網絡空間對抗防御中的智能監(jiān)測技術研究

01對抗防御及當前安全問題描述按照安全機理不同，網絡空間防御可被劃

分為內生防御、保護防御和對抗防御3種。其中，

內生防御是指依靠網絡自身構造和運行因素而

產生及演進的安全效應和能力，來遏制和抗擊

網絡威脅或破壞行為。保護防御是指在網絡空

間發(fā)生的，利用訪問控制、入侵檢測、應急響

應等方法，遏制和抗擊網絡空間威脅或破壞行

為。對抗防御是在網絡空間發(fā)生的，發(fā)現(xiàn)、定位、

溯源、預警、處置、遏制和反擊敵在或通過網

絡空間產生的威脅或破壞行為的各類措施與活

動。其中，

對抗防御主要用于有效遏制國家級、大規(guī)模、高隱蔽攻擊威脅，主要包括以下特點：（1）非合作或弱合作條件防御。合作指的

是被防御者與防御者之間的配合程度。一方面，

大量的被防御者出于政策、體制、思維模式等

考慮，不提供相應配合；另一方面，過度要求

被防御者的配合，也會影響到被防御者的正常

業(yè)務，為此，網絡空間防御的大量業(yè)務會在非

合作或弱合作的條件下開展。這是思考和認識對抗防御的基本出發(fā)點。（2）網絡空間狀態(tài)可觀測。在弱合作和非

合作條件下開展對抗防御，就必須對網絡空間

的狀態(tài)進行掌握，如何對龐大的空間狀態(tài)進行

掌握，需要在現(xiàn)有監(jiān)測手段的基礎上，提出一

種新的空間觀測思路，能夠滿足在帶外對空間

狀態(tài)掌握的需求。（3）融入網絡空間防御大體系。對抗防御

是一種新的防御視角和模式，是現(xiàn)有防御體系

面對新威脅時必然產生的延展和加強，與現(xiàn)有體系相輔相成，互相支撐，共同見效。因此，我們認為網絡空間需要建立完善的

對抗防御機制，將攻擊、威脅、惡意行為進行針

對性刻畫，

在弱合作網絡中實現(xiàn)異常行為檢測。0２網絡流智能監(jiān)測技術綜述目前，各類機器學習、深度學習技術和統(tǒng)計方法常被用于構建不同類型的入侵檢測系統(tǒng)來保護網絡。根據(jù)關注的研究點不同，現(xiàn)有研究大體

可以歸為3類：一是關注修改模型或方法，用于

提升數(shù)據(jù)集分類及檢測準確率；二是關注應用場

景，例如小樣本檢測、非平衡數(shù)據(jù)、網絡流數(shù)據(jù)

增強、特征篩選過濾等；三是關注技術方式，如

使用無監(jiān)督、半監(jiān)督、自監(jiān)督等非完全監(jiān)督式學習方式進行檢測，具體內容如表1所示。表

1現(xiàn)有網絡流監(jiān)測研究工作匯總續(xù)表注：帶

*

具有物聯(lián)網等特殊應用特點，帶

#

為多次測試的平均結果。

2.1基于模型及方法創(chuàng)新的網絡流監(jiān)測研究關注模型以及方法創(chuàng)新的網絡流檢測技術，

往往從模型的結構出發(fā)，對成熟的機器學習、

深度學習算法進行修改、優(yōu)化、更新，以提升

模型魯棒性、泛化性并最終提升檢測性能和準確度。基于遞歸神經網絡的檢測系統(tǒng)的

二分類和多分類性能均優(yōu)于傳統(tǒng)分類方法，

提高

了入侵檢測的準確性，為入侵檢測提供了一種

新的研究方法。Wang等人

首次對加密的網絡

流分類域應用端到端方法，提出了一種具有一

維卷積神經網絡（One-DimensionalConvolutionalNeuralNetwork，1D-CNN）的端到端加密網絡流分類方法，并在公開數(shù)據(jù)集上驗證了其有效性。利用支持向量機和貝葉斯等

方法，對支持向量機的參數(shù)進行優(yōu)化，

提高了

異常檢測的精度和準確度。通過深度學習的方法提升了入侵檢測的準確

性。提出了一種利用主成分分析和隨機森林分類算法來開發(fā)高效入侵檢測系統(tǒng)

（IntrusionDetectionSystem，IDS）

的

方

法。其

中，主成分分析（PrincipalComponentAnalysis，

PCA）將通過減少數(shù)據(jù)集的維數(shù)來幫助組織數(shù)

據(jù)集，可以獲得更高的精度。設

計了基于圖的物聯(lián)網流分類方法（Group-basedInternetofThingsClassification，GBC-IoT），

能

夠通過網絡流分析識別連接的物聯(lián)網設備，處理

開銷更小，準確率更高。給出了基于深度神經網絡（DeepNeuralNetwork，DNN）

的網絡數(shù)據(jù)自動分類的初步結果，驗證了DNN對網絡數(shù)據(jù)分類的潛在有效性。文獻

[10]

和文

獻

[11]

分別提出了基于稀疏自編碼的隨機森林

檢

測

方

法

和

優(yōu)

化

卷

積

神

經

網

絡（ConvolutionalNeuralNetwork，CNN）

和分層多尺度長短期記

憶網絡（LongShort-TermMemory，LSTM）

統(tǒng)一

模型，提高了檢測的準確率?；谀Ｐ图胺椒ǖ木W絡監(jiān)測絕大部分有著

較高的準確率、召回率等分類評估結果，但仍

然存在著資源消耗過大、模型過擬合以及應用

場景單一等問題。如Yin等人提出的遞歸神

經網絡模型會花費更長的訓練時間，通過GPU加速才能得到降低；文獻

[3]

和文獻

[4]

需要大

量的迭代計算才能確定向量機的參數(shù)，同時這

些方法在針對不同場景時往往無法遷移，其對

數(shù)據(jù)的要求較高，可遷移性不強。2.2基于特定應用場景的網絡流監(jiān)測研究由于現(xiàn)有方法普遍對特定數(shù)據(jù)集和場景有

效，對于廣泛網絡流檢測效果有限，所以針對特定場景、特定應用問題的相關研究也被提出。有研究

針對物聯(lián)網網絡流進行分析，分別提出了新的基于深度學習模型的網絡流分類（NetworkTrafficClassification，NTC）技術、合成少數(shù)類（SyntheticMinorityOverSamplingTechnique，SMOTE）技術以及進化神經網絡（EvolutionaryNeural

Networks，

ENN）的模型機制，在數(shù)據(jù)集上的測

試結果表明，檢測的準確率和精確率得到了提升。有研究針對網絡流分類的問題，分別提出了基于分組字節(jié)的兩級結構卷積神經網絡、評

估

審

查

技

術（ProgramEvaluationandReviewTechnique，PERT）框架、基

于

網

絡

仿

真

器

（Mininet）的簡單網絡拓撲仿真框架、基于虛

擬連接（VirtualConnection）

的智能系統(tǒng)原型、

深度學習模型以及二值分類的方法，在實際的

分類測試中對于相應的數(shù)據(jù)集均取得了較高的

準確率。

提出了一種基于混合深度

神經網絡的低速拒絕式服務（Low-rateDenialofService，LDoS）攻擊檢測方法。對實際數(shù)

據(jù)集的測試結果表明，該方法只需要統(tǒng)計網絡

流的時間就能夠有效檢測出波動HTTP網絡流

下的LDoS攻擊。Raikar實現(xiàn)了自動化的網

絡資源管理，減少了人為對流量表征和分析的

干預。針對不同應用場景，網絡流監(jiān)測的模型及

方法在實驗仿真中都有較好的分類效果，但在

實際應用中仍然存在性能較低的情況。以上提

出的流量監(jiān)測方法絕大部分是在實驗室環(huán)境內

使用公共數(shù)據(jù)集進行測試和驗證，對于在現(xiàn)實

場景中的表現(xiàn)還不清楚。例如，就

明確提出面對更加復雜的應用環(huán)境，需要在現(xiàn)

實場景中進行進一步的測試與調整。而且某些低頻攻擊在實際場景中可能

會產生更大的威脅，但是目前的大部分方法對

其的檢測性能較差。2.3基于學習方式的網絡流監(jiān)測研究網絡流精準檢測往往依賴大量的先驗知識，

這導致必須要有大量的標注數(shù)據(jù)才能達到滿意

的識別效果，所以大量研究者將無監(jiān)督、半監(jiān)督、自監(jiān)督等非完全監(jiān)督式學習方法用于數(shù)據(jù)流監(jiān)測?？梢愿鶕?jù)協(xié)議、應用程

序和攻擊類型等角度對這些網絡流進行檢測及

分類。將改進的條件變分自動編碼

器（ImprovedConditionalVariationalAutoEncoder，

ICVAE）

與DNN相結合，

該方法在少數(shù)攻擊和

未知攻擊中也具有較高的檢測率。文獻

[26]、文

獻

[27]

和文獻

[28]

分別提出了基于卷積神經網絡的有效載荷分類方法和基于遞歸神經網絡的

有效載荷分類方法、DeepMAL模型以及無監(jiān)督

學習聚類方法BiGkmeans，無需特征方程以及專

家的手工制作，即可實現(xiàn)網絡入侵檢測。有研

究

分別采用了基于信息增益和多層感知器

神經網絡的輕量級網絡IDS、基于相似度的模糊熵

加

權K最

鄰

近（K-NearestNeighbor，KNN）

的網絡流攻擊檢測方法、深度神經網絡和關聯(lián)

分析技術、深度并行網中網模型、深度聚類算

法與BIRCH聚類算法相結合、深度學習以及疊

加的深度神經網絡，通過有監(jiān)督學習方式對網

絡流進行分類，提高網絡入侵檢測的準確性?；诰W絡流分類研究了各種有監(jiān)督、半監(jiān)

督和無監(jiān)督學習方式。在該過程中，需要對數(shù)

據(jù)集進行測試和驗證，要求模型采用的數(shù)據(jù)集

盡可能完善，包含所有的攻擊類型，這將直接

影響其分類效果。然而，目前還存在及時完善

的數(shù)據(jù)集難以獲取的問題。在模型測試中，都采

用了多種數(shù)據(jù)集進行模型的訓練和測試，采用比KDD99數(shù)據(jù)集更全面的NSL-KDD數(shù)據(jù)集進行測試。但同時，全面數(shù)據(jù)集的構建

往往需要大量的資源和高水平的專家知識，可能會導致資源消耗過多的情況。從當前的研究內容和方法中可以得到，相

比于圖像、語音、信號等數(shù)據(jù)，網絡流的監(jiān)測

往往需要對數(shù)據(jù)更高的理解程度；對數(shù)據(jù)的表

征性、泛化能力要求更好；對特定行為的刻畫

能力要求更高，這也對設計一種新的網絡流表

征與監(jiān)測方法提出了更高的要求。2.4

公開科學問題分析網絡流威脅檢測是網絡防御的重要內容，

而網絡流的特征表征是完成網絡流威脅檢測的

基礎性科學問題。分離度高、表征性強的特征

是網絡行為檢測分類的基礎，

通過規(guī)則、模型、

方法、技術去彌補數(shù)據(jù)復雜性帶來的不足所起

到的作用是十分有限的。對當前一些網絡流

智能監(jiān)測技術進行分析，可以看到這些方法在

特定數(shù)據(jù)集上已經有出色的表現(xiàn)，優(yōu)化在原數(shù)

據(jù)流上進行分析的方法對任務帶來的性能提升

比較有限。因此，本文考慮從頻域、空頻域的

變換域分析出發(fā)，構建流譜理論實現(xiàn)對網絡流

的進一步表征，流譜理論將提供以下科學問題

的解決思路：（1）建立不同威脅行為的流特

征泛化模板，應對不同背景流量下威脅形式多

變性問題；（2）研究多場景應用中的表征矩

陣，

達到對網絡流的本質性理解，

提升表征矩

陣的表達性、可解釋性、可觀測性；（3）構

建對訓練數(shù)據(jù)依賴度低的網絡流行為檢測分類策略，減少對網絡行為數(shù)據(jù)標注的數(shù)量及質量要求。0３流譜理論提出3.1流譜定義及變換域空間在網絡空間中，可觀測的復雜網絡流按照某種時域到某變換域的映射方法，形成的可分

離、可解釋、可計算的特征表示集合，稱為網

絡流譜，簡稱流譜。行為譜是以網絡空間中的

網絡行為作為表征的流譜，以正常網絡行為的

行為譜作為基線，可以區(qū)分出異常網絡行為的

威脅譜。流譜空間的構建過程，考慮將原數(shù)據(jù)

域網絡流映射到新的變換域上，從變換域進行

分析，找到更加本質性的網絡空間行為分析譜，基于流譜理論刻畫網絡行為譜、威脅譜。域，一

般指數(shù)域，設

是由一些復數(shù)組成的集合，

其中包括

0

與1，

如果

中任意兩

個數(shù)的和、差、積、商（除數(shù)不為

0）

仍是中的數(shù)，則稱為一個數(shù)域。常見的數(shù)域包

括復數(shù)域、實數(shù)域、有理數(shù)域等。在數(shù)域的

基礎上，擴展衍生出許多其他域，例如，描

述數(shù)學函數(shù)（物理信號）

對時間關系的時域、

描述二維圖像的空間域以及描述信號隨頻率

變

化關系

的頻

域等。本文

提出了面

向網

絡流時域、空域、頻域、空頻域的流特征表達及分析過程，如圖1所示。圖

1

流譜理論中的網絡流分析域變換框架

網絡流一般由不同數(shù)目的網絡包組成，其

與信號、光、圖像的表示都有一定的差異，在

這里，

定義網絡流的原域空間為

，

其表示了網

絡流最基本的表示形式，而流譜空間則是原始網絡流的變換域空間，

用

表示。針對不同的網絡威脅、攻擊或行為，本文提到的流譜空間變

換可以分為一維時域變換、二維空域變換，其

分別針對網絡流的一維時域輸入f(t)

以及二維

空域輸入f(x,y)，

那么流譜空間的變換描述如

表2所示。表

2

流譜空間變換描述其中，f(t)是輸入網絡流時間特征矩陣（一

維矩陣，向量），

f(x,y)是輸入網絡流空域特征

矩

陣，

r(t,v)、r(x,y,u,v)

為正變換核，

s(x,y,u,v)

為反變換核，

t表示網絡流特征的時間變化序列，v表示變換域上的映射序列，

N表示離散時間序

列的數(shù)目上限。

T(u,v)

為f(x,y)

的正變換，

給定

T(u,v)后，

可以用T(u,v)

的反變換還原f(x,y)。由此，就可以完成不同情況下的網絡流原域空間向變換域空間的變換，如果有：則變換過程是可分的，同時，如果有：那么變換過程就是對稱的。3.2

網絡流特征矩陣在對網絡流進行流數(shù)據(jù)清洗、網絡流切片

等數(shù)據(jù)預處理后，對于不同攻擊技術，分析各

種攻擊技術特征，可以構建其特征矩陣。下面

完成了對網絡威脅特征矩陣F的構建。（1）攻擊戰(zhàn)術矩陣a：首先，對網絡威脅

進行攻擊戰(zhàn)術劃分，構建攻擊戰(zhàn)術行向量。將

涉及的攻擊戰(zhàn)術置1，不涉及的置

0，可以得到攻擊戰(zhàn)術行向量為a。（2）攻擊技術矩陣t：其次，進行攻擊技

術關聯(lián)，構建攻擊技術矩陣。對照攻擊戰(zhàn)術與

攻擊技術表，將涉及技術置1，不涉及的置

0，

即可得到攻擊技術矩陣為t。（3）

網絡流特征矩陣s：

通過分析數(shù)據(jù)集

的報文，

可以提取網絡流數(shù)據(jù)的五元組、包大小、

包持續(xù)時間，然后進行流數(shù)據(jù)清洗，去除無關

數(shù)的數(shù)據(jù)，并對不同網絡包重復上述過程構成

包序列特征集合，最后，經過特征提取和排列得到網絡流特征矩陣。將網絡流包按時間劃分

為n個階段，其中n即為矩陣的t列數(shù)，通過觀

察包頭元素熵變情況等方法，提取每個階段的

網絡流包組的原子攻擊行為，得到網絡威脅的

流特征矩陣s。最終，結合得到的攻擊戰(zhàn)術行向量

α、戰(zhàn)術

關聯(lián)的攻擊技術矩陣t和網絡流特征矩陣s，通

過網絡威脅表征矩陣的計算公式創(chuàng)建最后的目標矩陣，計算過程為：上述求解過程中，

a·t代表網絡威脅的隸屬

關系，

s代表網絡威脅的流特征，

F代表對威脅

攻擊的表征。將網絡威脅的攻擊戰(zhàn)術與攻擊技

術進行關聯(lián)，從可拓展的攻擊技術池中提取攻

擊戰(zhàn)術對應的攻擊技術，構建有映射關系的攻

擊技術矩陣。通過提取的網絡攻擊流特征，可

以使每種攻擊技術映射到相應的技術特征，構

建技術特征矩陣。通過3個矩陣的構建，可以

完整地表征出網絡威脅的攻擊戰(zhàn)術，以及每種

攻擊戰(zhàn)術所對應的攻擊技術，每種攻擊技術所

產生的特征表現(xiàn)。最終得到的網絡威脅表征矩

陣反映了該攻擊對于網絡流特征的影響，作為

區(qū)分該攻擊與其他網絡威脅的依據(jù)。3.3流譜變換首先，對流譜變換的過程進行介紹。假設

在原數(shù)據(jù)空間中，一個網絡流特征向量表示為Xe，在當前空間域下進行空間變換（平移、翻轉

或其他復雜操作）映射到新的空間上，在新的

空間上，其被表示為Xe'

，那么從原空間上的表

示Xe

映射到新的空間上的表示Xe'

的過程就稱為

基變換。假設變換空間上基向量e'

使用原域二維空間中的基向量e可以表示為：則可以通過基向量的映射關系，求得：那么這個變換過程就可以用上式中的矩陣

表示，其包含了由原向量空間向變換域空間映

射的過程，

可以稱為原域到變換域的變換矩陣。

也就是說，對于二維空間中的一種變換過程，

可以通過矩陣表示出來，實質上是兩個基向量

的系數(shù)組成的矩陣，可以稱為系數(shù)矩陣或表征

矩陣。同理，將基于基向量的變換映射到基于矩

陣的變換上，就可以找到矩陣的變換基。其變

換的目的是：改變原數(shù)據(jù)的表現(xiàn)形式，原數(shù)據(jù)

并沒有發(fā)生改變。針對矩陣的變換域空間，可

以從線性映射變換給出定義。假設有M個N維

向量，將其變換為由R個N維向量表示的新空

間（空間變換域）中，則可以將原空間向量表

示為一個矩陣F，而新空間的變換核表示為：

其中，pi是一個行向量，

表示新的變換域空

間上的第i個基向量，

qj是組成原矩陣的列向量，

那么就可以實現(xiàn)式（8）描述的映射關系，這樣

矩陣F就完成了從一個變換域映射到新的空間的過程：由于其變換過程中的算子為相乘，完成了

矩陣的基本線性映射，也就是說，對于一個原

域空間上的矩陣，

都可以看作由n個列向量組成，

那么對矩陣的變換映射實際上就是對每一個列

向量做新的空間

上的基變換映射，任意一個

網絡流（表征為矩陣形式）都可以被表征到另一個空間中，而對于更復雜的情況，定義一個新的算子

，對于網絡流矩陣：其中，

F表示原始網絡流特征矩陣，

Score表

示新的空間S上的一組基，

S就是矩陣在變換域

上的系數(shù)矩陣，通過系數(shù)矩陣可以對原域空間

上的行為進行表達。在現(xiàn)有網絡流監(jiān)測研究工作中，涉及變換

域的絕大多數(shù)為時域變換，應用卷積神經網絡

對網絡流進行監(jiān)測時，多基于二維時域變換，

采用二維卷積核來提取特征。文獻

[20]

將多個

卷積池模塊與具有字節(jié)友好大小的多個過濾器

進行級聯(lián)，形成兩層架構：第一層堆疊多個卷

積池模塊，以從每個分組的字節(jié)中提取特征；

第二層使用一層二維卷積濾波器將在包數(shù)的維數(shù)上執(zhí)行卷積操作的滑動，提取包級的特征。文獻

[26]

提出了一種基于卷積神經網絡的有效

載荷分類方法，其結構中包含3個卷積層：第

一卷積層從原始數(shù)據(jù)中提取底層特征；第二卷

積層從低級特征中提取高級特征，其卷積核大

小逐漸減小；第三卷積層重新調整卷積核尺寸

后提取更精細的特征。由此可見，每個卷積層

都包含不同維數(shù)大小的二維卷積核，從單個角

度提取特征。0４面向流譜變換的指標評估體系針對

流

譜

構

建過

程

中

的

變

換

映

射

過

程，

需

要構建

一個合理

有效

的評

估體

系，完

成流

譜

空間同

構過

程的

可靠

性判

斷，以

提高

流譜

對網絡流的表征性，并提升檢測的準確率，降

低冗余

度。本

節(jié)將對流

譜理

論指

標評

估體

系

進行討

論，主

要從可分

離性

和表

征性

兩個方面展開。（1）可分離性：可分離性描述了在一個拓

撲空間里，任意的點、子集等彼此之間能被不

相交的開集分開的程度。在流譜理論中，主要

討論基底表征矩陣的可分離性，可以分為面向

數(shù)據(jù)和面向結果的可分離性問題。①面向數(shù)據(jù)的可分離性：針對數(shù)據(jù)的可分

離性，高維數(shù)據(jù)通過數(shù)據(jù)壓縮后映射到低維子

空間，此時針對低維數(shù)據(jù)進行可分離性的分析

更直觀?？煞蛛x性可以從兩種分布來考慮：一

是同類特征空間壓縮類內間距盡可能?。欢?/p>

不同類特征空間拉伸類間空間盡可能大。為了度量這種特征占據(jù)空間的大小，可以采用編碼

長度公式來進行測量。常見的編碼長度測量方法如表3所示，其中，

A和B為兩點，其坐標為A(x1,y1

)，B(x2,y2)。表

3

常見編碼長度測量方法②面向結果的可分離性：面向結果的可分

離性是指將基底矩陣數(shù)據(jù)送入單層感知機、循

環(huán)網絡等可分類網絡中，依據(jù)精確率、準確度

等度量指標直接從分類結果上判斷數(shù)據(jù)是否存在可分性，常見的分類度量指標如表4所示。表

4

常見分類度量指標其中，

TP表示被正確分類的正例的數(shù)量，F(xiàn)P表示負例被錯分為正例的數(shù)量，

FN表示正例

被錯分為負例的數(shù)量，

TN表示被正確分類的負

例的數(shù)量。精確率是針對預測到的向量化的特征而言

的，指在所有被預測為正的樣本中實際為正的

樣本概率。召回率是針對原始數(shù)據(jù)而言，在實際的特征提取并向量化后，得到的結果與預測所能向量化的結果的概率。準確率是指對于給

定的測試數(shù)據(jù)集，分類器正確分類的樣本數(shù)與

總樣本數(shù)之比，代表分類器對整個樣本判斷正

確的比重。

F1分數(shù)是精確率和召回率的調和平

均數(shù)，綜合對精確率、召回率進行評估。精確率、召回率和準確率是機器學習、深度

學習研究領域中最為常用的評估指標。Anish等

人

[4]

對比了入侵檢測系統(tǒng)采用不同分類方法下

的檢測性能，

選取準確率作為評估指標，

對比分

析后發(fā)現(xiàn)支持向量機（SupportVectorMachines，SVM）

算法相比樸素貝葉斯算法對于惡意網絡流

的分離度更好。Bendiab等人

提出了一種新的

物聯(lián)網惡意軟件流分析方法，選取精確率、召

回率和準確率進行評估，證明了其檢測惡意軟

件流的有效性。在流譜理論中，基底矩陣的分離結果將直

接影響空域上對于網絡流行為的表征。從分離

結果來看，可以將基底矩陣送入分類模型中，

根據(jù)精確率、召回率、準確率、

F1

分數(shù)等分類度量指標評估可分離性。（2）表征性：表征性是指在將原始數(shù)據(jù)轉

換成應用數(shù)據(jù)的過程中，應用數(shù)據(jù)更容易被有

效分析利用的程度。流譜理論旨在將網絡空間“流”從“時域”

映射到“頻域”，將不同類型的業(yè)務行為固化

成“譜”，然后在流譜空間上對網絡空間流進

行有效直接的觀測、分析，從而對所有行為進

行歸類表達，

凸顯異常行為，

把握整體安全態(tài)勢。

在這個轉換映射過程中，流譜空間信息流的表

征性將直接影響業(yè)務行為歸類的準確性，

由此，需要綜合評估流譜空間信息流能夠被理解、能夠使用可認知方法進行解釋呈現(xiàn)的程度，可解釋性越高，表征性也就越高。機器學習算法可以看成是一個黑盒子模型，

訓練數(shù)據(jù)流入黑盒子，

訓練出一個函數(shù)（模型），

輸入新的數(shù)據(jù)到該函數(shù)得出預測結果。關于模

型的可解釋性，可以通過一些與模型無關的可

解釋模型，對原本的黑盒模型進行解釋，并生

成度量值作為度量空間的組成部分。常用的評估方法如表5所示。表

5

常見可解釋評估方法a(i)為樣本i到同簇其他樣本的平均距離，b(i)為樣本i到其他某簇的所有樣本的平均距

離，

Jcv(θ)

為高偏差時交叉驗證集代價函數(shù)，Jtrain(θ)為測試集代價函數(shù)，

M是針對樹模型分析中樹的數(shù)量。0５流譜理論在對抗防御中的可行性驗證本

節(jié)

在

網

絡

威脅

數(shù)

據(jù)

集

上，

對

流

譜

理

論

在面向針對性威脅的對抗防御場景中的應用

可行性進行驗證。實驗中，選取了包含不同攻擊類別的網絡流數(shù)據(jù)集進行流譜映射實驗。通過應用可行性分析證明利用流譜理論構建

網

絡對抗

防御

體系

的有

效性。

使用

的數(shù)

據(jù)集

中包含了普通的和常見惡意網絡流，以PCAP

包的形式存儲，實現(xiàn)的攻擊包括暴力FTP、

暴力SSH、DoS、Heartbleed、Web攻擊、滲透、

僵尸網絡和DDoS。每個樣本數(shù)據(jù)包含80

多

個特征。

從優(yōu)化目標出發(fā)，在劃分的訓練集上顯式

構建多層映射網絡，正向構建可解釋模型并將

原始特征映射到新的變換空間，完成500

次迭

代過程。在多層映射網絡模型構建完成后，將特征

矩陣同構到新的變換空間中，其數(shù)據(jù)的分離性得到了明顯的提升，如圖2所示。

圖

2

流譜熱力圖

在原始網絡流熱力圖中，不同類別的流之

間存在不同程度的相似度，在經過流譜的同構

映射后，不同類別網絡流間的相似度被削弱，在圖2中表現(xiàn)為只剩下對角線上的網絡流（同

類間）存在相似性。