基于随机森林的防化通信网络安全态势评估模型

马 镜

（海装装备项目管理中心，北京 100071）

0 引 言

通信网络是一种特殊的通信信息交流网络，其主要使用各种各样的物理链路连接各个工作站，形成通信通路，不仅可以快速进行信息交换，还能实现资源共享。常规的通信网络主要由传输部分、终端部分、交换部分组成，一般有3种常见的网络拓扑结构[1,2]。第1种为环形网，其主要使用环形结构组成信号传输通路，一旦某一部分出现故障会影响整个环形网运作；第2种为总线型网络结构，这种网络结构主要利用CSMA/CD协议降低网络碰撞，提高网络传输效果；第3种为星形网络结构，其使用PABX中心结构连接，灵活性较强[3,4]。近几年，通信网络结构越来越复杂，网络安全事故频发，因此需要构建一种网络安全态势评估模型解决现有的网络安全问题。

相关研究人员针对防化通信网络的特点提出了几种常规的网络安全态势评估模型，第1种为SAASSA-BPNN网络安全态势评估模型，其主要针对防化通信网络的异常收敛问题，利用SAA算法获取最佳适应度，输出网络安全态势评估结果；第2种为网络安全态势评估攻击图模型，其主要根据防化通信网络的攻击特点，设置多元融合特征，获取告警数据，从而得到合理的安全态势评估结果[5,6]。但上述2种网络安全态势评估模型易受迭代次数变化影响，增加其时间复杂度，使其评估效率偏低，因此本文针对该问题，设计了一种全新的防化通信网络安全态势随机森林评估模型[7]。

1 防化通信网络安全态势随机森林评估模型优化设计

1.1 计算网络安全态势值

网络安全态势值是网络安全态势评估的重要参考值，以防化通信网络节点的各个重要性权值为基础，计算了整体网络安全态势值SituAwar，公式为

式中：SituAwari代表网络主要节点态势值；Wi代表各个节点的重要性权值[8]。使用上述公式可以计算不同情况下防化通信网络的安全态势值，获取有效的时间变化序列，有效对整体的防化通信网络进行网络安全态势评估。

1.2 基于随机森林提取网络安全态势要素

为了解决安全评估阈值调整问题，避免BP神经网络过高迭代次数导致的评估效率偏低问题，本文基于随机森林提取了网络安全态势要素。随机森林属于一种集成决策树，其可以根据各个分裂节点判定分裂特征，有效地度量网络安全态势，获取网络安全态势要素，首先需要计算信息增益值H(S)，公式为

式中：Ci代表不同类别的样本数量；D代表样本信息熵。在进行态势要素提取时，首先需要计算样本的信息增益值，再根据样本数量选择相关的评估属性，此时的增益率GainRatio(S,A)计算公式为

式中：GainRatio(S,A)代表样本增益属性；SplitInfo(A)代表样本评估决策特征。结合上述计算数值可以有效地获取划分准则，计算Gini不纯度Gini(S)为

此时可以利用随机森林从全部样本集合中抽取指定的数据集，生成一个具有全部特征属性的决策树，确定决策树的分类方式。为了解决复杂的网络拓扑造成的态势要素提取异常问题，本文设计的评估模型使用层次化构建法对模型内部的处理过程进行优化，最终生成的网络安全态势评估优化模型如图1所示。

图1 网络安全态势评估优化模型

由图1可知，使用该模型可以快速提取全局的网络安全态势要素，避免出现严重的数据处理问题，最大程度上提高了网络安全态势评估效率，使其评估可信度更高。

2 实 验

为了验证设计的防化通信网络安全态势随机森林评估模型的实际评估效果，本文选取了有效的评估数据集，将其与文献[1]、文献[2]这2种常规的网络安全态势评估模型对比，进行实验如下。

2.1 实验准备

结合本实验需求，为了降低各种通信网络环境下的随机性，提高实验的有效性，本文预先设置了10个网络安全评估等级，分别为1级～10级，各级的态势值依次为 [0,0.1]、[0.1,0.2]、[0.2,0.3]、[0.3,0.4]、[0.4,0.5]、[0.5,0.6]、[0.6,0.7]、[0.7,0.8]、[0.8,0.9] 以及[0.9,1.0]，由1级至10级，网络态势危险度越来越高。

针对上文中设置的态势值，本文选取UNSW_NB15网络安全态势数据集作为实验数据集。该数据集内部共含有8 754 544条网络安全态势数据，并使用IXIA PerfectStorm生成了几种不同的攻击类型，提取数据集内部的特征数据发现，此时实验数据集内部存在45维特征，此时可以制定实验流程，如图2所示。

图2 实验流程

根据图2可知，待网络安全态势评估数据集选取完毕后，需要进行数据预处理。为增加实验的有效性，避免部分数据受覆盖作用影响，本实验对数据集内部的数据进行了归一化处理，处理式xi'为

式中：xi代表评估数据值；xmin代表数据集内最小数据值；xmax代表数据集内最大数据值。网络安全态势评估的时间复杂度直接影响最终的评估效率，因此，本文将时间复杂度O作为实验指标，其计算式公式为

式中：irer代表样本的迭代最大次数；n代表样本数量；d代表评估空间维度。时间复杂度越高证明使用模型的评估效率越低，评估过程越烦琐，反之，时间复杂度越低证明模型的评估效率越高，评估过程相对简单。

由于网络安全态势评估过程较复杂，一旦出现难以解决的解析问题会直接影响最终的网络安全态势评估结果，选取Netlfow作为网络安全态势分析工具，结合部分网络安全特征设置了核心评估接口。最终输出的网络安全态势评估结果与决策引擎也有一定的关联，本实验使用归纳融合法计算了不同情况下的安全概率分布，分别为42.4%、42.8%、42.7%、42.2%、42.5%，整体相差较小，证明此时输出的网络安全态势模型性能验证实验结果符合实际需求，可以进行后续的模型评估效果实验。

2.2 实验结果与讨论

结合上述的实验准备，本文利用Netlfow分析工具进行实验，即分别使用本文设计的防化通信网络安全态势随机森林评估模型，文献[1]的SAA-SSA-BPNN网络安全态势评估模型、以及文献[2]网络安全态势评估攻击图模型对1～10个网络安全态势等级进行评估，并使用公式（6）计算3种模型在1～10级下评估的时间复杂度（N为1个评估周期），实验结果如表1所示。

表1 实验结果

由表1可知，使用本文设计的防化通信网络安全态势随机森林评估模型评估后1～10个网络安全态势等级下评估的时间复杂度较低，均低于10N；使用文献[1]的SAA-SSA-BPNN网络安全态势评估模型评估后1～10个网络安全态势等级下评估的时间复杂度较高，均在30N～50N；使用文献[2]网络安全态势评估攻击图模型评估后1～10个网络安全态势等级下评估的时间复杂度最高，均高于50N。证明本文设计的网络安全态势评估模型的评估效果较好，评估效率较高，有一定的应用价值。

3 结 论

计算机技术的发展带动了通信网络的进步，目前通信网络已经成为人们信息交流和资源交换的重要路径。近几年，通信网络的组成结构越来越复杂，存在的安全风险也越来越高，常规的网络安全态势模型不符合目前的评估效率需求，因此本文设计了一种全新的防化通信网络安全态势随机森林评估模型。实验结果表明，设计的评估模型的评估效果较好，具有高效性，有一定的应用价值，为后续通信网络的发展奠定坚实的基础。