Network security situation awareness mechanism based on behavioral portrait construction

doi:10.11772/j.issn.1001-9081.2024010141

Abstract

Abstract:

Network Security Situation Awareness （NSSA） can estimate the status of network comprehensively and find potential risks， and the key of it is accurate and comprehensive analysis of user behaviors. Building a behavioral portrait can reflect the important features of users， helping managers grasp the security status of network and respond accordingly. However， the mainstream behavioral portrait construction methods have shortcomings such as insufficient extraction of key information in portraits and ignoring the correlation among features. Therefore， an NSSA mechanism based on behavioral portrait construction was designed. In this mechanism， data mining was used to obtain statistical feature labels， Bi-directional Long Short-Term Memory （BiLSTM） neural network was used to generate behavior feature labels of user behaviors， and the statistical feature labels and behavioral feature labels of user behaviors were combined to construct behavioral portrait. After constructing behavioral portrait， the similarity between the user behavior sequence label features and the known behavioral portrait labels was calculated by a cross entropy loss function to determine the user’s threat level based on the threat level of the behavioral portrait. Experimental results on UNSW-NB15 dataset show that the proposed method achieves the precision of 89.78%， which is improved by 2.01 to 10.73 percentage points compared with those of the machine learning methods such as K-Medoids and the Principal Component Analysis （PCA） -Convolutional Neural Network （CNN）. It can be seen that the proposed portrait construction method is more sensitive to the correlation among behaviors， can model behavior feature labels for different portraits specifically， improves classification accuracy of threat levels， and realizes NSSA.

Key words: behavioral portrait, Bi-directional Long Short-Term Memory (BiLSTM), neural network, Network Security Situation Awareness (NSSA), behavioral modeling, AutoEncoder (AE)

摘要：

网络安全态势感知（NSSA）可全面评估网络状态并发现潜在风险，其关键是对网络用户的行为准确、全面地进行分析。构建行为画像能反映出用户的关键特征，有助于管理人员掌握网络的安全状况并有针对性地予以响应。然而，主流的行为画像构建方法对画像的关键信息提取能力不足且忽略了特征之间的关联性。因此，设计了一种基于构建行为画像的NSSA机制。该机制通过数据挖掘获取统计特征标签，利用双向长短期记忆（BiLSTM）神经网络对用户行为的建模能力形成行为特征标签，并综合用户行为的统计特征标签和行为特征标签共同构建行为画像。画像构建完成后，通过交叉熵损失函数计算用户行为序列标签特征与已知行为画像标签之间的相似度，进而根据行为画像的威胁等级确定用户的威胁等级。在UNSW-NB15数据集上进行的实验结果表明，所提方法对行为分类的精确率达到89.78%，与K-Medoids和主成分分析（PCA）-卷积神经网络（CNN）等机器学习方法相比提升了2.01~10.73个百分点。可见，所提画像构建方法对行为间关联更敏感，能特异性地建模不同画像的行为特征标签，提升威胁等级的分类精度，并实现网络安全态势感知。

关键词: 行为画像, 双向长短期记忆, 神经网络, 网络安全态势感知, 行为建模, 自动编码器

CLC Number:

TP309

Chenfei WANG, Liyang XU, Huiqin LI, Jianxun MA. Network security situation awareness mechanism based on behavioral portrait construction[J]. Journal of Computer Applications, 0, (): 118-122.

王晨飞, 徐李阳, 李慧芹, 马建勋. 基于构建行为画像的网络安全态势感知机制[J]. 《计算机应用》唯一官方网站, 0, (): 118-122.

Figures/Tables 15

References 26

1	席荣荣，云晓春，金舒原，等.网络安全态势感知研究综述［J］.计算机应用， 2012， 32（1）： 1-4， 59.
2	杨昕，李更新，李挥. EHFM：一种面向多源网络攻击告警的高效层级化数据过滤方案［J］.计算机科学， 2023， 50（2）： 324-332.
3	李泽慧，徐沛东，邬阳，等.基于大数据的网络安全态势感知平台应用研究［J］.计算机应用与软件， 2023， 40（7）： 337-341.
4	BASS T. Intrusion detection systems and multisensor data fusion ［J］. Communications of the ACM， 2000， 43（4）： 99-105.
5	赵志岩，纪小默.智能化网络安全威胁感知融合模型研究［J］.信息网络安全， 2020， 20（4）： 87-93.
6	CHADANI Y， KASHIBAYASHI T， YAMAMOTO T， et al. Association of right precuneus compression with apathy in idiopathic normal pressure hydrocephalus： a pilot study ［J］. Scientific Reports， 2022， 12： No.20428.
7	张克君，郑炜，于新颖，等.基于PSO-TSA模型的网络安全态势要素识别研究［J］.湖南大学学报（自然科学版）， 2022， 49（4）： 119-127.
8	常利伟，刘秀娟，钱宇华，等.基于卷积神经网络多源融合的网络安全态势感知模型［J］.计算机科学， 2023， 50（5）： 382-389.
9	SOKOL P， STAŇA R， GAJDOŠ A， et al. Network security situation awareness forecasting based on statistical approach and neural networks ［J］. Logic Journal of the IGPL， 2023， 31（2）： 352-374.
10	简玲，叶天鹏，林祥，等.多源融合的大数据网络安全态势感知平台研究与探索［J］.信息网络安全， 2020（S2）： 139-143.
11	MOSHKIN V， YARUSHKINA N. Modeling user portrait using psycholinguistic analysis of social media data ［C］// Proceedings of the 2021 International Science and Technology Conference "FarEastСon 2021"， SIST 275. Singapore： Springer， 2022： 389-399.
12	HOVORUSHCHENKO T， MEDZATYI D， KVANITSKYI D， et al. Characteristics and method of forming the user information portrait ［C］// Proceedings of the 12th International Conference on Dependable Systems， Services and Technologies. Piscataway： IEEE， 2022： 1-6.
13	WU F， LYU F， REN J， et al. Characterizing internet card user portraits for efficient churn prediction model design ［J］. IEEE Transactions on Mobile Computing， 2024， 23（2）： 1735-1752.
14	高世乐，王滢，李海林，等.基于矩阵画像的金融时序数据预测方法［J］.计算机应用， 2021， 41（1）： 199-207.
15	PAN Z， SHAO L， SONG X， et al. Attack portrait and replay based on multi-spatial data in grid system ［C］// Proceedings of the 2021 International Conference on Signal and Information Processing， Network and Computers， LNEE 895. Singapore： Springer， 2022： 267-274.
16	郭娜，魏荣凯，沈焱萍.基于用户画像的大数据环境中异常特征提取［J］.计算机仿真， 2020， 37（8）： 332-336.
17	张昊，杨晓林，袁琪.基于流量大数据的IP画像和异常行为检测算法研究［J］.电力信息与通信技术， 2022， 20（7）： 58-64.
18	MIN T， CAI W. Portrait of decentralized application users： an overview based on large-scale Ethereum data ［J］. CCF Transactions on Pervasive Computing and Interaction， 2022， 4（2）： 124-141.
19	SHENG J， FANG Y， ZHANG G， et al. Cross-domain data link security portrait based attack traceability correlation ［C］// Proceedings of the 4th International Seminar on Artificial Intelligence， Networking and Information Technology. Piscataway： IEEE， 2023： 303-306.
20	EKE C I， NORMAN A A， SHUIB L， et al. A survey of user profiling： state-of-the-art， challenges， and solutions ［J］. IEEE Access， 2019， 7： 144907-144924.
21	徐雅斌，王振超，庄唯.基于命令的黑客画像构建与攻击者识别方法［J］.北京信息科技大学学报（自然科学版）， 2023， 38（2）： 61-68.
22	袁非牛，章琳，史劲亭，等.自编码神经网络理论及应用综述［J］.计算机学报， 2019， 42（1）： 203-230.
23	University of New South Wales. The UNSW-NB15 dataset ［DS/OL］. ［2023-10-10］. .
24	University of California. KDD Cup 1999 data ［DS/OL］. ［2024-03-19］. .
25	洪飞，廖光忠.基于K-Medoide聚类的黑客画像预警模型［J］.计算机工程与设计， 2021， 42（5）： 1244-1249.
26	ZHANG P， TIAN G， DONG H. Research on network intrusion detection based on whitening PCA and CNN ［C］// Proceedings of the 7th International Conference on Smart Grid and Smart Cities. Piscataway： IEEE， 2023： 232-237.

方法	精确率	准确率	F1-score
文献［25］方法	0.790 5	0.886 8	0.831 6
文献［26］方法	0.877 7	0.9242	0.899 6
AE-BiLSTM	0.8978	0.913 4	0.9054

方法	精确率	准确率	F1-score
文献［25］方法	0.790 5	0.886 8	0.831 6
文献［26］方法	0.877 7	0.9242	0.899 6
AE-BiLSTM	0.8978	0.913 4	0.9054

方法	精确率	准确率	F1-score
文献［25］方法	0.796 6	0.670 1	0.701 0
文献［26］方法	0.832 3	0.675 7	0.721 4
AE-BiLSTM	0.8511	0.6966	0.7498

方法	精确率	准确率	F1-score
文献［25］方法	0.796 6	0.670 1	0.701 0
文献［26］方法	0.832 3	0.675 7	0.721 4
AE-BiLSTM	0.8511	0.6966	0.7498

用户行为的实际威胁等级	平均交叉熵损失函数值
用户行为的实际威胁等级	正常	注意	异常	警告
正常	0.6297	0.696 2	0.694 1	0.694 0
注意	0.693 3	0.6515	0.696 7	0.693 8
异常	0.693 4	0.697 1	0.6241	0.693 9
警告	0.692 4	0.698 7	0.696 5	0.6422