网络空间对抗防御中的智能监测技术研究

摘 要：

网络空间数据流观测与威胁行为分析是国家网络空间安全防御中的重要研究方向。为了针对国家网络空间大规模数据流观测和不断涌现的网络威胁对抗防御的重大需求开展研究，在深入调研现有网络流智能检测技术和公开科学问题的基础上，并结合已有研究成果的基础上借鉴电磁世界频谱、光谱理论等理论支撑，并围绕"域变换""谱推导"两大核心思路开展深入探索与创新性工作提出网络空间流谱基础理论框架。在此基础上给出了流谱、变换空间的定义以及相关的数学表达式，并从可分离性和表征性两个维度构建面向流谱变换的指标评估体系；基于实验数据进行基本可行性分析并进行了初步验证工作；通过本研究尝试从新的视角和对抗性思维的角度对网络空间及网络安全问题进行系统化认识与研究，并为相关领域的同行提供参考依据和实践指导方案

内容目录：

1 对抗防御及当前安全问题描述

2 网络流智能监测技术综述

2.1 基于模型及方法创新的网络流监测研究

2.2 基于特定应用场景的网络流监测研究

2.3 基于学习方式的网络流监测研究

2.4 公开科学问题分析

3 流谱理论提出

3.1 流谱定义及变换域空间

3.2 网络流特征矩阵

3.3 流谱变换

4 面向流谱变换的指标评估体系

5 流谱理论在对抗防御中的可行性验证

注

当前主要针对网络流数据原始分布的研究方法旨在深入解析其特征；一般采用单一五元组所定义的一条网络流量作为研究基准；一条网络流量通常由大量离散的数据包构成；其中若某条特定流量在空间分布特征或统计特性上与典型背景流量呈现显著差异，则可将其视为具有异常特性的流量；反之若其空间布局及行为特征与已有典型模式高度契合，则属于常规类型；值得注意的是现有研究多集中于基于时空域的空间特征分析；然而在实际应用场景中由于带宽大、样本量小以及动态变化 etc. 等复杂因素限制；传统的模型或规则往往难以达到预期效果；因此亟需从基础理论创新入手探索新的刻画手段以应对大带宽小样本频演化等条件下威胁行为的有效分析

我们主张应在现有防御架构上构建新的网络安全防护体系，并建议采用对抗性思维框架进行审视与思考。基于此提出"流谱"这一理论框架。该理论定义如下：在可观测的复杂网络流中按照某种时域到变换域的映射关系形成的一组可分离、可解释与可计算的特征空间集合即为'流谱'亦称'网路空问中的流动特征谱'简称'流动特征谱'或简称为'流谱''具体而言针对网络安全防护的应用方向则表现为特定领域的"行为谱"即以网络行为特征作为核心表征的一类流动特征集合。若将正常运行状态作为基准参考那么由此可直接推导出"威胁谱"概念从而构建起完整的网络安全威胁分析体系

本文围绕网络空间防御中的智能检测技术和流谱表征技术展开了深入研究，并按照逻辑框架进行了系统阐述：首先，在第1章中阐述了对抗防御的理念及其核心内涵；其次，在第2章中从方法论、应用场景及技术发展现状等多个维度对现有的网络流智能检测技术进行了对比分析；第三章则着重提出了流谱的基本理论体系，并给出了流谱及其变换域空间的关键定义；第四章基于可分离性和表征性原则构建了面向流谱变换的技术评估体系，并通过公开数据集进行了仿真实验验证；最后在第5章总结了全文的主要研究成果及未来展望。

01对抗防御及当前安全问题描述

根据安全机理的不同, 网络空间防护可被归类为内生防御 (Intrusive Defense)、保护性防御 (Protective Defense) 以及对抗性防御 (Antagonistic Defense) 这三类。其中, 内生国防基于网络自身构建和发展形成的自我防护机制与能力, 主要用于阻止并抵御潜在威胁行为的发生; 保护性defense则依赖于访问权限管理、入侵检测系统以及应急响应机制, 旨在遏制潜在威胁行为; 而对抗性defense则涉及多维度的威胁识别与应对策略, 包括发现未知威胁源定位潜在攻击位置进行溯源追踪, 发布预警信息协调相关单位共同应对敌方潜在威胁活动等关键环节, 其核心功能是有效遏制国家级及大规模高隐蔽性的网络攻击行为

（1）非协作或弱协作条件下防御策略的实施。这里的"协作"指的是被防御主体与防御主体之间的相互配合程度。一方面，在政策、体制以及思维模式等多方面的因素下，相当多的被防御主体缺乏相应的配合；另一方面，在过分强调被防御主体的配合要求时，则容易导致其业务运营受到影响；因此，在对抗性网络安全 defense中开展业务操作时，默认会选择非协作或弱协作的环境进行操作。这是对抗性网络安全 defense理论的基础性认识之一。（2）网络空间状态的可感知性问题在弱协作及非协作条件下开展对抗性网络安全 defense时所面临的核心挑战在于：如何有效感知并掌握庞大的网络空间状态信息？为此，在现有监测手段的基础上提出一种新的网络空间观测思路具有重要意义：这种新思路不仅要满足当前环境下对网络空间状态信息的需求，并且能够在带外环境条件下实现对空间状态信息的有效感知。（3）构建网络安全防护体系的重要性和必要性在对抗性网络安全 defense作为一种新型的defense视角和模式出现后，在面对现有defense体系下新型威胁时所表现出的独特作用和价值：它不仅能够起到补充和完善原有defense体系的作用，并且能够与现有体系形成相辅相成的关系：两者相互补充、共同完善现有的security防护水平

因此

0２网络流智能监测技术综述

目前，多种机器学习、深度学习技术和统计分析工具被广泛应用于开发多种类型的入侵检测系统以保障网络安全。根据研究的关注重点不同，现有研究可分为三大类：一类是围绕改进模型或算法展开的研究以提高数据集分类准确率和检测效率；二是聚焦于实际应用场景的研究包括小样本检测、非平衡数据处理以及网络流数据增强等技术；三是探讨采用无监督、半监督等非完全监督学习技术以提升检测效果，并如表1所示列举了相关具体内容。

表 1 现有网络流监测研究工作汇总

续表

注：带 * 具有物联网等特殊应用特点，带 # 为多次测试的平均结果。

2.1 基于模型及方法创新的网络流监测研究

该类网络流检测技术主要侧重于模型及方法创新的研究方向，在实际应用中通常会基于模型架构进行优化设计，并对现有的机器学习与深度学习算法进行改进与升级工作以期达到提升算法稳定性和泛化能力的目的，并最终实现更高的检测效率与识别精度目标。

Yin 等人利用递归神经网络构建入侵检测系统，在二分类和多分类任务中表现出色，并显著提升了入侵检测的准确率。该系统为入侵检测提供了新的研究思路。Wang 等人开创性地首次将加密网络流应用于端到端方法，并提出了一种采用一维卷积神经网络（One-Dimensional Convolutional Neural Network, 1D-CNN）的端到端加密网络流分类方法，在公开数据集上进行了有效性验证。

文献 [3] 和文献 [4] 采用了支持向量机与贝叶斯等技术手段对支持向量机参数进行优化, 从而显著提升了异常检测的精确度与准确性. 文献 [5] 和文献 [6] 则通过深度学习方法实现了入侵检测系统的性能提升. Waskle 等人开发了一种基于主成分分析与随机森林分类算法的新颖入侵检测系统（Intrusion Detection System, IDS）方案. 其中, 主成分分析（Principal Component Analysis, PCA）通过降维处理帮助整理数据集, 并能获得更高的检测精度. Bassene 等人设计了一种基于图论的物联网流分类方法（Group-based Internet of Things Classification, GBC-IoT）, 可以通过网络流分析识别连接型物联网设备, 同时具有较低的处理开销并显著提升分类准确率. Kwon 等人展示了基于深度神经网络（Deep Neural Network, DNN）的网络数据自动分类初试成果, 并验证了DNN在网络安全领域潜在的应用价值. 文献 [10] 和文献 [11] 分别提出了一种基于稀疏自编码器实现随机森林入侵检测的方法以及一种将优化卷积神经网络（Convolutional Neural Network,CNN）与分层多尺度长短期记忆网络（Long Short-Term Memory,LSTM）相结合的新颖统一模型方案, 这些改进措施均能有效提升入侵检测系统的准确率

基于模型及方法的网络监测系统普遍展现出较高的分类准确率、召回率等关键评估指标；然而也面临着资源消耗过高、模型容易过拟合以及应用场景较为单一等挑战；例如Yin等人所提出的递归神经网络架构需要较长的时间进行训练；而通过GPU加速则能够有效缓解这一问题；文献[3]和文献[4]则需要经过大量的迭代计算来确定支持向量机的具体参数；这些方法在应用于不同场景时往往往往缺乏良好的迁移性

2.2 基于特定应用场景的网络流监测研究

由于现有方法在广泛的数据集和场景上表现出色，在大规模网络流量检测方面表现欠佳；鉴于此，在针对特定应用场景及应用问题的研究也相应地被提出。

针对物联网网络流进行深入分析的研究人员，在数据集中分别提出了基于深度学习模型的新网络流分类技术（Network Traffic Classification, NTC）、合成少数类技术（Synthetic Minority Over Sampling Technique, SMOTE）以及进化神经网络模型机制（Evolutionary Neural Networks, ENN）。这些创新性方法在实验测试中均取得了显著效果：通过对比实验结果表明，在真实数据集上的应用检测性能在准确率和精确率方面均有所提升。此外，在针对网络流分类问题的研究中，在团队内部又提出了多种创新性解决方案：包括基于分组字节设计的两级结构卷积神经网络框架（Two-Level Structural Convolutional Neural Network Framework Based on Grouped Bytes）、采用PERT框架构建的评估审查体系（Program Evaluation and Review Technique, PERT）、基于Mininet虚拟化网络拓扑仿真框架（Mininet-Based Topological Simulation Framework for Network Simulators）、基于虚拟连接构建的智能系统原型框架（Intelligent System Prototype Based on Virtual Connections）、深度学习预测模型以及二值分类算法等方法。这些方法经过实际测试后，在各类数据集上均获得了较高的分类准确度。其中Xu等人[19]提出的混合深度神经网络低速拒绝式服务攻击检测方法通过实证研究显示：仅需对流量时间序列进行统计即可有效识别波动状态下的HTTP流量异常攻击行为。此外，在Raikar的研究成果中实现了自动化的资源调度管理功能：其创新性地实现了对流量表征与分析过程的人为干预程度的有效降低

针对不同场景的应用需求，在实验仿真中网络流监测技术手段展现出良好的分类能力。
然而，在实际应用过程中这些技术手段仍受到限制或表现欠佳。
目前所提出的方法主要基于实验室环境下使用公共数据集进行测试与验证，
对于其在现实场景中的具体表现尚且尚未完全掌握。
研究表明，
周等人明确指出，
面对更为复杂的应用场景，
需要进一步开展实现场景下的测试与优化工作。
另有研究表明，
余等人指出，
某些低频攻击在现实场景中的潜在危害可能远高于预期，
但目前多数技术手段对此类攻击的检测性能仍存在明显不足。

2.3 基于学习方式的网络流监测研究

网络流精准检测主要依赖丰富的先验知识。由于需要满足较高的识别效果要求，在实际应用中必须具备大量标注数据的支持。因此许多研究者将无监督、半监督、自监督等非完全监督式学习方法应用于数据流监测

文獻[22]、文獻[23]和文獻[24]各自提出了一種基於半監督學習方案，并從协议類型、應用程式類型及攻擊類型等方面對這些網絡流量進行檢測與分類。Yang等人将改進後的條件變分自編碼器(ICVAE)與深度神經網路(DNN)結合應用，在少數攻擊與未知攻擊情境下檢測率較高。文獻[26]、文獻[27]和文獻[28]則分別提出基於卷積神經網路的有效载荷分類方法、基於遞歸神經網路的有效载荷分類方法、DeepMAL模型以及無監督學習聚類方法BiGkmeans等技術；该研究无需构建特征方程，并且不需要專家的手工參與即可實現網絡入侵檢測系統的建立。有多篇研究工作采用了基于信息增益算法的轻量級网络 IDS、基於相似度計算的模糊熵加权K-鄰居(KNN)算法、“深度神經網路”、“深度並行網中網模型”、“深度聚类算法與BIRCH聚类算法結合”的深度學習技術、“深度學習技術與堆疊式的深度神經網路”的組合方式，并采用有監督學習方式對網絡流量進行分類總結,以提高網絡入侵檢測系统的準確性。

基于网络流的技术视角对有监督学习、半监督学习以及无监督学习方式进行了深入聚焦。在这一过程中, 为了确保模型的有效性, 数据集必须具备高度的代表性, 必须涵盖所有可能的攻击类型, 这一特性直接影响着分类系统的性能表现。然而, 当前面临的主要挑战是难以获取及时完善的训练数据。在模型测试阶段, Li等研究者、Yang等研究者以及Hemalatha等研究者[34]均采用了多组不同数据集进行训练与测试工作；而Gao等研究者则采用了更为全面的NSL-KDD数据集来进行实验验证；值得注意的是, 建立一个包含全部攻击类型的完整数据集往往需要投入大量资源并且依赖高水平的专业知识储备, 这一过程可能会导致资源利用效率较低的问题出现。

基于当前研究内容与方法的分析可知，在涉及图像、语音以及信号等典型数据类型时的数据处理方面相对较为成熟；然而，在网络流监测领域中，则需要面对更为复杂的挑战：不仅需要具备更强的数据表征能力以及更好的泛化性能；同时，在具体事件特征的表现描述方面也存在更高标准的要求；这也使得针对网络流监测特性开发新型的数据表征与检测技术面临着更为严峻的技术挑战。

2.4 公开科学问题分析

网络流威胁检测被视为网络防御体系中的关键环节，在网络安全领域具有重要地位；其中，特征表征作为实现网络流威胁检测的基础性科学问题至关重要。具有高区分度和强表征能力的特征在实现网络行为检测与分类中起着基础性作用；单纯依靠规则、模型、方法和技术来弥补数据复杂性带来的不足所能发挥的作用较为有限；因此，在深入研究当前智能监测技术的基础上发现，在特定的数据集上这些方法已经展现出了显著的优势；然而进一步优化基于原始数据流量的分析方法所能带来的性能提升空间较为有限；为此提出了一种新的研究思路即构建流谱理论以实现对网络流量特征的更深入刻画；该理论将从以下三个维度展开探讨：其一建立多维度下的不同威胁行为特征泛化模板以此应对复杂多变的不同背景流量；其二研究多场景应用中表现矩阵的相关特性进而提升矩阵本身的可解释性和实用性；其三探索一种低依赖训练数据条件下的行为检测分类策略从而有效降低对标注数据质量及数量的要求

0３流谱理论提出

3.1 流谱定义及变换域空间

在网络空间中

一般指数型的一般性领域中 设是由一系列复数组成的一个集合 其中包含两个特殊元素：0和1 如果该集合中的任意两个元素进行加减乘除运算（除法时除以零的情况除外）所得的结果仍然属于该集合 则称该集合为一个"number field" 常见的例子包括复平面、实轴以及有理分式场等 在研究基础理论的基础上 延伸出了许多其他领域 包括信号分析中的时频分析概念等 文章提出了一种网络流特征在时空频相关领域的统一表达方法及其实现过程 如图1所示。

图 1 流谱理论中的网络流分析域变换框架

通常由若干个网络数据包构成的网络流，在表达上与信号、光、图像等具有显著的不同之处。为便于分析研究，在此定义网络流的原域空间为F(t)表征其基本特征形式；而流谱空间则可视为原始网络流经由特定变换过程所生成的域空间，并以F(x,y)的形式进行表征。针对不同的网络安全威胁及攻击行为类型，在本文提出的流谱空间变换中可将其划分为一维时间域变换以及二维空域变换两类；其中针对一维时序输入数据f(t)的一维时间域变换及其二维位置信息输入f(x,y)所对应的空域变换均有所涵盖；而这些不同类型的时空域变换关系均可通过表2的具体内容进行描述。

表 2 流谱空间变换描述

其中，
f(t) 表示输入网络流的时间特征向量，
f(x,\ y) 代表输入网络流的空间特征矩阵，
r(t,\ v) 和 r(\ x,\ y,\ u,\ v) 分别为正变换核，
s(\ x,\ y,\ u,\ v) 代表反变换核，
t 表示时间变化序列，
v 代表频率域中的变量，
N 则表示离散时间序列的最大数量。
T(\ u,\ v) 为 f(\ x,\ y) 的正频谱，
给定 T(\ u,\ v) 后，
可以通过其反变换恢复出 f(\ x,\ y).

通过以下方式就可以实现不同情况下的网络流原域空间到变换域空间的转换

则变换过程是可分的，同时，如果有：

那么变换过程就是对称的。

3.2 网络流特征矩阵

经过对网络流的清洗以及切片等预处理工作后,针对不同攻击技术分析其特征,从而能够构建相应的特征矩阵.至此完成了网络威胁特征矩阵F的构建过程.

（1）攻击战术矩阵 a：在构建过程中, 首先对网络威胁进行细致分类, 然后将每种具体的攻击战术对应到该行向量中, 将其标记为1, 未涉及的则标记为0, 最终可获得完整的攻击战术行向量 a。（2）攻击技术矩阵 t：在构建过程中的步骤中, 首先建立 attack-technique 关系图, 接着对照 attack-tactic 和 attack-technique 的关联表, 将涉及的技术标记为1, 不相关的则标记为0, 即可获得完整的攻击技术矩阵 t。（3）网络流特征矩阵 s：从数据集中提取报文信息后, 可以系统性地分析并获取网络流数据的五元组、包大小以及包持续时间等关键参数. 在此基础之上进行数据清洗处理, 去除那些与当前研究无关的数据项. 对于不同时间段的网络流量包进行上述操作处理后形成序列化的特征集合. 最后通过特征提取与排列组合的方式生成完整的网络流特征矩阵 s. 具体而言, 可以将流量按时间划分为若干个阶段 n（即该矩阵的列数）, 并通过对每个阶段内包头元素熵值的变化观察分析来识别典型的原子化威胁行为模式. 最终可获得反映网络流量特性的流动威胁特征矩阵 s.

最终，在获得了攻击战术行向量 α 以及与之相关的攻击技术矩阵 t 和网络流特征_matrix_s 的基础上，
利用这些信息并基于_网络威胁表征_matrix 的_计算公式_构建目标_matrix，
其中 计算过程如下

上述求解过程中, a与t之间的点积关系体现了网络安全事件与其属性间的隶属程度, s则表示了网络安全事件在其运行过程中所展现的行为模式, F则衡量了针对特定网络安全事件采取防御措施的有效性.我们建立了网络安全事件与其防御策略之间的一一对应关系,通过分析可扩展的安全防御手段库中的可用策略组合来确定最佳防护方案,并构建了一个包含安全事件、防御策略及其相互作用关系的安全防护矩阵.通过对收集到的安全事件数据进行深入分析和建模处理后得到的技术特征矩阵能够全面反映安全事件的关键特性.最后形成的完整的安全事件表征矩阵不仅能够完整地描述出各个安全事件的主要属性及其相互作用情况,并且还能清晰地展示出各个安全事件对其影响的具体表现形式.

3.3 流谱变换

首先，对流谱变换的过程进行介绍。假设 在原数据空间中，一个网络流特征向量表示为 Xe ，在当前空间域下进行空间变换（平移、翻转 或其他复杂操作）映射到新的空间上，在新的 空间上，其被表示为 Xe' ，那么从原空间上的表 示 Xe 映射到新的空间上的表示Xe' 的过程就称为 基变换。假设变换空间上基向量 e' 使用原域二维空间中的基向量 e 可以表示为：

则可以通过基向量的映射关系，求得：

该变换过程可以用式（1）所示的矩阵 来表示。它涵盖了从原始向量空间到变换域空间的映射过程。即此说明，在二维空间中的一种特定变换过程可用矩阵形式来表示出来：本质上是由这两个基向量所构成的系数组成的矩阵

同理，在将基于基向量的线性变换映射至基于矩阵的形式时，则能够得到对应的矩阵形式下的基底；其主要目标是通过改变原有数据的表现形式以实现对原始信息的有效展示，并非对数据本身进行任何修改。对于所讨论的矩阵形式的空间域而言，则可以通过建立线性映射关系来进行定义；具体来说，在假设存在M个N维向量进行处理，并将其转换为由R个N维向量构成的新空间（称为空间变换域），则原始的空间信息可以用矩阵F来表示；同时，在该新空间中所使用的基底则可被称作新的核函数表达式

在以下讨论中，在新的变换域空间中定义了一个行向量 pi ，它对应于该空间中的第 i 个基向量；同时，在原始数据矩阵中定义了一个列向量 qj ，则代表了原始数据矩阵中的列向量。通过以下步骤——即建立式（8）所描述的线性映射关系——即可完成这一转换过程。从而实现了将原始数据从一个变换域转换至新空间的目标：即完成矩阵 F 的构建过程。

在变换过程中使用的操作符是乘法运算符，在完成这一系列操作后实现了矩阵空间的线性映射。具体来说，在处理一个处于原域空间中的矩阵时，都可以分解为n个列向量的集合；因此，在对矩阵进行变换时，实际上是针对每一个列向量进行了新的基底空间中的转换操作。同样地，在另一个目标空间中也能够实现对原始网络流信息的完整表征。对于更为复杂的情形，则需要引入一个新的操作符，并针对网络流矩阵展开相应的处理步骤。

其中，
F 代表原始网络流的特征矩阵。
Score 代表新空间 S 中的基底集合。
S 即为该矩阵在变换域中的系数矩阵表征。
通过使用系数矩阵表征的方式，在变换域中能够表征原始域中的行为特征。

在多数网络流监测研究中，变换域的方法多集中于时域分析。基于卷积神经网络的方法用于对网络流量进行实时监控时，默认情况下会采用二维时域变换策略，并以二维卷积核为基础提取特征信息。具体而言，在文献[20]中提出了一种结合多组卷积池模块与不同尺寸过滤器的新架构：首先通过多组卷积池模块从每个分组的字节层面提取特征；随后在包维度上应用一层滑动二维卷积滤波器完成包级别的特征提取。此外，在文献[26]中则提出了一个优化的卷积神经网络载荷分类方案：该模型包含三层堆叠的卷积层结构：第一层通过分析原始数据矩阵提取基础特征向量；第二层则基于低维特征空间进一步提炼高阶抽象信息；第三层采用可变尺寸设计以实现更精细的空间分布感知能力。由此可见，在不同层次的处理过程中均采用了大小不一的二维卷积核组织架构以实现多层次特征提取策略

0４面向流谱变换的指标评估体系

在流谱构建过程中中的变换映射环节中应建立一套科学合理的评价体系以便评估流谱空间同构过程的可靠性从而增强流谱对网络流的表现力并进一步提高检测精度同时减少冗余程度为后续研究打下坚实基础本节着重探讨流谱理论指标评价体系主要围绕可分离性和表征性两个维度展开讨论

（1）可分离性：可分离性表征了一个拓扑空间中任意点与子集之间的相互区分能力，在流形学习理论中成为评价基底表示矩阵的重要指标。这一性质通常可分为基于数据特性和基于结果特性两大类进行探讨

针对数据的可分离性问题，在将高维数据映射至低维子空间后进行分析会更加直观。从两种不同的角度考虑可分离性：一是通过压缩同类特征使得其在压缩后的类内间距尽可能小；二是通过拉伸不同类特征使其在拉伸后的类间距离尽可能大。为了量化这种分布情况，则可以采用编码长度公式来进行评估。常见的编码长度计算方法如表3所示：其中A和B为两点，在二维坐标系中其坐标分别为A(x1,y1)和B(x2,y2)。

表 3 常见编码长度测量方法

基于结果的可分离性：基于结果的可区分性是指将基底矩阵数据输入至单层感知机、循环神经网络等可分类网络中，并通过精确率、准确率等评估标准（如表4所示）从分类结果直接推断数据是否具备可分离性特征。常见的评估标准包括...

表 4 常见分类度量指标

其中, TP代表所有正确识别出的阳性样本数量, FP即为将实际为阴性但误判为阳性的样本数量, FN则指原本应为阳性却被误判为阴性的样本数量, TN则是所有真实阴性和正确的阴性样本数量

精确度是指在被预测为正的结果中实际真实值为正的比例；召回率则衡量了在原始数据集中真正存在的正样本中有多少被成功识别出来；而准确度则表示分类器在测试数据集上的总体判断正确率；F1分数则是精确度与召回率的调和平均值

精确率、召回率和F1评分是机器学习、深度学习相关领域的主要采用的评价指标。研究者们对比分析了入侵检测系统采用不同分类方法下的检测性能，并将准确率作为评价标准进行分析比较后发现，在识别恶意网络流量时支持向量机（Support Vector Machines, SVM）算法相较于朴素贝叶斯算法具有更好的区分效能。Bendiab团队开发了一种新型的物联网恶意软件流量分析方法，并将其精确率、召回率以及F1评分作为评价依据证实了该方法在检测恶意软件流量方面的有效性

在流谱理论研究中, 基底矩阵的分离效果将直接决定空域内网络流行为的表现形式. 基于这一观察, 我们可以通过建立分类模型来分析基底矩阵, 并通过多种分类性能指标（如精确率、召回率、F1分数）来评估其可分性.

（2）表征性：表征性是指在将原始数据转译为应用数据的过程中（即经过转译后），使得应用数据能够更加方便地被分析和利用的程度。

流谱理论的主要目标是将网络空间中的"流"从"时域"抽象为"频域"之中的"谱"的形式，并在此过程中对不同类型的业务行为进行抽象为特定特征向量的方式进行处理，在构建完成之后就可以在此特殊的流谱空间中对网络流量进行直接有效的观测与分析工作。这种基于流谱空间的信息处理方法能够实现对所有业务行为进行分类表达的能力，并且能够有效识别出异常行为模式以及把握整体的安全态势水平。在这一特殊的映射转换过程中所形成的流谱信息具有显著的表现特征性，在某种程度上这会直接影响到整个业务行为分类工作的准确度水平；因此，在实际应用中需要综合评估所获取到的流谱信息是否具备足够的可解释性特征以便于被理解以及被利用转化为人们能够直观感知的形式。

机器学习技术可以被视为一种不可透明model，在此过程中被输入至不可透明model中，并由其生成一个预测函数。对于这些不可透明技术的可解释性关注，则可以通过开发出一些不依赖原始model的技术来实现，并用于量化评估不可透明技术的关键指标。常用评估方法如表5所示

表 5 常见可解释评估方法

a(i)代表样本i与其所属簇中其他样本的平均距离，
b(i)代表样本i至其他各簇所有样本的平均距离，
在高偏差情况下,Jcv(θ)表示交叉验证集的成本函数,
而Jtrain(θ)则表示测试集的成本函数,
其中,M则表示用于树模型分析中的树的数量。

0５流谱理论在对抗防御中的可行性验证

本节基于网络安全威胁数据集考察流谱理论在对抗网络安全威胁中的防御有效性。实验过程中通过构建不同攻击类型下的网络流量特征映射模型，并对这些模型的有效性进行了验证研究。

基于可行性研究的结果表明，在采用了流谱理论的基础上开发出的网络安全防御体系表现出良好的效果，并且这种防御体系在实际应用中得到了验证

基于优化目标，在基于划分的训练集上明确地构建多层次映射网络，并通过正向构建可解释模型，并将其将原始特征映射到新的变换空间。经过整个迭代过程中的500次迭代

在多层映射网络模型完成之后，在新的变换空间中实现了特征矩阵的同构过程。经过该操作后，在新的变换空间中的数据可分性得到了显著增强（如图 2 所示）。

图 2 流谱热力图

在原始热力图中分布着各类网络流量，在经过流谱处理后各类别之间的关联性被显著削弱，在图2中这种关联仅限于对角线上的同类流量（彼此之间）存在较弱关联性）。该模型通过优化目标引导下提升了不同类别间的数据间距同时缩小了同类数据间的距离从而实现了网络流量特征向量映射至一个相互独立的空间内在此空间内各类别流量彼此间的关联度极低且相互独立本节实验主要研究了基于原始流量特征数据的基本变换映射方法其在流量行为分析任务中的适用性具有一定的理论基础后续研究将进一步探索其在频域空频域变换方面的应用并对其实际可行性进行深入验证主要研究目标包括

（1）基于时域完成网络流特征的提取工作，最终获得相应的特征向量或矩阵形式；（2）实现特征矩阵在空间域的映射，并确定一组空间基底矩阵以表征其特性；进一步评估该基底的正交性和完备性。（3）深入探究一维和二维空间中时频转换理论的基础知识和相关特性。系统分析傅里叶变换、拉普拉斯变换以及小波变换等基本数学工具的特点及其在流谱空间中的应用效果。（4）基于群论框架下探讨流谱理论的空间结构特性。

0６结 语

在复杂多变的网络环境下, 流谱理论致力于构建全新的防御视角, 全面实现对网络空间威胁的全流程智能监测. 首先, 根据攻击类型将网络威胁进行分类, 并通过矩阵方法建立特征联系, 从而形成完整的映射关系. 其次, 从原子攻击行为. 文本内容特征. 网络流统计特征以及协议连接特征等多个维度入手, 提取表征网络安全威胁的技术指标, 并构建相应的技术指标矩阵. 因此, 在完成网络安全威胁分类的基础上, 任意网络安全事件均可表示为多种策略向量与技术矩阵及特征矩阵结合的形式. 通过流谱理论中的矩阵计算手段, 最终获得网络安全威胁的表现型结果并进行可视化刻画. 最后, 在完成网络安全流量行为建模后, 对其进行时域. 空域. 频域以及空频域等变换映射操作, 经过变换映射至流谱空间后即可获得更为优化的表现型表达方式

未来工作的重点包括：

1. 针对未知协议领域，
   • 建立面向未知协议的流谱特征关联分析体系，
     • 以提升流谱理论在现实对抗环境下的应用效果。
2. 深入研究与分析，
   • 包括传输层安全性协议（TLS）、安全套接字协议（SSL）以及其它复杂的安全威胁。
3. 开发并完善流谱理论验证平台，
   • 通过对比现有分类模型，
     • 使用流谱模型理论及其应用模型进行攻击检测与异常发现的网络流分类处理。