CN115051827B - 一种结合孪生架构和多源信息融合的网络安全态势预测方法 - Google Patents
一种结合孪生架构和多源信息融合的网络安全态势预测方法 Download PDFInfo
- Publication number
- CN115051827B CN115051827B CN202210400737.7A CN202210400737A CN115051827B CN 115051827 B CN115051827 B CN 115051827B CN 202210400737 A CN202210400737 A CN 202210400737A CN 115051827 B CN115051827 B CN 115051827B
- Authority
- CN
- China
- Prior art keywords
- model
- network security
- features
- security situation
- sia
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 230000004927 fusion Effects 0.000 title claims abstract description 20
- 238000012549 training Methods 0.000 claims abstract description 20
- 238000012545 processing Methods 0.000 claims abstract description 11
- 238000012360 testing method Methods 0.000 claims description 21
- 238000013528 artificial neural network Methods 0.000 claims description 7
- 238000012795 verification Methods 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims description 3
- 238000013135 deep learning Methods 0.000 abstract description 5
- 238000011156 evaluation Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000007704 transition Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000000586 desensitisation Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Theoretical Computer Science (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Biomedical Technology (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种结合孪生架构和多源信息融合的网络安全态势预测方法,属于深度学习技术领域。首先,对影响网络安全态势的特征进行处理形成蕴含上一时刻状态和序列信息的数据;然后输入到以孪生架构和多源信息融合理念构建网络安全态势预测模型进行训练,模型的孪生架构部分采用的是具有相同网络结构的DNN1和DNN2,时间序列处理部分采用的是DNN3;模型会利用孪生架构获取当前时刻和上一时刻的状态信息,利用多源信息融合对提取到的时间序列信息以及孪生架构提取到的信息进行融合,进而使得模型能够获取到上一时刻的状态信息和数据的时间序列信息;最后使用模型对网络安全态势进行预测。本发明预测网络安全态势更加准确。
Description
技术领域
本发明涉及一种结合孪生架构(SiameseArchitect)和多源信息融合(Multi-source Information Fusion)的网络安全态势预测方法,属于深度学习技术领域。
背景技术
网络安全态势感知分为三个部分:态势要素提取,态势理解、态势预测。网络安全态势预测是其最为重要的一步,其能根据现有的信息对网络安全进行预测。网络安全态势预测主要目的是为网络安全管理人员提供决策支持,在发生危险网络安全事件时,提前给出告警,防止网络安全事件的产生或者降低网络安全事件的危害。
现有的防御技术,要么是基于当前信息进行预测,忽略了网络安全事件是一个序列事件,也就是忽略了时序信息。要么是注意到了时序信息,而采用的方法过于单一,无法应对深度学习技术的变迁。
因此,为了更加准确的来预测网络安全态势,不仅需要利用时序信息,而且有必要使得我们的方法能够适应深度学习技术的变迁,这是现有的技术无法满足的。
发明内容
本发明要解决的技术问题是提供一种结合孪生架构和多源信息融合的网络安全态势预测方法,用以解决现有技术精度不高,且无法适应深度学习技术的变迁问题。
本发明的技术方案是:一种结合孪生架构和多源信息融合的网络安全态势预测方法,首先,对影响网络安全态势的特征进行处理形成蕴含上一时刻状态和序列信息的数据;然后输入到以孪生架构和多源信息融合理念构建网络安全态势预测模型(SIA_MULTI-S模型)进行训练,模型的孪生架构部分采用的是具有相同网络结构的DNN1和DNN2,时间序列处理部分采用的是DNN3;模型会利用孪生架构获取当前时刻和上一时刻的状态信息,利用多源信息融合对提取到的时间序列信息以及孪生架构提取到的信息进行融合,进而使得模型能够获取到上一时刻的状态信息和数据的时间序列信息;最后使用模型对网络安全态势进行预测。在真实的告警日志数据集上实验表明,本发明的SIA_MULTI-S模型方法相比不采用多源信息融合、不采用孪生架构的方法,预测网络安全态势更加准确。
具体步骤为:
Step1:对影响网络安全态势的特征进行处理,形成蕴含上一时刻状态和序列信息的数据;
Step2:将序列信息数据划分为训练集和测试集,所述训练集中包括验证集。
Step3:将训练集数据输入到SIA_MULTI-S模型进行训练;
Step4:使用SIA_MULTI-S模型进行测试与评估。
所述Step1具体为:
Step1.1:影响网络安全态势的特征通常为序列特征、关键特征(例如请求头字段特征)。需要对无用的特征进行删除,非结构化特征进行矢量化;
Step1.2:将上述处理后的数据结合关键字段(例如,源IP和目的IP)进行分组,根据分组构造为每个数据构造时间序列特征,同样根据组内时间先后为每条数据构造上一时刻的关键特征,最后形成蕴含上一时刻状态和序列信息的数据。
所述Step2具体为:根据数据确定样本量samples以及样本维度features,构建训练集(包括验证集)Train=(Xtrain,Ytrain)和测试集Test=(Xtest,Ytest)。
所述Step3具体为:
Step3.1:首先搭建SIA_MULTI-S模型,所述模型使用Keras库的函数式API进行搭建;
Step3.2:SIA_MULTI-S模型主要包括三部分:一是采用孪生架构的方式构建的深度神经网络DNN1和DNN2,DNN1和DNN2具有相同的网络结构,他们的参数可以设置为共享或者不共享,用来获取当前时刻和上一时刻的状态信息;二是用于处理时间序列信息的DNN3,用来获取时间序列信息;三是对上述的DNN1、DNN2以及DNN3提取出的特征进行融合,用于获取包含有当前时刻状态、上一时刻状态和时间序列信息的特征。SIA_MULTI-S模型通过一个全连接层将第三部分融合的特征进行最后的输出。
Step3.3:将训练集数据Train=(Xtrain,Ytrain)中的当前时刻特征和上一时刻特征输入到孪生架构的DNN1和DNN2中,将时间序列特征输入到DNN3中,SIA_MULTI-S模型模型将这三个网络的输出的特征进行融合后通过全连接层进行输出,基于验证集,模型采用反向传播算法进行训练更新网络权重。
本发明的有益效果是:
1、本发明提出一种网络安全态势预测方法,设计了一种SIA_MULTI-S模型,该模型采用孪生架构获取当前时刻和上一时刻的网络安全状态信息;同时,采用多源信息融合的方式来获取时间序列信息。SIA_MULTI-S模型通过孪生架构和多源信息融合,较为全面的获取到了状态信息和时间序列信息,提高了预测的准确性。
2、提出的SIA_MULTI-S模型预测网络安全态势,其中DNN1、DNN2和DNN3神经网络不是具体指某一种网络,而是对深度神经网络这一类的统称,也就是说这三种网络可以替换为任何一种特定的深度神经网络,例如CNN、LSTM、Transformer等。这样一种模型可以在随着深度技术变迁的过程中,具有一定的适应性。
3、本文基于某网络安全公司提供的真实网络安全告警日志数据,经过去敏处理后形成的网络安全告警日志数据集。DNN1和DNN2采用的是Transformer,DNN2采用的则是MLP模型。实验表明,SIA_MULTI-S模型在MicroF1,Recall,Precision评价指标中均优于其他两种基准模型,模型预测的准确性更好。
附图说明
图1是本发明的步骤流程图;
图2是本发明SIA_MULTI-S模型的架构图;
图3是本发明各模型在测试集上测试的各个的Loss变化图。
具体实施方式
下面结合附图和具体实施方式,对本发明作进一步说明。
实施例1:如图1所示,一种结合孪生架构和多源信息融合的网络安全态势预测方法,具体步骤为:
Step1:对影响网络安全态势的特征进行处理,形成蕴含上一时刻状态和序列信息的数据;
Step2:将序列信息数据划分为训练集和测试集,所述训练集中包括验证集。
Step3:将训练集数据输入到SIA_MULTI-S模型进行训练;
Step4:使用SIA_MULTI-S模型进行测试与评估。
2、根据权利要求1所述的结合孪生架构和多源信息融合的网络安全态势预测方法,其特征在于,所述Step1具体为:
Step1.1:影响网络安全态势的特征通常为序列特征、关键特征(例如请求头字段特征)。需要对无用的特征进行删除,非结构化特征进行矢量化;
Step1.2:将上述处理后的数据结合关键字段(例如,源IP和目的IP)进行分组,根据分组构造为每个数据构造时间序列特征,同样根据组内时间先后为每条数据构造上一时刻的关键特征,最后形成蕴含上一时刻状态和序列信息的数据,如表1所示。
表1:影响网络安全态势的特征属性
所述Step2具体为:根据数据确定样本量samples以及样本维度features,构建训练集Train=(Xtrain,Ytrain)和测试集Test=(Xtest,Ytest)。
如图2所示,所述Step3具体为:
Step3.1:首先搭建SIA_MULTI-S模型,所述模型使用Keras库的函数式API进行搭建;
Step3.2:所述SIA_MULTI-S模型包括采用孪生架构的方式构建的深度神经网络DNN1和DNN2,DNN1和DNN2具有相同的网络结构,还包括用于处理时间序列信息的DNN3;
对所述的DNN1、DNN2以及DNN3提取出的特征进行融合,用于获取包含有当前时刻状态、上一时刻状态和时间序列信息的特征;
所述SIA_MULTI-S模型通过一个全连接层将第三部分融合的特征进行最后的输出;
Step3.3:将训练集数据Train=(Xtrain,Ytrain)中的当前时刻特征和上一时刻特征输入到孪生架构的DNN1和DNN2中,将时间序列特征输入到DNN3中,SIA_MULTI-S模型模型将这三个网络的输出的特征进行融合后通过全连接层进行输出,基于验证集,模型采用反向传播算法进行训练更新网络权重。
图3为SIA_MULTI-S模型和其他两种模型在测试集上BCELoss的变化图,其他两种模型分别为不具有孪生架构,和只具有孪生架构的两种模型。不具有孪生架构的实例为TransEncoder_TransDecoder,具有孪生架构的实例为SiameseNN,SIA_MULTI-S模型的实例为MultipleSource。由图可知,各个算法均有较快的收敛速度,大约到60代时,基本已经趋于稳定。其中MultipleSource的损失最低,其次是SiameseNN,最后是SiameseNN。
表2中列出了3种不同的模型和3种不同的评价指标,这些指标均为在测试集上预测后得到的总体平均指标。
表2
从表2中各评价指标对比可以看出,本发明提出的SIA_MULTI-S模型相对来说各项评价指标均是最优的,其次是SiameseNN模型,相对较差的是TransEncoder_TransDecoder模型。
SIA_MULTI-S模型充分考虑影响网络安全态势预测的各种因素,同时采用孪生架构来获取当前时刻和上一时刻的状态信息,因此比TransEncoder_TransDecoder模型不考虑上一时刻的状态信息具有更好的效果。同时,采用多源信息融合,获取了历史时序信息和当前时刻和上一时刻的状态信息,因此比SiameseNN只考虑当前状态和上一时刻状态具有更好的效果。实验结果表明SIA_MULTI-S模型相对较好,模型具有更好地预测性能。
以上结合附图对本发明的具体实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。
Claims (4)
1.一种结合孪生架构和多源信息融合的网络安全态势预测方法,其特征在于:
Step1:对影响网络安全态势的特征进行处理,形成蕴含上一时刻状态和序列信息的数据;
Step2:将序列信息数据划分为训练集和测试集;
Step3:将训练集数据输入到SIA_MULTI-S模型进行训练;
Step4:使用SIA_MULTI-S模型进行测试与评估;
所述Step3具体为:
Step3.1:首先搭建SIA_MULTI-S模型,所述模型使用Keras库的函数式API进行搭建;
Step3.2:所述SIA_MULTI-S模型包括采用孪生架构的方式构建的深度神经网络DNN1和DNN2,DNN1和DNN2具有相同的网络结构,还包括用于处理时间序列信息的DNN3;
对所述的DNN1、DNN2以及DNN3提取出的特征进行融合,用于获取包含有当前时刻状态、上一时刻状态和时间序列信息的特征;
所述SIA_MULTI-S模型通过一个全连接层将第三部分融合的特征进行最后的输出;
Step3.3:将训练集数据Train=(Xtrain,Ytrain)中的当前时刻特征和上一时刻特征输入到孪生架构的DNN1和DNN2中,将时间序列特征输入到DNN3中,SIA_MULTI-S模型将这三个网络的输出的特征进行融合后通过全连接层进行输出,基于验证集,模型采用反向传播算法进行训练更新网络权重。
2.根据权利要求1所述的结合孪生架构和多源信息融合的网络安全态势预测方法,其特征在于,所述Step1具体为:
Step1.1:对无用的特征进行删除,非结构化特征进行矢量化;
Step1.2:将上述处理后的数据结合关键字段进行分组,根据分组构造为每个数据构造时间序列特征,同样根据组内时间先后为每条数据构造上一时刻的关键特征,最后形成蕴含上一时刻状态和序列信息的数据。
3.根据权利要求1所述的结合孪生架构和多源信息融合的网络安全态势预测方法,其特征在于,所述Step2具体为:根据数据确定样本量samples以及样本维度features,构建训练集Train=(Xtrain,Ytrain)和测试集Test=(Xtest,Ytest)。
4.根据权利要求1所述的结合孪生架构和多源信息融合的网络安全态势预测方法,其特征在于:所述训练集中包括验证集。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210400737.7A CN115051827B (zh) | 2022-04-17 | 2022-04-17 | 一种结合孪生架构和多源信息融合的网络安全态势预测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210400737.7A CN115051827B (zh) | 2022-04-17 | 2022-04-17 | 一种结合孪生架构和多源信息融合的网络安全态势预测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115051827A CN115051827A (zh) | 2022-09-13 |
CN115051827B true CN115051827B (zh) | 2024-03-05 |
Family
ID=83157972
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210400737.7A Active CN115051827B (zh) | 2022-04-17 | 2022-04-17 | 一种结合孪生架构和多源信息融合的网络安全态势预测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115051827B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694800A (zh) * | 2012-05-18 | 2012-09-26 | 华北电力大学 | 网络安全态势预测的高斯过程回归方法 |
CN112714130A (zh) * | 2020-12-30 | 2021-04-27 | 南京信息工程大学 | 一种基于大数据自适应网络安全态势感知方法 |
CN113205134A (zh) * | 2021-04-30 | 2021-08-03 | 中国烟草总公司郑州烟草研究院 | 一种网络安全态势预测方法及系统 |
CN113269389A (zh) * | 2021-03-29 | 2021-08-17 | 中国大唐集团科学技术研究院有限公司 | 基于深度信念网的网络安全态势评估和态势预测建模方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180341876A1 (en) * | 2017-05-25 | 2018-11-29 | Hitachi, Ltd. | Deep learning network architecture optimization for uncertainty estimation in regression |
-
2022
- 2022-04-17 CN CN202210400737.7A patent/CN115051827B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694800A (zh) * | 2012-05-18 | 2012-09-26 | 华北电力大学 | 网络安全态势预测的高斯过程回归方法 |
CN112714130A (zh) * | 2020-12-30 | 2021-04-27 | 南京信息工程大学 | 一种基于大数据自适应网络安全态势感知方法 |
CN113269389A (zh) * | 2021-03-29 | 2021-08-17 | 中国大唐集团科学技术研究院有限公司 | 基于深度信念网的网络安全态势评估和态势预测建模方法 |
CN113205134A (zh) * | 2021-04-30 | 2021-08-03 | 中国烟草总公司郑州烟草研究院 | 一种网络安全态势预测方法及系统 |
Non-Patent Citations (1)
Title |
---|
基于人工免疫算法的网络安全态势预测;秦丽娜;;长春工程学院学报(自然科学版)(第01期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115051827A (zh) | 2022-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Meng et al. | Rating the crisis of online public opinion using a multi-level index system | |
CN111309824A (zh) | 实体关系图谱显示方法及系统 | |
CN109918505B (zh) | 一种基于文本处理的网络安全事件可视化方法 | |
CN113987033B (zh) | 主变在线监测数据群体偏差识别与校准方法 | |
CN115378988B (zh) | 基于知识图谱的数据访问异常检测及控制方法、装置 | |
WO2021098384A1 (zh) | 一种数据异常检测方法及装置 | |
Huo et al. | Analyzing the dynamics of a stochastic rumor propagation model incorporating media coverage | |
CN112351033A (zh) | 工控网络中基于双种群遗传算法的深度学习入侵检测方法 | |
CN113992350A (zh) | 基于深度学习的智能电网虚假数据注入攻击的检测系统 | |
CN110096013A (zh) | 一种工业控制系统的入侵检测方法及装置 | |
Zhang et al. | Prediction algorithm for network security situation based on bp neural network optimized by sa-soa | |
CN110232151B (zh) | 一种混合概率分布检测的QoS预测模型的构建方法 | |
CN115051827B (zh) | 一种结合孪生架构和多源信息融合的网络安全态势预测方法 | |
Li et al. | Distributed threat intelligence sharing system: a new sight of P2P botnet detection | |
CN108470251B (zh) | 基于平均互信息的社区划分质量评价方法及系统 | |
Mitchell | The bearable thinness of being | |
Lin et al. | Improving federated relational data modeling via basis alignment and weight penalty | |
CN115860119A (zh) | 基于动态元学习的少样本知识图谱补全方法和系统 | |
Lv et al. | Rumor detection based on time graph attention network | |
CN114943328A (zh) | 基于bp神经网络非线性组合的sarima-gru时序预测模型 | |
CN115169184A (zh) | 采用改进差分进化马尔科夫链的有限元模型修正方法 | |
Kong et al. | Taprank: A time-aware author ranking method in heterogeneous networks | |
CN114529096A (zh) | 基于三元闭包图嵌入的社交网络链路预测方法及系统 | |
Ossenbruggen | Assessing freeway breakdown and recovery: A stochastic model | |
JP2022551917A (ja) | ネットワークによって相互接続された複数のネットワーク・ノードによる協調学習のためのコンピュータ実施方法、コンピューティング・デバイス、及びコンピュータ・プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |