施亮亮，程 建

（空军工程大学信息与导航学院，西安 710077）

基于TWSVM的C4ISR网络安全态势评估方法*

施亮亮，程 建

（空军工程大学信息与导航学院，西安 710077）

为进一步提升基于SVM的C4ISR网络安全态势评估方法的评估精度和鲁棒性，提出了一种基于孪生支持向量机的C4ISR网络安全态势评估方法。该方法首先分析了影响C4ISR网络安全态势的主要因素，然后基于孪生支持向量机，建立了C4ISR网络安全态势评估模型，通过非线性映射将网络安全态势样本各个要素特征向量映射到高维特征空间，继而利用多类核函数构造的不同分类面以及分类函数来对网络安全态势样本数据进行学习和参数估计，从而得到全局最优分类解。实验结果表明，与基于SVM的网络安全态势评估方法相比，所提方法在提高评估正确率的同时能够动态高效地反映出当前网络的安全态势，具有较强的鲁棒性。

C4ISR，安全态势评估，孪生支持向量机，评估方法

0 引言

C4ISR（C4SIR）是以计算机为网络核心［1］，具有指挥控制、通信保障、预警探测、情报侦察以及信息对抗等功能的复杂网络系统。作为一体化联合作战指挥的大脑和神经，由于其系统结构的高度开放性和战场环境的复杂性，必然受到敌方各种不确定性和多变性的攻击和威胁。针对这一问题，通常的做法是在C4ISR的关键节点和重点防护位置安装防护系统来对系统的状态进行监测，而目前使用的防护系统又存在品种多样、功能单一、报警量大、产生的不相关报警数据多等问题，面对大量的报警信息，通过人工快速分析并作出相应的安保响应措施是非常困难的。另外，随着网络化C4ISR建设、传感器技术发展和赛博空间对抗的日益激烈，全域战场空间产生的数据表现出体量大、种类多、结构复杂和增速快等典型的大数据特征。因此，如何在瞬息万变的战场环境下感知C4SIR网络态势，动态评估网络当前的运行状况，确保C4ISR安全稳定运行是一个亟需解决的问题［2］。

C4SIR网络安全态势评估的关键是构造客观准确的评估模型和评估方法。针对这一问题，国内外学者进行了大量的研究，提出了诸多理论和方法，取得了很好的效果。文献［3］提出利用专家打分对网络安全态势进行评估的方法，评估结果准确性依赖于专家的经验，因此，该方法具有缺乏客观性，不可靠。文献［4］将判别分析方法应用于网络安全态势评估，然而该方法是一种线性评估方法，难以适应现代时变性和非线性较强的网络，评估结果较差。针对非线性网络安全态势评估的问题，文献［5］提出将马尔科夫模型应用于安全态势评估，利用随机方式获取所改进观测序列与转移矩阵的方法来动态显示网络的安全特性。文献［6］提出利用时空关联从信息来源复杂的网络中动态提取安全预警信息，并对安全威胁进行量化评估。文献［7-8］分别将基于径向基函数的神经网络和基于反向传播的神经网络应用于大规模网络安全环境下的安全态势评估。然而由于神经网络的网络结构难以确定，因此，该评估方法容易陷入局部最优，且对小规模的样本评估结果不理想。针对有限样本情况下的网络态势评估问题，文献［9］提出利用支持向量机（Support Vector Machine，SVM）对网络安全态势进行评估，由于SVM对小规模样本具有较强的适应能力且分类准确率较高，能够取得理想的评估效果。然而SVM算法存在训练时间长且对超平面附近样本容易错分的缺点，极大地限定了基于SVM的网络安全态势评估方法的实用性。

为提高基于SVM网络态势评估方法的速度，提升算法的泛化性能，本文提出了一种基于孪生支持向量机（Twin Support Vector Machines，TWSVM）［10］的C4ISR安全态势评估方法。首先分析了影响C4ISR安全态势的主要因素，然后基于孪生支持向量机，建立C4ISR安全态势评估模型［11］，在此基础上，利用TWSVM对安全态势样本数据进行学习和参数估计，从而得到全局最优分类解。实验分析表明，与传统评估方法相比，本文所提方法在提高系统评估正确率的同时能够快速高效地反映出当前系统的安全态势，具有较强的鲁棒性。

1 孪生支持向量机

1.1 问题分析

C4ISR安全态势评估在本质上属于基于有限样本的非线性模式识别问题，而SVM将分类问题最终转化为一个二次寻优问题，天然具有处理有限样本的优点，可以得到有限样本情况下的最优解，并且从理论上也会是全局最优解。同时，SVM利用非线性变化将实际问题转到高维特征空间，使得原始空间具有了非线性判别函数的功能，不仅保证了模型的推广能力，并且解决了维数灾难问题。因此，非常适用于解决本文的安全态势评估问题。然而SVM算法存在训练时间长且对超平面附近样本容易错分的缺点，极大地限定了基于SVM的网络安全态势评估方法的实用性。针对这一问题，本文提出利用孪生支持向量机（Twin Support Vector Machines，TWSVM）对C4ISR安全态势进行评估。下面首先介绍TWSVM。

1.2 孪生支持向量机

本文仅介绍非线性情况下的孪生支持向量机分类问题，用矩阵A和矩阵B表示+1类和-1类，其大小分别m1×n和m2×n，其中m1和m2分别表示两类样本的个数，n表示每一个样本的维数，则TWSVM的最终目标就是要寻找到两个非平行的超平面，即

TWSVM的求解主要也是通过对偶空间求解其对偶问题的方式进行的，因此，引入Lagrange乘子α和β，则式（2）规划问题可转化成：

根据KKT优化理论，则可得：

由式（5）和式（6）可得到：

则式（11）可写为：

根据KKT优化理论，则式（2）的对偶问题可表示为：

则式（3）的对偶问题同样也可表示为：

一旦获得z和z2，即得到了基于核空间的TWSVM的两个分类超平面。

从TWSVM分类流程可以看出，其主要思想是寻找两个不平行的分类超平面，使得超平面离一类分类样本近的同时远离另一类分类样本。理论上，TWSVM大大提高了训练效率，约为SVM的4倍，非常适用于复杂环境下C4SIR网络安全态势评估实时性和鲁棒性的要求。下面给出基于TWSVM算法的C4SIR网络安全态势评估方法。

2 基于TWSVM算法的C4ISR安全态势评估方法

2.1 安全态势评估指标筛选

C4ISR安全态势评估主要是从整体上对网络的安全状态进行获取、理解，实现系统中来源广泛的各种安全预警信息的多源融合和动态评估。系统安全态势评估的客观性和合理性对安全状态的预测以及安全策略的制定具有决定性作用。要对系统的安全态势进行准确的评估，首先要选择对系统安全影响权值大的指标。依据此原则，综合考虑环境因素和安全因素，构建C4ISR安全态势评估体系如图1所示。

图1 C4ISR安全态势评估体系

从图1可以看出，影响C4ISR安全态势的指标较多，而指标间的相关性较大，如子网数据流入量和网络带宽、网络漏洞数目与报警数目等指标之间的关联性强，必然影响评估结果的客观性和准确性。为降低指标相关性对评估结果的影响，提高评估结果的准确性，本文借鉴唐启义教授提出的DPS 6.5方法，通过逐步线性回归对影响系统安全态势的指标进行筛选，从而得到如下的指标：

①子网流量变化率；

②安全事件历史发生频率；

③子网内安全设备数；

④开放端口的总量；

⑤子网关键调协平均存活时间；

⑥报警数目。

本文将利用这6个指标作为系统安全态势评估的输入来对C4ISR安全态势进行评估。

2.2 基于TWSVMM的安全态势评估模型建立

2.2.1 二分类安全态势评估模型

若有n个指标数据si（1≤i≤n）作为安全态势训练样本集，则需要将这些训练数据分为两大类mi（mi∈{1，-1}）。如果训练样本si属于第1类，则其mi=1，否则mi=-1。进行模型训练的最终结果是寻找一个最优决策函数，使训练样本集尽可能分类正确。

本文的C4ISR安全态势评估问题中的训练样本集为非线性，则需要将训练样本集通过指定的非线性函数映射到高维线性空间，在高维非线性空间中寻求最优分类超平面，从而获得安全态势评估模型的最优决策函数，则本文C4ISR安全态势评估最优分类超平面问题可描述为式（14）和式（15）所示，其中核函数依据具体情况进行选择。

2.2.2 多分类安全态势评估模型

上面给出了基于TWSVM向量的C4ISR安全态势评估二分类评估模型，而在实际应用中，C4ISR的安全风险和态势会分为若干类，因此，需要构建基于TWSVM的多分类安全态势评估模型。本文思想是在样本训练阶段，采取一对一的训练模型，即任意选取多类样本的2个样本进行训练，依次列举构建出所有的二分类评估模型，继而得到基于TWSVM的C4ISR安全态势多分类评估模型，如图2所示。

图2 挥信息系统安全态势多分类评估模型

2.3 基于TWSVM的安全态势评估流程

基于TWSVM的C4ISR安全态势评估步骤如下：

步骤1：建立C4ISR安全态势评估指标；

步骤2：对C4ISR安全态势评估指标进行筛选；

步骤3：将获得的安全态势数据分为训练样本集和测试数据集两大类；

步骤4：利用TWSVM多分类评估模型对安全态势训练样本集进行学习训练，获得拉格朗日乘子α和β以及相应的支持向量机，从而得到最优的分类界面；

步骤5：利用步骤4所得到的最优分类面和决策函数对测试数据集进行测试分类，最后输出应用的安全态势评估结果。

3 实验仿真与分析

3.1 实验数据及环境设置

为了验证本文所提算法的有效性和可行性，将本文所提算法与基于SVM的安全态势评估方法进行比较。仿真环境采用PIV 3.0 GHz CPU、4 GB内存，数据库为SQL server2008，操作系统为WindowsXP，采用matlab进行算法实现，仿真次数为100，实验结果取平均值。

采用C4ISR在某段时间内的安全态势数据，然后依据安全风险指标组织有经验的专家对安全态势进行评估，得到这段时间内态势的安全级别。本文中的安全级别分为为：安全性很低（LM），安全性低（L），安全性中等（MM），安全性高（H），安全性很高（HM）。用 L=［L1，L2，L3，L4，L5，L6］表示样本安全态势指标，其中L1表示报警数目，L2表示子网流量变化率，L3表示安全事件历史发生频率，L4表示子网内安全设备数，L5表示开放端口的总量，L6表示子网内关键调协平均存活时间。实验共使用600个样本数据，其中450个作为训练样本数据进行模型训练，剩余150个作为测试样本。具体数据如表1所示，表中数据均进行了归一化。核函数选取径向基函数RBF内积函数

表1 样本数据集及专家评结果

其中d=70。

3.2 实验结果及分析

表2 测试样本数据集及评估结果

表3 两种评估模型性能对比

表2给出了测试数据集安全态势评估结果，表3给出了本文所提的基于TWSVM的安全态势评估方法和基于SVM的安全态势评估方法的性能对比情况，从实验结果可以得到以下几点结论：

①与基于SVM的安全态势评估方法相比，本文所提的算法显著提高了安全态势评估正确率，能获得更好的评估性能。

②与基于SVM的态势评估方法相比，本文所提的算法计算时间大大提高，从而能够快速动态地获得当前系统的安全态势，增强了算法的工程实用性。虽然理论上TWSVM的运行时间仅为SVM算法的1/4，然而实际运行中，并未达到这一指标，也充分说明实际与理论上的差距。

③本文所采用的评估指标能够在一定程度上动态反映C4ISR安全状况，说明了本文选取指标的合理性。

4 结论

本文提出了一种基于TWSVM的C4ISR安全态势评估方法。该方法基于孪生支持向量机，建立C4ISR安全态势评估模型，能够从整体快速动态地得到当前系统安全状态，准确地反映系统安全态势，具有较强的鲁棒性，有效弥补了当前C4ISR安全态势评估的不足。本文主要的难点在实例数据的获取，今后的工作将研究更全面的态势评估指标，进一步提高安全态势评估算法的效率，增强算法的实用性。

［1］余晓东，王刚，岳韶华，等.美军新一代C4ISR发展现状分析［J］.飞航导弹，2011，41（11）：45-49.

［2］张新征，李海鹰.大数据对美陆军信息系统建设的影响［J］.轻兵器，2012，35（19）：10-12.

［3］陈天平，张新源，郑连清.基于模糊综合评判的网络安全风险评估［J］.海军工程大学学报，2009，21（3）：38-41.

［4］唐作其，陈选文，戴海涛，等.多属性群决策理论信息安全风险评估方法研究［J］.计算机工程与应用，2011，47（15）：104-106.

［5］席荣荣，云晓春，张永铮，等.一种改进的网络安全态势量化评估方法［J］.计算机学报，2015，38（4）：749-758.

［6］吕慧颖，彭武，王瑞梅，等.基于时空关联分析的网络实时威胁识别与评估［J］.计算机研究与发展，2014，51（5）：1039-1049.

［7］李方伟，郑波，朱江，等.一种基于AC-RBF神经网络的网络安全态势预测方法［J］.重庆邮电大学学报（自然科学版），2014，26（5）：576-581.

［8］谢丽霞，王亚超.网络安全态势感知新方法［J］.北京邮电大学学报，2014，37（5）：31-35.

［9］党德鹏，孟真.基于支持向量机的信息安全风险评估［J］.华中科技大学学报（自然科学版），2010，38（3）：46-49.

［10］丁世飞，黄华娟，史忠植.加权光滑CHKS孪生支持向量机［J］.软件学报，2013，24（11）：2548-2557.

［11］李宏伟，刘建永，卢厚清，等.战场工程态势研究［J］.四川兵工学报，2015，35（9）：162-164.

［12］HUANG H J，DING S F，SHI Z Z.Primal least squares twin support vector regression［J］.Journal of Zhejiang University-SCIENCE C，2013，14（9）：722-732.

Assessment Model of Command Information System Security Situation Based on Twin Support Vector Machines

SHI Liang-liang，CHENG Jian
（School of Information and Navigation，Air Force Engineering University，Xi’an 710077，China）

In order to further improve the evaluation accuracy and robustness of C4ISR network security situation assessment method based on SVM，a security assessment method of C4ISR network based on twin support vector machines is proposed in this paper.This method firstly analyzes the main factors influencing the security situation of C4ISR network，and then C4ISR network security situation evaluation model based on twin support vector matrix is boiled.The non-linear mapping maps each feature eigenvector of the network security situation sample to high dimensional feature space，then use the different classification surfaces constructed by multi-class kernel function and classification function to study the network security situation sample data and estimate the parameters，so as to get the global optimal classification solution.The experimental results show that compared with SVM-based network security situation assessment method，the proposed method can improve the evaluation accuracy and dynamically reflect the current network security situation，and has strong robustness.

command information system，securitysituation assessment，twin supportvector machines，evaluation method

1002-0640（2017）10-0147-05

TP393

A

10.3969/j.issn.1002-0640.2017.10.031

2016-09-05

2016-10-07

CEMEE国家重点实验室开放基金（2014K0304B）；部委级基金资助项目（2012JY003-582）

施亮亮（1982- ），江苏盐城人，博士研究生。研究方向：指挥信息系统建设。