硕士论文网/国内首批论文服务机构

当前位置:硕士论文网首页 > 计算机论文 > 基于神经网络的网络安全态势感知技术研究

基于神经网络的网络安全态势感知技术研究

时间:2020-09-08 21:49 | 栏目:计算机论文 | 浏览:

硕士论文网第2020-09-08期,本期硕士论文写作指导老师为大家分享一篇计算机论文文章《基于神经网络的网络安全态势感知技术研究》,供大家在写论文时进行参考。
  态势评估是态势感知的核心技术手段,一个合理、有效的态势评估模型能够更加快速、准确地对当前网络环境的态势状态做出反应,以便管理者更好地管理网络。本文就神经网络较强的学习和分类能力,提出基于攻击的态势评估模型,包括基于攻击的攻击检测模型和基于攻击因子的态势评估指标。针对 DNN 在攻击检测上存在检测精度低、误报率高等问题,本文提出了一种融合批量规范化和深层神经网络的攻击检测模型。该模型首先在深层神经网络的隐藏层中添加了批量规范化层,优化隐藏层的输出结果,然后采用 Adam 自适应梯度下降优化算法对 BNDNN 进行参数自动优化,提高模型的检测能力。通过分析不同网络攻击对安全状况的影响,构建基于攻击因子的态势评估指标。该方法利用受到攻击的情况来体现主机当前态势状况,再根据网络中所有主机的态势信息综合计算整个网络的态势值并量化得出态势等级,实现了网络安全态势的感知。并用 NSL-KDD 数据集和真实网络流量数据集分别验证了评估模型的可行性和有效性。

  1 绪 论

  1.1 课题的研究背景以及研究意义
  据 CNNIC在第 44 次统计报告中指出,到 2019 年 6 月为止,我国的网络用户数量又创新高,高达 8.54 亿,比 2018 年增长了近 2.6 万;互联网普及率增至 61.2%,比2018 年增长了 1.6%。随着网络规模的急剧增大,随之而来的网络环境也日趋复杂,同时网络安全问题也日益严峻。如图 1-1 所示,在国家互联网应急中心发布的近几年网络态势报告中可以看出,虽然网络整体态势控制在“良”或者“中”等级,但是依然有主机感染网络病毒,且每周都有新增的安全漏洞。这使我们更加真切地感受到我们的网络无时不刻都遭受着攻击和威胁,有的攻击可能只造成轻微后果,但有的攻击可能会造成网络瘫痪、窃取到用户私密信息等严重后果。例如美国每 39 秒就有一次黑客袭击;2019 年 2 月,黑客窃取并破坏了 Vfeemail电邮服务商的主系统以及备份系统上的数据,导致其差点关闭;2019 年 7 月,黑客接连对孟加拉国、斯里兰卡、印度等地的银行发起了“Silence”攻击,在此期间盗取了银行几百万美元;2019 年 8 月,英国一名少年被判入狱 20 个月,因其私下向大众提供SIM-Swapper 服务以及数据盗窃服务;2019 年 11 月,黑客对梅西百货发起了长达一周之久的 Magecart 攻击,对其电商客户造成了重大影响。这些网络漏洞、黑客攻击等安全事件的发生给我们造成了不同程度的后果,影响了我们的工作、生活,也使得各国各界都更加密切地关注着网络安全问题。2016 年 4月 19 日,习近平总书记在《网络安全和信息化工作座谈会上》指出了网络安全的重要性,并将其列为“十三五”规划期的重头戏,同时强调了网信事业人才发展的重要性和必要性。可以看出国家对整个网络空间安全的重视程度。对于愈发严重的网络安全问题,一方面各国都出台了法律法规,从制度上健全法律体系来规范网络行为,另一方面也在软硬件中不断增强对网络的防御和检测能力。而网络安全态势感知(Network Security Situational Awareness, NSSA)的出现就是对网络安全的一种主动防御,它能实时监测当前网络的运行状况,同时对网络未来的态势进行预测,为管理者提供决策帮助,将安全事件尽可能地防患于未然。所以说将态势感知技术运用在实际网络环境中,解决网络安全态势感知中态势评估不精准、态势预测能力不足等瓶颈问题,同时挖掘出实时、有效、准确的态势数据信息,将当前态势状况以及对未来态势预测的结果展现给用户,为各行业各部门的网络安全保驾护航,是值得我们深入研究的方向,且具有着顺应时代发展的现实意义。
国家互联网应急中心发布  2020  年第  11  期周报
  1.2 国内外研究现状
  国外来讲,对网络安全态势感知的研究工作进行得比较早且研究相对系统化,最早是 1988 年 Endsley定义网络安全态势感知为 3 步:即“在网络的特定时空环境下,对网络要素的获取、态势理解、和未来态势的预测”,如图 1-2 所示:
Endsley  的态势感知模型
  第 1 步——网络态势要素获取。主要是监测和获取网络环境中影响网络安全的态势要素,并对其进行实时收集、初步整理以及规范化等预处理操作,为态势理解做准备工作。第 2 步——网络态势理解。将预处理好的态势要素数据进行关联分析,挖掘出其内部的有用信息,将当前网络的态势以定性或者定量的方式展示出来。第 3 步——网络态势趋势预测。基于对目前已知环境网络态势的理解,进一步预测未来网络态势的趋势发展,为管理员提供决策支持。而态势感知概念的提出是在 1999 年,由 Tim Bass提出,他指出态势感知将会成为未来网络管理的主要研究方向,同时他在数据融合模型的基础之上,以分层的思想对多源数据进行态势融合处理,得到了基于多源数据融合的 NSSA 模型。Endsley 和 Tim Bass 对态势感知的相关研究,启迪了后来的研究学者和研究机构,之后对态势感知的研究多以态势评估以及态势预测为主。在态势评估技术方面,Ladimir Gorodetsky 等通过多代理异步数据流来分析网络安全的态势情况;Liu Mixia 等通过分析影响网络安全的因素之间的关系,用 D-S 证据理论进行数据融合来构建一个更加高效的评估模型;Hiff]et J利用了多种网络检测技术,并提出一种单一因素的评估框架;Z Ying 等根据粗糙集理论(Rough Set Theory,RST)在机器学习中处理冗余数据以及特征选择方面的优势,建立了基于 RST 的网络评估模型,并用NLANR 数据集验证了模型的评估性能;在态势预测技术方面,Li T 等提出基于空间重构和人工免疫系统相结合的态势预测方法,先使用空间重构法来重构表示网络安全状况的时间序列数据,再利用免疫进化机制为网络安全状况构建相应的预测模型;Olabelurin 等结合熵概念和相关特征变量的聚类算法,及时检测并主动预测 DDo S 攻击;Bao 等通过分析攻击类别间的逻辑关系,并计算其权值和可能性,从而实现复合攻击的检测和预测;Lai 等利用基于附加权重的 GM(1,1)建立了预测模型,完成网络态势的预测工作。国内而言,关于网络安全态势感知的研究起步比较晚,现在主要处于理论研究阶段。随着国家越来越重视网络空间安全的发展,使得许多学者、机构都投身于该领域的研究。通过不断地研究与实践,我国在态势感知的系统结构、模型优化以及实际应用中都取得了较好的研究成果。在态势评估技术方面,韦勇等利用服务和漏洞信息,通过改进的 D-S 证据理论来融合节点要素和节点态势以完成态势评估,同时使用时间序列分析法进行态势预测;张勇等将多种传感器采集的要素数据融合并进行规范化处理,且分析其内在的传播规律,建立一个 Markov 博弈模型来评估网络安全状况;许国光等仿照人体健康状态与抗体浓度变化的规律,根据自体耐受性等免疫原理,提出了基于抗体浓度的异常定量检测模型;陈秀真等根据网络结构、主机和服务等 3 个方面权重占比,以分层量化的思想,综合评估出网络安全态势信息;李方伟等采用最佳聚类以及模糊 C-均值(Fuzzy C-means, FCM)聚类准则对数据进行预处理后,建立一个多因素的二级态势评估模型以获得最后的态势信息。

  2 相关技术介绍

  2.1 态势感知技术
  态势感知(Situational Awareness, SA)源于航天的“人因工程”研究,之后在交通、军事、医疗等领域都有广泛的应用。态势既可以是对目前情况的一种定性定量描述,也可以是对未来发展趋势的一种预测,它是对整个网络运行状态的全局描述,从宏观的角度来进行理解和分析,所以说任何单一状态或者单一事件都不能称为态势。而近年来态势感知也慢慢被应用到了网络安全领域,网络安全态势感知的发展经过了以下 4 个阶段:(1)20 世纪 60 年代之前:此阶段的主要思想是建立一个绝对安全的系统,保证攻击不会发生,核心技术为软/硬件技术层面的架构设计。(2)20 世纪 70 年代至 80 年代:此阶段主要构建一个安全辅助系统,在攻击发生时能检测并采取措施,核心技术为误用检测或者异常检测。(3)20 世纪 90 年代:此阶段以主动防御为主并预防攻击的发生,尽量在攻击发生前制定防御策略,核心技术为攻击树、攻击图、状态图等攻击模型。(4)21 世纪以后:此阶段为态势感知,主要是感知空间环境和时间环境中对网络安全产生影响的元素,把握网络空间整体的安全状况,同时预测未来态势变化的趋势,主要核心技术为 JDL、OODA、高级随机模型等。根据国内外专家学者在态势感知上的研究,不管是 Endsley 模型,还是 Bass 模型,亦或是分层量化感知模型等,都有一个共通之处:态势感知即是对网络环境中影响网络安全的要素进行获取、理解,并运用数学模型、人工智能等方法进行关联分析,挖掘其中能表达网络态势的潜在信息,并且定性或者定量对网络的安全状态进行描述;同时借助历史态势完成对未来态势的预测。由上可知,态势感知主要分为要素获取、态势评估以及态势预测。在态势感知中较为重要的是如何利用态势要素数据评估和预测网络态势状况,即对态势评估技术以及态势预测技术的研究,同时这两部分也是本文的研究重点。
  2.2 态势评估技术
  态势评估技术是利用获取好的态势要素数据,按照一定的模型和方法对其进行检测和分析,挖掘出能反应网络态势的潜在信息,量化网络安全态势状态,进一步为管理者提供决策支持。态势评估方法众多,主要有以下:(1)基于灰色理论方法,基于灰色理论方法(Grey Theory,GT):通过对完全已知信息和完全未知信息的挖掘分析,提取出有用的关键信息,建立灰色模型,从而得出数据的变化规律。在实际应用中主要解决“认知不确定性”、“随机不确定性”、“少样本、少信息不确定性”等问题。文献将网络攻击要素数据用灰色关联分析法来关联,并用统计技术以及专家系统给出的权重将主机、服务、网络 3 方面的态势信息进行融合,最后使用 Honeynet 数据集验证了该方法能准确有效地得出总体安全态势;文献从信息保护以及信息防御方面分析了网络防护能力,并根据网络运行机制结合灰色理论构建网络能力评估模型,进而量化目标网络的防护能力。(2)基于知识推理方法,基于知识推理方法(Knowledge Reasoning,KR):其凭借着专家经验和知识建立模型来分析网络的安全态势,其主要处理不确定信息问题。KR 法具有一定的智能性,它能模拟人类的思维来解决问题,能将已有的知识运用到推理中,但 KR 法的痛点在于无法很好地建立和维护模型所需要的相关推理知识。常用的 KR 法有贝叶斯网络、D-S证据理论等。文献使用贝叶斯网络来模糊和概率化处理态势要素,进而构建态势评估模型,结果表明其可以较好地反映态势动态变化的客观规律;文献通过对攻击场景的分析来评估潜在的威胁,提出一种基于威胁传播的态势实时评估方法。(3)基于统计学方法,基于统计学方法(Statistics):其从全局出发,综合考量对网络安全产生影响的所有要素,常用的有层次分析法以及权重分析法。前者结合了定性分析与定量分析,且具有多层次结构,其将整体态势以不同组成要素进行分解,并根据不同要素间的联系和隶属关系分层次聚合;后者则根据网络中资源要素的重要程度进行赋值,并计算各资源要素的态势,再将其结果作为最后的评定参数,综合评定网络态势信息。文献根据不同漏洞对系统造成的伤害来评估网络安全状况;文献先利用特征库的方法对网络信息进行审计,再结合层次分析法以及优化后的熵权法对指标权重进行提取,最后通过集对分析法来评估态势值;文献通过警报质量观测数据来改进数据源,再通过安全事件与相应的防护措施之间的博弈,进一步得到状态转移矩阵,最后用攻击成功概率来修正矩阵,进而建立层次化量化评估模型。本章简单介绍了与网络安全态势感知有关的技术。首先介绍网络态势感知的概念、发展过程、主要技术等,并对常用的态势评估方法以及态势预测方法进行了分析和归类;最后对神经网络的由来、发展、基本参数及其在态势感知方面的应用进行介绍。通过现在态势感知工作面临的问题,再结合神经网络的优势,构建基于神经网络的态势评估和态势预测模型便成为本文研究工作的重点。

  3 基于攻击的态势评估模型

  3.1 基于 Adam-BNDNN 的攻击检测模型
  3.2 基于攻击因子的态势评估
  3.3 基于 NSL-KDD 数据集的评估验证
  3.4 基于真实网络数据的评估验证
  3.5 本章小结

  4 基于 GA-LSTM 的态势预测模型

  4.1 LSTM 网络
  4.2 遗传算法优化 LSTM 网络
  4.3 态势预测实验验证
  4.4 本章小结

  5 总结与展望

  5.1  总结
  随着当前网络用户的急速增加,网络规模的逐步扩大,网络中的恶意行为也越发严重,且攻击者的网络攻击手段也越发多样化,这使得我们赖以生存的网络面临着极大挑战。虽然网络管理者已经意识到保障网络安全的重要性,也在网络环境中部署了多种安全设备(如 IDS、防火墙等),但是仍然无法很好地满足对网络安全进行整体评价的需求。在此情况下,网络管理者需要寻求一种能准确、快速地掌控整个网络安全当前态势以及发展趋势的解决方案,而态势感知就是针对此种需求提出的解决方法,也是近年来网络安全方向研究的热点内容。态势评估以及态势预测是态势感知的核心部分,近年来随着人工智能的兴起,人工神经网络在各行各业得到充分地应用。本课题结合神经网络在网络安全方面的应用优势,从态势评估以及态势预测两方面进行研究,来提升网络安全态势的感知和预测能力,主要的研究工作有:(1)针对 DNN 在攻击检测上存在检测精度低、误报率高等问题,本文提出了一种融合批量规范化和深层神经网络的攻击检测模型。该模型在深层神经网络的隐藏层中添加了批量规范化层,优化隐藏层的输出结果,然后采用 Adam 自适应梯度下降优化算法对 BNDNN 进行参数自动优化,提高模型的异常检测能力。通过分析不同网络攻击对网络安全状况的影响情况,构建基于攻击因子的态势评估指标,该方法利用受到攻击的情况来体现主机当前态势状况,再根据网络中所有主机的态势信息综合计算整个网络的态势值并量化得出态势等级,实现了网络安全态势的感知。(2)通过分析网络安全态势具有时序性的特点,结合上述获得的安全态势值,采用长短期记忆网络(LSTM)来解决态势预测问题;同时利用遗传算法(GA)优秀的学习能力以及全局搜索能力来优化 LSTM 的网络结构参数,建立了基于 GA-LSTM 的态势预测模型,实现了对网络安全态势的预测。(3)为验证方法的有效性,本文使用 NSL-KDD 数据集对态势评估进行了实验,并与 SNN,KNN,DNN 等模型作对比,证明了态势感知模型的可行性、有效性;同时本文还采集了实时网络数据,利用真实的网络数据再次验证了态势评估模型的有效性;通过态势评估后的态势数据,用 GA-LSTM 完成态势的预测,并与标准化 LSTM 网络、时间序列分析法作对比,结果验证了本文预测模型的有效性。通过本文的研究,将神经网络运用在态势感知上,可以加强对网络安全的主动防御,以达到网络安全态势感知的目地;同时对于态势感知的发展也具有很大的现实意义。
  5.2 展望
  本文主要结合神经网络在网络安全方面的应用优势,从态势评估以及态势预测来开展研究,构建了基于 Adam-BNDNN 的网络攻击检测模型,并使用攻击因子进行态势评估,同时建立了 GA-LSTM 的态势预测模型。但本文在研究过程中也存在需要不足之处,需要在以后的工作中进一步完善相关内容,主要包括:(1)实验在验证态势感知模型的性能上,虽然使用 NSL-KDD 数据集以及真实网络环境下的实时数据都验证了模型的可行性;但由于采集的网络流量的数据量有限,且只对网络环境中某些攻击做出回应,使得评估结果无法较好地反应大规模网络环境中遭受的攻击情况以及态势信息。在未来的研究中,不仅应当构建更加完备的网络攻防环境来完成实验,同时应当收集更加全面的、数据量更多的网络数据进行攻击检测和态势感知。(2)本文在态势预测方面使用了基于 GA-LSTM 的预测模型来提升预测效果,但就传统的 GA 算法而言,其还是会存在收敛过早的现象,以及局部搜索能力较低等不足。在未来的研究中,应该进一步优化 GA 算法,以获得更好的态势预测模型,进而更好地实现网络态势预测。


以上论文内容是由硕士论文网为您提供的关于《基于神经网络的网络安全态势感知技术研究》的内容,如需查看更多硕士毕业论文范文,查找硕士论文、博士论文、研究生论文参考资料,欢迎访问硕士论文网计算机论文栏目。