面向虚拟化网络环境的网络安全态势要素提取及安全态势预测应用

王 伟

（中央广播电视总台，北京 100859）

0 引 言

随着信息化的普及和发展，广播电视制播技术已经逐步从SDI架构转向基于互联网的IP架构，特别是IPTV、网络接入服务等业务的拓展，使得广播电视行业逐步进入网络运营与应用范畴。然而，计算机网络在显著提升业务推进效率和便捷度的同时，也引入了新的风险，即网络安全问题。随着网络技术的不断发展，计算机网络软硬件架构处于不断发现问题和解决问题的过程中。除去业务对于网络性能和功能的新需求外，来自内部和外部的网络安全威胁是最为典型的问题。传统的网络安全检测与防御往往是面向具体的网络架构和网络所遭受的攻击行为提出应对方案，网络安防往往是通过历史事件倒推网络安全漏洞，并事后予以弥补，这显然无法为网络安全提供实时保障，同时也无法应对未知网络风险[1]。同时，随着网络需求和功能的变动，网络架构和技术形式往往会有相应的变化和升级，特别是随着网络技术的发展，利用虚拟化服务及软件，对网络设备及架构进行实现已经成为发展趋势。网络功能虚拟化（Network Functions Virtualization，NFV）及软件定义网络（Software Defined Network，SDN）的高度融合，就是虚拟化网络及服务的典型应用之一。可以看到，在新的技术发展趋势下，网络安全需求已经从传统的静态安全评估和防护，逐步变为对网络的实时监测和动态的态势预测。正是基于这一诉求，网络安全态势预测被提出。对于网络安全态势预测而言，态势要素提取和态势预测是两个关键环节[1]。对于不同的网络架构和技术形式，特别是大规模异构网络，其态势要素往往有较大差异。因此，态势要素的获取也是态势预测的必要前置条件。而在态势预测阶段，常见的实现路径主要为利用机器学习构建模型，进而对未来某时刻的网络安全态势进行预测。本文拟通过研究面向NFV与SDN高度融合的网络环境的态势要素提取方法，进一步对该网络技术架构下的安全态势预测问题进行研究。

1 NFV与SDN高度融合网络架构

1.1 NFV与SDN概述

1.1.1 NFV概述

网络功能虚拟化（Network Functions Virtualization，NFV），是虚拟网络构建的一种基础技术方案。NFV基于虚拟化技术实现网络功能，对传统交换机、路由交换协议、网络管理工具等设备设施予以替代。该技术允许网络设计与构建人员利用通用服务器，对所需的各项网络设施进行虚拟化实现，在显著降低传统网络设备用量、降低实施成本的同时，进一步提升设备的综合利用率和管理效率[2]。此外，NFV允许管理者利用一系列开放的应用程序接口（Application Programming Interface，API）构建可编程、可集中管理、可智能灵活配置部署的整套虚拟化网络。更为特殊的一点是，NFV构建的网络设备具备弹性可伸缩特性，这就使得未来的升级扩充高效便捷。

1.1.2 SDN概述

软件定义网络（Software Defined Network，SDN）的出现，解决了网络管理对于平台的“开放”和“集中”诉求。“开放”是指不同网络设备的SDN能力开放问题，“集中”则主要指将网内各设备的控制信息集中到一个控制平面进行集成控制。前者能够有效提升整个控制面板对各类规格设备和功能的控制兼容度，使得整套网络具备较强的功能控制解耦能力。后者则能够以最小粒度对网络进行集中管理，极大提升管理效率。

1.2 NFV与SDN融合架构

从NFV与SDN各自的优势可以看出，如果将二者进行高度融合，不仅可以有效提升网络的开放性、弹性可伸缩性、敏捷性，而且能够在显著降低网络复杂程度的同时，实现高效的内部协调和管理。这也是NFV与SDN深度融合的基础与核心驱动力。NFV与SDN的高度融合架构如图1所示。可以看到，整套架构以硬件虚拟化技术为核心，构建了虚拟化资源池。此后基于这一虚拟化资源池，进一步构建各级虚拟化计算资源及各层级的虚拟化设备，并构建各层虚拟网络功能（Virtual Network Function，VNF），形成虚拟化网络。与此同时，利用SDN构建管理及控制面，将NFV、VNF及基础虚拟接口的管理进行集成[3]。由于SDN能够与南向接口通过协议直接与转发设备交互，同时能够与外部应用通过北向接口通信，这就使得SDN控制器成为网络管理和调度的集成中心。

图1 NFV/SDF高度融合架构

2 NFV与SDN高度融合下的态势要素提取

态势预测是基于态势要素实现的。对具体问题和场景而言，态势要素往往需要根据实际情形进行分类提取，并不存在一通百通的态势要素集合。由于NFV/SDN高度融合下的网络形态和复杂度都有了显著的变化，因此，传统网络环境下的安全态势要素显然无法用于该环境下网络的态势预测。本章节围绕态势要素提取展开研究，为后续态势预测提供支撑。

2.1 态势要素提取网络架构

针对NFV/SDN融合环境的网络安全态势要素提取问题，本文拟通过构建NFV/SDN融合网络攻击信息样本库，结合基于深度条件变分自编码网络，对样本中隐含的有价值的态势要素进行分类提取。在该架构中，由于隐变量z是原始样本构建的核心，因此核心问题是如何探求隐变量z的分布[4]。本方案考虑在生成网络前增加一个编码网络，利用样本及标签集c作为其输入，进而获得隐变量z的分布。基于标签c，样本可被强制分配至不同的分布空间。由于编码网络与生成网络互为镜像，因此隐变量可将编码网络的输出重构为原始数据。最后通过对比原始数据与重构后的原始数据的差异，最终评估训练获得的各项权值是否达到最优。本文构建的态势要素分类提取网络架构如图2所示。

图2 态势要素分类提取网络架构

2.2 模型训练

上文所构建的态势要素分类提取网络架构，其核心在于编码网络和生成网络。利用这种深度神经网络，能够对样本中隐含的高级特征进行捕捉，进而指导攻击样本的分类。该过程可描述为样本处理、输入网络及优化参数三个步骤。

2.2.1 样本处理

根据获得的网络攻击数据集，及在NFV/SDF融合环境下获取到的网络攻击数据，共同构建一套训练数据集。样本处理阶段，需要对网络攻击数据进行归一化处理，使其形式和构成与网络攻击数据集数据一致，获得样本集x=(x1,x2,…,xn)。此后通过人工标记方式，将网络攻击数据样本进行标记，形成集合c=(c1,c2,…,ck)。据此可获得两个多维数据集，其中n，k分别为处理后的数据维度。

2.2.2 输入网络

将上述数据输入编码网络，可获得隐变量z的分布，可通过中采样处理进一步获得其采样值。此后将z的采样值作为参数，连同标签共同作为生成网络的输入参数，完成数据重构。

2.2.3 优化参数

通过损失函数可对网络进行反复优化，以最终达到编码参数ϕ与生成参数θ的对数似然函数的变分下界最大化的目标[5]。该过程可表示为式（1）：

式中：ϕ表示编码参数，θ表示生成参数，z表示采样值，x表示样本集，c表示样本标记集，L表示隐变量z的采样数。qϕ(z|x,c)与pθ(x|z,c)分别表示编码网络和生成网络的概率分布，其中pθ(x|z,c)主要用于评估隐函数z在生成网络中能够将样本c重构为原始样本的概率。此时，应视近似概率qϕ(z|x,c)服从正态分布N(μ,δ2)，条件概率pθ(z|c)服从正态分布N(μ,1)。通过对上述两个概率进行KL散度，可评估二者的相似度。若二者不同，则该损失函数将对网络进行惩罚。

样本扩充阶段主要通过生成网络来完成。该网络通过计算生成样本与元样本的偏离度，计算构建损失，并指定构建损失阈值。某类别的损失阈值（或称最大构建损失）可用式（2）表示。

式中：maxL表示损失阈值，即构建损失的过滤标准，max(l(x,c))表示输入的样本集x及标记集c的最大重构损失值。若该类别样本构建损失超过该阈值，则剔除；反之，则纳入新训练集合中，用于对编码网络进行微调优化。

2.3 样本分类

编码网络完成训练后，可为编码网络增加softmax层，用于实现分类结果的输出。通过softmax函数，神经元的输出将最终映射到（0，1）区间内，直接表示分类概率。分类概率计算公式可表示为式（3）：

式中：W为回归层的权重参数，b为偏置值，I为输出层节点数量（表征类别数量）。

3 网络安全态势预测方法研究

前文的成果能够为网络安全态势预测提供适当的态势要素。本文提出一种基于注意力机制的循环门控单元（Gated Recurrent Unit，GRU）网络。该网络实质上是一种简化的长短时记忆网络（Long Short-Term Memory，LSTM），是一种具备选择性短时记忆能力的带有门控制机制的神经网络，能够针对网络态势要素变动的历史进行综合衡量，进而对网络安全态势进行动态感知[6]。

3.1 网络构建

本文构建的网络安全态势预测网络如图3所示。输入层的输入数据来源为：利用前文分类获取到的网络态势要素为分类标准，对国家互联网应急中心发布的数据进行处理，使其符合网络输入层所需的维度和结构。编码层的核心即GRU网络。通过GRU的门结构，信息可根据需要进行短暂存储，以实现对信息实时流动的调控。注意力层则主要对数据属性权重进行调整，对于各数据与网络安全趋势的关联度进行定义，确保整个注意力网络能够侧重于对高影响因子的信息的关注，进而获得更精准的预测结果[7]。网络最后为预测网络结构，最终输出实时的网络安全态势预测值。

图3 基于注意力机制和GRU的网络态势预测网络

3.2 GRU超参数选择

GRU网络的性能与网络参数息息相关[8]，诸如网络神经元数量m，batchsize，时间步长T等超参数的寻找十分关键。这里通过粒子群算法设计如图4所示的步骤对超参数进行选择。

图4 超参数组合优化算法逻辑

首先，初始化粒子群参数，设定包括种群规模I、迭代次数p、惯性权重W，以及c1，c2变化区间在内的所有粒子群建立所必须的参数。

其次，对种群根据规模I进行随机生成，参数包括网络神经元数量m，batchsize，时间步长T，同时对粒子初始速度和初始位置进行指定。

此后根据每轮迭代，参照式（4）和式（5）对粒子位置进行实时调整，并对粒子与历史最佳位置和种群最佳位置进行对比，评估是否到达了优化终点。

3.3 模型求解

前文对GRU网络参数进行了最优化，本阶段将对模型进行求解，完成输入到输出各步骤的设计。

第一步，定义输入数据。这里将带有时间序列的输入数据用式（6）表示。

式中：T为时间步长，n为数据属性数量。

第二步，通过式（7）—式（10）对GRU中重置门、更新门的控制逻辑进行定义，实现信息记忆与遗忘机制。

式中：Wr表示重置门的权值矩阵，Wz表示更新门的权重矩阵，br表示重置门的偏置值，bz表示更新门的偏置值，°表示矩阵乘法。最终可获得编码器的映射结果ht。

第三步，利用h及原始训练样本作为输入值，输入注意力层。在该层中，首先利用式（11）对h与其他属性间的相似性进行评估。

式中：k在[1,n]区间内，表示安全指标的编号，ht-1表示上一时刻编码器的隐藏状态，xk表示第k个安全指标在一个时间步长中的数据。此后通过softmax对该评估值进行归一化，最终使得所有注意力权重总和为1。最终加权求和，获得t时刻综合权值ct（该权值充分考虑了历史信息）。

第四步，利用预测网络计算该时刻的预测输出，并更新GRU的隐藏状态。最终可获得t时刻的网络安全态势预测值该过程可由式（12）和式（13）描述。

式中：g为基于softmax函数的线性变换，ct为t时刻的综合权值，dt表示此刻GRU的隐藏状态更新。

3.4 实验及模型评价

3.4.1 评价指标及对照模型选择

本文选择平均绝对误差（Mean Absolute Error，MAE）及均方根误差（Root Mean Square Error，RMSE）作为模型效果的评估指标。可描述为式（14）及式（15）。

式中：N为预测次数，与测试数据集大小一致，yi为预测结果，为样本标记的真实态势值。

为客观评估本文设计的模型性能，选取Attention-RNN、AIS-LSTM两种神经网络预测模型，以及PSO-SVM这一传统机器学习模型作为本次评价的对照模型。

3.4.2 数据预处理

数据方面，本文选取国家互联网应急中心发布的周数据以及在NFV/SDF融合环境下的安全态势数据，并确定以安全漏洞新增数量、外部攻击中Web内容篡改攻击数量、网内病毒感染数量、外部DDOS攻击数量作为主要安全指标。选取时间步长为周，准备了共计260组训练数据及130组测试数据。

由于网络随机性较强，数据量纲差异较大，为便于训练，本文采用式（16）所描述的方法对数据进行归一化处理，以数据自身度量其变化程度，将数据变化的表达方式统一化。

式中：x为目标数据，max(x)和min(x)分别为x的最大值和最小值。

3.4.3 结果对比及评价

通过对本文设计的模型、Attention-RNN、AISLSTM、PSO-SVM四种模型进行训练和测试，得到如表1所示的结果。可以看到，本文设计的基于GRU的注意力模型的整体表现不仅远超传统支持向量机（Support Vector Machine，SVM）模型，在与同类神经网络模型相比时也有更好的表现。该结果可以证实，注意力机制本身对于权重分配的优化有较高的价值。

表1 四种模型的误差值对比结果

4 结 语

本文面向NFV与SDN高度融合的网络安全态势预测问题进行了研究。首先介绍了NFV与SDN网络的特征和优势，并提出其与传统网络的差异；其次，探讨了面向NFV/SDN融合网络的态势预测难点和步骤；再次，通过构建态势要素分类算法，提出了面向NFV/SDN融合网络的态势要素提取机制；最后，利用基于注意力机制的GRU网络，对网络安全态势预测模型进行构建和求解。期望本文的研究能够为网络安全领域的工作提供一些帮助。