联邦学习和证据理论在智慧城市网络安全态势感知中的应用研究

来源:用户上传      作者:刘岩 韩璐 李娜

　　摘要：随着数字经济的全面推进，我国的“智慧城市”建设开始进入实质性的启动阶段，城市网络安全问题就更为突出、严重，面向智慧城市的城市级网络安全态势感知技术研究和应用迅速成为学术界和工业界的研究热点。此前，为得到性能更佳的态势感知模型，传统做法是利用机器学习、深度学习等手段集中训练网络数据，从而获得模型参数。但随着智慧城市中建设中网络设备类型增多，数据属性多样，流量内容复杂多变，网络边界模糊，影响态势评估的不确定性增加，加之对集中训练带来的数据安全和隐私保护的担忧，数据安全问题已然成为智慧城市中网络安全态势感知技术发展的重要制约瓶颈和亟需突破的关键挑战。在这种情况下，“联邦学习”的概念被提出，旨在保护数据安全与隐私的同时，利用分布的网络数据进行联合模型训练，从而达到或接近基于数据集中的训练效果。为此，该文借助“联邦学习”和“证据理论”，对智慧城市网络安全态势感知技术的应用模式和方法进行了研究和探讨，以期为智慧城市的网络安全态势感知技术发展提供一定的借鉴和参考。
　　关键词：网络安全态势感知;联邦学习;证据理论;数据安全;智慧城市
　　中图分类号：TP311 文献标识码：A
　　文章编号：1009-3044（2022）15-0022-03
　　随着数字中国建设整体布局的不断推进，我国的“智慧城市”建设开始进入实质性的启动阶段，以智慧医疗、智慧交通、智慧家居、智慧金融、智能制造等为代表的一系列智慧城市基础设施的建成落地，为千行百业提供了全新的发展动力和活力。智慧城市的平稳运行，离不开大量联网设备的交流协作，史无前例的超大规模、属性复杂的网络流量运行在城域互联网上，给城市的网络安全保卫工作带来了严峻的考验，城市网络安全与否已成为事关城市平稳运行的重大问题。
　　《CNCERT互联网安全威胁报告-2022年1月》数据显示，2022年1月我国境内感染木马或僵尸网络恶意程序的终端数为446万余个;境内被篡改网站数量4 327个，其中被篡改政府网站数量为24个;境内被植入后门的网站数量为1 812个，其中政府网站有2个;针对境内网站的仿冒页面数量为187个;CNVD收集整理信息系统安全漏洞2 072个。其中，高危漏洞631个，可被利用来实施远程攻击的漏洞有1 719个[1]。面对如此严峻的互联网安全形势，如何快速且准确地感知城域互联网网络中的异常信息，预测网络安全态势，增强网络安全主动防御能力成为城市网络安全主管部门和网络运营商的关注重点。
　　目前网络安全态势感知技术都是把事先利用机器学习、深度学习等手段集中训练网络数据得到的态势理解模型，部署在某个网络汇聚节点上，对流经此节点的流量进行特征匹配和识别。训练使用的网络数据的质量决定了态势感知和评估的成效。但智慧城市里联网的设备种类繁多、网络边界模糊、数据属性多样、流量内容复杂多变、影响网络安全的不确定因素大大增加，现有的网络安全态势感知技术和产品不足以满足现实需求。加之对网络数据集中训练带来的数据安全和隐私问题的担忧，安全态势感知技术服务提供者们只能使用自身数据训练，数据不全面，使得训练得到的模型无法满足网络安全主管部门和网络运营商的现实监管需求。“联邦学习”能够在训练数据不共享的情况下达到参数共享目的，具有数据隔离、质量保证、各参数方地位等同、独立性等优点;证据理论为降低网络态势感知中的不确定性因素提供了解决思路，受到学术界和工业界的广泛关注。本文详细地探讨了联邦学习和证据理论的原理及其在智慧城市网络安全态势感知中的应用模式和方法，以期待为其发展提供参考。
　　1 智慧城市网络安全态势感知概述
　　态势感知的概念来源于军事对峙领域，1999年Tim Bass将态势感知引进了网络安全的研究中，由此产生了网络安全态势感知这个概念[2]。网络安全态势感知是综合分析网络安全要素，评估网络安全状况，预测其发展趋势，并以可视化的方式展现给用户，并给出相应的报表和应对措施。
　　从上述概念看，网络安全态势感知的过程大致包括以下几个步骤：
　　1）数据采集：通过在网络中某个节点部署探针等检测工具，对流经此节点的数据进行采集获取，这是态势感知的前提;
　　2）态势理解：对采集到的数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析，得出影响网络的整体安全状况，这是态势感知基础;
　　3）态势评估：定性、定量分析网络当前的安全状态和薄弱环节，并给出相应的应对措施，这是态势感知的核心;
　　4）态势预测：通过对态势评估输出的数据，预测网络安全状况的发展趋势，这是态势感知的目标。
　　在网络安全态势分析方面，已经有很多成熟的模型，比如始于感知的Endsley模型、终于循环对抗的OODA模型、基于数据融合的JDL模型和采用假设推理的RPD模型等，但他们都离不开态势感知、态势理解和态势预测这三个基本点。
　　网络安全态势感知模型中也都需要通过网络安全态势特征提取技术、网络入侵检测技术、网络安全态势感知评估技术、网络安全态势预测技术等关键技术完成对网络安全态势要素获取、理解、预测和评估[3]。
　　随着计算能力的提升，机器学习和深度学习由于具有较强的学习能力、较好的适应性、易实现自动化，且对复杂的特征处理、数据分类、预测等在实践中能获得较好的效果，在网络安全态势感知中得到深入的研究和广泛的应用。
　　自数据安全法和个人信息保护法实施以来，出于数据安全和隐私保护的需要，目前使用的网络安全态势感知模型多是由安全态势感知技术服务提供者使用单一来源或者多源同|的流量数据训练得到的，即使使用机器学习和深度学习等新技术，但受限于训练数据质量，使得产生的知识库模型不够完备，达不到预期效果。而且智慧城市的高效运转离不开各类联网设备的交互协作，智能家居设备、车联网设备、企业中的生产设备等网络节点组成了史无前例的超大规模网络，呈现感知节点数量众多，节点通信协议类型不同、连接多样，网络结构复杂多变，随机因素增大等特点。面对如此复杂的城域互联网，寻找新的网络安全态势感知解决方案已成为当前的重要课题。

nlc202207151204

转载注明来源:https://www.xzbu.com/8/view-15436001.htm