1、NETINFOSECURITY理论研究doi:10.3969/j.issn.1671-1122.2024.03.0062024年第3期基于自注意力机制的网络局域安全态势融合方法研究杨志鹏1,刘代东1,袁军翼,魏松杰1,(1.南京理工大学网络空间安全学院,南京2 10 0 9 4;2.南京理工大学计算机科学与工程学院,南京2 10 0 9 4)摘要:针对传统网络安全态势感知方法无法高效整合多节点数据、获取全局网络安全态势的问题,文章提出了一种基于自注意力机制(Self-AttentionMechanism)径向基函数(Radial Basis Function,R BF)神经网络与卷积神经网络(
2、Convolutional NeuralNetwork,C NN)的网络局域安全态势融合方法SA-RBF-CNN(Se lf-A t t e n t i o n-R BF-CNN通过自注意力机制,模型能有效识别并强调关键节点,增强对全局安全态势的认识。同时,改进的RBF结构与CNN结合能进一步提炼特征,增强模型对复杂数据模式的捕捉能力。实验结果显示,SA-RBF-CNN在识别网络安全态势预测的关键指标上优于其他类似方法,与传统态势感知方法相比,其提升了计算速度,减少了通信开销,证明该模型具有一定的实际应用价值。关键词:网络安全态势感知;自注意力机制;深度学习;径向基神经网络中图分类号:TP30
3、9文献标志码:A文章编号:16 7 1-112 2(2 0 2 4)0 3-0 39 8-13中文引用格式:杨志鹏,刘代东,袁军翼,等,基于自注意力机制的网络局域安全态势融合方法研究.信息网络安全,2 0 2 4,2 4(3):39 8-410.英文引用格式:YANG Zhipeng,LIU Daidong,YUAN Junyi,et al.Research on Network Local Security SituationFusion Method Based on Self-Attention MechanismJ.Netinfo Security,2024,24(3):398-410
4、.Research on Network Local Security Situation Fusion MethodBased on Self-Attention MechanismYANG Zhipeng,LIU Daidong,YUAN Junyi?,WEI Songjiel(1.School of Cyber Science and Engineering,Nanjing University of Science and Technology,Nanjing 210094,China;2.School of Computer Science and Engineering,Nanji
5、ng University of Science and Technology,Nanjing 210094,China)Abstract:Addressing the issue of traditional network security situation awarenessmethods being inefficient at integrating multi-node data to obtain a global network securitysituation,this article proposed a network local security situation
6、 fusion method named SA-RBF-CNN,based on self-attention mechanism,radial basis function(RBF)neural network,收稿日期:2 0 2 4-0 1-2 9基金项目:工信部2 0 2 0 年工业互联网创新发展工程 TC200H01V作者简介:杨志鹏(19 9 8 一),男,新疆,硕士研究生,CCF学生会员,主要研究方向为网络安全态势感知与深度学习;刘代东(19 9 9 一),男,湖南,硕士研究生,CCF学生会员,主要研究方向为区块链技术应用与网络安全;袁军翼(19 9 9 一),男,江苏,硕士研究
7、生,CCF学生会员,主要研究方向为恶意软件检测与网络安全;魏松杰(19 7 7 一),男,天津,副教授,博士,CCF高级会员,主要研究方向为网络与信息安全、移动恶意检测、软件定义网络和安全风险评估。通信作者:魏松杰398NETINFOSECURITY2024年第3期理论研究and convolutional neural network(CNN).Through the self-attention mechanism,the modeleffectively identifies and emphasizes key nodes,enhancing the understanding of
8、the globalsecurity situation.Meanwhile,the improved RBF structure combined with CNN furtherrefines features,boosting the models ability to capture complex data patterns.Experimentalresults show that SA-RBF-CNN outperforms other similar methods in key indicators ofnetwork security situation predictio
9、n.Compared to traditional situation awareness methods,itincreases computational speed and reduces communication overhead,proving that the modelhas certain practical application value.Key words:network security situation awareness;self-attention mechanism;deep learning;radial basis function neural ne
10、twork0引言在当今数字化时代,企业和个人面临的网络攻击变得日益复杂和频繁,这一趋势迫切要求开发并实施更加高效的网络安全策略。在这一背景下,网络安全态势感知(Network Security Situation Awareness,NSSA)的概念应运而生,并迅速在信息安全领域占据了核心地位。NSSA的主要宗旨是通过实时监控网络活动和深人分析数据,准确评估当前的网络安全状况,并及时识别潜在的网络威胁。这样做不仅增强了网络系统的弹性,也显著提高了其安全性。然而,面对日益复杂的网络环境,传统的网络安全态势感知方法正面临着越来越多的挑战。在当前的网络安全态势感知领域,一个显著的挑战是处理现代网络系
11、统的分散性和异构性。目前,大多数网络由多个互联的节点组成,并不是单一的点,而现有的大多数NSSA方法主要集中在单点分析上,专注于提升单点网络安全态势的评价可信度、预测准确度 2,却无法分析网络节点之间的关联性,难以高效地整合和分析来自不同节点和平台的数据,这种局限性导致现有的传统NSSA方法无法形成对整个网络区域安全状况的全面认识。为了应对这项挑战,本文提出一种基于自注意力机制、RBF与CNN的网络局域安全态势融合方法SA-RBF-CNN,以融合不同网络节点的局域安全态势数据,得到整个网络的安全态势,该方法有以下两个特点。1)自注意力机制的应用通过自注意力机制有效捕捉区域内各网络节点之间的相互
12、关联性,以及各个节点对整体网络安全态势的影响程度。这种机制使得模型能够更加精确地识别和强调重要节点,从而提高对网络安全态势的整体理解。自注意力机制的应用不仅提升了数据分析的准确性,而且增强了模型在处理网络安全数据时的灵活性和适应性。2)R BF神经网络结构的优化对传统的RBF神经网络进行了结构上的创新,通过移除其第三层并将其直接与CNN相结合,将经过RBF处理的高度非线性特征传递给CNN,再通过CNN的卷积结构进一步提炼和强化这些特征,挖掘出更深层次的数据模式和关联,使得模型在获取全局网络安全态势时更加准确。1相关工作1.1网络安全态势感知态势感知(SituationAwareness,SA)
13、一开始被应用于航空领域,指在一定时间和空间范围内提取系统中的要素,理解这些要素的含义,并且预测其可能的效果。ENDSLEY3将其概括为态势觉察(SituationPerception)态势理解(Situation Comprehension)及态势投射(SituationProjection)3个层面,并据此提出了一个态势感知的概念模型,该模型如图1所示。态势感知方法在战场指挥、人机交互系统和医疗应急调度等领域均有应用,其概念之后也被引入网络空间安全领域。态势要素提取态势理解(一级)(二级)图1态势感知概念模型态势预测(三级)399NETINFOSECURITY理论研究2024年第3期1999
14、年,BASS4提出网络安全态势感知相关理论,次年他又指出,下一代IDS系统需要处理从异构的分布式网络传感器中收集的数据,实现网络空间的态势感知(Cyberspace Situational Awareness),并且基于数据融合的JDL(Jo i n t D i r e c t o r s o f La b o r a t o r i e s)模型,提出了一种基于多传感器数据融合的网络态势感知功能模型 5。模型结构如图2 所示。态势库知识态势提取资源管理对象库信息对象提取数据数据提取数据收集(传感器、膜探器)图2 网络安全态势感知功能模型文献 2 的概念模型和文献 4的功能模型为网络安全态势感
15、知的研究奠定了基础,启发了众多后续的研究工作。在这些工作中,研究人员不断探索和发展新的方法和技术,以应对网络安全中的挑战,我国许多高校和研究机构也在近年致力于网络安全态势感知的关键技术研究 6。现有的网络安全态势感知工作主要集中于如何有效地收集、处理和分析网络数据,以实现对网络威胁的及时识别和响应,这些研究不仅涵盖数据收集和处理技术的改进,还包括对网络威胁行为模式的深人理解和预测。近年来,关于网络安全态势感知的研究主要集中于使用算法优化和深度学习技术进行网络安全态势预测7。例如,HU8等人使用CNN提取了网络流量等可以用于进一步分析的特征,并将其输人双向门控循环单元网络(BiGRU),实现了高
16、效、准确的网络安全态势预测。RBF神经网络具有函数逼近和自适应能力强、学习速度快等优点,可以描述非线性的复杂系统,而网络安全态势通常是非线性的,因此RBF神经网络非常适用于网络安全态势预测。谢丽霞9 等人使用自适应遗传算法对RBF网络参数进行优化,以进行高效的网络安全态势感知。余晴 10 等人提出了一种改进的自适应遗传模拟退火算法并应用于BP神经网络,可有效对云平台虚拟层进行安全态势感知。CHEN!I利用模拟退火(SimulatedAnnealing,SA)算法和混合层次遗传算法(Hybrid Hierarchical Genetic Algorithm,HHGA)对 RBFK威胁评估神经网络
17、进行了参数优化,克服了处理大量信息时的性能限制,提高了网络安全态势预测的准确度。网络安全数据通常是时序数据,而循环神经网络(RecurentNeural Network,R NN)能够有效地建模和预测这些时序数据中的事件 12,许多学者在网络安全态势感知领域对RNN基础上的长短期记忆(Long Short Term Memory,LSTM)神经网络和门控循环单元(Gated Recurrent Unit,GRU)网络进行了研究。ZHANG13等人研究了一种基于LSTM-DT模型的网络安全态势感知方法,通过决策树和LSTM网络相结合,更准确地描述和预测了网络安全态势。ZHANGI14)等人使用变
18、分模式分解(VariationalModeDecomposition,VMD)和动态鲸鱼优化算法(DynamicWhaleOptimizationAlgorithm,D W O A)优化技术用于双向门控循环单元注意(BiGRU-ATTN)神经网络,提高了网络安全态势的预测精度。尽管现有的网络安全态势感知研究取得了显著进展,但它们大多集中在单点分析上,忽视了网络系统作为一个整体的复杂性。这些方法通常无法全面捕捉分布式网络环境中的动态变化,也难以有效整合来自不同节点的数据,导致在全面评估整个网络安全态势时存在不足,限制了对网络威胁的全面理解和及时响应。此外,单点方法在处理大规模和复杂数据时,往往面
19、临性能瓶颈。因此,需要一种能够全面整合和分析分布式网络数据的方法,以更准确地反映整个网络的安全态势。1.2自注意力机制注意力机制和自注意力机制作为深度学习中的关键架构,通过计算输入序列内部的关注点来突出显示400NETINFOSECURITY2024年第3期理论研究数据中的重要特征。注意力机制允许模型动态地关注某些信息,忽略其他不太相关的信息,从而提高了处理复杂数据时的效率和准确性。自注意力机制是注意力机制的一种特殊形式,它特别关注输人序列内部元素之间的相互作用,允许模型捕捉到长距离的数据依赖关系。在自然语言处理(NLP)和图像识别等多种任务中,这两种机制都已被证明可以显著提升模型的性能。例如
20、,GUO15等人在自然语言处理中提出一种改进的自注意力模块,通过引入两种语言约束使得模型性能优于Transformer和其他自注意力模型。MEI16等人将自注意力引入高光谱图像分类中,利用局部光谱和远程光谱的相关性进行分类,最终结果优于最常用的几种方法。李季璃 17 等人在提出的图像信息隐藏算法中引人自注意力机制以增加有效信息的权重,避免穴余。注意力机制和自注意力机制在网络安全态势感知领域具有巨大的应用潜力,它们可以有效地从复杂的网络数据中识别出关键威胁模式,提高威胁检测的准确性和效率。通过对重要特征的加强和非关键信息的抑制,这些机制为提升网络安全防御能力和预测未来威胁提供了新的强有力的工具。
21、HU18等人使用注意力机制对自己的方法进行了优化,提高了网络安全态势评价和预测的效率。ZHAO19等人使用注意力机制优化预测模型的性能,使其能够更好地捕获网络安全态势感知中的信息。然而,现有研究中对注意力机制和自注意力机制的应用主要集中在特征加强和模型参数优化方面,迄今为止,还未有研究着重于利用自注意力机制来区分不同感知节点的贡献度,这种区分对于理解每个节点在整体网络安全态势中的相对重要性是至关重要的。1.3RBF神经网络RBF神经网络是一种有效的机器学习方法,被广泛应用于模式识别和函数逼近领域。它的核心特点是使用径向基函数作为激活函数,这使得RBF神经网络在处理非线性问题时表现出色,使其能够
22、快速学习并适应复杂数据模式,特别是在描述非线性和复杂系统时,因此,RBF神经网络在网络安全态势感知等领域中显示出巨大的应用潜力。例如,程家根 2 0 等人使用了遗传算法对RBF神经网络进行优化,从而提升了网络安全态势预测的准确率。文献 11也使用了RBF神经网络,以更好地寻找网络安全态势值的非线性关系。1.4 CNNCNN是深度学习领域的一个重要分支,其核心特点是其具有卷积层,这些层通过滤波器提取数据中的局部特征,在处理具有序列关系的数据时特别有效。因此在网络安全态势感知中,尤其是在特征提取和网络行为分析方面,CNN展现出了巨大的潜力和应用价值。例如,YAO21等人使用CNN提取输人数据的特征
23、得到高层的特征表示,并将其输入LSTM网络获取了更精确的网络安全态势预测值。赵冬梅 2 2 等人使用了复合CNN的结构提取特征,并引入了时间因子的概念提高了网络安全态势评估的准确率。常利伟 2 3等人在提出的基于卷积神经网络多源融合的网络安全态势感知模型中使用CNN作为攻击识别引擎。2系统设计与实现针对如何整合不同节点数据,融合各节点局域安全态势,全面评估整个网络安全态势的问题,本文提出了一种基于自注意力机制、RBF神经网络与CNN的网络局域安全态势融合方法SA-RBF-CNN。首先,通过自注意力机制,模型能够捕捉网络节点间的复杂关系,并有效强调对整体网络安全态势影响较大的节点。通过计算不同节
24、点间的相互作用,自注意力层能够揭示深层次和复杂的数据关系,形成新的特征。然后,这些经过自注意力层加工的特征,因其高度的非线性和复杂性被送人RBF网络进行处理。RBF网络以其独特的非线性映射能力,对这些特征进行转换和映射,使得模型能够更好地处理和识别网络安全数据中的复杂模式。最后,将RBF层处理后的特征直接输入CNN中。与传统的神经网络和其他深度学习模型相比,CNN通过其卷积层能够有效地识别和提取序列数据中的局部依赖和特征,这使其401NETINFOSECURITY理论研究2024年第3期区域2 2部分进行详细介绍。全局区域各节点SA-RBF-CNN局域态势融合模型self-Atention能够
25、进一步提炼并强化RBF提取出的复杂模式,并将其通过全连接层转换为精准的全局网络安全态势。使用本文方法获得全局网络安全态势与使用传统网络安全态势感知方法强行获取全局安全态势的比较如图3所示。图3a)集中式方法中,若要强行获取全局网络安全态势值,所有节点的数据必须都汇聚到一点再进行态势感知,这可能导致数据通路拥堵,增加难以负担的通信开销,同时也有一些节点出于隐私保护的原因不能传输数据。相对地,图3b)展示的本文模型允许每个节点在本地进行初步数据处理和态势评估,然后将这些信息以更高效的方式进行汇总,以形成对整个网络安全态势的全面认知。接下来将介绍本文方法的总体架构及其细节。全局区域区城3区域3区域1
26、.3区域1区域1.1a)集中式方法获取全局网络安全态势全局区域区域3区域1域1b)本文方法获取全局网络安全态势图3集中式方法与本文方法比较2.1系统总体架构本文方法的系统总体架构如图4所示,分为两个主要部分。第一部分为节点本地态势评价。首先,它在本地使用分类神经网络,根据本节点提取的网络安全态势要素(如协议类型、服务类型、日志信息、流量数据等)来识别该节点在一段时间内遭受的攻击种类。然后,将分类结果输态势量化公式(1)中,综合这段时间内该节点的其他信息(如攻击频率、总行为数量等)以及受到攻击的威胁程度,从而得出该节点这段时间内的网络局域安全态势序列。第二部分为局域态势融合,将各个节点的网络安全
27、态势序列输人SA-RBF-CNN局域态势融合模型中。首先,模型通过自注意力机制强调各个节点对全局安全态势的贡献度。然后,经过自注意力层处理的数据被送人一个具有改良结构的RBF-CNN网络。得益于RBF的非线性映射能力,这一步提炼了特征,增强了模型的判断力,并通过CNN的卷积层来捕捉局部依赖性,池化层则用于降低特征维度。最后,通过全连接层得到最终的全局网络安全态势值。接下来,对每个区域2 1区域2 X?O各区域网络节点隐私保护节点一一无法承受的通信开销大量数据传输口网络全局网络安全态势;各区域网络节点隐私保护节点区域间局域安全态势融合区域内各点安全态势融合口网络局域安全态势口网络全局安全态势Tm
28、puts态势要素提取WW节点本地态势评价WICNNVOutputs分类结果RBF网络安全态势量化公式各节点的网络安全态势序列2.2节点本地态势评价在节点本地态势评价部分,局部安全态势评估在每个子区域内独立进行,该部分构建了一个分类模型,负责在各点本地接受从各点网络活动中提取的安全态势要素,并对各点受到的网络攻击进行分类,之后通过态势量化公式(1)将各点的网络安全态势进行量化,得到各节点的局部网络安全态势值序列,反映各个节点的安全状态。网络安全态势量化过程如公式(1)和公式(2)所示。Pool(x全局网络安全态势值X图4系统总体架构output.402NETINFOSECURITY2024年第3
29、期理论研究区域内各节点的注意力对于每个节点的网络流量数据序列xi,本文对其使用时间窗口采样,可以得到每个时段内的网络流量数据。设共有T个时段,则点i的局部网络安全态势值序列x表示为公式(D)对于每个时间窗口其网络安全态势值的计算方式如公式(2)所示。其中N为该时间窗口内的网络行为总数,Mj,h;分别为该时间窗口内面临的威胁以及这些威胁所对应的危险度,Pioal为该时间窗口内节点受到攻击的频率。本文所使用的UNSW-NB15数据集中每个威胁的信息及危险度如表1所示,该危险度通过模糊层次分析法 2 4计算得出。(1)1(2M/h)X(t)威胁名称NormalFuzzers.AnalysisBack
30、doorsDoSExploitsGenericReconnaissanceShellcodeWorms在每个节点都进行本地态势评价后,可以得到所有节点的网络安全态势值序列xix2xn,然后,将其作为输人交给SA-RBF-CNN局域态势融合模型进行局域网络安全态势的融合,以得到全局的网络安全态势。2.3SA-RBF-CNN局域态势融合模型2.3.1自注意力层自注意力机制是一种能够捕捉序列数据中长距离依赖关系的方法,与传统的CNN和RNN不同,自注意力机制不仅关注局部邻域,而且还考虑输入数据的全局信息。本文中自注意力机制如图5所示。各节点网络安全态势值序列Xix2XX,=xix2xWWWKVSSo
31、fimaxQ.KZ=A.YsRBF-CNN-1(2)M表1各威胁危险度威胁中文威胁名称危险度正常0.000模糊攻击0.925包含端口扫描、垃圾邮件等不同的分析攻击0.961后门1.190拒绝服务0.914恶意尝试使服务器或网络资源对攻击用户不可用渗透攻击1.202通用攻击0.913侦察攻击0.942漏洞代码1.301恶性计算机病毒1.1447权重矩阵图5本文中的自注意力机制自注意力机制通过3种不同的方式来表示输人数描述据,即查询(query)键(key)和值(value)。对于输未受到攻击通过提供随机生成的数据使网络暂停玫击绕过系统安全机制秘密访问数据利用程序的漏洞获得控制权种适用于所有分组密
32、码的攻击使攻击者获得更多有关受害者的信息一段利用软件漏洞执行的代码复制自身以传播到其他计算机的病毒人矩阵(在本文中为各节点的局部网络安全态势值序列X=xixx,),其映射到查询、键、值的方式如公式(3)公式(5)所示。Q.=X,WaK,=X,WV,=X,W,其中Wg,Wk,W,是可学习的权重矩阵。如公式(6)所示,通过计算查询和键的点积,并经过Softmax函数,可以得到注意力权重矩阵A。,即模型对各节点的权重分配。Q.K,TAg=sofimax(Vdk其中,d,是键向量的维度,用于提升数值稳定性。最后,本文将各节点的注意力权重应用到值上得到了自注意力层的输出Z,如公式(7)所示。Z=A.V,
33、2.3.2RBF-CNN结构改进层RBF神经网络是一种具有强大非线性映射能力的前馈型神经网络,其拓扑结构如图6 a)所示,它由输人层、隐藏层和输出层组成。RBF神经网络的核心特(3)(4)(5)(6)(7)403NETINFOSECURITY理论研究2024年第3期性在于其隐藏层的激活函数,每个隐藏层神经元的输出(X)反映了输入X与其对应中心点之间的相似度,这些激活函数对应于输入空间中的一系列固定中心点。这些中心点通常通过无监督学习,如K-Means聚类算法来确定,以便能够有效地表示输人特征空间。在网络安全态势感知的应用中,RBF神经网络具有独特的优势,其在隐藏层使用的径向基函数能够捕捉复杂的
34、数据分布,并有效地揭示输入特征与全局网络安全态势之间的内在联系。输入层XXRBF自注意力层输出b)改进的RBF与CNN连接图6 RBF与CNN连接CNN的核心层为卷积层,该层通过操作卷积核在输入数据上滑动来产生特征映射,一般表示为Conv,通过多层次的卷积和池化操作,CNN能够有效地从原始数据中提取出有用的信息,捕捉到数据中的时间依赖性,这能有效提取态势序列中的特征。在本文模型中,并没有用全连接层直接得到RBF层的输出,而是创新地将径向基函数处理过的特征直接输人到CNN层中,如图6 b)所示,这种方式能有效地结合RBF层在处理复杂函数映射中的非线性优势与CNN在层次化特征提取中的能力,当这些经
35、过RBF处理的高度非线性特征传递给CNN时,CNN的多层卷积结构能够进一步提炼和强化这些特征,挖掘出更深层次的数据模式和关联,从而增强了模型对网络安全态势的识别和预测能力。在本文方法中,RBF层接收自注意力层的输出Z,对其进行处理得到中间的高度非线性特征R。,如公式(8)所示。R。=R BF(Z)=e x p(-I Z-)其中,为控制基带宽度的参数,为欧几里得距离,c为基函数的中心点,通过K-Means聚类算法得出。然后,RBF层的输出R。传输给CNN,进行一维的卷积与池化,这一系列操作能够从RBF提取的特征中进一隐藏层输出层WWWa)R BF拓扑结构CNNReshapeConv(8)步提取复
36、杂的模式和特征,获得卷积层的输出C以及池化层的输出P,如公式(9)和公式(10)所示。C=ConvlD(R.)P.=MaxPoolinglD(C)最后,池化层的输出被展平成一维向量,并通过全连接层产生最终的全局网络安全态势X。,如公式(11)所示。全局安全Xg=Dense(Flatten(P)PoolFCoutput:态势X(9)(10)(11)3实验结果与分析3.1使用数据集介绍本文实验将根据UNSW-NB15数据集 2 5构建图3网络安全态势感知中的类似场景。UNSW-NB15数据集是由澳大利亚网络安全中心实验室在2 0 15年设计完成的一个开源的数据集,该数据集利用IXIA流量生成器进行
37、训练,根据CVE网站上公开的漏洞信息技术,尽可能模拟真实的攻击环境。该数据集共有49 个特征属性,类似KDDCup99数据集,包括5个流量特征、13个基本特征、8 个内容特征、9 个时间特征、12 个其他特征、2个标记特征。本文将数据集分割为多个节点,构建一个多节点组成的网络环境,模拟节点间数据不能汇聚的情况,之后量化比较了SA-RBF-CNN模型与其他思路类似的方法,并探讨了本文模型相较于传统集中式方法在降低通信开销和提高计算效率方面的优势。3.2各节点数据生成为了保证模拟数据不汇聚,本文对UNSW-NB15给404NETINFOSECURITY2024年第3期理论研究出的训练集使用滑动时间
38、窗口进行采样,将训练集划分为5个离散的节点(其中时间窗口的大小、步长均为2 min),最终得到的每个节点有17 50 个时间步,根据UNSW-NB15的时间戳计算,平均每个时间步为2 min,之后使用公式(1)和公式(2)得到每个节点的态势值序列。图7 为5个离散点的态势与5个点组成的全局区域的态势,全局的态势值由传统集中式方法计算得出以进行神经网络的训练。a)节点0 态势b)节点1态势d)节点3态势e)节点4态势图7 各节点以及全局的网络安全态势由图7 可知,节点0 为一个始终没有受到攻击的点,网络安全态势值始终为0,而node_1在第7 0 0 个时间步开始受到攻击,节点2 和节点3从一开
39、始就受到不同大小的攻击,但节点3最后受到的攻击稳定了下来,节点4则是一直受到持续稳定的攻击,最终全局安全态势则是综合反映了5个点的网络安全态势,由于在前700个时间步中,node_0和node_1均未遭受攻击,故全局态势值在前7 0 0 个时间步整体偏低。3.3模型训练本实验旨在测试提出的SA-RBF-CNN模型能否对全局网络安全态势进行有效预测。为了实现这一目标,本文对SA-RBF-CNN模型进行了详尽的训练。本节将详细介绍模型训练的参数设置和过程,模型的具体参数如表2 所示。通过自注意力机制,模型能够自动学习并分配不同权重给每个节点,从而识别出对网络安全态势影响最大的节点,准确评估网络各节
40、点对于全局安全态势表2 模型具体参数SA-RBF-CNN模型参数参数值学习率0.001自注意力头数1RBF基函数数量64RBF参数gamma0.2RBF中心点选取方法K-MeansCNN卷积核数64卷积核尺寸(3.3)池化层尺寸(2,2)损失函数MAE优化器Adam训练轮数500的贡献程度。本文对注意力层的权重矩阵进行求和操作后进行了归一化,得到了模型对每个节点的平均注c)节点2 态势意力,如图8 所示。本文发现某些节点获得了相对较高的注意力权重,这种权重分配反映了模型中每个节点对整体态势预测的相对重要性。例如,态势变化大且态势值持续偏高的节点可能会获得更高的注意力权f)全局态势重,这意味着这
41、些节点的信息对于预测整体态势来说是关键的。相反,与整体态势关联性不强的节点可能会被模型视为次要,从而得到较低的注意力权重。由图8 可知,因为node_0的态势值始终为0,没有变化,所以模型对node_0分配的注意力最低,而node_1前期没有受到攻击,故模型对它的注意力也比其余节点低,node_2、n o d e _3、n o d e _4持续遭受攻击,故模型对它们的注意力比其他的点高,其中node3前期态势变化较大且后期一直保持在一个高态势状态,因此比node_2和node_4额外获得了更多的注意力。0.200.1740.150.100.050node_o图8 各节点注意力权重0.21nod
42、e_1node-2节点编号node_3node_4405NETINFOSECURITY理论研究2024年第3期总的来说,注意力机制允许模型动态地分配权重,专注于对当前整体态势更为关键的节点,从而提高模型的性能。3.4模型评价在本小节中,将使用不同方法对测试集前两个小时的全局网络安全态势值进行预测,并量化对比各模型与真实值之间的不同指标,由于网络安全态势感知中缺少此类全局感知方法,还将选择与本文思路类似的方法进行比较,最终参与对比的方法有SSAO(Se c u r i t y Si t u a t i o n A w a r e n e s s O n t o l o g y)2 6 方法、局部
43、度权重方法(LD)2 7 以及联邦学习中的FedAvg方法 2 8。SSAO能够综合多个数据源和视角,提供全局的综合视图,也有研究者将其用在网络安全态势感知领域 19,这种方法通常依赖于本体论和知识表示技术,来集成和解释网络安全相关的数据,从而形成对整个网络安全状况的理解。LD是一种传感网络分析技术,用于确定网络中各节点的相对重要性。它基于节点的连接数(度数)来计算权重,常用于强调连接最多的节点在网络中的中心地位。最后,本文还将比较联邦学习算法中的FedAvg方法。FedAvg在概念上与本文方法相近,主要是因为它也采用了将多个节点的学习结果进行合并的策略,但在实际应用于网络安全态势感知的具体场
44、景时,两者的效果可能存在差异。在比较指标方面,本文选择了以下3个指标。均方误差(Mean Squared Error,M SE)是衡量模型预测值与真实值差异的常用指标,它计算了预测值与真实值之差的平方的平均值。MSE的值越小,表明模型的预测误差越小,性能越好,其计算如公式(12)所示。MSE=(y,-0)m平均百分比绝对误差(MeanAbsolutePercentError,MAPE),计算的是预测值与真实值之差的绝对值的平均百分比,这使得MAPE对异常值的敏感度低于MSE,因此在存在离群点的数据集上,MAPE能提供更稳健的性能指标,其计算如公式(13)所示。100%MAPE=y-nyi拟合系
45、数(R-Squared Score,R 2)反映了模型对数据变异性的解释程度,取值范围为0 1,R2值越接近1,表明模型的预测能力越强,对数据的解释程度越高,反之则预测能力弱,其计算如公式(14)所示。(i-)R2=1-直m-1在本文研究中,除了前文提到的UNSW-NB15数据集之外,还选用了CIC-IDS2020数据集进行了测试。CIC-IDS2020是由加拿大网络安全研究所(CanadianInstitute for Cybersecurity,CIC)于2 0 2 0 年发布的一款入侵检测数据集,旨在提供一个全面和现实的网络环境,用于评估和测试入侵检测系统的性能。该数据集模拟了多种网络攻
46、击场景,包括常见的网络攻击类型,如DDoS攻击、端口扫描、恶意软件传播、SQL注人等,旨在反映真实世界中网络攻击的多样性和复杂性。通过在两个不同的数据集上进行测试,能在不同的网络环境和攻击情境下评估模型的性能,确保研究成果的泛化能力和实用性。UNSW-NB15数据集提供了丰富的网络攻击场景,而CIC-IDS2020则补充了最新的攻击类型和流量模式,通过这两个数据集的双重验证,能够展示本文方法在面对多样化网络攻击时的稳定性和高效性。测试比较结果如表3及图9 所示。根据表3的量化比较结果,可以观察到,本文提出的SA-RBF-CNN模型在网络安全态势预测的各项关键指标中均展现了优秀的性能。SA-RB
47、F-CNN模型在UNSW-NB15数据集上(12)的MSE为0.0 0 11,MAPE为1.2 0%,而在CIC-IDS2020数据集上,其MSE进一步降低至0.0 0 0 6,MAPE也减少(13)(14)406NETINFOSECURITY2024年第3期理论研究至0.7 7%,这些数据有效证明了该模型相比其他算法具有更高的预测精度。同时,SA-RBF-CNN模型在两个数据集上的R2拟合系数分别达到了0.9 7 8 和0.9 48,这表明模型能够很好地捕捉到数据的变化趋势和模式。表3各方法量化比较数据集模型SA-RBF-CNN(本文方法)FedAvgUNSW-NB15LDSSAOSA-RB
48、F-CNN(本文方法)CIC-IDS2020FedAvgLDSSAO1.0SA-RBF-CNNFedAvgLD0.8SSAO0.6MSE细节0.40.002-0.201.00.80.60.40.0020.0010.20与之相比,FedAvg、LD 和SSAO模型在这些评估指标上的表现较差。以UNSW-NB15数据集为例,FedAvg、LD和SSAO模型的MSE分别为0.0 0 2 0、0.0 0 2 3和0.0 0 38,MAPE分别为2.36%、2.47%和4.9 0%,R2拟合系数则分别为0.9 14、0.9 0 1和0.8 6 2,尤其是SSAO模型在MAPE上的表现接近5%,明显低于S
49、A-RBF-CNN模型,表明其预测准确性较低。这一对比结果不仅突显了SA-RBF-MSEMAPER2拟合系数0.00111.20%0.00202.36%0.00232.47%0.00384.90%0.00060.77%0.00141.32%0.00181.68%0.00272.34%MAPE细节4.0%2.0%MSEMAPE评价指标a)UNSW-NB15SA-RBF-CNNFedAvgLDSSAOMSE细节MSEb)CIC-IDS2020图9 不同模型指标对比CNN模型在理论和实践应用中的优越性,也强调了其0.9780.9140.9010.8620.9480.9040.8830.831R2MA
50、PE细节2.0%1.0%MAPE评价指标在网络安全态势预测领域的创新性和有效性。图9 通过直观的图形展示了这些比较结果,进一步证实了SA-RBF-CNN模型在各项评价指标上的优势。3.5消融实验为了深人理解自注意力机制、RBF层以及CNN在SA-RBF-CNN架构中的独特作用和贡献,本文设计了一系列的消融实验。消融实验通过逐步移除模型中的关键组件,旨在揭示每个组件对模型预测性能的影响,以及它们如何相互作用以达到最终的性能表现。通过这种方法,不仅可以验证模型设计的合理性,还能进一步探索优化模型结构的可能性。本节选择MSE、M A PE以及R2拟合系数作为主要评估指标,测试结果如表4与图10 所示
浙ICP备2021020529号-1 | 浙B2-20240490 
