摘 要: 针对现有的网络安全态势预测方法没有从影响网络安全态势的安全因子入手,不能准确地预测未来网络安全态势,提出了一种基于灰色理论和BP神经网络的预测方法。首先依据灰色模型系数的取值大小选择最合适的背景值,并构造了一种新的模型背景值函数。其次,结合GM(1,1)、GM(1,N)模型预测网络安全态势,并用BP神经网络对态势预测值进行修正。最后,通过真实的网络环境验证了所提出的方法在网络安全态势预测中的有效性。
关键词: 灰色理论;网络安全态势感知、预测;BP神经网络;粒子群算法
0 引言
随着网络信息技术的日益发展,互联网正在成为社会的信息基础设施。同时,网络攻击和破坏行为日益普遍,传统的网络安全防护设备(如防火墙、IDS等)功能单一、不能全方位地对网络的安全状态做出整体的评价和估计[1]。网络安全态势感知就是在这种背景下产生的。其中网络安全态势预测作为网络安全态势感知的一个重要部分,它能够对网络系统整体运行的安全趋势进行把握,实时地感知网络所面临的威胁;为及时、准确的决策提供可靠依据,使由网络不安全带来的风险和损失降低到最低限度。
目前存在多方位、多层面的预测方法和模型,主要有:灰色GM(1,1)模型[2]、神经网络[3]、支持向量机(Support Vector Machine,SVM)[4]等。
上述预测方法都在一定程度上对网络安全态势进行了预测,存在的问题总结如下:预测方法仅从网络历史的整体安全态势本身数据进行分析,忽略影响网络安全态势的安全因子[5],而实际上安全态势的变化是与安全因子的变化密切相关的。
对此,本文从影响网络安全态势的安全因子入手,结合灰色GM模型、BP神经网络预测网络安全态势,并通过真实的实验环境去验证本方法的准确性。
1 网络安全态势安全因子
在互联网实际应用中,本文从网络基础运行性、网络脆弱性、网络威胁性[6]划分安全因子。脆弱性侧重描述网络本身的安全漏洞。因子包含:子网内安全设备数目、关键设备开放端口的数量、关键设备漏洞数目。网络基础运行性主要指网络本身的运行状态,能直接反映安全事件造成的影响。因子有:主机CPU、内存等资源消耗量、子网流量增长率、子网数据流总量、子网带宽占用率、数据丢包率。威胁性侧重描述各种网络攻击对网络内部产生的危害程度,主要统计已知攻击、疑似攻击和恶意代码的数量、频率及危害度。因子包括:报警数目、恶意代码数量、病毒木马等的攻击频率、数目及危害度。
2 灰色预测模型
灰色理论[7]主要通过对部分已知信息的生成、开发、提取有价值的信息、实现对系统运行规律的正确认识从而达到科学的预测。
2.1 灰色GM(1,1)、GM(1,N)模型
灰色预测模型中最基本的是GM(1,1)模型,其预测的灰色微分方程为:
(i=1,2,…N,k=1,2,…n)
其中,
为数据序列,![77R79Z1W~TQR]98PNIU4A60.png](http://files.chinaaet.com/images/2016/02/13/6359098543823792574875052.png "77R79Z1W~TQR]98PNIU4A60.png")
为
的累加生成序列,a为发展系数,b为灰色作用量;
模型背景值。让
,按最小二乘法拟合得
。其中:
![FW{0Z)I%7559P7821ONES]R.png](http://files.chinaaet.com/images/2016/02/13/6359098563551392573996319.png "FW{0Z)I%7559P7821ONES]R.png")
GM(1,N)模型是一种适合于建立各因子变量的动态关联分析模型,含N个因子序列的预测灰色微分方程为:
![YT2H]3)_}XWWPYLJ0CC)3Z7.png](http://files.chinaaet.com/images/2016/02/13/6359098583730192573957433.png "YT2H]3)_}XWWPYLJ0CC)3Z7.png")
参数向量
可由B、Y按最小二乘法计算,微分方程的离散解为:
对式(6)累减还原得
拟合预测值。
2.2 灰色背景值的改进
上述模型的背景值[8]函数
采取均值生成方法构造。而实际是在[k-1,k]上对式![VKQB(FOZRIE9VTKR]J3QN7W.png](http://files.chinaaet.com/images/2016/02/13/6359098618680992574819771.png "VKQB(FOZRIE9VTKR]J3QN7W.png")
两边求积分。二者之间的差值是灰色模型精度不高的主要原因;参考文献[9]在序例具有高指数规律的情况下,得到新的背景值构造公式为:
基于此,本文设定:
当0<-a≤0.3,序列变化平稳时,采取均值生成方法构造背景值函数。
当0.3<-a≤0.8,序列变化呈中间状态时,采用本文构造的背景值:
![]713I02GM2X8OYAPOK(KEQP.png](http://files.chinaaet.com/images/2016/02/13/6359098628502592579945352.png "]713I02GM2X8OYAPOK(KEQP.png")
参数l1、l2、l3由粒子群算法进行优化。
当0.8<-a≤1时,原始序列呈高指数增长,选取新背景值构造函数。
3 结合灰色理论和BP神经网络的预测原理
灰色理论具有建模简单、运算方便等特点。神经网络具有自学习、自组织和自适应能力,对非线性数据的处理能力较弱,神经网络的特点恰好能对灰色模型进行补充。因此,以灰色模型的贫信息代替神经网络所需的大样本,以BP神经网络的非线性处理能力弥补灰色模型非线性拟合差的缺点,建立性能更优的灰色神经网络模型。
预测算法步骤如下:
(1)对历史安全因子、网络安全态势历史序列无量纲归一化处理。计算发展系数a,依据a的大小选择对应的模型背景值函数。
(2)将安全因子数据输入到GM(1,1)模型中,得到安全因子预测值![@~R)6%[V]K6XG`LU1ZA4L]7.png](http://files.chinaaet.com/images/2016/02/13/6359098635150992571073961.png "@~R)6%[V]K6XG`LU1ZA4L]7.png")
。
(3)结合历史网络安全态势值,将安全因子所有预测值输入到GM(1,N)模型中,得到网络安全态势预测值
、残差
。
(4)确定训练样本、预测样本数目,以安全因子序列所有预测值输入BP神经网络的输入端、残差作为输出结果、所有训练样本通过BP神经网络的均方误差为目标对BP神经网络进行训练。最后用训练好的BP神经网络对残差进行预测,得到残差预测值
。
(5)对预测结果进行残差修正,输出最终网络安全态势预测值:
(9)
4 粒子群算法优化模型背景值参数
4.1 粒子群算法
PSO粒子群算法属于带有全局策略和启发性质的群体智能进化计算方法。每个优化问题的可行解都是搜索空间中的一个粒子。算法首先随机生成一个粒子种群,然后追随当前最优粒子在种群中进行迭代搜索,直到达到要求,停止搜索。种群粒子的速度、位置进化公式如下:
vid(t+1)=vid(t)+c1×rand()×(pbest-xid(t))+c2×rand()×(Gbest-xid(t))(10)
xid(t+1)=xid(t)+vid(t)(11)
其中,vid是粒子的速度,维数为i×d维,c1、c2为学习因子,分别调节飞赴自身和邻居的步长,rand()是介于(0,1)之间的随机数,xid(t)是粒子当前位置,pbest(t)代表粒子当前最好位置,Gbest(t)代表种群当前最好位置,即全局最优位置。
4.2 PSO算法优化背景值参数的步骤
算法设计思想:将背景值的所有参数映射成种群个体的位置。设定采用的适应度函数(本文为灰色GM(1,N)模型残差平方和的倒数![LTLRWW}I%}Q{]A0S2`)Y`]6.png](http://files.chinaaet.com/images/2016/02/13/6359098661988692579662916.png "LTLRWW}I%}Q{]A0S2`)Y`]6.png")
。搜寻使适应度满足要求的粒子位置,新生成的个体位置还原为背景值的参数,得到背景值最优参数组合。
算法步骤如下:
(1)随机初始化背景值参数l1、l2、l3。
(2)背景值参数映射为PSO种群粒子位置向量。
(3)随机产生初始化种群(包括随机种群数目M、速度、位置)。
(4)依据粒子群算法更新粒子的速度和位置,得到新的粒子位置和速度。
(5)计算粒子位置映射的背景值参数、残差和适应度。
(6)判断适应度是否满足设定值,如果满足,输出当前位置所对应的背景值参数,终止迭代;否则,继续下一步。
(7)比较粒子的当前位置和历史最优位置,若当前位置较好,用当前位置替换历史最优位置;然后将粒子的个体最好位置与全局最优位置做比较,若粒子的个体值更好则记录此位置为新的全局最优位置。
(8)迭代次数t=t+1,如果t>Tmax,终止迭代,否则,转到第(4)步。
通过PSO粒子群算法,搜寻到最优的背景值参数组合,使灰色GM(1,N)模型的残差最小,从而得到精度最好的模型。
5 实验分析
实验前本文采用参考文献[10]的态势评估方法结合安全因子对网络安全态势先进行评估,以便获取实验所需的网络安全态势数据。
5.1 实验准备
本文搭建了由主机、路由器、交换机、服务器等组成的网络进行实验。
网络中包含的受攻击目标分别为Web服务器、备份数据库、主数据库、DNS服务器、TCP服务器。实验过程中的数据来源于路由器中的Snort入侵检测信息、Netflow数据流信息、主机的Nessus漏洞扫描信息、Firewall日志信息。实验时将SQL注入漏洞攻击数据库、SYN Flood攻击TCP服务器、Web服务器、UDP Flood攻击DNS服务器等,然后从网络节点获得所需的异常数据,在MATLAB7.0平台进行仿真实验。
实验参数:设定预测周期为12 h,即通过前11个时间段的态势值预测之后的1个时间段的态势值,选取训练样本数为101,预测样本数为23。本次的粒子群算法中,粒子种群初始规模M设定为100,位置xid∈[0,1]、速度vid∈[-100,100],最大迭代次数Tmax=1 000、学习因子c1、c2均为2,适应度设定为:1 000。对比不经任何优化处理的灰色GM(1,1)模型、BP神经网络对网络安全态势进行预测。
5.2 实验结果
预测结果曲线图如图1所示。
可以进一步通过对模型得到的预测值计算残差、相对残差、检验模型的准确性。表1为精度检验结果。
5.3 结果分析
从网络安全态势预测结果可以看出,3种方法检验结果误差各有不同:灰色GM(1,1)只能粗略地反映网络安全态势的总体趋势;BP神经网络预测结果误差相对GM(1,1)模型小,但是其训练样本过大,训练时间较长;对比GM(1,1)模型、BP神经网络,本方法预测精度更高。
6 结论
本文的方法在实际应用中有两方面的难点:一是预测结果网络安全因子的限制,如果选取的安全因子不完全,会很大地影响网络安全态势的预测结果,二是预测能力受安全因子预测能力的影响,因而如何提高安全因子预测的准确性将是下一步的工作重点。
参考文献
[1] 王庚,张景辉,吴娜.网络安全态势预测方法的应用研究[J].计算机仿真,2012,29(2):98-101.
[2] 邓聚龙.灰理论基础[M].武汉:华中科技大学出版社,2002.
[3] 谢丽霞,王亚超,于巾博.基于神经网络的网络安全态势感知[J].清华大学学报,2013,53(12):1751-1760.
[4] 汪材印.灰色关联分析和支持向量机相融合的网络安全态势评估[J].计算机应用研究,2013,30(6):1859-1862.
[5] 叶健健,文志诚,吴欣欣,等.基于多层次数据融合的网络安全态势分析方法研究[J].微型机与应用,2015,34(8):5-7,11.
[6] 孙德衡.基于指标融合的网络安全态势评估模型研究[D].西安:西北大学,2012.
[7] 刘思峰,谢乃明.灰色系统理论及其应用[M].北京:科学出版社,2008.
[8] 刘思峰,邓聚龙.GM(1,1)模型的适应范围[J].系统工程理论与实践,2000(5):121-124.
[9] 何庆飞,陈桂明,陈小虎,等.基于改进灰色神经网络的液压泵寿命预测[J].中国机械工程,2013,24(4):500-506.
[10] 王志平.基于指标体系的网络安全态势评估研究[D].长沙:国防科学技术大学,2010.