摘要：当前大部分网络系统都面临着网络蠕虫、大规模网络攻击等各种安全威胁，网络安全面临着广泛而巨大的挑战。为了应对这些网络安全问题，很多研究人员采用网络安全态势感知的理念构建网络安全防护框架。网络安全态势感知通常监测特定网络环境中发生网络事件，结合网络环境中记录的信息数据，分析研究网络攻击的行为特征，构建网络环境的全局性安全视图，从而评判当前网络安全的形势并推测未来一段时间内网络安全的发展趋势。本文主要论述基于网络流量探针采集的攻击或威胁数据，采用粒子群向量机（SVM）回归策略，实现网络攻击发展趋势的态势感知，并验证该方法的有效性和优异性。

关键词：态势感知;支持向量机;网络安全;粒子群

中图分类号：TP181 文献标识码：A

文章编号：1009-3044（2020）33-0064-02

开放科学（资源服务）标i码（OSID）：

态势感知一般定义为基于一定的时间和空间条件，对现状要素的感知，对现状的理解和对未来状态的预测。当前大多数网络系统正面临着网络蠕虫、大规模网络攻击等各种安全威胁，网络安全态势感知是解决这些问题的有效途径。

网络态势感知是一种简单的识别网络安全态势的方法，在对监控网络信息进行分离的基础上，对监控的网络安全状况进行定量评估。通常真实网络环境上广泛处于运行的设备会产生大量的信息，这些信息需要很长的时间的处理后才能进行准确和预防性的检测。许多漏洞评分的系统模型正在努力实现准确的评估，但产生的定性警报还是缺乏精确性和准确性。网络分析人员需要一种有效的网络安全态势感知工具正确地融合所有可用的信息，从而比较容易地理解网络安全的态势。

网络态势感知的一个基本目标是对网络环境的安全态势的预测。网络态势的预测通常基于环境中网络安全的历史数据以及结合当前运行的网络状况信息，预测未来一段时间内网络环境的安全状况的变化趋势。本文通过在被监管的设备上部署探针，对网络上发生的活动周期性进行样例数据的采集并通过关联分析来捕获网络攻击等恶意行为模式。网络环境中的很多攻击行为是随机的，对此采集的一些数据信息也是具有很大的不确定性，从而在这些数据上进行的一些安全态势预测其分析过程中需要较为复杂的非线性计算处理流程。一些传统的分析预测机制已经逐渐不能满足需求，越来越多的研究正在朝智能预测方法发展。这里的智能概念包括基于机器学习理论上的自动化感知和自主学习策略，构建程序系统的思维能力和处理能力，也包括对复杂复合式行为的识别和预测。

有些基于人丁智能技术预测的方法对非线性时间序列数据具有很强的逼近和拟合能力，许多研究人员将其应用于非线性时间序列的预测中并取得了较好的效果，典型的如神经网络、支持向量机、遗传算法等智能预测方法。此类方法的优点是具有自学习能力，中短期预测精度较高，需要较少的人工介入。本文中主要论述运用非参数的基于向量机的算法对网络攻击态势进行感知评估。

1 探针采集保护设备的网络数据

为了度量完整有效的安全漏洞检测和攻击构造模式，需要在攻击发生前实时识别大量潜在的攻击事件。由于网络攻击中存在大量的多变种攻击组合，因而单独检测某一类型的网络攻击事件其价值较低，所以需要设计一些机制来提供准确和完整的网络攻击信息来保持对成千上万的网络对象和事件的态势感知。这些机制一般是在运行的网络环境中部署支持多种协议的检测采集工具，收集环境中可能威胁网络安全的多维度、多方面的危险因素，以便及时分析和应对这些类型的攻击事件。目前现有的解决方案是使用各种度量来定量和定性地度量攻击，这通常会涉及基于对象、时间和空间测量的预测，并使用这些派生出来的度量标准。

本文从网络系统的多个方面分析的场景建立评估模型，其需要测量的态势感知数据包括网络和系统安全行为的各个方面。一方面可以通过流量日志进行安全狩猎或者异常检测、分析攻击事件的影响范围、回溯完整的攻击鏈测量;另一方面可以利用在采集模块中分布式部署的批量探针实现恶意软件检测、IDS和防火墙、漏洞扫描、渗透测试、在线测试和安全服务检测，并将各类型的探针采集数据汇聚到大数据存储平台，从而对被管理的网络进行全方位监控。总之网络安全数据的类型应当尽可能齐全，需要包括网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁与入侵数据、用户异常行为数据等等，只有这样网络态势的评估和预测结果才能比较精准。

2 支持向量机的基本原理

SVM的基本原理是由Vapnik和Cortes在1995年提出的，可以简单地理解为一个分类器，其主要目的是确定并输出两类数据节点中的边界节点组合，其中的每一个边界节点就是单个的支持向量，其权值为对应的拉格朗日乘子。采用SVM感知网络安全态势通常在收敛速度上较快、预测的结果误差值较小、具有较强的抗拟合能力、能够较为准确地预测未来一段时间内的网络环境的安全态势发展趋势，是当前安全态势预测研究中的一个热点方向。

支持向量机最初适用于分类的，为了推广到回归估计中，本文引入了不敏感损失函数拟合机制。其核心理念就是采用非线性的映射将训练集中的数据样本映射至一个高维度空间，并在这个线性的高维空间中进行回归估计函数的构造，然后基于该回归函数进行相应的线性回归处理，从而可以避免一般SVM算法会面对的维数诅咒相关问题。

如果仅将支持向量机作为预测模型，通常会出现训练参数选择盲目的问题，为此本文引用了一种基于粒子群优化算法对传统的SVM网络全态势预测策略进行改进，其基本思路是采用粒子群算法对SVM的训练参数进行优化，然后基于优化后的训练参数进一步构造SVM预测模型。改进后的算法模型在预测网络安全态势方面具有较高的准确性。

3 利用模型感知网络态势

SVM可以基于网络环境中采集到的广泛的攻击数据样本采用支持向量机制进行分类处理，从而构成特征空间中描述超平面的训练输入集的成员。利用SVM预测网络攻击态势通常分为训练和测试两个阶段。支持向量机可以学习更大的模式集，并且能够更好地缩放，因为其对分类的复杂性不依赖于特征空间的维数。支持向量机还能够在分类过程中出现新模式时动态地更新训练模式。其主要缺点是支持向量机只能处理二类分类，而入侵检测需要多类分类，从而对入侵检测的数据需要构建多个SVM模型进行不同类型的攻击态势分析。

网络攻击数据的大致结构确定后，必须先区分训练集和测试集，再进行数据预处理。测试集在产品上线前一般是不可获得的，为了让建模的所有过程不受到测试集数据的影响和干扰，模型运行之前需要定义好训练集和测试集。首先SVM预测模型需要将最近一段时间内网络环境中收集到的安全数据集归一化，既对收集到的数据进行分离，包括分离特征矩阵和标签矩阵，实现训练集与测试集的数据拆分。然后对分离后的训练数据集进一步处理，第一步需要将这些训练集数据划分成N维的向量，预测函数采用N维向量总的前面d维作为输入向量，并将剩余的后面e维向量作为输出向量（N=d+e），输入向量和输出向量中的各一维向量组合（d，e）构造成单个的训练数据对。第二步是进行模型训练参数的初始化处理，基于第一步中构造好训练数据对集合训练SVM预测模型，这个模型训练的具体过程等同于对（1）中的二次规划方程进行求解的过程。SVM预测模型基于交叉检验的方法对正则化参数和误差控制参数的选择进行优化处理，并在此基础上对需要的各项参数进行确认和设置。

由于网络态势的数据类型众多，单纯的SVM算法在确定训练参数方面会有较大的挑战且需要较长的时间。在第一阶段的单独地进行SVM模型感知后，在第二阶段为了解决训练参数选择盲目的问题，本文引入了粒子群优化算法辅助SVM预测模型。基于粒子群的模型把群体中的单个个体视为n维空间中的一个无体积和质量的点，通过由适应度函数调整每个粒子至较优的区域从而整体上能搜寻到最优解。

论文中使用非线性递减权值这一策略将惯性权值（1）设置成公式中的变量，通过非线性递减权值的方法实现粒子的优化调整，其公式如（2）所示：

改进后的支持向量机算法具有很好的函数逼近能力和泛化能力，通过在实际项目中的运行数据结果评估，本文中粒子群SVM算法的預测结果的数值平均绝对误差不超过0.032，同时预测结果的偏差度也小于9.2%，既而该算法具有优良的预测准确率，达到了准确预测网络安全态势结果的目的。通过实际的运用表明：在预测网络攻击态势的准确度方面，基于粒子群的SVM的预测模型要优于需要普通的SVM算法，既改进后的网络攻击态势预测方法更符合实际情况。

4 结论

本文阐述了网络安全态势感知所面临的挑战，并试图提出相应的应对思路以及解决方案。接着阐述了网络态势感知这一基本理念，并提出了网络攻击态势的一种感知方法。既基于探针采集的大数检测数据，采用基于粒子群的向量机回归方法对未来一段时间内的网络安全发展态势进行预测。这种预测方法具有自学习能力，其中短期预测精度较高，需要的人工介入较少，对非线性时间序列变化的攻击数据具有很强的逼近和泛化能力，能有效避免实时预测运行时容易出现的解结果不稳定现象，保证了预测的正确趋势。但是对于网络态势预测模型效率的提升仍有很多分析和改进工作需要进行，有待于在今后的工作中进一步研究和优化。

参考文献：

[1] Zhang Y，Tan X B，Xi H S.A novel approach to network securi-ty situation awareness based on multi-perspective analysis[Cl//2007 Intemational Conference on Computational Intelligenceand Security （CIS 2007）.December 15-19，2007，Harbin，China.IEEE，2007：768-772.

[2] Zhang X.Survey of network security situation awareness andkey technologies[Ml//Lecture Notes in Electrical Engineering.Dordrecht：Springer Netherlands，2013：3281-3286.

[3]席荣荣，云晓春，金舒原，等.网络安全态势感知研究综述[Jl-计算机应用，2012，32（1）：1-4，59.

[4]谢丽霞，王亚超，于巾博.基于神经网络的网络安全态势感知[J].清华大学学报（自然科学版），2013，53（12）：1750-1760.

[5] Wang H Q，Liu X W，Lai J B，et aI.Network security situationawareness based on heterogeneous multi-sensor data fusionand neural network[C]//Second International Multi-Sympo-siums on Computer and Computational Sciences （IMSCCS2007）. August

13-15， 2007，lowa City，IA， USA. IEEE， 2007： 352-359.

[6]管磊，胡光俊，王专.基于大数据的网络安全态势感知技术研究[J].信息网络安全，2016（9）：45-50.

[7]高川，严寒冰，贾子骁，基于特征的网络漏洞态势感知方法研究[J].信息网络安全，2016（12）：28-33.

[8] Liu X W，Yu J G，Wang M L.Network security situation genera-tion and evaluation based on heterogeneous sensor fusion[Cl//2009 5th International Conference on Wireless Communica-tions， Networking and Mobile Computing. September 24-26，2009，Beij ing，China.IEEE，2009：1-4.

[9]叶健健，文志诚，吴欣欣.基于贝叶斯方法的网络安全态势感知模型[J].湖南工业大学学报，2014，28（3）：65-70.

[10]包利军.基于大数据的网络安全态势感知平台在专网领域的应用[J].信息安全研究，2019，5（2）：168-175.

[11]琚安康郭渊博朱泰铭.基于开源工具集的大数据网络安全态势感知及预警架构[J].计算机科学，2017，44（5）：125-131.

[12]余成.基于复杂事件处理的分布式监控系统[D].上海：上海交通大学，2014.

[13]程冬梅，严彪，文辉，等，基于规则匹配的分布式工控入侵检测系统设计与实现[J].信息网络安全，2017（7）：45-51.

[14]王道明，鲁昌华，蒋薇薇，等.基于粒子群算法的决策树SVM多分类方法研究[J].电子测量与仪器学报，2015，29（4）：611-615.

[15]梅飞，梅军，郑建勇，等.粒子群优化的KFCM及SVM诊断模型在断路器故障诊断中的应用[J].中国电机工程学报，2013，33（36）：134-141，19.

[16]匡芳君，徐蔚鸿，张思扬.基于改进混沌粒子群的混合核SVM参数优化及应用[J].计算机应用研究，2014，31（3）：671-674，687.

[17]代鑫波，崔勇，周德祥，等.基于主成分与粒子群算法的LS-SVM短期负荷预测[J].电测与仪表，2012，49（6）：5-9.

【通联编辑：唐一东】

作者简介：尹隆波（1989-），男，湖南邵东县人，硕士，研究实习员，主要研究方向：网络安全。