基于机器学习的网络安全检测技术研究.pdf

1、2 0 2 4年3期1 3 9 2 0 2 4年第4 6卷第3期基于机器学习的网络安全检测技术研究何振宇 王骏立作者简介:何振宇(2 0 0 1-),本科,研究方向为识别算法设计;王骏立(2 0 0 2-),本科,研究方向为计算机应用技术。(国防科技大学电子对抗学院 合肥2 3 0 0 2 7)摘 要 为保证现阶段网络指令的安全性,可以逐步完善网络检测技术手段,以检测网络安全环境。基于此,文中提出了构建网络安全框架层、建立系统框架的方式,并将安全检测算法、向量机分类算法以及无监督聚类技术应用其中,以便实现对网络环境的全面监督,发布完整的网络安全指令,提升网络安全的检测效率以及准确性,降低网络安

2、全攻击的可能。关键词:机器学习;网络安全;检测技术中图分类号 T P 3 9 3R e s e a r c ho nN e t w o r kS e c u r i t yD e t e c t i o nT e c h n o l o g yB a s e do nM a c h i n eL e a r n i n gHEZ h e n y ua n dWAN GJ u n l i(S c h o o l o fE l e c t r o n i cW a r f a r e,N a t i o n a lU n i v e r s i t yo fD e f e n s eT e c h

3、 n o l o g y,H e f e i 2 3 0 0 2 7,C h i n a)A b s t r a c t I no r d e r t oe n s u r e t h es e c u r i t yo f c u r r e n tn e t w o r k i n s t r u c t i o n s,n e t w o r kd e t e c t i o nt e c h n i q u e sc a nb eg r a d u a l l yi m p r o v e dt od e t e c t t h en e t w o r ks e c u r i t

4、ye n v i r o n m e n t.B a s e do n t h i s,t h i sp a p e r p r o p o s e s aw a y t ob u i l dan e t w o r ks e c u r i t yf r a m e w o r kl a y e ra n de s t a b l i s has y s t e mf r a m e w o r k,a n da p p l i e ss e c u r i t yd e t e c t i o na l g o r i t h m s,v e c t o rm a c h i n ec l

5、 a s s i f i c a-t i o na l g o r i t h m s,a n du n s u p e r v i s e dc l u s t e r i n gt e c h n i q u e st oa c h i e v ec o m p r e h e n s i v es u p e r v i s i o no ft h en e t w o r ke n v i r o n-m e n t,i s s u ec o m p l e t en e t w o r ks e c u r i t yi n s t r u c t i o n s,i m p r o

6、 v et h ee f f i c i e n c ya n da c c u r a c yo fn e t w o r ks e c u r i t yd e t e c t i o n,a n dr e d u c e t h ep o s s i b i l i t yo fn e t w o r ks e c u r i t ya t t a c k s.K e y w o r d s M a c h i n e l e a r n i n g,N e t w o r ks e c u r i t y,D e t e c t i o nt e c h n o l o g y0 引言

7、随着企业网络建设进程的不断深入,网络攻击手段愈加多样化。企业为了保证网络环境的安全性,可以加强网络安全部署与配置,以解决多样化的安全威胁类型,辨别网络攻击来源,分析网络安全攻击的动态化特征。随着对网络安全防护要求的提高,网络安全检测技术已经成为网络环境中不可缺少的一部分,是检测网络敏感性以及灵活性的重要工具。因此,在机器学习的背景下,越来越多的企业将网络检测技术应用到网络环境检测中。1 构建网络框架层网络拟态框架能为网络安全技术分层检测提供途径和环境,使网络安全技术成为动态化的防御体系,突破和防御黑客攻击,拦截攻击成本。因此,在机器算法的支持下,需构建网络拟态安全分层网络,确保网络环境的安全性

8、。1.1 模拟网络空间拟态目前,网络空间具有多维性以及高覆盖性的特点,其中涵盖大量的审计数据以及分层数据。在如此高纬度的网络数据环境下开展网络拟态工作,需耗费大量的时间成本以及资源成本1。若想实现网络空间的拟态化,则要进行分层提取与降维处理,以便为后续检测数据安全提供路径。在机器算法中,网络拟态数据分层主要按照数据的种类特征,根据数据特点归类数据样本,并利用数据机器训练的方式为网络拟态空间提供高纬度的数据样本。但随着空间维度的上升,网络空间数据的复杂性也随之提升,只能在分层提取的过程中确定数据类型。另外,在机器算法中,需将数据类型划分为过滤式数据、嵌入式数据等,并选择一组数据作为标准数据,在正

9、常维度环境下集合成最优的特征子集,对数据进行简单排序,实现对数据的预处理,快速地排除异常数据。嵌入式数据处于数据迭代过程中,对于算法具有较高的要求,需在整个数据分类中结合数据子集类型进行综合评定,以保证数据提取的精度。1.2 安全分层加密网络空间的拟态处理一直备受关注。随着网络空间数据存储量的不断增大,数据的存储技术也得到提高。为保证网络安全拟态中分层数据的完整性,可以利用机器学习算法规划一种数据分层加密方案,在保证网络空间数据流动性的同时,以加密方式分列数据角色,设置网络数据密钥、数据集合以及数据存储。在数据网络中,用户可以通过数据密钥验证身份,解析未知数据,进而将数据上传至访问文件中,再通

10、过服务器对数据进行加密,以便后续数据安全分层检测2。创建加密储存方案,首先需用户创建空间的1 4 0 2 0 2 4年3期储存数据,并完善密钥的计算式,如式(1)所示:M=m T(1)其中,M为密钥参数,m为网络空的管理服务序列,T指加密文件在整个数据的加密过程。利用相关加密式进入用户端口,可以形成密钥式与加密文件之间的有效转化,获取文件信息数据。在网络拟态空间上传数据时,密钥可以交给用户进行确认,通过获取第三方认证的机器算法生成服务管理模式,备份加密文件,实现对文件数据的精准控制。在读取文件的过程中,基于访问对象的特点,可以划分控制层以及数据层,提出合法操作请求,向网络拟态空间端口发出相关请

11、求,以完成数据读取。1.3 安全分层检测算法检测算法可以预测加密文件中的异常数据,具有较强的容错性,其能使加密文件快速地适应网络空间。在网络拟态空间中,利用误差式计算机算法,可以识别加密文件中的异常数据,渗透数据至控制层以及分析层,构建具体的网络信息传输网络。在机器算法指导下的网络框架,一端将待计算的网络数据传输至另一端,隐藏网络数据运算节点,以完成数据运算,使隐藏层的数据可以直接转为等待状态的待处理数据。而在数据进入另一处理终端口后,进入到应用层的数据将逐层修正数据误差,反馈数据函数与目标函数之间的差距,以最终达到网络拟态空间对数据处理的要求,从而进行最终运算。按照机器设定的算法,样本数据为

12、:a=1,2,3,。在网络框架中,E为框架节点,数据最终的输出值为0,按照函数计算,数据函数与目标函数的最终误差如式(2)所示:n=1=1/2(a-0)(2)其中,可以代入不同系数,通过机器算法的识别分辨出隐藏节点,检测输出数据的安全性3。1.4 基于S h a r p的网络分级S h a r p是一种数据采集技术,其需在网络拟态空间中,将网卡设置为混合模式,并在该模式下根据操作系统的提醒,对每帧网络数据的硬件采取处理措施,以便将数据完整地传达至数据层,获取加密文件的数据内容。基于S h a r p数据搜集法,可以建立数据传输的动态连接,实时获取传输数据内容,了解数据在网络拟态空间中的传输状态

13、,进而完善采集流程。在采集数据信息时,根据加密文件大小设置数据的过滤条件,由此约束数据的传输行为。在采集数据后,系统会自动读取数据的过滤字段,判断应过滤的数据类型,分析文件包裹,并转换为S h a r p格式,完成对加密文件中的简要信息解读。如果网络数据在传输过程中出现断层,则要将数据转换为数据帧再进行传输,并在解读完数据包后,进一步完成数据指令,将解析结果存储至数据保存区。2 基于机器学习的网络安全检测技术通常情况下,黑客、恶意软件以及病毒主要通过外部指令对计算机安全防护层造成实质性伤害,导致计算机内部数据出现错误或进行错误性的操作指令。而为了检测攻击对数据造成的影响,本文设计了网络系统框架

14、,用于维护遭受攻击的网络防护系统。2.1 构建系统框架该系统主要依靠数据传输过程中所披露的数据指令流量来运行,并在此基础上获取威胁数据库或造成数据库漏洞的相关数据信息。而为了获取数据传输包中的异常数据,可以通过构建异常网络指令流量样本集合,将其传输至机器算法平台上进行分析。本文主要利用攻击指令算法、向量机、超求体向量机技术对异常数据进行分析,并根据数据分析结果构建数据检测模型,通过模型与系统模块的结合,拦截异常数据达到网络边界或服务器终端,确保数据在服务器中的平稳运行,提升异常数据预测结果的准确性,进而实现对数据攻击的有效检测。2.2 设计攻击指令算法检测系统主要是在攻击指令算法的指导下开展的

15、网络检测操作,整个检测流程实现了网络数据的采集、分类以及拦截,一旦系统检测到异常数据流量,就会自动开启防御机制,利用超球体向量机检测手段完成对网络数据攻击的检测,拦截未知数据。同时,在拦截过程中,系统攻击指令检测模块还将设置网络数据可达到的最远边界,用于检测服务器终端的网络数据,完成对异常流量数据的分析。通过构建S V C模型以及S VM模型,选择数据的随机森林特征,借助机器学习算法计算异常数据的流量变化,将其作为后续数据分析的参考值,进而完成对异常数据的检测。2.3 向量机分类算法在数据进入到指令集合后,通过对数据信息的分类,将数据信息划分为训练集和测试集,然后利用这些数据集合构建二分类数据

16、向量模型,以便在数据传输过程中实现正向指令与异常指令的分类4。首先,将加密文件中的数据样本按照41的比例传输至训练集和测试集中,如果在过程中发现异常数据,则要将异常数据样本做好标识(-1),然后利用已知的异常数据标识构建后续的数据训练模型,罗列出超平面到决策函数中的向量,再通过设置最大限制值,选择目标函数。在检测异常数据的过程中,假设将参数设置为,k设置为定值,通过对异常数据的分类比对,计算异常数据与正常数据之间的召回率,进而选择最优的目标函数。其次,在后续几组训练集中,利用多组异常数据进行多次分类比对试验,从中选择最具泛化性能的异常函数,通过与测试集中的数据进行交叉验证,划分数据值,构建多个

17、向量模型,计算异常数据的指令流量,最终完成异常数据检测模型。2.4 超球体向量机技术在常见的攻击指令集合中,选取异常流量值最大的数据构建超球体模型,并将超球体模型中的数据作为测试对象,预测可能出现的攻击类型,如果异常数据的攻击超出超球体的向量范围,则表示该攻击类型不属于超球体预测模型,就可以将该攻击模型与常规攻击模型拆分开,完成对异常数据攻击指令的识别。首先,在系统检测到异常数据后,根据已知的攻击指令类型集合,参照随机森林模型,划分攻击指令,进而构建攻击指令的未知超球体。在整个模型中,移动信息2 0 2 4年3期1 4 1 尽量将所有的常规攻击指令纳入到超球体向量模型中,并将攻击指令携带的数据

18、囊括在球内部,但同时要保证球体半径为最小值。其次,根据超球体向量解析函数,以球体中的数据特点,调整向量模型参数,计算异常数据的阈值及球心距离球体表面的半径,完成最终超球体边界的构建,区分常规指令和已知攻击指令,完成对攻击指令的检测。2.5 无监督聚类技术在系统遭受到未知网络攻击时,无监督聚类技术可以发挥成效,根据超球体向量模型划定的已知攻击指令范围,超出该范围的攻击就是未知攻击。对于超出预知部分的攻击类型,可以在未知攻击指令中随机选择多个数据点构建未知攻击类型,并计算未知攻击点到数据点之间的函数距离,然后根据距离的不同,将数据划分至不同的簇中,由簇的中心逐渐扩充至中心点,以判断异常数据的动态变

19、化5。最后,基于各个异常数据点计算簇的中心到达函数之间的距离,重新划分异常数据的聚类。在对聚类进行计算时,可以从中任意选取两个数据点,划定每个聚类的数据范围,然后通过聚类的范围重新确定未知数据指令的攻击范围,实现对未知攻击指令的检测。3 实验验证与分析为了在机器算法下检测网络安全技术的应用效果,本文对上述建立的系统模型框架进行了试运行。该检测主要借助处理器I n t e l I 7 X,内存为1 6 G B,显卡为R T X 2 0 3 0。同时,为了完成对异常攻击的检测,已事先采集相关传输数据和加密文件,整个网络检测环境就在网络拟态虚拟空间中。3.1 异常流量检测在对系统进行检测前,将已经采

20、集好的数据和加密文件导入到数据结合中,其中需包括数据的字段、名称以及特征。在导入过程中,为了保证数据不受外界环境的影响,为数据传输构建了特殊通道。其次,分别导入异常数据和正常数据,并在超球体向量技术、无监督聚类技术的支持下,比对正常数据与异常数据的检测结果。然后,通过标识出异常数据,获取后续建立异常数据模型的相关参数。最后,获取数据的检测结果,根据已测试样本与已经被标识的异常数据进行比对,计算整个模型系统框架的检测精度。根据比对结果可知,该系统模型的检测精度可达9 5%。如此,若异常数据进入到系统模块中,则会第一时间对其进行拦截。3.2 S V C模型优化在实验过程中,为了保证测试样本的选取精

21、度,结合了异常数据样本子集,与S V C模型中的数据进行比对,并通过分析随机森林中的函数特征对数据进行无特征处理和选择处理,由此建立了异常数据和正常数据的二分类器,从而为后续评估异常数据检测的准确性奠定基础。在整合所有异常数据样本中,为了保证异常数据测试的平均值,在对数据进行无特征处理后,可以与无特征处理后的数据进行比对,进而评价模型所计算出的异常数据流量,最终确定系统可以接收的异常数据样本集合的大小,获悉系统测试结果。通过对模型的检测可知,在对数据特征进行选择时,当数据样本集合量达到7时,能得出最优解。3.3 S VM模型特征S VM模型特征主要借助已获悉的数据攻击指令,在引入随机数据后得出

22、异常攻击指令的特征,并对异常数据重要性特征进行排列,以便在后续检测过程中,将数据代入到对应的特征子集中,建立对应的S VM模型。根据对异常数据特征的检测可以发现,当异常数据代入到模型中时,模型中可以接受的最大特征子集数量为4,只有当数值到达4后,模型的分类器泛化性能才可能达到最佳,并按照系统所预设的特征选择方法和划分方法检测异常数据。3.4 已知攻击检测基于上述异常数据导入流程,在导入数据后,按照系统预测模型检验数据的网络攻击程度,标注异常数据网络的攻击结果。在进行多组实验时,皆重复上述操作,统计样本中被检测数据类型和数量,以备后续与得到的样本数量进行比对。从模型的测试结果可知,该模型检测结果

23、与设置系统的初衷一致,可见系统可以高精度地完成已知网络攻击的检测任务。3.5 未知攻击检测在测试系统对未知网络攻击的检测结果时,在已知网络攻击检测结果的基础上,删除了部分已测网络攻击,并根据已经设立的预测模型,重复上述检测异常数据攻击步骤,仍能实现检测未知网络攻击的目标。通过对两组检测样本数据的对比可知,未知网络检测模型,可以获取异常数据的检测结果和聚类,使检测精度提升至9 0%。如此,系统模型便完成了检测任务。4 结语在机器算法的指导下,在网络拟态化场景中应用网络安全技术,通过构建系统检测框架,应用不同检测技术,如无监督聚类技术、超球体向量技术,来辨别异常数据,获取已知和以及未知网络指令,完

24、成对异常攻击指令的有效检测,这达成了系统设计目标。同时,其不仅实现了网络安全检测技术的优化,还在一定程度上扩大了异常数据的检测规模,保证了多种异常数据都可以被纳入到模型的检测范围中,提升了数据检测的准确性。参考文献1汤亮.基于机器学习的网络安全检测技术J.信息与电脑(理论版),2 0 2 3,3 5(1):2 2 6-2 2 8,2 4 1.2申培,刘福龙,桑海伟.恶意代码检测研究综述J.重庆理工大学学报(自然科学),2 0 2 2,3 6(1 1):2 1 2-2 1 8.3邵志鹏,李伟伟,周诚.基于机器学习的电力网络安全检测技术研究J.自动化与仪表,2 0 2 2,3 7(9):1 0 4-1 0 8.4赵继业.基于机器学习算法的网络空间拟态安全分层检测技术J.电子设计工程,2 0 2 1,2 9(1 9):1 2 1-1 2 5.5闫晓明.基于特征匹配的协议识别关键技术研究D.长沙:国防科学技术大学,2 0 1 9.移动信息