摘 要: 針對(duì)現(xiàn)有的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法沒(méi)有從影響網(wǎng)絡(luò)安全態(tài)勢(shì)的安全因子入手,不能準(zhǔn)確地預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì),,提出了一種基于灰色理論和BP神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)方法,。首先依據(jù)灰色模型系數(shù)的取值大小選擇最合適的背景值,并構(gòu)造了一種新的模型背景值函數(shù),。其次,,結(jié)合GM(1,1),、GM(1,,N)模型預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì),并用BP神經(jīng)網(wǎng)絡(luò)對(duì)態(tài)勢(shì)預(yù)測(cè)值進(jìn)行修正,。最后,,通過(guò)真實(shí)的網(wǎng)絡(luò)環(huán)境驗(yàn)證了所提出的方法在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)中的有效性。
關(guān)鍵詞: 灰色理論,;網(wǎng)絡(luò)安全態(tài)勢(shì)感知,、預(yù)測(cè),;BP神經(jīng)網(wǎng)絡(luò);粒子群算法
0 引言
隨著網(wǎng)絡(luò)信息技術(shù)的日益發(fā)展,,互聯(lián)網(wǎng)正在成為社會(huì)的信息基礎(chǔ)設(shè)施,。同時(shí),網(wǎng)絡(luò)攻擊和破壞行為日益普遍,,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)設(shè)備(如防火墻,、IDS等)功能單一,、不能全方位地對(duì)網(wǎng)絡(luò)的安全狀態(tài)做出整體的評(píng)價(jià)和估計(jì)[1]。網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是在這種背景下產(chǎn)生的,。其中網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一個(gè)重要部分,,它能夠?qū)W(wǎng)絡(luò)系統(tǒng)整體運(yùn)行的安全趨勢(shì)進(jìn)行把握,實(shí)時(shí)地感知網(wǎng)絡(luò)所面臨的威脅,;為及時(shí)、準(zhǔn)確的決策提供可靠依據(jù),,使由網(wǎng)絡(luò)不安全帶來(lái)的風(fēng)險(xiǎn)和損失降低到最低限度,。
目前存在多方位、多層面的預(yù)測(cè)方法和模型,,主要有:灰色GM(1,,1)模型[2]、神經(jīng)網(wǎng)絡(luò)[3],、支持向量機(jī)(Support Vector Machine,,SVM)[4]等。
上述預(yù)測(cè)方法都在一定程度上對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行了預(yù)測(cè),,存在的問(wèn)題總結(jié)如下:預(yù)測(cè)方法僅從網(wǎng)絡(luò)歷史的整體安全態(tài)勢(shì)本身數(shù)據(jù)進(jìn)行分析,,忽略影響網(wǎng)絡(luò)安全態(tài)勢(shì)的安全因子[5],而實(shí)際上安全態(tài)勢(shì)的變化是與安全因子的變化密切相關(guān)的,。
對(duì)此,,本文從影響網(wǎng)絡(luò)安全態(tài)勢(shì)的安全因子入手,結(jié)合灰色GM模型,、BP神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì),,并通過(guò)真實(shí)的實(shí)驗(yàn)環(huán)境去驗(yàn)證本方法的準(zhǔn)確性。
1 網(wǎng)絡(luò)安全態(tài)勢(shì)安全因子
在互聯(lián)網(wǎng)實(shí)際應(yīng)用中,,本文從網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性,、網(wǎng)絡(luò)脆弱性、網(wǎng)絡(luò)威脅性[6]劃分安全因子,。脆弱性側(cè)重描述網(wǎng)絡(luò)本身的安全漏洞,。因子包含:子網(wǎng)內(nèi)安全設(shè)備數(shù)目、關(guān)鍵設(shè)備開(kāi)放端口的數(shù)量,、關(guān)鍵設(shè)備漏洞數(shù)目,。網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性主要指網(wǎng)絡(luò)本身的運(yùn)行狀態(tài),能直接反映安全事件造成的影響,。因子有:主機(jī)CPU,、內(nèi)存等資源消耗量、子網(wǎng)流量增長(zhǎng)率,、子網(wǎng)數(shù)據(jù)流總量,、子網(wǎng)帶寬占用率,、數(shù)據(jù)丟包率。威脅性側(cè)重描述各種網(wǎng)絡(luò)攻擊對(duì)網(wǎng)絡(luò)內(nèi)部產(chǎn)生的危害程度,,主要統(tǒng)計(jì)已知攻擊,、疑似攻擊和惡意代碼的數(shù)量、頻率及危害度,。因子包括:報(bào)警數(shù)目,、惡意代碼數(shù)量、病毒木馬等的攻擊頻率,、數(shù)目及危害度,。
2 灰色預(yù)測(cè)模型
灰色理論[7]主要通過(guò)對(duì)部分已知信息的生成、開(kāi)發(fā),、提取有價(jià)值的信息,、實(shí)現(xiàn)對(duì)系統(tǒng)運(yùn)行規(guī)律的正確認(rèn)識(shí)從而達(dá)到科學(xué)的預(yù)測(cè)。
2.1 灰色GM(1,,1),、GM(1,N)模型
灰色預(yù)測(cè)模型中最基本的是GM(1,,1)模型,,其預(yù)測(cè)的灰色微分方程為:
(i=1,,2,,…N,k=1,,2,,…n)
其中,為數(shù)據(jù)序列,,為的累加生成序列,,a為發(fā)展系數(shù),b為灰色作用量,;模型背景值,。讓,按最小二乘法擬合得,。其中:
GM(1,,N)模型是一種適合于建立各因子變量的動(dòng)態(tài)關(guān)聯(lián)分析模型,含N個(gè)因子序列的預(yù)測(cè)灰色微分方程為:
參數(shù)向量可由B,、Y按最小二乘法計(jì)算,,微分方程的離散解為:
對(duì)式(6)累減還原得擬合預(yù)測(cè)值。
2.2 灰色背景值的改進(jìn)
上述模型的背景值[8]函數(shù)采取均值生成方法構(gòu)造,。而實(shí)際是在[k-1,,k]上對(duì)式兩邊求積分,。二者之間的差值是灰色模型精度不高的主要原因;參考文獻(xiàn)[9]在序例具有高指數(shù)規(guī)律的情況下,,得到新的背景值構(gòu)造公式為:
基于此,,本文設(shè)定:
當(dāng)0<-a≤0.3,序列變化平穩(wěn)時(shí),,采取均值生成方法構(gòu)造背景值函數(shù),。
當(dāng)0.3<-a≤0.8,序列變化呈中間狀態(tài)時(shí),,采用本文構(gòu)造的背景值:
參數(shù)l1,、l2、l3由粒子群算法進(jìn)行優(yōu)化,。
當(dāng)0.8<-a≤1時(shí),原始序列呈高指數(shù)增長(zhǎng),,選取新背景值構(gòu)造函數(shù),。
3 結(jié)合灰色理論和BP神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)原理
灰色理論具有建模簡(jiǎn)單、運(yùn)算方便等特點(diǎn),。神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí),、自組織和自適應(yīng)能力,對(duì)非線性數(shù)據(jù)的處理能力較弱,,神經(jīng)網(wǎng)絡(luò)的特點(diǎn)恰好能對(duì)灰色模型進(jìn)行補(bǔ)充,。因此,以灰色模型的貧信息代替神經(jīng)網(wǎng)絡(luò)所需的大樣本,,以BP神經(jīng)網(wǎng)絡(luò)的非線性處理能力彌補(bǔ)灰色模型非線性擬合差的缺點(diǎn),,建立性能更優(yōu)的灰色神經(jīng)網(wǎng)絡(luò)模型。
預(yù)測(cè)算法步驟如下:
?。?)對(duì)歷史安全因子,、網(wǎng)絡(luò)安全態(tài)勢(shì)歷史序列無(wú)量綱歸一化處理。計(jì)算發(fā)展系數(shù)a,,依據(jù)a的大小選擇對(duì)應(yīng)的模型背景值函數(shù),。
(2)將安全因子數(shù)據(jù)輸入到GM(1,,1)模型中,,得到安全因子預(yù)測(cè)值。
?。?)結(jié)合歷史網(wǎng)絡(luò)安全態(tài)勢(shì)值,,將安全因子所有預(yù)測(cè)值輸入到GM(1,N)模型中,,得到網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)值,、殘差,。
(4)確定訓(xùn)練樣本,、預(yù)測(cè)樣本數(shù)目,,以安全因子序列所有預(yù)測(cè)值輸入BP神經(jīng)網(wǎng)絡(luò)的輸入端、殘差作為輸出結(jié)果,、所有訓(xùn)練樣本通過(guò)BP神經(jīng)網(wǎng)絡(luò)的均方誤差為目標(biāo)對(duì)BP神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練,。最后用訓(xùn)練好的BP神經(jīng)網(wǎng)絡(luò)對(duì)殘差進(jìn)行預(yù)測(cè),得到殘差預(yù)測(cè)值,。
?。?)對(duì)預(yù)測(cè)結(jié)果進(jìn)行殘差修正,輸出最終網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)值:
(9)
4 粒子群算法優(yōu)化模型背景值參數(shù)
4.1 粒子群算法
PSO粒子群算法屬于帶有全局策略和啟發(fā)性質(zhì)的群體智能進(jìn)化計(jì)算方法,。每個(gè)優(yōu)化問(wèn)題的可行解都是搜索空間中的一個(gè)粒子,。算法首先隨機(jī)生成一個(gè)粒子種群,然后追隨當(dāng)前最優(yōu)粒子在種群中進(jìn)行迭代搜索,,直到達(dá)到要求,,停止搜索。種群粒子的速度,、位置進(jìn)化公式如下:
vid(t+1)=vid(t)+c1×rand()×(pbest-xid(t))+c2×rand()×(Gbest-xid(t))(10)
xid(t+1)=xid(t)+vid(t)(11)
其中,,vid是粒子的速度,維數(shù)為i×d維,,c1,、c2為學(xué)習(xí)因子,分別調(diào)節(jié)飛赴自身和鄰居的步長(zhǎng),,rand()是介于(0,,1)之間的隨機(jī)數(shù),xid(t)是粒子當(dāng)前位置,,pbest(t)代表粒子當(dāng)前最好位置,,Gbest(t)代表種群當(dāng)前最好位置,即全局最優(yōu)位置,。
4.2 PSO算法優(yōu)化背景值參數(shù)的步驟
算法設(shè)計(jì)思想:將背景值的所有參數(shù)映射成種群個(gè)體的位置,。設(shè)定采用的適應(yīng)度函數(shù)(本文為灰色GM(1,N)模型殘差平方和的倒數(shù),。搜尋使適應(yīng)度滿足要求的粒子位置,,新生成的個(gè)體位置還原為背景值的參數(shù),得到背景值最優(yōu)參數(shù)組合,。
算法步驟如下:
?。?)隨機(jī)初始化背景值參數(shù)l1、l2,、l3,。
?。?)背景值參數(shù)映射為PSO種群粒子位置向量。
?。?)隨機(jī)產(chǎn)生初始化種群(包括隨機(jī)種群數(shù)目M,、速度、位置),。
?。?)依據(jù)粒子群算法更新粒子的速度和位置,得到新的粒子位置和速度,。
?。?)計(jì)算粒子位置映射的背景值參數(shù)、殘差和適應(yīng)度,。
?。?)判斷適應(yīng)度是否滿足設(shè)定值,如果滿足,,輸出當(dāng)前位置所對(duì)應(yīng)的背景值參數(shù),,終止迭代;否則,,繼續(xù)下一步。
?。?)比較粒子的當(dāng)前位置和歷史最優(yōu)位置,,若當(dāng)前位置較好,用當(dāng)前位置替換歷史最優(yōu)位置,;然后將粒子的個(gè)體最好位置與全局最優(yōu)位置做比較,,若粒子的個(gè)體值更好則記錄此位置為新的全局最優(yōu)位置。
?。?)迭代次數(shù)t=t+1,,如果t>Tmax,終止迭代,,否則,,轉(zhuǎn)到第(4)步。
通過(guò)PSO粒子群算法,,搜尋到最優(yōu)的背景值參數(shù)組合,,使灰色GM(1,N)模型的殘差最小,,從而得到精度最好的模型,。
5 實(shí)驗(yàn)分析
實(shí)驗(yàn)前本文采用參考文獻(xiàn)[10]的態(tài)勢(shì)評(píng)估方法結(jié)合安全因子對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)先進(jìn)行評(píng)估,以便獲取實(shí)驗(yàn)所需的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù),。
5.1 實(shí)驗(yàn)準(zhǔn)備
本文搭建了由主機(jī),、路由器,、交換機(jī)、服務(wù)器等組成的網(wǎng)絡(luò)進(jìn)行實(shí)驗(yàn),。
網(wǎng)絡(luò)中包含的受攻擊目標(biāo)分別為Web服務(wù)器,、備份數(shù)據(jù)庫(kù)、主數(shù)據(jù)庫(kù),、DNS服務(wù)器,、TCP服務(wù)器。實(shí)驗(yàn)過(guò)程中的數(shù)據(jù)來(lái)源于路由器中的Snort入侵檢測(cè)信息,、Netflow數(shù)據(jù)流信息,、主機(jī)的Nessus漏洞掃描信息、Firewall日志信息,。實(shí)驗(yàn)時(shí)將SQL注入漏洞攻擊數(shù)據(jù)庫(kù),、SYN Flood攻擊TCP服務(wù)器、Web服務(wù)器,、UDP Flood攻擊DNS服務(wù)器等,,然后從網(wǎng)絡(luò)節(jié)點(diǎn)獲得所需的異常數(shù)據(jù),在MATLAB7.0平臺(tái)進(jìn)行仿真實(shí)驗(yàn),。
實(shí)驗(yàn)參數(shù):設(shè)定預(yù)測(cè)周期為12 h,,即通過(guò)前11個(gè)時(shí)間段的態(tài)勢(shì)值預(yù)測(cè)之后的1個(gè)時(shí)間段的態(tài)勢(shì)值,選取訓(xùn)練樣本數(shù)為101,,預(yù)測(cè)樣本數(shù)為23,。本次的粒子群算法中,粒子種群初始規(guī)模M設(shè)定為100,,位置xid∈[0,,1]、速度vid∈[-100,,100],,最大迭代次數(shù)Tmax=1 000、學(xué)習(xí)因子c1,、c2均為2,,適應(yīng)度設(shè)定為:1 000。對(duì)比不經(jīng)任何優(yōu)化處理的灰色GM(1,,1)模型,、BP神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。
5.2 實(shí)驗(yàn)結(jié)果
預(yù)測(cè)結(jié)果曲線圖如圖1所示,。
可以進(jìn)一步通過(guò)對(duì)模型得到的預(yù)測(cè)值計(jì)算殘差,、相對(duì)殘差、檢驗(yàn)?zāi)P偷臏?zhǔn)確性。表1為精度檢驗(yàn)結(jié)果,。
5.3 結(jié)果分析
從網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果可以看出,,3種方法檢驗(yàn)結(jié)果誤差各有不同:灰色GM(1,1)只能粗略地反映網(wǎng)絡(luò)安全態(tài)勢(shì)的總體趨勢(shì),;BP神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)結(jié)果誤差相對(duì)GM(1,,1)模型小,但是其訓(xùn)練樣本過(guò)大,,訓(xùn)練時(shí)間較長(zhǎng),;對(duì)比GM(1,1)模型,、BP神經(jīng)網(wǎng)絡(luò),,本方法預(yù)測(cè)精度更高。
6 結(jié)論
本文的方法在實(shí)際應(yīng)用中有兩方面的難點(diǎn):一是預(yù)測(cè)結(jié)果網(wǎng)絡(luò)安全因子的限制,,如果選取的安全因子不完全,,會(huì)很大地影響網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)結(jié)果,二是預(yù)測(cè)能力受安全因子預(yù)測(cè)能力的影響,,因而如何提高安全因子預(yù)測(cè)的準(zhǔn)確性將是下一步的工作重點(diǎn),。
參考文獻(xiàn)
[1] 王庚,張景輝,,吳娜.網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法的應(yīng)用研究[J].計(jì)算機(jī)仿真,,2012,29(2):98-101.
[2] 鄧聚龍.灰理論基礎(chǔ)[M].武漢:華中科技大學(xué)出版社,,2002.
[3] 謝麗霞,,王亞超,于巾博.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知[J].清華大學(xué)學(xué)報(bào),,2013,53(12):1751-1760.
[4] 汪材印.灰色關(guān)聯(lián)分析和支持向量機(jī)相融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[J].計(jì)算機(jī)應(yīng)用研究,,2013,,30(6):1859-1862.
[5] 葉健健,文志誠(chéng),,吳欣欣,,等.基于多層次數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)分析方法研究[J].微型機(jī)與應(yīng)用,2015,,34(8):5-7,,11.
[6] 孫德衡.基于指標(biāo)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型研究[D].西安:西北大學(xué),2012.
[7] 劉思峰,,謝乃明.灰色系統(tǒng)理論及其應(yīng)用[M].北京:科學(xué)出版社,,2008.
[8] 劉思峰,鄧聚龍.GM(1,,1)模型的適應(yīng)范圍[J].系統(tǒng)工程理論與實(shí)踐,,2000(5):121-124.
[9] 何慶飛,,陳桂明,陳小虎,,等.基于改進(jìn)灰色神經(jīng)網(wǎng)絡(luò)的液壓泵壽命預(yù)測(cè)[J].中國(guó)機(jī)械工程,,2013,24(4):500-506.
[10] 王志平.基于指標(biāo)體系的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估研究[D].長(zhǎng)沙:國(guó)防科學(xué)技術(shù)大學(xué),,2010.