基于并行特征提取和改进BiGRU的网络安全态势评估
杨宏宇1,2, 张梓锌2, 张良3    
1. 中国民航大学 安全科学与工程学院, 天津 300300, 中国;
2. 中国民航大学 计算机科学与技术学院, 天津 300300, 中国;
3. 亚利桑那大学 信息学系, 图森 85721, 美国
摘要:针对目前网络安全态势评估方法在特征提取、高效性等方面存在的不足, 该文提出了一种基于并行特征提取和改进双向门控循环单元(BiGRU)的网络安全态势评估方法, 设计了一个由并行特征提取网络(PFEN)和基于注意力机制改进的BiGRU组成的深度学习模型(PFEN-ABiGRU)。PFEN模块由并行的稀疏编码器组成, 用于差异化地提取不同网络威胁的关键信息并将提取的特征与原始信息融合; ABiGRU模块通过注意力机制对关键特征进行加权以提高模型的准确性。将训练好的PFEN-ABiGRU模型用于网络威胁检测, 根据威胁检测结果, 结合提出的网络安全态势量化指标, 计算网络安全态势值。实验结果表明, PFEN-ABiGRU在精确率和召回率上均优于对比的其他模型。
关键词并行特征提取    注意力机制    双向门控循环单元(BiGRU)    态势评估    
Network security situation assessments with parallel feature extraction and an improved BiGRU
YANG Hongyu1,2, ZHANG Zixin2, ZHANG Liang3    
1. School of Safety Science and Engineering, Civil Aviation University of China, Tianjin 300300, China;
2. School of Computer Science and Technology, Civil Aviation University of China, Tianjin 300300, China;
3. Department of Information, University of Arizona, Tucson 85721, USA
Abstract: Current network security situation assessment methods have limited feature extraction capabilities and can be more efficient. This paper presents a network security situation assessment method that uses a parallel feature extraction network (PFEN) and an improved bi-directional gate recurrent unit (BiGRU). A deep learning model is designed with a PFEN and a BiGRU based on an attention mechanism (ABiGRU). The PFEN module has parallel sparse auto-encoders which identify key data out of the network traffic and integrate this data with the original features. Then, the ABiGRU module weights the key features through the attention mechanism to improve the model accuracy. The trained PFEN-ABiGRU is then applied to network threat detection. The model detection results are combined with a network security quantification method to calculate a network security situation index. Tests indicate that the PFEN-ABiGRU assessments have better accuracy and recall rates than other model assessment results.
Key words: parallel feature extraction    attention mechanism    bi-directional gate recurrent unit (BiGRU)    situation assessments    

网络安全态势评估(network security situation assessment, NSSA)是对网络中各种活动进行的识别、理解及评估,以掌握整个网络的安全状态、支持合理的安全响应决策[1]

Wen[2]基于层次理论,以网络安全为目标层次,以环境、硬件、软件和数据安全为指标层次,运用层次分析法(analytic hierarchy process, AHP)对网络安全评估进行研究。Yang等[3]采用Markov链和信息熵进行风险评估,为度量风险提供了有效途径。然而,上述基于数学模型的方法在评估过程中易受人为因素的影响,从而对态势评估结果产生较大干扰。Li等[4]设计了生成Bayes网络攻击图模型和脆弱性评估算法,有效地评估了网络的脆弱性。Z W Zhao等[5]提出了一种基于D-S理论的网络安全态势感知模型,解决了准确性偏差较大的问题。但是,此类基于概率和知识推理的方法面对大量网络威胁数据时,无法及时作出反馈。此外,D M Zhao等[6]提出了一种基于邻域粗糙集特征秩矩阵的模糊粗糙集理论并将其用于网络安全态势评估。文[7]提出一种基于改进反向传播(back propagation, BP)神经网络的态势评估方法,评估精度较高。然而,以上基于模式分类的方法难以提取特征,计算量大且过程较为复杂,不易被理解。

与传统的态势评估方法不同,基于深度学习的模型和方法为网络安全领域的研究提供了新的思路。文[8]通过威胁检测实验证明,与长短期记忆(long-short term memory, LSTM)网络、门控循环单元(gate recurrent unit, GRU)等模型相比,双向门控循环单元(bi-directional gate recurrent unit, BiGRU)具有更高的准确性。Javaid等[9]采用稀疏自动编码器(sparse auto-encoder, SAE)提取特征,并与softmax分类相结合,检测准确率有明显提升,但该模型仅通过单个SAE进行特征提取,导致提取的特征无法很好地拟合不同攻击类型的分布。文[10]结合注意力机制的思想设计的攻击检测模型更加关注有害攻击,实验证明该方法优于传统方法。Hu等[11]针对海量网络安全数据导致训练时间成本增加的问题,提出了一种基于MapReduce方法优化的支持向量机(support vector machine, SVM)的网络安全态势预测模型,有效提高了SVM的预测效率,但其评估指标较为单一,无法准确评估网络全局态势。

为弥补以上不足,本文将并行特征提取网络(parallel feature extraction network, PFEN)与注意力机制改进BiGRU(attention-based BiGRU, ABiGRU)相结合,提出网络安全态势评估方法PFEN-ABiGRU。

1 网络安全态势评估方法

本文提出的网络安全态势评估方法由态势提取模块(situation extraction module, SEXM)、态势分析模块(situation analysis module, SANM)和态势评估模块(situation assessment module, SASM)组成,如图 1所示。3个模块的具体处理过程如下:

图 1 网络安全态势评估方法

1) SEXM。对训练集中的流量数据进行预处理,并将预处理后的数据输入PFEN-ABiGRU网络进行训练,将训练完成的网络应用于SANM。

2) SANM。将测试集输入训练好的PFEN-ABiGRU网络进行威胁检测,记录模型的输出结果,用于下一步SASM中网络安全态势值的计算。

3) SASM。根据SANM获得的检测结果,量化攻击严重度和攻击影响度,计算网络安全态势值,根据态势值所处区间,对网络安全态势进行分析与评估。

2 PFEN-ABiGRU网络模型

本文构建的PFEN-ABiGRU网络模型主要由PFEN模块和ABiGRU模块组成。

2.1 PFEN模块

SAE由自动编码器(auto-encoder, AE)发展而来。AE的优化目标为使重构向量x′与输入向量x的重构误差尽可能小,其损失函数如式(1)所示。但是,为了让编码器学习到更加有效的信息,要避免自编码器学习成为一个恒等函数。SAE为解决此问题提供了一种思路。首先,其隐藏层的神经元数量少于输入层数量,是一种欠完备自编码器,可以让隐藏层学到输入向量的显著压缩特征。其次,在隐藏层增加了稀疏性惩罚项,将隐藏层的神经元的激活程度限制在一个比较小的范围之内,避免x′与x完全相等。在SAE的训练过程中,引入神经元的稀疏程度ε、神经元的期望激活水平ξ和神经元的平均激活水平ξj,最终需最小化的损失函数如式(2)所示。

$ A_{\mathrm{AE}}\left(a, x_{i}, x_{i}^{\prime}\right)=\frac{1}{2 a} \sum\limits_{i=1}^{a}\left\|x_{i}-x_{i}^{\prime}\right\|^{2}, $ (1)
$ \begin{gathered} A_{\mathrm{SAE}}\left(a, x_{i}, x_{i}^{\prime}\right)=A_{\mathrm{AE}}\left(a, x_{i}, x_{i}^{\prime}\right)+ \\ \varepsilon \sum\limits_{j=1}^{b}\left[\xi \ln \frac{\xi}{\xi_{j}}+(1+\xi) \ln \frac{1-\xi}{1-\xi_{j}}\right] . \end{gathered} $ (2)

其中:ab分别指输入层神经元和隐藏层神经元的数量。

特征提取可以从原始数据中学习并提取新的关键特征,这些特征具有分类误差概率低、可靠性强和独立性强的特点。在上述AE和SAE分析的基础上,采用SAE提取特征,获得输入特征的显著压缩特征,提高分类精度。此外,网络威胁包含多种攻击类型,通过单个SAE进行特征提取不能很好地拟合不同攻击类型的分布。因此,本文采用多个SAE并行完成特征提取,在提升提取效率的同时,依据各攻击类型的特点挖掘不同攻击类型的潜在分布情况,得到更具代表性的特征。图 2展示了PFEN并行特征提取网络的结构。

图 2 PFEN并行特征提取网络结构

步骤1  对网络安全数据集进行预处理,将预处理后的数据作为PFEN并行特征提取网络的输入数据。

步骤2  构建并行特征提取网络,记为FE={FE1, FE2, …,FEN},并初始化网络参数。

步骤3  将训练集按照不同的攻击类型并行输入对应的特征提取网络FEi中进行编码和解码,计算原始数据与重构数据之间的误差。

步骤4  重复步骤3,通过梯度下降法更新网络参数,直至网络参数收敛,并行特征提取网络训练完成。

步骤5  在攻击类型未知的情况下,将测试集输入并行特征提取网络中进行测试,得到多个重构误差Ψ={Ψ1, Ψ2, …,ΨN}。选取重构误差最小的FEmin作为当前攻击的编码器进行特征提取,之后再进行特征融合并输入至2.2节所述的ABiGRU模块进行攻击分类。

2.2 ABiGRU模块

BiGRU由正向的GRU和反向的GRU组成,网络的输出由正向输出和反向输出的叠加得到。因此,BiGRU可以学习前一时刻和后一时刻与当前状态之间的时序关系,挖掘网络威胁流量间潜在表征规律,有效提高威胁检测网络的学习能力。

但是,当BiGRU学习过长的序列数据时,会存在效率低、时间长等问题。注意力模型[12]为解决这一问题提供了途径。首先,它可以选择性地关注序列数据中不同位置的信息,减少输入数据的长度。其次,由于威胁数据中不同时刻的特征信息对当前攻击类型的分类和检测的贡献不同,可以通过注意力机制对影响检测结果的特征分配权重,帮助模型更有效地学习潜在特征,提高模型的检测精度和鲁棒性。图 3展示了本文设计的ABiGRU模型结构。ABiGRU的具体处理步骤如下:

图 3 ABiGRU模型结构

步骤1  将数据输入BiGRU网络进行学习,得到输出yij

$ \boldsymbol{y}_{i, j}=\operatorname{BiGRU}\left(x_{i, j}\right). $ (3)

步骤2  通过注意力层为局部特征分配权重,计算方法如下:

$ \boldsymbol{k}_{i, j}=\tanh \left(\boldsymbol{A}_{\mathrm{w}} \boldsymbol{y}_{i, j}+\boldsymbol{C}_{\mathrm{w}}\right), $ (4)
$ e_{i, j}=\operatorname{softmax}\left(\boldsymbol{k}_{i, j}, \boldsymbol{d}_{\mathrm{w}}\right), $ (5)
$ \boldsymbol{z}_{i}=\sum\limits_{j} e_{i, j} \boldsymbol{k}_{i, j} . $ (6)

其中: kij表示隐藏层状态,eij表示不同特征的权重,Aw表示权重系数矩阵,Cw表示偏置项,dw指随机初始化的注意力矩阵。

步骤3  将计算得到的zi输入BiGRU网络进行学习,采用相同的方法为全局特征向量分配权重:

$ \boldsymbol{y}_{i}=\operatorname{BiGRU}\left(\boldsymbol{z}_{i}\right), $ (7)
$ \boldsymbol{k}_{i}=\tanh \left(\boldsymbol{A}_{\mathrm{s}} \boldsymbol{y}_{i}+\boldsymbol{C}_{\mathrm{s}}\right), $ (8)
$ \boldsymbol{e}_{i}=\operatorname{softmax}\left(\boldsymbol{k}_{i}, \boldsymbol{d}_{\mathrm{s}}\right), $ (9)
$ \boldsymbol{z}=\sum\limits_{i} \boldsymbol{e}_{i} \boldsymbol{k}_{i}. $ (10)

其中:AsCsds分别表示第2层注意力机制的权重系数矩阵、偏置项和随机初始化的注意力矩阵。

步骤4  将计算得到的z输入分类器,得到最终的检测结果。

3 基于PFEN-ABiGRU的网络安全态势评估

态势评估过程主要包括攻击严重度量化、攻击影响度量化、网络安全态势值计算和网络安全态势评估4个步骤。

步骤1  攻击严重度量化。

1) 从测试集中随机抽取若干组数据并将其输入到训练完成的威胁检测模型进行攻击检测,检测到各类攻击出现的次数为Ni

2) 将训练集输入PFEN-ABiGRU模型中,记录模型预测的各种攻击类型发生次数P={P1, P2, …, Pi, …, Pn}。然后, 统计各种攻击类型的实际出现次数p={p1, p2, …, pj, …, pn},根据式(11)计算得到bij,误差概率矩阵表示为B=[bij]n×n

$ b_{i, j}=\frac{p_{j}}{P_{i}}. $ (11)

3) 为了减少模型检测出的攻击类型发生次数和实际攻击类型发生次数之间的差距,根据式(12)通过误差概率矩阵B修正各种攻击类型的发生次数。

$ \begin{gathered} M_{i}=\left[\begin{array}{lllll} N_{1} & N_{2} & N_{3} & \cdots & N_{n} \end{array}\right] \cdot \\ {\left[\begin{array}{lllll} b_{i, 1} & b_{i, 2} & b_{i, 3} & \cdots & b_{i, n} \end{array}\right]^{\mathrm{T}} .} \end{gathered} $ (12)

4) 本文结合权系数生成理论[13]和攻击严重等级计算各种攻击类型的攻击严重度算子。将n种攻击由低到高划分为c个攻击严重等级,第i种攻击类型的攻击严重度算子Ti由式(13)计算,其中di表示第i种攻击类型的攻击严重等级。

$ T_{i}= \begin{cases}\frac{1}{2}+\frac{\sqrt{-2 \ln \frac{2 d_{i}}{n}}}{6}, & 1 \leqslant d_{i}<\frac{n}{2}; \\ \frac{1}{2}, & d_{i}=\frac{n}{2}; \\ \frac{1}{2}-\frac{\sqrt{-2 \ln \frac{2 d_{i}}{n}}}{6}, & \frac{n}{2}<d_{i} \leqslant n.\end{cases} $ (13)

根据各种攻击类型对网络的威胁程度和式(13),得到4种攻击类型的攻击严重等级和攻击严重度算子, 如表 1所示。攻击严重等级越高,攻击严重度算子越大,攻击造成的威胁越严重。

表 1 4种攻击类型的攻击严重等级和攻击严重度算子
攻击类型 攻击严重等级 攻击严重度算子
DoS 1 0.696
U2R 2 0.5
R2L 2 0.5
Probe 3 0.304

5) 量化攻击严重度RLi

$ \mathrm{RL}_{i}=M_{i} \times 10^{T_{i}} . $ (14)

步骤2  攻击影响度量化。

首先,结合通用漏洞评分系统(common vulnerability scoring system, CVSS)[14]对保密性(confidentiality, C)、完整性(integrity, I)、可用性(availability, A) 3个属性影响程度的评定,按各种攻击对CIA的攻击影响度进行等级划分。CIA均按无影响、低影响、高影响划分为3个等级,分别取值0、0.22、0.56。然后,根据各类攻击对CIA的影响量化得到攻击影响度RIi

$ \mathrm{RI}_{i}=\log _{2}\left(\frac{w_{1} 2^{C_{i}}+w_{2} 2^{I_{i}}+w_{3} 2^{A_{i}}}{3}\right) \text {. } $ (15)

其中:w1w2w3分别为CIA的归一化权重,CiIiAi分别为每种攻击类型的CIA攻击影响度取值。

步骤3  网络安全态势值计算。

本文的网络安全态势值综合考虑攻击对网络所造成的攻击严重度和攻击影响度,

$ \mathrm{SV}=f\left(\mathrm{RL}_{i}, \mathrm{RI}_{i}\right)=\sum\limits_{i=1}^{n} \mathrm{RL}_{i} \cdot \mathrm{RI}_{i}. $ (16)

步骤4  网络安全态势评估。

参考《国家突发公共事件总体应急预案》[15],将网络安全态势值划分为5个区间,具体等级划分如表 2所示。

表 2 网络安全态势评估等级
态势等级 态势值区间
安全 [0.00, 0.30]
低风险 (0.30, 0.60]
中等风险 (0.60, 0.90]
高风险 (0.90, 1.20]

4 实验与分析 4.1 实验环境和数据集

本文采用Ubuntu环境进行实验,使用深度学习框架Tensorflow构建模型,通过GPU提升训练效率。详细硬件参数为:Intel(R) Xeon(R) Silver处理器,32 GB主存,16 GB内存;RTX2060显卡,显存6 GB。

本文采用NSL-KDD[16]数据集进行实验。该数据集克服了KDD99数据集存在的缺点[9],并且在测试集中加入了一些训练集中没有的攻击类型,更加符合现实的网络环境,因此被广泛用于模拟和测试威胁检测模型性能的实验中。该数据集的各类数据条数如表 3所示。

表 3 NSL-KDD数据集信息[16]
数据集 Normal DoS Probe R2L U2R 总计
训练集 67 343 45 927 11 656 995 52 125 973
测试集 9 710 7 456 2 421 2 754 202 22 543

由于PFEN-ABiGRU模型的训练需要输入数值型数据,因此在进行模型训练前需要通过独热编码将NSL-KDD数据集中的3个分类特征转化为数值特征。转化完成之后,数据集的41维特征扩展为122维分类向量。在此过程中,为了消除某些特征最大值和最小值之间由于范围差异过大给模型造成的影响,采用数值归一化[17]处理,使特征落入同一区间,可以表示为

$ x_{i, j}^{*}=\frac{x_{i, j}-\min \left(x_{i, j}\right)}{\max \left(x_{i, j}\right)-\min \left(x_{i, j}\right)} . $ (17)

其中:xi, j表示特征原始值,min(xi, j)表示特征最小值,max(xi, j)表示特征最大值。

此外,NSL-KDD数据集还存在数据分布不均匀的问题。不平衡的数据会使模型无法拟合数据量小的攻击类型,导致模型鲁棒性降低,因此本文通过ADASYN算法[18]增加数据集中少数类样本的数据量,缓解数据不平衡问题。

4.2 评价指标

精确率(Precision)为模型正确检测为相应攻击类型的样本数量占模型全部检测为相应攻击类型的样本数量的比例,可以表示为

$ \text { Precision }=\frac{\mathrm{TP}}{\mathrm{TP}+\mathrm{FP}} \times 100 \% \text {. } $ (18)

其中: TP指正确检测为相应攻击类型的样本数量,FP指错误检测为相应攻击类型的样本数量。

召回率(Recall)为模型正确检测为相应攻击类型的样本数量占实际相应攻击样本类型的样本数量的比例,可以表示为

$ \text { Recall }=\frac{\mathrm{TP}}{\mathrm{TP}+\mathrm{FN}} \times 100 \%. $ (19)

其中FN指错误检测为正常的样本数量。

F值(F-score)综合考虑精确率和召回率,可以表示为

$ F=2 \cdot \frac{\text { Precision } \cdot \text { Recall }}{\text { Precision }+\text { Recall }} \times 100 \%. $ (20)
4.3 威胁检测模型训练与测试

分别将BiGRU、PFEN改进的模型PFEN-BiGRU、注意力机制改进的模型ABiGRU和本文模型PFEN-ABiGRU作为威胁检测模型。4个模型的默认网络参数设置相同,且均使用NSL-KDD数据集提供的训练集和测试集进行训练和测试。4种模型的精确率、召回率和F值结果对比如表 4所示。

表 4 4种模型的检测结果对比
模型 精确率/% 召回率/% F值/%
BiGRU 76.85 77.71 77.28
PFEN-BiGRU 79.70 80.78 80.24
ABiGRU 80.49 81.94 81.21
PFEN-ABiGRU 82.13 93.36 82.74

表 4可见,基于并行特征提取网络改进的BiGRU和ABiGRU模型的精确率均优于改进之前,分别提高了2.85%、1.64%。基于注意力机制改进的BiGRU和PFEN-BiGRU模型的精确率也均优于改进之前,分别提高了3.64%、2.43%。本文模型PFEN-ABiGRU采用并行特征提取网络和注意力机制改进BiGRU,达到了82.13%的最高精确率。此外,PFEN-ABiGRU的召回率、F值也均优于其他3种模型。

4.4 多种网络安全态势评估方法对比

从测试集中任意抽取100组相同条数的测试数据,分别采用SVM[11]、LSTM[8]、BiGRU[8]和PFEN-ABiGRU模型进行威胁检测。首先通过网络威胁测试获取各种攻击类型发生次数和误差概率矩阵,并用误差概率矩阵修正各种攻击类型发生次数Ni,由此得到各种攻击类型发生的修正次数Mi;然后采用权系数生成理论计算得到各种攻击类型的攻击严重度算子Ti,再结合各种攻击类型发生的修正次数Mi和攻击严重度算子Ti计算得到攻击严重度RLi;接着根据通用漏洞评分系统和各类攻击对保密性、完整性、可用性的影响计算得到攻击影响度RIi;最后根据攻击严重度RLi和攻击影响度RIi计算得到网络安全态势值。图 4为其中20组实验的网络态势值对比。

图 4 20组实验的网络安全态势值对比

图 4可见,4种模型计算得出的网络安全态势值与真实的网络安全态势值的变化趋势大致相同,但本文方法评估得到的态势情况与真实的态势情况一致程度更高。结合表 2图 4进行详细分析发现:

1) 基于PFEN-ABiGRU模型得到的网络安全态势值和真实的态势值始终位于同一态势评估区间,并且误差最小。例如,在第8、14、17组中,SVM、LSTM、BiGRU和PFEN-ABiGRU 4种模型的态势评估结果与真实的态势评估结果相同,分别为高风险、中等风险、低风险;但本文模型PFEN-ABiGRU的态势值均与真实态势值更接近。

2) 基于SVM、LSTM、BiGRU 3种模型的态势评估结果存在与真实态势结果不同的情况。例如,在第1组中,SVM、LSTM和BiGRU模型的评估结果为高风险,而PFEN-ABiGRU模型和真实的态势情况均为中等风险;在第18组中,SVM、LSTM和BiGRU模型的评估结果为低风险,而PFEN-ABiGRU模型和真实的态势情况均为安全。

根据上述分析可知,本文方法PFEN-ABiGRU得到的态势值结果更精确、更可靠。

从测试集中任意抽取10组相同条数的测试数据,对100 min内网络被攻击的情况进行仿真,然后采用SVM、LSTM、BiGRU和PFEN-ABiGRU模型进行威胁检测,统计此段时间内4种模型的均方根误差值和计算态势值所需时间,结果如图 5所示。

图 5 均方根误差值与运行时间计算结果

图 5可见,传统的机器学习模型SVM耗费时间最长,误差值也最大。3种深度学习模型LSTM、BiGRU和PFEN-ABiGRU在运行时间相近的情况下,PFEN-ABiGRU的均方根误差值最小,比LSTM减小了56.57%,比BiGRU减小了48.44%,能够更高效地评估网络的安全情况。

表 5具体展示了10个时间段内得到的态势评估结果。由表 5可知,各分时段内本文方法的结果与实际结果相近,且所得态势等级与实际态势等级相符,能够准确反映网络安全态势情况。

表 5 网络安全态势评估结果
时间段编号 PFEN-ABiGRU 实际情况
态势值 态势等级 态势值 态势等级
1 0.597 低风险 0.444 低风险
2 0.789 中等风险 0.751 中等风险
3 0.920 高风险 0.920 高风险
4 0.939 高风险 0.978 高风险
5 0.814 中等风险 0.771 中等风险
6 1.069 高风险 1.068 高风险
7 1.111 高风险 1.109 高风险
8 0.559 低风险 0.334 低风险
9 1.118 高风险 1.165 高风险
10 0.750 中等风险 0.892 中等风险

5 结束语

本文提出一种基于并行特征提取和改进BiGRU的网络安全态势评估方法,采用并行特征提取网络和注意力机制对BiGRU网络进行改进,进而利用改进后的模型PFEN-ABiGRU对网络威胁进行检测并计算网络安全态势值,完成网络安全态势评估。实验结果表明,本文方法能够更加精确和可靠地评估网络安全态势。

在后续的研究中,一方面需细化网络安全态势量化评价指标,考虑更多的影响网络安全态势的因素;另一方面需不断地改进模型,将其应用于更多种类的网络安全检测任务中。

参考文献
[1]
CHEN C, YE L, YU X Z, et al. A survey of network security situational awareness technology [C]// International Conference on Artificial Intelligence and Security. New York, USA: Springer, 2019: 101-109.
[2]
WEN L. Security evaluation of computer network based on hierarchy[J]. International Journal of Network Security, 2019, 21(5): 735-740.
[3]
YANG M, JIANG R, GAO T L, et al. Research on cloud computing security risk assessment based on information entropy and Markov chain[J]. International Journal of Network Security, 2018, 20(4): 664-673.
[4]
LI X N, LI M G, WANG H. Research on network security risk assessment method based on Bayesian reasoning [C]// 2019 IEEE 9th International Conference on Electronics Information and Emergency Communication (ICEIEC). Beijing, 2019: 1-7.
[5]
ZHAO Z W, PENG Y, HUANG J H, et al. An evaluation method of network security situation using data fusion theory[J]. International Journal of Performability Engineering, 2020, 16(7): 1046-1057. DOI:10.23940/ijpe.20.07.p7.10461057
[6]
ZHAO D M, SONG H Q, LI H. Fuzzy integrated rough set theory situation feature extraction of network security[J]. Journal of Intelligent & Fuzzy Systems, 2021, 40(4): 8439-8450.
[7]
DONG G S, LI W C, WANG S W, et al. The assessment method of network security situation based on improved BP neural network [C]// The 8th International Conference on Computer Engineering and Networks. Berlin, Germany: Springer, 2018: 67-76.
[8]
LIN Y, WANG J, TU Y, et al. Time-related network intrusion detection model: A deep learning method [C]// 2019 IEEE Global Communications Conference (GLOBECOM). Waikoloa, USA, 2019: 1-6.
[9]
JAVAID A, NIYAZ Q, SUN W Q, et al. A deep learning approach for network intrusion detection system [C]// Proceedings of the 9th EAI International Conference on Bio-Inspired Information and Communications Technologies (Formerly BIONETICS). Brussels, Belgium: ICST, 2016: 21-26.
[10]
LIU T L, YU Q, LIANG S, et al. Locate-then-detect: Real-time web attack detection via attention-based deep neural networks [C]// Proceedings of the 28th International Joint Conference on Artificial Intelligence Main Track (IJCAI). San Francisco, USA: Morgan Kaufmann, 2019: 4725-4731.
[11]
HU J J, MA D Y, LIU C, et al. Network security situation prediction based on MR-SVM[J]. IEEE Access, 2019, 7: 130937-130945. DOI:10.1109/ACCESS.2019.2939490
[12]
LUONG M T, PHAM H, MANNING C D. Effective approaches to attention-based neural machine translation [C]// Proceedings of the 2015 Conference on Empirical Methods in Natural Language Processing. Lisbon, Portugal: ACL, 2015: 1412-1421.
[13]
刘效武, 王慧强, 吕宏武, 等. 网络安全态势认知融合感控模型[J]. 软件学报, 2016, 27(8): 2099-2114.
LIU X W, WANG H Q, LÜ H W, et al. Fusion-based cognitive awareness-control model for network security situation[J]. Journal of Software, 2016, 27(8): 2099-2114. (in Chinese)
[14]
Forum of Incident Response and Security Teams. Common vulnerability scoring system v3.1: Specification document [EB/OL]. [2020-06-22]. https://www.first.org/cvss/specification-document.
[15]
国务院. 国家突发公共事件总体应急预案[M]. 北京: 中国法制出版社, 2006.
State Council of the People's Republic of China. Overall emergency plans for national sudden public incidents[M]. Beijing: China Legal Press, 2006. (in Chinese)
[16]
FERRAG M A, MAGLARAS L, MOSCHOYIANNIS S, et al. Deep learning for cyber security intrusion detection: Approaches, datasets, and comparative study[J]. Journal of Information Security and Applications, 2020, 50: 102419. DOI:10.1016/j.jisa.2019.102419
[17]
杨宏宇, 王峰岩, 吕伟力. 基于无监督生成推理的网络安全威胁态势评估方法[J]. 清华大学学报(自然科学版), 2020, 60(6): 474-484.
YANG H Y, WANG F Y, LÜ W L. Network security threat assessment method based on unsupervised generation reasoning[J]. Journal of Tsinghua University (Science and Technology), 2020, 60(6): 474-484. (in Chinese)
[18]
YANG L Q, ZHANG J W, WANG X Z, et al. An improved ELM-based and data preprocessing integrated approach for phishing detection considering comprehensive features[J]. Expert Systems with Applications, 2021, 165: 113863. DOI:10.1016/j.eswa.2020.113863