[发明专利]一种基于降噪自编码核密度估计的网络安全态势评估方法

说明书

本发明公开了一种基于降噪自编码核密度估计的网络安全态势评估方法，属于计算机网络安全领域，包括以下步骤：获取网络流数据作为态势数据；对所述态势数据进行预处理；对预处理后的态势数据按照比例划分出训练集数据和测试集数据；基于训练集数据构建降噪自编码网络及核密码估计模型；将测试集数据依次输入到降噪自编码网络及核密码估计模型中，得到网络流数据的威胁发生概率；基于网络流数据的威胁发生概率，对网络态势进行安全评估，确定网络安全态势的级别；利用降噪自编码网络处理冗余信息和非线性特征学习的能力对网络态势数据进行降维并提取态势潜藏特征，结合无参数估计的优势提出核密度估计对潜藏特征进行密度概率估计得到威胁发生概率。

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于降噪自编码核密度估计的网络安全态势评估方法。

背景技术

网络空间的快速发展为人们提供了便利和利益，但也使人们面临着网络安全的挑战。虽然设计网络架构时已经部署了防火墙和入侵检测系统等安全措施，以检测和防止网络中的攻击，但往往会产生大量的警报以及误报。网络分析师很难高效理解这些网络警报，因此，需要开发有效的网络安全态势评估方法来分析定量评估网络系统的安全态势，充分了解网络系统的威胁性，提供对网络安全状况的直观理解，辅助网络管理人员做出决策。

网络态势感知是信息安全领域中化被动防御为主动感知的关键研究技术，这一概念由战场态势感知拓展而来。根据Base提出的态势感知模型，对于态势评估的研究必不可少。目前应用于网络安全态势评估的研究理论较多的有模糊理论、证据理论、马尔可夫模型和贝叶斯网络等，这些模型处理的态势要素主要是安全工具产生的告警日志，在中小规模网络的实际应用中表现出良好的效果，但是仍然存在一些局限，如证据理论中的基本概率分配需要专家经验支撑，导致评估效果时好时坏；马尔可夫和贝叶斯基于概率论和知识推理需要较多的先验知识导致评估代价庞大，态势评估效率难以提高。这些局限在大规模网络环境中体现的越来越明显，而神经网络因其非线性方式映射解决复杂问题的优点，被广泛应用于各个领域，因此在态势感知领域得到重点关注。

谢丽霞等^[1-2]初次提出将BP神经网络用于网络安全态势评估，后又在此基础上使用布谷鸟优化算法对BP神经网络的权值进行优化，得到改进的态势评估模型。实验结果表明，改进后的方法收敛速度较快，评估效果优于传统BP神经网络；Han^[3]针对传统神经网络维数呈指数增长，导致计算量增大不适用大规模复杂网络，提出一种基于卷积神经网络的无线互联的智能机器人群体网络安全状况定量评估方法，准确率达到95％；文献^[4]基于标签态势数据难以获取的现实情况，避免BP神经网络训练依赖标签，提出基于深度自编码网络的态势评估方法，以半监督学习方式训练态势数据，建立态势评估模型。实验表明该方法的均方根误差明显小于BP神经网络，但评估过程有专家参与，且对于态势评估效果缺少分析；杨宏宇团队^[5-6]以网络流为主要态势要素，两次将自编码器变体应用于网络态势感知领域，首先提出将变分自编码器与生成对抗网络结合建立威胁测试模型，对网络安全威胁态势进行评估，但是威胁测试模型较为复杂，对硬件要求较高；随后提出的深度自编码器模型对网络异常类型进行二分类和五分类，所提模型具有较高的分类精度，但是所用数据集年代过于久远，不适用于现下复杂的网络坏境。

传统的流量分析揭示所有网络事件都会在流量上有所反映，正常网络流量和异常网络流量具有明显的表现差异，因此通过流量分析可以评估网络状态^[7]，入侵检测的相关研究表明异常事件很少发生，所以现实网络中正常样本和异常样本分布非常不均衡，基于监督式学习模型首先需要为网络流打标签，这不仅耗费时间，还降低模型效率。

为避免监督式模型的弊端，本发明提出降噪自编码核密度估计的无监督网络安全态势评估方法。自编码器对高维网络态势数据进行降维并提取潜藏特征，但由于自编码器的输出可能只是对输入的简单复制，导致监督式模型失去效力，当下网络态势数据具有高维性、非线性特点，导致传统网络安全态势评估方法的准确性不高的问题。

发明内容