引言

我国网络安全法律体系对重要信息系统，特别是关键信息基础设施（CII）的网络入侵防护，确立了以“三化六防”为指导的合规框架，并对关键环节提出了明确的时效性要求，核心要求体现在纵深防护与主动应对。《网络安全法》与《关键信息基础设施安全保护条例》强制要求运营者采取技术手段持续监测网络运行状态，制定并演练应急预案，构建动态综合的防护体系。在时效性方面，法律法规设定了严格的时间底线，集中体现在入侵事件的报告制度。2025年9月11日，国家互联网信息办公室发布的《网络安全事件报告管理办法》，规定涉及关键信息基础设施的，运营者在发生危害网络安全的事件后，必须在1小时内进行首次报告。综上所述，现行法律框架不仅规定了重要信息系统应对网络入侵的静态防护义务，更要求基于强制性的时限要求和识别正确率要求，驱动运营者提升实时监测、应急响应和快速报告能力，从而构建起及时有效的国家网络安全屏障。目前，我国网络安全发展具有庞大的市场应用前景、完整的信息产业链、系统化的人才培养体系和原创技术理论等优势，虽原创了内生安全理论和拟态构造等技术，但在安全责任分配机制、法律法规体系完善度以及适用先进的网络入侵检测技术等方面仍存在进一步提升的空间[1-2]。

Kohonen神经网络是一类无监督学习自组织特征映射（Self-Organizing Feature Mapping，SOM）的竞争型神经网络，其具有强大的自动聚类和数据可视化能力，大量在网络入侵检测等领域开展应用[3-8]。经过训练的Kohonen神经网络会将正常的网络访问行为模式映射到竞争层的特定神经元区域。训练Kohonen神经网络一般将网络流量数据，如协议类型、端口号、报文大小、连接持续时间、主机系统调用序列等特征数字化后作为输入特征。当新的网络访问行为数据输入时，比较其与获胜神经元的权重向量差异，如果差异过大，超过预设阈值，则判定为异常行为，可能预示着0day攻击。这种方法不依赖于已知攻击的特征签名，因此对APT等新型威胁具备潜在检测能力。Kohonen神经网络还可用于攻击行为的聚类与分类。通过对海量网络日志或审计数据进行训练，其能够将不同类型的攻击，如DDoS、端口扫描、暴力破解等自动聚类到竞争层的不同区域。CII等信息系统网络安全运营者可以通过观察Kohonen神经网络训练的“特征地图”，直观地识别出不同类的攻击簇，从而快速理解当前CII网络威胁的整体态势，并对未知攻击进行初步归类，辅助后续的深度分析。

国内外诸多学者针对基于Kohonen神经网络等网络安全技术开展了广泛的研究。叶于林等对非监督K-means及势函数聚类算法研究与改进。黎银环等基于改进的K-means算法研究其在入侵检测中的应用。谭玉琴等基于改进的SOM入侵检测研究。罗铮等人提出了一种基于思维进化算法优化神经网络的恶意域名检测模型，即为有监督的神经网络S_Kohonen，使其更好地学习恶意域名相关特征，最终得出的模型可以快速、准确地检测出恶意域名。总体上现有研究偏重基于监督或非监督某一方面，再或者存在参数调优策略不够完善，实战性有待提升。本文基于前人的研究基础，聚焦无监督学习与监督学习相融合的S_Kohonen神经网络模型在恶意流量识别领域的应用，并创新性地引入了积分面积均值最大法，给出了一种快速迭代参数选择方法。这一方法在快速迭代参数中，构造一个方阵，每列元素作为自变量，如训练次数、学习率等。将自变量两相邻数据之间用线性函数求积分，因变量是识别准确率，后取积分均值最大的一列，对应的自变量均值作为最优参数。在构建基于竞争型神经网络的恶意流量识别模型时，为解决无监督学习解释性差等问题，采用了增加输出层的策略。其工作原理是在模型竞争层上增加BP神经网络作为输出层，以引入监督学习，增强模型的泛化能力和实用性。实验中首先利用特征工程，根据数据的特征集来设定S_Kohonen神经网络模型的输入，然后构造神经的各层结构，最后利用积分均值最大，给出达到正确率指标的参数值。

本文详细内容请下载：

https://www.chinaaet.com/resource/share/2000007073

作者信息：

周威

（北京中百信信息技术股份有限公司， 北京 100094）