络安全态势感知模型对任一目标网络单元进行网络安全态势感知,以及根据所述网络安全态势感知结果更新所述最终网络安全态势感知模型的训练集。
6.根据权利要求5所述的装置,其特征在于,所述感知模块,进一步用于,在每个目标网络单元进行网络安全态势分级的同时,根据每个目标网络单元的网络安全态势级别更新所述训练集,并利用所述训练集优化所述最终网络安全态势感知模型。
7.根据权利要求5所述的装置,其特征在于,所述整合模块,具体用于,
采集复杂异构网络场景下的基础信息;
基于所述复杂异构网络场景下的基础信息,引入随机特性确定数据展现形式;
按照下标索引升序的方式选择基于公有监测指标的数据展现形式或者基于全部监测指标的数据展现形式。
8.一种电子设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现如权利要求1-4任一项所述的基于协作学习的定制化网络安全态势感知方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行,以用于实现如权利要求1-4任一项所述的基于协作学习的定制化网络安全态势感知方法。
CN202111284879.3A 2021-11-01 2021-11-01 基于协作学习的定制化网络安全态势感知方法及装置 Active CN114257395B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202111284879.3A CN114257395B (zh) 2021-11-01 2021-11-01 基于协作学习的定制化网络安全态势感知方法及装置
US18/051,223 US20230136375A1 (en) 2021-11-01 2022-10-31 Network security situation awareness method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111284879.3A CN114257395B (zh) 2021-11-01 2021-11-01 基于协作学习的定制化网络安全态势感知方法及装置

Publications (2)

Publication Number Publication Date
CN114257395A CN114257395A (zh) 2022-03-29
CN114257395B true CN114257395B (zh) 2022-09-27

Family

ID=80790410

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111284879.3A Active CN114257395B (zh) 2021-11-01 2021-11-01 基于协作学习的定制化网络安全态势感知方法及装置

Country Status (2)

Country Link
US (1) US20230136375A1 (zh)
CN (1) CN114257395B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114866496B (zh) * 2022-03-30 2023-06-20 清华大学 一种智能网络协作装置及方法
CN114881229B (zh) * 2022-07-07 2022-09-20 清华大学 一种基于参数渐次冻结的个性化协作学习方法和装置
CN116707918A (zh) * 2023-06-14 2023-09-05 福建师范大学 基于CBAM- EfficientNet异常检测的网络安全态势评估方法
CN116827658B (zh) * 2023-07-17 2024-01-16 青岛启弘信息科技有限公司 一种ai智能应用安全态势感知预测系统及方法
CN117527861B (zh) * 2024-01-05 2024-03-22 四川盛邦润达科技有限公司 一种设备接入方法、物联网网关和物联网可视化平台

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109636699A (zh) * 2018-11-06 2019-04-16 中国电子科技集团公司第五十二研究所 一种基于深度强化学习的无监督智能作战推演系统
CN110647900A (zh) * 2019-04-12 2020-01-03 中国人民解放军战略支援部队信息工程大学 基于深度神经网络的安全态势智能预测方法、装置及系统
CN110913357A (zh) * 2019-11-13 2020-03-24 绍兴文理学院 一种基于安全态势感知的传感云双层网络防御系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4010892A1 (en) * 2019-08-09 2022-06-15 Forward Impact Enterprises, LLC System and method for providing a technology-supported-trusted-performance feedback and experiential learning system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109636699A (zh) * 2018-11-06 2019-04-16 中国电子科技集团公司第五十二研究所 一种基于深度强化学习的无监督智能作战推演系统
CN110647900A (zh) * 2019-04-12 2020-01-03 中国人民解放军战略支援部队信息工程大学 基于深度神经网络的安全态势智能预测方法、装置及系统
CN110913357A (zh) * 2019-11-13 2020-03-24 绍兴文理学院 一种基于安全态势感知的传感云双层网络防御系统及方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
《TDFI_Two-stage_Deep_Learning_Framework_for_Friendship_Inference_via_Multi-source_Information》;徐恪等;《IEEE》;20190829;全文 *
基于BP神经网络的网络安全态势评估研究;黄焱;《佳木斯大学学报(自然科学版)》;20200715(第04期);全文 *
基于贝叶斯方法的网络安全态势感知模型;丁华东等;《计算机工程》;20200615(第06期);全文 *

Also Published As

Publication number Publication date
CN114257395A (zh) 2022-03-29
US20230136375A1 (en) 2023-05-04

Similar Documents

Publication Publication Date Title
CN114257395B (zh) 基于协作学习的定制化网络安全态势感知方法及装置
Zhou et al. Multi-population parallel self-adaptive differential artificial bee colony algorithm with application in large-scale service composition for cloud manufacturing
CN106326585B (zh) 基于贝叶斯网络推理的预测分析方法以及装置
Barash et al. Critical phenomena in complex contagions
Jalili Error and attack tolerance of small-worldness in complex networks
CN110851614A (zh) 知识图谱的关系预测推演方法及知识图谱的动态更新方法
Kozierkiewicz-Hetmańska The analysis of expert opinions’ consensus quality
EP3502978A1 (en) Meta-learning system
CN113517075A (zh) 一种基于传染病动力学的传染病预测方法、系统及介质
CN114202253A (zh) 充电站负荷可调潜力评估方法、系统、存储介质及服务器
CN113192647A (zh) 一种基于多特征分层时空表征的新冠确诊人数预测方法和系统
CN115051929A (zh) 基于自监督目标感知神经网络的网络故障预测方法及装置
US20220019925A1 (en) Architecture and method for providing insights in networks domain
CN105069320A (zh) 一种离散型空间故障树的因素联合重要度和因素重要度分析方法
US20020087299A1 (en) Fully scalable computer architecture
Janssen et al. Nonuniform distribution of nodes in the spatial preferential attachment model
CN116523001A (zh) 电网薄弱线路识别模型构建方法、装置和计算机设备
CN116578858A (zh) 基于图神经网络的空压机故障预测与健康度评价方法及系统
Vluymans et al. Distributed fuzzy rough prototype selection for big data regression
CN112633607B (zh) 一种动态时空事件预测方法及系统
CN114999154A (zh) 一种基于图卷积网络的道路服务水平预测方法
CN114928548A (zh) 一种社交网络信息传播规模预测方法及装置
Xu et al. Exponential synchronization of multilayer networks with white-noise-based coupling via intermittent periodic event-triggered control
Lin et al. The Method of Constructing Information Network Capability Evaluation Index System based on Graph Theory
CN117687801B (zh) 一种跨域分布式计算系统、方法、存储介质和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant