基于构建行为画像的网络安全态势感知机制

doi:10.11772/j.issn.1001-9081.2024010141

《计算机应用》唯一官方网站 ›› 0, Vol. ›› Issue (): 118-122.DOI: 10.11772/j.issn.1001-9081.2024010141

基于构建行为画像的网络安全态势感知机制

王晨飞¹(), 徐李阳¹, 李慧芹¹, 马建勋²

^1.国家电网有限公司客户服务中心，天津 300309
^2.国家电网有限公司思极检测技术（北京）有限公司，北京 102200

收稿日期:2024-02-07 修回日期:2024-03-27 接受日期:2024-04-01 发布日期:2024-05-09 出版日期:2024-12-31
通讯作者: 王晨飞
作者简介:王晨飞（1988—），男，河北沧州人，高级工程师，硕士，主要研究方向：信息安全
徐李阳（1991—），男，江苏宿迁人，工程师，硕士，主要研究方向：网络安全
李慧芹（1988—），女，安徽宿州人，高级工程师，硕士，主要研究方向：网络安全
马建勋（1996—），男，江苏盐城人，助理工程师，主要研究方向：网络安全。
基金资助:
国家电网有限公司客户服务中心科技项目(SGKFYW00AZJS2310001)

Network security situation awareness mechanism based on behavioral portrait construction

Chenfei WANG¹(), Liyang XU¹, Huiqin LI¹, Jianxun MA²

^1.Customer Service Center，State Grid Corporation of China，Tianjin 300309，China
^2.Siji Testing Technology （Beijing） Company Limited，State Grid Corporation of China，Beijing 102200，China

Received:2024-02-07 Revised:2024-03-27 Accepted:2024-04-01 Online:2024-05-09 Published:2024-12-31
Contact: Chenfei WANG

摘要/Abstract

摘要：

网络安全态势感知（NSSA）可全面评估网络状态并发现潜在风险，其关键是对网络用户的行为准确、全面地进行分析。构建行为画像能反映出用户的关键特征，有助于管理人员掌握网络的安全状况并有针对性地予以响应。然而，主流的行为画像构建方法对画像的关键信息提取能力不足且忽略了特征之间的关联性。因此，设计了一种基于构建行为画像的NSSA机制。该机制通过数据挖掘获取统计特征标签，利用双向长短期记忆（BiLSTM）神经网络对用户行为的建模能力形成行为特征标签，并综合用户行为的统计特征标签和行为特征标签共同构建行为画像。画像构建完成后，通过交叉熵损失函数计算用户行为序列标签特征与已知行为画像标签之间的相似度，进而根据行为画像的威胁等级确定用户的威胁等级。在UNSW-NB15数据集上进行的实验结果表明，所提方法对行为分类的精确率达到89.78%，与K-Medoids和主成分分析（PCA）-卷积神经网络（CNN）等机器学习方法相比提升了2.01~10.73个百分点。可见，所提画像构建方法对行为间关联更敏感，能特异性地建模不同画像的行为特征标签，提升威胁等级的分类精度，并实现网络安全态势感知。

关键词: 行为画像, 双向长短期记忆, 神经网络, 网络安全态势感知, 行为建模, 自动编码器

Abstract:

Network Security Situation Awareness （NSSA） can estimate the status of network comprehensively and find potential risks， and the key of it is accurate and comprehensive analysis of user behaviors. Building a behavioral portrait can reflect the important features of users， helping managers grasp the security status of network and respond accordingly. However， the mainstream behavioral portrait construction methods have shortcomings such as insufficient extraction of key information in portraits and ignoring the correlation among features. Therefore， an NSSA mechanism based on behavioral portrait construction was designed. In this mechanism， data mining was used to obtain statistical feature labels， Bi-directional Long Short-Term Memory （BiLSTM） neural network was used to generate behavior feature labels of user behaviors， and the statistical feature labels and behavioral feature labels of user behaviors were combined to construct behavioral portrait. After constructing behavioral portrait， the similarity between the user behavior sequence label features and the known behavioral portrait labels was calculated by a cross entropy loss function to determine the user’s threat level based on the threat level of the behavioral portrait. Experimental results on UNSW-NB15 dataset show that the proposed method achieves the precision of 89.78%， which is improved by 2.01 to 10.73 percentage points compared with those of the machine learning methods such as K-Medoids and the Principal Component Analysis （PCA） -Convolutional Neural Network （CNN）. It can be seen that the proposed portrait construction method is more sensitive to the correlation among behaviors， can model behavior feature labels for different portraits specifically， improves classification accuracy of threat levels， and realizes NSSA.

Key words: behavioral portrait, Bi-directional Long Short-Term Memory (BiLSTM), neural network, Network Security Situation Awareness (NSSA), behavioral modeling, AutoEncoder (AE)

中图分类号:

TP309

王晨飞, 徐李阳, 李慧芹, 马建勋. 基于构建行为画像的网络安全态势感知机制[J]. 计算机应用, 0, (): 118-122.

Chenfei WANG, Liyang XU, Huiqin LI, Jianxun MA. Network security situation awareness mechanism based on behavioral portrait construction[J]. Journal of Computer Applications, 0, (): 118-122.

图/表 15

参考文献 26

1	席荣荣，云晓春，金舒原，等.网络安全态势感知研究综述［J］.计算机应用， 2012， 32（1）： 1-4， 59.
2	杨昕，李更新，李挥. EHFM：一种面向多源网络攻击告警的高效层级化数据过滤方案［J］.计算机科学， 2023， 50（2）： 324-332.
3	李泽慧，徐沛东，邬阳，等.基于大数据的网络安全态势感知平台应用研究［J］.计算机应用与软件， 2023， 40（7）： 337-341.
4	BASS T. Intrusion detection systems and multisensor data fusion ［J］. Communications of the ACM， 2000， 43（4）： 99-105.
5	赵志岩，纪小默.智能化网络安全威胁感知融合模型研究［J］.信息网络安全， 2020， 20（4）： 87-93.
6	CHADANI Y， KASHIBAYASHI T， YAMAMOTO T， et al. Association of right precuneus compression with apathy in idiopathic normal pressure hydrocephalus： a pilot study ［J］. Scientific Reports， 2022， 12： No.20428.
7	张克君，郑炜，于新颖，等.基于PSO-TSA模型的网络安全态势要素识别研究［J］.湖南大学学报（自然科学版）， 2022， 49（4）： 119-127.
8	常利伟，刘秀娟，钱宇华，等.基于卷积神经网络多源融合的网络安全态势感知模型［J］.计算机科学， 2023， 50（5）： 382-389.
9	SOKOL P， STAŇA R， GAJDOŠ A， et al. Network security situation awareness forecasting based on statistical approach and neural networks ［J］. Logic Journal of the IGPL， 2023， 31（2）： 352-374.
10	简玲，叶天鹏，林祥，等.多源融合的大数据网络安全态势感知平台研究与探索［J］.信息网络安全， 2020（S2）： 139-143.
11	MOSHKIN V， YARUSHKINA N. Modeling user portrait using psycholinguistic analysis of social media data ［C］// Proceedings of the 2021 International Science and Technology Conference "FarEastСon 2021"， SIST 275. Singapore： Springer， 2022： 389-399.
12	HOVORUSHCHENKO T， MEDZATYI D， KVANITSKYI D， et al. Characteristics and method of forming the user information portrait ［C］// Proceedings of the 12th International Conference on Dependable Systems， Services and Technologies. Piscataway： IEEE， 2022： 1-6.
13	WU F， LYU F， REN J， et al. Characterizing internet card user portraits for efficient churn prediction model design ［J］. IEEE Transactions on Mobile Computing， 2024， 23（2）： 1735-1752.
14	高世乐，王滢，李海林，等.基于矩阵画像的金融时序数据预测方法［J］.计算机应用， 2021， 41（1）： 199-207.
15	PAN Z， SHAO L， SONG X， et al. Attack portrait and replay based on multi-spatial data in grid system ［C］// Proceedings of the 2021 International Conference on Signal and Information Processing， Network and Computers， LNEE 895. Singapore： Springer， 2022： 267-274.
16	郭娜，魏荣凯，沈焱萍.基于用户画像的大数据环境中异常特征提取［J］.计算机仿真， 2020， 37（8）： 332-336.
17	张昊，杨晓林，袁琪.基于流量大数据的IP画像和异常行为检测算法研究［J］.电力信息与通信技术， 2022， 20（7）： 58-64.
18	MIN T， CAI W. Portrait of decentralized application users： an overview based on large-scale Ethereum data ［J］. CCF Transactions on Pervasive Computing and Interaction， 2022， 4（2）： 124-141.
19	SHENG J， FANG Y， ZHANG G， et al. Cross-domain data link security portrait based attack traceability correlation ［C］// Proceedings of the 4th International Seminar on Artificial Intelligence， Networking and Information Technology. Piscataway： IEEE， 2023： 303-306.
20	EKE C I， NORMAN A A， SHUIB L， et al. A survey of user profiling： state-of-the-art， challenges， and solutions ［J］. IEEE Access， 2019， 7： 144907-144924.
21	徐雅斌，王振超，庄唯.基于命令的黑客画像构建与攻击者识别方法［J］.北京信息科技大学学报（自然科学版）， 2023， 38（2）： 61-68.
22	袁非牛，章琳，史劲亭，等.自编码神经网络理论及应用综述［J］.计算机学报， 2019， 42（1）： 203-230.
23	University of New South Wales. The UNSW-NB15 dataset ［DS/OL］. ［2023-10-10］. .
24	University of California. KDD Cup 1999 data ［DS/OL］. ［2024-03-19］. .
25	洪飞，廖光忠.基于K-Medoide聚类的黑客画像预警模型［J］.计算机工程与设计， 2021， 42（5）： 1244-1249.
26	ZHANG P， TIAN G， DONG H. Research on network intrusion detection based on whitening PCA and CNN ［C］// Proceedings of the 7th International Conference on Smart Grid and Smart Cities. Piscataway： IEEE， 2023： 232-237.

方法	精确率	准确率	F1-score
文献［25］方法	0.790 5	0.886 8	0.831 6
文献［26］方法	0.877 7	0.9242	0.899 6
AE-BiLSTM	0.8978	0.913 4	0.9054

方法	精确率	准确率	F1-score
文献［25］方法	0.790 5	0.886 8	0.831 6
文献［26］方法	0.877 7	0.9242	0.899 6
AE-BiLSTM	0.8978	0.913 4	0.9054

方法	精确率	准确率	F1-score
文献［25］方法	0.796 6	0.670 1	0.701 0
文献［26］方法	0.832 3	0.675 7	0.721 4
AE-BiLSTM	0.8511	0.6966	0.7498

方法	精确率	准确率	F1-score
文献［25］方法	0.796 6	0.670 1	0.701 0
文献［26］方法	0.832 3	0.675 7	0.721 4
AE-BiLSTM	0.8511	0.6966	0.7498

用户行为的实际威胁等级	平均交叉熵损失函数值
用户行为的实际威胁等级	正常	注意	异常	警告
正常	0.6297	0.696 2	0.694 1	0.694 0
注意	0.693 3	0.6515	0.696 7	0.693 8
异常	0.693 4	0.697 1	0.6241	0.693 9
警告	0.692 4	0.698 7	0.696 5	0.6422

基于构建行为画像的网络安全态势感知机制

Network security situation awareness mechanism based on behavioral portrait construction

RichHTML

PDF

PDF (Mobile)

可视化

摘要/Abstract

引用本文

使用本文

图/表 15

参考文献 26

相关文章 15

编辑推荐

Metrics

用户分类	正常行为	攻击行为		合计
用户分类	正常行为	Reconnaissance	DoS	合计
正常	100	0	0	100
注意	75	25	0	100
异常	50	25	25	100
警告	0	0	100	100

用户分类	正常行为	攻击行为		合计
用户分类	正常行为	Probing	DoS	合计
正常	100	0	0	100
注意	75	25	0	100
异常	50	25	25	100
警告	0	0	100	100

[1]	王丹, 张文豪, 彭丽娟. 基于深度学习的智能反射面辅助通信系统信道估计[J]. 《计算机应用》唯一官方网站, 2025, 45(5): 1613-1618.
[2]	陈路, 王怀瑶, 刘京阳, 闫涛, 陈斌. 融合空间-傅里叶域信息的机器人低光环境抓取检测[J]. 《计算机应用》唯一官方网站, 2025, 45(5): 1686-1693.
[3]	龙雨菲, 牟宇辰, 刘晔. 基于张量化图卷积网络和对比学习的多源数据表示学习模型[J]. 《计算机应用》唯一官方网站, 2025, 45(5): 1372-1378.
[4]	游兰, 张雨昂, 刘源, 陈智军, 王伟, 曾星, 何张玮. 基于协作贡献网络的开源项目开发者推荐[J]. 《计算机应用》唯一官方网站, 2025, 45(4): 1213-1222.
[5]	王聪, 史艳翠. 基于多视角学习的图神经网络群组推荐模型[J]. 《计算机应用》唯一官方网站, 2025, 45(4): 1205-1212.
[6]	党伟超, 温鑫瑜, 高改梅, 刘春霞. 基于多视图多尺度对比学习的图协同过滤[J]. 《计算机应用》唯一官方网站, 2025, 45(4): 1061-1068.
[7]	田仁杰, 景明利, 焦龙, 王飞. 基于混合负采样的图对比学习推荐算法[J]. 《计算机应用》唯一官方网站, 2025, 45(4): 1053-1060.
[8]	耿海军, 董赟, 胡治国, 池浩田, 杨静, 尹霞. 基于Attention-1DCNN-CE的加密流量分类方法[J]. 《计算机应用》唯一官方网站, 2025, 45(3): 872-882.
[9]	赖帅, 唐卷, 梁锟, 陈佳盛. 基于Lobatto方法和Legendre多项式的PINN求解微分代数方程[J]. 《计算机应用》唯一官方网站, 2025, 45(3): 911-919.
[10]	袁宝华, 陈佳璐, 王欢. 融合多尺度语义和双分支并行的医学图像分割网络[J]. 《计算机应用》唯一官方网站, 2025, 45(3): 988-995.
[11]	王华华, 范子健, 刘泽. 基于多空间概率增强的图像对抗样本生成方法[J]. 《计算机应用》唯一官方网站, 2025, 45(3): 883-890.
[12]	王地欣, 王佳昊, 李敏, 陈浩, 胡光耀, 龚宇. 面向水声通信网络的异常攻击检测[J]. 《计算机应用》唯一官方网站, 2025, 45(2): 526-533.
[13]	马汉达, 吴亚东. 多域时空层次图神经网络的空气质量预测[J]. 《计算机应用》唯一官方网站, 2025, 45(2): 444-452.
[14]	张翰林, 王俊陆, 宋宝燕. 融合衍生特征的时间序列事件分类方法[J]. 《计算机应用》唯一官方网站, 2025, 45(2): 428-435.
[15]	杨晟, 李岩. 面向目标检测的对比知识蒸馏方法[J]. 《计算机应用》唯一官方网站, 2025, 45(2): 354-361.