随着网络技术的发展,网络攻击造成的危害日益严重,网络安全问题成为当今时代尤为突出的挑战之一。面对此类挑战,网络安全态势评估技术正成为构建主动防御体系的核心支撑,该技术能够整合多源数据,对网络安全状况进行全面、深入的评估,突破了传统安全防护措施的局限性,将网络安全防御模式由被动转变为主动,从而有效提升网络安全防护的及时性、精准性与全面性,为网络空间的稳定运行提供坚实保障。
在网络安全态势评估的研究进程中,Liu等[1]通过改进网络拓扑学习机制,构建局域学习对象集合,并运用Fermi函数计算策略迁移概率,刻画网络攻防态势演变特征。然而,传统基于规则的评估方法在应对复杂网络攻击时,局限性日益显著。随着深度学习的发展,该技术开始应用于网络安全态势评估领域。王金恒等[2]设计了一种遗传优化的概率神经网络评估模型,依据网络安全态势特征及常见评估等级构建网络架构,相较传统概率神经网络展现出更强的评估能力。赵冬梅等[3]提出了一种基于时间因子和复合CNN结构的网络安全态势评估模型,将一维数据转换成二维矩阵,以灰度图的方式载入神经网络模型,结合时间因子增加输入通道,在AWID等数据集上表现良好。Yang等[4]提出了一种基于网络攻击行为分类的网络安全态势评估方法,该方法结合并行特征提取网络、双向门循环单元和注意力机制,设计了NABC模型,模型的准确率、召回率和F1值都实现了提升。赵冬梅等[5]提出一种基于改进选择性卷积核的卷积神经网络和支持向量机的网络安全态势评估模型,提高了卷积神经网络感受野变化的自适应性,在多个数据集上具有更高的鲁棒性和准确率。Zhao等[6]结合Transformer网络、ResNeXt聚合残差变换结构及SE挤压激励机制,提出TransReSE态势评估模型,实验结果表明该模型在4个数据集上的准确率、召回率和F1值得到进一步提升。
近年来,尽管基于深度学习技术的网络安全态势评估模型相较于传统基于规则的评估方法取得了更好的效果,但其研究仍存在若干待解决的问题。现有态势评估模型,一方面在态势特征提取时无法充分从原始态势数据中提取不同网络攻击的特征,导致后续评估效果欠佳,影响了网络安全态势评估系统的整体防护水平。另一方面在处理长时序数据时,难以有效捕捉序列中的长距离依赖关系,导致上下文信息利用不充分,进而造成网络流量检测效果下降。针对目前研究存在的不足,本文提出一种融合并行特征提取网络(parallel feature extraction network,PFEN)与多尺度时间卷积网络(multi-scale temporal convolutional network,MsTCN)的网络安全态势评估模型(PFEN-MsTCN)。通过改进PFEN结构,强化其对网络安全态势数据中细粒度特征的捕捉能力,更精准地提取流量数据中的异常行为模式与关键特征;优化MsTCN,通过多核分支与层级化膨胀率实现在不同时间尺度上进行特征提取,通过动态参数匹配策略与Chomp1D层解决多分支维度对齐问题,实现多尺度时序特征的融合,为网络安全态势评估提供有效的解决方案。
1 网络安全态势评估
1.1 网络安全态势评估流程
本节在文[7]的基础上设计网络安全态势评估流程,主要包含态势处理模块、态势分析模块、态势评估模块3部分,具体如图 1所示。态势处理模块负责对原始数据集进行数据清洗、归一化等预处理操作,构建高质量的输入数据集。预处理后的态势数据将被输入PFEN-MsTCN模型,为模型训练提供规范的输入样本,确保后续训练过程的稳定性与有效性。态势分析模块负责将测试集数据输入已完成训练的PFEN-MsTCN模型中,得到模型的输出结果,将结果传递至态势评估模块。态势评估模块接收来自态势分析模块的输出结果。从攻击影响因子、攻击概率因子以及攻击数量因子这3个关键维度入手,构建综合量化体系,从而精准量化得出网络安全态势值,为网络安全管理人员提供直观、可靠的态势评估结果。
1.2 PFEN-MsTCN融合模型
PFEN-MsTCN融合模型主要由改进的并行特征提取网络(PFEN)和多尺度时间卷积网络(MsTCN)构成。
1.2.1 改进的并行特征提取网络
本文提出改进的PFEN专注于一维序列的态势特征提取任务,该模块是在Inception模块[10]基础上改进而来。Inception模块具有多分支并行架构与网络安全态势数据的特征高度适配,网络流量数据包含短时序突发特征、中长时序依赖特征等多尺度模式,而Inception模块的多分支设计可天然支持不同粒度特征的并行提取,解决了单一卷积核难以覆盖异构流量特征的问题。针对传统Inception模块面向二维图像数据的局限性,首先进行维度适配性改造,将原架构中的二维卷积层替换为一维时序卷积层,构建适用于一维序列数据的特征处理单元。该操作契合网络安全态势数据的时序信号特性,使每个卷积核能够沿数据序列的时间轴方向滑动,有效捕捉局部时间窗口内的特征。相较于二维卷积,一维卷积的核参数规模从k×k×C降维至k×C (k为卷积核大小,C为输入通道数),在保持局部特征提取能力的同时,显著降低计算复杂度,适配序列数据的高效处理需求。其次,针对Inception模块的多分支结构进行深度优化,将各分支重构为两层级联的一维卷积子网络,通过两层卷积的层级映射,使每个分支能够学习到更抽象的特征表示。第一层卷积提取基础局部特征,第二层卷积则对基础特征进行聚合,形成具有时序上下文的复合特征。让模型在每个分支中学习到更复杂的特征表示,增强模型的特征提取能力,实现对数据局部空间特征、短期依赖关系的捕捉与特征融合。此外,改进的PFEN通过将卷积运算、批量归一化(BN)和ReLU激活函数进行结合,增强了网络的非线性表征能力,提升了模型的鲁棒性。相较于原始Inception模块,本文改进的PFEN主要有3方面优势:1) 维度适配性增强,一维卷积直接匹配流量时序特性,参数规模从k×k×C降至k×C,计算复杂度降低至约原先的1/k;2) 特征抽象能力提升,两层级联卷积实现从基础特征到复合时序特征的深化学习;3) 鲁棒性优化,卷积+BN+ReLU组合缓解梯度消失,增强对噪声数据的抗干扰能力。改进的PFEN结构,如图 3所示,其中x与y分别表示输入特征序列和输出特征序列。
1.2.2 多尺度时间卷积网络
其中:t为时间步,i为卷积核内元素索引,W[i]为卷积核对应权重,x[t-i×r]为从当前时刻向前回溯(i×r)步的输入数据,r为扩张率。
然而,传统TCN依赖单分支扩张卷积,仅能提取单一尺度时序特征,难以覆盖复杂数据中的短、中、长多尺度特征。邓飞跃等[12]提出的多尺度扩张因果卷积单元,通过并行不同扩张率的扩张因果卷积提取多尺度特征构建MsTCN,增强了长序列数据中时序依赖关系的捕捉能力,但存在膨胀率d固定(d=1, 2, 3)的局限,难以自适应不同时序数据的特性。本文通过多核分支与层级化指数膨胀率(d=2a, a∈[0, 4])对MsTCN进行改进,实现多尺度特征的动态覆盖与灵活适配,兼顾局部细节与长距离依赖,通过不同核大小的卷积分支,同步实现多尺度时序特征的并行提取,其中,小核分支聚焦局部细节,大核分支捕获全局趋势。针对多分支输出序列长度对齐问题,利用动态参数匹配机制,根据k和r计算填充量p′(p′=(k-1)·r),并使用Chomp1D层截断冗余填充,确保各分支输出维度与输入一致,解决多分支拼接时的维度对齐问题。多分支特征经通道拼接后,通过一维点卷积压缩整合为统一特征表示,在保留多尺度信息互补性的同时,避免了通道数激增导致的维度爆炸问题。本文MsTCN的多尺度时间卷积单元如图 5所示。
2 网络安全态势评估指标
本章在文[8]的基础上,使用基于网络攻击影响的网络安全态势评估指标体系,该指标体系主要包括攻击概率因子、攻击影响因子和攻击数量因子3个方面。
2.1 攻击影响因子
攻击影响因子的计算公式如下:
其中:g表示攻击类型(g=1,2,···,N);sg表示对应的攻击影响因子;w1、w2、w3分别表示为机密性、完整性、可用性的权重指标;Cg、Ig、Ag分别对应攻击机密性、完整性、可用性的攻击影响分数。
2.2 攻击概率因子
将测试集数据输入PFEN-MsTCN模型中,基于模型输出的结果,按单位时间统计分析,计算单位时间内网络攻击发生的概率p,其计算公式如下:
其中:n为单位时间内的流量总条数;PFEN-MsTCN(j)表示模型对第j条数据的网络攻击分类结果,若判定为攻击则取值为1,否则为0。该因子反映单位时间内网络攻击发生的概率。
2.3 攻击数量因子
攻击数量因子计算公式为
其中:cg代表单位时间内对应网络攻击的数量。该因子直接体现单位时间内特定攻击发生的频数特征,用于衡量单位时间内实际发生的各类攻击数量。
2.4 网络安全态势值
综合考虑上述的3种影响因子,设网络安全态势值为S,其计算公式为
其中:N为所有攻击类型,n为单位时间内的流量总数,cnor为单位时间内正常流量的数量。
2.5 网络安全态势评估等级
参考《国家突发事件总体应急预案》[14]的分类原则,对网络安全态势进行等级划分。依据网络安全态势值的区间范围,分为5个等级:安全、低风险、中等风险、高风险、超风险。对应的态势值区间分别为[0.00, 0.20]、(0.20, 0.40]、(0.40, 0.60]、(0.60, 0.80]、(0.80, 1.00]。
3 实验与结果分析
3.1 实验环境
实验基于Ubuntu 22.04.5系统进行,利用PyTorch 2.1.0框架进行模型搭建。详细的硬件参数为:Intel® Xeon(R) Gold 6330H处理器、64 G内存、Nvidia Tesla T4显卡、16 G显存。
3.2 数据集与预处理
其中:Z为原始数据值,Zmin为数据集中某类特征的最小值,Zmax为数据集中某类特征的最大值,Z*为归一化后的数据值。
3.2.1 NSL-KDD数据集
表 1 NSL-KDD数据集样本数量 |
| 攻击类型 | 训练集样本数量/个 | 测试集样本数量/个 |
| Normal | 67 343 | 9 710 |
| Dos | 45 927 | 7 456 |
| Probe | 11 656 | 2 421 |
| R2L | 995 | 2 754 |
| U2R | 52 | 202 |
该数据集包含43个初始特征,其中41个流量特征,1个标签特征及1个评分特征。首先剔除评分特征,随后针对非数值型的流量特征进行独热编码处理。通过该操作,将原始41维流量特征扩展至121维。
3.2.2 CIC-IDS2017数据集
加拿大网络安全研究所(CIC)与加拿大通信安全机构(CSE)联合构建了CIC-IDS 2017数据集,旨在为入侵检测技术提供贴近真实场景的流量数据支撑。数据集采集于包含12台异构主机的仿真网络,涵盖Windows、Ubuntu、Mac OS等多个操作系统,部署防火墙、路由器等网络设备,完整复现企业内网与外部攻击网络的交互场景。周一数据仅包含良性流量,周二至周五引入多种类型攻击。其中,周三的数据量、攻击密度与场景复杂度更高,因此本实验选择周三的数据进行分析。各类型流量数据的样本数量如表 2所示。
表 2 CIC-IDS2017数据集样本数量 |
| 攻击类型 | 样本数量/个 | 占比/% |
| BENIGN | 440 031 | 63.52 |
| DoS Hulk | 231 073 | 33.36 |
| DoS GoldenEye | 10 293 | 1.49 |
| DoS slowloris | 5 796 | 0.84 |
| DoS Slowhttptest | 5 499 | 0.79 |
| Heartbleed | 11 | 0.001 6 |
该数据集共有79个特征,其中78个流量特征,1个标签特征,首先执行数据清洗,移除包含缺失值、无穷值及重复记录的异常数据行,保障数据集一致性。其次,计算各特征列的方差,删除方差为0的无效特征,共移除10列无效特征。经上述处理后,数据集保留68维有效特征。
3.3 评价指标
为了详细评估模型性能,本实验采用精确率P、召回率R、F1值、均方误差(MSE)以及平均绝对误差(MAE)[18]。各评价指标计算公式分别为
其中:TP代表预测为正例的正例;FP代表预测为正例的负例;FN代表预测为负例的正例;m代表样本数量;yq代表真实值;$ \hat{y}_q$ 代表预测值。
3.4 实验结果及分析
由图可知,在NSL-KDD数据集上,本文提出的PFEN-MsTCN模型与上述模型相比,P值提升了1.99%~6.49%,R值提升了2.86%~6.09%,F1值提升了2.54%~4.88%。在CIC-IDS2017数据集上,本文提出的PFEN-MsTCN模型与上述模型相比P值提升了0.09%~0.27%,R值提升了0.11%~0.70%,F1值提升了0.13%~0.49%。
PFEN具备高效的特征提取能力,可精准捕捉网络安全态势数据中的关键局部特征;MsTCN凭借独特的时序建模优势,可有效挖掘数据在时间维度上的上下文依赖关系。上述结果验证了PFEN与MsTCN的融合优势。
PFEN-MsTCN模型可在2个差异显著的数据集上均保持优异表现,原因为:1) PFEN的多分支一维卷积可灵活适配不同维度特征(121维与68维),通过动态调整感受野,全面覆盖离散型攻击局部特征与连续时序模式;2) MsTCN采用的层级化指数膨胀率能适配不同时间尺度依赖,小膨胀率聚焦短时序突发攻击,大膨胀率有效捕捉长时序攻击关联特征,充分验证了模型的强泛化能力。
3.5 网络安全态势值量化
3.5.1 网络安全态势值
使用2.4节提出的网络安全态势值量化方法,在测试集中选择30个时间段进行实验,实验中,真实态势值依据测试数据集中的标签计算得出,通过计算MSE和MAE评估模型表现,结果如表 3所示。由表可知,在NSL-KDD数据集上,PFEN-MsTCN模型的MSE较CNN-TCN模型降低0.013 79,较PFEN-TCN模型降低0.008 46;MAE分别降低0.053 00和0.037 26;在CIC-IDS2017数据集上的优势则更突出。
表 3 态势值误差实验结果 |
| 模型 | NSL-KDD数据集 | CIC-IDS2017数据集 | |||
| MSE | MAE | MSE | MAE | ||
| CNN-TCN | 0.018 53 | 0.118 11 | 0.011 79 | 0.090 77 | |
| PFEN-TCN | 0.013 20 | 0.102 37 | 0.010 84 | 0.080 52 | |
| PFEN-MsTCN | 0.004 74 | 0.065 11 | 0.000 03 | 0.002 02 | |
为更直观地比较各模型的量化结果与真实态势值的拟合程度,进一步将态势值进行可视化,如图 7所示。由图可知,PFEN-MsTCN模型与真实态势契合度更高,能更准确地展现当前网络安全状态。
3.5.2 网络安全态势等级
在网络安全态势评估分析中,表 4具体展示了10个时间段的态势值及态势等级。由表可知,在NSL-KDD数据集的第7时间段中,PFEN-MsTCN模型借助多尺度特征融合机制,准确识别长序列攻击模式,输出“超风险”等级,而PFEN-TCN模型因单一尺度特征提取的局限,仅输出“高风险”等级。在CIC-IDS2017数据集的第5时间段中,PFEN-MsTCN模型精准识别出攻击行为,输出0.608 9的态势值及“高风险”等级,与真实值完全一致,反观PFEN-TCN模型,因缺乏对多尺度特征的综合建模,仅输出0.583 4的态势值及“中风险”等级,未能正确反映实际风险等级。可见,本文模型各分时段评估结果与实际更相近,态势等级与实际基本相符,即便存在不相符情况,态势值误差也更小,能更准确反映网络安全态势等级。
表 4 态势评估等级对比结果 |
| 时间段编号 | NSL-KDD | CIC-IDS2017 | |||||||||||||||
| PFEN-MsTCN | PFEN-TCN | 真实值 | PFEN-MsTCN | PFEN-TCN | 真实值 | ||||||||||||
| 态势值 | 态势等级 | 态势值 | 态势等级 | 态势值 | 态势等级 | 态势值 | 态势等级 | 态势值 | 态势等级 | 态势值 | 态势等级 | ||||||
| 1 | 0.766 7 | 高风险 | 0.667 7 | 高风险 | 0.785 6 | 高风险 | 0.569 2 | 中风险 | 0.412 5 | 中风险 | 0.569 2 | 中风险 | |||||
| 2 | 0.711 9 | 高风险 | 0.737 4 | 高风险 | 0.744 1 | 高风险 | 0.415 8 | 中风险 | 0.516 9 | 中风险 | 0.415 8 | 中风险 | |||||
| 3 | 0.765 8 | 高风险 | 0.606 0 | 高风险 | 0.837 9 | 超风险 | 0.485 1 | 中风险 | 0.441 7 | 中风险 | 0.485 1 | 中风险 | |||||
| 4 | 0.681 9 | 高风险 | 0.722 1 | 高风险 | 0.743 8 | 高风险 | 0.372 5 | 低风险 | 0.487 8 | 中风险 | 0.372 5 | 低风险 | |||||
| 5 | 0.701 6 | 高风险 | 0.676 8 | 高风险 | 0.794 0 | 高风险 | 0.608 9 | 高风险 | 0.583 4 | 中风险 | 0.608 9 | 高风险 | |||||
| 6 | 0.696 1 | 高风险 | 0.658 8 | 高风险 | 0.751 5 | 高风险 | 0.527 8 | 中风险 | 0.542 4 | 中风险 | 0.527 8 | 中风险 | |||||
| 7 | 0.818 4 | 超风险 | 0.670 9 | 高风险 | 0.901 2 | 超风险 | 0.545 1 | 中风险 | 0.537 7 | 中风险 | 0.545 1 | 中风险 | |||||
| 8 | 0.610 2 | 高风险 | 0.636 7 | 高风险 | 0.643 0 | 高风险 | 0.569 1 | 中风险 | 0.442 0 | 中风险 | 0.569 1 | 中风险 | |||||
| 9 | 0.666 4 | 高风险 | 0.649 5 | 高风险 | 0.726 1 | 高风险 | 0.467 7 | 中风险 | 0.456 6 | 中风险 | 0.467 7 | 中风险 | |||||
| 10 | 0.729 9 | 高风险 | 0.655 9 | 高风险 | 0.774 6 | 高风险 | 0.519 3 | 中风险 | 0.459 0 | 中风险 | 0.519 3 | 中风险 | |||||
4 结论
针对现有研究中态势特征提取能力不足,不能充分学习序列数据上下文依赖关系,导致网络安全态势评估精度较低,态势值预测偏差较大的问题,本文提出了PFEN-MsTCN模型。首先利用改进的PFEN优化态势特征提取,提高特征质量;随后引入MsTCN对特征序列进行长时序建模,增强上下文依赖学习能力;最后结合态势评估指标体系,计算态势值并划分等级,从而提升网络安全态势评估的准确性。通过实验得出,该模型在各项评估指标上均优于PFEN-ABiGRU、SEAE-CNN-BiGRU-AM等模型,其中在NSL-KDD数据集上F1值达87.39%,MSE为0.004 74,在CIC-IDS2017数据集上F1值达99.87%,MSE为0.000 03,能够有效感知网络空间的当前态势。
后续将优化模型对不平衡数据集下小样本类型数据识别准确率不足的问题,进一步提高网络安全态势评估的准确性。
